Módulo 12 - Implementing Update Management

Gestión de Actualizaciones.Por defecto, todos los sistemas operativos de Microsoft se conectan a Windows Update para descargar las actualizaciones y parches de seguridad. Estas actualizaciones son de cualquiera de los productos de Microsoft, no sólo del sistema operativo. Si tenemos cientos o miles de equipos en la red, cuando todos se conectan a Internet para acceder a Windows Update y descargar las actualizaciones, probablemente saturen la red. Además, cuando son tantos equipos a gestionar, es difícil controlar cuáles de ellos se han actualizado, cuáles son las actualizaciones que han recibido y si alguna de ellas ha dado problemas y hay que revertirla. Queremos controlar cuáles son los equipos que se actualizan, con qué actualizaciones y si estas son fiables. Para esto, suele usarse un grupo de equipos de pruebas donde instalar previamente las actualizaciones para luego aprobarlas si no dan problemas. Para esta gestión tenemos el rol Windows Server Update Services (WSUS). Es un servidor de actualizaciones para centralizar la descarga, definir grupos de equipos, aprobar actualizaciones, revertirlas si dan problemas y obtener informes detallados de actualizaciones. Implementación de WSUS.Como resumen, podemos tener 3 despliegues de WSUS:

• Un único servidor WSUS para toda la organización (Single Server). Se conecta a Windows Update y todos los equipos de la red descargan sus actualizaciones de este WSUS. Por defecto utiliza el puerto 8530 para http y 8531 para https. • Múltiples servidores WSUS pero funcionando de forma independiente. Es útil cuando tenemos varias localizaciones aisladas entre sí. El esfuerzo administrativo es mayor. Es necesario contar con personal TI en cada localización y es complicado tener informes globales de las actualizaciones desplegadas en toda la red. • Múltiples servidores WSUS con uno de ellos como servidor principal, que se encarga de descargar y aprobar las actualizaciones y el resto de WSUS actúan sólo como intermediarios. Disconnected Servers (sólo un WSUS se conecta a Windows Update, el resto están desconectados). En el caso concreto de que tampoco se conecten los servidores WSUS de las sucursales al de la central, podemos cargar en ellos las actualizaciones en un disco externo, pendrive, DVD, …

Cuando diseñamos una jerarquía de servidores WSUS, distinguimos 2 tipos de servidores: • Upstream Server: Es un servidor WSUS que se conecta directamente a Windows Update, o si no tienen conexión, reciben las actualizaciones de un pendrive, DVD, … • Downstream Server: Es un servidor WSUS que se conecta a un servidor Upstream.

Los servidores Downstream pueden configurarse en 2 modos. • Modo Autónomo: Recibe las actualizaciones de un servidor Upstream, pero mantiene su independencia en cuanto a la gestión de actualizaciones. Decide de forma local cuales son las actualizaciones, los grupos de actualización y cuándo desplegar las actualizaciones. • Modo Réplica: Recibe del servidor Upstream tanto las actualizaciones como la configuración: actualizaciones aprobadas, grupo de actualización, programación de actualizaciones, … En este caso no es necesario personal TI en cada localización para gestionar los WSUS Downstream. Tenemos una verdadera Administración Centralizada.

WSUS puede usar 2 tipos de bases de datos: • WID (Windows Internal Database): Es la que se usa por defecto. Se suele utilizar en entornos pequeños, en los que si hay varios servidores WSUS, son independientes, y en los que no se requiere balanceo de carga. Cada WSUS tiene su propia base de datos de forma local en un archivo SUSDB.mdf • SQL Server: Es la opción recomendada, aunque requiere de más recursos, hardware y personal. Podemos tener balanceo de carga porque la base de datos de todos los WSUS se almacena en el servidor SQL Server. Para que la base de datos no sea un punto único de fallo, podemos crear un clúster de SQL Server.

Proceso de Gestión de Actualizaciones.Los procesos de gestión de sistemas informáticos suelen basarse en el Ciclo de Demming o PDCA (Plan, Do, Check, Act). (Planificar, Hacer, Chequear, Acciones) Práctica:---------------------------------------------------------------------------------------------------------------------------------------------------------------------Ponemos LON-DC1, LON-SRV1, LON.CL1, LON-WSUS (maquina nueva) con la tarjeta en NAT y la siguiente configuración de VMWare. Y la puerta de enlace la 192.168.10.2

Módulo 12: 70-411 Implementing Update Managementlunes, 19 de enero de 2015 9:15

Page 1 of 16OneNote Online

13/01/2016https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e...

LON-SRV1 necesitamos que tenga conexión a Internet, que es donde instalaremos en WSUS

Instalamos WSUS en LON-SRV1



Le decimos donde descargar las actualizaciones.

Para decir a las máquinas de donde se tienen que descargar las actualizaciones utilizamos una GPO.LON-DC1



Configuramos la primera GPO de las 2 seleccionadasLe decimos que las descargue sin preguntar y las instale. (En este caso)

Configuramos la segunda GPO seleccionada.Le decimos de donde lo tiene que descargar



Entramos en LON-SRV1 para configurar WSUS.

Pulsamos en Run.

Ha perdido la conectividad LON-SRV1 y LON-DC1, por lo que no vamos a hacer la practica en LON-SRV1 porque hay que solucionarlo y lleva un tiempo, asique utilizamos LON-RTR. Seguimos los pasos anteriores de LON-SRV1 en LON-RTR



Nos dice si queremos enviar a Microsoft notificaciones



Dejamos marcado sincronizar con Windows Update

No tenemos proxy por lo que no lo configuramos.



Le decimos que inicie la sincronización

Tenemos que modificar la GPO porque estaba apuntando a LON-SRV1 y tiene que apuntar a LON-RTR



Aquí elegimos los idiomas para las actualizaciones

Y los productos. Viene por defecto, actualizaciones de Office y de Windows.



La clasificación de las actualizaciones

Y le decimos como queremos hacer la sincronización, manual o automática.



Si queremos empezar la sincronización ahora, marcamos esa casilla.

No da algunas recomendaciones.



Así queda la configuración del WSUS

Debemos crear un grupo de equipos para que se descarguen las actualizaciones.



Podemos ver las actualizaciones que ha encontrado.

Antes de aprobar la actualización habría que probarlo en un equipo de prueba, por eso hemos creado el grupo de equipo "Test". Vamos a LON-RTR para añadir a LON-CL1 en el grupo Test.Este comando es el que se utiliza para añadir un cliente al grupo Test.

Antes de aplicar Server-side Targeting y mover un equipo a un Computer Group, ese equipo debe estar registrado en WSUS. Entramos en LON-DC1 para editar la GPO (la ruta es la misma que la anterior) Lo normal en este tipo de GPOs es enlazarla a nivel de OU.



Para decirle al cliente que busque actualizaciones, se conecte con LON-RTR (servidor) y le diga que tiene pendiente esas actualizaciones.

Y ya aparece en LON-RTR como que ha informado que tiene actualizaciones

Para cambiar el grupo al que pertenece el equipo



Creamos un grupo que se llama Sales. Queremos mover LON-CL1 ese grupo desde Powershell.

------------------------------------------------------------------------------------------------------------------------------------------------------------------Actualización de Clientes:Para configurar los clientes de forma que descarguen las actualizaciones de WSUS en lugar de Windows Update, tenemos 2 formas:

• Modificar una clave de registro. No es práctico si hay muchos clientes y están en dominio. • GPO.

Computer Groups.Una buena práctica de WSUS es crear grupos de equipos para controlar las actualizaciones que se despliegan y crear un grupo de test. Para asignar un cliente a Computer Groups de WSUS, tenemos 2 métodos:

• Cliente-side Targeting: Configuramos una clave de registro en el equipo o una GPO en el dominio de forma que asignamos un equipo cliente a un grupo. • Server-side Targeting: Desde el servidor WSUS podemos asignar equipos a grupos. Antes de aplicar Server-side Targeting y mover un equipo a un Computer Group, ese equipo debe estar registrado en WSUS.

Ejercicio.------------------------------------------------------------------------------------------------------------------------------------------------------------------Configurar LON-WSUS como servidor WSUS Downstream teniendo como Upstream LON-RTR.Los equipos que estén dentro de la unidad organizativa Sales deben usar como servidor WSUS a LON-WSUS y el resto, LON-RTR. LON-WSUS será un servidor WSUS en modo Réplica.

Hemos configurado LON-WSUS con las opciones que no hemos marcado al configurar LON-RTRAl decirle que LON-WSUS es un servidor de lectura, se trae la configuración de LON-RTR y en LON-RTR se añade automáticamente LON-WSUS como servidor Downstream.



Desde LON-RTR vamos a informes y cuando pinchamos en uno cualquiera aparece la siguiente ventaPulsamos en Microsoft Report Viewer…. Y nos llevará a Internet.



Documents

Módulo 12 - Implementing Update Management