Configurando los Clientes de WSUS por GPO
En artículos anteriores hemos cubierto la instalación de un Servidor de WSUS como también tomar Backup del mismo. Asimismo cubrimos la parte de Restore y el pasaje de la data a un nuevo hardware. Ahora todavía no hemos configurado via GPO los clientes para que se reporten en el servidor de WSUS. Ese es el objetivo de este artículo.
Los clientes de WSUS requieren tener una versión de Automatic Updates (AU) actualizada. En la instalación del WSUS se publica automáticamente la última versión cliente de AU para que se instale en los equipos y así asegurar el correcto deploy de los parches y actualizaciones. En este caso vamos a cubrir la configuración de los clientes via GPO, eso quiere decir que en el ambiente existe un Active Directory. Si este no es tu caso, próximamente comentaré las entradas del registro necesarias para poder hacer una configuración manual. Sino podés usar la política local de cada equipo, pero en el caso manual es mas práctico enviar un .reg a los equipos.
1. Primero debemos crear una nueva política (GPO) así no utilizamos otra que tenga otro fin. La podemos llamar “WSUS PC Clientes” y abrimos el editor de la política.
2. Una vez que abre el editor tal vez nos encontremos con que las opciones de Automatic Updates no están disponibles. Si este es tu caso es porque no está agregado el template wuau.adm dentro de la GPO.
Para agregar dicho template:
- Hacemos click derecho sobre Administrative Templates
- Seleccionamos Add/Remove Templates y luego hacemos click en Add
- Ahí buscamos el archivo wuau.adm dentro de Windows\inf y hacemos click en Open
- Por último cerramos la ventana haciendo click en Close
Ahora ya deberíamos tener las opciones de Automatic Updates agregadas. Si no estas seguro si están o no podes seguir esos pasos para verificar que el archivo wuau.adm esté cargado.
Si el template está cargado significa que ya podemos empezar a configurar la política para luego aplicarla a los clientes.
3. Dentro del editor de GPO nos vamos hasta Administrative Templates » Windows Components » Windows Update. Ahí vamos a ver una serie de políticas que podemos configurar.
Si queremos habilitar que el cliente se comunique con el servidor basta con configurar 2 de todas esas opciones. El resto complementa todo lo que se puede configurar en un cliente.
Confiure Automatic Updates: Esta opción es la principal que le dice al servicio cliente que debe activarse y buscar actualizaciones. Aquí podemos configurar para que notifique al usuario, para que instale, para que el Admin local decida, etc. Este punto cada uno lo configura según lo que su empresa o ambiente necesite.
Es importante si decidimos instalar los parches en los clientes automáticamente, que los usuarios estén notificados que esto puede pasar, de lo contrario tal vez recibas llamadas a la Mesa de Ayuda sobre esto.
Specify intranet Microsoft update service location: Este es el segundo ítem que se debe configurar para habilitar a un cliente a que se conecte contra el WSUS Server. Simplemente declaramos cuál es el servidor de WSUS que va a atender en esta política. Lo importante es que figure en ambos campos de la misma manera y la estructura es http://nombrewsusserver.
Luego de configurar este parámetro y asignar la política los clientes ya deberían empezar a aparecer en la consola de WSUS bajo no asignadas o Unassigned Computers.
Ahora bien, el hecho de que figuren en el grupo de Computadores No Asignadas es porque todavía no creamos ningún grupo en el WSUS y porque todavía no definimos si vamos a mover las PC’s manualmente o bien que la misma GPO las acomode donde corresponden.
Vamos a hacer las cosas como corresponden y primero creamos un grupo dentro de la consola de WSUS.
4. Dentro de la consola de WSUS hacemos click derecho sobre “All Computers” y ahí elegimos “Add Computer Group”.
El nombre que elegimos para el grupo es importante y debemos recordarlo ya que luego deberemos configurarlo en la GPO si es que dicidimos hacer que la misma GPO acomode los equipos.
5. Para que la GPO pueda acomodar los equipos automáticamente todavía falta configurar algo en el WSUS Server. Para esto vamos a “Options” y ahí hacemos click sobre “Computers”. Nos va a aparecer una ventana con una opción de si queremos usar la consola de WSUS para mover las PCs o bien usar Group Policy Object (GPO).
En nuestro caso vamos a seleccionar “Use Group Policy or registry settings on computers”.
Con este ítem nos aseguramos que la GPO va a acomodar automáticamente las PCs en el grupo que creamos.
6. Para concretar esta configuración sólo falta configurar un ítem en la política que estábamos creando. Volvemos al editor de GPO y buscamos “Enable client-side targeting”.
Habilitamos este ítem y ponemos el mismo nombre de grupo que definimos en el WSUS. En mi caso el nombre del grupo es “Finanzas” ya que representa un área en la empresa que tal vez requiera otro horario de instalación de parches al de IT por ejemplo.
Un punto importante es que necesitas una política o GPO por grupo de WSUS que quieras asignar.
7. Cerramos el editor de GPO, la asignamos a alguna OU y listo, las PCs ya se deberían reportar en el WSUS por lo que sólo faltaría aprobar los parches que querramos. Cabe destacar que configuramos lo mínimo y necesario pero en la GPO hay muchas otras opciones como por ejemplo:
Reschedule Automatic Updates scheduled installations: Es el tiempo que el cliente espera luego del Startup para procesar las instalaciones programadas.
No auto-restart for scheduled Automatic Update installation options: Espera a que el sistema sea reiniciado para completar una instalación programada en vez de reiniciarlo automáticamente.
Automatic Update detection frequency: Es el número total de horas que el cliente va a esperar para chequear el servidor de WSUS por actualizaciones.
Allow Automatic Update immediate installation: Define que si el update no requiere reiniciar el equipo ni algún servicio entonces que lo instale inmediatamente.
Delay restart for scheduled installations: El tiempo que espera el cliente para reiniciar luego de un reinicio programado.
Reprompt for restart with scheduled installations: El tiempo que el cliente espera para preguntar por un reinicio programado.
Allow non-administrators to receive update notifications: Declara si los usuarios que no son administradores pueden recibir notificaciones de updates o no.
Allow signed content from the intranet Microsoft update service location: Habilitamos que se distribuyan updates de terceros, sino es sólamente de Microsoft.
Remove links and access to Windows Update: Los usuarios que tengan aplicado esto no podrán acceder al sitio de Windows Update.
Disable access to Windows Update: Deshabilita el acceso a las funciones de Windows Update de la máquina para que sólo se utilice a través del WSUS.
Do not display ‘Install Updates and Shut Down’ option in Shut Down Windows dialog box: Habilita o deshabilita la opción de instalar los parches y apagar el equipo en el menú de Apagar del cliente.
Do not adjust default option to ‘Install Updates and Shut Down’ in Shut Down Windows dialog box: Si queremos que por defecto sea la opción elegida cuando apagamos el cliente.
Estimado
Agradecería me pudieras ayudar en lo siguiente. Tengo GPO para actualizaciones de seguridad. Sin embargo para que estas se actualices debo ir máquina por máquina, ingresar como administrador local para iniciar las instalaciones. En el caso de algunas instalaciones estas se efectúan automáticamente, sin embargo las más importantes no se ejecutan y son precisamente las que más me interesan. Agradecería me pudieses ayudar.
Salu2.
@Nelson, deberías revisar el parámetro de “Configure Automatic Updates” para ver si está para que instale los updates o sólo los descargue. Con eso resolver el tema de la instalación automática. Después tenes que revisar en el WSUS si los aprobaste para instalar a los parches.
Te recomendaría también que revises que a las PCs realmente les aplicó el parámetro de la GPO asociada. Esto lo ves con gpresult y podes usar el /v y el /scope y de esa manera revisas si realmente le está cayendo.
Saludos!
Hola
tengo wsus, algunos equois se me reportan con el 100% de las actualizaciones, pero al revisarlos fisicamente, personalmente no han aplicado las actualizaciones que menciona la consola de wsus??
que hago??
Gracias
@Dario, cómo estas haciendo el chequeo de las PCs para ver si tienen o no algun parche instalado? Estas instalando alguno nuevamente y te dice que no está instalado o estas revisando contra Windows Update directamente?
Pregunto porque si estas revisando en agregar o quitar programas, hay muchos parches que no soportan desinstalación y no los vas a ver.
Si quieres podemos seguir el tema en el foro de WSUS que está en http://www.cabai.com.ar/foro
Saludos!
hola, queria saber si hay informacion de como instalar el servidor WSUS 3.1 con sp1. los que consegui de microsoft es la version 3.0 y nada que ver la grafica.
por otro lado tiene que ser DC el servidor de WSUS???
@erikvikingo, te cuento que la versión mas actual de WSUS es la WSUS 3.0 con SP1 a veces llamada 3.1. En Release Candidate está el SP2 del WSUS 3.0 que ya lo he comentado en este sitio. Pero me parece que las gráficas que comentas deben ser entre WSUS 2.0 y 3.0 que uno es via web y el otro via consola. Podrías especificar un poco mejor el problema? Si quieres puedes ir al Foro en http://www.cabai.com.ar/foro que es exclusivo de WSUS.
Saludos!
Tengo implementado el Wsus en un DC, aplique las politicas, agregue 2 host winxp. Ambos equipos al parecer ya actualizaron pero en el informe de Wsus dice aparece que no ha actualizado y me muestra 0% que no el equipo no ha reportado su estado.
Como puedo mejorar esto? es decir necesito que el informe me reporte lo correcto, sino tendria q revisar equipo x equipo.
Gracias
@Informer, te cuento por si no sabías que en la sección Foro es dedicado a WSUS por si quieres mostrar errores o imágenes de lo que te sucede. Pero mientras te cuento que para solucionar el problema primero debes revisar la conectividad entre el cliente y el servidor. Para esto te recomiendo que revises los siguientes artículos.
http://www.cabai.com.ar/2008/06/wsus-client-diagnostic-tool-haciendo-un-diagnstico-del-cliente.html
http://www.cabai.com.ar/2008/05/cmo-forzar-la-deteccin-de-un-cliente-de-wsus.html
Saludos!
Hola Diego.
Te quiero felicitar por el blog, esta muy bueno y muy interesante. También queria de paso consultarte, fijate que tengo un WSUS 3.0 ya tengo creada las GPO para la OU y ha estado trabajando bien, ultimamente a pesar de todo he notado que algunos equipos muestran este mensaje: “This computer has not reported status in 17 or more days”. Que podria hacer al respecto para solucionar estos mensajes?
Gracias por tu ayuda.
@David, gracias por visitar el sitio. Te cuento que si ves el comentario anterior le recomiendo otros dos artículos que te pueden ayudar en tu problema, uno para verificar si la conexión está ok del lado del cliente contra el servidor y otro para forzar la detección y ver si realmente se refleja en el servidor. Revisalo y cualquier duda avisame.
Saludos!
Hola buenas tardes, efectivamente muy bueno el blog, ahora tengo una duda que no sé como resolver, instalé el wsus, conecté dos equipos por medio de gpo y todo bien, al hacer el mismo procedimiento en otras dos computadoras para agregarlas a la consola, no las puedo ver e hice exactamente lo mismo que con las que puedo ver…
Es decir, en el equipo liente, coniguración de políticas locales, dirección server, frecuencia, grupo y después gpupdate y wuauclt.exe /detectnow y nada, no sé que pueda ser, alguna idea?? gracias de antemano