Seguimos con la segunda parte sobre WSUS (Windows Server Update Services), en esta entrada vamos a ver como crear una política en el dominio para aplicar a los equipos clientes, si no has empezado esta serie de entradas, puedes ver la primera parte.
Crear política para equipos clientes
1. Abrimos “Administración de directivas de grupo”, en “Herramientas”.
2. En mi caso, tengo creada una unidad organizativa dentro de «Usuarios y equipos del Active directory» para ubicar todos los equipos clientes del dominio, «Click derecho» y «Crear una GPO en este dominio y vincularlo aquí», ponemos un nombre y aceptamos.
3. Vamos a editar la política para configurarla correctamente, «Click derecho» sobre ella y «Editar»
4. Ahora en «Configuración del equipo» –> «Directivas» –> «Plantillas administrativas» –> «Componentes de Windows» –> «Windows Update» se encuentran las 5 directivas básicas que tendremos que modificar, modificad las demás en función de vuestras necesidades.
5.1 Directiva “Configurar Actualizaciones automáticas”
Esta directiva nos permite descargar automáticamente las actualizaciones que estén disponibles en el servidor WSUS y programarlas para que se instalen todos los días a las 14:00h (hora en la cual sabemos que están encendidos los equipos y pueden instalar actualizaciones sin perjudicar a ningún usuario)
5.2 Directiva “Especificar la ubicación de Windows Update en la Intranet”
En esta directiva vamos a hacer un poco más de hincapié, previamente vamos a crear un registro en el DNS para posteriormente configurarlo en la directiva, esto lo hago porque es preferible configurarlo con un registro DNS a ponerlo con el nombre del servidor, con esto ganamos que en el caso de migrar el servicio de WSUS a otro servidor, no sea necesario modificar las políticas, únicamente cambiaríamos la IP en el registro DNS.
Nos vamos a «Administrador de DNS» -> «Zona de búsqueda directa», marcamos nuestro dominio y «Click derecho» -> «Host nuevo (A o AAAA)»
Ponemos un nombre y añadimos la IP del servidor, marcamos la opción «Crear registro del puntero (PRT) asociado»
Para comprobar que el registro está correctamente creado, nos vamos a cualquier equipo del dominio y tecleamos en la consola de comando nslookup [nombre_registro], si nos devuelve correctamente la IP estará todo preparado para configurar la política.
nsllkup [nombre_registro]
Quedaría de esta manera configurada la política, añadimos el puerto 8530 que por defecto es el que escucha el servicio de WSUS (8531 para HTTPS)
5.3 Directiva “Frecuencia de detección de Actualizaciones automáticas”
En esta directiva vamos a configurar el intervalo en el cual el equipo cliente se pondrá en contacto con el servidor WSUS para comprobar si existen actualizaciones para él, 8 horas creo que es el intervalo más adecuado.
5.4 Directiva “Volver a programar las instalaciones programadas de Actualizaciones automáticas”
A veces, el equipo se encuentra apagado o por algún motivo no puede conectarse con el servidor WSUS para recibir actualizaciones, en esta política, lo que vamos a establecer es el tiempo que tardará el equipo en volver a reprogramar la tarea de sincronización, por ejemplo, si el equipo está apagado y tenemos configurado esta política en 5 minutos, cuando encienda tardará ese tiempo en reprogramar la tarea de volver a ponerse en contacto con el servidor WSUS.
5.5 Directiva “No reiniciar automáticamente con usuarios que hayan iniciado sesión”
De esta política queda bastante claro todo, no reiniciar los equipos si hay usuario trabajando con los ellos, con esto evitaremos que se pierdan documentos/información.
Resumen de la política creada
Para que las políticas se hagan efectivas en los equipos, tenemos que reiniciarlo o ejecutar el comando gpupdate /force
gpupdate /force
Esto lo podríamos hacer con PowerShell, para no tener que estar ejecutándolo equipo por equipo, en otras entradas hablaremos sobre administración de equipos con PowerShell.
Ya tendríamos todo, podemos ver los 2 equipos con todas las actualizaciones al día.
En la próxima y última entrada veremos como trabajar con los reportes y uso básico de la consola de WSUS.
Saludos,
Gracias.
hola yo tengo un windows server 2016 y únicamente agregue el rol de WSUS no tengo ningún problema hasta aquí, estando en la consola de WSus no veo ningún equipo aun cuando yo agregue un grupo de equipos (este grupo lo tengo en el controlador de dominio)
igual tengo el miso problema, al igual ya estan los equipos en dominio y esta creado la politica pero no me aparecen los equipos
BUENOS DIAS PORQUE EN UNA CAPTURA DEL CMD (NSLOOKUP) QUE PONES APARECE ADDRESS: : : 1
No funciona esto en windows 10 y nadie tiene una solución o explicación, las políticas por gpo aplicadas se ve cuando se ejecuta gpresult /r el nombre de la política aparece, sin embargo las configuraciones no funcionan, estaba viendo en otras páginas que se debe actualizar las plantillas amdx porque para windows 10 ya no aplican esas,pero no logre hacer funcionar.
Buenas noches, tengo configurado el Wsus para 2 dominios, enter ellos hay relación de confianza y puedo ver los equipos de un dominio y del otro no, al revisar las políticas aplicadas a un equipo (gpresult /R) veo el nombre de la política del WSUS, sin embargo al abrir la consola de políticas del equipo veo que no está seteada ninguna configuración, porque puede darse esto?.
Tengo DC, con Windows 2012 R2 y Windows 2019 y los clientes con Windows 10
ESTIMADO JAVIER OLMEDO MUCHAS GRACIAS POR ESTE EXCELENTE APORTE DE WSUS, SUPER BIEN EXPLICADO.
Gracias Naz, espero que te haya servido!!
Buenas tardes hermano, te escribo pq instale hace varios días el WSUS en un WS 2016 y ya configure la política en el servidor de dominio, pero el wsus en su consola no me ve ninguna de las pc q tengo en el centro, incluso, configure mi pc, directo en el registro de window, dándole todos los valores a las claves, tanto en window update con en Auto Update, pero sigue sin salir nada en la consola y cuando en mi pc corro el comando Get-WindowsUpdateLog, me dice q tanto la clave WSUS server: (null), como esta otra WSUS status server: (null), aparecen vacía. Si tiene alguna idea de que pueda ser, en mi pc hay w10, versión 2004, pero en el centro hay desde xp hasta w10. Gracias de ante mano.
Hola, gracias por la guia, en caso de tener varios servidores Wsus, como se apuntan los diferentes wsus, tanto para agregar un targeting por ou, o para que en caso de que un wsus este caido use otro wsus.
Gracias
Hola Jean Carlos,
En las políticas de WSUS puedes configurar servidores de respaldo.
Saludos!!
Hola Javier ya hice todo el proceos pero en la policita como direccionno que los clientes se vayan al WSUS sin usar el DNS? Comparto solo el folder dodne se descargan las Actualizacion y pongo la ruta en la politica?
Hola Miguel,
No necesitas redireccionar, la política quedará en el equipo junto a la dirección de WSUS que configuraste.
Saludos!!
excelente, solo un solo problema he configurado todo y he desactivado todo lo que recomiendas pero tengo mas de un equipo que no logro ver unos que no dan el reporte y el resto solo se queda en 99% y de ahi no pasan me podrias ayudar con eso?
Hola, muy buen post. Tengo un equipo de prueba con Windows 10 pero el Wsus lo reconoce como windows vista, sabes a que se debe
Ni idea Bronnier, actualiza el equipo desde los servidores de Microsoft, lo mismo luego te pilla W10
Excelente explicación, pero tengo un problema la unidad donde se almacenan las actualizaciones es de 500 Gb y se lleno en solo dos dias, y la consola del administrador WSUS aparece con un mensaje de error (sin conexión).
Gracias.
Deberás de optimizar WSUS, no descargues actualizaciones innecesarias
Dentro de una RED con un WSUS exclusivo, la comunicación entre el cliente y WSUS es bidireccional o unidireccional (cliente -> WSUS o WSUS -> Cliente)?
Hola José,
Entiendo que es bidireccional.
Saludos!!
Excelente tutorial, solo una duda… mi AD lo tengo en Win Server 2008 y WSUS en Win Server 2012 (ambos versión estándar), sabrás si eso causa algún problema ya sea de incompatibilidad o de otro tipo? Ya que tengo otros dos servidores WSUS con 2008 y funcionan perfectamente, con 2012 si veo equipos pero no llegan al 100%., gracias de antemano.
Buenas Isaias,
En principio no deberías de tener problemas.
Gracias por leer el blog.
Saludos!!
Excelente explicacion fijate que lo implementado pero los equipos que tiene windows 10, los ve como windows vista que podra ser, me puedes ayudar
Qué extraño, ¿Lograte saber porqué ocurría?
Saludos!
Estimado, de verdad que quede impresionado con tu post, primer POST WSUS SERIO en español!
Me podrás ayudar con que tengo equipos que no reportan?, tengo equipos que tienen mas de 300 días sin reportar.
he usado varios script desde la maquina que no esta reportando. He usado el wuauclt /detectnow y nadaaa.
Que seria?
Muchas Gracias!
Hola Javier, De verdad que me gusta mucho tu post, felicitaciones, primer post Serio con info de Wsus en español que he visto.
te comento a ver si me puedes ayudar, me asignaron el tema de wsus, y no tengo ayuda por parte de los administradores jeje, ya llevo horas de cursos y entiendo el sistema, pero tengo problemas con equipos que no estan reportando, osea equipos que tienen mas de 300 dias sin reportar. La ip esta ok, hace ping y todo lo demas.
He usado varios script en powershell q estan publicados, pero sigo sin poder hacerla reportar, las pcs son con windows 10.
ni usando el wuauclt /detectnow
que crees que sera?
Saludos!
Muchas gracias Ángel,
Prueba a desactivar antivirus y firewall, también asegúrate que hayan cogido las políticas.
Nos cuentas!!
Hola, en las directivas de grupo no me aparece los equipos dentro del dominio, y en WSUS si tengo puesta la configuración para ello, seguí todos tus pasos, ¿Qué puede pasar?
Con los equipos me refiero a la carpeta de equipos
Buenas,
Si no te aparecen los equipos en las directivas de grupo, primero debes de solucionar esa incidencia antes de que te aparezcan en el WSUS.
¿Han aparecido alguna vez o se han eliminado?
Saludos!!
No aparecieron nunca, gracias por contestar
De nada,
Prueba lo siguiente:
Desactiva firewall y software antivirus, y prueba a hacer ping desde las máquinas al servidor y viceversa.
Después nos cuentas.
Saludos!!
El ping funciona perfectamente no hay problemas en ninguno de los dos, gracias
He leído 5 veces su informe, ¿La carpeta «Equipos» la creó usted en el Active Directory o le salió automáticamente? Gracias
La carpeta equipos, en el Active Directory, la creo yo.
Podría resolverme la cuestión que le dije ayer? Si no es molestia, gracias
Excelente manual pero no me aparecen los equipos en la consola, me podrias apoyar por favor
Hola Salva,
¿Tienes algún firewall o antivirus?
Saludos!!
Hola, en el caso de que sean dos servidores diferentes uno de dominio y otro de WSUS, ¿aplica es mismo proceso?
Gracias de antemano.
Hola Alma,
Si, es el mismo proceso, de hecho, Microsoft recomienda que se haga así.
Saludos!!
Hola, hay alguna forma de forzar (por comando o con alguna configuracion) a wsus a que mande las actualizaciones a los equipos?
tengo una politica para programar las actualizaciones pero esta no se actualiza con tanta rapidez como nos gustaría.
Buenas Elman,
Puedes configurarlo desde el panel de WSUS, puedes configurar cuando el servidor descarga actualizaciones y cuando las envía a los equipos.
Si por algún motivo, no se ejecuta de manera correcta, prueba a forzarlo con PowerShell.
Saludos.
Tengo mis equipos en un grupo, ese grupo esta en la OU que tiene la GPO de WSUS, pero no se esta aplicando, mis equipos estas en otra OU por administración, y tengo varias replicas de WSUS, por ello no puedo aplicar la GPO en Raiz de la OU donde estan todos mis equipos, por ello administro por Grupos.
Que estara pasando que no se aplica la GPO.
Saludo.s
Buenas Jesús,
No sabría decirte que está pasando, pero, puede que tengas otra GPO más restrictiva que haga que no se apliquen los cambios de WSUS.
Compruébalo y nos cuentas.
Saludos.
Buen tutorial, lo único que tengo el problema que en WSUS no me salen los equipos configurados por GPO.
Estoy revisando todo y no se me ocurre la solución.
Buenas Sergio,
¿Has comprobado si la política se aplica a los equipos?
Saludos!!
Excelente, mejor que un video tutorial! Muchas gracias
Gracias Robert!!
Saludos.