WSUS (Servicio de actualización de Windows Server) es una función integrada en Windows Server, que permite el establecimiento de un sistema interno de distribución de actualizaciones de Microsoft.
Las ventajas de WSUS :
- Control de implementación de actualizaciones
- Reducción del ancho de banda de Internet
- Actualizar informe de instalación
- Posibilidad de desinstalar una actualización en caso de problema.
Tabla de contenido
Requisito previo
- Una máquina física o virtual dedicada a WSUS.
- 2CPU
- 4GB de RAM mínimo
- 2 discos duros OS y DATA. El volumen de DATOS dependerá de la cantidad de productos y clasificaciones que se activarán. 200 a 300 GB de espacio es un buen comienzo.
- Una instancia de SQL Server (Express): recomendada
El servidor no tiene que estar en un dominio.
Antes de comenzar a instalar y configurar WSUS, le recomiendo que enumere los productos de Microsoft que desea actualizar con el servicio.
Todo el catálogo de productos de Microsoft está disponible, si en su organización, por ejemplo, tiene un servidor de SharePoint, es realmente interesante almacenar las actualizaciones de este producto en su servidor WSUS, es lo mismo si tiene Office 2007 «Antiguo» / Productos tipo Windows XP …
También le aconsejo que tenga cuidado si habilita actualizaciones para SQL Server, asegúrese antes de que sus aplicaciones sean compatibles con los paquetes de servicios.
Instalación del rol de WSUS
1. Desde el Administrador del servidor, haga clic en Agregar roles y características 1.
2. Cuando se inicie el asistente, haga clic en Siguiente 1.
3. Seleccione la opción Instalación basada en funciones o funciones 1 y haga clic en Siguiente 2.
4. Elija el servidor donde se debe realizar la instalación 1 y haga clic en Siguiente 2.
5. En la lista de roles, marque la casilla 1 Servicios WSUS (Windows Server Update Services).
6. Valide la adición de dependencias haciendo clic en Agregar características 1.
La función WSUS instala IIS y la base de datos interna de Windows.
7. Haga clic en Siguiente 1.
8. Valide las funcionalidades haciendo clic en Siguiente 1.
9. Omita el resumen de funciones de WSUS haciendo clic en Siguiente 1.
10. Deje las opciones de instalación predeterminadas, haga clic en Siguiente 1.
La opción Conectividad de SQL Server es una opción que vino con Windows Server 2016, que permite la configuración inmediata para el uso básico de una base de datos de SQL Server.
11. Especifique la ubicación de almacenamiento de la actualización en el servidor 1 y luego haga clic en Siguiente 2.
En el caso de un culpable con SCCM, no es necesario almacenar actualizaciones en el servidor WSUS, se almacenarán en el servidor de distribución.
12. Omita el resumen de funciones de IIS haciendo clic en el botón Siguiente 1.
13. Haga clic en Siguiente 1 para validar los servicios de IIS para instalar.
14. Confirme la instalación de funciones y funciones haciendo clic en Instalar 1.
15. Espere mientras se instalan los diferentes roles …
16. Una vez finalizada la instalación, salga del asistente haciendo clic en Cerrar 1.
17. Desde el administrador del servidor, haga clic en el indicador de notificación 1 y haga clic en Iniciar tareas posteriores a la instalación 2.
18. Espere mientras se ejecuta la configuración posterior a la implementación …
19. El rol ahora está instalado.
Ahora que tenemos los roles necesarios para implementar WSUS, pasaremos a la configuración.
Configuración de WSUS
El asistente de configuración de WSUS se inicia automáticamente la primera vez que abre la consola.
1. Inicie la consola de administración del servicio WSUS.
2. Cuando se inicie el asistente, haga clic en Siguiente 1.
3. Haga clic en Siguiente 1.
4. Fuente de actualización, elija Sincronizar desde Microsoft Update 1 y luego haga clic en Siguiente 2.
5. Si el servidor WSUS necesita un proxy para conectarse a Internet, configúrelo; de lo contrario, haga clic en Siguiente 1.
6. Haga clic en Iniciar conexión 1.
7. Espere mientras se recupera la información de Microsoft (de 5 a 15 minutos).
8. La información descargada, haga clic en Siguiente 1.
9. Seleccione los idiomas para las actualizaciones 1 y luego haga clic en Siguiente 2.
10. Elija los productos cuyas actualizaciones se deben descargar 1 y haga clic en Siguiente 2.
11. Elija los tipos de actualizaciones (clasificación) 1 para los productos seleccionados y luego haga clic en Siguiente 2.
12. Configure el programa de sincronización 1 para recuperar la lista de actualizaciones, luego haga clic en Siguiente 2.
La sincronización no descarga archivos de actualización.
13. Marque Iniciar sincronización inicial 1 y haga clic en Siguiente 2.
14.La configuración está completa, haga clic en Finalizar 1 para cerrar el asistente.
15. Abra la consola de administración y espere la sincronización.
La primera sincronización puede tardar varias horas.
Primer paso con la consola de administración de WSUS
1. En el menú de la izquierda, haga clic en el servidor 1, se muestra un resumen del estado de las actualizaciones y las estaciones.
No debería tener nada en este momento, ya que acaba de instalar WSUS.
2. En el menú de la izquierda, suelte Actualizaciones 1 y haga clic en Todas las actualizaciones 2. Aquí se muestra la lista de actualizaciones. Las actualizaciones se pueden filtrar en función de su aprobación.
3. Despliegue Computadoras 1, en esta parte se muestran las computadoras que se comunican con el servidor WSUS. Es posible crear grupos y asignar equipos a estos grupos.
De forma predeterminada, los equipos que se ponen en contacto con el servidor WSUS se agregan al grupo Equipos no asignados
4. La parte Opciones 1 se usa para administrar la configuración de WSUS y su mantenimiento.
Aquí puede cambiar la configuración realizada al configurar WSUS.
Administrar actualizaciones en WSUS
Para facilitar la administración de actualizaciones, te recomiendo que visualices el estado de reemplazo del mismo, esto evita validar y por lo tanto descargar actualizaciones que son reemplazadas por otra.
1. Desde una vista de actualización, haga clic con el botón derecho en el encabezado de una columna 1 y haga clic en Reemplazo 2
2. Esta columna muestra o no un pictograma que muestra el estado de reemplazo de la actualización.
Actualizaciones sin o con pictograma 
puede ser aprobado.
Actualizaciones con uno u otro de los siguientes pictogramas 
pueden rechazarse porque han sido reemplazados por una actualización más reciente.
Validar actualizaciones
1. Seleccione actualizaciones 1, haga clic derecho y haga clic en Aprobar 2.
2. Haga clic en 1 y luego en Aprobado para la instalación 2.
3. Presione Crtl + C para aplicar la herencia 1; de lo contrario, configure cada grupo y haga clic en Aceptar 2.
4. Espere mientras se aprueban las actualizaciones.
5. Cuando termine, cierre la ventana haciendo clic en el botón 1.
6. De la lista de actualizaciones, la Aprobación ha cambiado a Instalar 1.
Si actualizamos la lista de actualizaciones, ya no la veríamos debido al filtro No aprobado en aprobación.
7. En la página de estado del servidor 1, puede ver el número de actualizaciones para descargar 2 así como el volumen de datos 3.
Rechazar actualizaciones
1. Seleccione las actualizaciones 1, haga clic derecho y haga clic en Rechazar 2.
2. Confirme el rechazo haciendo clic en Sí 1> .
3. Las actualizaciones se rechazan 1.
Configurar equipos para usar WSUS
En esta parte, veremos cómo configurar las estaciones de trabajo (servidor y cliente) para que contacten con el servidor WSUS.
En un dominio activo por GPO
La configuración de la política se aplica a nivel de puesto.
Personalmente, no te recomiendo que hagas una sola estrategia para toda tu flota, te aconsejo que hagas dos estrategias, una para estaciones de trabajo y otra para servidores.
1. Abra la consola de administración de políticas de grupo, haga clic con el botón derecho en la unidad organizativa 1 donde desea aplicar la política y haga clic en Crear un objeto GPO en este dominio, y vincularlo aquí 2.
2. Nombre el GPO 1 y luego haga clic en Aceptar 2.
3. Haga clic derecho en la estrategia creada 1 y haga clic en Modificar 2.
4. Vaya a la carpeta Configuración del equipo / Políticas / Plantillas administrativas / Componente de Windows / Actualización de Windows. En esta carpeta se encuentran todos los parámetros configurables para el comportamiento de Windows Update.
5. Modifique el parámetro Especifique la ubicación de la intranet del servicio de actualización de Microsoft, active 1, indique la URL del servidor 2 luego haga clic en Aplicar 3 y Aceptar 4.
Según la versión de los archivos ADMX, las opciones pueden variar ligeramente.
6. Modificar el parámetro: Configuración del servicio de Actualizaciones Automáticas, Activar 1, configurar el comportamiento de Windows Update 2 luego hacer clic en Aplicar 3 y Aceptar 4.
En la sección de Ayuda, encontrará explicaciones de los diferentes comportamientos disponibles.
7. (Opcional) Habilite la configuración: Sin reinicio automático con usuarios registrados para instalaciones programadas, esto evita tener una máquina que se reinicia automáticamente cuando inicia sesión.
8. La estrategia está lista, tenemos que esperar a que se aplique.
Configuración manual con WSUS WORKGROUP
Si tiene estaciones de trabajo sin dominio en su red, todavía es posible configurar las estaciones de trabajo para usar el servidor WSUS.
1. Descargar WSUS WORKGROUP y ejecute el.
2. En la pestaña Principal 1, configure la URL del servidor WSUS 2 y el comportamiento de Windows Update 3.
3. (Opcional) Vaya a la pestaña Avanzado 1 y adapte los parámetros según el comportamiento deseado.
4. Haga clic en el botón Activar WSUS 1.
5. Confirme la solicitud haciendo clic en Sí 1.
6. (Opcional) La aplicación ofrece guardar el registro antes de aplicar la configuración, haga clic en Guardar 1.
Si no desea guardar haga clic en Cancelar
7. Haga clic en Aceptar 1 para cerrar la ventana de información.
Verifique la aplicación de la configuración
1. En la consola de administración de WSUS, vaya a Equipos / Todos los equipos / Equipos no asignados 1, se deben mostrar las estaciones de trabajo que se comunican con el servidor.
Si tiene Aprobar actualizaciones para todos los equipos, las estaciones de trabajo comenzarán a descargar actualizaciones después de enviar un informe inicial que permitirá que el servicio WSUS ofrezca las actualizaciones disponibles.
Vaya más allá con WSUS
Desinstalar una actualización
Si una actualización es problemática, se puede desinstalar a través de WSUS.
1. Una vez identificada la actualización, haga clic derecho sobre ella y haga clic en Aprobar 1.
2. Haga clic en el icono 1 y luego haga clic en Aprobado para eliminación 2.
3. Haga clic en Aceptar 1 para aplicar.
Migrar la base de datos WID a SQL Server (express)
Si su servicio WSUS se detiene con regularidad, le aconsejo que migre la base de datos a una instancia de SQL Server, esta solución mejorará el rendimiento de su WSUS. Un tutorial está disponible aquí (EN).
Rechazar automáticamente las actualizaciones de Itanium y / o ARM64
Si recibe actualizaciones para Windows XP, Windows 2003 Server o Windows 2008 Server y no tiene un sistema basado en Itanium, puede usar el script aquí (EN) para rechazarlas automáticamente.
Si está recibiendo actualizaciones para Windows 10 y no tiene un sistema ARM64, puede usar el script aquí (EN) para rechazarlas automáticamente.
