En este post hablaré de los pasos necesarios para instalar y configurar WSUS (Windows Server Update Services) en Windows Server 2019. Esta guía debería ayudarle si decide instalar y configurar WSUS desde cero.
En el pasado he publicado varios posts en WSUS. Eso incluye instalar WSUS y configurar WSUS. Además de eso, también publiqué un post sobre solución de problemas de WSUS., Desde entonces he estado usando Configuration Manager y nunca me he molestado en centrarme en WSUS.
hace unos días, un colega mío me contactó y me preguntó si podía publicar una publicación sobre la configuración de WSUS en Windows Server 2019. La compañía donde trabaja utiliza solo WSUS para implementar las actualizaciones en los equipos. Así que estaba buscando una guía que pueda ayudarlo a configurar y configurar WSUS desde cero.
así que decidí publicar esta guía que es exclusivamente para administradores que desean instalar y configurar WSUS para administrar actualizaciones en su configuración., También cubriré algunos conceptos básicos de WSUS que responden a preguntas básicas y la importancia de WSUS.
ha pasado bastante tiempo que realmente he configurado nada en WSUS. Esto se debe a que en el momento en que comienza a usar SCCM para implementar actualizaciones, se olvida de la consola WSUS.
he elegido Windows Server 2019 para instalar y configurar WSUS. Después de Server 2012 R2 creo que Server 2019 es una versión estable. Odio Windows Server 2016 porque he pasado mucho tiempo en Solucionar problemas de windows update., Para mí, la queja más importante es que las actualizaciones simplemente no se instalan correctamente en Server 2016.
Contenido
¿Qué son las Actualizaciones de Windows
Vamos a empezar con algunos conceptos básicos. Cuando instala un sistema operativo o crea una imagen de una máquina, siempre se asegura de que esté parcheada con las últimas actualizaciones. No solo el sistema operativo, sino casi todos los programas que utilizamos deben actualizarse constantemente.
Las actualizaciones de Windows se lanzan para corregir errores, solucionar problemas de seguridad en el sistema operativo y agregar nuevas características al sistema operativo., Las actualizaciones de Windows dependen del servicio de actualización de Windows, que está configurado para iniciarse automáticamente de forma predeterminada.
el servicio Windows Update descarga e instala automáticamente las actualizaciones recomendadas e importantes.
Las actualizaciones de Microsoft se pueden clasificar en las siguientes categorías :-
- actualizaciones críticas
- actualizaciones de seguridad
- actualizaciones de Definición
- Drivers
- Update Rollups
- Service Packs
- Tools
- Feature Packs
- Updates
Si ha migrado de Windows 7 a Windows 10, observe muchas opciones nuevas en Windows Update., Obtienes algunas opciones interesantes, como pausar las actualizaciones durante 7 días, Cambiar las horas activas para instalar actualizaciones. Además de eso, hay muchas opciones útiles en Opciones avanzadas. Cuando tengas tiempo, sigue adelante y explora todos ellos.
Introducción a los servicios de actualización de Windows Server
Los servicios de actualización de Windows Server (WSUS) permiten a los administradores implementar las últimas actualizaciones de productos de Microsoft. WSUS es un rol de servidor de Windows Server y cuando lo instala, puede administrar e implementar las actualizaciones de manera eficiente.,
una de las tareas más importantes de los administradores de sistemas es mantener los equipos cliente y servidor actualizados con los últimos parches de software y actualizaciones de seguridad. Sin WSUS sería muy difícil administrar la implementación de actualizaciones.
cuando tiene un solo servidor WSUS en su configuración, las actualizaciones se descargan directamente desde Microsoft Update. Sin embargo, si instala varios servidores WSUS, puede configurar el servidor WSUS para que actúe como una fuente de actualización que también se conoce como un servidor ascendente.,
en lugar de permitir que varios equipos descarguen actualizaciones directamente desde internet, puede configurar el servidor WSUS y apuntar a los clientes para descargar todas las actualizaciones desde un servidor WSUS. Con esto ahorrará su ancho de banda de Internet y también acelerará el proceso de actualización de Windows.
Puedo hablar mucho sobre WSUS, pero comencemos con la instalación de WSUS.
WSUS Lab Setup
En primer lugar permítanme hablar sobre la configuración de WSUS lab. Creo que la mejor manera de dominar WSUS es instalarlo y configurarlo en su prueba o configuración de laboratorio primero. A continuación, puede empezar a trabajar en él y probar varias cosas.,
I have created some virtual machines in my lab. Let me give you a list of machines and the OS info.
| Server Name | Operating System | Roles |
| CORPAD.PRAJWAL.LOCAL | Windows Server 2019 Datacenter | Active Directory, DNS, DHCP |
| CORPWSUS.PRAJWAL.,LOCAL | Windows Server 2019 Datacenter | WSUS |
| CORPWIN10ENT.PRAJWAL.LOCAL | Windows 10 Enterprise | None |
| CORPWIN10PRO.PRAJWAL.LOCAL | Windows 10 Pro | None |
And if I had to show my setup in the form of a network diagram, this is how it’s going to look.,
requisitos del sistema WSUS
Cuando haya decidido implementar WSUS en su configuración, primero debe mirar los requisitos de WSUS. Para planificar su implementación de WSUS, recomiendo leer este artículo de Microsoft. Cubre toda la información requerida para los requisitos de WSUS, escenarios de implementación, consideraciones de rendimiento, etc.
esta publicación cubre el procedimiento para instalar los servicios de actualización de Windows Server mediante la base de datos interna de Windows (wid).,
WSUS Firewall Ports / Exceptions
al configurar el servidor WSUS, es importante que el servidor se conecte a Microsoft update para descargar las actualizaciones. Si hay un firewall corporativo entre WSUS e Internet, es posible que tenga que configurar ese firewall para garantizar que WSUS pueda obtener actualizaciones.
para obtener actualizaciones de Microsoft Update, el servidor WSUS utiliza el puerto 443 para el protocolo HTTPS., Debe permitir el acceso a Internet desde WSUS a la siguiente lista de direcciones URL: –
instalar el rol WSUS en Windows Server 2019
los pasos para instalar el rol de servicios de actualización de Windows Server (WSUS) en Windows Server 2019 incluyen :-
- inicie sesión en el servidor de Windows 2019 en el que planea instalar el rol de servidor WSUS con una cuenta que sea miembro del grupo de Administradores Locales.
- en Administrador del servidor, haga clic en Administrar y haga clic en Agregar Roles y características.
- En la página Antes de comenzar, haga clic en Siguiente.,
- en la página Seleccionar tipo de instalación, seleccione la opción Instalación basada en funciones o basada en funciones. Haga Clic En Siguiente.
en la página de selección del servidor, verifique el nombre del servidor y haga clic en Siguiente.,
las Funciones de Servidor de Windows Server Update Services
En la página funciones de Servidor, seleccione la función «Windows Server Update Services». Debería ver el cuadro Agregar características que son necesarias para los servicios de actualización de Windows Server. Haga clic en Agregar características y, a continuación, en Siguiente.,
en la página Seleccionar características, deje las opciones predeterminadas y haga clic en Siguiente.
en la página Servicios de actualización de Windows Server, haga clic en Siguiente.
tipo de base de datos WSUS – servicios de rol
debe seleccionar servicios de rol / tipo de base de datos para instalar para los servicios de actualización de Windows Server. Seleccione conectividad WID y servicios WSUS. Haga Clic En Siguiente.,
WSUS Ubicación del Contenido
Especifique una ubicación de contenido para almacenar las actualizaciones. Recomendaría almacenar las actualizaciones en otra unidad y no en su unidad C:. El tamaño de esta carpeta puede crecer eventualmente y no desea que esta carpeta resida en la unidad C:. Por lo tanto, elija una unidad separada o almacene las actualizaciones en el servidor remoto.
haga Clic en Siguiente.,
En la Función de Servidor Web (IIS), haga clic en Siguiente.
los servicios de rol para instalar el servidor web (IIS) se seleccionan automáticamente. No cambie nada aquí y haga clic en Siguiente.
Una confirmación final antes de instalar WSUS. Revise la configuración y haga clic en Instalar.
Una vez finalizada la instalación de WSUS, haga clic en iniciar tareas posteriores a la instalación.,
espere a que la configuración del mensaje se complete correctamente. Haga Clic En Cerrar.
configurar los servicios de actualización de Windows Server (WSUS)
después de instalar WSUS, puede configurar el servidor WSUS utilizando Asistente de configuración del servidor WSUS., Esta es una configuración de una sola vez donde configurará algunas opciones importantes de WSUS.
si no ve un asistente de configuración de servidor WSUS o si lo ha omitido por error, no se preocupe. Puede iniciarlo abriendo la consola WSUS > opciones > WSUS Server Configuration wizard.
Nota – Antes de empezar a configurar WSUS, algunos puntos importantes.
- asegúrese de que el firewall del servidor permita a los clientes acceder al servidor WSUS. Si los clientes tienen problemas para conectarse al servidor WSUS, las actualizaciones no se descargarán desde el servidor.,
- El WSUS descarga las actualizaciones desde el servidor upstream que es Microsoft update en nuestro caso. Así que asegúrese de que el firewall permite que el servidor WSUS se conecte a Microsoft Update.
- En caso de que haya un servidor proxy en su configuración, debe ingresar las credenciales para el servidor proxy mientras configura WSUS. Tenlos a mano, ya que se requieren.
en la página antes de comenzar, haga clic en Siguiente.
haga Clic en Siguiente.,
elija WSUS Upstream Server
Esta es una sección importante donde selecciona el servidor upstream. Tienes dos opciones.
- sincronizar desde Microsoft Update: Al seleccionar esta opción se descargarán las actualizaciones desde Microsoft update.
- sincronizar desde otro servidor de servicios de actualización de Windows Server: seleccione esta opción si desea que este servidor WSUS descargue actualizaciones desde el servidor WSUS ya existente. Debe especificar el nombre del servidor y el número de puerto (8530) de forma predeterminada., Si selecciona la opción de usar SSL durante la sincronización de actualizaciones, asegúrese de que el servidor WSUS de origen también esté configurado para admitir SSL.
dado que este será mi único servidor WSUS, seleccionaré sincronizar desde Microsoft Update. Haga Clic En Siguiente.
Servidor Proxy
Especifique la información del servidor Proxy si usted tiene uno. Si esta opción está seleccionada, asegúrese de especificar el nombre del servidor proxy y el número de Puerto., Además de eso, especifique las credenciales para conectarse al servidor proxy. Si desea habilitar la autenticación básica para el usuario que se conecta al servidor proxy, haga clic en Permitir autenticación básica (contraseña en texto claro).
haga Clic en Siguiente.
en la página conectar al servidor ascendente, haga clic en el botón Iniciar conexión.
Una vez que se haya completado, haga clic en Siguiente.,
elegir idiomas para las actualizaciones
en la página Elegir idiomas, tiene la opción de seleccionar los idiomas de las actualizaciones. Si elige descargar actualizaciones en todos los idiomas, encontrará actualizaciones con todos los idiomas en la consola de WSUS.
sin embargo, si elige Obtener actualizaciones solo para idiomas específicos, seleccione Descargar actualizaciones solo en estos idiomas. Seleccione los idiomas para los que desea actualizaciones.
haga Clic en Siguiente.,
elija productos
Esta es la página donde Selecciona los productos para los que desea las actualizaciones. Un producto es una edición específica de un sistema operativo o aplicación.
en la lista de productos puede seleccionar productos individuales o familias de productos para los que desea que su servidor sincronice las actualizaciones. En este caso, voy a seleccionar Windows Server 2019 y Windows 10 1903 como productos.
haga Clic en Siguiente.,
Elija Actualizar las Clasificaciones
En el comienzo del post he hecho una lista de los tipos de actualizaciones. En la página Elegir clasificaciones, seleccione las clasificaciones necesarias. He seleccionado las Actualizaciones Críticas, Actualizaciones de Seguridad y actualizaciones.
haga Clic en Siguiente.,
Configurar WSUS Programación de Sincronización
Usted debe decidir cómo desea realizar WSUS sincronización. La página Establecer programación de sincronización le permite seleccionar si desea realizar la sincronización de forma manual o automática.
si elige sincronizar manualmente, debe iniciar manualmente el proceso de sincronización desde la consola de administración de WSUS. Con esta opción seleccionada, usted tiene que realizar manualmente la sincronización cada vez., Por lo tanto, no seleccione esta opción si está configurando las WSUS en producción.
si elige sincronizar automáticamente, el servidor WSUS se sincronizará a intervalos establecidos. Puede establecer la hora de la primera sincronización. A continuación, establezca el número de sincronizaciones por día. En el menú desplegable puede elegir el valor entre 1-24.
haga Clic en Siguiente.
haga Clic en iniciar sincronización inicial. Haga Clic En Siguiente.,
Finalmente, en la última página, haga clic en Finalizar. Esto completa los pasos para configurar WSUS.
configurar la configuración de directiva de grupo para WSUS
después de instalar y configurar WSUS, la siguiente tarea importante es configurar la configuración de directiva de grupo para las actualizaciones automáticas. Los nuevos clientes todavía no saben sobre el nuevo servidor WSUS que acaba de configurar., Usando la directiva de grupo puede apuntar sus máquinas cliente al nuevo servidor WSUS.
en un entorno de active directory, puede usar la directiva de grupo Especificar el servidor WSUS. La configuración de la directiva de grupo se utilizará para obtener actualizaciones automáticas de los servicios de actualización de Windows Server (WSUS).
Puede crear la directiva de grupo y aplicarla a nivel de dominio. También puede crear y aplicar el GPO a una unidad organizativa específica (que contenga los equipos).
aunque hay muchas configuraciones de directiva de Windows Update, voy a configurar algunas de ellas., Para obtener una lista de todas las configuraciones de directiva de windows update, lea este artículo de Microsoft.
Configurar Actualizaciones automáticas WSUS
para configurar la configuración de la directiva de grupo de actualizaciones automáticas para WSUS
- abra la consola de administración de directivas de grupo y abra un GPO existente o cree uno nuevo.
- Vaya a Configuración del Equipo > Políticas de > Plantillas Administrativas > Componentes de Windows > Windows Update.
- haga doble clic en Configurar Actualizaciones automáticas y configúrelo en Habilitado.,
en Configurar actualización automática, seleccione la opción deseada. En programar día de instalación, seleccione el día en que desea que se instalen las actualizaciones. Establezca el tiempo de instalación programado.
en caso de que seleccione descarga automática y programe la instalación de actualizaciones, obtendrá algunas opciones para limitar la frecuencia de actualización. Si ha configurado la configuración, haga clic en Aplicar y aceptar.,
especificar la ubicación del servicio de Microsoft Update de Intranet
el siguiente ajuste que debe configurar es especificar una ubicación del servicio de Microsoft update de intranet. La idea detrás de esto es garantizar que los equipos cliente contacten con el servidor de intranet especificado en lugar de descargar actualizaciones de internet. A menos que configure esta configuración de directiva, los equipos cliente no conocerían el servidor de intranet.
para habilitar la directiva, haga clic en Habilitado., Especifique el servicio de actualización de intranet y el servidor de estadísticas de intranet. Haga clic en Aplicar y aceptar.
en el equipo cliente, compruebe el conjunto de directivas resultante para confirmar si se aplica el GPO de WSUS.
también puede verificar la ubicación del servicio de actualización de intranet en los equipos cliente mediante registry. En el equipo cliente, abra el Editor del registro y vaya a HKLM\SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate.,
compruebe los valores de WUServer y WUStatusServer y confirme si los valores coinciden con el que proporcionó en el GPO de WSUS.
Configurar grupos de equipos WSUS
al crear grupos de equipos, primero puede probar y dirigir actualizaciones a equipos específicos. Al abrir la consola WSUS, encontrará dos grupos de equipos predeterminados: todos los equipos y equipos no asignados.,
Puede crear grupos de equipos personalizados para administrar las actualizaciones en su organización. Según Microsoft, debe crear al menos un grupo de equipos en la consola de WSUS. Pruebe las actualizaciones antes de implementarlas en otros equipos de su organización.
para crear un nuevo grupo de equipos en la consola WSUS
en la consola de administración de WSUS, en servicios de Actualización, expanda el servidor WSUS. Expanda equipos, haga clic con el botón secundario en todos los equipos y, a continuación, haga clic en Agregar grupo de equipos.
en el cuadro de diálogo Agregar grupo de equipos, especifique el nombre del nuevo grupo y, a continuación, haga clic en Agregar.,
haga Clic en Todos los Equipos, y usted debería ver la lista de equipos. Seleccione los equipos, haga clic con el botón derecho y haga clic en Cambiar Membresía.
en el cuadro establecer pertenencia al grupo de Equipos, seleccione el nuevo grupo que acaba de crear. Haga clic en Aceptar.,
haga Clic en el nuevo grupo y usted debe encontrar a esos equipos.
aprobar e implementar actualizaciones en WSUS
Una vez que haya creado un grupo de equipos de prueba, su próxima tarea es implementar las actualizaciones en el grupo de prueba. Para hacerlo, primero debe aprobar e implementar las actualizaciones de WSUS.
para aprobar las actualizaciones en WSUS
- inicie la consola de administración de WSUS, haga clic en Actualizaciones > todas las actualizaciones.,
- en la sección Todas las actualizaciones, seleccione las actualizaciones que desea aprobar para su instalación en el grupo de equipos de prueba.
- haga clic con el botón secundario en las actualizaciones y haga clic en Aprobar.
sobre todo en el cuadro de diálogo Aprobar actualizaciones, seleccione su grupo de prueba y, a continuación, haga clic en la flecha hacia abajo. Haga clic en aprobado para la instalación. Usted también establece una fecha límite para instalar las actualizaciones. Haga clic en Aceptar.
aparece la ventana de progreso de aprobación, que muestra el progreso de las tareas que afectan la aprobación de la actualización., Cuando finalice el proceso de aprobación, haga clic en Cerrar.
configurar reglas de aprobación automática en WSUS
Si no desea aprobar manualmente las actualizaciones, puede configurar la regla de aprobación automática en los servicios de actualización de Windows Server.
Para configurar Aprobaciones automáticas en WSUS
- inicie la consola de administración de WSUS, expanda el servidor WSUS y, a continuación, haga clic en Opciones.
- En Opciones, haga clic en Aprobaciones automáticas.
- debe encontrar la regla de aprobación automática predeterminada y si lo desea puede editarla y usarla.,
- para crear una nueva regla de aprobación, haga clic en Nueva regla.
Marque la casilla Cuando una actualización está en una clasificación específica. Seleccione las clasificaciones. También puede aprobar la actualización para grupos de equipos. Voy a seleccionar Windows 10 ya que es mi grupo de equipos de prueba. Por último, puede establecer una fecha límite para la aprobación de la actualización y especificar el nombre de la regla de aprobación automática.
después de configurar la regla, haga clic en Aceptar.
en la ventana Aprobaciones automáticas, puede encontrar la regla que acaba de crear., Si desea ejecutar esta regla, haga clic en Ejecutar regla.
WSUS Informes
La última sección que quiero tratar es el WSUS informes. Al hacer clic en informes en la consola de WSUS, se muestra la lista de informes. WSUS viene con varios informes para ayudarlo a encontrar el estado de implementación de actualizaciones, informes de sincronización e informes de computadoras.
- informes de actualización: incluye resumen del Estado de las actualizaciones, estado detallado y tabular, estado tabular para las actualizaciones aprobadas.,
- informes de computadora: resumen del Estado de la computadora, estado detallado, estado Tabular y estado tabular de la computadora para actualizaciones aprobadas.
- informes de sincronización: muestra los resultados de la última sincronización.