Blog de Pablo Caceres

Cuando agregamos un cliente al WSUS, tenemos que esperar a que pase el tiempo de detección para que se actualize el nuevo cliente.

Existe una forma que para minimizar ese tiempo. Para ello abrimos una consola de comandos. Detenemos el servicio ejecutando el siguiente comando:

net stop wuauserv

Luego borramos la clave del registro donde está configurado cuando es el próximo tiempo de detección:

REG DELETE “HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdateAuto Update” /v NextDetectionTime /f

Arrancamos el servicio:

net start wuauserv

Forzamos la detección de las actualizaciones:

wuauclt /detectnow

Ya tenemos configurado el servidor de actualizaciones (ver artículo WSUS 3.0 – Topologia Front / Back), ahora le toca a los clientes. La forma en la que podemos configurarlos depende si nuestro entorno tiene Active Directory o no. Veamos que opciones tenemos:

Con Active Directory

• Group Policy (políticas de grupo)

Sin Active Directory

• Local Group Policy (políticas de grupo local)
• Editar la registry (registro) (menos aconsejada)

En la figura de abajo se observa el editor de políticas de grupo (GPO Editor) posicionado sobre la plantilla de Windows Updates

1- Permitir la instalación inmediata de Actualizaciones automáticas (Allow Automatic Updates inmediate installation) . Para aquellas actualizaciones que no interrumpan los servicios de Windows o no requieran reinicio.

Habilitada (Enabled): se instalarán inmediatamente una vez que hayan sido bajadas y estén listas para instalar.

Deshabilitada (Disabled): las actualizaciones no serán instaladas inmediatamente.

Si la política Configurar actualizaciones automáticas está deshabilitada, ésta política no tiene efecto.

2- Permitir que los usuarios que no sean administradores reciban notificaciones (Allow non-administrators to receive updates notifications)

Habilitada: AU notificará a cualquier usuario logueado.

Deshabilitada: AU solo notificará solo si el usuario es administrador.

No configurada: idem a deshabilitada.

Si la política Configurar actualizaciones automáticas está deshabilitada, ésta política no tiene efecto.

3- Frecuencia de detección de Actualizaciones automáticas (Automatic Updates detection frequency)

Habilitada: AU chequea por actualizaciones disponibles según el intervalo especificado (1 a 22 horas).

Deshabilitada: AU chequea por actualizaciones disponibles cada 22 horas.

No configurada: idem a deshabilitada.

Debe estar habilitada la política “Especificar la ubicación del servicio Microsoft Update en la intranet”

Si la política Configurar actualizaciones automáticas está deshabilitada, ésta política no tiene efecto.

4- Configurar actualizaciones automáticas (Configure Automatic Updates). Especifíca si la computadora recibirá las actualizaciones a través del servicio de actualizaciones automáticas.

Habilitada: según la opción elegida (2, 3, 4 o 5) las actualizaciones tendrán un comportamiento específico.

Deshabilitada: las actualizaciones deberán bajarse e instalarse manualmente.

No configurada: el uso de AU no está especificado por políticas.

5- Demorar el reinicio para las instalaciones programadas (Delay Restart for scheduled installations).

Habilitada: el reinicio se llevará a cabo n minutos después que la instalación termino.

Deshabilitada: el reinicio ocurrirá a los 5 minutos.

No Configurada: idem a deshabilitada.

Solo se aplica si las Actualizaciones Automáticas están configuradas para realizar una instalación programada.

Si la política Configurar actualizaciones automáticas está deshabilitada, ésta política no tiene efecto.

6- No ajustar la opción predeterminada a “Instalar actualizaciones y Apagar” (Do not adjust default option to “Install Updates and Shut Down” in Shut Down Windows dialog box)

Habilitado: la última opción elejida por el usuario será la que aparezca en las opciones de apagar.

Deshabilitado: “Instalar actualizaciones y Apagar” será la opción prederterminada que aparecerá si hay actualizaciones listas para ser instaladas al momento de apagar la computadora.

No configurado: idem a deshabilitada.

7- No mostrar la opción “Instalar actualizaciones y Apagar” en el cuadro de Apagar (Do not display “Install Updates and Shut Down” option in Shut Down Windows dialog box)

Habilitado: no aparecerá la opción “Instalar actualizaciones y Apagar” en las opciones de apagar.

Deshabilitado: aparecerá la opción si hay actualizaciones listas para ser instaladas al momento de apagar la computadora.

No configurado: idem a deshabilitada.

8- Habilitar que el cliente pueda ser un destino (Enable client-side targeting).

Habilitada: la computador se identificará como miembro de un grupo en el WSUS.

Deshabilitada: la computadora no se identificará.

No configurada: idem a deshabilitada.

Si la política Especificar la ubicación del servicio Microsoft Update en la intranet no esta habilitada, ésta política no tiene efecto.

9- No reiniciar automáticamente en instalaciones de Actualizaciones automáticas (No auto-restart for scheduled Automatic Updates installations). Una vez instaladas las actualizaciones, la computadora no se reiniciará automaticamente.

Habilitada: AU no reiniciará la computadora automáticamente si un usuario está logueado. Solo notificará que debería reiniciarse el sistema.

Deshabilitada: AU notificará al usuario que la computadora se reiniciará en 5 minutos.

No configurada: Idem a deshabilitada.

Solo se aplica si las Actualizaciones Automáticas están configuradas para realizar una instalación programada.

Si la política Configurar actualizaciones automáticas está deshabilitada, ésta política no tiene efecto.

10- Volver a pedir la intervención del usuario para reiniciar con instalaciones (Re-prompt for restart with scheduled installations). Cantidad de tiempo que espera para volver a avisarle al usuario por una reiniciación pendiente.

Habilitada: la cantidad especificada.

Deshabilitada: 10 minutos.

No configurada: Idem a deshabilitada.

Solo se aplica si las Actualizaciones Automáticas están configuradas para realizar una instalación programada.

Si la política Configurar actualizaciones automáticas está deshabilitada, ésta política no tiene efecto.

11- Volver a programar la instalación programada de actualizaciones automáticas (Reschedule Automatic Updates scheduled installations). Para una instalación programada que no pudo realizarse.

Habilitada: se realizará la cantidad de minutos especificados después del inicio del sistema.

Deshabilitada: esperará a la próxima instalación programada.

No configurada: se realizará 1 minuto después del inicio del sistema.

Solo se aplica si las Actualizaciones Automáticas están configuradas para realizar una instalación programada.

Si la política Configurar actualizaciones automáticas está deshabilitada, ésta política no tiene efecto.

12- Especificar la ubicación del servicio Microsoft Update en la intranet (Specify intranet Microsoft update service location).

Habilitada: deberemos ingresar la url de intranet donde está instalado el servidor de Actualizaciones. Deberemos ingresar la misma url en ambos campos.

Deshabilitada: el cliente de actualizaciones automáticas se conectará a internet (si las actualizaciones automáticas no están deshabilitadas)

Si la política Configurar actualizaciones automáticas está deshabilitada, ésta política no tiene efecto.

Siguiendo con el tema de herramientas para administrar las actualizaciones, presentamos el WSUS 3.0 que es la versión más reciente del ya conocido WSUS.

Para esta instalación, la base de datos la ubicaremos en un servidor y la aplicación en otro.

Prerequisitos

1) El servidor (FLD-AR-MGT-01) destinado al WSUS, deberá tener instalado lo siguiente:

• Windows 2003 Server con SP1 (o SP2)
• Internet Information Services (IIS) 6.0
• Background Intelligent Transfer Service (BITS) 2.0 (download)
• Microsoft .NET Framework Version 2.0 Redistributable Package (download)
• Microsoft Management Console 3.0 (download)
• Microsoft Report Viewer Redistributable 2005 (download)
• Windows Server Update Services 3.0 (download)

2) Para nuestro ejemplo, tenemos un servidor (FLD-AR-SQL-01) de base de datos separado, instalado de la siguiente forma:

• Windows 2003 Server con SP1 (o SP2)
• SQL Server 2005 Standard Edition con SP2

nota: puede utilizar la versión Express

• SQL Server 2005 Express Service Pack 2 (download)
• SQL Server Management Studio Express Service Pack 2 (download)

Debemos asegurarnos que el SQL Server soporte los triggers anidados (nested triggers), para ello realizaremos la siguiente consulta de sql:

osql -E -Q “sp_configure ‘nested triggers’“

si run_values está en 0, deberemos ponerlo en 1:

osql -E -Q “sp_configure ‘nested triggers’, 1“

osql -E -Q “RECONFIGURE“

Instalación

Los pasos para realizar la instalación son los siguientes:

En FLD-AR-MGT-01, logueado como administrador, vamos a start -> run y tipeamos WSUSSetup_x86.exe

En la pantalla de Bienvenida pulsamos Next

Ahora elegimos el modo de instalación, en nuestro caso Full y pulsamos Next

(como vemos en la figura, podemos instalar sólo la consola de administración)

Aceptamos los términos de la licencia y pulsamos Next

Seleccionamos la opción de almacenar las actualizaciones localmente y elegimos el directorio, en nuestro caso C:WSUS, y pulsamos Next

Elegimos usar un servidor de base de datos remoto, para ello ingresamos el nombre del mismo (FLD-AR-SQL-01) y pulsamos Next

Vemos como se conecta (caso contrario habrá que verificar si los servidores tienen correctamente configurada la red y el servicio de SQL está corriendo), pulsamos Next

Seleccionamos si usamos el sitio web por defecto (nuestro caso) o creamos uno nuevo y pulsamos Next

Vemos el resúmen de la instalación. Pulsamos Next

Comieza la instalación, cuando termina pulsamos Finish

Configuración

Usemos el wizard para realizar la configurar. Vemos la pantalla inicial y pulsamos Next

En esta pantalla seleccionamos si queremos unirnos al programa de mejoras de Microsoft. Pulsamos Next

Elegimos de donde queremos sincronizar este servidor, (elegimos Microsoft Update) y pulsamos Next

Si tenemos un proxy lo configuramos y pulsamos Next

Intentamos conectarnos con el Upstream Server pulsando Start Connecting

Si la conexión fue exitosa, pulsamos Next

Elegimos en que idiomas necesitamos las actualizaciones y pulsamos Next

Elegimos las actualizaciones de que productos queremos y pulsamos Next

Elegimos que tipo de actualizaciones vamos a bajar y pulsamos Next

Seleccionamos si la sincronización será manual o automática. En este último caso, seleccionamos cuando se ejecutará. Pulsamos Next

Si queremos que la sincronización inicial empiece de inmediato, marcamos la casilla, sino la dejamos en blanco y pulsamos Next

Terminamos la configuración pulsando Finish

Abrimos la consola desde Start -> All Programs -> Administrative Tools -> Microsoft Windows Server Update Services 3.0

Así concluimos con la instalación del WSUS 3.0. En breve veremos como configurar los clientes.

Podemos obsevar que la instalación es mucho más sencilla que la versión anterior.

A la hora de administrar la actualizaciones (tanto del Sistema Operativo, como de las aplicaciones de Microsoft) contamos con varias herramientas, propias de Microsoft o de terceros que nos hacen la vida mas fácil. Pero no todo son flores, ya que los costos de dichas herramientas suelen ser elevados, lo que deja a un porcentaje de empresas sin poder aprovecharlas. Por suerte existe una alternativa gratuita, el Windows Server Update Services versión 2, más conocido como WSUS, que cumple con la mayoría de los requisitos que una herramienta de este tipo debe tener.

En este artículo vamos a detallar como instalar el WSUS 2.0 en dos servidores que denominaremos WSUS Front y WSUS Back.

A continuación se muestra un diagrama de la topología usada:

Requerimientos

• Windows 2003 Server con SP1 (se aconseja SP2) instalado
• ambos servidores unidos a un dominio
• IIS 6.0 (en el Front)
• SQL Server 2005 (en el Back)

WSUS Front (instalación)

Instalaremos el Front en FLD-AR-MGT-02, el cuál debe tener instalado el IIS y además acceso a Internet.

Vamos a start -> run y tipeamos WSUSSetup.exe /f

En la pantalla de Bienvenida pulsamos Next

Aceptamos los términos de la licencia y pulsamos Next

Seleccionamos la opción de almacenar las actualizaciones localmente y elegimos el directorio, en nuestro caso C:WSUS, y pulsamos Next

Seleccionamos donde queremos que este alojado el sitio web (se recomienda en el Default Web site) y pulsamos Next

La siguiente pantalla muestra un resúmen de los componentes a instalar. Pulsamos Next

Cuando termina la instalación, pulsamos Finish

Con estos pasos ya está instalado la parte del Front del WSUS.

WSUS Back (instalación)

Instalaremos el Back en FLD-AR-SQL-02, en nuestro caso es un SQL 2005 Express Edition. Debemos chequear que este habilitada la conexión local y remota usando TCP/IP solamente (lo hacemos a través del SQL Server 2005 Surface Area Configuration).

Vamos a start -> run y tipeamos WSUSSetup.exe /b

En la pantalla de Bienvenida pulsamos Next

Aceptamos los términos de la licencia y pulsamos Next

Seleccionamos la instancia de SQL donde queremos instalar (en nuestro caso la default). Pulsamos Next

Veremos si el se puede establecer la conexión. Pulsamos Next

En la próxima pantalla elegimos si este servidor heredará la configuraciónde otro o no (en nuestro caso no heredará). Pulsamos Next

Cuando pulsemos Next, comenzará la instalación.

Cuando termina la instalación, pulsamos Finish

Con estos pasos completamos la primera parte de la instalación. Ahora deberemos realizar un par de configuraciones para hacer que ambos servidores puedan conectarse.

WSUS Back (configuración)

Primero debemos decirle al Back donde se almacenarán las actualizaciones, para ello deberemos ejecutar el siguiente comando desde la consola (start -> run, y tipeamos cmd ):

Para almacenamiento local (nuestro ejemplo)

“%programfiles%update servicestoolsosqlosql.exe” -S SQLServerName -E -b -n -Q “USE SUSDB UPDATE dbo.tbConfigurationA SET HostOnMu = ’0′ UPDATE dbo.tbConfigurationB SET LocalContentCacheLocation = N’LocalContentCacheLocation Value’ “

Siguiendo el ejemplo, los valores serían los siguientes:

“C:Program Filesupdate servicestoolsosqlosql.exe” -S FLD-AR-SQL-02 -E -b -n -Q “USE SUSDB UPDATE dbo.tbConfigurationA SET HostOnMu = ’0′ UPDATE dbo.tbConfigurationB SET LocalContentCacheLocation = N’C:WSUSWSUSContent’“

************

Si hubieramos elegido no descargar las actualizaciones localmente, deberíamos usar el siguiente comando:

“%programfiles%update servicestoolsosqlosql.exe” -S SQLServerName -E -b -n -Q “USE SUSDB UPDATE dbo.tbConfigurationA SET HostOnMu = ’1′ UPDATE dbo.tbConfigurationB SET LocalContentCacheLocation = N’%programfiles%Update ServicesWsusContent’“

************

Luego, deberemos agregar el servidor del Front (FLD-AR-MGT-02) en el grupo WSUS Administrators del Back . Usamos el siguiente comando:

net localgroup “WSUS Admistrators” FLD-AR-MGT-02$ /add

WSUS Front (configuración)

En el servidor del Front, debemos decirle donde se encuentra el Back. Para ello ingresamos el siguiente comando desde la consola:

reg add “HKLMSoftwareMicrosoftUpdate ServicesServerSetup “
/v SqlServerName /t REG_EXPAND_SZ /d FLD-AR-SQL-02 /f

A continuación iniciamos el servicio desde la consola:

net start wsusservice

Con estos pasos hemos concluido la instalación y configuración básica del WSUS.

Si vamos a Start -> Administrative Tools -> Microsoft Windows Server Update Services, se abrirá la consola de la aplicación.

Descargas

Windows Server Update Services with Service Pack 1