Servidor de actualización de Windows en una red corporativa. Política de grupo WSUS para servidores Windows. Configuración de clientes WSUS mediante políticas de grupo

Servidor de actualización de Windows en una red corporativa. Política de grupo WSUS para servidores Windows. Configuración de clientes WSUS mediante políticas de grupo

Configurar actualizaciones automáticas para computadoras en grupos de trabajo

Para garantizar la seguridad y mantener su sistema operativo actualizado, es importante descargar e instalar periódicamente las últimas actualizaciones. La actualización se puede realizar desde cada computadora cliente desde el sitio web de Microsoft Update o de forma centralizada, utilizando el servidor de Windows Server Update Services (WSUS).

La mejor manera de configurar actualizaciones automáticas es utilizar la Política de grupo, pero esto sólo es posible si su organización tiene Active Directory. Si AD no está implementado en la organización y las computadoras están en grupos de trabajo, entonces las políticas de grupo de dominio desaparecen y puede configurar el cliente para usar WSUS a través de la política de grupo local o realizando cambios directamente en el registro del sistema de la computadora.

Preajuste

Primero necesitamos realizar algunas configuraciones en el servidor WSUS. Abrimos la consola de administración de WSUS y en el apartado “Equipos” creamos un nuevo grupo que incluirá nuestros equipos. Llamémoslo Grupo de Trabajo.

Habiendo creado el grupo, vamos a la pestaña “Opciones” y allí, en la sección “Computadoras”, le indicamos al servidor WSUS que coloque las computadoras en grupos de acuerdo con las políticas de grupo o la configuración del registro. De lo contrario, todas las computadoras nuevas caen automáticamente en el grupo Computadoras no asignadas.

Política de grupo

Ahora puede comenzar a configurar el cliente. Vamos a la computadora cliente, hacemos clic Ganar+R y reclutar un equipo gpedit.msc. Se abre el Editor de políticas informáticas locales. La sección Configuración de la computadora - Plantillas administrativas - Componentes de Windows - Windows Update es responsable de configurar las actualizaciones.

Necesitamos configurar las siguientes políticas:

Especificar la ubicación del servicio de actualización de Microsoft en la intranet— establezca la dirección o el nombre del servidor de actualización al que se conectará el cliente, así como la dirección del servidor de estadísticas. Puede especificar la misma dirección para ambas tareas.

Permitir que el cliente se una al grupo objetivo: especifique el nombre del grupo en el servidor WSUS al que se debe unir esta computadora. En nuestro caso se trata de Grupo de Trabajo.

Configurar actualizaciones automáticas— aquí configuramos el modo para descargar e instalar actualizaciones y el cronograma según el cual se instalarán las actualizaciones. Si no se especifica el horario, las actualizaciones se instalarán de forma predeterminada todos los días a las 3 a.m.

Frecuencia de búsqueda de actualización automática— indicar la frecuencia de las llamadas al servidor para buscar actualizaciones. Ahora las llamadas al servidor WSUS se producirán en un período de tiempo específico con una desviación aleatoria para verificar las actualizaciones permitidas para instalar.

Mover instalaciones de actualizaciones automáticas programadas— configuramos el tiempo de espera antes de instalar las actualizaciones si por algún motivo se omitió la instalación programada.

No reiniciar automáticamente si los usuarios han iniciado sesión— le damos al usuario la posibilidad de elegir el tiempo de reinicio después de instalar las actualizaciones. Si esta configuración no se especifica o se desactiva, se notifica al usuario y la computadora se reinicia automáticamente después de 5 minutos.

Registro

Ahora realizaremos la misma configuración editando el registro.

Ir a la sección de registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate. Si no hay ninguna sección, créala. En la sección creamos las siguientes claves:

″WUServer″=http://192.168.0.1— actualizar la dirección del servidor;
″WUStatusServer″=http://192.168.0.1— dirección del servidor de estadísticas;
— colocar el ordenador en el grupo objetivo;
″Grupo de destino″=″Grupo de trabajo″— el nombre del grupo objetivo del ordenador.

— la actualización automática está habilitada;
″AUOptions″=dword:00000004— descargar e instalar actualizaciones según un cronograma;
— instalar actualizaciones el primer día de la semana (domingo). Para la actualización diaria, debe establecer el valor en cero;
— instalar actualizaciones a las 03:00;
″UseWUServer″=dword:00000001— utilice el servidor WSUS para obtener actualizaciones. Si se establece en cero, la actualización se realiza con Microsoft Update;
— la frecuencia de verificación de actualizaciones está habilitada;
— buscar actualizaciones en el servidor cada 12 horas;
— reprogramar la instalación de actualizaciones perdida;
— iniciar la instalación perdida de actualizaciones 10 minutos después de encender la computadora;
- no reinicie la computadora automáticamente si los usuarios están trabajando en ella.

Automatización de ajustes

Si tiene más de una computadora para configurar, el proceso se puede automatizar. Para hacer esto, abra el Bloc de notas, cree un archivo de registro y agréguelo a las claves de registro necesarias. En nuestro caso, terminamos con el siguiente archivo:

Editor del Registro de Windows Versión 5.00


″WUServer″=″http://192.168.0.1″
″WUStatusServer″=″http://192.168.0.1″
″Grupo de destino habilitado″=dword:00000001
″Grupo de destino″=″Grupo de trabajo″


″NoAutoUpdate″=dword:00000000
″AUOptions″=dword:00000004
″Día de instalación programada″=dword:00000001
″Hora de instalación programada″=dword:00000003
″UseWUServer″=dword:00000001
″Frecuencia de detección habilitada″=dword:00000001
″Frecuencia de detección″=dword:00000012
″RescheduleWaitTimeEnabled″=dword:00000001
″ReprogramarTiempodeEspera″=dword:00000010
″NoAutoRebootWithLoggedOnUsers″=dword:00000001

Ahora, para configurar las actualizaciones automáticas, bastará con transferir este archivo al ordenador de destino y ejecutarlo.

Posibles problemas

Si después de la configuración las computadoras no aparecen en la consola WSUS, esto puede deberse a que las estaciones de trabajo se prepararon utilizando imágenes preparadas incorrectamente, es decir. sin utilizar la utilidad sysprep o programas similares. En este caso, la máquina puede tener valores duplicados de SusClientID en el registro.

Para resolver el problema, debe realizar las siguientes acciones en el cliente:

  • ejecutar comando en la consola cmd parada neta wuauserv detener el servicio de actualización automática;
  • ejecute regedit y vaya a la rama de registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate;
  • eliminar las claves PingID, AccountDomainSid, SusClientId, SusClientIDValidation (si corresponde);
  • elimine todo el contenido de la carpeta %WinDir%\SoftwareDistribution (recomendación no oficial);
  • ejecuta el comando en la consola inicio neto wuauserv iniciar el servicio de actualización automática;
  • ejecuta el comando en la consola wuauclt.exe /resetauthorization /detectnow y espere hasta que se complete el registro de la estación de trabajo en el servidor WSUS (10-15 minutos);
  • si la computadora no aparece en la consola, ejecute el comando wuauclt.exe /detectar ahora. Por lo general, una repetición es suficiente, pero es posible que se requieran más;
  • Vaya a la consola de administración de WSUS y asegúrese de que la estación de trabajo se haya registrado correctamente.

Servicios de actualización de Windows Server (WSUS) - servidor de actualización para sistemas operativos y productos de Microsoft. Una consola muy útil si en la oficina hay más de 10 ordenadores. Es útil porque le permite "distribuir" actualizaciones desde UN servidor a todas las computadoras de la red, es decir, no todas las computadoras individuales tienen que descargar el canal de Internet, pero un servidor descarga las actualizaciones y las "distribuye" a través de la red para todas las estaciones de trabajo y servidores.

Inicialmente, en Windows 2003, era necesario descargar la distribución WSUS del sitio web de Microsoft, con la llegada de Ms Windows 2008 y Ms y Windows 2008 R 2, esta necesidad desapareció, porque Ha aparecido la función WSUS, aunque puedes descargar el kit de distribución desde el sitio web de Microsoft a la antigua usanza.

Para realizar la instalación es necesario cumplir con los requisitos mínimos, a saber:
Sistema operativo: Windows Server 2003 SP1 y superior.
Roles de servidor adicionales: IIS 6.0 y superior (para Windows Server 2008, al agregar un rol, se le pedirá que lo instale)
Actualizaciones adicionales del sistema operativo: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.
Programas adicionales: Microsoft Report Viewer, SQL Server 2005 SP1 (WSUS puede instalar el servicio de base de datos interna de Windows).
Es necesario tener en cuenta el espacio en tu disco duro; yo recomendaría un mínimo de 100 GB, dependiendo de la configuración que tengas en WSUS.
Entonces, no importa de qué manera instales (usando una distribución o agregando un rol), los pasos serán los mismos.

Después de que comience la instalación, debe hacer clic en Siguiente varias veces. Me centraré en los pasos principales:
Indicamos dónde se almacenarán las actualizaciones (disco con al menos 100 GB de espacio libre)

Especifique la carpeta donde se almacenará la base de datos de actualización (2-4 GB de espacio libre).

Un paso muy importante es elegir el puerto en el que se distribuirá la actualización; por defecto se utiliza el puerto 80, pero no recomiendo su uso, porque Este puerto suele ser utilizado por otras aplicaciones. Es mejor crear un sitio web de servicio WSUS y utilizar el puerto 8530.

Después de instalar el servicio Wsus, debes configurarlo correctamente nuevamente, veamos los pasos básicos:
Elegimos de dónde obtendremos las actualizaciones, si este es el primer servidor con Wsus, luego seleccionamos sincronización desde el Centro de actualizaciones de Microsoft.

Los idiomas que elijas deben ser inglés (obligatorio) + aquellos idiomas que se encuentren en tu red.

Seleccionamos los productos que se actualizarán (debes indicar solo aquellos que utilizas, de lo contrario las actualizaciones sin sentido ocuparán espacio en tu disco duro).

Seleccione las clases de productos que se actualizarán.

La configuración básica está completa, pasemos a configuraciones adicionales, configurando la consola WSUS directamente. Para mayor comodidad, recomendaría crear 2 grupos de computadoras, un grupo tendrá servidores y el otro tendrá estaciones de trabajo (esto se hace para que usted). puede limitar la instalación de actualizaciones para servidores).

Inicialmente, todas las computadoras estarán ubicadas en Computadoras no asignadas, entonces deberá mover manualmente las computadoras a los grupos requeridos. Para estaciones de trabajo, recomiendo instalar todas las actualizaciones; para ello, vaya a “; Opciones: aprobaciones automáticas" y haz la siguiente regla.

Y para los servidores, establecemos una regla para aprobar solo las actualizaciones críticas (para los servidores, no se recomienda instalar todas las actualizaciones, ya que esto puede causar interrupciones en su funcionamiento, me he encontrado con esto varias veces).

Ahora es necesario realizar cambios en todas las computadoras de la red para que sepan de dónde “obtener” las actualizaciones. Esto se hace mediante políticas de grupo. Vaya al controlador de dominio " Inicio - Herramientas administrativas - Gestión de políticas de grupo" Seleccione la política que opera en el dominio (Política de grupo predeterminada de forma predeterminada) o cree una nueva. Haga clic derecho y seleccione " Cambiar" En la ventana " Editor de administración de políticas de grupo"vamos" Configuración del equipo – Políticas – Plantillas administrativas – Componentes de Windows – Actualización de Windows" A continuación se muestran configuraciones listas para usar y probadas. Donde está la línea roja, ingrese el nombre o la dirección IP de su servidor en el que está instalado WSUS.

en ruso:

Si dentro de la infraestructura existen estaciones de trabajo que no forman parte del dominio (por ejemplo, estaciones de trabajo móviles), pero es necesario el servicio de actualización para estas estaciones de trabajo, entonces es posible especificar este servicio en " Política de seguridad local».
En la línea de comando, escriba gpedit.msc y realice las mismas operaciones que se describieron anteriormente para la política de grupo en el dominio.
Unos minutos después de todos los procedimientos, los equipos de la red comenzarán a aparecer en la consola de Wsus en el grupo Equipos no asignados. Según su sistema operativo, los mueves al grupo deseado (Servidor o Grupo de Trabajo). Permítanme recordarles que, según nuestra configuración, todas las actualizaciones se instalarán en las computadoras que estén en el grupo Grupo de trabajo, solo las críticas para los servidores.

Para reducir el tráfico en redes distribuidas geográficamente de grandes empresas, se recomienda utilizar el script de instalación del servidor de actualización. wsus con soporte para servidores esclavos primarios y múltiples. Este escenario le permite reducir significativamente la carga en los canales de transmisión de datos y utilizar un punto centralizado para administrar actualizaciones e informes.

Arquitectura de la solución

Existe una oficina central y varios sitios distribuidos geográficamente interconectados por canales privados virtuales (VPN). El sitio A es el sitio central que descarga actualizaciones y las distribuye a sitios subordinados (sitio B, sitio C). Los servidores esclavos envían toda la información sobre el estado de sus clientes al sitio central. Utilizaremos un servidor MS SQL dedicado como servidor de base de datos.

Implementación

Nos desplegaremos en el territorio de la oficina central. Servidor Windows 2012 R2 con el papel Servicio de actualización de Windows Server(WSUS), para esto debe seleccionar la instalación en el Administrador del servidor roles y componentes.

Tipo de instalación: instalación de roles o componentes.

Seleccionemos un servidor local en el que implementemos la función del servidor WSUS.

Marque la casilla junto al servicio Servicio de actualización de Windows Server.

Agreguemos los componentes necesarios.

En la etapa de selección de componentes es necesario rechazar desde la instalación Base de datos interna de Windows.

Quitemos los componentes.

En la captura de pantalla siguiente, vemos que el componente base de datos interna de windows no se instalará. Hacer clic Próximo.

La pantalla Servicios de rol ofrece dos bases de datos para elegir. Uno de ellos es la base de datos y la base de datos WID. La base de datos WID no es más que Base de datos interna de Windows es una variante de SQL Server Express 2005 incluida con Windows Server 2008 y también con algunos otros productos gratuitos de Microsoft. Dado que, según nuestra arquitectura, planeamos utilizar una base de datos externa, elegiremos Base de datos.

Le indicaremos la ruta a la carpeta en la que almacenaremos las actualizaciones y parches descargados.

en el escenario instancia de base de datos especifique la dirección del servidor SQL y presione el botón verificación de conexión.

Si la verificación se completa con éxito, esto se indicará con el mensaje La conexión al servidor fue exitosa, puedes continuar Próximo.

Configuraciones adicionales o instalación de componentes de servicio de rol servidor web no lo requiere, así que simplemente haga clic Próximo.

Disfrutemos el proceso de instalación...

Luego presione el botón Cerca.

Y pasemos a configuración primario actualizar servidor. Para hacer esto, abra las herramientas y seleccione de la lista desplegable Servicio de actualización de Windows Server.

Para completar la instalación, debe especificar la instancia de la base de datos y la ruta al directorio de actualización.

Una vez que se completen las tareas posteriores a la instalación, se abrirá el asistente. Configuración de los servicios de actualización de Windows Server. El proceso de configuración detallado se describe en, pero estamos interesados ​​en configurar servidores esclavos.

Configurar un servidor esclavo

Para conectar el servidor esclavo wsus al servidor primario, debe ejecutar el Asistente de configuración del servidor y en el asistente, en la sección seleccionar un servidor ascendente especifique el nombre del servidor principal. Según la recomendación de Microsoft, especifique utilizar SSL durante la sincronización y tenga en cuenta que este servidor es una réplica.

Como resultado de esta configuración, los parámetros adicionales del asistente quedarán inactivos y toda la administración de actualizaciones y grupos de computadoras se trasladará a un servidor de nivel superior. Hagamos un procedimiento similar para los servidores esclavos restantes.

Inicie la sincronización de datos, después de lo cual todos los datos se descargarán al servidor esclavo. actualizaciones aprobadas por el servidor ascendente, así como grupos de computadoras.

En pocas palabras

En un escenario en el que utiliza un servidor ascendente y varios servidores descendentes, todas las acciones para aprobar actualizaciones, revocarlas y crear grupos de computadoras se llevan a cabo en el servidor ascendente, lo que reduce significativamente el tiempo de mantenimiento. servidores WSUS. También obtienes una gestión centralizada de actualizaciones e informes, ya que los servidores subordinados envían todos los datos al servidor superior.

La instalación de actualizaciones y parches es una parte muy importante de la seguridad. Para todos los profesionales de la seguridad de la información, monitorear, analizar y remediar las vulnerabilidades del software es una necesidad fundamental. Microsoft ofrece la oportunidad gratuita de utilizar el servicio de actualización de sus productos de software durante todo el período de soporte del producto de software. Las actualizaciones necesarias están disponibles a través de Internet para todos los usuarios de productos de software.

La aplicación de actualizaciones a un entorno empresarial requiere controles adicionales. Microsoft ofrece el uso de un potente producto gratuito, Windows Server Update Services (WSUS), en un entorno corporativo, que le permite ahorrar tráfico en Internet y administrar de forma centralizada las actualizaciones para servidores y estaciones de trabajo.

Este artículo revisará la experiencia de instalar y mantener WSUS en un entorno corporativo, lo que permitirá a los principiantes evitar una serie de trampas.

Instalación de WSUS

Dentro del sistema operativo Windows Server 2008, existe una función de servidor de Windows Server Update Services (Fig. 1).

Para Windows Server 2003, los siguientes requisitos del sistema para instalar WSUS 3.0 SP1:

    Sistema operativo: Windows Server 2003 SP1 y superior.

    Roles de servidor adicionales: IIS 6.0 y superior

    Actualizaciones adicionales del sistema operativo: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.

    Programas adicionales: Microsoft Report Viewer, SQL Server 2005 SP1 (WSUS puede instalar el servicio de base de datos interna de Windows).

A pesar de que el servicio prácticamente no exige procesador ni RAM, requiere una buena cantidad de espacio en disco. Preferiblemente 40 GB o más. En última instancia, la cantidad de espacio en disco consumido dependerá de la cantidad de productos que deben actualizarse y de la cantidad de actualizaciones de infraestructura necesarias.

Si durante la instalación el servidor no cumple con los requisitos del sistema, aparecerá una ventana de advertencia que describirá lo que se debe instalar (Fig. 2).

Configurar un servidor WSUS

Para el funcionamiento normal del servidor, debe especificar una serie de parámetros que se realizan mediante el "Asistente de configuración de Windows Server Update Services".

En la ventana "Seleccionar un servidor ascendente", debe seleccionar la opción "Sincronizar con Microsoft Update" (Fig. 3).

Al aplicar un servidor proxy a un entorno corporativo, en la ventana "Configuración del servidor proxy", debe especificar la dirección IP, el número de puerto y los parámetros de autenticación en el servidor proxy (Fig. 4).

En la ventana “Seleccionar idiomas”, debes seleccionar la opción “Descargar actualizaciones solo en los siguientes idiomas” asegúrate de seleccionar “Inglés”. La elección de otros idiomas debe realizarse en función de los sistemas instalados en la empresa, normalmente también añaden “ruso” (Fig. 5). No es necesario seleccionar "Descargar actualizaciones en todos los idiomas, incluidos los nuevos", ya que esto aumentará la cantidad de actualizaciones almacenadas en el espacio del disco.

En la ventana Seleccionar Productos, debe seleccionar los productos instalados dentro de su entorno corporativo. ¡ATENCIÓN! Nunca instale todos los productos, ya que esto puede hacer que el tamaño de las actualizaciones almacenadas aumente y no se utilicen. Es necesario seleccionar metódica y consistentemente solo aquellos productos que se utilizan dentro del entorno corporativo (Fig. 6).

En la ventana "Seleccionar clases", debe especificar solo aquellas clases que requieren actualizaciones. Dado que especificar clases adicionales aumenta significativamente el tamaño de las actualizaciones almacenadas (Fig. 7).

En la ventana "Configuración del programa de sincronización", debe seleccionar la hora de sincronización (Fig. 8). La sincronización de WSUS no implica la descarga de actualizaciones. En este caso, la sincronización sólo actualizará la información del servidor de Microsoft Update."

Después de la primera sincronización, debe abrir la consola WSUS y seleccionar "Opciones". En “Opciones” abra el elemento “Archivos e idiomas de actualización” (Fig. 9)

En la pestaña "Actualizar archivos" de la ventana "Actualizar archivos e idiomas", debe especificar cómo se almacenarán los archivos de actualización. Como queremos reducir el tamaño del tráfico de Internet, debemos seleccionar “Almacenar archivos de actualización localmente en este servidor” y ¡OBLIGATORIO! seleccione los elementos "cargar archivos de actualización al servidor solo después de que se apruebe la actualización" y "cargar archivos de instalación rápida" (Fig. 10). El elemento "Cargar archivos de actualización al servidor solo después de que se apruebe la actualización" es necesario, ya que de forma predeterminada el servidor descargará TODAS las actualizaciones que considere necesarias para los productos seleccionados. Sin embargo, dado que con el tiempo se acumulan muchas actualizaciones en el Service Pack, lo más probable es que no sean necesarias y ocupen espacio en el disco.

Después de realizar todas las configuraciones, debe agregar computadoras al servicio WSUS.

Agregar computadoras a WSUS

Si tiene un dominio, solo necesita registrar el servicio WSUS en su política de grupo y seleccionar las reglas de actualización de la computadora.

Esto se hace de la siguiente manera " Inicio - Herramientas administrativas - Gestión de políticas de grupo" Seleccione la política que sea válida en el dominio (Política de grupo predeterminada de forma predeterminada). Haga clic derecho y seleccione "Editar".

En la ventana "Editor de administración de políticas de grupo", vaya a " Configuración del equipo – Políticas – Plantillas administrativas – Componentes de Windows – Actualización de Windows" Seleccione el elemento "Especificar la ubicación del servicio de actualización en la Intranet" (Fig. 11)

En la ventana "Propiedades: Especifique la ubicación del servicio de actualización en la Intranet", especifique el parámetro "Habilitado" y en la línea "Especifique el servicio de actualización en la intranet para buscar actualizaciones" ingrese una línea como: http:// [ Dirección IP o nombre DNS del servidor de actualización en la red]. Copie la dirección en la ventana "Especificar el servidor de estadísticas en la intranet" (Fig. 12). Dentro del Editor de políticas de grupo, hay sugerencias en la ventana de explicación (Figura 12).

También necesita definir una política de actualización. Esto se hace a través del elemento "Configuración de actualizaciones automáticas" (Fig. 13)

En la ventana "Propiedades: Configuración de actualizaciones automáticas", especifique la opción "Habilitado" y los parámetros "Configuración de actualizaciones automáticas", "Instalación programada - día", "Instalación programada - hora". En la ventana "Explicación" hay una descripción de todos los parámetros para los servidores y es recomendable configurar el parámetro "2 - notificaciones sobre descarga e instalación", que permitirá a los administradores elegir cuándo se instalan las actualizaciones en los servidores (Fig. 14 ).

Si dentro de la infraestructura existen estaciones de trabajo que no forman parte del dominio (por ejemplo, estaciones de trabajo móviles), pero es necesario el servicio de actualización para estas estaciones de trabajo, entonces es posible especificar este servicio en la “Política de Seguridad Local”.

En la línea de comando, escriba gpedit.msc y realice las mismas operaciones que se describieron anteriormente para la política de grupo en el dominio.

Después de un tiempo, la computadora aparecerá en el cuadro " Computadoras – Todas las computadoras – Computadoras no asignadas"en "Condición: Cualquiera" (Fig. 15).

Gestión de actualizaciones

Para ver y aprobar las actualizaciones necesarias, debe seleccionar los siguientes elementos de filtro en “Actualizaciones – Todas las actualizaciones”: “Aprobación: No aprobada” y Estado: Requerido” y hacer clic en “Actualizar” (Fig. 16). ¡ATENCIÓN! Para verificar las actualizaciones necesarias, asegúrese siempre de que la configuración del filtro esté configurada en "Aprobación: No aprobada" y Estado: Requerido; de lo contrario, corre el riesgo de descargar actualizaciones que no necesita o de no descargarlas en absoluto. Si el filtro en "Aprobación: No aprobado" y Estado: Configuración requerida muestra un campo vacío, entonces todas las actualizaciones necesarias para las computadoras ya han sido aprobadas y están en el servidor.

Después de la aprobación, las actualizaciones aparecerán en la computadora después de un tiempo de acuerdo con las reglas configuradas en la política de seguridad.

Muy a menudo es necesario forzar a la computadora a buscar actualizaciones en el servidor de actualizaciones. Hay un programa para esto. wuauclt.exe, que se inicia a través de la línea de comando. Para buscar actualizaciones, debes ejecutarlo con la clave. /detectar ahora (wuauclt.exe /detectar ahora). Para enviar un informe de estado (muy a menudo necesario cuando se conecta al servidor de actualización por primera vez), debe ejecutar con la clave /informe ahora (wuauclt.exe /reportnow).

Caballeros, ¡buena suerte con sus actualizaciones!

Vasíliev Denis

Todo administrador comprende la importancia de las actualizaciones oportunas, especialmente cuando se trata de actualizaciones de seguridad críticas. Sin embargo, con el crecimiento de la red y el aumento del número de productos de software, esto se convierte en una tarea muy difícil. Entonces es hora de implementar WSUS ( Servicios de actualización de Windows Server) - servidor de actualización local en su red.

Con esto matarás varios pájaros de un tiro: reducirás significativamente la carga del canal y el tráfico de Internet consumido, y también tendrás en tus manos una poderosa herramienta para monitorear y administrar el proceso de actualización. De ahora en adelante, todas las PC locales se actualizarán desde su servidor e instalarán solo las actualizaciones que seleccione.

Empecemos. Antes de instalar WSUS, debes preparar el servidor, usaremos Windows Server 2008 R2, sin embargo, con modificaciones menores, todo lo dicho será válido para otras versiones de Windows Server. Lo que necesitamos:

  • IIS 6 o superior
  • .NET Framework 2.0 o superior,
  • Visor de informes redistribuible 2008,
  • SQL Server 2005 SP2 Express o superior.

WSUS puede almacenar actualizaciones en su propia base de datos o utilizar un servidor SQL, esto último es preferible desde el punto de vista del rendimiento. Si ya tiene un servidor SQL implementado en su red, puede usarlo; de lo contrario, el SQL Express gratuito es bastante adecuado.

Puede obtener todos los componentes necesarios en el sitio web de Microsoft:

Al descargar, preste atención a la profundidad de bits; para un sistema operativo de 64 bits, descargamos versiones de productos de 64 bits.

Mientras la descarga está en progreso, agreguemos roles de servidor. necesitaremos Servidor web (IIS) Y Servidor de aplicaciones(En versiones anteriores de Windows Server, instale .NET Framework). El servidor de aplicaciones se instala con valores predeterminados y se deben agregar las siguientes opciones al servidor web:

  • ASP.NET
  • Windows - Autenticación
  • Compresión de contenido dinámico
  • Compatibilidad de gestión de IIS6

Habiendo agregado los roles necesarios, instalaremos Report Viewer y SQL Server con los parámetros predeterminados. Todo está listo, puedes instalar WSUS.

Habiendo iniciado el instalador, seleccione la instalación del servidor y la consola de administración, y la carpeta de instalación. En los parámetros de la base de datos indicamos nuestro servidor SQL. El resto de la configuración se puede dejar como predeterminada.

Inmediatamente después de la instalación, se iniciará el Asistente de configuración inicial. Todas las opciones son bastante simples y claras. En la configuración de sincronización indicamos desde dónde recibirá las actualizaciones nuestro servidor: desde un servidor de Microsoft o desde otro servidor WSUS. Se debe utilizar la última opción si necesita implementar un servidor de actualización adicional, por ejemplo, para una sucursal. En este caso, el servidor esclavo sólo recibirá las actualizaciones que usted apruebe.

En la siguiente pestaña, si es necesario, especifique los parámetros del servidor proxy y realice la conexión inicial. Se descargará información del servidor ascendente: listas de productos, tipos de actualizaciones, etc.

A la hora de elegir productos, no seas codicioso; indica sólo lo que realmente necesitas; luego siempre podrás cambiar esta lista.

En la página siguiente, indique qué clases de actualizaciones le gustaría recibir; todo depende de la política de actualización de su empresa. Debe recordarse que no se recomienda implementar automáticamente las actualizaciones de controladores y los nuevos paquetes de funciones sin realizar pruebas previas. Si no tiene la oportunidad de hacer esto, no es necesario que especifique estas clases.

No olvide establecer también un cronograma para la sincronización con el servidor ascendente. Esto completa la configuración inicial.

Una vez que abra la consola (disponible en el menú Administración), el primer paso es ejecutar la sincronización manual para descargar todas las actualizaciones disponibles actualmente para los productos seleccionados. Dependiendo de qué y cuánto haya elegido durante la configuración, así como de la velocidad de su conexión, esto puede llevar mucho tiempo.

Mientras se realiza la sincronización, configuremos las PC cliente. Si tiene implementado Active Directory, esto se puede hacer mediante políticas de grupo. Abierto Gestión de políticas de grupo, seleccione el objeto requerido y haga clic derecho Cambiar. En la ventana que se abre, seleccione Configuración del equipo - Políticas - Plantillas administrativas - Windows Update. Nos interesa el parámetro Especificar la ubicación del servicio de actualización de Microsoft en la intranet. Lo movemos a posición Incluido e indicar la ruta a nuestro servidor WSUS en el formulario http:\\SERVIDOR_NOMBRE.

También recomendamos configurar la opción Configurar actualizaciones automáticas, que replica completamente la misma configuración en las PC cliente. Después de un tiempo necesario para actualizar las políticas de grupo, las computadoras de su red comenzarán a conectarse al servidor y recibir actualizaciones.

Si su red tiene una estructura de igual a igual, deberá configurar cada PC individualmente. Esto se hace a través de Editor de políticas de grupo local(Inicio - Ejecutar - gpedit.msc), el proceso de configuración en sí es completamente similar al descrito anteriormente.

Puedes controlar la cantidad de PC y su estado en la sección Computadoras consola de administración.

Hay suficiente información para evaluar rápidamente la situación general y prestar atención a las áreas problemáticas. Las cruces rojas indican que se produjeron errores de actualización en estas PC; cada caso debe tratarse por separado. Para cada actualización, se genera un informe detallado que contiene todos los datos necesarios para analizar el problema.

También recomendamos dividir tu PC en grupos; para cada grupo puedes asignar tu propia política de actualización. Por lo tanto, puede asignar servidores a un grupo separado para el cual solo se instalan automáticamente las actualizaciones de seguridad críticas.

Ahora llegamos a otra configuración importante del servidor: la aprobación automática. Las PC cliente solo pueden recibir actualizaciones aprobadas, pero hacer todo manualmente cada vez no es realista, por lo que algunas actualizaciones pueden aprobarse automáticamente. abramos Opciones: aprobaciones automáticas y active la política que ya existe, que le permite instalar automáticamente actualizaciones críticas y de seguridad.

Aquí puedes crear tus propias reglas y asignarlas a cualquier grupo de PC. Por ejemplo, creamos una regla: aprobar automáticamente todas las actualizaciones de MS Office para el grupo Estaciones de trabajo.

Puede ver todas las actualizaciones disponibles en la sección Actualizaciones y aquí puede aprobarlas manualmente. Recomendamos tener una o más PC de prueba (posiblemente virtuales) y probar actualizaciones y nuevos paquetes de funciones en ellas, y solo después de eso aprobar las actualizaciones para su instalación. Puede aprobar actualizaciones tanto para todas las PC como para un grupo. Como ejemplo, aprobamos la instalación del paquete Silverlight para el grupo Estaciones de trabajo;

Como parte del mantenimiento del servidor, conviene limpiarlo de vez en cuando (aproximadamente una vez al mes). Esto le permitirá evitar aumentar excesivamente el tamaño de la base de datos eliminando actualizaciones no reclamadas, que ya no son necesarias y no aprobadas.

Con esta nota, terminaremos nuestra historia; el material de este artículo le permitirá implementar y realizar configuraciones básicas para el servidor de actualización rápidamente. Debería poder realizar fácilmente la tarea de ajuste usted mismo.

  • Etiquetas:

Por favor habilite JavaScript para ver el

Popular en la categoría:
Cómo combinar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
leer
Transferir contactos a un nuevo teléfono Android
Transferir contactos a un nuevo teléfono Android
leer
Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
leer
Características clave de Kaspersky Rescue Disk
Características clave de Kaspersky Rescue Disk
leer

Últimos artículos
MacBook no se conecta a wifi MacBook no ve...
leer
Cómo ganar dinero con WebMoney
leer
Tableta "Supra": opiniones de clientes
leer
Ubicaciones de barcos en tiempo real
leer
Los mejores programas para Android Grabar llamadas desde...
leer
Eliminar a los no seguidores en Twitter
leer
Conexión a Internet en una computadora portátil: todo lo posible...
leer
Samsung Galaxy S IV es el nuevo buque insignia...
leer
Arriba