Configuración de la directiva de grupo de WSUS para implementar actualizaciones

En uno de los artículos anteriores hemos descrito en detalle la instalación de un servidor WSUS en Windows Server 2012 R2 / 2016. Una vez que haya configurado el servidor de actualización, debe configurar los clientes de Windows (servidor y estaciones de trabajo) para poder usar el servidor WSUS para recibir actualizaciones. Por lo tanto, todos los clientes de Windows de su red deben recibir actualizaciones del servidor de actualizaciones interno y no de los servidores de Microsoft Update a través de Internet. En este artículo, veremos cómo configurar clientes para que utilicen un servidor WSUS mediante las políticas de grupo de dominio (GPO) de Active Directory.

Las políticas de grupo de AD permiten al administrador asignar equipos automáticamente a diferentes grupos de WSUS, por lo que el administrador de WSUS no tendrá que mover manualmente los equipos entre grupos en la consola de WSUS y mantener estos grupos actualizados. La asignación de clientes a diferentes grupos de WSUS de destino se basa en una etiqueta en el registro del cliente (las etiquetas las establece un GPO o una modificación directa del registro). Este tipo de cliente que se asigna a los grupos WSUS se denomina segmentación del lado del cliente.

Se espera que nuestra red utilice dos políticas de actualización diferentes: política de actualización separada para Servidores y otro para Estaciones de trabajo. Estos dos grupos deben crearse en la consola de WSUS en la sección Todos los equipos.

Consejo. La política de uso del servidor WSUS por parte de los clientes depende en gran medida de la estructura organizativa de las unidades organizativas (OU) de Active Directory y de las reglas de instalación de actualizaciones en la empresa. En este artículo, intentaremos comprender los principios básicos del uso de políticas de grupo para instalar actualizaciones de Windows.

En primer lugar, debe especificar la regla de agrupación de equipos en la consola WSUS (segmentación). De forma predeterminada, los equipos de la consola WSUS se distribuyen en grupos manualmente por el administrador del servidor (segmentación del lado del servidor). No nos conviene, por lo que vamos a especificar que los equipos se distribuirán en grupos utilizando la orientación del lado del cliente (utilizando las políticas de grupo o los parámetros de registro). Para hacer esto, en la consola de WSUS, haga clic en Opciones y abrir Ordenadores. Cambie el valor a «Usar la directiva de grupo o la configuración del registro en las computadoras».

segmentación del lado del cliente de wsus gpo

Ahora puede crear un GPO para configurar clientes WSUS. Abra la Administración de políticas de grupo (GPMC.msc) y cree dos nuevas políticas de grupo: ServerWSUSPolicy y Estación de trabajoWSUSPolicy.

Política de grupo de WSUS para servidores Windows

Comencemos con la descripción de la política del servidor: ServerWSUSPolicy.

La configuración de la directiva de grupo que es responsable del funcionamiento del servicio de actualización de Windows se encuentra en la siguiente sección de GPO: Configuracion de Computadora -> Políticas -> Plantillas Administrativas-> Componente de Windows-> Actualizacion de Windows.

Configuración de Windows Update para servidores que usan GPO

En nuestro entorno, sugerimos utilizar esta política para instalar actualizaciones de WSUS en servidores Windows. Todos los equipos que caen bajo esta política se asignan al grupo Servidores en la consola de WSUS. Además, queremos deshabilitar la instalación de actualizaciones automáticas en los servidores cuando se reciben. Durante la actualización, el cliente solo debe descargar las actualizaciones disponibles en la unidad local, mostrar la notificación correspondiente en la bandeja del sistema y esperar a que el administrador inicie manualmente la instalación (de forma local o remota mediante el módulo PSWindowsUpdate). Esto significa que los servidores productivos no instalarán actualizaciones automáticamente y no se reiniciarán sin la confirmación del administrador (por lo general, estas tareas las realiza el administrador del sistema como parte del mantenimiento programado mensual). Para implementar tal esquema, establezcamos las siguientes políticas:

  • Configurar actualizaciones automáticas: Habilitar. 3 – Descarga automática y notificación para la instalación – el cliente descarga automáticamente nuevas actualizaciones y le notifica sobre ellas;
  • Especificar la ubicación del servicio de actualización de Microsoft en la intranet: Habilitar. Configure el servicio de actualización de la intranet para detectar actualizaciones: http://hq-wsus.woshub.com:8530, Configure el servidor de estadísticas de la intranet: http://hq-wsus.woshub.com:8530 – establecer la dirección del servidor WSUS local y el servidor de estadísticas (normalmente son iguales);
  • Sin reinicio automático con usuarios registrados para instalaciones de actualizaciones automáticas programadas: Habilitar – desactivar el reinicio automático si la sesión del usuario está abierta;
  • Habilite la orientación del lado del cliente: Habilitar. Nombre del grupo de destino para esta computadora: Servidores – en la consola de WSUS, asigne clientes al grupo Servidores.

Resumen de estaciones de trabajo de configuración de wsus gpo

Nota. Cuando configure la política de actualización, le recomendamos que se familiarice con todas las configuraciones que están disponibles en cada opción de la sección GPO de Windows Update y establezca los parámetros adecuados para su infraestructura y organización.

Política de grupo de WSUS para estaciones de trabajo Windows

Suponemos que, a diferencia de la política del servidor, las actualizaciones en las estaciones de trabajo del cliente se instalan automáticamente por la noche inmediatamente después de recibir las actualizaciones. Las computadoras deben reiniciarse automáticamente después de la instalación de las actualizaciones (notificando al usuario en 5 minutos).

En este GPO (WorkstationWSUSPolicy) especificamos:

  • Permitir la instalación inmediata de Actualizaciones automáticas: Discapacitado – la instalación inmediata de actualizaciones después de su recepción está desactivada;
  • Permitir que los no administradores reciban notificaciones de actualización: Activado – mostrar notificaciones de las nuevas actualizaciones a los no administradores y permite instalarlas manualmente;
  • Configurar actualizaciones automáticas: Activado. Configure la actualización automática: 4 – Descarga automática y programa la instalación. Día de instalación programado: 0 – todos los días. Hora de instalación programada: 05:00 – un cliente descarga nuevas actualizaciones y planea instalarlas automáticamente a las 5:00 am;
  • Nombre del grupo de destino para esta computadora: Estaciones de trabajo – en la consola de WSUS, asigne el cliente al grupo Estaciones de trabajo;
  • Sin reinicio automático con usuarios registrados para instalaciones de actualizaciones automáticas programadas: Discapacitado;
  • Especifique la ubicación del servicio de actualización de Microsoft en la intranet: Habilitar. Configure el servicio de actualización de la intranet para detectar actualizaciones: http://hq-wsus.woshub.com:8530, Configure el servidor de estadísticas de la intranet: http://hq-wsus.woshub.com:8530 : Es la dirección del servidor WSUS corporativo.

En Windows 10 1607 y superior, a pesar de que ha especificado recibir actualizaciones del WSUS interno, es posible que Windows 10 aún intente acceder a los servidores de Windows Update en Internet. Esta «función» se llama Escaneo dual. Para deshabilitar la recepción de actualizaciones de Internet, debe habilitar adicionalmente la política No permita que las políticas de aplazamiento de actualizaciones provoquen análisis en Windows Update.

Propina. Para permitir que los equipos de la empresa tengan instalados todos los parches disponibles, se pueden configurar ambas políticas para que el servicio de actualización (wuauserv) se vea obligado a iniciarse en el cliente. Para hacerlo, bajo Configuración de la computadora -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Servicios del sistema busque Windows Update y configúrelo para que se inicie automáticamente (Automático). Inicio automático del servicio de actualización de Windows

Asignar las políticas de grupo de WSUS a las unidades organizativas de AD

El siguiente paso es asignar las políticas creadas a los contenedores de Active Directory (OU) correspondientes. En nuestro ejemplo, la estructura de OU es extremadamente simple: hay dos contenedores: Servidores (contiene todos los servidores de la empresa, con la excepción de los controladores de dominio) y WKS (Estaciones de trabajo – computadoras de los usuarios).

Consejo. Consideramos solo una forma bastante simple de vincular las políticas de WSUS a los clientes. En el mundo real, es posible vincular una única política de WSUS a todas las computadoras del dominio (se asigna un GPO a la raíz del dominio), distribuir diferentes tipos de clientes en diferentes OU (como en nuestro ejemplo, creamos diferentes políticas de WSUS para servidores y estaciones de trabajo). En dominios distribuidos grandes, vale la pena vincular diferentes servidores WSUS a sitios de AD, o asignar un GPO basado en los filtros WMI, o incluso combinar estos métodos.

Para asignar la política a la OU, haga clic en la OU correcta en la Consola de administración de políticas de grupo, seleccione Vincular un GPO existentey luego verifique la política adecuada.

vincular wsus gpo al directorio activo ou

Consejo. No se olvide de la unidad organizativa separada: Controladores de dominio. En la mayoría de los casos, WSUS Servidor La política debe estar vinculada a este contenedor.

 

Debe asignar WorkstationWSUSPolicy al contenedor de AD con el nombre WKS (donde se encuentran las estaciones de trabajo de Windows) de la misma manera.

Queda por actualizar las políticas de grupo en los clientes para vincular el cliente al servidor WSUS:

Todas las configuraciones de actualización de Windows que hemos establecido a través de las políticas de grupo deben aparecer en la clave de registro del cliente. HKEY_LOCAL_MACHINE SOFTWARE Políticas Microsoft Windows WindowsUpdate.

El siguiente archivo reg se puede usar para transferir la configuración de WSUS a otras computadoras en las que no puede configurar la configuración de actualización usando GPO (computadoras en un grupo de trabajo, segmentos aislados, DMZ, etc.)

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]
"WUServer"="http://hq-wsus.woshub.com:8530"
"WUStatusServer"="http://hq-wsus.woshub.com:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Servers"
"ElevateNonAdmins"=dword:00000000
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU]
"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

archivo reg con la configuración de wsus

También es conveniente controlar la configuración de WSUS aplicada en los clientes mediante el complemento rsop.msc.

En algún momento (depende de la cantidad de actualizaciones y el ancho de banda del servidor WSUS) verifique si hay una notificación emergente de las nuevas actualizaciones en la bandeja. Los clientes (el nombre del cliente, una IP, un SO, el porcentaje de parche y la fecha de la última actualización de estado) deben aparecer en los grupos correspondientes en la consola de WSUS. Dado que asignamos las computadoras y los servidores a los diferentes grupos de WSUS mediante GPO, recibirán solo las actualizaciones que estén aprobadas para su instalación en los grupos de WSUS correspondientes.

clientes de windows en la consola wsus

Nota. Si las actualizaciones no aparecen en el cliente, se recomienda examinar cuidadosamente el registro del servicio de actualización de Windows (C: Windows WindowsUpdate.log). Tenga en cuenta que Windows 10 (Windows Server 2016) utiliza un formato diferente del archivo WindowsUpdate.log.

El cliente descarga las actualizaciones en la carpeta local C: Windows SoftwareDistribution Download.

Para iniciar la búsqueda de nuevas actualizaciones en el servidor WSUS de inmediato, debe ejecutar el comando:

Además, a veces debe obligar al cliente a volver a registrarse en el servidor WSUS:

1

wuauclt /detectnow /resetAuthorization

En casos particularmente difíciles, puede intentar arreglar el servicio wuauserv de la siguiente manera. Si se produce un error 0x80244010 al recibir actualizaciones en los clientes, intente cambiar la frecuencia de búsqueda de actualizaciones en el servidor WSUS mediante el Frecuencia de detección de actualización automática política a 3-4 horas.

En los próximos artículos, describiremos las peculiaridades de la aprobación de actualizaciones en el servidor WSUS y cómo transferir actualizaciones aprobadas entre grupos a un servidor WSUS mediante PowerShell.

Artículos Interesantes

Relacionados:

¿Cómo ver y analizar WindowsUpdate.log en Windows 10 / Windows Server 2016?
¿Cómo hacer una copia de seguridad del controlador de dominio de Active Directory?
Gran uso de memoria en el grupo no paginado en Windows
Error de instalación de SQL Server: no se pudo encontrar el identificador de inicio del motor de bas...