Windows Server Update Services (WSUS)

15 junio 2015
Josep Ma Solanes 121

Continuando la entrada general sobre las actualizaciones de sistemas operativos y aplicaciones, donde se ha visto que es necesario actualizar para evitar males mayores. En un entorno empresarial, en la mayoría de casos, no es aconsejable dejar esta responsabilidad en el usuario final (factor humano) donde el punto débil se multiplica por tantos usuarios y dispositivos como pueda haber.

Además, ¿qué pasa cuando no es una máquina la que se tiene que actualizar sino 10, 25, 50, 100, 300, 600, 1500…?

Todas las máquinas tienen que pasar por la conexión a Internet, conectarse a la web de Microsoft o el fabricante que toque y hacer la descarga de las actualizaciones. Cuando son pocos los equipos y/o aplicaciones a actualizar es soportable, pero como bien dice la pregunta, cuando la cantidad aumenta y el tiempo de vida del sistema operativo o aplicación pasa (más actualizaciones) es más difícil de controlar.

 

Actualizaciones con Windows Server Update Services (WSUS)

¡Actualizar un equipo tarda la tira! Si lo tengo que hacer a todos los de la red ya puedo retirarme.

Es verdad, como más tiempo pasa más actualizaciones tiene un sistema operativo o aplicación. Se tienen que descargar más paquetes y instalar. Y el problema es la descarga de paquetes. Cuando son pocos equipos se puede ir controlando, pero cuando son unos cuantos la cosa se hace más pesada, a no ser que tengas un ancho de banda muy considerable.

Sabiendo que es importante tener los equipos actualizados, como responsable de la infraestructura, ¿como puedo mantener todos los equipos al día?

Desplegando el servicio de Windows Server Update Services, WSUS para los amigos, que incorporan los servidores Windows Server. Naturalmente, el servicio se instala en un servidor de gestión. Este, permite hacer una única descarga de las actualizaciones de los productos seleccionados en el servidor. Mediante el Active Directory se configuran todos los equipos de la red para que vayan a buscar las actualizaciones a este servidor en vez de ir directamente a Microsoft. WSUS también permite controlar qué actualizaciones se desplegarán en los equipos y el estado de actualización de los mismos.

 

Instalación de Windows Server Update Services (WSUS)

Para instalar WSUS se necesita un servidor Windows Server 2008 R2 o superior (para la versión del servicio) y un disco duro de gran capacidad (dependiendo de la cantidad de software que se quiera actualizar). El proceso de instalación y configuración descrito a continuación se basa en un Windows 2012 Server.

Abrir el administrador del servidor. Desde el panel principal, seleccionar Agregar roles y características.

wsus-01

Seleccionar Instalación basada en características o en roles. Hacer clic en Siguiente.

wsus-02

Marcar Seleccionar un servidor del grupo de servidores. Seleccionar el nombre del servidor y hacer clic en Siguiente.

wsus-03

Seleccionar el rol Windows Server Update Services, añadiendo las características necesarias en el cuadro de diálogo que nos pregunta. Hacer clic en Siguiente.

wsus-05

wsus-04

No añadimos más características. Hacer clic en Siguiente.

wsus-06

Se inicia el asistente para instalar WSUS. Hacer clic en Siguiente.

wsus-07

Indicar los roles a instalar:

  • WID Database
  • WSUS Services
  • Base de datos (no marcar, se utiliza WID en lugar de esta)

wsus-08

Indicar donde se tienen que guardar las actualizaciones (los paquetes que se descargan). La recomendación está en un disco aparte del sistema operativo y en almacenamiento barato (Near-Line SAS o SATA). En el ejemplo, la unidad F:\WSUS. Hacer clic en Siguiente.

wsus-09

Resumen de la instalación, marcar la opción Reiniciar automáticamente el servidor de destino en caso necesario para no preocuparnos de hacerlo nosotros y hacer clic en Instalar.

wsus-10

Una vez instalado, hacer clic en Cerrar.

wsus-11

wsus-12

 

Configurar Windows Server Update Services

Instalado el rol de WSUS, se tiene que configurar para que funcione. Desde el Administrador de Servidor, Herramientas hacer clic en Windows Server Updates Services.

wsus-13

Se inicia el asistente para preparar el entorno. Seleccionar la ruta para el directorio de contenido: F:\WSUS. Hacer clic en Ejecutar y esperar que termine las tareas de postinstalación.

wsus-14

wsus-15

Cuando ha terminado, hacer clic en Cerrar para iniciar la consola de gestión de WSUS.

wsus-16

Se inicia el asistente para la configuración de WSUS, hacer clic en Siguiente.

wsus-17

Seleccionar , si se quiere participar en el programa de mejora de Microsoft. Hacer clic en Siguiente.

wsus-18

Indicar si las actualizaciones se descargan desde Microsoft Update o se trata de un servidor WSUS enlazado, útil en el caso de delegaciones, por ejemplo. Al ser el primer servidor, marcar Sincronizar desde Microsoft Update. Hacer clic en Siguiente.

wsus-19

Configuración del proxy para salir a Internet según corresponda a la red, no tiene más. Hacer clic en Siguiente.

wsus-20

Se realiza una primera conexión a los servidores de Microsoft para descargar la lista de productos y idiomas para las actualizaciones. Hacer clic en Iniciar conexión. El asistente no puede continuar sin esta descarga inicial. Descargados los productos, hacer clic en Siguiente.

wsus-21

 

wsus-22

Indicar el idioma o idiomas del que se descargarán actualizaciones de producto. Marcar el/los que corresponda y hacer clic en Siguiente.

wsus-23

Seleccionar los productos de los que se quiere descargar las actualizaciones. Por defecto están marcados todos los paquetes Office y Windows. Marcar sólo los sistemas operativos y aplicaciones que haya instaladas en la red, para ahorrar espacio de disco. Este parámetro después se puede modificar incorporando o eliminando aplicaciones. Hacer clic en Siguiente.

wsus-24

Marcar la clasificación de la actualización. Si es una actualización crítica, controladores, herramientas… Personalmente lo marco todo menos los controladores, aunque no estaría de más. Hacer clic en Siguiente.

wsus-25

Para evitar interferir el ancho de banda en horas de trabajo, se puede programar que realice la descarga de las actualizaciones en una hora determinada. Marcar Sincronizar Automáticamente, indicar la hora y la sincronización por día se puede dejar en 1. A no ser que sean actualizaciones muy críticas, Microsoft publica cada 2º martes de cada mes. Hacer clic en Siguiente.

wsus-26

Ya se ha completado la configuración básica. Ahora, se puede escoger hacer la sincronización inicial o bien finalizar el asistente. Como que no se quiere interferir durante el día y acabar de pulir cuatro detalles, no se marca la sincronización inicial y se continúa el asistente haciendo clic en Siguiente.

wsus-27

Al finalizar el asistente, se muestra un listado de recomendaciones para configurar que hay que tener en cuenta para dejar completamente operativo el servicio de WSUS y que se configurará a continuación. Hacer clic en Finalizar.

wsus-28

Iniciar la consola de Administración de WSUS. Recordar que está vacía, se tiene que terminar de personalizar y añadir las actualizaciones y equipos. En la foto se observa la voz visión inicial.

wsus-29

En el lado izquierdo, desplegar el árbol de opciones hasta Opciones. Donde se pueden modificar las opciones de configuración de la plataforma WSUS.

wsus-30

 

Opciones de configuración de WSUS

Repasamos las opciones para tener claro donde ir a buscar las cosas:

  • Origen de actualización y servidor proxy. Permite modificar desde donde se descargan las actualizaciones y si se requiere la configuración de un servidor proxy para salir a Internet.

wsus-31

  • Productos y Clasificaciones. Añadir o eliminar los productos para los que se descargan las actualizaciones.

wsus-32

 

Así, como el tipo de clasificación de la actualización.

wsus-33

  • Archivos e idiomas de actualización. La primera pestaña permite especificar si se descargarán las actualizaciones en el servidor o si los clientes las descargarán directamente desde Microsoft.

wsus-34

La segunda pestaña permite especificar los idiomas para los que se descargarán las actualizaciones.

wsus-35

  • Programación de sincronización. Cuando se lleva a cabo la actualización del servidor.

 

wsus-36

  • Aprobaciones automáticas. Para no estar aprobando cada vez las actualizaciones para desplegarlas en la infraestructura, este apartado permite generar reglas de aplicación automática. Si los requisitos de las aplicaciones de la red lo permiten (no puede haber conflictos con aplicaciones), es recomendable distribuir todas las actualizaciones de manera automática.

wsus-37

Marcar la regla predeterminada, hacer clic en el botón Editar.

wsus-37

En la regla se pueden especificar tres parámetros a cumplir:

    • Tipo de clasificación
    • Producto
    • Fecha límite para la aprobación (útil para frenar el posible despliegue de actualizaciones que no sean compatibles con aplicaciones de terceros).

wsus-38

 

Una configuración tipo puede ser que se aplique automáticamente la actualización en todos los equipos cuando esté dentro de la clasificación de actualizaciones críticas y sea una actualización de cualquier producto:

wsus-39

En la pestaña Opciones avanzadas, se puede especificar las actualizaciones del propio servicio de WSUS.

wsus-40

  • Equipos. Depende del tipo de configuración que se quiera seguir. Personalmente me gusta tener las cosas bastante ordenadas, de esta manera es más fácil de encontrarlas o aplicar nuevas configuraciones. Por lo tanto, prefiero indicar donde registraré los equipos mediante GPOs. Marcar Usar directiva de grupo o configuración de registro de los equipos. Hacer clic en Aceptar.

wsus-41

  • Asistente para limpieza del servidor. De vez en cuando está muy bien pasar la escoba. Entre otros, permite poner al día los archivos del servidor de WSUS, eliminando versiones de actualizaciones anteriores, sustituidas por otras; o actualizaciones de productos que se han desmarcado. Simplemente hay que marcar las opciones por donde pasar la escoba y hacer clic en Siguiente.

wsus-42

Se hace la limpieza y al acabar muestra un resumen de las actuaciones que ha hecho. Hacer clic en Finalizar.

wsus-43

  • Paquete acumulativo de informes. En caso de enlazar varios servidores WSUS, permite indicar si los informes que se visualizan son sólo de este servidor o de toda la cadena (toda la red). Marcar Acumular el estado de los servidores de réplica que siguen en la cadena para tener una visión global. Hacer clic en Aceptar.

wsus-44

  • Notificaciones por correo electrónico. Sé que a muchos administradores os gusta recibir estas pequeñas notificaciones. El sistema envía un resumen de como está el parque informático. Hay dos tipos de avisos: actualizaciones nuevas descargadas en el WSUS y informes de estados del parque informático. Configurar la programación a gusto de cada uno.

wsus-45

No dejarse la pestaña Servidor de correo electrònico.

wsus-46

  • Programa de mejora de Microsoft Update. Si se quiere participar o no. No tiene mucho más.

wsus-47

  • Personalización. Tiene que ver con la recopilación de datos de los servidores enlazados.

wsus-48

 

Y las advertencias de la lista de tareas pendientes.

wsus-49

Falta crear los grupos de equipos donde se irán colocando según la configuración de la GPO correspondiente. Normalmente yo los separo en tres grupos para aplicar diferentes políticas o actualizaciones que se tienen que aplicar:

  • Equipos – Los ordenadores clientes. Suelen ser todos igual a no ser que haya alguna aplicación que se tenga que ir con mucho cuidado con las actualizaciones.
  • Servidores – Los servidores en general. Se diferencian porque no reiniciaré un servidor automáticamente, a diferencia de un equipo.
  • Nodos virtuales – Nodos de virtualización. Lo mismo que los servidores, pero manías mías, prefiero tenerlo separado.

 

Para crear el grupo. Dentro de la consola de WSUS, en el lado izquierdo, seleccionar Equipos > Todos los equipos, botón derecho y hacer clic en Agregar grupo de equipos.

wsus-50

Indicar el nombre del grupo y hacer clic en Agregar. No hay que hacer nada más.

wsus-51

Haciendo clic sobre el nombre Equipos, se obtiene un informe de estado de todos los grupos. Con una mirada rápida se ve el estado de las actualizaciones en la infraestructura.

wsus-59

Hay que comprobar que se ha hecho la sincronización de las actualizaciones desde Microsoft. Desde el árbol de opciones, hacer clic en Sincronizaciones.

wsus-53

En el ejemplo se muestran dos actualizaciones, una que ha dado error y la otra que se ha completado con éxito, pero que no ha descargado ninguna actualización.

Haciendo clic con el botón derecho sobre la tarea, se puede visualizar el informe de la sincronización.

wsus-54

Para visualizar los informes de WSUS se requiere tener instalado Microsoft Report Viewer 2008 SP1.

wsus-55

En el WSUS, la aprobación y despliegue de actualizaciones se controla desde la opción Actualizaciones. Haciendo clic encima se obtiene un informe gráfico del estado según cada vista.

wsus-58

Por defecto, dentro ya hay 4 vistas que filtran los resultados para que sea más fácil localizar los paquetes, pero se pueden crear más de personalizadas según las necesidades.

  • Todas las actualizaciones. Es la vista por defecto que contiene la visión de todas las actualizaciones.
  • Actualizaciones críticas. Creada por defecto, visualiza todas las actualizaciones críticas.
  • Actualizaciones de seguridad. Las que afectan a la seguridad.
  • Actualizaciones de WSUS. Las que afectan al propio servicio de WSUS.

A la vez, cada vista se puede filtrar por el tipo de aprobación:

  • Sin aprobar
  • Aprobada
  • Rechazada
  • Cualquiera, excepto rechazada

y el estado de la descarga de la actualización:

  • Con errores o necesaria
  • Instalada/no aplicable o sin estado
  • Con errores
  • Necesaria
  • Instalada/no aplicable
  • Sin estado
  • Cualquiera

wsus-56

Además de la posibilidad de buscar una actualización por el botón Buscar, situado en la barra de acciones de la derecha, y indicando en el cuadro de diálogo el texto: Título, descripción o KB o equipo.

wsus-57

 

El apartado de Informes se pueden ejecutar informes preestablecidos del estado de actualizaciones. Hacer clic en el informe que corresponda y se ejecuta.

wsus-60

Asignación de los equipos por GPO

Como no puede ser de ningua otra manera, haremos la configuración de las actualizaciones automáticas con nuestras amadas   GPOs. En uno de los controladores de Active Directory o bien un servidor con las herramientas de administración instaladas, abrir la consola de administración de directivas de grupo. Se puede localizar en el administrador del servidor > Herramientas.

wsus-61

Crear dos directivas nuevas, una para equipos y la otra para servidores. En Objetos de directiva de grupo, botón derecho hacer clic en Nuevo.

wsus-62

Indicar un nombre descriptivo para la directiva: WSUS – Servidores. Hacer clic en Aceptar.

wsus-63

Botón derecho sobre la nueva directiva, hacer clic en Editar…

wsus-64

Se está configurando una directiva para máquinas, desplegar Configuración del equipo > Directivas > Plantillas Administrativas > Componentes de Windows > Windows Update

wsus-65

Recordar que se pueden ordenar las directivas por su nombre haciendo clic en el encabezado.

wsus-66

Opciones importantes a configurar para servidores:

  • Configurar Actualizaciones automáticas. En el caso de los servidores, que haga la descarga, pero NO la instalación, opción 3. El período de tiempo según convenga.

wsus-67

  • Habilitar destinatarios del lado cliente. Especificar el nombre del grupo que se ha creado en el WSUS, por ejemplo: Servidores. O bien Equipos, Nodos de virtualización, etc…

wsus-68

  • Especificar la ubicación del servicio Windows Update en la intranet. Indica cuál es la dirección del servidor de WSUS, normalmente se crea un registro del tipo alias en el DNS por si cambia el nombre del servidor: wsus.laboratoris.local. En las instalaciones por defecto, el site de actualizaciones se ejecuta por el puerto TCP 8530 (http) o por el TCP 8531 (https). Se deben indicar estos puertos en la dirección.

wsus-77

Modificada la directiva, se vincula a las unidades organizativas donde están los servidores: Domain Controllers, Servidores miembros. Botón derecho sobre la unidad organizativa, hacer clic en Vincular un GPO existente.

wsus-69

Marcar la directiva correspondiente, WSUS – Servidores y hacer clic en Aceptar.

wsus-70

Asegurar la réplica del Active Directory con la instrucción de consola (recordar que se tiene que ejecutar con privilegios de administrador)

repadmin /syncall

Comprobar que las opciones de Windows Update de la máquina se aplica la directiva. Ir al Panel de control > Windows Update

wsus-73

En el lado izquierdo, seleccionar Cambiar configuración para acceder a las opciones configuradas:

wsus-72

Si la máquina no está controlada por la directiva de WSUS, se pueden modificar las diferentes opciones:

wsus-71

Pero si se actualiza y aplica la directiva, por ejemplo con el gpupdate, al hacer clic en cambiar configuración, muestra las opciones configuradas, pero sin poderlas modificar. Han pasado a estar administradas.

wsus-74

Con el equipo administrado por GPO, comprobar que se ha dado de alta en la consola de WSUS, en el grupo que le corresponde:

wsus-78

 

Comandos para los clientes

Como que el entorno de actualizaciones automáticas pasa a estar automatizado, se puede dar el caso que convenga forzar acciones. Para hacerlo, existe una herramienta de consola de comandos que pasando unos parámetros ejecuta acciones básicas. Son instrucciones que aparentemente no hacen nada, pero por debajo inician los procesos pedidos.

Iniciar una consola de sistema con privilegios de administrador. Desde el directorio c:\Windows\System32\, ejecutar:

En caso que el servidor no haya informado se puede forzar con la instrucción:

wuauclt /reportnow

Si se quiere forzar la detección de actualizaciones pendientes, equivale a pulsar el botón del Windows Update de buscar actualizaciones.

wuauclt /detectnow

Si se quiere forzar la detección de actualizaciones pendientes y descargarlas:

wuauclt /detectnow /downloadnow

Si ha habido un error de registro en el servidor WSUS o el equipo estaba registrado en otro servidor de WSUS y ahora se ha cambiado:

wuauclt /ResetAuthorization

 

El comando wuauclt.exe no dispone de ayuda directa, por lo que las bibliotecas de información han sido la propia ayuda. Otros parámetros que se pueden utilizar son:

  • /RunHandlerComServer
  • /RunStoreAsComServer
  • /ShowSettingsDialog
  • /ResetEulas
  • /ShowWU
  • /ShowWindowsUpdate
  • /SelfUpdateManaged
  • /SelfUpdateUnmanaged
  • /UpdateNow
  • /ShowWUAutoScan
  • /ShowFeaturedUpdates
  • /ShowOptions
  • /ShowFeaturedOptInDialog
  • /DemoUI

 

¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o sugerencia. ¡Gracias!

Similar Posts by The Author:

 

121 comentaris per a
“Windows Server Update Services (WSUS)”

  1. hola muchas gracias
    Josep Ma Solanes

    me sirvio de mucho ahora que ando configurando mi servidor

    saludos desde yucatán!

     
  2. Una pregunta, hay alguna forma de hacer que las maquinas del dominio se actualicen por WSUS sin tener que utilizar las gpo?

     
    1. Sí, creando, modificando en cada máquina las entradas de registro correspondientes a la dirección URL donde se encuentra el WSUS y los parámetros de actualización (cuando instalar, si debe reiniciar o no, etc…). Naturalmente estos parámetros del registro se pueden exportar cuando una máquina está correctamente configurada y fusionar en el resto. En el apartado de WSUS, necesitas tener configurado la gestión de las máquinas por el propio WSUS y no por política de Active Directory.

       
      1. Gracias!

        AHora tengo el problema, que me ha llenado un disco de 250Gb solo para actualizaciones y la cosa sube.

        Se puede resetear el WSUS para borrar todas las actualizaciones? la idae seria borrarlo todo y configurar de nuevo idiomas, etc.

        gracias!

         
        1. Resetearlo como tal, dejando todo límpio ahora mismo no lo sé ya que nunca lo he utilizado. Siempre he optado por el método de limpieza de actualizaciones, aprobando o denegando las que corresponden y la limpieza siempre ha funcionado correctamente.

          Lo que si tienes muchos sistemas operativos y aplicaciones es fácil llegar a las 250 GB o 350 GB.

           
  3. Gran documento JMSolanes!!!
    sabrías decirme si las actualizaciones acumulativas de SQL Server 2014 llegan al wsus, o solo llegan los SP y actualizaciones de seguridad?

    De nuevo, gracias por la aportación!!

     
    1. No lo sé del todo seguro. No recuerdo haber visto las CUs mediante el WSUS, solo los Service Packs y actualizaciones de seguridad como bien dices. No obstante, te lo confirmaré.

       
  4. Muy buen post. muchas gracias por el aporte. mira estoy intentando hacer la configuración de WSUS en un server independiente a mi DC pero seguí todos los pasos, el detalle resulta que no puedo ver que se enlacen los clientes en el monitor de equipos del server de wsus, hay algún parámetro que se tenga que configurar.

     
    1. ¿Has revisado la configuración de la Directiva de Grupo de la Asignación de equipos por GPO, la tienes asignada a una Unidad Organizativa con EQUIPOS? Es muy importante que los nombres coincidan con los grupos que has creado. Así mismo, revisa que tienes establecida dicha configuración en el servidor WSUS, en el apartado OPCIONES > Equipos. Tienes que tener marcada la de asignación por Directiva.

      Saludos,

       
  5. Buenas, que tal estas JMSolanes.
    Fijate que tengo casi 200 equipos y configure un WSUS y por medio de un GPO con nombre actualizaciones-wsus quiero aplicarla a todos los equipos de la red, para no ir equipo por equipo configurando las manualmente, la GPO se crea de forma exitosa pero cuando reviso el gpedit.msc en los equipos clientes aparece No configurada, que puedo estar haciendo mal.

    Nota: ya aplique gpupdate /force, entre otras

     
    1. Asegúrate que tienes la GPO aplicada a la unidad organizativa donde estan los equipos, no los usuarios. Dicha modificación solo afecta a los equipos. También si has modificado los permisos de la política para que los equipos puedan leerla. Puedes comprobar que el equipo está leyendo y/o aplicando la política mediante la ejecución de un gpresult /R en la consola de sistema.

      Saludos

       
  6. Estimado JMSolanes , gran post , con referente al almacenamiento de las actualizaciones cuanto es la cantidad que almacena y que maneras de prevención se debe tomar para que las actualizaciones no se acumulen por las puras , también crees que resulte con maquinas con SO W10 ya que hay problemas con el windows update.

     
    1. Gracia por tu comentario José,

      Tener habilitado el mantenimiento del WSUS y mucho espacio de disco. Bien es cierto que las actualizaciones ocupan mucho sitio.

      Sobre Windows 10 habrá cambios y hasta aquí puedo leer. Realizaré una entrada cuando se pueda publicar.

      Saludos,

       
  7. Hola, configuré WSUS en server 2012, pero todas las actualizaciones dicen lo siguiente: Todavía no se han descargado los archivos de esta actualización. Existen como 9000 actualizaciones en la consola todas con este problema.

     
    1. Hola Francisco,
      ¿Has aprobado las actualizaciones? Las primeras y, si no creas una regla automática el resto, se deben aprobar para su distribución desde ese apartado. El objetivo es que siempre tengas consciencia de que estás distribuyendo a tu red de equipos y si se puede hacer (quizá haya actualizaciones que no quieras desplegar).

      Saludos,

       
  8. Hola tengo una duda respecto a WSUS, sabes si puedo utilizar un solo servidor WSUS para administrar dos dominios(Relacion de confianza ya hecha). de antemano te agradezco. Saludos desde mexico.

     
    1. Hola Damian,

      En principio si, piensa que el WSUS lo configuras a nivel de políticas de conexión (conexión a una URL), no a nivel de seguridad de dominio (cuentas de equipo. Con lo que si la máquina está o no está en el dominio no es relevante.

      En mi empresa incluso lo hacemos con máquinas de clientes, registrando la configuración mediante fichero .reg, haciendo las actualizaciones y luego volviendo a borrar la configuración del servidor WSUS. De esta forma evitamos tener que esperar que cada equipo descargue las actualizaciones.

      Saludos

       
  9. JM, muchas gracias por tu aportación y paciencia con nuestras consultas.
    Te ruego que me orientes en mi problema: He creado la GPO correctamente (estoy seguro) y se aplica a una OU donde está el equipo (estoy seguro), sin embargo, al comprobar con gpresult /r, se ha filtrado porque está vacía. He probado de todo, y no consigo dar con el motivo. ¿Se te ocurre algo?
    Un saludo

     
    1. Hola Santi,

      ¿Se ha filtrado porqué está vacía? Entiendo que la GPO tiene configurado algún parámetro del WSUS. Lo único que se me ocurre es que la GPO se aplique a una OU donde no haya equipos. Asegúrate que aplicas la GPO en una unidad organizativa (OU) donde estén los equipos.

      Saludos

       
  10. Existe alguna manera de sincronizar si uso PDC? , eh logrado que en WSUS mire mis computadoras pero no logro que vea los updates , solo me dice que mi maquina esta actualizada , pero en realidad en el WUSUS me marca que tiene updates pendientes, agradeceria tu tiempo y gracias.

     
      1. Lo puedes hacer con un fichero que modifique los parámetros del REGISTRO de WINDOWS. Lo he estado buscando pero no encuentro uno hecho. Le puedes dar un vistazo al artículo técnico del TechNet para crearlo:
        https://technet.microsoft.com/en-us/library/cc708449(v=ws.10).aspx

        Básicamente, tienes que indicar la dirección del servidor de WSUS en los parámetros: WUServer y WUStatusServer.
        El nombre del grupo que has creado en WSUS para añadir los equipos: TargetGroup
        Y que utilize los grupos indicados en el registro en vez de manuales en el WSUS: TargetGroupEnabled a 1.

        Saludos,

         
  11. Estimado,
    muy bueno tu articulo, facil de entender y de gran alcance para soporte de IT.

    Tengo una pregunta, mi WSUS funciona correctamente , pero mi consola no actualiza el status de los equipos, es decir en la consola me aparece un EQUIPOX QUE AUN TIENE PARCHES PENDIENTES DE INSTALAR, pero en el equipo esos parches ya fueron instalados, este comportamiento es normal o hay que esperar algun tiempo para que se actualice???

     
    1. Los equipos envían información al WSUS cada cierto tiempo, no instantáneamente, puedes forzar dicha actualización mediante la consola de sistema, ejecutando:

      c:\windows\system32\> wuauctl.exe /reportnow

      Desencadenas el proceso de informe al servidor WSUS, esperas unos minutos y refrescas el WSUS. Si todo es correcto debe actualizar el estado del equipo.

      Saludos,

       
  12. Excelente post felicidades!! , Tengo una consulta mi WSUS funciona perfectamente, pero en la consola no se actualiza el status de las actualizaciones , por ejemplo me aparecen equipos que tienen parches pendientes, pero estos parches ya fueron aplicados, he reiniciado tanto el cliente como al servidor y nada aun siguen saliendo que tienen parches pendientes aunque ya esten instalados, ya ha pasado 9 dias desde que instale u nada que se refrezca, me puede dar una luz de que pueda ser.

     
    1. Hola Luis, pues tendrían que haber informado ya al WSUS. Puedes forzarlo con el comando, desde el directorio c:\Windows\System32>:

      wuauctl.exe /reportnow

      Revisa los logs del visor de eventos. Entiendo que tienes bien aplicadas las GPOs de configuración de WSUS (grupos y direcciones URL del WSUS con sus puertos) y los equipos se añaden correctamente a los grupos definidos en ellos. Revisa que esos puertos estén correctamente abiertos de entrada en el cortafuegos del servidor de WSUS.

      Ya me cuentas. Saludos.

       
      1. he ejecutado el comando pero aun siguen sin actualizarse los equipos en la consola, las entradas de firewall si están definidas correctamente, en los logs no hay evidencia de algún problema.
        Algo que me pude percatar es lo siguiente el parche que se refleja como pendiente es un parche que fue instalado y después tuvimos que removerlo porque nos afecto todos los equipos (kb3159398), después de esto tuvimos que realizar correctivos en nuestras aplicaciones y se solicito que nuevamente se despliegue este parche el mismo ya fue instalado en estos equipos, y sigue apareciendo como pendiente

         
        1. Entonces, ¿entiendo que solo no informa correctamente de este parche o de cualquier otro?

          Has hecho una limpieza de la base de datos, que no hayan quedado registros mal. Has forzado una actualización en el equipo cliente:

          wuauctl.exe /detectnow

          Y luego lanzas el reporte

          wuauctl.exe /reportnow

          A parte de esto no me viene ninguna otra idea sin más información al respecto. Investigaré un poco.

           
          1. Que tal, te cuento que he podido solucionar este tema, el origen del problema fue un KB que se instalo y nos modifico algunas configuraciones en los clientes, por lo cual se pidió que se vuelva a desinstalar este KB en todos los clientes (700 PCs), esto lo hice desde consola , mande a remover el parche, pero en esta configuración se activo el «deadline», con lo cual se daba una fecha máxima de un mes a partir de la ejecución para que los usuarios reinicien su PC y se complete el proceso de desinstalacion, como en todos lados hay usuarios que NUNCA!! apagan su pc se activo esto. Me di cuenta de que el deadline se había ejecutado pero en la base decía que aun estaba pendiente de hacerlo aunque la fecha ya había pasado lo cual no era lógico. Por ese motivo desactive el deadline y después todos los equipos que tenían pendiente este parche se actualizaron y quedaron correctos.

             
  13. JMSolanes tengo un problema con mi wsus, yo lo pongo en el origen de actualizacion que se conecte a otro wsus y no le marco que sea replica con el fin de poder elegir productos y categorias, pero no me deja escogerlos, es decir los marca desactivos, solo me deja seleccionar los idiomas de la actualizaciones. Tendras alguna idea de como resolverlo??

     
    1. Es que en la estructura de pirámide manda el primero, se ha hecho precisamente para evitar tener WSUS por WSUS a configurar las actualizaciones a descargar. Administrativamente aceptas en el primero y se despliega en el resto. ¿No era esa tu intención? ¿Por qué motivo quieres poder elegir en los WSUS secundarios?

      Saludos,

       
      1. Necesito escoger los productos y categorias porque donde tengo ese wsus no tengo tanto diversidad de productos, es decir tengo w7, windows 2008 r2 y office 2013 nada mas y quisiera no tener que ocupar espacio en disco con actualizaciones que no voy a usar.

         
        1. Por supuesto, es una locura tener marcados todos los productos. Una vez instalado el WSUS, o de vez en cuando, hacer un refresco de los productos NECESARIOS para actualizar y del IDIOMA. También seria una locura descargarse todo para todos los idiomas.

          Saludos,

           
  14. Entonces no hay forma de desvincular mi wsus de la estructura de pirámide?? Estuve leyendo en la pagina de microsoft y en teoria debe permitirte escojer los productos y clasificaciones pero en la practica no me deja. Ademas intente desde el wsus de mas arriba permitir o dejar libre el wsus que sigue en la cadena y no encuentro opción alguna para esto. Gracias de antemano.

     
    1. El vínculo de cadena se configura en el WSUS de abajo, donde se indica cual es el WSUS al que precede. Al instalarlo tienes que seleccionar o deseleccionar «Elegir servidor que precede en la cadena», según deseas que sea independiente o estar vinculado a uno superior. En esa misma pantalla puedes habilitar el checkbox conforme es una réplica del otro servidor, con lo que no tendrás que gestionarlo. Él solo replica la configuración.

      En caso de no haber marcado esas opciones en la configuración inicial del WSUS, en la pantalla principal, en el árbol de carpetas de la izquierda, selecciona Opciones. La primera opción que aparece Origen de actualización y servidor proxy. Permite modificar estas opciones.

      Si no está marcado el checkbox de réplica, tendrías que poder seleccionar los productos en «Productos y Clasificaciones».

      Saludos,

       
  15. Buenos días JM

    Perfecto tú artículo windows server updates services, muchas gracias.

    quería hacerte una corrección si me lo permites

    En la parte final comentas el uso de comando

    wuauctl, realmente el comando a ejecutar es
    wuauclt,

    Por lo demás perfecto…

     
  16. Que tal Josep, aqui molestandote nuevamente con una consulta. Existe algun perfil de atributos de usuario para poder ejecutar parches en equipos Windows Server 2012??
    Te hago esta pregunta porque en mi empresa a todos nuestros servidores de produccion les hacen hardening y en base a esto se otorgan los diferentes permisos hacia estos equipos. Hay un grupo de servidores que no estan dentro de nuestra matriz, estan en otro ciudad a los cuales cada vez que les quieren aplicar parches envian mensajes de error, lo comun del caso es que solo ocurre con equipos Windows Server standard 2012 , dentro de ese grupo tenemos servidores con otros SO y no hay ningun problema. El hardening que aplicamos a estos equipos es similar al de nuestros equipos en la matriz, y aca no tenemos ningun inconveniente o problema, se aplican con normalidad. Otro diferencia que tenemos es que nuestro WSUS MATRIZ es version 7.6 ; el servidor de WSUS de nuestra sucursal es version 3.2, configurado como replica del matriz, no se si esto sera algun problema o simplemente es cuestion de algun permiso mal asignado ya que cuando ejecutamos parches en nuestra sucursal con usuarios con privilegios se ejecutan correctamente. A la espera de tu valiosa ayuda.

     
    1. Estimado Javier,

      Me podrias ayudar con esto, ya que he buscado por todos lados los permisos necesarios para poder ejecutar parches pero aun no encuentro nada.

       
  17. Que tal Josep, aqui molestandote nuevamente con una consulta. Existe algun perfil de atributos de usuario para poder ejecutar parches en equipos Windows Server 2012??
    Te hago esta pregunta porque en mi empresa a todos nuestros servidores de produccion les hacen hardening y en base a esto se otorgan los diferentes permisos hacia estos equipos. Hay un grupo de servidores que no estan dentro de nuestra matriz, estan en otro ciudad a los cuales cada vez que les quieren aplicar parches envian mensajes de error, lo comun del caso es que solo ocurre con equipos Windows Server standard 2012 , dentro de ese grupo tenemos servidores con otros SO y no hay ningun problema. El hardening que aplicamos a estos equipos es similar al de nuestros equipos en la matriz, y aca no tenemos ningun inconveniente o problema, se aplican con normalidad. Otro diferencia que tenemos es que nuestro WSUS MATRIZ es version 7.6 ; el servidor de WSUS de nuestra sucursal es version 3.2, configurado como replica del matriz, no se si esto sera algun problema o simplemente es cuestion de algun permiso mal asignado ya que cuando ejecutamos parches en nuestra sucursal con usuarios con privilegios se ejecutan correctamente. A la espera de tu valiosa ayuda

     
    1. Difícil de contestar lo que me planteas. Vamos a probar.

      • Entiendo que ¿tienes servidores Windows Server 2012 R2 desplegados y estos te actualizan correctamente?
      • ¿Tienes servidores Windows Server 2008 R2, 2008 o 2003 y tambien te actualizan correctamente?

      Has probado de realizar una actualización directa a tu WSUS de la matriz, en que te funcionan tus servidores.

      ¿De donde has sacado el versionado del WSUS? Has comprobado las versiones con las indicaciones de la URL: https://technet.microsoft.com/es-es/library/dd939828(v=ws.10).aspx

      ¿Puedes comprobar que la versión del WSUS sea la 3 SP2?

      Ya sé que son muchas preguntas, pero me falta información al respecto. Es importante que tengamos los equipos actualizados y con las mismas versiones para poder hacer un troubleshooting correcto.

       
      1. Que tal Javier,

        en base a tus preguntas te comento , que mi problema es solo en mi sucursal con servidores con plataforma Windows Server 2012 Standard, la version de este WSUS es 3.2.7600.226 y esta configurado en modo replica, con cualquier otra version de SO (2003, 2008, 2012 R2) no tengo problemas todos se actualizan sin problemas.

        Como dato adicional te comento que en la sucursal la unica manera de que pueda actualizar los parches en los servidores con Windows server 2012 es levantar la sesion con un usuario con privilegios elevados y se ejecutan sin problemas.

        En mi matriz tengo WSUS 6.3.9600.16384 aqui no tengo ningun tipo de problema , todo se actualiza correctamente.

        Espero que estas respuestas aclaren un poco mas mi escenario.

         
  18. Hola.

    Fantástico documento. Enhorabuena.
    Tengo una pregunta, aún teniendo todo bien configurado, las GP bien creadas, en WSUS no aparecen las OU en las que se aplican las GPO´s y por tanto, todos los servers cuelgan de Unassigned computers.
    ¿Tienes alguna pista?.

    Gracias de antemano.

    Un saludo.

    Javier

     
  19. Buen día, realice la instalación sobre Windows Server 2012 R2, pero no he podido ejecutar los reportes porque indica que debo instalar el Microsoft Report Viewer 2008 Redistributable, instale el Microsoft Report Viewer 2012 Redistributable porque la versión 2008 no funciona y continua apareciendo el mismo error.

     
    1. Finalmente luego de intentar hasta instalar el SQL reporting 2012 que tampoco sirvió, se instalo el NetFramework 3.5 y permitió la instalación del MRV 2008

       
      1. Lo siento, creo que mi respuesta anterior ha llegado tarde. No hace falta instalar el SQL Reporting, que es otra cosa, para visualizar los reports de WSUS. Solo el visor, el cliente, que te he indicado en el comentario anterior.

        Saludos,

         
  20. Hola que tal, muy bueno el contenido del articulo, estoy intrigado es posible repartir los comandos de los clientes a toda la organización a los equipos encendidos en ese momento. no se como una tarea diaria que me permitiera decir a todo equipo que enciende wuauclt /reportnow

    quedo atento a tus comentarios gracias

     
    1. Hola Duvan,
      lo puedes poner en una GPO con un script de inicio de sesión o máquina para que informe al WSUS. Teóricamente, esto lo hace sólo con la configuración de WSUS.

      Saludos,

       
  21. Hola JMSolanes, felicitaciones por tu trabajo en este Sitio!
    Quiero consultarte por un problema que tengo en la consola del WSUS sobre Server 2012 R2.
    Aparece el siguiente mensaje:
    «La consola de administración de WSUS no pudo conectar con el servidor WSUS a través de la API remota.
    Compruebe si IIS, SQL y el servicio Update Services se están ejecutando en el servidor. Si el problema persiste, intente reiniciar IIS, SQL y el servicio Update Services.

    La consola de administración de WSUS ha encontrado un error inesperado. Esto puede deberse a un error transitorio; intente reiniciar la consola de administración. Si el error persiste,
    »
    borro el archivo que se indica en la ruta, pero no se soluciona. A veces reiniciando el servidor también resuelve el problema, pero luego vuelve a aparecer.
    ¿que crees tu que puede estar ocurriendo?

     
    1. Hola Juan,

      Primero tendrías que saber qué tipo de base de datos utiliza el servicio de WSUS, si la interna o el servidor SQL Server. Después, si el servidor que contiene la base de datos dispone de los recursos necesarios. WSUS no es precisamente una aplicación ligera, requiere de recursos para poder mover la propia base de datos. Comprueba estos parámetros. También, si el servidor dispone de anti-virus, intenta excluir los ficheros de la base de datos.

      Saludos,

       
  22. Bueno Josep,
    la base de datos es local-interna (WID).

    – Hemos aumentado la memoria RAM de 8 a 16GB en el server Hyper-V
    – Con 4 cpu virtuales (lamentablemente aquí no podemos aumentar a mas, el host fisico Windows server 2008 R2 Enterprise no nos permite mas)
    – El disco de S.O. del server WSUS es de 100GB y el de parches es de 400GB de los cuales tiene disponible 90 (aquí si podemos aumentar su capacidad)

    En cuanto al error inicial por lo que te escribí, encontramos una solución que quizás tenga que ver con lo que dices, en donde soluciona la caáda de la consola, pero se ve muy lenta la respuesta de WSUS al consultar por actualizaciones, etc. La solución trata de aumentar el parámetro «WsusPool» en IIS de «1843200» a «8843200» (Limite de memoria privada)

     
  23. Buenas noches, primero que nada agradecer tu excelente ayuda en la implementación de WSUS, todo muy claro :).
    Tengo tres Preguntas si me puede orientar:
    1- Tengo aplicada la GPO con Equipos y se me van agregando en mi consola WSUS, tengo actualizaciones que he aprobado, pero a veces me aparecen los equipos con alerta roja indicando que una actualización ha fallado.. Eso como se puede solucionar?, tengo que diferenciar los equipos de 32 Bit y 64 Bit?

    2- Puedo enviar los reportes que entrega la consola de WSUS por correo electrónico?

    3- Los equipos deberían estar siempre en 100% para asegurarnos que están 100% actualizados o esto es imposible.. cual seria un valor correcto.

    Espero que este muy bien, y me pueda orientar con estas dudas, un gran abrazo.

     
    1. Gracias por tu comentario Raul. Sobre las dudas intento contestarte.

      1. Se debe mirar cada actualización en cada caso de porqué ha fallado. Algunas tienen dependencias de otras, quiere decir que si una no está instalada la otra da error. Muchas veces basta con volver ha provocar la detección y volver a instalar. En la máquina cliente ejecutar: wuauctl /detectnow /updatenow Para refrescar el WSUS luego realiza un wuauctl /reportnow

      2. Si tienes configuración del qué pasa o ha pasado en el WSUS por correo electrónico más general; lo tienes en Opciones si mal no recuerdo. No sé si esto te sirve. Los detalles no, por eso existe el ReportViewer más interactivo y que te permite afinar sobre el qué está pasando en el entorno WSUS. Que equipos están actualizados, que actualizaciones tienen, que actualizaciones les falta, etc…

      3. En principio si, esa es la idea. Lo que muchas veces se te quedan en el 99% porqué falta alguna actualización. En ese caso debes afinar el WSUS. Si es una actualización que se debe aplicar, la tienes que aplicar, sino, mejor quitarla del WSUS.

      Saludos,

       
  24. Estimado JM, muy buenas tardes.
    Primero que nada agradecer el excelente tutorial, esta excelente lo implemente y funciona perfecto.
    Bueno, tengo tres dudas, que me gustaría que me orientara:
    1- En mi consola de WSUS, se han ido agregando equipos y algunos aparecen con un icono de color rojo con Update with errors… Esto como puedo ir eliminandolas?

    2- Tengo que crear grupos de 32 y 64 bit o no es necesario?, o al realizar la instalación se agregan de forma automatica, segun la version del SO?

    3- Existe la posibilidad de que los reportes los pueda enviar a traves de correo electronico cuando los genero de forma manual o solo se pueden exportar en PDF y Excel?

    4- Los equipos siempre deberian estar 100% en el porcentaje de instalados?, me gustaria que me orientara un poco con esto, ya que la verdad no comprendo muy bien.

    Bueno, muchas gracias por todo..!! Un gran abrazo.

     
    1. Hola Raul, continuamos con las preguntas y respuestas:

      1. Actualizando las máquinas, si a caso manualmente en cada máquina, realizando un wuauctl /detectnow /updatenow y luego wuauctl /reportnow para informar al WSUS.
      2. No, es independiente si es 32 o 64, nunca me he encontrado con la necesidad de si el sistema es 32 y/o 64. Quiero las actualizaciones independientes de las plataformas que utilizo.
      3. Mira las opciones del Report Viewer, puedes llegar a imprimirlo y por lo tanto, tenerlo en PDF.
      4. Te lo he contestado en otro comentario, es la guerra a llegar.

      Saludos,

       
  25. Antes de nada, darte las gracias por este gran blog, que tanto nos ayuda. Ahora paso a contarte mis dudas:

    Mediante Wsus (Windows 2012R2) se pueden actualizar equipos con windows 10 (build 1607)?

    En mi wsus tengo desactivado la descarga de drivers, pero en mis maquinas con windows 10 si descarga e instala drivers. Por eso, sospecho que no esta funcionando bien.

    Hay alguna forma en windows 10 de seleccionar las actualizaciones a instalar?

    Gracias!

     
  26. Estimado que buen Post

    si esta en tus posibilidades tengo una duda
    tengo wsus 10.0xx en win srv 2016 , no alcanzo a actualizar equipos con win 10

    en varios foros dice que hay ciertos cuidados para esa combinación , según tu experiencia ?? que sugieres.

     
    1. Estás en lo cierto, las actualizaciones de los Windows 10 debes ir con cuidado y es un poco complejo contestar a un comentario. Me lo apunto para un artículo paso a paso de su configuración.

      Gracias por tu aporte. Saludos.

       
  27. Hola
    Lo primero gracias por el articulo lo explicas bien y es muy completo, ahora tengo una duda espero que me puedas ayudar.
    Tengo creados los diferentes grupos de ordenadores, pero en un futuro tengo que agregar mas , ¿ que actualizaciones van a pillar los nuevos grupos?
    Gracias

     
  28. Buen dia
    Tengo una duda, mi servidor wsus principal esta en windows server 2016 version 10, tengo un servidor en otra sede en win 2008 version wsus 3.2 es compatible para utilizarlo como replica
    ya que uno es por el puerto 8530 y el otro por el puerto 80

     
    1. No lo he probado con 2008 y 2016. Sí con 2012 R2 y 2016, con lo cual no te lo puedo confirmar. Por mi experiencia, no tendrías que tener problema alguno ya que tu configuras las dependencias de un servidor WSUS indicas la URL y el puerto. Simplemente se alimenta de una base de datos y los ficheros, es un servicio Web, por lo que no tiene dependencias de librerías, ni clústers, etc… entre un servidor y el otro.

      Saludos,

       
  29. he visto esta página y me interesa porque tengo también un servidor Wsus montado en un server 2016, que es muy semejante al 2012, pero no me reconoce los usuarios con windows XP, solo XP profesional, todos los demás clientes que tienen una versión de Windows más reciente las reconoce facilmente, lo que quería saber es si existe una forma de mi servidor Wsus vea los restantes clientes. Gracias por su atención.

     
    1. Hola Luisito, recuerda que el WSUS es un servicio Web, con lo cual no hay interacción del WSUS hacia los clientes, más bien es al contrario. Los clientes se ponen en comunicación con el WSUS.

      Dicho esto, debes tener configurado el cliente para que se comunique con el WSUS. La mayoría lo hacemos con la típica GPO de Active Directory, indicando donde está el servidor WSUS y en qué carpeta debe inscribir el cliente. El problema que te puedes encontrar es que los equipos que no son Professional, Enterprise…; es decir, los HOME. No se pueden conectar a un Active Directory, con lo cual NO aplica las directivas de configuración del WSUS.

      Una posible solución a tu problema seria exportar el registro de una de las máquinas Windows XP Professional que si te aplica y fusionarlo en la máquina Windows XP Home, de esta forma lo llegas a configurar manualmente. Hace tiempo que hice una configuración así para configurar equipos externos al dominio y funcionaba correctamente. Espero que así lo consigas.

      Saluudos,

       
  30. Buenos dias estoy el servicio de actualizaciones para una pequeña empresa pero que a su pertenece a otra y bueno para resumir como puedo configurar correctamente dicho servicio para que funcione en la cadena o sea que sea una imagen del primer servidor de actualizaciones y no directamente de la internet saludos

     
  31. Hola, Se nos está dando la situación que las actualizaciones de windows 7 con el WSUS se demoran que pueder ser de más de 8 horas. Hay forma de optimizar esto? gracias

     
    1. Disculpa Arturo, no entiendo en qué se demoran en más de 8 horas. Quieres decir la detección e instalación de actualizaciones?
      Piensa en configurar a nivel de GPO cuando deben detectarse y actualizarse los equipos.

      Para forzar una actualización ahora tienes el comando wuauclt /detectnow /updatenow

      No sé si es esto exactamente lo que preguntas, en todo caso, vuelve a aclarármelo, por favor.

       
  32. Estimado Josep como estas,

    Muchas gracias por la información brindada, favor ayúdame con estas 2 consultas: 1.- Tengo mi servidor WSUS implementado, al principio todos los usuarios actualizaban correctamente, pero de un momento a otro ya algunos usuarios ya no reportan su estado, he actualizado la GPO también ejecute los comando que haces mención pero nada. Tienes algún procedimiento para resolver esta problemática. 2.- Se puede utilizar un solo servidor WSUS para administrar 3 dominios que tengo creados. Muchas gracias.

    saludos,

     
    1. Hola Jonathan.
      Intento contestarte:
      1. Has comprobado los visores de sucesos de los equipos. Tiene que haber algun motivo para que no informen al servidor. El servidor está en línea, tiene espacio suficiente?.

      2. La respuesta es si. El servidor WSUS no depende del Active Directory, solo de las peticiones HTTP o HTTPS con lo que puedes disponer de tantos dominios como requieras, eso si, debes configurar los equipos para que vayan a buscar dicho servidor, ya sea modificando directamente el registro, como por GPO en cada dominio.

      Saludos,

       
  33. Buenos días, Josep:
    ¿Es recomendable activar los upgrades para windows 10 en WSUS? ¿Qué problemas/ventajas aporta esta opción?
    Muchas gracias por atendernos.
    Un saludo.

     
    1. Hola Santiago,
      Mi respuesta, ahora, después de las últimas versiones de Windows 10 (a partir de Creators Update), sí. De hecho es la forma que tienes para controlar cuando hacer las actualizaciones. Y sí, es cierto, tengo pendiente un artículo de como hacer dicha configuración que espero tener en breve.

      Gracias por tu comentario, un saludo,

       
  34. Muchas gracias por tu respuesta, Josep:
    No dudes que estoy a la espera de este nuevo artículo sobre windows 10 que me interesa sobremanera. Mientras tanto, por favor, permíteme hacerte otra pregunta: wsus ofrece una gran variedad de productos de w10 para descargar. Yo he seleccionado solo la opción w10. Entiendo que de esta forma me descarga actualizaciones de todas las versiones y que el inconveniente que tiene esto es que me descargará de upgrades que no necesito (de momento, aunque sí en el futuro). En mi caso (aún no he aprobado upgrades) solo tengo equipos con 1607 (anniversary). ¿Sería interesante seleccionar solo actualizaciones para esta versión? ¿Qué productos me recomiendas que seleccione? ¿Lo estoy haciendo bien marcando solo w10 (como genérico)?
    Muchísimas gracias por tu paciencia, interés y atención.
    Un saludo.

     
    1. Sí, es correcto. No recomiendo la distribución de controladores mediante WSUS ya que muchas veces se le va la pinza al sistema. Prefiero descargar los controladores de las webs de los fabricantes.

       
  35. Estimado José Miguel
    Mis más cordiales saludos
    Primero que nada agradecer el excelente material, la verdad es que me ayudo bastante.
    Tengo unas consultas con respecto a la mantención que debemos realizar con WSUS, ya que tengo un disco de 350 GB, el cual esta a punto de llenarse, y cuando a través de la consola de limpieza busco actualizaciones expiradas, etc, no es mucho lo que me libera.. como debería hacer para liberar espacio, ya que no quiero perder servicio.
    Muchas gracias de ante mano y espero que me puedas orientar.

     
    1. Hola Raul. La respuesta no te va a gustar, ampliando el disco o disminuyendo los paquetes e idiomas a mantener. WSUS consume mucho, sobretodo paquetes antiguos (Windows XP, 2003, 2008, etc…).

       
  36. Buenos días, Josep:
    WSUS es una fuente de sorpresas. Nos ocurre algo curioso en el dominio. Hay equipos que no aparecen en la consola del wsus. Utilizo psexec para ejecutar en remoto los comandos gpupdate /force, wuauclt.exe /resetauthorization, wuauclt.exe /detectnow /reportnow y … ¡aparecen!, la mayoría perfectamente actualizados. Pasan unos minutos o un día y vuelven a desaparecer de la consola. ¿Qué está pasando aquí? ¿Cómo puedo tener un listado completo de todo el DA en la consola del wsus? (periódicamente tengo que comparar con una consulta los equipos de wsus con el DA para comprobar que no falta ninguno, y los falsos positivos me hacen perder mucho tiempo, además del problema de los usuarios que están de vacaciones, enfermos o con teletrabajo que no utilizan el equipo de la oficina y no puedo verificar si está actualizado porque está apagado…).
    Un saludo

     
  37. Buen dia Jose:
    Uso WSUS y los equipos los debiera traer por politica, ya que tengo seleccionada la opcion «usar directiva de grupo». Armo 2 grupos y en las politicas de dominio los uno. Todo funciona bien.
    Pero, en equipos sin asignar me aparecen equipos de la red, pero fuera del dominio, sin que toquemos sus politicas.
    Por que ? puedo evitar o corregir para mantener limpio los grupos y que no aparezcon equipos en «sin asignar» ?
    Saludos
    Leonardo

     
    1. ¿Has configurado la asignación del grupo en la GPO de los equipos? Esto, en principio, sólo aparece cuando no has determinado el grupo de equipos para WSUS en la GPO de equipos. Prueba y coméntame que tal te ha ido.

       
  38. Buenas tardes Josep.
    He intentado configurar WSUS siguiendo tu perfecto tutorial pero no consigo que me salgan los equipos en Update Services.
    He probado varias soluciones encontradas por la red pero sin suerte.
    Ya no se me ocurre nada más por hacer.
    En el equipo cliente me dice que no puede establecer conexión con el servicio de actualizacion, ¿puede ser tema de permisos?

     
    1. Hola Sergio, no puede ser permisos porque utiliza los protocolos estandard HTTP y HTTPS. Lo que si puedes mirar es que los puertos donde está trabajando el WSUS (consola de IIS del servidor) coinciden con los puertos que has indicado en la GPO de configuración del WSUS. Normalmente los 8530 (http) y 8531 (https).

      Saludos,

       
  39. Buenos días, José María:
    En mi empresa tenemos instalado el wsus sobre un w2012 r2. Tenemos algo más de 500 equipos con W7 y todo funciona correctamente. Sin embargo, desde que empezamos a meter equipos con W10, estos no se muestran en la consola. Aparecen esporádicamente y desaparecen. Algunos aparecen cuando se fuerza con un gpupdate /force y wuauclt.exe /reportnow, pero no todos, y pasado un tiempo desaparecen ¿A qué puede deberse esto?
    Muchas gracias por tu atención

     
    1. No sé a qué se debe este comportamiento con los Windows 10. Sin más información al respecto te diria que comprobases lo siguiente:
      Has actualizado los parches del WSUS?
      Has actualizado las plantillas administrativas para los Windows 10? Has modificado en la GPO de WSUS de los equipos las políticas específicas para Windows 10?

      Saludos,

       
  40. Buen dia, Jose
    Muy bueno tu info, deseo me puedas apoyar:
    He instalado un servidor WSUS en win2012R2, asimismo he configurado el GPO en mi dominio. pero los clientes con win10 no recibe las actualizaciones del servidor wsus, se van a descargar al internet windows update.
    la ruta del gpo en intranet esta bien definido y con el puerto por defecto 8530. Los clientes se registran con el server wsus pero al descargar las actualizaciones lo lo hacen por medio del server si no por la internet? hay alguna configuracion adicional para la version windows10 Pro (version 1703).

    Slds
    Luis

     
  41. Gracias por el tuto, me ha sido de gran utilidad para configura el servidor WSUS, solo que aun no logro que el mismo vea las maquinas de mi dominio, he seguido todos los pasos al pie de la letra y aplicado las GPO, sin embargo al tratar de actualizarce las maquinas en log aparece este error. 80072efd, tendra esto que ver con que mis maquinas poseen licfencias crakeadas, soy cubano y el tema de tener wind aca con licencias oficiales es complicado. Gracias y saludos.

     
    1. Para que vayan apareciendo las máquinas, asegura que tienes configurado el WSUS con la política de equipos de dominio. Que la GPO indica a qué grupo de equipos debe conectar el equipo y que el equipo cliente aplica correctamente la GPO. Con el comando gpupdate /force para forzar las directivas y con el snapin del mmc Conjunto resultante de directivas o el comando gpresult para comprobar que está aplicando las correctas.

      Si las está aplicando correctamente, asegúrate que el equipo cliente se comunica e informa correctamente al WSUS con el comando wuauctl /detectnow /reportnow. También puedes ejecutar un resetauthorization para volver hacer el vínculo con el servidor WSUS.

      Ya me cuentas como té ha ido.

       
  42. Hola JMSolanes. Tenemos un WSUS, probando con equipos sin un DC en la red. El problema que tenemos es a la hora de consultar las actualizaciones, ya se para solo verlas o aprobarlas, se tarda un poco en responder y despues marca un error de conexion:

    «La consola de administración de WSUS no pudo conectar con el servidor WSUS a través de la API remota.

    Compruebe si IIS, SQL y el servicio Update Services se están ejecutando en el servidor. Si el problema persiste, intente reiniciar IIS, SQL y el servicio Update Services.»

    Revisamos lo que sugiere pero todo va bien, hay algun parche o parametro que debamos instalar o configurar?

    Gracias por el aporte y el apoyo.

     
    1. Hola Javier, paches debes tener instalados los dos de WSUS.

      Pero esto se puede deber a falta de memoria RAM del equipo, ya que el WSUS es un poco pesado. Cuanta memoria RAM dispone el servidor? Deberias ajustar a 6 GB u 8 GB.

       
  43. Buenas tardes, en windows server 2012 no soy capaz de hacer funcionar los Reports del wsus, solicitar el Report Viewer 2008 y no puedo instalra Netframework 2.0 que solicita ya que tengo versiones 4.5 instaladas, ¿puedes indicarme como hacerlo?

     
  44. Muchas gracias por responder JM, ya he resuelto el problema, resulta que tenía mal el puerto en la politica GPO, gracias por la ayuda, saludos!!

     
  45. Y en caso de tener un parque de 1000 equipos y algunos solo conectados por Wifi. como he de gestionar los updates para no saturar ni el wifi ni la conexión LAN.

     
    1. De la misma forma, las Wi-Fi soportan grandes cantidades de información, y los equipos trabajan con el BITs. Lo único a tener en cuenta es que quizá debas augmentar las capacidades de memoria del WSUSpool a 4 GB del IIS para tantos usuarios, si no se puede colgar enseguida.

      Saludos,

       
  46. Saludos a todos.
    He leído el problema de Juan y quizá se deba a que clona los equipos con una imagen que ya tiene un id para el wsus (se genera automáticamente la primera vez que se configura wsus en el equipo). Al tener el mismo id (los equipos se presentan con este código al wsus), el equipo que entra expulsa al anterior.
    Si es este el motivo, lo único que tiene que hacer es eliminar este id en el registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\CurrentVersion\WindowsUpdate
    y aquí borrar el valor susclientid
    Espero que esto sea de utilidad
    Un saludo

     
  47. Buenos días JM, tengo un par des dudas con respecto a los equipos que se tienen que sacar de dominio o reinstalar el sistema operativo:
    1. Estos equipos hay que eliminarlos manualmente del servidor WSUS, o se eliminan automáticamente.
    2. Por otro lado, Si se vuelven a meter al momento en el dominio con el mismo nombre de equipo que tenían anteriormente, hace falta eliminarlos de WSUS previamente, ya que tengo dudas que el infirme que muestra en este caso WSUS tenga datos del anterior equipo y no muestre correctamente el estado real de las actualizaciones del equipo instaladas. En este caso no se muy bien como actuar, ya que me he encontrado casos en que si dejo pasar un día me aparecen dos nombres de equipos llamados igual uno con el sufijo del domino y otro sin sufijo y dejando de reportar.
    Muchas gracias, por tu ayuda.
    Un saludo

     
    1. Hola Joan,

      Los equipos de WSUS no estan sujetos al Active Directory, es un servicio web. No hace falta sacarlos y volverlos a meter y en ningún caso van a desaparecer automáticamente. Lo tienes que gestionar tu a parte.

      Como bien apuntaba un compañero, si se te duplica el ID del equipo si puedes tener problemas con dos máquinas, en ese caso toca borrar las dos máquinas y asegurar que no se identifican con el mismo ID.

      Sobre los datos del WSUS, intenta forzar el informe mediante el /reportnow y comprobar en el WSUS que la máquina ha actualizado los datos en la fecha más reciente.

      Lo de los nombres múltiples, debes revisar la política de configuración de equipos, si lo haces mediante GPO, los equipos informaran y registraran ellos automáticamente, sin que tengas que hacer actuación manual. Si en esta instalación antes tenias equipos añadidos manualmente y ahora con GPO, quizá lo mejor seria borrar todos los equipos del WSUS y que empiezan a registrarse de nuevo.

      Saludos,

       
  48. Buenas JMSolanes, tengo la siguiente duda, tengo equipos en mi dominio que hace tiempo no descargan mas las actualizaciones. Esto porque podría darse ? ya probe algunos comandos para forzar

     
    1. Qué sistema operativo cliente tienes? Piensa que si está fuera de soporte ya no hay actualizaciones (Windows XP, Windows 7).

      Si no es el caso, revisa la base de datos del WSUS que esté descargando las actualizaciones, no está de más hacer una limpieza de la misma y comprobar que hay suficiente espacio para descargar nuevas actualizaciones.

      Saludos,

       
  49. Buen día Josep ,

    Puse un comentario pero creo que no se inserto, una disculpa si se duplica,

    Gracias por tu aporte que nos ayuda muchisimo, ahora bien, mi consulta es:

    1.- Que mi WSUS (tengo solo servidores), me instale en automatico los update (opción 4 en la GPO)
    2.- que no me reinicie en automatico, veo que para esta opcion la GPO indica que no aplica para cuando esta configurado el Update automatico:
    *Si la política «Configurar actualizaciones automáticas» está deshabilitada, esta política no tiene ningún efecto.*

    Esto en las opciones de:

    Volver a solicitar reinicio
    Reinicio de retardo para instalaciones programadas
    Sin reinicio automático

    Cual debo elegir para que si me instale los updates de forma automatica, pero que no me reinicie el sistema operativo automaticamente, sino que lo reinicie el administrado manualmente.

    Saludos y muchas gracias

     
    1. Hola Jesús, si se insertó tu otro comentario, pero hasta hoy no lo he visto. Te contesto en este.

      Lo pondría en «Sin reinicio automático», aunque desplegar las actualizaciones y no reiniciar es algo peligroso para ciertas DLL. En alguna ocasión me ha causado reinicios inesperados y pantallas azules; dependiendo de las aplicaciones que tuviese el servidor.

      Al final, si el servicio es muy crítico lo configuro para solo descargar y lo lanzo cuando tengo la ventana de mantenimiento de forma controlada. Si el servicio no es tan crítico, lo programo para que instale y reinicie por la noche.

      Saludos,

       
  50. Muchas gracias por la recomendación, tendrás la configuración requerida en la GPO para instalar y reiniciar por la noche (se puede elegir horario es lo que entiendo para reiniciar los equipos), eso es lo que me interesaría aplicar.

    Saludos/gracias.

     
    1. Si es el horario que se marca en el apartado de Configurar Actualizaciones automáticas. Seleccionando Descargar automáticamente e instalarlas según programación. En el campo hora de instalación programada indicar la hora a partir de la cual se empiezan a realizar las actualizaciones. Si hay muchas actualizaciones, primero debe descargarlas (ojo con el ancho de banda) y luego procede a la instalación.

      Dejad una ventana de tiempo considerable para evitar llegar por la mañana y encontrarse que se empiezan a reiniciar los equipos.

      Saludos,

       
  51. Hola josep como estas?

    Gran articulo, excelente! Pero tengo 1 consulta. Yo estoy implementando por primera vez wsus y ya lo tengo todo configurado, saque los informes de parches y ahora viene la planificación para la instalación. Los update que tengo son de seguridad y criticos y mi idea era actualizar 1 solo servidor para verificar que no hayan problemas, y después si aplicar en los restantes. Como hago para actualizar 1 solo servidor? o para seleccionar X cantidad de parches? que buenas practicas me puedes recomendar?

    Saludos

     
    1. Hola Rodrigo, tu estrategia es la más correcta.

      Lo puedes hacer creando un grupo específico para tal efecto, por ejemplo: Servidores pre-wsus. En ese grupo aplicas las actualizaciones automáticas y haces los test necesarios. Una vez realizados, apruebas las actualizaciones al grupo general.

       
  52. Buenas Josep, agradezco tu respuesta anterior. Tengo una nueva consulta. Tengo 2 sitios en la empresa: Tengo el wsus instalado y configurado en 1 de los sitios y el otro aun nada. Estuve leyendo y debería estar heredado del principal para que sincronice con el master el idioma, etc.. Como se realiza la conexión en el wsus slave? yo veo que se puede conectar a un server y solo me toma el master, pero cualquier cambio que hago, me lo replica en el maestro. Esta bien eso? o debería crear un wsus de 0 en el otro sitio, configurar wsus y después configurar para que me sincronice con el master?

    Saludos

     
    1. La cadena de WSUS, como bien dices, lo que permite es poder administrar las actualizaciones desde un punto central y no tener que ir a todos los WSUS haciendo la misma modificación. Debes asegurar que la configuración de cadena es la correcta y que no giras los servidores, sobretodo en entornos con múltiples WSUS.

       
  53. Hola Josep,

    Tengo instalado WSUS en un Windows Server 2012 R2 Datacenter, y todo OK. Pero veo que hay una actualización nueva para Windows 10 1809 (KB45013714) y mi Server no la descarga. Hago una Sincronización manual y tampoco la encuentra.

    En Productos y Clasificaciones, tengo marcadas estas:

    Products:

    -Windows 10, version 1903 and later

    -Windows 10

    Classifications:

    -Critical updates

    -Definition updates

    – Security Updates

    – Update Rollups

    – Updates

    Las actualizaciones mensuales (segundo martes de mes) me las encuentra y sincroniza perfectamente.

    Qué puede ser?

    Gracias

    

     
  54. Muy buen post Josep
    Mi consulta es la siguiente:
    -Tengo un nuevo local que va funcionar independientemente con un promedio de 50 equipos, por tema de presupuesto solo vamos a adquirir un servidor y quisiera saber si es recomendable tener en el mismo servidor el servicio de AD y WSUS.

     
    1. Virtualizado!

      Sobre el nuevo servidor monta el Hyper-V y crea las dos instancias que te permite la licencia estándard de Windows Server. En una montas el Active Directory y en la otra el WSUS y aplicaciones de gestión. Para este entorno con 2 GB de RAM el Active Directory tiene que tener suficiente. El WSUS consume un poquito más, unas 8 GB.

      En el Hyper-V no instales nada, más allá del sistema de copias de seguridad. Para este entorno te puede servir bien el Altaro

       
  55. Hola Josep desde argentina, muchas gracias por el tutorial.
    Mi consulta es algo que le debe pasar a todos y es que hay equipos que se quedan en 99% instalado.

    Desde la linea de comandos del equipo ya corri wuauclt /detectnow /updatenow y wuauclt /reportnow y nada.

    En el informe del equipo me dice que hay dos actualizaciones requeridas, pero en el server en esas actualizaciones me sale el famoso cartelito en amarillo que dice:
    «Esta actualización reemplaza a otra. Antes de rechazar esta actualización…..»

    No se que hacer porque no encuentro cual la reemplaza y si no tendría que hacerlo automáticamente el WSUS?

     
    1. Hola Gaston,

      Acuérdate de hacer limpieza de las actualizaciones que tiene el WSUS, sobretodo estas que quedan reemplazadas por otras. En la lista de Actualizaciones debes borrar las obsoletas para que estas cosas no ocurran. Como más limpio lo tengas menos trabajo te dará. Lo recomiendo hacer al menos una vez al mes, después de la descarga de las nuevas actualizaciones, en que habéis probado que implican para vuestra red 😉
      Saludos,

       
  56. Hola que tal!

    Estoy empezando con wsus, actualmente estoy revisando el apartado de los reportes para llevar un control de estadistica, pero no encuentro como obtener el total de las actualzaciones que se han instalado y las pendientes, ya que revisando, algunos equipos no tienen el mismo numero total de actualizaciones totales para partir de ahi.

    Saludos

     
    1. Hola José Luis,

      La revisión de actualizaciones de equipos la hago por entorno gráfico indicando la columna de actualizaciones, para mí es la forma más rápida de revisarlo y aplicar.
      Los informes pueden ser un poco justos en este aspecto.

       

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.