Abstract
Este paper describe cómo instalar Microsoft® Windows Server™ Update Services (WSUS) 3.0. en computadores cliente de la red de una ONG. El lector, podrá encontrar una breve descripción de las funciones de WSUS, beneficios de implementar WSUS en la red, diseño de la arquitectura utilizada dentro de la organización para la implementación de WSUS.
Este paper también ofrece un procedimiento, paso a paso, para la instalación y configuración de los computadores cliente. El lector podrá leer cómo modificar y configurar las actualizaciones automáticas en las estaciones cliente que serán actualizadas por WSUS.
1. Acerca de WSUS
Microsoft® Windows Server® Update Services 3.0 (WSUS 3.0) permite que se implemente de forma controlada la actualización de computadores con tecnología Microsoft, tales como Windows Server 2003, Windows® XP Service Pack 2, Windows 2000 Service Pack 4, Windows Vista, Office 2003, Office 2007, SQL Server 2005, y otros. WSUS le permite al administrador de servidores administrar completamente la distribución de actualizaciones proporcionadas por el sitio de Microsoft Update.
1.1 ¿Cómo trabaja?
WSUS está provista de una estructura de administración que consiste de lo siguiente:
1.1.1 Microsoft Update
Es el sitio web de Microsoft donde los diferentes componentes de WSUS se enlazan para actualizar los productos de Microsoft.
1.1.2 Servidor de Windows Server Update Services
Es el componente que está instalado en el servidor servidor-primario, con sistema operativo Windows Server 2003 dentro del firewall corporativo.
El servidor WSUS está provisto de las funciones que el administrador necesita para manejar y distribuir actualizaciones utilizando la Consola de Administración de WSUS 3.0.
Sumado a este componente, el servidor de WSUS servidor-primario, es el que actualiza los servidores de WSUS de las estaciones dentro de la organización. El servidor servidor-primario es entonces, el "upstream server", mientras que servidor-secundario-1, servidor-secundario-2 y servidor-secundario-n son “downstream servers”.
Para la implementación de WSUS en una ONG, se escogió la metodología de jerarquías, donde un servidor WSUS en la red, se enlaza con Microsoft Microsoft Update (servidor primario) para obtener la información de las actualizaciones, y éste distribuye las actualizaciones necesarias tanto a los otros servidores WSUS, como a las estaciones cliente. Luego, cada “downstream server” distribuye a sus respectivos clientes.
1.1.3 Clientes de WSUS - Actualizaciones Automáticas
Los computadores cliente pueden poseer algunos de los sistemas operativos siguientes: Windows Server 2008, Windows Server 2003, Windows XP, o Windows 2000 Service Pack 4. Las actualizaciones automáticas permiten que, tanto los servidores como los clientes, reciban actualizaciones desde el sitio de Microsoft Update o desde un servidor WSUS.
1.2 Ventajas de WSUS
1.2.1 Ancho de banda
Anterior a la implementación de WSUS, cuando se configuraban las estaciones de trabajo, y servidores Microsoft, para recibir de forma automática actualizaciones, cada computador se conectaba directamente al sitio web de Microsoft Update, y bajaba sus propias actualizaciones. Esto ocasionaba que se ocupara mucho del enlace de Internet, ya que varios computadores podían estar bajando la misma actualización, simultáneamente. Por ejemplo, si Microsoft publicaba una actualización de 5 Mb, y 50 computadores estaban configurados para recibir automáticamente actualizaciones, en el peor de los casos, podríamos haber tenido 50 computadores tratando de bajar en total 250 Mb + retransmisiones + encabezados.
Como mencioné anteriormente, con WSUS, sólo el servidor principal o “upstream server” (Servidor-primario), baja las actualizaciones, y éste, las distribuye tanto a sus clientes, como a los otros servidores WSUS “downstream server”.
Por otra parte, las actualizaciones del servidor WSUS principal, son programadas. Esto quiere decir que el servidor no compite con los usuarios de Internet de la ONG, ya que las actualizaciones al sitio de Microsoft Update se realizan en horarios en los que estadísticamente se sabe que el tráfico es mínimo o nulo.
Igualmente, el tráfico interno no se ve comprometido, ya que los servidores WSUS “downstream server” bajan las actualizaciones requeridas por sus clientes de forma programada. Esto quiere decir que, entre el lugar donde está el servidor-primario y el lugar donde está servidor-secundario-2, únicamente hay un flujo de actualizaciones que va de servidor-primario hasta servidor-secundario-2.
1.2.2 Instalación más rápida de actualizaciones en clientes
El servicio de actualizaciones automáticas (Automatic Updates) trabaja en “background”, por lo que el impacto que se puede percibir en la productividad del empleado, así como en la funcionalidad de la red, es mínima.
Automatic Updates consolida las actualizaciones que requieren reiniciar el computador en un único reinicio. También, elimina la necesidad de que los usuarios tengan que interactuar con los contratos de Licencia de Software de Microsoft. Dichos contratos de licencia, son aceptados en el servidor WSUS principal por el administrador y esa aceptación se hereda a los clientes.
Por otra parte, se habilitó BITS 2.0, que emplea una compresión delta para facilitar descargas que son invisibles para el usuario, e implementa las actualizaciones utilizando Express installation.
Por ejemplo, después de que Automatic Updates descarga una actualización en un computador cliente, éste continúa monitoreando el Servidor WSUS upstream, para descargar únicamente los cambios en el archivo de actualización para esa computadora cliente. Esta tecnología habilita la distribución eficiente de “service packs” a través de Automatic Updates.
Las actualizaciones, por lo general, son nuevas versiones de archivos que ya existen en el computador que va a ser actualizado. A bajo nivel, específicamente en binario, este archivo existente, no difiere mucho de la versión actualizada. La opción de instalación de archivos express installation, identifica los bytes exactos cambian entre diferentes versiones de archivos, creando y distribuyendo actualizaciones que incluyen únicamente esas diferencias, para luego mezclar el archivo original con la actualización en el computador cliente. Por eso, esto se denomina entrega delta, ya que se descarga únicamente la diferencia, o delta, entre dos versiones de un archivo.
1.2.3 Programación de actualizaciones
Tanto para los computadores cliente, como para los servidores WSUS, las actualizaciones son programadas. En el caso de los servidores Downstream, se sinSitio principalnizan con el servidor upstream cuatro veces al día. El servidor upstream se actualiza periódicamente con el sitio Microsoft Update, de modo que no interfiera con el tráfico normal de Internet. Más adelante, en este documento, se detallará sobre el proceso de instalación y configuración de actualizaciones en los computadores cliente.
1.2.4 Agrupación de clientes
Se poseen varios grupos de distribución de actualizaciones. Por distribución, y por seguridad. Cada estación (Sitio 1, sitio 2, sitio n y sitio principal), posee sus propios grupos para facilitar la administración de las actualizaciones.
Por otra parte, WSUS, permite tener un grupo de computadores a modo de “test”, de forma que las actualizaciones que son publicadas por Microsoft, son descargadas a esos computadores para probar si ocasionan algún problema en las aplicaciones instaladas.
| Lugar | Servidor | Grupos |
|---|---|---|
| Sitio Principal | servidor-primario | admin, biblioteca, conta, desarrollo, informatica, operaciones, servers, laptops |
| Sitio 2 | servidor-secundario-2 | sitio2_admin, sitio2_conta, sitio2_investigacion, sitio2_servers, laptops |
| Sitio n | servidor-secundario-n | sition_admin, sition_conta, sition_investigacion, sition_servers, laptops |
| Sitio 1 | servidor-secundaio-1 | sitio1_admin, sitio1_conta, sitio1_investigacion, sitio1_servers, laptops |
1.2.5 Roaming de clientes
Esta facilidad, permite que las laptops se actualicen desde el servidor WSUS más cercano. En realidad, esta es una facilidad de los servidores WSUS, en conjunto con los servidores de DNS (Domain Name System). Por ejemplo, una laptop que fue registrada a WSUS en SITIO PRINCIPAL, no se registra a servidor-primario, sino al servidor de roaming de WSUS de la ONG. Cuando llega a otro SITIO N, buscará el servidor roaming, pero el servidor de DNS le resuelve que es servidor-secundario-n, por estar en la misma subnet (Una subred es un rango de direcciones lógicas). Esto permite que las laptops obtengan actualizaciones desde el servidor más cercano de WSUS, independiente de dónde estén dentro de la red de la ONG.
1.2.6 Reportes sobre actualizaciones
Otra de las ventajas de WSUS, es que se tienen los siguientes reportes de manera centralizada:
1. Estado de actualizaciones detallado, resumido y/o tabular
2. Estado de los computadores resumido, detallado y/o tabular
3. Resultado de las sincronizaciones
2. Configuración WSUS en la ONG
Como se mencionaba en la sección anterior, para la implementación de WSUS en la ONG, se cuenta con la siguiente configuración:
• 1 Upstream Server
• 3 Downstream Server
• Clientes de locación fija
• Clientes roaming
2.1 Upstream Server
Se ha dispuesto el servidor servidor-primario, en el Sitio principal, para ser el servidor primario. Es el único servidor que descarga las actualizaciones necesarias para toda la Organización desde el sitio de Microsoft Update.
Una configuración posible es: Dell® PowerEdge SC1430, Intel® Xeon® CPU 5140, 2.33 GHz, 2 Gb RAM, con 2 discos duros de 500 Gb cada uno.
Las particiones en el primer disco son las siguientes:
• EISA, 39 Mb, para utilidades de restauración
• C:, de 50 Gb tipo NTFS para el sistema operativo, únicamente.
• E:, de 450 Gb tipo NTFS, denominado databases, para almacenamiento de las bases de datos de WSUS, Microsoft® SSEE SQL Server
• El segundo disco F:, comprende de una única partición denominada SUS, y está diseñada para almacenar los archivos de actualización de WSUS en la carpeta WsusContent, y paquetes de servicios en UpdateServicePackages.
Este servidor tiene como clientes a los usuarios de SITIO PRINCIPAL, servidores Microsoft® de SITIO PRINCIPAL y laptops que estén dentro de la subnet de SITIO PRINCIPAL. Por otra parte, se encarga de brindarle los archivos de actualización a los servidores downstream de SITIO 1, SITIO 2 y SITIO n, mediante las sincronizaciones llevadas a cabo periódicamente.
2.2 Downstream Server
Cada SITIO, posee un servidor downstream. Cada uno de estos servidores descarga las actualizaciones necesarias para sus clientes desde el servidor upstream.
La configuración de cada uno puede ser la siguiente: Dell® PowerEdge SC1430, Intel® Xeon® CPU 5140, 2.33 GHz, 2 Gb RAM, con 2 discos duros de 500 Gb cada uno.
Las particiones en el primer disco son las siguientes:
• EISA, 39 Mb, para utilidades de restauración del sistema.
• C:, de 50 Gb tipo NTFS para el sistema operativo, únicamente.
• E:, de 450 Gb tipo NTFS, denominado databases, para almacenamiento de las bases de datos de WSUS, Microsoft® SSEE SQL Server
• El segundo disco F:, comprende de una única partición denominada SUS, y está diseñada para almacenar los archivos de actualización de WSUS en la carpeta WsusContent, y paquetes de servicios en UpdateServicePackages.
Este servidor tiene como clientes a los usuarios de cada estación biológica, servidores Microsoft® de cada estación y laptops que estén dentro de la subnet de la estación biológica a la que pertenece el servidor de downstream.
2.3 Clientes de Locación Fija
Son todos aquellos computadores, con sistema operativo Microsoft®, que pertenecen a una estación biológica específica, es decir no son dispositivos móviles, tales como laptops. Deben haber sido configurados por el administrador de cada localidad, para actualizarse desde su servidor WSUS (La instalación en los clientes, será tratada más adelante en este documento).
Una vez que han sido configurados, los computadores cliente, se actualizan periódicamente, de acuerdo a la configuración establecida por el administrador.
2.4 Clientes roaming
Son todos aquellos dispositivos móviles, por ejemplo laptops, ligados a la red de la ONG, con sistema operativo Microsoft®. Deben haber sido configurados por el administrador de la red, para actualizarse desde un servidor “fantasma” (Se le denomina servidor fantasma, porque en realidad no existe. El servidor DNS de la estación en la que se encuentra el dispositivo es el que se encarga de “engañarlo”, haciéndole creer que el servidor “fantasma” es el servidor WSUS de la subnet a la cual el servidor DNS está sirviendo) de WSUS.
Una vez que han sido configurados, los computadores cliente, se actualizan periódicamente, de acuerdo a la configuración establecida por el administrador, sin importar la ubicación geográfica, siempre y cuando estén dentro de la red de la ONG.
3. Pre-requisitos para los clientes de WSUS
El software WSUS del lado del cliente, se denomina Automatic Updates. Éste, no requiere de ninguna configuración en particular para el hardware. Y puede ser utilizado con WSUS en cualquier computador que corra bajo cualquiera de los siguientes sistemas operativos:
• Windows Vista
• Windows Server 2008 "Longhorn"
• Microsoft Windows Server 2003, cualquier edición
• Microsoft Windows XP Professional SP 2
• Microsoft Windows 2000 Professional Service Pack 4 (SP4), Windows 2000 Server SP3 o SP4, o Windows 2000 Advanced Server SP3 o SP4
4. Instalación de WSUS en clientes
A continuación se detallan las dos fases importantes para instalar los clientes de WSUS para la red de la ONG: la fase de instalación por registro de Windows (4.1), y la fase de instalación por políticas de grupo o GPO (4.2). Ambas deben de efectuarse para que la instalación del cliente SUS sea de forma satisfactoria.
4.1 Instalación por Registro de Windows
A cada SITIO se le ha creado, una serie de archivos con extensión .reg, con la respectiva configuración de WSUS para sus computadores cliente.
Estos archivos poseen la siguiente nomenclatura para el nombre: wsus_<SITIO>_<grupo>.reg
Por ejemplo, el archivo de registro con la configuración WSUS, para los computadores de informática de SITIO PRINCIPAL, se denomina: wsus_Site_informatica.reg
Estos archivos deben ser ejecutados, en cada estación cliente, dando doble click sobre el archivo, para cargar la configuración que el archivo contiene en el registro de Windows.
En la siguiente figura se puede ver el respectivo contenido para el archivo wsus_Site_informatica.reg.
En la siguiente tabla, está la lista de los archivos de registro creados para cada uno de los sitios:
| Sitio Principal | Sitio 2 | Sitio n | Sitio 1 |
|---|---|---|---|
| wsus_site_admin.reg wsus_site_biblioteca.reg wsus_site_conta.reg wsus_site_desarrollo.reg wsus_site_educacion.reg wsus_site_informatica.reg wsus_site_servers.reg wsus_laptops.reg | wsus_site2_admin.reg | wsus_siten_admin.reg wsus_siten_conta.reg wsus_siten_investigacion.reg wsus_siten_servers.reg wsus_laptops.reg | wsus_site1_admin.reg wsus_site1_conta.reg wsus_site1_investigacion.reg wsus_site1_servers.reg wsus_site1_laptops.reg |
Cabe destacar la importancia de los grupos, ya que algunas actualizaciones no se aplican inmediatamente en algunos grupos hasta ser probadas para luego ser aprobadas por el administrador, para evitar problemas de incompatibilidad con algunos sistemas actuales. Otros grupos deben ser actualizados inmediatamente, por considerarse críticos, especialmente en lo que respecta a seguridad, como las laptops, y la mayoría de las estaciones de trabajo.
4.2 Instalación por Política de Grupo (GPO)
Como siguiente paso, se debe crear la política de grupo de WSUS de ONG. Para esto se ha creado un archivo tipo template (.adm) para cada SITIO. Cada uno posee los elementos de configuración de la política de grupo para los computadores cliente de cada estación. Los archivos de configuración de GPO poseen la siguiente nomenclatura para los nombres: wuau_sus_<SITIO>.adm
Por ejemplo, el archivo de GPO con la configuración WSUS, para los computadores de SITIO PRINCIPAL, se denomina: wuau_sus_Site.adm
Para instalar estas GPO, se debe hacer lo siguiente en cada estación cliente:
4.2.1 Ejecutar editor de GPO
Para ejecutar el editor de GPOs, se debe escribir gpedit.msc,(En Windows 2000, el editor de Objetos de Políticas de Grupo (GPO), es conocido como Editor de Políticas de Grupo (GP). A pesar de que el nombre cambió en versiones posteriores de Windows, se refiere a la misma herramienta para edición de objetos de Políticas de Grupo (GPO). La cual, es conocida como gpedit) en la ventana de comando (Menú principal de Windows, opción Run, Figura 5). Este editor, permite agregar, borrar, o modificar políticas de grupo. Se recomienda tener mucho cuidado, y verificar que se hace únicamente lo que este manual indica.
4.2.2 Remover GPO por defecto
Por defecto, Windows incorpora algunos templates de GPOs. Uno de ellos es wuau, el cual, debe removerse antes de instalar nuestra propia versión.
Para ello, nos vamos al árbol de políticas del computador local (Local Computer Policy), y sobre Administratives Templates, presionamos botón derecho del Mouse para que aparezca un menú contextual. Se debe escoger la opción Add/Remove Templates…
Esto permite que se abra la ventana de Add/Remove Templates, donde aparece una lista de las plantillas (Policy Templates) de políticas que actualmente están presentes en el sistema. Aquí se debe seleccionar wuau, y presionar el botón de Remove. Y para aplicar el cambio, se debe presionar el botón close posteriormente
4.2.3 Agregar GPO para WSUS
Para instalar la nueva plantilla, nos vamos al árbol de Local Computer Policy, y sobre Administratives Templates, presionamos botón derecho del Mouse para que aparezca el menú contextual, donde seleccionamos Add/Remove Templates...
Ya en la ventana de Add/Remove Templates, se debe presionar el botón de Add. Se abrirá una ventana de búsqueda, donde se seleccionará el archivo *.adm adecuado a la estación en la que se encuentre, por ejemplo, en SITIO PRINCIPAL sería wuau_sus_Site.adm.
Finalmente, se debe presionar close, en la ventana de Add/Remove Templates, para aplicar los cambios.
4.2.4 Establecer valores en GPO
Una vez instalada la plantilla para WSUS, deben establecerse los valores de acuerdo a la estación y al grupo al que pertenece el computador cliente sobre el cual se va a hacer la instalación.
Para esto, en el editor de políticas, se debe abrir el árbol de políticas:
Local Computer Policy, luego
Computer Configuration, luego
Administrative Templates, luego
Windows Components, y finalmente
Windows Update
Una vez en Windows Update, se deben establecer los valores de las diferentes opciones, tal y como se aprecia en la Tabla siguiente:
4.2.5 Conexión a Microsoft Windows Update
Con la configuración anterior, los computadores cliente tendrán habilitado el servicio de WSUS.
Resta desactivar el acceso a los sitios de Microsoft de actualizaciones, para evitar descargas de actualizaciones no aprobadas, o uso del enlace de Internet de la Organización.
Para esto, se debe ingresar en el editor de políticas de grupo gpedit.msc, desde run en el menú principal de Windows, y abrir el árbol de políticas de grupo en la siguiente ruta:
abrir el árbol de políticas de grupo en la siguiente ruta (Figura 10):
Local Computer Policy, luego
Computer Configuration, luego
Administrative Templates, luego
System, y finalmente
Internet Communication settings
Luego, se debe modificar a Enabled, la configuración del parámetro Turn off access to all Windows Update features.
Finalmente, se debe configurar en la siguiente ruta:
Local Computer Policy, luego
User Configuration, luego
Administrative Templates, luego
Windows Components, y finalmente
Windows Update
el parámetro Remove access to use all Windows Update features, configurarlo como Enabled.
4.2.6 Activación de WSUS
Después de configurar el computador cliente, puede tomar algunos minutos para que éste aparezca en la página de computadores de la consola de WSUS. Los computadores cliente configurados con GPO, pueden tardar alrededor de 20 minutos para refrescar los datos de la nueva configuración. Por defecto, las GPOs se refrescan en “background” cada 90 minutos, con un “Offset” aleatorio de entre 0 a 30 minutos.
Para obligar a refrescar la GPO inmediatamente, se debe ejecutar el comando gpupdate /force (El comando: secedit /refreshpolicy machine_policy enforce, puede ser utilizado en un computador cliente sobre Windows 2000), desde una consola de comandos de Windows.
Finalmente, se puede ejecutar un archivo de comandos, para obligar a que la instalación del cliente se active en el server de SUS con las siguientes líneas:
@echo offEcho Este batch file fuerza para que sea detectado el cliente AU de SUS.Echo Las tareas que efectúa son:Echo 1. Detiene el Servicio de Actualizaciones Automáticas (wuauserv)Echo 2. Borra la llave de registro LastWaitTimeout (si existe)Echo 3. Borra la llave de registro DetectionStartTime (si existe)Echo 4. Borra la llave de registro NextDetectionTime (si existe)Echo 5. Reinicia el Servicio de Actualizaciones Automáticas (wuauserv) Pause@echo onnet stop wuauservREG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v LastWaitTimeout /fREG DELETE "HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v DetectionStartTime /fReg Delete "HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v NextDetectionTime /fnet start wuauserv @echo offEcho Este cliente AU, va a buscar nuevas actualizaciones en el Servidor Local de SUS.Echo Luego de 10-20 minutos, puede revisar el archivo de log "C:\Window\WindowsUpdate.log"Pause