Buenas a todos, voy a comenzar una serie de entradas en el blog dónde explicaré como implementar WSUS (Windows Server Update Services) en un dominio con Windows Server 2016 para mantener nuestros equipos de la empresa actualizados y más seguros, en un principio, creo que con 3 entradas podré explicar lo necesario para tener este rol completamente funcional.
En esta entrada os explicaré un poco en qué consiste WSUS, su instalación y configuración.
La segunda entrada consistirá en la configuración de la política para los equipos clientes y la tercera sobre reportes.
¡Comencemos!
¿Qué es WSUS?
WSUS (Windows Server Update Services) es un rol para sistemas operativos Windows Server que permite a los administradores disponer de un sistema centralizado de actualizaciones para todos los equipos dentro de nuestra empresa/dominio.
A través de WSUS es posible gestionar completamente la distribución de las últimas actualizaciones publicadas por Microsoft para todos sus productos, así como de los parches de seguridad más recientes, algo que muchos administradores pasan por alto y no dan importancia.
Cabe destacar que WSUS solamente está destinado para productos de Microsoft, por lo que no se podrá utilizar para instalar actualizaciones de terceros (Java, Adobe, Antivirus, etc).
En definitiva, WSUS nos permitirá ahorrar tiempo y mejorar la seguridad de la red.
¿Cómo funciona WSUS?
Una vez implementado el rol en el servidor, WSUS descargará desde los servidores de Microsoft todas las actualizaciones que haya disponible en función de los productos que hayamos configurado en su instalación, en la imagen anterior podemos ver cómo distribuye las actualizaciones entre los equipos vinculados al Active Directory.
Pasos a seguir para su instalación
Antes de empezar con la instalación, me gustaría comentaros que Microsoft recomienda no instalar WSUS en el controlador de dominio, en la práctica puedo deciros que no he tenido ningún problema hasta el momento en este aspecto, por lo tanto, si disponéis de varios servidores intentad instalarlo en uno que no sea controlador de dominio.
Os adjunto un link con más información aquí
1. Abrimos el Administrador del servidor.
2. Debemos agregar el rol, nos vamos a Administrar –> Agregar roles y características.
3. Marcamos para instalar el rol “Windows Server Update Services”, ubicado en la parte inferior.
4. Nos aparecerá una ventana con las características requeridas que debemos de agregar, marcamos también la casilla “Incluir herramientas de administración (si es aplicable)”.
5. En la siguiente ventana, añadimos características de .NET Framework 3.5 (Incluye .NET Framework 2.0), esto lo usaremos para generar reportes desde la consola de WSUS, lo veremos más tarde en la tercera entrada.
6. En los servicios del rol, marcaremos las 2 primeras, si disponemos de base de datos SQL, es recomendado marcarla también, pues podremos trabajar mejor desde PowerShell.
7. En este paso, indicamos la ruta en la cual descargará y almacenará las actualizaciones, en mi caso, tengo un disco duro de 500GB en la unidad W: para usarlo únicamente para este servicio.
8. Instalamos todo lo que hemos configurado hasta ahora, esperamos a que termine.
9. Una vez termine de instalar, cerramos la ventana y vamos a Herramientas –> Windows Server Update Services, WUSUS nos pedirá realizar el proceso de post-instalación, verificamos que la ruta de acceso es la misma que configuramos en el anterior paso anterior y marcamos la casilla “Almacenar actualizaciones localmente”, después ejecutamos.
10. Este paso hay que tenerlo en cuenta, es posible que haya que configurar alguna regla en el firewall para permitir que los equipos se conecten, de momento no vamos a cambiar nada, pero si posteriormente tenemos problemas para que los equipos se conecten, sabemos que puede ser por el firewall.
11. Paso de elegir el servidor de actualizaciones, tenemos 2 opciones, sincronizar con los servidores de Microsoft Update o sincronizar con otro WSUS, como es el primero y único que tendremos, dejamos marcada la primera opción.
12. Todo preparado, iniciamos la conexión, este paso puede llegar a tarda hasta 30 minutos, toma un café tranquilamente 😊
13. El paso de elegir idiomas, aquí marcamos los que necesitemos, por ejemplo, si tenemos un Windows o versión de Office con otro idioma, marcamos los que correspondan, por defecto dejaría marcado siempre Inglés.
14. Mucho cuidado en este paso, es importante marcar sólo los productos necesarios que queremos actualizar de manera desatendida, por ejemplo, si marcamos actualización de SQL o drivers, podemos tener después problemas de compatibilidad con software de terceros, ese tipo de actualizaciones es mejor hacerlas de manera manual, yo solamente marcaré actualizacions de Windows 10 y Windows 7.
15. Nuestro propósito con WSUS es mantener actualizados los sistemas en cuanto a parches de seguridad y actualizaciones críticas, sólo dejaré estas opciones marcadas.
16. No tiene mucho sentido que tengamos que sincronizar WSUS con los servidores de Microsoft Update de manera manual, ya que nos interesa que este servicio sea lo más desatentido posbile, por lo tanto, lo configuraré para que actualice todos los días a las 3 de la madrugrada, esa hora la he elegido para no saturar la red en caso que descargue actualizaciones.
17. Hora de la primera sincronización, marcamos la siguiente casilla y click en siguiente
18. En el último paso del asistente de configuración, nos indica algunas configuraciones recomendadas, sería interesante implementar SSL, pero eso lo dejaremos para más adelante, quizás en una cuarta parte de esta serie de entradas.
19. Al iniciar WSUS veremos lo siguiente, vamos a realizar una sincronización manual, de momento no veremos ningún equipo, ya que falta de aplicar las políticas que veremos en la siguiente entrada.
Hasta aquí la parte I sobre instalación y configuración de WSUS, en la próxima entrada veremos cómo crear una política para los equipos clientes del dominio.
Un Saludo!!
Gracias.
Luego de actualizar el WSUS me figura el error HTTP el cual no permita la sincronización, cuales serian los pasos a seguir si no se sincroniza?
Yo fui a Firewall de mi servidor por el cual accede a internet y realmente no se si es ahi que tengo que configurar el fier wall y que regla aplicar?
o tambien hay que tocar el fire wall del WSUS?
Buenas dias, que pasa si no marco la casilla de la ruta donde se almacena las actualizaciones, tengo windows server 2019 y parece que tambien te da esa opcion. ya que no tengo mucho espacio en mi disco. como trabaja en ese caso el wsus.?
Buenos días. Quisiera la opinión de ustedes y que me digan, a partir de cuántas máquinas conviene tener instalado WSUS en un dominio? Porque entiendo que si hay menos de 20 equipos, no es tan malo que las bajen automáticamente, ya que tengo que disponer de mucho disco en un servidor para tan pocos equipos. Muchas gracias.
Hola César
Si es por problemas de tráfico de red, es posible lo que comentas, pero, ¿Controlas que actualizaciones tiene cada equipo?
hay algun servidor especifico para descargar las actualizaciones… wsus
muy buenas a todos amigos ………tengo una duda quisiera saber si se puede o es recomendable dejar el wsus junto en una maquina con el de dominio
Buenas Anibal,
Si lees bien la entrada, hay un enlace a un articulo de Microsoft que lo explica.
Saludos!!
Hola, no veo acceso a la segunda parte.
Un saludo.
Buenas,
Puedes buscar WSUS en el cuadro de búsqueda de la parte superior.
De todas maneras, te dejo el link.
https://hackpuntes.com/wsus-windows-server-update-services-configuracion-de-politica-parte-ii/
Saludos!!
Buenos días, muy buen artículo, la verdad es que está genial explicado. En nuestro sistema tenemos una duda en una nueva implantación, a ver si alguno sabe como ayudarme:
Como explicas en el primer gráfico, WSUS se trae las actualizaciones desde WUpdate y se las manda a los equipos del dominio pero… en nuestro caso necesitamos (para no generar tráfico VPN en exceso) que WSUS mande a los equipos actualizarse vía Windows Update pero que lo descarguen vía internet como ordinariamente ocurre.
¿Sabría alguien decirme si esto se puede hacer?
Gracias!
Buenos días Valen,
Claro, en la política donde configuras el servidor de actualizaciones, pones el servidor de Windows.
No sé si es esto exactamente lo que necesitas, espero haberte ayudado.
Saludos!!
Consulta, estimado, como puedo hacer para tenerlo en un grupo de trabajo? es decir sin un dominio o AD, vi en internet que seria cambiar el registro en cada cliente?
Buenas Miguel,
Siento no poder ayudarte en esto, desconozco como montarlo sin AD.
Lo que si puedo decirte, es que esto lo hagas como última opción e intentes montar un AD.
Saludos.
para que funcione el wsus en los equipos del dominio se aplica un gpo a nivel de OU donde estén los equipos, este configura los gp(group policy0 en cada equipo para que las actualizaciones las soliciten a nuestro servidor wsus.
ya si requieres que no sea a nivel de dominio o no tener uno, en base a mis conocimientos te diría que configures cada equipo los «gp», para ingresar a modificar los «»gp» de los equipos abres ejecutar desde inicio o presionando win+r , escribes gpedit.msc y ahí buscas las políticas del equipo.
Gracias por tu aporte, Julio!!
donde obtengo la aplicación para probarla
Es una caracteristica de windows server 2012, solo hay que instalar y configurar