Servicios de actualización de Windows Server (WSUS) es un servicio de actualización que permite a los administradores administrar parches y actualizaciones de seguridad para productos de Microsoft de forma centralizada (Windows, Office, SQL Server, Exchange, etc.) en equipos y servidores de la red corporativa. Recuerde brevemente cómo funciona WSUS. El servidor WSUS está programado para sincronizarse con los servidores de Microsoft Update en Internet y descargar las últimas actualizaciones para productos seleccionados. El administrador de WSUS selecciona qué actualizaciones deben instalarse en las estaciones de trabajo y servidores de la empresa. Los clientes WSUS descargan e instalan las actualizaciones necesarias del servidor de actualizaciones corporativas de acuerdo con las políticas configuradas. Su propio servidor de actualizaciones WSUS le permite ahorrar tráfico de Internet y administrar la instalación de actualizaciones en la empresa de manera más flexible.
Microsoft también ofrece otros sistemas de instalación de actualizaciones para sus productos, como SCCM (System Center Configuration Manager). Sin embargo, a diferencia de muchos otros productos, el servidor WSUS es completamente gratuito (de hecho, el software de actualización en SCCM – SUP, Software Update Point, también se basa en WSUS).
Antes del lanzamiento de Windows Server 2012, la última versión del servidor de Microsoft Update fue Servicios de actualización de Windows Server 3.0 SP2 – WSUS 3.2, que no es compatible con los sistemas operativos modernos (como Windows 10 y Windows Server 2012 R2 / 2016). Junto con el lanzamiento de la nueva plataforma de servidor, Microsoft presentó una nueva versión de WSUS 6.0 (lo cual es extraño, porque, lógicamente, esta versión debería llamarse WSUS 4.0…).
No hay nada principalmente nuevo en la nueva versión de WSUS en Windows Server 2012 R2 / 2016. Tenga en cuenta que ahora el paquete de instalación de WSUS no se puede descargar por separado del sitio web de Microsoft, está integrado en la distribución de Windows Server y se instala como una función de servidor separada. . Además, WSUS 6.0 introdujo la capacidad de administrar la instalación de actualizaciones mediante PowerShell.
En este artículo, cubriremos los problemas básicos de la instalación y configuración del rol WSUS en Windows Server 2012 R2 / Windows Server 2016.
Contenido:
- ¿Cómo instalar el rol de WSUS en Windows Server 2012 R2 / 2016?
- Configuración básica de WSUS en Windows Server 2012 R2 / 2016
¿Cómo instalar el rol de WSUS en Windows Server 2012 R2 / 2016?
En Windows Server 2008, WSUS se asignó a una función separada que se puede instalar a través del Gestión del servidor consola. En Windows Server 2012 R2 / 2016, esto no se ha cambiado. Abra la consola de administración del servidor y seleccione el rol de Servicios de actualización de Windows Server (el sistema seleccionará automáticamente y ofrecerá instalar los componentes necesarios del servidor web IIS).
Marque la opción Servicios de WSUS, luego debe seleccionar el tipo de base de datos que usará WSUS.
WSUS en Windows Server 2012 admite las siguientes bases de datos:
- Base de datos interna de Windows (WID);
- Microsoft SQL Server 2008 R2 SP1, 2012, 2014, 2016 en las ediciones Enterprise / Standard / Express.
En consecuencia, puede utilizar la base de datos interna de Windows WID (base de datos interna de Windows), que es gratuita y no requiere licencias adicionales. O puede usar una base de datos SQL Server local o remota dedicada (en un servidor diferente) para almacenar datos de WSUS.
La base WID predeterminada se llama SUSDB.mdf y se almacena en la carpeta % windir% wid data. Esta base de datos solo admite la autenticación de Windows (no SQL). La instancia de base de datos interna (WID) para WSUS se llama nombre_servidor Microsoft ## WID. La base de datos WSUS almacena la configuración del servidor de actualización, los metadatos de actualización y la información del cliente WSUS.
Se recomienda la base de datos interna (Windows Internal Database) si:
- Su organización no tiene ni planea comprar licencias para SQL Server;
- No está previsto utilizar un equilibrio de carga de WSUS (NLB WSUS);
- Si planea implementar un servidor WSUS secundario (por ejemplo, en sucursales). En este caso, se recomienda utilizar la base de datos WSUS integrada en los servidores secundarios.
La base de datos WSUS WID se puede administrar a través de SQL Server Management Studio (SSMS), si especifica en la siguiente cadena de conexión: \.pipeMICROSOFT##WIDtsqlquery
.
Tenga en cuenta que en las ediciones gratuitas de SQL Server 2008/2012 Express hay un límite en el tamaño máximo de la base de datos: 10 GB. Lo más probable es que no se alcance este límite (por ejemplo, el tamaño de la base de datos WSUS para 3000 clientes es de aproximadamente 3 GB). La base de datos interna de Windows está limitada a 524 GB.
Si instala la función WSUS y la base de datos MS SQL en diferentes servidores, existen algunas limitaciones:
- SQL Server con una base de datos WSUS no puede ser un controlador de dominio;
- Un servidor WSUS no puede ser un host de servicios de escritorio remoto al mismo tiempo.
Si planea utilizar la base de datos incorporada de WID (es una opción bastante recomendada y viable incluso para grandes infraestructuras), marque la casilla de verificación Base de datos opción.
Luego, debe especificar el directorio para almacenar las actualizaciones (se recomienda que haya al menos 10 GB de espacio libre en el disco seleccionado).
El tamaño de la base de datos WSUS depende en gran medida de la cantidad de productos y de la versión del sistema operativo Windows que planea actualizar. En una organización grande, el tamaño de los archivos de actualización en un servidor WSUS puede alcanzar los cientos de GB. Por ejemplo, el tamaño de mi directorio WSUS es de aproximadamente 400 GB (se almacenan las actualizaciones para Windows 7, 8.1, 10, Windows Server 2008 R2, 2012 / R2 / 2016, Exchange 2013, Office 2010 y 2016, SQL Server 2008/2012/2016) . Tenga esto en cuenta al planificar el espacio de almacenamiento para sus archivos WSUS.
Si anteriormente eligió utilizar una base de datos SQL separada, debe especificar el nombre del servidor de la base de datos, la instancia de la base de datos y verificar la conexión.
Luego, se instalará la función WSUS con todos los componentes necesarios. Cuando finalice la instalación, ejecute la Consola de administración de WSUS en el Administrador del servidor.
También puede instalar un servidor WSUS con una base de datos interna mediante el siguiente comando de PowerShell:
Install-WindowsFeature -Name Updateservices,UpdateServices-WidDB,UpdateServices-services –IncludeManagementTools
Configuración básica de WSUS en Windows Server 2012 R2 / 2016
Cuando inicie por primera vez la consola WSUS, el Asistente para la configuración del servidor de actualización se iniciará automáticamente. Consideremos los pasos básicos para configurar un servidor WSUS mediante un asistente.
Especifique si el servidor WSUS recibe actualizaciones del sitio web de Microsoft Update directamente o debe descargarlas del servidor WSUS ascendente. La segunda opción se usa generalmente en redes grandes para configurar el servidor WSUS de una división regional grande, que recibe actualizaciones de WSUS en una oficina central (esta configuración reduce significativamente la carga en los canales WAN entre la sede y la sucursal).
Si su propio servidor WSUS debe descargar actualizaciones de los servidores de Windows Update y usted accede a Internet a través de un servidor proxy, debe especificar la dirección, el puerto y las credenciales del servidor proxy para acceder a él.
A continuación, se comprueba la conexión con el servidor de actualización ascendente. Hacer clic Empezar a conectar.
Luego, debe seleccionar los idiomas para los que WSUS descargará actualizaciones. Seleccionamos inglés (la lista de idiomas se puede cambiar desde la consola de WSUS).
Luego, especifique la lista de productos para los que WSUS debe descargar actualizaciones. Debe seleccionar todos los productos de Microsoft que se utilizan en su red corporativa. Tenga en cuenta que todas las actualizaciones adicionales ocupan espacio en el disco, por lo que no se deben verificar los productos adicionales. Si está seguro de que no hay computadoras con Windows XP o Windows 7 en su red, no seleccione las casillas de verificación de estos sistemas operativos. Esto ahorrará mucho espacio en la unidad del servidor WSUS.
Sobre el Página de clasificación, especifique los tipos de actualizaciones que se distribuirán a través de WSUS. Se recomienda seleccionar: Actualizaciones críticas, Actualizaciones de definición, Paquetes de seguridad, Paquetes de servicio, Paquetes acumulativos de actualizaciones, Actualizaciones.
Las actualizaciones de compilación de Windows 10 (1709, 1803, 1809, etc.) en la consola WSUS se incluyen en el Actualizaciones clase.
A continuación, debe especificar un programa de sincronización de actualizaciones; se recomienda utilizar la sincronización diaria automática del servidor WSUS con el servidor de Microsoft Update. La sincronización de WSUS debe realizarse por la noche, para no sobrecargar el canal de Internet durante el horario comercial.
La sincronización inicial del servidor WSUS con el servidor de actualización ascendente puede tardar varios días, según la cantidad de productos que haya elegido anteriormente y su ISP.
Una vez finalizado el asistente, se inicia la consola WSUS.
Para mejorar el rendimiento del servidor WSUS en Windows Server, se recomienda excluir las siguientes carpetas del análisis antivirus:
- WSUS WSUSContent;
- % windir% wid data;
- SoftwareDistribution Descargar.
Los clientes ahora pueden recibir actualizaciones al conectarse al servidor WSUS en el puerto 8530 (en Windows Server 2003 y 2008, el puerto 80 se usa de forma predeterminada). Con una gran cantidad de computadoras (más de 1000), el rendimiento del grupo IIS WsusPoll, que distribuye las actualizaciones del cliente, se puede configurar de acuerdo con el artículo.
Para ver diferentes informes de actualización en la consola de WSUS, debe instalar el opcional Visor de informes de Microsoft 2008 SP1 redistribuible (o superior) en su servidor.
En otros artículos, veremos cómo configurar aún más el servidor WSUS en Windows Server 2012 R2 / 2016: configurar la configuración del cliente WSUS mediante políticas de grupo, cómo aprobar nuevas actualizaciones y copiar actualizaciones aprobadas entre grupos de destino de WSUS.
Artículos Interesantes
Contenido