Publicació local amb WSUS

20 Abril 2014
Josep Ma Solanes 0

La publicació local amb WSUS (Windows Server Update Services) permet centralitzar la publicació d’actualitzacions d’altres aplicacions no Microsoft: Adobe, Java, etc…; a la xarxa local.

És ben sabut per a tots que les actualitzacions són molta feina i molt molestes de mantenir. Més quan aquestes s’han de fer equip per equip. També recordar que són la principal font de problemes a la xarxa que podem tenir avui dia. Un equip desactualitzat és pitjor que no pas tenir l’equip sense anti-virus. Per tant, tenint ja el WSUS desplegat a la xarxa, aprofitem aquesta tecnologia per poder desplegar altres tipus de paquets d’actualitzacions com l’Adobe Reader, l’Adobe Flash, el JAVA, etc…

I el millor de tot: els productes pel desplegament són gratuïts!

Què necessito per la publicació local amb WSUS?

La distribució de les actualitzacions es sustenta amb la tecnologia WSUS de Microsoft. Per tant, el primer que he de tenir desplegat i operatiu és el propi servei de WSUS (entrada de configuració del WSUS).

Per les actualitzacions de les aplicacions de tercers, utilitzaré l’aplicació de lliure distribució, WSUS Package Publisher. Es pot descarregar des de l’enllaç: https://wsuspackagepublisher.codeplex.com/

 

Instal·lació i configuració de WSUS Package Publisher

L’arxiu que es descarrega és una carpeta comprimida amb els fitxers, només cal descomprimir-la a la carpeta on es vulgui deixar instal·lada l’aplicació. Particularment recomano que es faci a la unitat on es guarden els arxius de WSUS, indicant un nom de carpeta identificatiu: WSUSPackagePublisher.

wsusdeploypack-13

Accedir dins la carpeta i fer un accés directe a l’escriptori o menú d’inici de l’executable Wsus Package Publisher.exe per comoditat a l’hora d’iniciar l’aplicació. Iniciar-la. Ens pregunta que és un fitxer descarregat d’Internet i no està signat, desmarcar el piscu Preguntar siempre antes de abrir este archivo perquè no ens ho torni a demanar i clicar el botó Ejecutar.

wsusdeploypack-02

A l’iniciar l’aplicació per primer cop i de forma predeterminada, comprova si el servidor té el rol de WSUS. En cas afirmatiu s’autoconfigura com a servidor predeterminat. Aquests paràmetres els podem modificar sempre que vulguem.

wsusdeploypack-17

Amb l’aplicació iniciada, seleccionar el menú Tools > Settings.

wsusdeploypack-07

Comprovar que el nom del servidor de WSUS és el correcte. En cas que sigui el mateix, marcar el piscu Connect to local server. Podem repassar altres opcions per defecte, l’Autenticació, que ja està bé utilitzar el mateix usuari.

wsusdeploypack-08

El codi de colors de les actualitzacions

wsusdeploypack-09

Com s’han de tractar les actualitzacions. En aquest apartat, canviar la carpeta per defecte (en el meu cas a F:\WSUSaddicionals) per guardar els fitxers i l’acció per defecte de les actualitzacions.

wsusdeploypack-10

La configuració d’un proxy per sortir a Internet.

wsusdeploypack-11

Opcions diverses. Marcar When starting, connect to the last used Server perquè carregui automàticament la configuració del servidor. Clicar OK per acceptar els paràmetres de configuració.

wsusdeploypack-12

Tornant a la finestra principal, clicar el botó Connect/Reload per carregar la configuració del servidor de WSUS.

wsusdeploypack-15

Al fer-ho ens apareixerà el servidor a l’esquerra amb l’estructura d’arbre de WSUS, però també una advertència que no es poden publicar aplicacions perquè no es disposa de certificat. Clicar el botó Aceptar.

wsusdeploypack-18

En el menú, seleccionar Tools > Certificate per generar el certificat que permetrà publicar aplicacions.

wsusdeploypack-16

Aquest pas “és molt complicat” i cal posar els cinc sentits, clicar damunt Generate the certificate. Ui, ja està.

wsusdeploypack-01

Generat el certificat autosignat, es mostra l’advertència que abans d’utilitzar-lo s’ha de reiniciar el servei de WSUS. Clicar el botó Aceptar.

wsusdeploypack-19

Cal guardar el certificat per poder-lo distribuir als equips clients. Clicar el botó Save certificate, indicar una ruta coneguda. Amb el certificat guardat, ja es pot tancar aquesta consola amb el botó Close.

Des de la consola de serveis, reiniciar WSUS Certificate Server. Tornem a connectar amb el servidor de WSUS. Si ho hem fet bé, no ha de donar cap missatge d’advertència.

wsusdeploypack-20

Comprovar que s’ha instal·lat el certificat a l’equip local. Iniciar la consola de certificats del servidor: Inicio > Ejecutar > mmc > Archivo > Agegar o quitar complemento > Certificados > Agregar > Cuenta de equipo > Siguiente > Equipo local > Finalizar > Aceptar. Localitzar la carpeta WSUS > Certificados on hi ha d’aparèixer el certificat que hem creat.

wsusdeploypack-22

Per distribuir-lo de forma automàtica podem recórrer a les famoses GPOs. Iniciar l’administrador de directives de grup. Per evitar confusions en les configuracions, es pot recórrer a la GPO d’actualitzacions WSUS per afegir els certificats.

wsusdeploypack-21

A l’apartat Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas de clave pública.

wsusdeploypack-23

Afegir el certificat a les carpetes: Entidades de certificación raíz de confianza i a Editores de confianza. Botó dret a l’espai de la dreta, seleccionar Importar…

wsusdeploypack-24

S’inicia l’assistent per importar certificats. Clicar el botó Siguiente.

wsusdeploypack-03

Seleccionar el fitxer que hem guardat anteriorment, clicar Siguiente.

wsusdeploypack-04

Deixar per defecte el magatzem de certificats (Entidades de certificación raíz de confianza o bé Editores de confianza), clicar Siguiente.

wsusdeploypack-05

Finalitzar la importació, clicar Finalizar i Acceptar el missatge de conformitat de la importació.

wsusdeploypack-06

Modificar l’equip perquè permeti la instal·lació de paquets des de la Intranet. En la mateixa GPO, localitzar la directiva: Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > Windows Update. Doble clic a Permitir Actualizaciones firmadas procedentes de una ubicación del servicio Microsoft Update en la intranet.

wsusdeploypack-25

Marcar l’opció Habilitada. Clicar el botó Aceptar.

wsusdeploypack-26

Amb això tenim la xarxa preparada per enviar les actualitzacions d’altres fabricants.

 

Afegir paquets d’altres fabricants per distribuir: Adobe

Adobe Flash Player

Per l’Adobe Flash Player es pot fer una subscripció al catàleg d’Adobe, perquè no ens haguem de preocupar de comprovar i descarregar la versió. Des de la pantalla principal de l’aplicació Wsus Package Publisher, seleccionar Updates > Manage Catalog Subscriptions…

wsusdeploypack-27

Indicar la ruta i el fitxer a comprovar, en el cas de l’Adobe Flash:

  • Address: http://fpdownload.adobe.com/get/flashplayer/current/licensing/win
  • Fitxer: AdobeFlashPlayerCatalog_SCUP.cab

Cada quan s’ha de comprovar si existeix una actualització. Pel tema del Flash millor deixar cada dia.

Comprovar la connexió amb el paquet clicant el botó Test Connectivity. Que ha d’acabar amb un Succeeded.

wsusdeploypack-28

Carregar el fitxer al catàleg clicant el botó Add this catalog. Apareixerà la línia al catàleg, permetent comprovar si hi ha noves versions, clicar el botó Check Update Availability Now.

Clicar dos cops sobre la nova línia d’actualitzacions d’Adobe Flash.

wsusdeploypack-29

Clicar el botó Open Catalog per carregar les diferents versions disponibles.

wsusdeploypack-30

Seleccionar la/les versions que es volen importar al WSUS i distribuir. En aquest cas, la versió 13. Clicar el botó Import Selected Updates.

wsusdeploypack-31

L’aplicació realitzarà la descàrrega dels paquets corresponents i els incorporarà al repositori.

wsusdeploypack-32

Clicar el botó Close dos cops quan hagi acabat i el botó OK per tancar la subscripció de catàlegs.

A la finestra principal a l’arbre d’opcions ja apareixen les actualitzacions!

wsusdeploypack-33

Seleccionar Adobe Flash Player i clicar el botó Approve per distribuir-la! A l’igual que WSUS, indicar a quin grup d’equips es vol distribuir i de quina manera.

Per fer la prova de concepte, distribuir al grup de servidors per la seva instal·lació opcional. La Deadline permet especificar a partir de quina data ja no es pot instal·lar l’actualització, útil per quan es substitueixen. Clicar OK.

wsusdeploypack-34

Per comprovar l’estat de distribució de l’actualització, seleccionar la pestanya Status. Escollir el grup d’equips (Servidors) clicar damunt el nom de l’equip per forçar-lo a buscar l’actualització, informar, veure les actualitzacions pendents, forçar aquesta actualització, etc… Tot plegat una mica útil, oi?

També ho podem fer manualment en el servidor utilitzant el Windows Update, realitzem un escaneig de Windows Update. Tauler de control > Windows Update, Buscar actualitzaciones.

wsusdeploypack-36

Ha trobat unes quantes actualitzacions, clicant damunt l’enllaç d’actualitzacions, però NO apareix l’Adobe Flash! Novatada: El servidor no té el reproductor de Flash a la que afecta l’actualització instal·lat, per tant és normal que no es pugui actualitzar.

wsusdeploypack-41

Aprovem l’actualització per un equip client que sí té l’Adobe Flash instal·lat, comprovem-ho amb el Windows Update. Ara si, apareix l’actualització del Flash i només cal instal·lar-lo clicant a Instalar actualizaciones. Naturalment, aquest apartat estarà configurat per la distribució automàtica sense intervenció de l’usuari.

wsusdeploypack-42

 

Adobe Reader

Per què no instal·lar de forma centralitzada i personalitzada l’Adobe Reader a tots els equips de la xarxa?

Primer que tot, descarregar el paquet complet del servidor FTP d’Adobe: ftp://ftp.adobe.com/pub/adobe/reader/win/

Seleccionar la versió, idioma, etc.. Tot plegat consisteix en anar navegant per les diferents carpetes fins trobar el fitxer .exe desitjat i descarregar-lo.

Descomprimir amb 7-Zip el fitxer .exe en una carpeta per obtenir els fitxers per la seva distribució.

wsusdeploypack-43

En el cas de la versió 11, descarregar el fitxer de personalització del paquet de instal·lació que es pot descarregar des de ftp://ftp.adobe.com/pub/adobe/acrobat/win/11.x/11.0.00/misc/CustWiz11003_en_US.exe

Instal·lar en la màquina que hagi de fer la personalització del paquet d’Adobe Reader. La instal·lació no té massa complicació més del Siguiente > Siguiente > Finalizar.

Iniciar l’aplicació Adobe Customization Wizard XI. Carregar l’últim paquet d’Adobe Reader per instal·lar que hem descarregat anteriorment. File > Open Package…

wsusdeploypack-44

Seleccionar el paquet .msi que s’ha obtingut de descomprimir l’arxiu .exe. En la primera opció: Personalization options, marcar el piscu Suppress display of End User License Agreement (EULA).

wsus_adobe_reader-01

A l’apartat Installation Options deixar marcat:

  • Default Viewer for PDF files (a gust del consumidor): Make Reader the default PDF viewer.
  • Remove all versions of Reader (per no deixar brossa als equips)
  • Enable Optimization
  • Enable Caching of installer files on local hard drive
  • Run Installation: Silently (no interface)
  • If reboot required at the end of installation: Suppress reboot

wsus_adobe_reader-02

A l’apartat Registry, cal desactivar les actualitzacions pròpies d’Adobe. Localitzar la clau de registre HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Botó dret damunt Adobe ARM, clicar a Modify.

wsus_adobe_reader-03

A l’opció Action, indicar Remove value, clicar el botó OK.

wsus_adobe_reader-04

A l’apartat Security, habilitar per a tots els fitxers. També és un bon lloc per indicar les ubicacions de confiança de la xarxa local.

wsus_adobe_reader-05

Apartat Online Services and Features, toca desactivar les actualitzacions de producte i accessos als serveis Online d’Adobe:

  • Disable product updates
  • Load trusted root certificates from Adobe: Enable & Install silently
  • When launching PDF in Internet Explorer, prompt user with Open/Save dialog
  • In Adobe Reader, disable Help > Purchase Adobe Acrobat
  • Disable Help > Digital Editions
  • Disable Product Improvement Program
  • Disable the Tools pane in Reader
  • Disable file storage on Adobe online services
  • Disable all Adobe online services based workflows and entry points

wsus_adobe_reader-06

Finalment a l’apartat Direct Editor, seleccionar la Taula InstallExecuteSequence i eliminar les files, mitjançant botó dret, drop Row:

  • InstallServices
  • StartServices

wsus_adobe_reader-07

Guardar el paquet modificat. File > Save Package i ja es pot sortir de l’eina de personalització.

Podeu trobar més informació de com personalitzar la instal·lació d’Adobe Reader a http://www.adobe.com/devnet-docs/acrobatetk/tools/Wizard/Customization%20Wizard%2011%20for%20Windows.pdf

Iniciar WSUS Package Publisher, seleccionar Tools > Msi Reader.

wsus_adobe_reader-09

Clicar el botó Load MSI File i indicar la ruta del fitxer que acabem de modificar d’Adobe Reader. Seleccionar la taula Property.

wsus_adobe_reader-10

Localitzar l’entrada ProductCode, és diferent per a cada producte! Copiar al portapapers.

wsus_adobe_reader-11

Obrir la carpeta descomprimida de l’aplicació Adobe Reader, localitzar el fitxer setup.msi i arrossegar-lo a la carpeta Adobe Systems de l’aplicació WSUS Package Publisher

wsus_adobe_reader-12

S’inicia l’assistent de creació de paquets. A Additional files, clicar el botó Add files per afegir la resta de fitxers que conté la carpeta. Ull en no tornar a repetir el setup.exe. Clicar Next.

wsus_adobe_reader-14

Indicar el nom de producte: Adobe Reader i un títol: Adobe Reader XI del paquet. Clicar Next.

wsus_adobe_reader-16

A Rule type, marcar MSI Product Installed i clicar el botó Add Rule. Enganxar el codi de producte que hem copiat abans, en el meu cas: ac76b… Clicar el botó OK.

wsus_adobe_reader-17

Marcar el piscu Delete Rules at Package Level. Clicar el botó Next.

wsus_adobe_reader-18

El mateix que el pas anterior, però aquest cop per determinar si s’ha d’instal·lar el paquet. Seleccionar MSI Product Installed, clicar el botó Add Rule, etc… Amb l’excepció que s’ha de marcar l’opció Reverse Rule. Clicar el botó Publish per acabar.

wsus_adobe_reader-20

Esperar que incorpori el paquet a l’WSUS. Clicar OK quan ha acabat.

wsus_adobe_reader-22

Marcar el nou producte: Adobe Reader, clicar el botó Approve per distribuir-lo als equips, per exemple. Clicar OK.

wsus_adobe_reader-23

Iniciar un equip client i fer la comprovació d’actualitzacions. Apareix una nova actualització:

wsus_adobe_reader-24

Comprovar que sigui el nostre Adobe Reader XI i endavant amb l’actualització, clicar el botó Instalar actualitzaciones.

wsus_adobe_reader-25

I que s’instal·la correctament!

wsus_adobe_reader-26

A partir d’aquí es poden anar distribuïnt diferents paquets o actualitzacions mitjançant el WSUS.

 

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

Similar Posts by The Author:

 

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Aquest lloc utilitza Akismet per reduir el correu brossa. Aprendre com la informació del vostre comentari és processada