Respuestas WSUS (2)

  • Article

Hola

Hoy contestamos dos preguntas que han salido de forma recurrente durante los eventos en los que hemos estado hablando de Windows Server Update Services (WSUS).

1.- La primera es cómo se puede eliminar el contenido correspondiente a idiomas o productos de los que se haya decidido no continuar sincronizando, o el correspondiente a actualizaciones reemplazadas o que por alguna razón no vayan a ser necesarias (es decir, las que marquemos como "No Aceptada", o "Declined" en inglés, en su estado de aprobación). Para ello usaremos la herramienta WSUSUtil.exe (incluida en la carpeta "Archivos de Programa\Update Services\Tools") y la Server Diagnostic Tool, cuya descripción y sintaxis podéis consultar aqui.

NOTA: Antes de jugar con estas opciones en un servidor en producción, por favor, haced un backup completo del estado del servidor

a) Para eliminar las actualizaciones que no sean necesarias, bien por que hayan sido reemplazadas y estén aprobadas las actualizaciones que las reemplazan, bien porque sean para un producto que ya no utilizamos, bien porque por alguna razón ya no las necesitemos:

   - Las buscamos usando la consola, las seleccionamos y cambiamos su estado de aprobación a "No Aceptada".

   - Eliminamos los archivos correspondientes usando la Server Diagnostic Tool: WsusDebugTool.exe /Tool:PurgeUnnneededFiles

b) Para eliminar las aprobaciones en idiomas que ya no están seleccionados en las opciones de sincronización del servidor

   - Listamos las aprobaciones que tenemos en estado inactivo: WSUSUtil.exe listinactiveapprovals

   - Una vez revisado si el resultado del comando anterior es coherente con lo que nos proponemos hacer, eliminamos las aprobaciones inactivas. Antes de ejecutar este comando, es necesario parar el sitio de Admimistración de WSUS en la consola de IIS: WSUSUtil.exe deleteinactiveapprovals

    - Por último, eliminamos los archivos correspondientes usando la Server Diagnostic Tool: WsusDebugTool.exe /Tool:PurgeUnnneededFiles

2.- ¿Se puede instalar WSUS en un controlador de Dominio?. Por poderse, se puede. No hay nada en la instalación del producto que lo impida, pero no esta recomendado por razones de rendimiento y seguridad. Por ejemplo, para administrar un servidor WSUS basta con agregar al usuario elegido al grupo local "Administradores de WSUS". Es muy posible que no queramos que ese usuario pertenezca a uno de los grupos del dominio que tienen permisos de inicio de sesión local en el servidor.

David Cervigón