WSUS

17 de mayo de 2008

Hace tiempo que quería hablar de este producto de Microsoft desde la versión 2 (ahora ya tengo la 3 con SP1).
Cuando empiezas a tener más del 20 o 30 usuario en la oficina con Windows en sus estaciones se hace un poco pesado ir maquina por maquina y pasando un Windows Update. Aunque Microsoft hace tiempo de sigue la política de actualizaciones una vez al mes actualizar 100 maquinas como es mi caso pues se hace un poco pesado... y no acabo haciéndola.

Pues la gente de Microsoft tuvo la idea de por qué no hacer un producto para que los administradores tengan su propio servidor de Windows Update y que su maquinas ataquen contra su propio Windows Update. Pues esto es WSUS.

WSUS nos da un servidor Web para Windows Update y nosotros podemos controlar que actualizaciones poner a cada maquina o poner todas a la vez desde una interfaz Web. Y lo más bueno de esto es que este producto es gratuito. Solo necesitas un servidor Windows Server (un 2003 SP1 mejor) con su servicio de IIS, su .NET Framework 3, y las extensiones de ASP .NET activadas. Dado que este servidor contendrá todas las actualizaciones de Windows que necesiten nuestras maquinas será mejor que reservemos un buen espacio de disco. Las actualizaciones que ya no vayamos necesitando con el tiempo podremos ir borrándolas desde la consola de administración de WSUS.

Empezamos pues:

+ Descargamos WSUS SP1 desde la Web de Microsoft.
+ Arrancamos la instalación. Durante el proceso de instalación le diremos que almacene localmente las actualizaciones en nuestro servidor de esta forma cuando las maquinas se quieran actualizar ya tendrán las actualizaciones disponibles en nuestro servidor. Se recomienda que tengamos más 10Gb de espacio libre. Si no seleccionamos esta opción WSUS le dirá a las maquinas que actualizaciones necesitan y además deberán de bajárselas ellas misma desde la Web de Microsoft. Por tanto no es buena idea si tenemos unas 100 maquina porque todas intentaran bajarse las actualizaciones de Microsoft por nuestra preciada conexión a Internet.
+ El siguiente paso es seleccionar la base de datos donde irán almacenados todos los metadatos que necesita la aplicación de WSUS. Por defecto te instala un SQL Server Desktop Engine (un motor de SQL Sever pero en pequeño). También tenemos la posibilidad de utilizar una instancia de SQL Sever que ya tengamos en nuestra empresa... pero como yo no tengo.
+ Luego tenemos que configurar como será nuestra pagina Web de Windows Update. Por defecto WSUS instala sus paginas Web en el sitio Web por defecto 80, pero yo por ejemplo ya tengo una aplicación Web propia corriendo en el 80. Por tanto tendremos que cambiar de puerto.
+ El resto de pasos son todos por defecto.


Una vez instalado podemos ver como queda la cosa. Dentro de las herramientas administrativas de nuestro servidor nos aparecerá el icono de la consola de "Microsoft Windows Server Update Services 3 SP1". Para los más mañosos podríamos ir al IIS y ver como se ha creado un nuevo sitio Web. También podríamos instalarnos el SQL Sever Manager y conectarnos al Desktop Engine para ver como está la estructura interna de la base de datos de WUSUS.

Pasamos pues a la configuración:

+ Nos vamos a "Options" y configuramos "Products and Classifications". En esta ventana seleccionamos los productos que queremos actualizar. Lo normal será seleccionar Windows XP, Windows Vista y Office. En "Classifications" seleccionaremos los tipos de actuazaciones que queremos. Estas serán por ejemplo las "Security Updates" y las "Critical Updates".
+ En "Update Files and Languajes", seleccionaremos Spanish para que baje solo las actualizaciones en castellano.
+ En "Synchronization Schelude" le diremos que se actualice con Microsoft una vez al dia.
+ En "Automatic Approvals" no haremos nada, ya que quiero que las actualizaciones las acepte yo manualmente. En este apartado podríamos decir que todas las actualizaciones de seguridad que aparezcan se acepten e instalen automáticamente.
+ La opción "Server Cleanup Wizard" es la que nos permite hacer limpieza de todas aquellas actualizaciones que no utilicemos. Es muy útil cuando empecemos a quedarnos sin espacio.
El resto de opciones no las comentaré porque no son importantes.


Ahora que ya tenemos WSUS configurado le diremos a todas las maquina de nuestro dominio (¿lo tenéis en un dominio AD no?) que cuando se actualicen lo hagan a través de nuestro servidor WSUS. Para ello modificaremos las políticas de grupo del Active Directory. Al instalar WSUS nos ha dejado disponible una plantilla administrativa para las GPO llamada wuau.adm.

+ Abrimos el Active Directory, seleccionamos nuestro dominio y pulsamos propiedades. Nos vamos a "Group Policy" y editamos nuestra "Default Domain Policy".
+ Al abrir el editor de políticas de AD, seleccionamos "Computer->Administrative Templates". Botón derecho y seleccionamos "Add/Remove Templates". Seleccionamos la plantilla wuau.adm y aceptamos.


Ya tenemos la plantilla del WSUS instalada. Ahora configuramos nuestras maquinas. Desde este mismo editor de políticas hacemos:

+ Abrimos "Adminstrative Templates->Windows Components->Windows Update". Veremos que aparecen un montón de opciones no configuradas (Not configured).
+ Abriremos la opción Configurar las actualizaciones Automáticas y la activaremos. Marcaremos la opción de Programar la instalación, Todos los días por ejemplo a las 14:00h (la hora de comer). + Abriremos la opción de Especificar la ubicación de Servicio de Windows Update en la Intranet y le pondremos la URL de nuestro WSUS. Tenéis que recordar el numero de puerto seleccionado durante la instalación. Algo así como http://miservidor:8350.

El resto de opciones son opcionales, pero lo mejor es que las miréis una por una porque se puede afinar mucho, como por ejemplo cuanto tiempo tiene que pasar para que se reinicie la maquina después de una actualización que necesita reiniciar.


Una vez modifica la política de grupo tendremos que esperar un poquito a que todas las maquinas se refresquen. Si no queremos esperar podemos forzar la nueva política a todas las maquinas haciendo un "gpupdate /force".
No estaría mal también hacer una "wuauclt.exe /detectnow" para que el WSUS también comience a detectar maquinas.

Si nos vamos ahora a la consola de WSUS y entramos en "Computers->All computers" iremos viendo como por cuentagotas iran apareciendo máquinas. Poco a poco estas máquinas irán aportando su configuración y las actualizaciones que tienen y les faltan. Si hacemos doble click sobre una de ellas veremos un report con toda esta información.

Si nos vamos al enlace"Update needed" nos saldrán las actualizaciones que le faltan a esa maquina. Desde allí podremos aceptar la actualización que le falta y desde ese momento esta actualización estará disponible para todas las maquinas para instalarla. No hace falta ir máquina por máquina para aceptar la misma actualización.

Y eso es todo. Os paso estos links que resultarán útiles para montar todo esto.

Pagina principal de WSUS
Manual de inicio para instalar y configurar WSUS
Foros no oficiales de WSUS
WikiWSUS

1 comentarios:

Mimadeo dijo...

Gracias,
Una explicación muy útil y clara
sobre cómo instalar WSUS.