WSUS en windows Server 2012 (1 de 3) Instalación

Buenas tardes,

Comenzamos hoy una serie de tres artículos en las que hablaremos sobre el servicio WSUS
(Windows Server Update services), aunque en esta serie realizaremos el depliegue sobre
Windows server 2012 es importante mencionar que la mayoría de las configuraciones son
también aplicables a Windows Server 2008 R2.

Primero que todo, me gustaría hacer una introducción y definiciónd del Servicio WSUS. Wsus
es el role de Windows server que nos permite gestionar las actualizaciones de todos los
productos Microsoft para los equipos de nuestra red, por definirlo un poquito mejor con
palabras que todo el mundo entiende, podemos decir que Wsus es el equivalente a Windows
update para gestionado por nosotros y dedicados únicamente a parchear nuestro entorno.

Igualmente antes de explicar el proceso de instalación, me gustaría comentar brevemente el

contenido que que publicare en cada una de las 3 entradas de esta serie:
– Entrada 1 (Instalación): Veremos el proceso de instalación de WSUS
– Entrada 2 (Configuración del Servidor): Con el servicio desplegado configuraremos el servidor
usando la consola de WSUS
– Entrada 3 (Configuración de los clientes mediante GPOS): Mostraremos como configurar los
clientes de manera centralizada mediante gpos para ser actualizados por el servidor WSUS.

Una vez hecha esta pequeña intro, paso a detallar el proceso de actualización:

1- Desde el server manager de nuestro Windows server 2012 inciamos el asistente para
agregar roles.

2- Seleccionamos el role de Windows server update services, el propio wizard nos pedirá
confirmación para instalar el resto de componentes requeridos como puede ser iis
3- El wizard nos solicitara indicar que componentes de wsus queremos instalar puesto que
podemos alojar la base de datos el propio servidor en formato wid (formato dedicado a wsus)
o un servidor sql como será nuestro, además mi recomendación será siempre instalar wsus
sobre sql puesto que es mas robusto y nos da juego para consultar información en la BD si lo
necesitamos en algún momento.
4- Indicamos si queremos descargar las actualizaciones desde de Windows update en el
momento en el que se aprueben, igualmente indicamos el path en el que se almacenaran. Es
muy recomendable descargar la actualizaciones al servidor y desde el servidor a los clientes
para evitar que los clientes descarguen las actualizaciones de Windows update. Necesitaremos
50 Gb libres para almacenar las actualizaciones.

5-Especificamos el nombre\instancia del servidor sql que almacenara la bd

6- Seguimos el resto de pasos del wizard dejando las opciones por defecto.
WSUS en windows Server 2012 (2 de 3) Configuración:

Para ello seguiremos las siguientes instrucciones:

1- Abrimos la consola de Wsus desde el server manager

2 – Accedemos al apartado de opciones y vamos configurando las mismas, en este apartado
solo mencionaremos las opciones que son necesarias definir en la configuración inicial:

2- Update Sourde and proxy server: Definimos si queremos descargar las actualizaciones
desde Windows update o desde otro servidor de WSUS y los parámetros del proxy en
el caso de usemos un servidor proxy para salir a internet. Es importante mencionar
que es necesario instalar el kb462301 para poder descargar mediante proxys que
requieren autenticación.

3- Product and classifications: Nos permite seleccionar los software (únicamente

Microsoft) para los que gestionaremos las actualizaciones así como las severidades de
los parches gestionar. Mi recomendación es seleccionar todo para parchear el máximo
posible.
4- Update Files and update lenguages: Nos permite definir definir si queremos almacenar
las actualizaciones en nuestro servidor wsus o dejarlas en Windows updates y en que
momento descargarlas, igualmente nos permitirá definir los idiomas de las updates a
gestionar.
6- Synchronization Schedule: Nos permite definir si descargaremos las actualizaciones de
manera manual o automática y a que horas.
7- Automatic approvals: Nos permite definir si las actualizaciones descargadas serán aprobadas
automáticamente al publicarse en Windows update o por el contrario requieren la aprobación
de un administrador. Yo recomendaría al 100% la segunda y leernos los kbs de las
actualizaciones que publica Microsoft antes de actualizar nada.
8- Computers: Nos permite definir si usamos grupos de wsus o grupos definidos por gpos para
gestionar las actualizaciones de los equipos. En este caso a mi me gusta más la primera porque
permite controlar mejor las excepciones de aquellos equipo que por una razón u otra no
pueden parchearse.
9- Email Notifications: Nos permite definir nuestro servidor de correo mediante el cual se
enviaran reportes de manera peridica tanto de la sincronización de updates con Microsoft
como del estado de salud de los equipos gestionando.
WSUS en windows Server 2012 (3 de 3) Configuración de lo clientes mediante GPOs

Finalizamos esta serie de tres artículos con el procedimiento para configurar los clientes de
WSUS mediante directivas de grupos (Gps) consiguiendo de esta manera hacer toda la
configuración en el controlador de dominio sin necesidad de interactuar de manera manual
con cada cliente.

Para realizar esta configuración realizamos los siguientes pasos:

1- Abrimos la GPMC (Group policy mananegement console en cualquier controlador de

dominio)

2- Hacemos clic con el botón derecha en la Ou en la que se encuentran nuestros clientes y

seleccionamos la opción “Create a GPO in this domain, and link it here”

3- Elegimos un nombre para la Gpo y hacemos click en ok

4- Una vez creada la gpo, pinchamos con el botón derecho sobre la misma y hacemos click en
edit

5- Nos vemos hasta el path Computer Configuration – Administrative templates – Windows

Components – Windows update
6- Dentro de esta carpeta, actualizaremos la configuración de wsus que se aplicará en nustro
clientes, aunque se pueden configurar algu opción más, en este artículo me centraré en las
que yo considero necesarias que son las siguientes:
– Configure Automatic update: Nos permite definir a que hora instalaran los clientes las
actualizaciones y con que periodicidad la disponibilidad de actualizaciones y como se
instalaran las mimas.
– Specify Intranet Microsoft update service location: Aquí configuraremos el nombre o la ip del
servidor wsus al que se conectarán los clientes.
– Automatic update detection frequency: Nos permite definir con que frecuencia los clientes
harán una comprobación de actualizaciones disponibles, yo recomiendo dejarlo por defecto
(22 horas).
– Allow non-administrators to recibe update notifications: en este caso recomiendo habilitar
esta funcionalidad para que todos los usuarios conozcan la existencia de actualizaciones con
independencia de tener permisos administrativos en la máquina.
– Allow Automatic Updates immediate installation: Nos permite definir si instalamos las
actualizaciones justo después de descargarlas o establecemos un retardo después de
descargarlos.
– No auto-restart with logged on users for scheduled automatic update installations: Esta
configuración nos permite definir si reiniciamos o no el equipo después de instalar
actualizaciones cuando hay usuarios logados en el mismo.
– Delay restart for scheduled installations: Nos permite definir un retardo para reiniciar el
equipo tras instalar actualizaciones. Si esta política no se define, el tiempo por defecto para
reiniciar son 15 minutos.
– Enable client-side targeting: Como ya comente en los artículos anteriores, mes gusta
deshabilitar esta configuración y categorizar los clientes por grupos en la propia consola de
WSUS.