WSUS – Información práctica de configuración en un grupo de trabajo

WSUS – Información práctica de configuración en un grupo de trabajo

Puesto que se puede sacar mucha información de este interesante servicio y puesto que todavía no he publicado todos los materiales audiovisuales que quisiera (Algunos serán exclusivos para miembros de YouTube, Patreon o SoporteTI Pro) he decidido hacer un artículo algo más extenso de lo habitual a fin de poder dar algunas informaciones sobre este servicio que a mi me han ayudado mucho, a pesar de que también me falta mucho por aprender sobre este.

Configuración en dominio ¿O en grupo de trabajo?

Este punto ha sido el que más tiempo me ha quitado ya que muchas veces tenemos necesidades distintas a lo habitual, y aunque habrá mucho purista suelto por el patio del colegio diciendo que somos unos cafres insensibles, cuando toca saltarse las normas, pues se las salta uno y punto, lo importante es saber porque estamos haciendo lo que estamos haciendo, que eso si sería peligroso para los amigos del patio…

El entorno habitual y para el que Microsoft nos dará “facilidades” es un entorno, o ambiente, de dominio, ahí es donde WSUS trabaja como en casa y tenemos todas las facilidades del mundo para configurarlo, controlar los equipos, e incluso indicarles a golpe de GPO cual será su servidor WSUS favorito en adelante.

Pero que pasa cuando no tenemos un dominio, ¿Sabes que existen entornos con servidores que no tienen dominio? porque a veces se nos olvida y nos subimos al camión de las buenas prácticas dejando fuera de nuestro mundo perfecto todo lo que no son eso, buenas prácticas y la verdad es que el mundo no es así.

Ejemplo cristalino, yo tengo en casa algunos servers que utilizo para dar mi formación, grabar vídeos y autoformarme entre otras cosas, pero que pasa, que claro, entre las máquinas virtuales de mi equipo, las otras 10 o 12 que tengo en los servidores, los propios servidores etc un proceso de actualización me lleva 6 meses y eso no me mola así que, ya tengo mi WSUS corriendo en casa!!

WSUS

El proceso no ha sido demasiado complejo, solo que al principio te mareas con la cantidad de productos para actualizar, y no es solo que tengas office, sql, exhange, internet explorer, windows 7 etc, es que por ejemplo de Windows 10, y así a lo loco, puedes tener como 15 ediciones distintas, y de estas tienes que seleccionar si quieres updates críticos, de seguridad, de controladores… esto si lo hace un poco mareante, pero bueno, con un poco de paciencia supongo que podremos sobrevivir a todas esas opciones.

wsus

El proceso de instalación del servicio

Podría decir que es un proceso típico de Windows, sin mucha complicación y con un pequeño cuestionario tras instalar WSUS con preguntas / configuraciones como por ejemplo si tenemos un proxy, si es el primer WSUS de la red o se replica de otro, los productos que querremos instalar, los idiomas etc… pero de todas formas tranquis todos porque si queremos modificar algo lo podremos hacer después, os dejo el vídeo.



Y visto el vídeo, creo que no hay nada más que añadir, vamos con el siguiente punto.

Conectar equipos en grupo de trabajo a nuestro servidor WSUS

Aquí ya se vuelve todo mucho más interesante, porque si, en dominio con una GPO lo podemos arreglar, pero en grupo de trabajo no, y de todas formas, en mi entorno a veces conectar al WSUS equipos en dominio y otras equipos en grupo de trabajo ya que lo que persigo es reducir notablemente los tiempos de actualización.

Llegados aquí y sin posibilidades de hacer un despliegue de esta configuración por GPO no nos quedará más remedio que tirar de regedit, esa aplicación del sistema que nunca queremos tocar en producción y a veces ni en entornos de prueba, por si acaso.

Esta modificación sobre el registro de Windows la he obtenido del siguiente sitio Web, que como está en inglés me tomaré la molestia de convertirlo al español, no todo, pero si la información más interesante para este artículo.

Como explica el artículo, a fin de no tirar de regedit (era bromita jijiji) podemos configurar un archivo .reg por ejemplo ” wsus.reg ” en el que agregaremos la siguiente información.


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"AcceptTrustedPublisherCerts"=dword:00000001
"ElevateNonAdmins"=dword:00000001
"TargetGroup"="Workstations"
"TargetGroupEnabled"=dword:00000000
"WUServer"="http://servidor_WSUS:puerto"
"WUStatusServer"="http://servidor_WSUS:puerto"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"AUOptions"=dword:00000004
"AUPowerManagement"=dword:00000001
"AutoInstallMinorUpdates"=dword:00000001
"DetectionFrequency"=dword:0000000a
"DetectionFrequencyEnabled"=dword:00000001
"IncludeRecommendedUpdates"=dword:00000001
"NoAUAsDefaultShutdownOption"=dword:00000001
"NoAUShutdownOption"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"NoAutoUpdate"=dword:00000000
"RebootRelaunchTimeout"=dword:0000000a
"RebootRelaunchTimeoutEnabled"=dword:00000001
"RescheduleWaitTime"=dword:0000000a
"RescheduleWaitTimeEnabled"=dword:00000001
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"UseWUServer"=dword:00000001

Puesto que la negrita en color rojo casi no se aprecia os dejo las líneas que habrá que modificar:

“WUServer”=”http://servidor_WSUS:puerto
“WUStatusServer”=”http://servidor_WSUS:puerto

Para poder hacerlo fácil abre un notepad, copia y pega este texto indicando la IP de tu servidor y el puerto deseado y por último, guárdalo como un archivo .reg luego lo ejecutas, reinicias el sistema y a ver si se muestra en WSUS.

En cuanto a “servidor_WSUS” pondremos la IP de este, recordamos que estamos en un ambiente de grupo de trabajo y que posiblemente no podamos llegar por nombre a nuestro server, salvo que queramos pringarnos con más configuraciones del sistema, así que ponemos la Ip, y solucionado el tema.

En cuanto al puerto, el puerto de WSUS por defecto es el 8530 o el 80 así que tenemos que asegurarnos que están abiertos en el firewall, ya sea el de Windows u otro.

Y con esto nuestras máquinas deberían empezar a trabajar con nuestro servidor WSUS.

Clientes de grupo de grupo de trabajo conectados

Una vez empezamos a conectar los clientes los empezaremos también a ver en nuestro WSUS, en mi caso tengo dos máquinas conectadas solamente, ya que estaba haciendo las pruebas pero como se muestra en la imagen, ambas están conectadas y recibiendo actualizaciones de este servidor.

wsus

Aquí podemos ver que tengo dos máquinas, un Servior con Windows Server 2016 para unos labs que estoy haciendo, para posteriormente hacer un par de vídeos y un equipo con Windows 10 pa jugar y ver como funciona el sistema, como vemos uno de los dos tiene un triangulito amarillo, el server con nombre AD1, esto es porque no tiene todas las actualizaciones así que deberemos de ver porque no las tiene, en mi caso, porque es el último servidor que agregué a la red de WSUS, que por cierto quiere decir Windows Server Update Services, y todavía no ha completado todos los updates.

Funcionamiento de WSUS

El funcioamiento es un poco lioso, sobre todo al principio y yo trataré de describirlo de la mejor forma posible.

  1. Lo primero será seleccionar los updates que queremos almacenar en WSUS, si de Windows 10 1803 o 1709, si queremos de Windows 10 S, Windows 7, o Windows Server… luego tendremos que elegir que tipo de updates y como no los idiomas.
  2. Mi recomendación es que en este punto y antes de meter máquinas al server hagáis una primera sincronización y una vez este terminada, empecemos a meter los clientes.
  3. Tras esto habrá que empezar a conectar los clientes a WSUS, para ello tiramos del archivo de registro que crearemos con el código de arriba y que tendremos que ejecutar en los clientes que queramos conectar.
  4. Conforme vamos conectando los clientes al servidor lo que yo haría es crear los grupos de máquinas así los podemos tener un poco más controlados, por ejemplo con los equipos de trabajo diario por un lado, los equipos de prueba de Windows 10 o lo que sea etc… pero si tener bien seccionados los equipos. También cabe destacar que podemos hacer la agrupación automática tal y como muestra la siguiente imagen.

    wsus

    De esta forma es más sencillo agruparlos por ejemplo por versiones de SO.

  5. Y para rematar, una vez sincronizado con los equipos conectados y todo el rollo tendremos que dar un paso más, que es quizá lo que más desconcierta al principio, hay que aprobar las actualizaciones, y hay que aprobarlas para los distintos grupos, lo que es lógico porque, ¿Para que vas a aprobar las actualizaciones de un Windows Vista a un grupo de máquinas con Exchange…?

Como se puede entender no es un proceso complejo, pero si requiere muchos pasos y en ocasiones procesos que llevan mucho tiempo, por ejemplo, yo al unir el equipo con Windows 10 no tuve problemas, a los 10 o 15 minutos ya estaba actualizándose desde el WSUS, pero el Server… ese si me dio dolores de cabeza, estuve como 2 horas esperando, primero no se mostraba en la lista, luego se mostraba pero no podía actualizarlo, solo sabía dar errores y al final se empezó a actualizar, eso si, con mi sorpresa al ver que un update acumulativo tardo unos 30 minutos en el proceso completo.

Así que lo que añadiría a este brve entrada sería lo siguiente, tómatelo con calma, estos procesos no son rápidos, así que, cuando lo pongas a sincronizar, cuando este conectando equipos etc, dale tiempo, ah! y muy importante, si vas a querer ver una peli en Netflix mejor déjalo para otro rato, porque te va a machacar el ancho de banda completito.

Ventajas de WSUS

Entre las ventajas que tenemos son para mi dos principalmente.

La primera es el ahorro en el ancho de banda, esto es que las máquinas de tu red, ya sea dominio o grupo de trabajo, ya no consumirán ancho de banda del ISP y esto lo agradecerás a la hora de hacer la actualización de los equipos, además que si tu red da un buen rendimiento, los updates implicarán menos tiempo y esto se traduce en mayor productividad.

La segunda gran ventaja es que podrás filtrar las actualizaciones ya que previamente las tendrás que aprobar, así que mediante las reglas de aprobación automática puedes desplegar los updates críticos o de seguridad y dejar los demás para otro momento.

wsus

Como desconectarse del servidor

Y ahora que ya os he convencido a casi todos de que os pongáis a jugar con WSUS solo falta una cosa, que pasa con las máquinas cuando salgan de la red de WSUS, o simplemente, quiera hacer otro laboratorio y el server tenga que pasar a otras actividades, pues nada, simplemente creamos un archivo .reg con las entradas vacías, es decir, de la siguiente forma.


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]

Conclusiones

Como vemos Windows Server Update Services es un servicio muy interesante que puede proporcionar a nuestro entorno una gran cantidad de ventajas además de herramientas para controlar el como y cuando los sistemas de la red se actualizarán.

Poder definir que máquinas tendrán actualizaciones o cuales no, e incluso trabajar un grupo de sistemas a modo conejillo de indias donde poder desplegar todos los updates y si uno falla entonces iniciar un despliegue masivo son solo algunas de las ideas con las que podremos trabajar, y es que un servicio como este en entornos medianos y grandes puede ayudarnos muchísimo.

Por otro lado el despliegue podrá ser todo lo paulatino que queramos, ya que podremos decidir poco a poco que equipos de la red empezarán a trabajar con WSUS y cuales no, lo que nos da un control total sobre las actualizaciones de los equipos.

Y bueno, creo que por hoy ya he escrito bastante, llevaba tiempo sin hacerlo y hoy lo he pillado con ganas, por eso tremendo ladrillo.

Espero que te haya gustado este pequeño artículo, recuerda que seguiré trabajando el tema así que no dudes en suscribirte al canal de YouTube y activar la campanita para no perderte ni una sola de mis publicaciones.

Hasta luego!!

Deja un comentario