Entradas populares

domingo, 26 de febrero de 2012

Crear política GPO para vincular las actualizaciones desde Servidor WSUS

Nos situamos en el controlador de dominio y entramos en la consola de Usuarios y Equipos de Active Directory. Inicio –> Herramientas administrativas –> Usuarios y equipos de Active Directory.

Creamos las unidades organizativas como quieras. Nosotros vamos a crear una unidad organizativa que llamaremos BeforeDeploy y otra que llamaremos AllServers. (No hace falta que se llamen igual que los grupos de WSUS pero ya que estamos los vamos a distribuir de la misma forma). Para hacerlo ya sabes: Botón derecho sobre la unidad organizativa o parte del árbol del directorio activo donde quieras ubicar estos servidores y nuevo –> Unidad organizativa.

Ahora deberemos mover los servidores a estas unidades organizativas. ATENCIÓN: Los Domain Controllers no  recomiendo que los muevas de OU (Unidad organizativa) ya que en caso de moverlos dejarán de aplicarse-les directivas de grupo específicas de controladores de dominio.

Ya aplicaremos una directiva de grupo sobre la unidad organizativa de Domain controllers para que también se les actualicen los parches del sistema. En caso de que por error los hayas movido debes moverlo a su unidad organizativa, no pasa nada se les volverá a aplicar las directivas y listo.

Bueno ahora que ya tenemos la estructura de OU’s creada y los servidores movidos a ellas, únicamente nos faltará crear las directivas de grupo para que sepan que servidor de actualizaciones usar para descargar los parches, en que momento, etc..

Ahora en el domain controller ejecutamos la herramienta Group Policy Management console. Inicio –> ejecutar –> gpmc.msc. En windows server 2008 ya está incluida pero en windows server 2003 y anteriores no.

En caso de no disponer de la herramienta nos la descargaremos del siguiente enlace: Group Policy Management Console with Service Pack 1

Instalamos la aplicación pulsando doble click sobre el fichero descargado. Tras instalar la aplicación pulsamos sobre Inicio –> ejecutar –> gpmc.msc Nos situamos sobre Bosque: nuestro bosque –> Dominios –> nuestro dominio.

Pulsamos con el botón derecho del ratón sobre Objetos de directivas de grupo –> Nuevo, escribimos un nombre y pulsamos sobre Aceptar.
 

Ahora pulsamos con el botón derecho sobre la directiva y editar.
 

Nos desplazamos por Configuración del equipo –> Plantillas administrativas –> Windows Update. Únicamente voy a comentar la configuración simple para que los equipos aparezcan en nuestro WSUS, puedes leer todas las opciones posibles de la directiva respecto a cuándo instalar los parches, cuando sincronizar, etc…

Primero pulsamos doble click sobre Especificar la ubicación del servicio Microsoft Update en la intranet.
 

Marcamos Habilitada y en los dos campos posibles escribimos la dirección que nos dio el servidor WSUS cuando lo instalamos (http://<nombre del servidor>) y pulsamos sobre Aceptar. Ahora pulsamos doble click sobre Habilitar que el cliente pueda ser un destino.
 

Marcamos Habilitada y ponemos el nombre del grupo que hemos creado en WSUS que es donde se ubicarán los equipos y pulsamos sobre Aceptar. Ahora pulsamos doble click sobre Configurar actualizaciones automáticas.
 

Marcamos Habilitada y la configuramos como queramos, de momento pondremos la opción 3 que descargará las actualizaciones desde WSUS y notificará para la instalación. Como únicamente necesitamos estos 3 valores para que el servidor WSUS vea a los equipos como clientes cerramos la edición de la GPO. Puedes seguir configurando las otras opciones segun corresponda. Lo que vamos a hacer ahora es hacer una copia de la directiva ya que únicamente le vamos a cambiar el valor del nombre de grupo de destino para este equipo por AllServers.

Ahora vamos a vincular estas GPO a sus Unidades organizativas correspondientes.
 

Nos situamos en la Unidad organizativa donde vamos a vincular la GPO y pulsamos con el botón derecho sobre ella y sobre Vincular una GPO existente.
 

Seleccionamos la GPO y pulsamos sobre Aceptar.

Hacemos el mismo procedimiento para las demás unidades organizativas y también para la de Domain Controllers. Quedando el árbol de la siguiente forma:
 

En nuestro caso hemos creado 2 directivas una para Before Deploy y la otra para Todos los servidores restantes. Recuerda que deberas crear una directiva por cada grupo que hayas creado en WSUS ya que en esta directiva se configurará el grupo al que se le aplicarán los parches. NOTA: En caso de no necesitar saber los parches instalados por departamento o por empresa te recomiendo crear los 2 grupos mencionados el BeforeDeploy y el restante. Pero debes tener claro como aplicar los parches, puedes hacerlo por servidores y workstations por ejemplo.

Ahora vamos a forzar la aplicación de estas directivas a los servidores. Nos situamos en cualquier servidor y o bien lo reiniciamos o bien Inicio – > Ejecutar –> gpupdate /force esto provoca una solicitud de actualización de su GPO al domain controller.

Ahora que el sistema ya es capaz de encontrar su servidor de actualizaciones y de saber en que grupo de WSUS ubicarse vamos a forzar el envío de datos desde el cliente hacia el servidor WSUS. para ello Inicio –> Ejecutar –> wuauclt /detectnow.

Volvemos a comprobar si el servidor WSUS ha terminado de sincronizar el catálogo. Si es el caso nos situamos sobre Options –> Computers del menú de Windows Server
Update Services(WSUS).
 

Marcamos la opción Use Group Policy or registry settings on computers y pulsamos sobre OK. Eso habilita la funcionalidad de catalogar los equipos mediante las directivas de grupo que hemos configurado en Active Directory. Después de aplicar este cambio y de que los equipos hayan actualizado sus directivas de grupo vamos a comprobar si existen servidores catalogados en WSUS.
 

Pues en efecto, en los 2 servidores que le hemos realizado el gpupdate /force aparecen y en el grupo correcto. En el caso que no veas información sobre ellos o bien nos esperamos las 22 horas por defecto o forzamos a que envíen y actualicen sus datos. Desde los clientes ejecutamos los comandos wuauclt /detectnow y wuauclt /updatenow.
 

Bueno pues ya tenemos información de uno de ellos. Vemos que tiene un 96% de parches instalados. Podemos ver mas columnas pulsando con el botón derecho sobre las actuales columnas y marcando las opciones que deseemos. Needed count nos mostrará los parches que le faltan por instalar a los equipos. Pues puedo comprobar que el servidor firstdomain.megacrack.es le faltan 62 parches. 

Ahora vamos a aprovar los parches para su descarga y posterior instalación en el equipo cliente. Desde WSUS pulsamos sobre Updates –> All updates.

Desde WSUS pulsamos sobre Updates –> All updates.
 

Como vemos en el campo Approval dejamos marcado Unapproved y en el campo Status dejamos marcado Failed or Needed con esto conseguimos ver únicamente los parches que necesitan todos los equipos ubicados en WSUS.

Para descargar los parches para que puedan ser aplicados a los equipos hemos de aprovarlos. Seleccionamos todos los parches y con el botón derecho del ratón pulsamos sobre Approve.
 

Ahora pulsamos sobre BeforeDeploy pulsamos sobre Approve for Install. La idea sería que al cabo de 2 semanas por ejemplo tras haber probado estos parches se podrían aprobar también para la categoría AllServers.

Pulsamos sobre OK.
 

Los parches se aprobarán y pulsamos sobre Close. Ahora los parche se irán descargando y según la política de grupo que hemos creado anteriormente en los equipos del grupo BeforeInstall les aparecerá un icono indicando que tiene parches para instalar.

Pues bien para aprobarlos para los demás grupos deberemos seleccionar en Updates –> All updates en el campo Approval dejamos marcado Approved y en el campo Status dejamos marcado Failed or Needed con esto conseguimos ver únicamente los parches que necesitan todos los equipos ubicados en WSUS y podremos aprobarlos para AllServers.

lunes, 20 de febrero de 2012

Configurar Servidor WSUS

Vamos a mostrar como configurar el Servidor WSUS para que se ponga a distribuir parches Microsoft.

Entramos en el servidor WSUS. En la consola Server Manager de Windows Server 2008 que puedes abrir desde Inicio –> Herramientas administrativas –> Server Manager.
 

Nos situamos en Roles –> Windows Server Update Services –> Update Services –> Options y pulsamos sobre WSUS Server Configuration Wizard.
 

Comprobamos los 3 puntos antes de seguir y pulsamos sobre Next.
 

En caso de querer ayudar a Microsoft a mejorar WSUS marcas la opción Yes, i would like to join the Microsoft Update Improvement Program. Esta opción enviará información a Microsoft sobre cuantos equipos tenemos en la organización, cuantos updates han sido satisfactorios y cuantos han fallado.

Pulsamos sobre Next.
 

En esta pantalla nos da la opción de que este servidor sea el que sincronizará con Microsoft Update o en el caso que estemos instalando un servidor secundario de WSUS marcar la segunda opción para introducir el nombre del servidor desde el que se sincronizará WSUS. (En nuestro caso como va a ser una instalación simple sin servidores en Branch Offices y como además es el primer servidor WSUS (Principal) lo dejaremos con esta opción marcada por defecto) y pulsamos sobre Next.
 

En el caso que este servidor requiera de un proxy para poder acceder a internet para descargar actualizaciones introduciremos sus datos en otro caso pulsamos sobre Next.
 

Pulsamos sobre Start Connecting. Esto hará que WSUS descargue y nos muestre las diferentes opciones que podremos configurar de idiomas, tipos de parches, y tipos de producto.
 

Pulsamos sobre Next.
 

En esta pantalla se nos da la opción de o bien sincronizar WSUS con todos los parches de todos los idiomas o bien únicamente de los idiomas que seleccionemos. (Recomiendo que si no estas seguros del idioma de los sistemas operativos que tienes dejes marcada la opción por defecto de todos los idiomas). Esto no descarga todos los parches de todos los idiomas, unicamente sincroniza con Windows Update para mostrar todos los parches disponibles de todos los idiomas que nosotros más tarde aprobaremos para su distribución. En caso de que los idiomas de los equipos a los que vayamos a distribuir parches sean únicamente por ejemplo español e inglés podremos descargar tras aprovar su instalación únicamente los parches para estos 2 idiomas. Recuerda que NO descarga los parches en ningún momento, unicamente los muestra para su aprobación. (Explicaré más adelante en este mismo artículo). 

En nuestro caso como tenemos claro que sistemas operativos y que idiomas disponemos únicamente marcamos español e inglés para que la sincronización sea más rápida. 
 

Pulsamos sobre Next.
 

Esta pantalla nos ofrece la posibilidad de marcar únicamente los productos que vamos a sincronizar para poder aplicar parches. En nuestro caso como únicamente le vamos a actualizar los parches a los servidores vamos a marcar las opciones Exchange, OCS, Windows Servers, etc… En vuestro caso marcamos las opciones que mejor se adapten a la funcionalidad de este WSUS y al terminar pulsar sobre Next.

Recuerda que tanto los idiomas como los productos se podrán configurar en otras ocasiones en caso que sean necesarias sin tener que pasar por todo el wizard.
 

Aquí se nos da la oportunidad de descargar varios tipos de actualizaciones. Por defecto están carcadas las de la imagen anterior. Pero nosotros lo vamos a modificar para que descargue Service Packs y Update Rollups. Ya que en caso necesario podríamos distribuir los Service Pack a través de la consola WSUS sin tener que conectarnos servidor a servidor y descaragar e instalar el Service pack. Los Update rollups también los marcamos ya que son acumulaciones de parches que son útiles en ocasiones para no tener que descargar todos los parches uno por uno, en update rollups vienen paquetizados.

Marcamos las opciones que más os convengan y pulsamos sobre Next.
 

Marcamos la opción Synchronize automatically y ponemos una hora prudencial en para no afectar al ancho de banda de internet de los usuarios de nuestra corporación y pulsamos sobre Next.
 

Marcamos la opción Begin initial synchronization pensando en lo que acabo de decir. Si no afectamos al ancho de banda de los clientes. Esto realizará una primera sincronización de las configuraciones anteriores.

Pulsamos sobre Next.
 

Aquí se nos muestran varios enlaces para ayudar a configurar WSUS. Nosotros pulsamos sobre Finish. Comprobamos que la sincronización se está efectuando en el apartado Synchronizations.

Mientras está sincronizando vamos a configurar la estructura de las actualizaciones. Por ejemplo en el caso que queramos separar las actualizaciones por empresas para tener un report claro de cómo estamos a nivel de parches en cada empresa crearemos un grupo por empresa. En caso que queramos hacerlo por departamentos pues crearemos tantos departamentos como queramos. En nuestro caso como ya hemos dicho antes únicamente vamos a actualizar los servidores así que primeramente crearemos un grupo llamado BeforeDeploy para poder albergar una serie de servidores donde descargaremos e instalaremos los parches y chequearemos su estado, para más tarde por ejemplo una o 2 semanas distribuir estos mismos parches a todos los demás servidores de la empresa. (Esta es una buena práctica ya que en caso q uno de los parches instalados provoque un mal funcionamiento del servidor únicamente nos afectará a un grupo reducido. El grupo BeforeDeploy os recomiendo que en este grupo tengas un servidor de cada tipo, por ejemplo un Domain Controller, un Exchange, un Sql, etc… para poder testear los parches con las diferentes funcionalidades de cada servidor. Para ello tras situarnos sobre Computers pulsamos con el botón derecho del ratón sobre All computers y pulsamos sobre Add Computer Group.
 

Escribimos el nombre del grupo y pulsamos sobre Add. Nosotros creamos otro grupo llamado AllServers para albergar todos los demás servidores. NOTA: Para poder ubicar los servidores en cada grupo disponemos de 2 opciones o bien hacerlo mediante directivas de grupo o bien moviendo manualmente cada servidor dentro de WSUS a su grupo. Nosotros para hacerlo más difícil y también más manejable lo haremos mediante directivas de grupo. 

Primero debemos configurar WSUS para que acepte este tipo de instrucción pero deberemos esperar a que termine de sincronizar para poder modificar estas opciones. Mientras tanto iremos creando la estructura de Active Directory para poder vincular las directivas de grupo de una forma más sencilla.

viernes, 17 de febrero de 2012

Instalar WSUS 3.0 SP2 en Windows Server 2008 R2 x64

WSUS es un sistema de distribución y reporting de parches de Microsoft. WSUS se puede montar sobre Windows  XP, Windows Server 2003 pero en Windows Server 2008 ya viene como un ROL y únicamente deberemos descargar un programa para hacer los reports (Que luego explico).

Se puede instalar sobre una base de datos local incluida en el WSUS o se puede instalar un servidor SQL y montar la base de datos local o remota. Montaré WSUS sobre un equipo con 2 GB de RAM, 2 CPU y 2 discos (C:\40 GB que albergará Sistema Operativo, base de datos, archivo de paginación y D:\ 100 GB donde se ubicarán los parches descargados por defecto). El tamaño de tu disco D:\ dependera de que tantos productos de MS quieras actualizar.

El sistema operativo BASE sera Windows Server 2008 R2 X64. Cambiamos el nombre del servidor, configuramos una ip e insertamos en el dominio, piensa que el nombre que tenga será el enlace a los clientes para que se puedan descargar los parches. Despues crearemos una directiva de grupo en el domain controller y se la asignaremos a una unidad organizativa configurando que el servidor de donde descargaremos las actualizaciones será el que vamos a crear ahora. Por ejemplo el nombre del servidor podría ser LocalWSUS.

Primero de todo deberemos disponer de conexión a Internet para que el programa pueda instalarse correctamente. Para comprobarlo descargaros el siguiente fichero e instalarlo desde el siguiente enlace:

Microsoft Report Viewer Redistributable 2008, Se debe instalar una vez concluida la habilitacion y configuracion del Rol Windows Server Update Services.Cuando estemos seguros de que el servidor dispone de acceso a internet:

Pulsamos sobre Add roles


Pulsamos sobre Next.
 

Marcamos Windows Server Update Services.
 

Pulsamos sobre Add Required Role Services.
 

Pulsamos sobre Next.
 
Pulsamos sobre Next.

Pulsamos sobre Next.

Pulsamos sobre Next.
 

 Pulsamos sobre Install.
 

Pulsamos sobre Next.
 
 Marcamos I Accept the terms of the License agreement y pulsamos sobre Next.

Aquí debemos poner la ruta donde se descargarán los Updates. piensa que ocupan bastante y piensa que serán los parches por cada idioma que tengas en tu organización. (Recomiendo almacenarlo en una unidad distinta a C:\ y así la puedes ampliar a tu antojo (Recordad que ahora con Windows Server 2008 es posible redimensionar particiones directamente desde Windows)). En el caso que no dispongas de espacio suficiente también tienes la opción de desmarcar la opción Store updates locally pero cada vez que tengas que actualizar un equipo se descargará estos parches desde Windows Update y el ancho de banda de la línea se verá afectada.

Pues bien modificamos la unidad por la que consideres mejor y pulsamos sobre Next. 
 

En este punto nos da la opción de almacenar la base de datos en local, en un SQL local o incluso en un servido SQL remoto. La mejor opción en grandes corporaciones es almacenar la base de datos en un SQL, pero en nuestro caso podremos almacenar en local.

Pulsamos sobre Next.
 

En esta pantalla nos muestra la posibilidad de dejar el servidor web operativo en el puerto 80 o cambiarlo por el 8530, si en este mismo servidor ya disponemos de un servidor web quizas interese marcar la segunda opción, en cualquier otro caso pulsamos sobre Next.
 

Repasamos el summary y pulsamos sobre Next.
 

Pulsamos sobre Finish.
 

Dependiendo si tienes o no las actualizaciones automáticas habilitadas os aparecerá este Warning. Voy a activarlo desde el panel de control y listo. Pulsamos sobre Close para terminar con la instalación.
 

Pulsamos sobre Yes para reiniciar.