Embed Size (px)
DESCRIPTION
Citation preview
2014
Servidor De Actualización WSUS
INTRODUCCION
En el presente trabajo trataremos la implementación de un Servidor de Actualizaciones de Servicios para Windows, WSUS (Windows Server Update Services), sobre una plataforma con un sistema operativo Windows Server 2008 R2, incluidas las tareas básicas cómo configurar WSUS para obtener actualizaciones, configurar equipos cliente para instalar actualizaciones de WSUS y aprobar, comprobar y distribuir actualizaciones.
Microsoft Windows Server Update Services (WSUS) constituye una solución completa para administrar las actualizaciones en la red. Es la solución que ofrece Microsoft para hacer un despliegue de actualizaciones, parches y services packs a todos los sistemas o equipos de nuestra red de trabajo, lo que resulta en un mejor control de todas las actualizaciones de nuestros equipos.
Requisitos de software para la instalación de WSUS 3.0 en Windows Server 2008
Para instalar WSUS 3.0 en Windows Server 2008, debe tener instalado en su equipo lo siguiente. Si alguna de estas actualizaciones requiere que se reinicie el servidor al finalizar la instalación, debe reiniciarlo antes de instalar WSUS 3.0.Microsoft Internet Information Services (IIS) 7.0 Asegúrese de que están habilitados los componentes siguientes:
*Autenticación de Windows*ASP.NET*Compatibilidad con la administración de 6.0*Compatibilidad con la metabase de IISMicrosoft Report Viewer Redistributable 2008.Lasactualizaciones de .NET Framework 2.0 y BITS 2.0
riveraj94 2
están disponibles en Windows Server 2008 como parte del sistema operativo
Requisitos del disco y recomendaciones
Para instalar WSUS 3.0, el sistema de archivos del servidor debe cumplir los requisitos siguientes:
Tanto la partición del sistema como la partición en la que instala WSUS 3.0 deben tener el formato de sistema de archivos NTFS.
Se recomienda un mínimo de 1 GB de espacio libre para la partición del sistema. Se necesita un mínimo de 20 GB de espacio libre para el volumen donde WSUS almacena el contenido; se recomienda 30 GB de espacio libre.
Se recomienda un mínimo de 2 GB de espacio libre en el volumen donde el programa de instalación de WSUS instala Windows® Internal Database.
riveraj94 3
CREACION DE DIRECTORIO ACTIVO
1. Lo primero que debemos tener es un IP estático. El DNS instalado y configurado.
Tener en cuanta mucho el DNS porque varios errores pueden salir de este lugar, ya que los clientes seguían mucho de nuestro servicio de DNS.
riveraj94 4
2. Para la instalación del servidor de actualización debemos tener configurado el Directorio Activo con políticas y usuarios.
- DCPromo es el asistente de instalación del servicio de Directorio Activo y es un archivo ejecutable que se encuentra en la carpeta System32 en Windows. Para ejecutar adecuadamente el Active Directory es necesario tener instalado un servidor DNS en la red, de lo contrario, si DNS no está disponible para resolución de nombres, se pedirá que se tenga un servidor DNS durante la ejecución del DCPromo. Para empezar con la instalación del directorio activo nos dirigimos a cargar el asistente del mismo, hay varias formas de hacerlo, una por ejemplo es ingresando a la consola del sistema dcpromo.exe ó dcpromo, también podemos ingresar el mismo comando mediante la herramienta de ejecución en Windows, Start > Run o tecla de Windows + R.
3. DCPromo empezará a instalar los servicios de dominio del Active Directory y otros componentes requeridos.
riveraj94 5
4. A continuación, tendremos el asistente de instalación, seleccionamos Next para continuar o Cancel para cancelar la instalación, también seleccionaremos el modo de instalación avanzada para tener mayor control de la instalación del servicio.
5. En la siguiente ventana se nos informará de las características de seguridad mejoradas y la compatibilidad con el sistema operativo, pulsamos Next para continuar.
riveraj94 6
6. Seleccionamos la opción de crear un nuevo dominio en un nuevo bosque ya que estamos creando un nuevo controlador de dominio y no hay bosque existente en la red. Continuamos con Next.
7. Proporcionamos un nombre para el nuevo dominio raíz y pulsamos Next para continuar.
riveraj94 7
8. Esperamos unos instantes mientras el asistente verifica si el dominio utilizado anteriormente ya existe.
9. Ingresamos el nombre de la NetBIOS del dominio (con este nombre el equipo será identificado en la red) pulsamos Next para continuar.
riveraj94 8
10. En este paso, estableceremos el nivel de funcionalidad del bosque, por cada nivel funcional el asistente mostrará una descripción, de esta forma podemos determinar el nivel correcto para las necesidades que tengamos, cuanto más alto sea el nivel del bosque, más características disponibles, en nuestro caso, seleccionamos Windows Server 2008 R2 y continuamos con Next.
11. Esperamos que el sistema analice la existencia de DNS y su configuración.
riveraj94 9
12. Ahora, el asistente comprobará si existe un DNS instalado en el servidor local, es decir, el mismo donde se instalará el controlador de dominio, si no se tiene instalado, al final el asistente instalará un DNS. Continuamos Next. Yes….
riveraj94 10
13. En esta ventana podemos modificar el sitio en nuestro equipo donde se alojaran las bases de datos de Active Directory y los archivos de registro. Microsoft recomienda almacenar los archivos de registro en un lugar o volumen diferente del que está la base de datos. Damos clic en Next y continuamos.
14. El paso siguiente será configurar una contraseña para la restauración del servicio de directorio, cabe recordar que esta contraseña no es la del servicio de dominio y será necesaria en el caso de que tenga que quitar Active Directory del servidor mediante DCPromo.
riveraj94 11
15. Ahora, el asistente nos hará un breve resumen de lo hasta el momento es nuestra instalación del Active Directory, esta configuración puede ser exportada a un archivo de configuración que se puede utilizar en la instalación del Active Directory por medio de la línea de comandos.
16. Esperamos mientras se instalan todos los componentes pertinentes para la ejecución del Active Directory como lo son la base de datos y archivos de configuración; Marcamos la casilla de Reiniciar Ahora.
riveraj94 12
17. Luego de reiniciar podemos verificar que el equipo ya tiene su nombre de NetBIOS configurado correctamente.
riveraj94 13
18. Ya en este punto crearemos los usuarios de la forma más sencilla ósea 1 por 1, manualmente. Se crean de la siguiente forma.
19. Nos dirigimos a cada directorio activo que dentro del mismo tiene otro directorio llamado Usuarios y grupos halla damos click derecho nuevo>usuario
riveraj94 14
20. Digitamos los datos del usuario.
21. Le otorgamos una contraseña y dejamos las casillas sin chulear, Next.
22. Nos mostrara como quedara el usuario.
riveraj94 15
23. Y damos Finish y ya tendremos 1 usuario creado en la respectiva carpeta.
riveraj94 16
INSTALACIÓN Y CONFIGURACIÓN DE WSUS
1. Para empezar la instalación debemos tener una maquina Windows Server limpia. Luego accedemos al Administrador del Servidor y luego en Roles. Ahora damos clic en agregar rol de Windows Server Updates, así:
riveraj94 17
2. Al seleccionar Windows Server Updates, por defecto instala el servidor web IIS.
riveraj94 18
3. Ahora seleccionamos las características necesarias para el óptimo funcionamiento del servidor IIS.
riveraj94 19
4. Ahora seleccionamos las características necesarias para el óptimo funcionamiento del servidor IIS. Después de tener las características a instalar listas, damos clic en instalar.
riveraj94 20
5. En este punto nos mostrara que fue lo que instalo, como podemos ver el servidor de actualización no instalo, por la cual razón lo volveremos a instalar.
6. En los roles solo nos saldrá el del IIS, instalaremos otra vez el WSUS.
riveraj94 21
7. Empezaremos con la instalación del WSUS, otra vez.
8. Nos mostrara que es este punto si instalara el WSUS.
riveraj94 22
9. Nos saldrá la siguiente ventana.
riveraj94 23
10. Seleccionamos la opción de I accept the tems of the license agreement y luego clic en next.
11. Nos aparece una nota de que el programa Report Viewer 2008 no está instalado.-Si deseamos, podemos instalar este programa más adelante.-Damos clic en siguiente.
riveraj94 24
12. Nos muestra en la ventana la ubicación en la que se guardaran las actualizaciones, clic en Siguiente."Select Update Source" donde seleccionamos si queremos guardar los parches localmente en el servidor para luego ser distribuidos, en qué disco y en qué carpeta. Si decidimos guardarlos localmente debemos seleccionar un disco con al menos 6Gb y formateado como NTFS. Nuevamente, 6Gb mínimo. Si no los guardamos localmente los parches se bajarán cada vez que requiera ser instalado.
riveraj94 25
13. En la ventana se presenta la ubicación en la cual se Instalará la base de datos interna.Luego debemos configurar la base de datos que utilizará el servicio, dejar que WSUS instale el SQL Server Embedded Edition como paso de la implementación. Si elegimos el último caso debemos elegir nuevamente el disco y el directorio que utilizará para dicha instalación.
riveraj94 26
14. Como último paso de la instalación debemos seleccionar si va a utilizar el Sitio Web por defecto del IIS o bien queremos que genere uno nuevo. Recomiendo que utilicen el que viene por defecto y luego se le configura seguridad al mismo pero asumimos que el servidor será WSUS dedicado.-En la ventana elegimos la opción de Usar un sitio Web predeterminado asistente, es por ello que debemos tener instalado y configurado el IIS. Damos clic en Siguiente.
15. A continuación aparecen los componentes que se instalarán. Clic en Next
riveraj94 27
16. Esperamos que comience la instalación
riveraj94 28
17. Ya que ha terminado le damos clic en Finish
18. Después de la instalación de wsus, procedemos a configurarlo. En esta consola de administración que aparece, damos clic en siguiente.
riveraj94 29
CONFIGURACION.
Al finalizar la instalación va a aparecer un asistente para la configuración inicial. Sugiero que se haga en ese momento por más que se pueda cancelar y abrir luego desde la consola, es preferible terminar de configurarlo en ese instante así ya queda casi en producción.
Debemos garantizar que el equipo pueda conectarse a Internet (Microsoft Update Site) o bien al servidor WSUS de Updates superior para poder conseguir los parches. En caso de no poder comunicarse a Internet verificar más abajo qué es necesario para la conexión a internet.
WSUS requiere acceso a ciertos sitios de Internet que deberían estar habilitados en el Firewallo en el Proxy server de tu compañía. Los sitios son los siguientes:
http://windowsupdate.microsoft.com http://*.windowsupdate.microsoft.com https://*.windowsupdate.microsoft.comhttp://*.update.microsoft.comhttps://*.update.microsoft.comhttp://*.windowsupdate.comhttp://download.windowsupdate.comhttp://download.microsoft.comhttp://*.download.windowsupdate.comhttp://wustat.windows.comhttp://ntservicepack.microsoft.com
Se debe garantizar el acceso a dichos links para que WSUS funcione correctamente. Este es un punto que se puede resolver previo a la instalación del servicio así no encuentras con problemas a la hora de bajar los parches.
riveraj94 30
1. Damos clic en Next.
riveraj94 31
2. Seleccionamos la opción de sincronizar desde Microsoft Windows Update.
El primer paso de configuración es definir si el servidor va a bajar los parches desde Microsoft Update o los va a sincronizar de otro servidor de WSUS.
Este punto va a depender de la implementación que tengamos. En este caso va a bajarlos desde Internet, pero podría ser un servidor de un site remoto que sincronice contra el del site central. Para ese caso podríamos configurar el modo SSL e incluso podríamos definir en este paso si el servidor es una réplica del central.
riveraj94 32
3. Desmarcar la opción de configurar el servidor proxy.Al siguiente paso debemos definir si va a utilizar un servidor Proxy para el acceso a internet o bien se conecta directamente. Esta configuración depende de cada organización. Una vez configurado el acceso a internet el servidor ya intentará conectarse para poder bajar la lista de productos actualizada, lenguajes disponibles y tipos de parches.
4. Ahora damos clic en iniciar conexión.
riveraj94 33
5. Después de que cargue la configuración, damos clic en siguiente.
Si la conexión fue exitosa podremos configurar el lenguaje que deseamos contenga nuestra plataforma, los productos de los cuales queremos que chequee los parches y además baje parches disponibles y por último la clasificación de los parches que deseamos, ya sean Updates, Security Updates, Critial Updates, Service Packs, etc.
Luego de seleccionar estos parámetros debemos configurar el calendario de sincronización de cuándo queremos que se conecte a internet a bajar dichos parches.
riveraj94 34
6. Seleccionamos el idioma a usar para la descarga de actualizaciones.
7. Seleccionamos los paquetes de actualizaciones que deseamos descargar.
riveraj94 35
8. Ahora voy a seleccionar las actualizaciones. Se puede seleccionar las actualizaciones que necesitemos.
riveraj94 36
9. Seleccionamos la forma de sincronización del servidor.
Como último paso nos va a preguntar si queremos abrir la consola administrativa al finalizar la configuración y si queremos que inicie la sincronización inicial. Estos pasos son optativos, es más podemos obviar la sincronización si queremos y dejarla programada para la noche para no saturar el acceso a Internet.
10. Damos clic en Next para poder aplicar la configuración
riveraj94 37
11. Clic en Finish. Y nos muestra que la instalación fue correcta y damos clic en cerrar.
riveraj94 38
12. Ahora accedemos a Windows Server Update Services en inicio > herramientas administrativas.
Luego vamos a la administración de directivas de grupo (GPO) en nuestro servidor de Directorio Activo.
Asignamos una directiva de grupo al dominio, para poder que los clientes que se unan al dominio y obtengan las actualizaciones del servidor wsus y no de internet.
En nuestro caso la GPO la nombramos Actualización, la editamos y vamos a la siguiente ruta:
> Computer Configuration >Polices > Administratives Templates > Windows Component>Windows update.
riveraj94 39
->Configure Automatic Updates. Luego entramos en la opción
riveraj94 40
->Specify intranet Microsoft update service locationEn esta imagen introducimos la dirección IP o el nombre de nuestro servidor de actualizaciones WSUS.
riveraj94 41
Luego en la opción ->Automatic updates detection frecuency.En nuestro caso ingresamos un intervalo de 1 hora para que busque las actualizaciones automáticas.
13. Luego de crear la GPO, los equipos clientes los unimos al dominio, al igual que el servidor Exchange, y los agregamos a sus respectivas unidades organizativas.
riveraj94 42
14. En esta agregamos las GPO al grupo de PC’s.
riveraj94 43
AGREGAR EQUIPOS AL SERVIDOR
1. Lo primero que debemos tener en cuanta es que los computadores deben tener el firewall apagado, ya que si esta encendido no podremos conectarnos aunque nos de ping y el nslookup nos de.
- Tanto en el servidor como en los computadores clientes no deben tener firewall: Servidor: Panel de control >system and security >Windows Firewall – Customize Settings.
riveraj94 44
PCs: Panel de control > Sistema y Seguridad> Firewall de WindowsActivar o desactivar Firewall de Windows y quitamos el Firewall.
riveraj94 45
2. Le pondremos un ip estático al cliente. Teniendo en cuanta que debe estar en al misma porción de red, que la puerta de enlace determinado sea la misma y que este unido con el servidor ósea el DNS.
3. Aremos un nslookup para saber si esta unido a el Servidor.
riveraj94 46
4. Nos iremos a mi PC y daremos clic derecho y en propiedades y nos saldrá algo así.
5. Le daremos clic en el nombre de equipo, cambiar, nos dejara cambiar el nombre y el dominio.
riveraj94 47
6. Nos quedara algo así.
7. Al darle aceptar ya podremos unirnos como un usuario que este en el Directorio activo.
riveraj94 48
8. Si todo esto esta bien nos saldrá esto y continuaremos.
9. Si podemos mirar en el Directorio Activo nos saldrá el pc registrado.
10. En el cliente veremos algo así.
riveraj94 49
11. Ya daremos el nombre con el que el usuario se logeara al pc, algo así como esto.
12. Si el usuario se logra logear, nos quedara algo así. -Como pueden ver sale el nombre con el cual registramos a el usuario a el servidor del Directorio Activo.
riveraj94 50
13. Si vemos la configuración del nombre del equipo podremos mirar que dice en el dominio de wsus.com.
riveraj94 51
EQUIPOS QUE SE REPORTEN EN WSUS
Luego para poder que nuestros equipos clientes aparezcan en el servidor de actualizaciones WSUS, debemos agregar el archivo wuau, para esto vamos a la siguiente ubicación.
Ingresamos al editor de directivas de grupo (GPO), en ->Policies > Administratives Templates clic derecho sobre esta opción Dad/Remove Templates.
Damos clic en Add y buscamos el archivo wuau que se encuentra en Disco local C: > Windows> inf > wuau.adm
riveraj94 52
1. Ahora accedemos al WSUS Update services.En ->Computers > all computers clic derecho sobre este y Add computer group.Esto es para agregar los grupos de los equipos.
2. Seleccionamos las Updates.
riveraj94 53
3. Le damos clic a All Updates, y seleccionamos en staus: any y le damos clic Refresh.
- Nos saldrá algo así.
riveraj94 54
4. Seleccionamos las actualizaciones y el grupo al cual vana pertenecer, Clic en aceptar para aprobar las actualizaciones.
- Le daremos clic al grupo en el cual vamos aplicar las actualizaciones, aprobaremos la instalación de dichas actualizaciones.
riveraj94 55
-En este punto se puede ver un “listo” que ya hemos seleccionado ese grupo para que reciba las actualizaciones.
-El servidor empezara a instalar las actualizaciones.
-Cuando acaben la instalación le daremos clic en “Close”.
riveraj94 56
5. En este punto se pueden ver que actualizaciones se instalaron en el servidor con un simbolito y están listas para actualizar en los clientes.
riveraj94 57
EN LAS MAQUINAS CLIENTE
1. Ahora en la maquina cliente escribimos los siguientes comandos desde la consola, para poder forzar el equipo para que se actualice con el servidor wsus y no desde internet.
gpupdate /force
wuauclt /detectnow
2. Desactivo el firewall para que pueda haber conectividad con el servidor WSUS y no vaya a rechazar la conexión.
Nota: Si te sale esto el firewall es normal.
riveraj94 58
PRUEBA DE ACTUALIZACIÓN
1. Para la prueba de actualización lo primero que tenemos que hacer es entrar a la siguiente dirección.->Panel de Control > Sistema y Seguridad > Windows Update
-Damos clic a “Buscar actualizaciones”
2. Este empezara a buscar actualizaciones en nuestro servidor para instalarlas.
3. Si el pc no tiene nada que actualizar nos saldrá esto y con esto acabaremos el manual de actualización de WSUS.
riveraj94 59
CONCLUSIONES
WSUS es una poderosa herramienta al alcance de los Administradores, que forma parte de Windows Server 2008 R2 a través de la implementación de uno de sus roles. Esto significa que sin invertir en más licenciamiento, se puede contar con una administración centralizada de Updates para nuestros equipos de la red.
Sin lugar a dudas, el ver y aprovechar esta funcionalidad puede simplificar y estandarizar la ardua tarea del despliegue de actualizaciones a todos los equipos.
No es el objetivo de este Manual, pero la herramienta WSUS nos permite seleccionar los updates a instalar, cuáles no, y diferenciar su aplicación (si quisiéramos) a grupos de equipos.
riveraj94 60
