This document describes in detail the process of installing the Microsoft Update Server for Microsoft products, We will see the installation options that we have and then we will see how to distribute these updates in the positions that interest us.

The main function of the WSUS 3.0 is to be the update server for all Microsoft products, he would be responsible for downloading the updates to distribute them through our Windows-based operating systems or to our SQL Server products, Exchange Server, Office… Best of all, it's a free product, Much less!

WSUS Installation – HERE,
WSUS Configuration and Management – HERE,

WSUS Installation,

The first step is to get WSUS, we can download it from Microsoft's download website: www.microsoft.com/wsus. Next, we must meet the installation requirements, if we install the server component, which is the usual case, We must have: IIS, ASP.NET, .NET Framework 1.1 and the Background Intelligent Transfer Service (BIT) 2.0 – HERE. We run the installation wizard, “Following”,

Here it asks us what we are going to install, the usual is the server and the management console, the management console can be installed on our XP/Vista to manage WSUS remotely, although it can also be done via the web. Mark “Complete server installation including the management console” and “Following”,

We accept the license, “I accept the terms of the License Agreement” & “Following”,

Lo interesante del WSUS a parte de distribuir las actualizaciones, sus configuraciones es almacenar estas updates en un disco dedicado a ello, para que no cada puesto se tenga que bajar las actualizaciones de internet y nos saturen en canuto de internet. Mark “Almacenar actualizaciones localmente” y decimos un directorio donde las guardaremos, este directorio irá creciendo dependiendo lo que queramos bajar y sus idiomas… “Following”,

Nos pregunta donde almacenaremos la base de datos del WSUS. Si tenemos una organización pequeña y no tenemos un servidor SQL en la red seleccionaremos la primera opción para que nos instale el “Windows Internal Database” en este equipo o si tenemos un SQL lo indicamos, As is my case, y es la mejor opción. “Following”,

Conectando con el servidor SQL…

OK, vemos que conecta bien con el servidor de BD, “Following”,

It creates a site for us in IIS, We have two options, use the site we have for WSUS, if we don't have a hosted website and don't plan to have one, that would be ideal, And if not, we should create a separate site. We see how the site would be configured, “Following”

We check what we have configured, if we click now “Following” the product installation will start…

… We wait while it is installed…

List, “End”,

Now it opens a setup wizard, we can exit and configure it manually later, I'll continue. “Following”,

If we want to participate in the Microsoft Update improvement program, we check the box, otherwise, “Following”,

GOOD, I am installing a single WSUS server, if we are only going to have one, we will choose the first option which indicates that updates will be downloaded from a Microsoft server. Si tenemos pensado tener varios servidores WSUS y que uno distribuya las actualizaciones a otros WSUS por ejemplo uno en cada delegación de cada empresa, y ya estos a los equipos finales. “Following”

Si para conectarnos a internet desde este servidor WSUS pasamos por un proxy es aquí donde lo configuraremos. “Following”,

Tenemos que conectarnos a un servidor Microsoft Update para que nos muestre que tipo de actualizaciones podremos bajarnos, de qué productos y en qué idiomas, Click on “Iniciar conexión”,

… Wait a few seconds…

“Following”,

Ahora nos pregunta en qué idiomas nos bajaremos las actualizaciones, seleccionamos los idiomas que tengamos en nuestro entorno, si nuestros S.O están en español y nuestros servidores en otro idioma o sus servicios y tenemos pensado usar WSUS para ellos marcaríamos aquí su idioma. Marcamos los idiomas y “Following”,

Aquí tenemos que seleccionar los productos que usarmos en nuestra red y queremos bajarnos las actualizaciones para ellos, en mi caso tengo una red de equipos con Windows XP, Windows Vista, Office 2003, Office 2007, Exchange 2003 y SQL 2005, seleccionaré los productos que me interese actualizar. “Following”,

Y de cada producto tenemos las clasificaciones, qué es lo que queremos descargar de los productos, si sólo actualizaciones críticas, actualizaciones de seguridad… o directamente también Service Packs… marcamos lo que nos interese y “Following”,

La sincronización es, cuando se va a bajar este servidor WSUS las actualizaciones de otro servidor WSUS o de Microsoft Update lo que acabamos de especificar. Normal, como mínimo sería una vez al día y en un horario que no afecte a la producción de los usuarios. En mi caso me las bajaré todos los días a la 1:30AM. “Following”,

Si nos interesa que nos abra la consola ahora dejaremos el primer check marcado. Y si queremos que ahora mismo empiece una sincronización y se baje todos los parches que hay hasta la fecha actual, debemos dejar marcado el check de “Iniciar sincronización inicial”, “Following”,

Ahora nos indica pasos que tenemos que ir cumpliendo, cómo habilitar SSL para que la conexión sea segura entre donde nos conectemos vía web, y lo demás lo haremos posteriormente. “End”.

WSUS Configuration and Management,

A partir de aquí veremos opciones que nos quedan para configurar en el WSUS así cómo parámetros para administrarlo, y posteriormente cómo implementar el WSUS con directivas en el Directorio Activo.

Esta es la consola principal de WSUS, donde veremos los servidores de WSUS así cómo su estado, el estado de nuestros equipos y de las actualizaciones. Por ahora está vacio ya que no hemos metido a los equipos…

In the part of “Sincronizaciones” es donde veremos el progreso de la descarga, cómo hemos dicho que se sincronice ahora durante la instalación, vemos que lleva un 10% y aquí veremos los estados de las futuras sincronizaciones.

GOOD, una vez que se haya actualizado, vemos si es con éxito o hay errores, en este caso vemos que la primera vez me bajó 1344 parches y la siguiente ninguno, pq Microsoft no sacaría ninguno nuevo en ese rato (It's the most normal thing to do).

GOOD, lo primero que hay que hacer es crear un grupo de equipos, podemos crear uno para toda la empresa al que todas las actualziaciones se les aplicarán de forma igual, o por departamentos o directamente un grupo de equipos que sean servidores y otros PC’s. Así que pinchamos en “Equipment” > “Todos los equipos” > “Agregar grupo de equipos…”

We indicate a name, en mi caso será igual al de la compañía, Click on “Add”, luego meteremos a los equipos en este grupo, lo haré mediante políticas del Active Directory.

GOOD, ahora veamos que “Options” we have, pulsamos en el menú de la izquierda.

“Equipment”, esto es el grupo que acabamos de crear si queremos meter los equipos nuevos directamente en un grupo llamado “equipos sin asignar” y los movemos manualmente en los grupos que nos interesen o si mediante las directivas de grupo configuraremos a qué equipos meteremos en qué grupos, está es mi opción y marco: “Usar directivas de grupo o la configuración de Registro de los equipos”. “Accept”,

Podemos además en el panel de “Options” pinchar en “Asistente para la limpieza de objetos WSUS” realizar una limpieza en el propio servidor de objetos obsoletos, how “Actualizaciones y revisiones de actualizaciones no utilizadas”, “Equipos sin conexión con el servidor”, “Archivos de actualización innecesarios”, “Actualizaciones caducadas” or “Actualizaciones reemplazadas”, leemos la descripción si no sabemos a que se refiere y hacemos dicha limpieza, “Following”,

… eliminando las actualizaciones que no son necesarias…

En este caso no se me ha borrado nada, por que mi servidor a penas tiene unos días y Microsoft no ha sacado parches que sustituyan a otros… “End”,

In “Options” > “Notificaciones por correo electrónico” podemos configurar para que se manden a una cuenta de correo o varias informes del estado del servidor o eventos de la sincronización, all of this in the tab of “General”.

On the “Email server” this is where we will set up the mail server to send those emails. Once configured, we will click on “Try”…

This is a successful test email in my email account.

GOOD, in “Options” > “Automatic approvals” we have the possibility to automatically approve the installation of these on PCs. WSUS first downloads updates from the Microsoft Update server with synchronization and then in order to distribute an update, it must be approved, otherwise, it will not install on the final PC. We can manually approve updates to approve the ones we are interested in or from here (“Update rules”) set up an approval rule. En este caso yo he editado está regla y se aprobarán todas las que sean actualizaciones críticas y de seguridad para todos los grupos de equipos. Podemos editar la regla o crear nuevas dependiendo del tipo de actualización y el grupo final. En este caso tengo el servidor WSUS sincronizado pero las actualizaciones no están aprobadas, para aprobar las que me interesan, Click on “Ejecutar regla”.

… esperamos mientras aprueba todas las actualizaciones que tengo ya bajadas…

Perfect.

GOOD, una vez más o menos configurado el servidor WSUS lo que hay que hacer es definir una directiva de grupo, una GPO en nuestro Directorio Activo para configurar los clientes de WSUS para que usen este servidor que acabamos de configurar. Abrimos la consola de directivas o si no la tenemos desde la de “AD users and computers”. What I said, we create a new policy.

We give you a name, in my case “WSUS 3.0 client configuration” & “Accept”,

We edit it,

And here we will configure all the options that interest us, I will apply this policy to an Organizational Unit that will be computers, so I am more interested in editing it from the “Equipment Setup” > “Administrative templates” > “Windows Components” > “Windows Update”. There we will see the possible configurations.

“Do not show the option 'Install Updates and Shut Down'’ in the Shut Down dialog box”:

This policy setting allows you to determine whether the 'Install Updates and Shut Down' option’ is shown in the Windows Shut Down dialog box.

If you enable this policy, 'Install Updates and Shut Down'’ will not appear as an option in the Windows Shut Down dialog box, incluso si hubiera actualizaciones disponibles para instalar cuando el usuario selecciona la opción Apagar en el menú Inicio.

Si deshabilita o no configura esta directiva, la opción ‘Instalar actualizaciones y Apagar’ aparecerá en el cuadro de diálogo Salir de Windows si hubiera actualizaciones disponibles cuando el usuario selecciona la opción Apagar en el menú Inicio.

“No ajustar la opción predeterminada a ‘Instalar actualizaciones y Apagar’ en el cuadro de dialogo Apagar”:

This policy setting allows you to determine whether the 'Install Updates and Shut Down' option’ se muestra como la opción predeterminada en el diálogo Salir de Windows.

If you enable this policy, la última opción de cierre del usuario (Hibernar, Reboot, etc.) será la opción predeterminada en el cuadro de diálogo Salir de Windows, independientemente de si la opción ‘Instalar actualizaciones y Apagar’ está disponible en la lista ‘¿Qué desea que haga el equipo?’.

Si deshabilita o no configura esta directiva, la opción ‘Instalar actualizaciones y Apagar’ será la opción predeterminada en el cuadro de diálogo Salir de Windows si hubiera actualizaciones disponibles para ser instaladas cuando el usuario selecciona la opción Apagar en el menú Inicio.

Tenga en cuenta que esta configuración no tendrá ningún efecto si está habilitada la opción Configuración del equipoPlantillas administrativasComponentes de WindowsActualización de WindowsNo mostrar ‘Instalar actualizaciones y Apagar’ en la configuración de directiva de la casilla de diálogo Salir de Windows.

“Configurar actualizaciones automáticas”:

Especifica si este equipo recibirá actualizaciones de seguridad y otras descargas importantes a través del servicio de actualización automática de Windows.

Esta opción permite especificar si las actualizaciones automáticas están habilitadas en este equipo. Si el servicio está habilitado, debe seleccionar una de las cuatro opciones disponibles para Directiva de grupo:

2 = Notificar antes de descargar las actualizaciones y notificar de nuevo antes de instalarlas.

Cuando Windows busca actualizaciones aplicables al equipo, aparece un icono en el área de estado con un mensaje que indica que ya se pueden descargar las actualizaciones. Click the icon or message to access the option that allows you to select the specific updates to be downloaded. Next, Windows downloads the selected updates in the background. Once the download is complete, the icon reappears in the status area and notifies that the updates can now be installed. Click the icon or message to access the option that allows you to select the updates to be installed.

3 = (Default value) Automatically download updates and notify when they can be installed.

Windows checks for applicable updates for the computer and downloads them in the background (the user does not receive any notification or interruption during this process). Once the download is complete, The icon appears in the status area and it notifies that updates can now be installed. Click the icon or message to access the option that allows you to select the updates to be installed.

4 = Automatically download updates and install them on the schedule specified below.

Specify the schedule using Group Policy options. If no schedule is specified, the default setting for all installations will be daily at 3:00 a.m.. If any of the updates require the computer to restart to complete the installation, Windows will do so automatically. (If a user logs on to the computer when Windows is about to restart, the user will receive a notification and can postpone the system restart.)

5 = Allow local administrators to select the configuration mode in which Automatic Updates notifies and installs updates.

With this option, local administrators can use the Automatic Updates control panel to choose the configuration option of their preference. For example, they can select their own scheduled installation time. Local administrators will not be able to disable the Automatic Updates settings.

To use this setting, click Enabled and select one of the options (2, 3, 4 or 5). If you select this option 4, you can set up a recurring schedule (if no schedule is specified, all installations will occur daily at 3:00 a.m.).

If the status is set to Enabled, Windows reconocerá si el equipo está en línea y usará la conexión a Internet para buscar en el sitio Web de Windows Update todas las actualizaciones aplicables a este equipo.

If the status is set to Disabled, las actualizaciones que haya disponibles en el sitio Web de Windows Update se tendrán que descargar e instalar manualmente desde http://windowsupdate.microsoft.com.

Si el estado se establece en No Configurado, el uso de actualizaciones automáticas no estará especificado para Directiva de grupo. However, un administrado puede aún configurar actualizaciones automáticas desde el Panel de control.

“Especificar la ubicación del servicio Microsoft Update en la intranet”:

Indica a un servidor de la intranet que aloje actualizaciones del sitio Web de Microsoft Update. Puede usar este servicio de actualización para actualizar automáticamente equipos de la red.

Esta opción permite especificar un servidor de la red para que funcione como un servicio de actualización interno. El cliente de actualizaciones automáticas buscará en este servicio actualizaciones que sean aplicables a los equipos de su red.

To use this option, tiene que establecer dos valores de nombre de servidor: el servidor desde donde el cliente de actualizaciones automáticas detecta y descarga las actualizaciones y el servidor en el que las estaciones de trabajo actualizadas cargan las estadísticas. Puede establecer ambos valores en el mismo servidor.

Si el estado se estable en Habilitado, el cliente de actualizaciones automáticas se conecta al servicio Microsoft Update de la intranet especificado, en lugar de hacerlo a Windows Update, para buscar y descargar actualizaciones. Al habilitar esta opción, los usuarios finales de su organización no tendrán que usar un servidor de seguridad para obtener actualizaciones y, In addition, tendrá la posibilidad de probar las actualizaciones antes de distribuirlas.

Si el estado se establece en Deshabilitado o No configurado y, In addition, las actualizaciones automáticas no están deshabilitadas por las directivas o las preferencias del usuario, el cliente de actualizaciones automáticas se conecta directamente al sitio Web de Windows Update en Internet.

“Habilitar que el cliente pueda ser un destino”:

Especifica el nombre o nombres de grupos de destino que deben usarse para recibir actualizaciones procedentes de un servicio Microsoft Update de la intranet.

If the status is set to Enabled, la información del grupo de destino especificado se envía al servicio Microsoft Update de la intranet, que la usa para determinar qué actualizaciones se deben implementar en este equipo.

Si el servicio Microsoft Update de la intranet admite varios grupos de destino, esta directiva puede especificar varios nombres de grupo separados por puntos y comas. En caso contrario, hay que especificar un solo grupo.

If the status is set to Disabled or Not Configured, no se enviará información del grupo de destino al servicio Microsoft Update de la intranet.

“Volver a programar la instalación programada de actualizaciones automáticas”:

Especifica la cantidad de tiempo que Actualizaciones automáticas debe esperar después de que un sistema se inicie, antes de proceder con una instalación programada que no se pudo realizar con anterioridad.

If the status is set to Enabled, las instalaciones programadas que no se hayan realizado se efectuarán después del número especificado de minutos posteriores al siguiente inicio del equipo.

If the status is set to Disabled, las instalaciones programadas que no se hayan realizado se efectuarán en la siguiente instalación programada.

If the status is set to Not configured, las instalaciones programadas que no se hayan realizado se efectuarán un minuto después del siguiente inicio del equipo.

“No reiniciar automáticamente en instalaciones de Actualizaciones automáticas”:

Especifica que, para finalizar una instalación programada, Automatic Updates must wait for any logged-in user to restart the computer, instead of restarting the computer automatically.

If the status is set to Enabled, Automatic Updates will not automatically restart the computer during a scheduled installation if a user is logged in. Instead, Automatic Updates will notify the user that the computer must be restarted for the updates to take effect.

Keep in mind that the computer must be restarted for the updates to take effect.

If the status is set to Disabled or Not Configured, Automatic Updates will notify the user that the computer will automatically restart in 5 minutes to complete the installation.

“Automatic Updates detection frequency”:

Specify the hours that Windows will use to determine how long to wait before checking for available updates. The exact wait time is determined by subtracting from the total hours specified here a 0-20% of the same. For example, if this policy is used to specify a detection frequency of 20 hours, all clients to which this policy applies will check for updates at each interval of 16 a 20 hours.

If the status is set to Enabled, Windows will check for updates at the specified interval.

If the status is set to Disabled or Not Configured, Windows will check for updates at the default interval of 22 hours.

“Allow immediate installation of Automatic Updates”:

Especifica si Actualizaciones automáticas debe instalar automáticamente algunas actualizaciones que no interrumpen los servicios de Windows ni lo reinician.

If the status is set to Enabled, Actualizaciones automáticas instalará automáticamente estas actualizaciones una vez que se descarguen y estén listas para instalarse.

If the status is set to Disabled, dichas actualizaciones no se instalarán automáticamente.

“Demorar el reinicio para las instalaciones programadas”:

Especifica la cantidad de tiempo que Actualizaciones automáticas debe esperar antes de proceder con un reinicio programado.

If the status is set to Enabled, se producirá un reinicio programado en el número especificado de minutos después de que finalice la instalación.

If the status is set to Disabled or Not Configured, el tiempo de espera predeterminado será de 5 minutes.

“Volver a pedir la intervención del usuario para reiniciar con instalaciones programadas”:

Especifica la cantidad de tiempo que Actualizaciones automáticas debe esperar antes de volver a pedir la intervención del usuario con un reinicio programado.

If the status is set to Enabled, se producirá un reinicio programado después del número especificado de minutos posteriores a la anterior petición de intervención de usuario pospuesta.

If the status is set to Disabled or Not Configured, el intervalo predeterminado será de 10 minutes.

“Permitir que los usuarios que no sean administradores reciban notificaciones de actualización”:

Especifica si los usuarios que no son administradores, al tener una sesión iniciada, recibirán notificaciones de actualización basadas en los parámetros de configuración de Actualizaciones automáticas. Si Actualizaciones automáticas se configura (por medio de directiva o localmente) para notificar al usuario antes de la descarga o únicamente antes de la instalación, dichas notificaciones se ofrecerán a cualquier usuario que no sea administrador cuando inicie una sesión en el equipo.

If the status is set to Enabled, Actualizaciones automáticas incluirá a usuarios que no sean administradores cuando determine qué usuarios con sesión iniciada deben recibir notificaciones.

If the status is set to Disabled or Not Configured, Actualizaciones automáticas sólo notificará a los administradores con sesión iniciada.

“Habilitar actualizaciones recomendadas a través de Actualizaciones automáticas:

Especifica si Actualizaciones automáticas suministrará tanto las actualizaciones importantes como las recomendadas por el servicio de actualización de Windows Update.

Cuando esta directiva esté habilitada, Actualizaciones automáticas instalará las actualizaciones recomendadas, así como las actualizaciones importantes desde el servicio de actualización de Windows Update.

Cuando esté deshabilitada o no configurada, Actualizaciones automáticas seguirá suministrando actualizaciones importantes si ya está configurada para hacerlo.

“Habilitar la administración de energía a Windows Update para que despierte automáticamente al sistema”:

Especifica si Actualizaciones automáticas utilizará las características de administración de energía de Windows para despertar automáticamente al sistema de su hibernación, si hay actualizaciones programadas para su instalación.

Windows Update sólo despertará automáticamente al sistema si Windows Update está configurado para instalar actualizaciones automáticamente. Si el sistema está en hibernación cuando llegue la hora de instalación programada y hay actualizaciones que deban aplicarse, Windows Update utilizará las características de administración de energía de Windows para despertar automáticamente al sistema e instalar las actualizaciones.

Windows Update también despertará al sistema e instalará una actualización si se alcanza una fecha límite para instalar.

El sistema no se despertará a menos que haya actualizaciones para instalar. Si el sistema se ejecuta con batería cuando Windows Update se despierte, Updates will not be installed and the system will automatically return to hibernation after 2 minutes.

“Allow signed content from the Microsoft Update service location on the intranet”:

Specifies whether Automatic Updates should accept updates signed by entities other than Microsoft when the update comes from a Microsoft Update service location on the intranet.

If the status is set to Enabled, Automatic Updates will accept updates received from a Microsoft Update service location on the intranet if they are signed by a certificate present in the certificate store “Trusted Publishers” Home Team.

If the status is set to Disabled, las actualizaciones procedentes de una ubicación de los servicios de Microsoft Update en la intranet deben estar firmadas por Microsoft.

Las actualizaciones procedentes de un servicio distinto del de Microsoft Update de la intranet tienen que estar siempre firmadas por Microsoft independientemente de si esta directiva está Habilitada o Deshabilitada.

GOOD, una vez configuradas las directivas cerramos la consola y ejecutamos gpupdate desde el controlador de dominio para que se apliquen inmediatamente las directivas que acabamos de configurar.

Si abrimos de nuevo la consola y vamos a “Equipment” > “Todos los equipos” y a nuestro grupo, al de un rato veremos que en nuestro grupo ya se han ido agregando puestos y ahí veremos el estado de cada uno de ellos, al principio veremos bastantes alertas o errores si no los tenemos totalmente actualizados.

In “Updates” veremos ya un estado de qué actualizaciones tenemos disponibles para los equipos,

Y dentro de las “Updates” in “Actualizaciones críticas” veremos las que tenemos exáctamente y en qué estado están, si están aprobadas, con errores… podemos aplicar filtros para visualizarlas.

Y por supuesto podremos generar informes de cualquier tipo para ver gráficas del estado o para mostrarlos a nuestro superior, todo esto en “Reports”.

Podemos generar un informe por cada equipo o uno directamente sobre nuestro servidor WSUS, y de diferentes tipos.

Por ejemplo vemos los equipos que tenemos y vemos que uno de ellos le faltan 15 actualizaciones y el resto ya las tiene instaladas.

¿Cómo podemos comprobar de otra forma que todo funciona bien? Por ejemplo mirando el visor de sucesos de los PC’s a los que se les apliquen la directiva que antes hemos generado, por ejemplo vemos en este PC y cuales se les ha instalado.

www.bujarra.com – Héctor Herrero – Nh*****@*****ra.com – v 1.0