WSUS y Windows 10

Manual de Windows 10 de Miniacademia

INDICE DEL MANUAL

   Windows Server Update Services (WSUS) es un rol de Windows Server 2012 R2 que permite gestionar de manera centralizada la instalación de las actualizaciones de sistemas operativos y aplicaciones de Microsoft en los equipos de la empresa, y realizar un seguimiento del estado de cada actualización y cada equipo a este respecto.

   WSUS puede configurarse de muy distintas maneras en lo que se refiere al número de servidores en la empresa que compondrán su infraestructura, a cuáles de ellos se les permitirá aprobar actualizaciones (y que los que estén en un nivel jerárquicamente inferior acepten las actualizaciones aprobadas en los superiores), y si alojarán en su espacio en disco los archivos de actualizaciones o los obtendrán de otros (o incluso directamente desde Microsoft). En esta lección se ha optado por un único servidor WSUS que alojará las actualizaciones para toda la empresa, y sobre el que se realizarán las aprobaciones de las actualizaciones a instalar.

   Un aspecto muy importante es la configuración de WSUS en Windows Server 2012 R2 para poder instalar los upgrades de Windows 10. Se debe ser muy cuidadoso con la instalación de WSUS ya que necesita cumplir con unos requisitos antes de proceder a aprobar dichos upgrades.



LECCIÓN CON PRÁCTICAS
MDOM01 MWST01 Manual de Windows 10 de Miniacademia - Diagrama Laboratorio
MWST04 MAL102

1.- Instalación y configuración inicial de WSUS en Windows Server 2012 R2

   En nuestro laboratorio el rol de WSUS será configurado en el servidor MDOM01 que actúa como controlador de dominio. En un entorno real de producción sería aconsejable utilizar un servidor distinto.

   Antes de la activación del rol, es necesario disponer de espacio de almacenamiento suficiente para alojar las actualizaciones descargadas (aunque también es posible no guardar localmente los archivos de las actualizaciones). Este espacio necesario dependerá del número de productos y clasificaciones elegidos en la consola WSUS para los que se descargarán las actualizaciones.

NOTA PARA EL LABORATORIO: para poder alojar las actualizaciones en el servidor WSUS, es necesario añadir a la máquina virtual MDOM01 un disco más. Por tanto, añadiremos un disco de 200 GB de tipo thin (para que sólo ocupe el espacio necesario según se vayan descargando las actualizaciones). Los pasos esenciales para hacer esto en VMWare Workstation son:

  1.  En las propiedades de la máquina virtual MDOM01, añadir un nuevo disco de 200 GB sin seleccionar “Allocate disk space now”. Es conveniente sin embargo elegir “Store virtual disk as a single file”.
  2. Una vez iniciada la máquina virtual, desde la consola de Administración de discos, se debe poner en línea el nuevo disco y crear un nuevo volumen simple que formatearemos como NTFS y asignaremos la letra de unidad W: (la letra de unidad es opcional, pero será la que utilicemos en el laboratorio).
  3. Crear en MDOM01 la carpeta W:\WSUS, que será la ubicación de descarga de las actualizaciones.

    Manual de Windows 10 de miniacademia.es - WSUS y Windows 10..

    Imagen 14.1 – La unidad W: alojará las actualizaciones de WSUS en MDOM01.

Práctica 14.1: Instalación de WSUS en Windows Server 2012 R2.

   En esta práctica instalaremos el rol WSUS en el controlador de dominio MDOM01. Es importante seguir bien los pasos ya que, con el objetivo de que puedan distribuirse upgrades de Windows 10 a través de WSUS, deben instalarse algunas actualizaciones antes de configurar la distribución de los upgrades. Si no se siguen los pasos correctos, la configuración de WSUS puede dañarse.

Para comenzar esta práctica es necesario:

  • MDOM01 con sesión iniciada por administrador.
  1. Ventana principal de la consola Administración del servidor: se hace clic en “Agregar roles y características”. Esto inicia el “Asistente para agregar roles y características”. Se hace clic en “Siguiente”.
  2. Ventana “Seleccionar tipo de instalación”: se elige “Instalación basada en características o roles”. Clic en “Siguiente”.
  3. Ventana “Seleccionar servidor de destino”: se elige el propio servidor MDOM01. Clic en “Siguiente”.
  4. Ventana “Seleccionar roles del servidor”: se marca “Windows Server Update Services”. Automáticamente aparece la ventana “¿Desea agregar características requeridas para Servicios de dominio de Active Directory?”. Se debe aceptar haciendo clic en “Agregar características”. De nuevo en la ventana “Seleccionar roles del servidor”, estando seleccionado Windows Server Update Services”, se hace clic en “Siguiente”.

    Manual de Windows 10 de miniacademia.es - WSUS y Windows 10.

    Imagen 14.2 – Activación del rol WSUS.

  5. Ventana “Seleccionar características”: no es necesario hacer nada. Clic en “Siguiente”.
  6. Ventana “Windows Server Update Services”: es informativa. Hacer clic en “Siguiente”.
  7. Ventana “Seleccionar servicios de rol”: seleccionamos, en nuestro caso:
    1. WID Database (Windows Internal Database): para almacenar toda la información pertinente de WSUS, como por ejemplo los productos para los que se descargarán las actualizaciones, aprobaciones, asignaciones a equipos,….
    2. WSUS Services. Se hace clic en “Siguiente”.

      Manual de Windows 10 para la empresa de miniacademia.es - WSUS en Windows 10.

      Imagen 14.3 – Selección de componentes.

  8. Ventana “Selección de ubicación del contenido”: se escribe la ruta de la carpeta donde se almacenarán las actualizaciones aprobadas. En nuestro caso “W:\WSUS”. Se hace clic en “Siguiente”.

    Manual de Windows 10 para la empresa de miniacademia.es - WSUS en Windows 10.

    Imagen 14.4 – Carpeta para almacenar las actualizaciones.

  9. Ventana “Confirmar selecciones de instalación”: es un resumen de las opciones de instalación de WSUS seleccionadas en el asistente. Se hace clic en “Instalar”.
  10. Ventana “Progreso de la instalación”: una vez terminada la instalación del rol “Windows Server Update Services” haremos clic en el enlace “Iniciar tareas posteriores a la instalación” de dicha ventana.

    Manual de Windows 10 para la empresa de miniacademia.es - WSUS en Windows 10.

    Imagen 14.5 – Inicio configuración básica del rol.

  11. Cuando el mensaje “Espere mientras se configura el servidor” (en la misma localización del enlace) cambie a “Configuración completada correctamente” habrá concluido la instalación del rol WSUS. Se hace clic en “Cerrar”.

    Manual de Windows 10 de miniacademia.es - WSUS y Windows 10.

    Imagen 14.6 – Fin configuración necesaria del rol.

  12. Para poder visualizar correctamente la consola de WSUS, en particular los informes, es necesario instalar Report Viewer 2008 redist. Pero este a su vez necesita que la característica .NET 2.0 esté instalada. Para ello, desde la consola de Administración del servidor se ejecuta el asistente “Agregar roles y características” para instalar la característica  “Características de .NET Framework 3.5” -> “.NET Framework 3.5 (incluye .NET 2.0 y 3.0)”.

    Manual de Windows 10 para la empresa de miniacademia.es - WSUS en Windows 10.

    Imagen 14.7 – Activación .NET 3.5

  13. Instalar ReportViewer 2008 redist (.NET 2.0) para los informes WSUS: https://www.microsoft.com/es-ES/download/details.aspx?id=3841.

    Manual de Windows 10 para la empresa de miniacademia.es - WSUS en Windows 10.

    Imagen 14.8 – Instalación de Report Viewer.

  14. Instalar actualización KB3159706 (desencriptación ESD) en MDOM01: con botón derecho en Inicio -> “Panel de Control” ->  “Sistema y Seguridad” -> “Windows Update” se buscan las actualizaciones disponibles para el servidor (clic en “Buscar actualizaciones) y se selecciona (al menos) la actualización KB3159706 (aparecerá en actualizaciones opcionales). Esta actualización corrige los problemas causados por la original para desencriptación ESD KB3148812.  Será necesario reiniciar el servidor una vez instalada la actualización.

    Manual de Windows 10 para la empresa de miniacademia.es - WSUS en Windows 10.

    Imagen 14.9 – Instalación KB3159706.

  15. Tareas necesarias posteriores a la instalación de la actualización KB3159706 (https://support.microsoft.com/es-es/kb/3159706):
    1. En el servidor MDOM01, en una intérprete de comandos cmd en modo administrador, se debe ejecutar C:\Program Files\Update Services\Tools\wsusutil.exe” postinstall /servicing

      Manual de Windows 10 para la empresa de miniacademia.es - WSUS en Windows 10.

      Imagen 14.10 – Postinstall.

    2. En el Asistente para agregar Roles de administrador de servidor y características, seleccionar la característica Activación HTTP en Funciones de.NET Framework 4.5.

      Manual de Windows 10 para la empresa de miniacademia.es - WSUS en Windows 10.

      Imagen 14.11 – Activación HTTP.

  16. Habilitar el tipo MIME para archivos .esd en IIS: necesario para la correcta descarga de los archivos de upgrades de Windows 10 en hacia los clientes. Se abre la consola  Administrador de Internet Information Services desde el menú “Herramientas”  de la consola de Administración del servidor (se puede ignorar el mensaje referente a la plataforma web de Microsoft). En el sitio  “Administración de WSUS” abrir la configuración de “Tipos MIME” (en la parte inferior derecha del panel central).

    Manual de Windows 10 para la empresa de miniacademia.es - WSUS en Windows 10.

    Imagen 14.12 – Consola de administración de IIS.

  17. Agregar un nuevo tipo MIME:
    • “Extensión de nombre de archivo: “.esd”
    • “Tipo MIME”: “application/octet-stream”

      Manual de Windows 10 para la empresa - WSUS en Windows 10.

      Imagen 14.13 – Nuevo tipo MIME.

  18. Puede ser necesario reiniciar IIS.
  19. Instalar actualización KB3095113: Aunque no es necesaria para las actualizaciones de mantenimiento para Windows 10, sí lo es para las actualizaciones de funciones (upgrades). Además soluciona el problema de que equipos con Windows 10 aparezcan en la consola de WSUS como equipos Windows Vista. Esta actualización sólo está disponible para  para Windows Server 2012 y 2012 R2. Si no se instala este parche, no se podrán distribuir a través de WSUS los upgrades de Windows 10, aunque sí las actualizaciones. Esto también se aplica a versiones anteriores de WSUS, que sí podrán distribuir actualizaciones de mantenimiento para Windows 10. Descargar la actualización desde el enlace  https://www.microsoft.com/es-ES/download/details.aspx?id=51534 e instalarla. IMPORTANTE: si no se instala la actualización 3095113, no debe marcarse la clasificación de “Upgrades” en WSUS (https://support.microsoft.com/en-us/kb/3095113#bookmark-prerequisites).

   Una vez instalado el rol WSUS, el siguiente paso sería configurar qué tipo de actualizaciones son necesarias para los equipos de la empresa. WSUS conectará con los servidores de actualizaciones de Microsoft para obtener las actualizaciones disponibles de acuerdo a la configuración realizada. Este proceso se llama “Sincronización” en WSUS.

Práctica 14.2: Configuración inicial de WSUS.

   Al iniciar WSUS por primera vez, se debe completar un asistente que realiza la configuración del servidor e actualizaciones. Aunque ya sería posible, no solicitaremos los upgrades de Windows 10, ya que más adelante en esta lección hay un apartado propio para la instalación de upgrades de Windows 10 a través de WSUS.

Para comenzar esta práctica es necesario:

  • MDOM01 con sesión iniciada con administrador.
  1. En MDOM01 se inicia la consola de Windows Server Update Services Consola Administrador del servidor -> “Herramientas” -> “Windows Server Update Services”. Se inicia el “Asistente para la configuración de Windows Server Update Services”
  2. Ventana “Antes de comenzar”: informativa. Se comprueba si es todo correcto y se hace clic en “Siguiente”.
  3. Ventana “Unirse al programa de mejora de Windows Update”: se marca o desmarca la opción de unirse al programa según queramos y se hace clic en “Siguiente”.
  4. Ventana “Elegir servidor que precede en la cadena”: en nuestro caso, se deja seleccionado “Sincronizar desde Microsoft Update” y se hace clic en “Siguiente”.
  5. Ventana “Especificar servidor Proxy”: en nuestro caso, no se utiliza servidor proxy. Se hace clic en “Siguiente”.
  6. Ventana “Conectar al servidor que precede en la cadena”: se realiza la primera conexión a los servidores de Microsoft Update. Se hace clic en “Iniciar conexión”. Este proceso puede llevar bastante tiempo. Una vez completada la conexión, se hace clic en “Siguiente”.
  7. Ventana “Elegir idiomas”: se eligen los idiomas para los que se descargarán actualizaciones. En nuestro caso, elegimos “Español” e “Inglés”. Se hace clic en “Siguiente”.

    Manual de Windows 10 para la empresa de miniacademia.es - Windows 10 y WSUS.

    Imagen 14.14 – Idiomas de las actualizaciones.

  8. Ventana “Elegir productos”: se eligen los productos que se necesita actualizar en la red corporativa. En el caso del laboratorio, sólo elegimos “Windows 10”. Se hace clic en “Siguiente”.

    Manual de Windows 10 para la empresa de miniacademia.es - Windows 10 y WSUS.

    Imagen 14.15 – Se eligen los productos para los que buscar actualizaciones.

  9. Ventana “Elegir clasificaciones”: se debe elegir qué tipos de actualizaciones se quieren descargar. Por ahora NO elegimos “Upgrades” (en nuestro laboratorio) ya que un poco más adelante ejecutaremos un caso particular de upgrade de Windows 10. Para simplificar se eligen las siguientes clasificaciones y se hace clic en “Siguiente”:
    • Actualizaciones críticas.
    • Actualizaciones de definiciones.
    • Actualizaciones de seguridad.
    • Actualizaciones.

      Manual de Windows 10 de miniacademia.es - WSUS y Windows 10..

      Imagen 14.16 – Se eligen las clasificaciones de las actualizaciones a buscar.

  10. Ventana “Establecer programación de sincronización”: WSUS necesita conectarse periódicamente al catálogo de actualizaciones disponibles de Microsoft Update. Esta ventana permite especificar esta periodicidad. Se configuran los valores adecuados y se hace clic en “Siguiente”.

    Manual de Windows 10 de miniacademia.es - WSUS y Windows 10..

    Imagen 14.17 – Programación de la sincronización de nuestro servidor con Microsoft Update..

  11. Ventana “Finalizada”: fin del asistente. Se marca la opción “Iniciar sincronización inicial” para ejecutar la primera conexión con el catálogo de actualizaciones y se hace clic en “Siguiente”.

    Manual de Windows 10 de miniacademia.es - WSUS y Windows 10..

    Imagen 14.18 – Sincronización inicial.

  12. Ventana “Siguiente paso”: el asistente explica cuáles serían los siguientes pasos de configuración para tener un servidor WSUS en funcionamiento. Se hace clic en “Finalizar”.
  13. Se iniciará la consola WSUS. En el nodo “Sincronizaciones” se podrá comprobar si ha terminado la sincronización inicial.

    Manual de Windows 10 de miniacademia.es - WSUS y Windows 10..

    Imagen 14.19 – Nodo de sincronizaciones en la consola WSUS.

   En un primer acercamiento a la consola de administración de WSUS, se puede navegar al nodo del panel derecho “Actualizaciones” -> “Todas las actualizaciones”, aparecerán listadas las actualizaciones que corresponden a nuestros criterios de clasificación y producto seleccionadas en el asistente.

2.- Planificación de instalación de las actualizaciones

   En cada empresa se debe realizar una planificación adecuada de las actualizaciones de manera que  interfieran los menos posible con el trabajo de los usuarios. Para ello se han de tener en cuenta algunos factores y configuraciones, como por ejemplo:

  • El horario de trabajo de los empleados de la empresa.
  • Si los usuarios apagan sus equipos al terminar la jornada.
  • Deadline o fecha límite de instalación de las actualizaciones desde el momento de su aprobación por WSUS. Esto se realiza en la consola de WSUS al aprobar cada actualización (para más información respecto al deadline se puede consultar el siguiente enlace: https://technet.microsoft.com/es-es/library/cc708585(v=ws.10).aspx).
  • El horario de instalación de las actualizaciones. Como veremos más adelante, se puede especificar la hora de instalación de actualizaciones por directivas. En los equipos con Windows 7 esto funciona bastante bien, pero desde Windows 8 a Windows 10 1511 se puede configurar además el Horario de mantenimiento automático.
  • Además, en Windows 10 1607 se pueden utilizar las Horas activas.
  • Margen de tiempo antes de provocar el reinicio del equipo, si alguna actualización así lo requiere, avisando al usuario de la necesidad obligatorio del mismo.

3.- Configuración de los clientes con GPO

   Si no se realiza ninguna configuración adicional en los equipos cliente, utilizarán la configuración local de cada uno de ellos para gestionar la instalación de actualizaciones desde los servidores de Microsoft.

   Sin embargo, con las directivas de grupo podemos realizar una configuración centralizada de los aspectos relacionados con los procesos de descarga e instalación de actualizaciones.

   En la siguiente práctica se establecerán las siguientes configuraciones en los clientes Windows:

  • Servidor WSUS al que deben conectar para detectar actualizaciones disponibles y descargarlas.
  • Día y hora de instalación de actualizaciones.
  • Instalación de actualizaciones recomendadas.
  • Los equipos no se reiniciarán aunque sea necesario si hay algún usuario con sesión iniciada.
  • Optimización de entrega de Windows 10 en modo de grupo (los emparejamientos se realizarán entre equipos del mismo dominio de Active Directory, siendo este laboratorio u dominio con un único sitio).

NOTA: Para poder utilizar las directivas de grupo para Windows 10 1607 se deben tener los archivos .admx en el almacén de directivas (https://www.microsoft.com/es-ES/download/details.aspx?id=53430). Para más información, ir a la lección 7, Directivas de grupo en Windows 10.

Práctica 14.3: Configuración de los clientes WSUS con GPO.

   En esta práctica se configurarán las GPO necesarias para que los equipos cliente de MINIACADEMIA reciban las actualizaciones de Windows desde el servidor WSUS configurado anteriormente en el controlador de dominio.

Para comenzar esta práctica es necesario:

  • MDOM01 con sesión iniciada por administrador.
  • MWST01 iniciado.
  • MWST04 iniciado.

 

  1. En la consola de Administración de directivas de grupo, en el panel izquierdo, navegar hasta “MINIACADEMIA.LOCAL”->”Objetos de directiva de grupo”. En la GPO “Configuración puesto de trabajo corporativo” elegir la opción de menú contextual “Editar…”. Se abrirá el Editor de administración de directivas de grupo para la GPO “Configuración puesto de trabajo corporativo”.
  2. Navegar hasta el nodo de dicha GPO “Configuración de equipo” -> “Directivas” -> “Plantillas administrativas” -> “Componentes de Windows” -> “Windows Update”.
  3. Habilitar la directiva “Especificar la ubicación del servicio Windows Update en la intranet”: se establece en ambos campos la URL del servicio de WSUS: http://mdom01.miniacademia.local:8530.

    Manual de Windows 10 de miniacademia.es - WSUS y Windows 10..

    Imagen 14.20 – Ubicación del servidor WSUS.

  4. Habilitar la directiva “Configurar actualizaciones automáticas”:
    • “Configurar actualización automática”: “4-Descargar automáticamente y programar la instalación”.
    • “Instalar durante mantenimiento automático”: en nuestro caso no se marca, lo que permitiría utilizar la configuración de más abajo para los clientes de Windows 7, 8, 8.1 y 10 hasta la 1511.
    • “Día de instalación”: “0-Todos los días”.
    • “Hora de instalación programada”: 14:00 (depende de cada laboratorio).

      Manual de Windows 10 de miniacademia.es - WSUS y Windows 10..

      Imagen 14.21 – Configuración principal de las actualizaciones.

  5. Habilitar la directiva “No reiniciar automáticamente con usuarios que hayan iniciado sesión en instalaciones de actualizaciones automáticas“: De esta manera evitaremos reinicios imprevistos a los usuarios. Hay que tener en cuenta que muchas actualizaciones requieren de un reinicio para completar su instalación.
  6. Habilitar la directiva “Permitir la instalación inmediata de instalaciones automáticas“: se aplica a actualizaciones que no requieren reinicio.
  7. Navegar hasta el nodo de dicha GPO “Configuración de equipo” -> “Directivas” -> “Plantillas administrativas” -> “Componentes de Windows” -> “Optimización de entrega”.
  8. Habilitar la directiva “Modo de descarga”: se elige el valor “Grupo”. El valor “Omitir” utilizaría BITS como sistema de descarga.

    Manual de Windows 10 de miniacademia.es - WSUS y Windows 10..

    Imagen 14.22 – Configuración del modo de descarga de la optimización de entrega.

  9. En el entorno de laboratorio, es el momento de iniciar los equipos y forzar la aplicación de las directivas con gpupdate /force.

   Esta configuración del cliente de Windows Update es poco agresiva, ya que no se fuerza el reinicio del equipo en caso necesario.

4.- Gestión de las actualizaciones

   Una vez que aplicadas las directivas de WSUS establecidas en la práctica 15.3, los equipos se conectarán con el servidor WSUS para obtener las actualizaciones, apareciendo en la consola WSUS.

   La utilidad wuauclt.exe permite interactuar con el servicio de Windows Update en local en cada equipo (aunque su respuesta no es del todo inmediata, está poco documentado y sus parámetros difieren en distintas versiones de Windows). Algunas de las opciones son:

  • wuauclt /DetectNow detecta las actualizaciones disponibles.
  • wuauclt /ReportNow /DetectNow informa al servidor del estado del equipo.
  • wuauclt /UpdateNow inicia la descarga e instalación de actualizaciones.

   Si en la consola de WSUS no aparece un equipo, puede que la ejecución wuauclt /DetectNow  en su línea de comandos quizá haga que esto ocurra más rápido.

   Para comprobar que los equipos han conectado con el servidor WSUS para solicitar actualizaciones, se debe ir, en la consola WSUS, al nodo “Equipos” -> “Todos los equipos” y elegir el filtro “Cualquiera”. En la siguiente imagen el equipo MWST04 ya aparece. Es importante fijarse en al valor de la columna “Informe de último estado”, que es “Aún sin notificar”. WSUS todavía no conoce el estado de actualizaciones del equipo, por lo que no podría mostrar qué actualizaciones necesita.

Manual de Windows 10 de miniacademia.es - WSUS y Windows 10..

Imagen 14.23 – Los equipos comienzan a aparecer en la consola WSUS.

   Los equipos en la consola se pueden asignar manualmente a grupos (también pueden utilizarse directivas de grupo apara una asignación automática a grupos de equipos, aunque no las utilizaremos para esto en el manual). Cada grupo puede tener distintas actualizaciones aprobadas. Crearemos un grupo para las estaciones de trabajo llamado “Sobremesa” (en el que incluiremos las estaciones de trabajo) y otro para los servidores (aunque no lo utilizaremos en el laboratorio).

Práctica 14.4: Creación de grupos de equipos.

   Una vez que hayan aparecido los equipos MWST01 y MWST04 en la consola WSUS, crearemos los grupos de equipos e incluiremos nuestras estaciones de trabajo del laboratorio en ellos.

Para comenzar esta práctica es necesario:

  • MDOM01 con sesión iniciada por administrador.
  • MWST01 iniciado.
  • MWST04 iniciado.
  1. En la consola WSUS, en el menú contextual del nodo “Equipos” -> “Todos los equipos”, se elige la opción “Agregar grupo de equipos” y se crea el grupo “Servidores”. Del mismo modo se crea el grupo “Sobremesa”.

    Manual de Windows 10 de miniacademia.es - WSUS y Windows 10..

    Imagen 14.24 – Grupos de equipos en WSUS.

  2. En el menú contextual de cada equipo en el panel central de la consola, con la opción “Cambiar pertenencia”, se mueven MWST01 y MWST04 al grupo “Sobremesa”.

    Manual de Windows 10 de miniacademia.es - WSUS y Windows 10..

    Imagen 14.25 – Se mueven equipos a los grupos creados.

  Como hemos dicho, los equipos también deben notificar su estado de actualización para que en la consola WSUS se muestren las actualizaciones necesita cada equipo, de acuerdo a las selecciones de Productos y Clasificaciones en la configuración de WSUS. Cuando se haya realizado esta notificación de estado, el administrador ya podrá aprobar las actualizaciones que estime oportunas. Mientras no estén aprobadas, las actualizaciones no se instalarán en los equipos ni serán descargadas al servidor WSUS. Una vez instaladas las actualizaciones, los equipos deben notificar de nuevo su estado para que WSUS vuelva a calcular qué nuevas actualizaciones estarán disponibles.

   Si se selecciona un equipo en la consola WSUS, en la parte inferior del panel central se informa de las actualizaciones que necesita.

Manual de Windows 10 de miniacademia.es - WSUS y Windows 10..

Imagen 14.26 – Estado de actualización de un equipo en la consola WSUS.

   NOTA: Si se hace clic en la línea que informa del número de actualizaciones necesarias, la consola nos mostrará un informe más específico de dichas actualizaciones.

   Ya hemos añadido los equipos a los grupos, por lo que se pueden aprobar actualizaciones específicamente para cada uno de estos.

Práctica 14.5: Aprobación de actualizaciones.

   En esta práctica aprobaremos las actualizaciones necesarias para los equipos Windows 10 del laboratorio. Conviene realizar esta práctica una vez que MWST01 y MWST04 hayan notificado su estado al servidor WSUS.

   Para comenzar esta práctica es necesario:

  • MDOM01 iniciado con sesión de administrador.
  • MWST01 iniciado.
  • MWST04 iniciado.
  1. En la consola WSUS, navegar al nodo “Actualizaciones” -> “Todas las actualizaciones”.
  2. Establecer los filtros para que se muestran las actualizaciones que son necesarias para nuestros equipos:
    • “Aprobación”: “Sin aprobar”.
    • “Estado”: “Con errores o necesaria”
  3. Seleccionar las que se muestren y en su menú contextual elegir la opción “Aprobar…”. Se abrirá la ventana “Aprobar actualizaciones”.
  4. Seleccionar el grupo de equipos para el que se quiera aprobar las actualizaciones (en el caso del laboratorio, el grupo “Sobremesa”) y seleccionar “Aprobada para su instalación”. No cerrar la ventana “Aprobar actualizaciones”.

    Manual de Windows 10 de miniacademia.es - WSUS y Windows 10..

    Imagen 14.27 – Selección de actualizaciones para su aprobación.

  5. Sin cerrar la ventana, para establecer la Fecha límite de instalación de las actualizaciones aprobadas, en el menú contextual del mismo grupo de equipos seleccionar la opción “Fecha límite” -> “Personalizada”. Vamos a establecer como fecha límite la actual o una en el pasado. En un entorno real, elegir la que proceda según la planificación establecida.
  6. En la ventana “Elegir fecha límite”, dejamos la actual y se hace clic en “Aceptar”. Se hace clic también en “Aceptar” en la ventana “Aprobar actualizaciones”.

    Manual de Windows 10 de miniacademia.es - WSUS y Windows 10..

    Imagen 14.28 – Se establece la fecha límite de instalación de las actualizaciones.

  7. Aparece la ventana “Progreso de aprobación”. Una vez que esté disponible el botón “Cerrar”, se hace clic en él.

    Manual de Windows 10 de miniacademia.es - WSUS y Windows 10..

    Imagen 14.29 – Progreso de aprobación.

  8. Como ya hemos dicho, en el nodo “Equipos” -> “Todos los equipos” -> “Sobremesa” se puede chequear, seleccionando cada equipo, el número de actualizaciones que tienen pendiente cada uno en el panel inferior de la ventana de la consola, en la línea “Actualizaciones necesarias”.
  9. Las actualizaciones aprobadas ya empezarían a instalarse en los equipos cliente del grupo “Sobremesa” (antes o después…).

   La consola de WSUS ofrece dos funcionalidades muy interesantes en la gestión de actualizaciones:

  • Informes: En el nodo de la consola “Informes”, es posible ejecutar consultas que muestren el estado de actualización de los equipos, el estado de las actualizaciones y de las sincronizaciones.
  • Aprobaciones automáticas: en el nodo “Opciones”, en el apartado “Aprobaciones automáticas”, es posible configurar reglas, que, en base a determinados criterios como clasificación de las actualizaciones o grupos de equipos, hagan que las actualizaciones se prueben automáticamente incluso estableciendo la Fecha límite.

 

5.- Upgrades de Windows 10 con WSUS

   Debido al sistema de entrega de nuevas versiones de Windows 10, “Windows como servicio”, WSUS ha tenido que implementar la posibilidad de realizar la instalación de los upgrades en los entornos empresariales.

   En este apartado configuraremos el servidor WSUS de nuestro laboratorio para poder gestionar los upgrades de Windows 10 a través de él.

Práctica 14.6: Configuración de WSUS para realizar los upgrades de Windows 10.

   Con la instalación de WSUS siguiendo los pasos de la práctica 15.1 ya tenemos las bases para poder distribuir upgrades de Windows 10 a través de WSUS. Queda un último paso, que es notificar a WSUS que obtenga desde Microsoft Update los upgrades disponibles y los sirva a los equipos que los necesiten.

Para comenzar esta práctica es necesario:

  • MDOM01 con sesión iniciada por administrador.
  1. En la consola WSUS, navegar al nodo “Opciones”. En el panel central, hacemos clic en “Productos y clasificaciones”. Se abre la ventana “Productos y clasificaciones”.
  2. En la pestaña “Clasificaciones”, se marca la casilla de “Upgrades”. Se hace clic en “Aceptar”.

    Manual de Windows 10 de miniacademia.es - WSUS y Windows 10..

    Imagen 14.30 – Se habilita la gestión de upgrades en WSUS.

  3. En la consola WSUS, se navega al nodo “Sincronizaciones”. En el panel derecho de “Acciones”, se hace clic en “Sincronizar ahora”.

   Cuando termine la sincronización (el progreso se puede seguir en el panel central del nodo “Sincronizaciones”), si hay equipos que sean susceptibles de aplicar algún upgrade y que hayan notificado su estado, el upgrade ya podrá aprobarse en el nodo “Actualizaciones” -> “Todas las actualizaciones”. Es recomendable aplicar en este nodo los filtros:

  • “Aprobar”: “Sin aprobar”.
  • “Estado”: “Con errores o necesaria”.

   En el laboratorio no hay ningún equipo con el que se pueda practicar el upgrade, ya que son versiones de evaluación. Por ello haremos un seguimiento del proceso de upgrade en otro equipo con sistema operativo Windows 10 Pro, que no forma parte del laboratorio del manual.

Ejecución de upgrades de Windows 10 con WSUS.

   A continuación se describe el proceso de upgrade de la versión 1511 a la 1607 con un equipo Windows 10 Pro. El equipo se llama MWST05 y está unido al dominio miniacademia.local.

   En este escenario el equipo MWST05 ya ha notificado su estado al servidor WSUS.

  1. En la consola WSUS, en el nodo “Todas las actualizaciones”, se aprueba la actualización “Actualización de características a Windows 10 Pro, versión 1607, es-es, retail” (que es la versión aplicable a MWST05). Se elige una fecha en el pasado o la actual.

    Manual de Windows 10 de miniacademia.es - WSUS y Windows 10..

    Imagen 14.31 – Se aprueba la actualización de características.

  2. Se aceptan los Términos de licencia del software de Microsoft.
  3. En la consola de WSUS, seleccionando el nodo con el nombre del servidor WSUS, se puede seguir el estado de descarga de la actualización de características. Este aparece en el panel central, en “Estado de la descarga”.

    Manual de Windows 10 de miniacademia.es - WSUS y Windows 10.

    Imagen 14.32 – Estado de la descarga del Upgrade desde Microsoft a nuestro servidor WSUS.

  4. Cuando haya terminado la descarga, la actualización se instalará según la programación en el equipo “MWST05”. También se puede forzar su inicio desde el equipo afectado en “Configuración” -> “Actualización y seguridad” -> “Buscar actualizaciones” o “Instalar ahora”, si el equipo ya ha buscado actualizaciones disponibles en el servidor WSUS.
  5. Comenzará la descarga y proceso de actualización.

    Manual de Windows 10 de miniacademia.es - WSUS y Windows 10..

    Imagen 14.33 – El equipo comienza la instalación del ugrade a Windows 10 1511.

  6. Windows Update avisará de que es necesario reiniciar el equipo para la instalación de la actualización de características.
  7. El equipo se reinicia para completar el proceso.

    Manual de Windows 10 de miniacademia.es - WSUS y Windows 10..

    Imagen 14.34 – Progreso de la actualización de características.

  8. Una vez finalizado, la versión 1607 estará instalada.

15.- Instalación y configuración del cliente Hyper-V.


 

12 pensamientos en “WSUS y Windows 10

  1. Max

    En el punto 8 de la practica 14.2, exactamente para que sirve los otros productos que comienzan por “Windows 10”

    Gracias!

    Responder
  2. Max

    Muchas gracias!

    Descubri tu web por casualidad buscando info sobre WSUS y W10.

    Pero me he estado leyendo casi todos los artículos del manual de Windows 10 para la empresa.

    Muy buen trabajo. Después me pondré con el de XenServer aunque soy mas de VMware 😀

    Responder
    1. ebhum Autor

      Me alegra que te haya resultado útil.
      El de XenServer es de una versión de unos años atrás… Pero puede que aún sirva para pillarle el aire.

      Saludos!

      Responder
  3. Jonathan Retana

    Tengo una situación con los equipos con windows 10 Creators, no reciben las actualizaciones, ya que el WSUS no tiene habilitado el producto.

     

    Soy nuevo en esto y desconozco cual es el producto que se debe seleccionar para descargarlas, actualmente si descarga para las versiones 1511 y 1607 , pero no para 1703

    Responder
    1. ebhum Autor

      Bienvenido.

      Siguiendo la configuración del servidor de WSUS y de las GPO relativas a WSUS de este post, sí tengo equipos con la 1703 recibiendo actualizaciones de WSUS.
      ¿Tus equipos con 1703 aparecen en la consola de WSUS?
      ¿Informan de su estado?
      Coméntame.

      Saludos!

      Responder
  4. Raul Candela

    Buenas tardes

    En la consola del WSUS no aparecen los equipos, tendrá que ver que el AD  esta en otro servidor (donde he creado el GPO) y en otra VLAN? o quizá a las configuraciones debo agregarle algo más, pero qué, el tema es que no aparecen los equipos en el panel del WSUS

    Responder
    1. ebhum Autor

      Bienvenido.

      Disculpa el retraso en contestar.
      Los equipos pueden estar en distinta VLAN.
      Podríamos verificar que:
      1. La GPO que del servicio de WSUS llega correctamente a los clientes. Puedes ejecutar para ello gpresult /H informe.html (preferiblemente con una cuenta del dominio que tenga privilegios de administrador en el equipo).
      2. EL valor de la URL de WSUS en la GPO es la correcta. Debe tener el formato http://nombre_del_servidor_WSUS:Puerto_WSUS. En el ejemplo de este post es http://mdom01.miniacademia.local:8530.
      3. Que en el firewall están abiertos los puertos de WSUS hacia el servidor WSUS. Estos podrían ser:
      En WSUS 3.2 y versiones anteriores, el puerto 80 para HTTP y el 443 para HTTPS.
      En WSUS 6.2 y versiones posteriores (como mínimo Windows Server 2012), el puerto 8530 para HTTP y el 8531 para HTTPS.
      4. Si lo anterior es correcto, en un equipo cliente prueba a ejecutar wuauclt /DetectNow. Esto forzará al equipo a contactar con el servidor de actualizaciones configurado.

      Ya me comentas si te ha servido.

      Un saludo,

      Responder
      1. Raul Candela

        Gracias por la respuesta. Te comento que coloqué el GPO en la raíz del dominio y es ahí que poco a poco comenzaron a aparecer todos los equipos en la consola. Sin embargo, actualmente mi inconveniente es otro.

        Por más que doy aprobar a las actualizaciones e instalar y todo, siempre aparece que ACTUALIZACIONES INSTALADAS /NO APLICABLES —> 0 (cero),  y dentro de TODAS LAS ACTUALIZACIONES hay distintos porcentajes. No sé a que se debe.

        Por otro lado en TODOS LOS EQUIPOS en casi todos me marca en la columna Porcentaje Instalado/No aplicable en 99%, nunca llega a 100. Por un momento pensé que era un tema de solo de esperar, pero al parecer  hay que realizar alguna acción adicional. Qué me puedes recomendar, o sugerir. Agradezco tu respuesta.

        Gracias

        pdt: WSUS v6.2.9200

        Responder
        1. ebhum Autor

          Hola de nuevo.

          1. Asegúrate de que tienes sincronizado WSUS. Sincronizaciones -> Sincronizar ahora.
          2. Comprueba que los equipos están informando. Equipos -> Todos los equipos (Estado: cualquiera) -> Columna del último estado.
          3. En esa misma ventana, si seleccionas una de los equipos que no están al 100 %, en la parte inferior, si haces clic en la línea “Actualizaciones necesarias”, obtendrás el listado de las que le faltan al equipo (es un informe de varias hojas). Allí podrás ver alguna pista de por qué aun no están instaladas.
          4. Si en el informe pinchas en el nombre de alguna de las actualizaciones que le faltan al equipo, se abre otro en el que, en la sección “Resumen de aprobaciones…” puedes, pinchando en los valores de la columna “Aprobación”, examinar si está aprobada y la fecha límite. La fecha límite es muy importante para forzar las actualizaciones en los equipos.
          5. En alguno de los clientes, examina si realmente recibe las actualizaciones o las tiene pendientes. Para esto ya dependes de los valores de la fecha límite y de los valores que hayas establecido por directivas para el cliente WSUS.

          Estos pasos pueden valer cuando son pocas actualizaciones necesarias.
          Para ver si se te han pasado actualizaciones por aprobar, se puede ir a “Todas las actualizaciones” y, con los filtros “Aprobación” en “Sin aprobar” y “Estado” en “Con errores o necesaria”, al dar a “Actualizar” se mostrarán actualizaciones que tienes pendientes de aprobar pero te hacen falta (o están presentando algún problema).

          También chequea si no se han descargado todos los archivos de actualizaciones necesarios: en la consola de WSUS, seleccionando el nombre del servidor, en el panel central aparece esta información en “Estado de la descarga”.

          Un saludo.

          Responder
  5. jose G

    Buen Dia me encontre con tu blog y esta muy bueno buena informacion…

    Tengo un problema. Te planteo mi Esenario:

    Servidor wsus 2016 Versión: 10.0.14393.0 tengo clientes Windows 10 cuando los agrego al dominio e intento realizar la primera actualizacion la cual tiene un upgrade, los equipos me detectan las actualizaciones pero intentan descargar pero no pasan del 0% (los equipos no tienen habilitado el internet pero el servidor WSUS si)

    Espero puedas ayudarme y de Antemano muchas Gracias…

    Responder
    1. ebhum Autor

      Bienvenido.

      Primero comprueba que las actualizaciones necesarias se han descargado efectivamente en el servidor WSUS.
      Quizás sea también necesario utilizar en los clientes la directiva “Modo de descarga”, seleccionado el valor “Omitir”. Esto hará que no se utilice la característica de Optimización de entrega para las actualizaciones de Windows 10.
      Puede que para que esta directiva sea utilizada se deban descargar e instalar las últimas plantillas administrativas admx de Windows 10 (quizás debas sobreeescribir las admx anteriores, cuidado).
      La directiva se encuentra en Equipo -> Plantillas administrativas -> Componentes de Windows -> Optimización de entrega.

      Espero que te sirva de algo.

      Un saludo,

      Responder

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *