Vamos a mostrar como configurar el Servidor WSUS para que se ponga a distribuir parches Microsoft.
Entramos en el servidor WSUS. En la consola Server Manager de Windows Server 2008 que puedes abrir desde Inicio –> Herramientas administrativas –> Server Manager.
Nos situamos en Roles –> Windows Server Update Services –> Update Services –> Options y pulsamos sobre WSUS Server Configuration Wizard.
Comprobamos los 3 puntos antes de seguir y pulsamos sobre Next.
En caso de querer ayudar a Microsoft a mejorar WSUS marcas la opción Yes, i would like to join the Microsoft Update Improvement Program. Esta opción enviará información a Microsoft sobre cuantos equipos tenemos en la organización, cuantos updates han sido satisfactorios y cuantos han fallado.
Pulsamos sobre Next.
En esta pantalla nos da la opción de que este servidor sea el que sincronizará con Microsoft Update o en el caso que estemos instalando un servidor secundario de WSUS marcar la segunda opción para introducir el nombre del servidor desde el que se sincronizará WSUS. (En nuestro caso como va a ser una instalación simple sin servidores en Branch Offices y como además es el primer servidor WSUS (Principal) lo dejaremos con esta opción marcada por defecto) y pulsamos sobre Next.
En el caso que este servidor requiera de un proxy para poder acceder a internet para descargar actualizaciones introduciremos sus datos en otro caso pulsamos sobre Next.
Pulsamos sobre Start Connecting. Esto hará que WSUS descargue y nos muestre las diferentes opciones que podremos configurar de idiomas, tipos de parches, y tipos de producto.
Pulsamos sobre Next.
En esta pantalla se nos da la opción de o bien sincronizar WSUS con todos los parches de todos los idiomas o bien únicamente de los idiomas que seleccionemos. (Recomiendo que si no estas seguros del idioma de los sistemas operativos que tienes dejes marcada la opción por defecto de todos los idiomas). Esto no descarga todos los parches de todos los idiomas, unicamente sincroniza con Windows Update para mostrar todos los parches disponibles de todos los idiomas que nosotros más tarde aprobaremos para su distribución. En caso de que los idiomas de los equipos a los que vayamos a distribuir parches sean únicamente por ejemplo español e inglés podremos descargar tras aprovar su instalación únicamente los parches para estos 2 idiomas. Recuerda que NO descarga los parches en ningún momento, unicamente los muestra para su aprobación. (Explicaré más adelante en este mismo artículo).
En nuestro caso como tenemos claro que sistemas operativos y que idiomas disponemos únicamente marcamos español e inglés para que la sincronización sea más rápida.
Pulsamos sobre Next.
Esta pantalla nos ofrece la posibilidad de marcar únicamente los productos que vamos a sincronizar para poder aplicar parches. En nuestro caso como únicamente le vamos a actualizar los parches a los servidores vamos a marcar las opciones Exchange, OCS, Windows Servers, etc… En vuestro caso marcamos las opciones que mejor se adapten a la funcionalidad de este WSUS y al terminar pulsar sobre Next.
Recuerda que tanto los idiomas como los productos se podrán configurar en otras ocasiones en caso que sean necesarias sin tener que pasar por todo el wizard.
Aquí se nos da la oportunidad de descargar varios tipos de actualizaciones. Por defecto están carcadas las de la imagen anterior. Pero nosotros lo vamos a modificar para que descargue Service Packs y Update Rollups. Ya que en caso necesario podríamos distribuir los Service Pack a través de la consola WSUS sin tener que conectarnos servidor a servidor y descaragar e instalar el Service pack. Los Update rollups también los marcamos ya que son acumulaciones de parches que son útiles en ocasiones para no tener que descargar todos los parches uno por uno, en update rollups vienen paquetizados.
Marcamos las opciones que más os convengan y pulsamos sobre Next.
Marcamos la opción Synchronize automatically y ponemos una hora prudencial en para no afectar al ancho de banda de internet de los usuarios de nuestra corporación y pulsamos sobre Next.
Marcamos la opción Begin initial synchronization pensando en lo que acabo de decir. Si no afectamos al ancho de banda de los clientes. Esto realizará una primera sincronización de las configuraciones anteriores.
Pulsamos sobre Next.
Aquí se nos muestran varios enlaces para ayudar a configurar WSUS. Nosotros pulsamos sobre Finish. Comprobamos que la sincronización se está efectuando en el apartado Synchronizations.
Mientras está sincronizando vamos a configurar la estructura de las actualizaciones. Por ejemplo en el caso que queramos separar las actualizaciones por empresas para tener un report claro de cómo estamos a nivel de parches en cada empresa crearemos un grupo por empresa. En caso que queramos hacerlo por departamentos pues crearemos tantos departamentos como queramos. En nuestro caso como ya hemos dicho antes únicamente vamos a actualizar los servidores así que primeramente crearemos un grupo llamado BeforeDeploy para poder albergar una serie de servidores donde descargaremos e instalaremos los parches y chequearemos su estado, para más tarde por ejemplo una o 2 semanas distribuir estos mismos parches a todos los demás servidores de la empresa. (Esta es una buena práctica ya que en caso q uno de los parches instalados provoque un mal funcionamiento del servidor únicamente nos afectará a un grupo reducido. El grupo BeforeDeploy os recomiendo que en este grupo tengas un servidor de cada tipo, por ejemplo un Domain Controller, un Exchange, un Sql, etc… para poder testear los parches con las diferentes funcionalidades de cada servidor. Para ello tras situarnos sobre Computers pulsamos con el botón derecho del ratón sobre All computers y pulsamos sobre Add Computer Group.
Escribimos el nombre del grupo y pulsamos sobre Add. Nosotros creamos otro grupo llamado AllServers para albergar todos los demás servidores. NOTA: Para poder ubicar los servidores en cada grupo disponemos de 2 opciones o bien hacerlo mediante directivas de grupo o bien moviendo manualmente cada servidor dentro de WSUS a su grupo. Nosotros para hacerlo más difícil y también más manejable lo haremos mediante directivas de grupo.
Primero debemos configurar WSUS para que acepte este tipo de instrucción pero deberemos esperar a que termine de sincronizar para poder modificar estas opciones. Mientras tanto iremos creando la estructura de Active Directory para poder vincular las directivas de grupo de una forma más sencilla.
No hay comentarios:
Publicar un comentario