Instalación y configuración inicial de WSUS 3.0 (Beta2)


Hola

Hace unos dias comentábamos por aqui la disponibilidad de la Beta 2 de WSUS 3.0, acompañada de alguna documentación. Aunque los más fácil hubiera sido reusar alguna de las máquinas virtuales que ya tenia con Windows Server 2003 R2 y WSUS 2.0 para actualizarlo, me he animado a probarlo sobre la también Beta 2 de Longhorn Server, montándolo todo desde el principio.  Pongo aqui los pantallazos comentados del proceso de instalación, que he realizado vía Remote Desktop desde mi XP:

La descarga es el habitual ejecutable autodescomprimible que lanza el ejecutable de la instalación al final:

            

Lo primero que nos pregunta la instalacion es en que unidad y carpeta queremos llevar a cabo la instalación de WSUS. Es recomendable al menos tener 6 GB libres para almacenar la base de datos y las actualizaciones, pero esta cantidad puede crecer en función de la cantidad de productos e idiomas en los que vayamos a querer dar servicio a los clientes de la red. En mi caso la unidad elegida no dispone de tal espacio disponible, por lo que la instalación alerta explícitamente sobre este hecho.

             

Los siguientes pasos de la instalación es la configuración de la base de datos que se va a utilizar para almacenar toda la lógica de la solución y el sitio Web donde se configurará el  servicio que utilizaran los clientes para obtener las actualizaciones disponibles y reportar su estado. En mi caso, ya que estoy usando Longhorn, WSUS 3.0 requiere tener instalado SQL 2005 SP1. En Windows Server 2003, o en Windows 2000, puede o bien usarse una instancia de SQL ya presente en el equipo o en otro servidor de la red, o si no el propio asistente instalará y configurara SQL Server 2005 Embedded Edition. Por otro lado, se nos da a elegir configurar el servicio Web en el Sitio Web Predeterminado en el puerto 80, o crear uno nuevo dedicado en el ya tradicional puerto 8530:

                                             

Tras estas opciones, se nos informa de los cambios que se van a realizar en función de las opciones elegidas y se lleva a cabo la copia de archivos y la configuración del sistema:

                     

Una de las novedades de WSUS 3.0 es un asistente de configuración del servicio, que puede lanzarse justo después  de la instalacién o en cualquier momento después a través de la consola basada en la MMC 3.0. La idea del asistente es configurar todos los parámetros necesarios para tener el servidor operativo, y que en WSUS 2.0 había que especificar en diferentes lugares de la consola.

Con este asistente podremos:

  • Elegir desde donde queremos descargarnos las actualizaciones. Podrá ser desde un WSUS que haga de “upstream proxy” o directamente desde Microsoft Update. WSUS 2.0 puede descargarse actualizaciones desde un WSUS 3.0, pero no al revés.

 

  • Configurar el servidor proxy que nos separa de Microsoft Update o del WSUS upsteam proxy.

  • Una vez hecho esto, se nos permite conectarnos al servidor elegido para descargarnos el esquema de productos soportados y las categorías de actualizaciones existentes para los mismos. Es un buen momento para comprobar si la conectividad es correcta, según los parámetros elegidos en los pasos anteriores.

  • Especificar los idiomas en los que queremos bajarnos las actualizaciones. Ojo, porque por defecto el asistente nos marca todos los idiomas , lo que en la mayoría de los casos no es en absoluto necesario.

 

  • Elegir los productos y sistemas Operativos para los cuales nos descargaremos las actualizaciones. Como en el caso anterior, es conveniente detenerse a pensar que es lo que tenemos desplegado en la organización. Siempre es posible marcar otro producto posteriormente.

 

  • Seleccionar las categorías o clasificaciones de actualizaciones que nos descargaremos. Por defecto aparecen seleccionadas las actualizaciones críticas y de seguridad.

  • Elegir si la sincronización de las actulizaciones elegidas para los productos especificados se llevará a cabo de forma manual por el administrador (no recomendado) o todos los días a una cierta hora.

  • Por último, podemos lanzar la sincronización inicial, que nos descargará todas las categorías de actualizaciones especificadas para los productos elegidos durante las fases anteriores.

Una vez terminados todos estos pasos, el servidor WSUS 3.0 estará listo para dar servicio a los clientes. La nueva consola de administración nos permitirá administrar el servicio y sacar informes de manera distinta a como lo hacíamos en WSUS 2.0. Pero esa es otra historia, y ahora estamos en el último cuarto del España-Argentina.

Saludos

David

Comments (35)

  1. Ergo el cliente no ha procesado la política de grupo del dominio.

  2. Si, WSUS puede estar en un equipo en grupo de trabajo. Puedes leer mucho sobre las Group Policies buscando por GPO en la wen de TechNet

    Saludos

  3. Posible pero no recomendable. WSUS siempre detras del firewall, pero no en el firewall

    Saludos

  4. Hola

    Tienes que sincronizar el servidor al menos una vez para que la información que sale en "Products and Classifications" refleje todo el catálogo. Windows Vista debe estar ahi

    Saludos

  5. Eso lo tienes explicado en las guias de despliegue y operaciones disponibles en la Web.

    http://www.microsoft.com/wsus

    Saludos

  6. Hola

    No te queda otra que hacerlo a base de tocar directamente en el registro, que sería el equivalente a lo que hacen ellas solas las GPOs

    technet.microsoft.com/…/cc708449(WS.10).aspx

    Saludos

  7. Hola

    Debes de poner el nombre del servidor y el puerto que haya utilizado la instalacion de WSUS, que suele ser el 8530. Comprueba en que puerto escucha el servicio en la consola de IIS

    Saludos

  8. Hola

    Hasta aqui ningun problema. WSUS no tiene interfaz de administración web, por lo que si exploras el web site del WSUS te sala la de un IIS sin configurar

    Si has configurado el cliente correctamente con las GPOs y se le estan aplicacndo, te aparecera en la consola. Si no, es que las politicas o algo en el cliente no estan bien, Usa la Client Diagnostic Tool

    Saludos

  9. epic says:

    Hola, buenas… queria pedir salir de una duda sobre WSUS 3.0, lo instale en un "Windows Server 2003", tengo al servidor fuera del dominio pero a los clientes dentro del dominio, no he metido al servidor al AD por cosas de permisos, bueno ya instale el WSUS en el server y se logro sincronizar y tengo los paquetes de seguridad y los criticos, el wsus me reconoce al cliente que tengo conectado a el y ya le puse aprobar a todas las actualizaciones y me sale algo asi:

    Actualizacion Critica blablabla 100% Instalar (2/3)

    No se porque estara 2/3, ya lleva como 2 dias que le puse aprobar.

    Supongo que ya esta aprobado, eso que significa entonces?? que el pc no se ha instalado ?? o quizas el pc no la a ido a buscar puesto que ya tiene esa actualizacion ???

    Ya modifique la directiva local del cliente para la actualizacion automatica y para saber la ubicacion del server y tambien el nombre del grupo del destino.

    Si me sacan esa duda se los agradeceria.

    Gracias.

  10. Gura says:

    Buen artículo, con imágenes y todo. No nos tienes acostumbrados a esto ;). ¿Hay alguna otra forma de conseguir un Longhorn de prueba que no sea siendo Technet Plus? (Pagando, claro). Me interesa mucho probarlo… pero no encuentro la forma. Dame alguna idea legal anda 🙂

  11. A. Sanchez says:

    Gracias David!

    Tutorial de instalación claro y conciso, como debe ser!. Muy parecido a WSUS 2.0 y se agradece el asistente para configurarlo directamente (sin ir navegando por todas las opciones…, que para algo somos unos gansos xD).

    Saludos!

  12. Hola

    Gracias por vuestros comentarios. Hay por aqui quien dice que eso del blogging se hace en un par de horas por semana 🙂 . La desmedida y enfermiza obsesión que se tiene en Microsoft (y en generaol en toda la cultura americana) por ponerle a todo una medida precisa.

    Sobre lo del Longhorn, pues que yo sepa solo esta en Technet, MSDN y para todos aquellos que sean Beta Testers oficiales. Voy a enterarme a ver que podemos hacer para los lectores y contribuidores habituales de este blog 😉

    A ver si lo próximo que puedo hacer es un video del uso de la consola. Pero estoy ya preparando las Webcasts de Exchange 2007 de este mes y la presentación y las demos de la Gira de Seguridad. Es decir, liado. A ver si saco otras "dos horas".

    Saludos

  13. ED says:

    Excelente articulo de la instalacion, ahora esperare que nos entregas con la consola y de ser posible la configuracion de los clientes 🙂

    Saludos

  14. Ernesto Díaz says:

    Porque algunos parches de Windows no lo puedo bajar atravez del WSUS 3.0, lo instale porque con la version 2.0 tampoco los logro bajar, especificamente Windows Vista

  15. Roberto says:

    Buenas,

    Acabo de instalar un WSUS 3.0 en mi domínio con la intención única y exclusiva de instalar parches a los "Servidores". Y tengo una serie de preguntas:

    – Es una buena idea?

    – En uno de mis dominios tengo unos servidores de producción en los que sólo puedo instalar determinados parches, los que nos indican desde desarrollo una vez consultado con el ingeniero de Microsoft. Alguna idea de cómo configurarlo en WSUS?

    Gracias y un saludo,

  16. Maverick says:

    En principio, y sin haber visto la versión 3 de WSUS, deberías poder crear grupos de ordenadores, y a la hora de aprobar las actualizaciones, decides qué actualizaciones estarán disponibles para cada grupo.

    Saludos.

    PD: Muy buen artículo.

  17. GSR says:

    Hola,

    Es posible que convivan en la misma máquina Wsus 3.0 e ISA server 2000?

  18. felix says:

    Hola,

    En el Wsus 2.0  se puede ver desde
    http://nombreser:pueto/wsusadim, ¿en la versíon 3.0 es posible hacer lo mismo?

    Saludos

  19. jesusmiguel.otero@gmail.com says:

    Buenos dias

    He seguido la instalación de la version de wsus y he configurado la gpo con los datos que necesito.

    Sin embargo cuando cargo la web http://servername me dice el iis que está en construcción.

    He puesto un equipo en el directorio activo para que lo localice y no lo hace.

    Puedes ayudarme?

    Saludos

  20. Victor says:

    el wsus tiene que estar en un dominio??? puede estar en un grupo de trabajo?  como es eso de crear diretiva de grupo

  21. Victor says:

    Ya instale WSUS ya veo mis equipos, ahora lo que necesito saber es como configurar mi wsus para que mis equipos actualizen de manera automatica…como saber si mi wsus esta actualizando a mis equipos…..gracias

  22. Julio says:

    hola

    tengo instalado wsus 3.0 y trabajo con mas de 300 equipos y necesito si me pueden ayudar para actualizar mis equipos clientes atraves de la consola del wsus 3.0 mis equipos clientes tienen dos sesiones una limitada y la otra administrador y para poder actualizarlas tengo que entrar como administrador en cada maquina y aceptar las actualizaciones de una por una en las 300 maquinas y me gustaria saver si las puedo instalar desde la consola atraves de una comando o algo asi

    graciassss lo otro se le puede cambiar el idioma ala wsus 3.0 a castellano o español

  23. guillermo says:

    Tendo 20 WSUS, donde todos sincroniza a un Servidor.

    El problema que estoy teniendo es que hace 20 dias, un par de servidores dejaron de sincronizar. Los servidores estan viendo al servidor WSUS, probe en bajarle el servicio de w. update y el de BITS, pero no hay caso. Lo raro es que no tengo ningun error en los eventos. La sincronizacion queda colgada.

    Saludos.

    Muchas Gracias

    guiarojas@hotmail.com

  24. Roger Garcia says:

    Hola, estoy instalado en la red donde trabajo un servidor WSUS 3.0, hasta solo he logrado instalarlo, sincronizarlo, y nada mas.

    En la opcion de equipos, le doy buscar y no me aparece nada, en el active directory me guie por el manual y cree las plantillas que mencionan para la GPO, en el nombre de servidor no se si debo poner solo el nombre o incluir el puerto 80.

    Estoy trabado, no soy experto en Active Directory, solo queria saber si habra disponible algun video que muestre como configurar este herramienta tan util.

    saludos

  25. Roger Garcia says:

    Hola david.

    Corregi algo que habia hecho mal en la GPO del dominio sin embargo aun no me aparecen los equipos, solo uno el servidor donde cargue la GPO, al correr el cliente de diagnostico desde una maquina XP corre bien hasta que aparece lo siguiente:

    "Checking Connection to WSUS/SUS Server

    AU does not have Policy Set

    AU does not have Policy Set

           UseWuServer is disabled . . . . . . . . . . . . . . . . FAIL

    Press Enter to Complete"

    corri el comando "wuauclt.exe /detectnow",   borre el archivo windowsupadte.log de esa misma maquina, al regenerarse me aparece una linea "WSUS server=NULL", es decir que no ha logrado detectarlo aun… esto me tiene loco

  26. Roger Garcia says:

    Dudas del WSUS.

    en un entorno de dominio, ya logre que el WSUS reconociera las maquinas con una GPO, estoy haciendo pruebas de actualizacion en un unico equipo al cual entro con un usuario local, al cual le configure el servidor SUS de manera manual.

    el resto de equipos pegados al dominio, haran la actualizacion con cualquier usuario que haga login, o debe ser un administrador para que la actualizacion se ejecute.

    Ya que el manual en la parte de configuracion de actualizaciones automaticas indica que un usuario de tipo administrador es quien puede instalar la actualizacion despues de descargada.

  27. Matias says:

    Queria saber como hay que hacer para ver que la actualizacion fue aplicada en un equipo, ademas como se puede saber que actualizacion corresponde a un equipo y como seleccionarlas para instalarlas.

    Desde ya gracias!!!

  28. Tania M says:

    Hola buenas tardes, pues me ando comenzando a empapar con esto del WSUS, mi jefe lo instaló en un servidor que tiene que 3 discos, si me conecto de manera remota, me muestra sin problemas la consola http://servidor/WSUSAdmin, pero si trato de accesar de manera local, no me deja, inclusive si me meto a hheramientas administrativas –> WSUS, me mando un error y me abre una pag de internet y me dice que acceso denegado: Las reglas de control de acceso impiden que su petición sea permitida en este momento y si me voy directamente al browser y pongo la ruta sin el admin, me dice que hay un error: La configuración de directiva de red impide que se tenga acceso a este servidor de Windows Server Update Services y no me abre la consola, si pongo el comando mmc, me aparece la consola pero sin este servicio, no sé si pudieran ayudarme a ver que es lo que tengo que hacer? gracias

  29. Hernan says:

    Hola… tengo un problema instalando el WSUS 3.0 en un win server 2003… Me produce un error que no puede abrir el administrador de la consola y que la tengo que abrir desde la pagina opciones… pero ahi no existe dicha opcion… sera que tal vez me pueden ayudar?

  30. Carlos Guzman Sigala says:

    Hola antes que nada quiero agradecer a la comunidad

  31. SIGALA78 says:

    Hola saludos

    tengo un servidor con 2003 server (no esta en dominio D/C ) ya tengo instalado el WSUS ya se bajaron las actualizaciones .

    en una estacion de trabajo modifique el GPO del equipo y el la ruta del servidor le puse http://nombredelsrv,  busque la PC en la consolo del WSUS y si la veo ……pero como puedo verificar si la PC  tiene conexion con el WSUS….En una pagina WEB ingreso la direccion del WSUS http://nobredelsrv pero me arroja algo con referencia a el IAS y su configuracion.

    Puedo ver el servidor en una pagina WEB tengo que configurar algo en especial?????? AYUDAAAAAAA¡¡¡¡¡¡¡

  32. Rafael_G says:

    Buenas tardes, mi problema es el siguiente:

    Tengo instalado Wsus 3 en un servidor miembro, tengo puesto los usuarios por politicas en el controlador de dominio, menos los 5 de los tecnicos por pruebas, en un de estos cinco me aparece con el estado aun sin informar, no se que es lo que significa esto, he borrado las entradas del registro susclientid y la otra que no recuerdo el nombre, pero sigue igual.

    Me echais una mano?

    Gracias

  33. callos says:

    Muy bueno el articulo, PERO QUE SIGUE DESPUES DE ESTO COMO CONECTO MIS CLIENTES PARA QUE SE ACTUALICEN

  34. juan carlos1 says:

    Hola, necesito saber si hay alguna forma de actualizar un equipo al cual tengo acceso por red y RD el cual NO tiene acceso a interner y no puedo modificar sus GP, o sea no instalar nada en el equipo remoto, la pregunta es si yo me conecto a ese equipo con un equipo con WSUS instalado y puedo "enviarle" un comando como para que se actualice desde mi equipo, se entendio???