Configurando los Clientes de WSUS por Registry
En un artículo anterior comentamos cómo configurar los clientes de WSUS por GPO, pero para poder hacerlo hace falta un dominio. Qué pasa cuando no tenemos un dominio donde podamos enviar políticas a los clientes? Debemos si o si configurar políticas locales o como mejor solución, hacerlo por el Registro de Windows (Registry).
La forma de usar las políticas locales del equipo es idéntico a configurarlo por GPO sólo que en vez de editar la política de dominio abrís el Local Policy Editor y modificas la política global.
La otra opción es generar un archivo .reg con todos los parámetros y distribuirlo en las PC’s ya sea manualmente o bien con alguna aplicación de deployment que se tenga implementado. A continuación comento las entradas en el registro de Windows involucradas en la configuración del WSUS.
Las opciones relacionadas con el servidor de WSUS se encuentran en:
HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate
Una vez dentro de esta ruta podremos configurar los siguientes parámetros:
| AcceptTrustedPublisherCerts | REG_DWORD |
1 ó 0: Habilitamos que se distribuyan updates de terceros, sino es sólamente de Microsoft. |
| ElevateNonAdmins | REG_DWORD | 1 ó 0: Usuarios en el grupo “Users” pueden aprobar o desaprobar parches. |
| TargetGroup | REG_SZ | Nombre del Grupo dentro de WSUS. Requiere tener configurado TargetGroupEnabled. |
| TargetGroupEnabled | REG_DWORD | 1 ó 0: Habilita o no el uso de Client Side Targeting. |
| WUServer | REG_SZ | URL del servidor de WSUS, requiere WUStatusServer. |
| WUStatusServer | REG_SZ | URL del servidor de WSUS, requiere WUServer. |
| DisableWindowsUpdateAccess | REG_DWORD | 1 ó 0: Deshabilita o no el acceso a Windows Update. |
Las opciones relacionadas con el servicio Automatic Updates se encuentran en:
HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
Una vez dentro de esta ruta podremos configurar los siguientes parámetros:
| AUOptions | REG_DWORD |
2 = Notifica antes de bajar. |
| AutoInstallMinorUpdates | REG_DWORD | 1 ó 0: Instala o no los parches menores automáticamente. |
| DetectionFrequency | REG_DWORD | 1 a 22: En horas el tiempo entre ciclos de detección. |
| DetectionFrequencyEnabled | REG_DWORD | 1 ó 0: Habilita la opción anterior, sino default=22hs. |
| NoAutoRebootWithLoggedOnUsers | REG_DWORD | 1 ó 0: El usuario puede elegir reiniciar o no el equipo. |
| NoAutoUpdate | REG_DWORD | 1 ó 0:Habilita o no el Automatic Updates. |
| RebootRelaunchTimeout | REG_DWORD | 1 a 1440: En minutos el tiempo que vuelve a preguntar para reiniciar. |
| RebootRelaunchTimeoutEnabled | REG_DWORD | 1 ó 0: Habilita o no la opción anterior. default=10min |
| RebootWarningTimeout | REG_DWORD | 1 a 30: En minutos el tiempo de alerta luego de instalar un parche con tiempo límite o programado. |
| RebootWarningTimeoutEnabled | REG_DWORD | 1 ó 0: Habilita o no la opción anterior. |
| RescheduleWaitTime | REG_DWORD | 1 a 60: En minutos el tiempo que debe esperar al inicio para instalar parches pendientes. |
| RescheduleWaitTimeEnabled | REG_DWORD | 1 ó 0: Habilita o no la opción anterior. |
| ScheduledInstallDay | REG_DWORD | 0 a 7: En día de la semana, qué día instalar los parches. AUOptions tiene que estar en 4. |
| ScheduledInstallTime | REG_DWORD | 0 a 23: La hora de instalación de los parches. |
| UseWUServer | REG_DWORD | 1 ó 0: Usa un servidor WSUS o directo a Microsoft Update. |
Se puede armar un gran archivo con extensión .reg y distribuir con el sistema o aplicación que mas prefieras. En mi caso prefiero usar GPO, pero si no tenes un dominio o queres configurar algo manualmente, estas son las entradas en el registro de Windows que participan en la configuración del AU.
Artículos relacionados:
Te gustó el Artículo? Compártelo!
October 31st, 2008 - 12:43
Buenos Dias,
Muy util este articulo, pero tengo una pregunta, tengo clientes en mi red de area local con windows xp y he estado revisando las entradas de registro mencionadas, pero no existen, mi pregunta es debo crearlas? o en windows xp es una entrada de registro distinta..
Muchas gracias
Espero su prionta respuesta
Igor
October 31st, 2008 - 14:52
@Igor, gracias por el comentario, te cuento que sí, si no existen las entradas debes crearlas para que apliquen. Puedes crearlas en una máquina, exportarlas y luego haciendo doble click sobre el .reg las importas en otro PC.
Esas entradas sirven para Windows XP.
Saludos!
November 6th, 2008 - 15:25
Diego,
te agradezco la respuesta, ya he creado el archivo .reg con los parametros que recomendaste. Pero tengo varias preguntas, como averiguo si mi pc con windows xp se esta actualizando o no?. Tengo windows 2000 con el wsus instalado y lo puedo configurar desde http:\\win2000\wsusadmin, en la entrada de registro WUServer que url de servidor debo poner?
y otra pregunta en la administracion del wsus, en la parte de equipos, no me aparece ningun equipo, como los agrego o que debo hacer.
Te agradezco mucho tu ayuda, espero lograrlo.
Igor
November 22nd, 2008 - 20:21
@Igor Espin, la url que tenes que usar es http://nombredelservidor para ambos campos disponibles. No hace falta que pongas el directorio virtual. Si usas un puerto diferente al 80 si tenes que ponerlo por ejemplo http://servidor:3580.
Una vez que configures las PCs deberían empezar a publicarse en el servidor y deberías empezar a verlas. No hace falta del lado del servidor que hagas algo mas. Si asegurate que las entradas en el registro se esten creando y que el servicio de Automatic Updates fue reiniciado al menos dos veces luego para que veas algun cambio. Si tenes algun problema podes ir al Foro de este mismo sitio dedicado a WSUS, lo encontras en el menú de arriba en la parte Secciones.
Saludos!
January 29th, 2009 - 10:56
Tengo un problema, las máquinas con XP sp2 no tienen problemas para conectarse al servidor de la empresa y bajar las actualizaciones, pero las que tienen con sp3 no se conectan al servidor local e intentan conectarse a update.microsoft.com.msatc.net, y tengo configurado correctamente el registro, tienes alguna idea de porque?
February 11th, 2009 - 01:46
Te diría que revises en la Registry y busques esa URL para ver donde está definida y veas si es posible cambiarla. Tal vez esté en otra ruta del registro configurado.
Por otro lado, una vez que termines de configurar el registro nuevamente y reinicies los servicios podes revisar con esta herramienta si está todo ok: WSUS Client Diagnostic Tool | Haciendo un Diagnóstico del Cliente
Saludos!
April 5th, 2009 - 18:56
Hola, Diego, tengo una red sin servidor y me gustaría asegurarme que los clientes WSUS “descarguen” e “instalen” sus actualizaciones en distintos tiempos, estoy programando que las acualizaciones del server se den cada 15 dias. Mi conexión es pobre, es por eso de mi preocupación.
Que opciones deberían ser distintas en mis registros (REGEDIT)
que otras opciones debo modificar ademas de:
AUOptions=4
NOta:
los clientes WinXP SP3 sin derechos administrativos
April 6th, 2009 - 00:45
@Jorge, lamentablemente no podes programar ambas cosas. La bajada de los parches la hace cuando el cliente cree que tiene enlace disponible a través del servicio BITS. Luego si instala según el horario que vos hayas configurado, pero no podes decirle a qué hora los baje y que esto lo hace automático cuando el cliente detecta enlace disponible.
Te sugiero si estas muy corto de enlaces que pongas WSUS locales en dichos sitios y si no puedes por el hardware, aprueba pocos parches a la vez y de esa manera no va a ser tanto el tráfico por el enlace.
Otra forma es que utilices Deadlines en las aprobaciones ya que de esa manera podes manejar cuándo el cliente va a bajarlo y luego instalarlo ya que no se puede pasar de ese deadline.
Saludos!
April 6th, 2009 - 13:48
Gracias!
Entiendo lo por lo que me comentas es que no se puede hacer asi programe las descargas a determida fecha.
para entender la descarga en caso de wsus significa que la actualización la baja en el cliente y luego la instala en la fecha programada. solo estoy programando actualizaciones criticas de windows XP y firmas de forefront cada semana.
April 8th, 2009 - 13:29
Tengo que instalar isa server 2006 para usar de firewall (en una red de trabajo en grupo)en mi servidor wsus 3.0 sp1 como parte del trabajo anterior se tendra que crear alguna regla para esto? el puerto con que lo instale es 8530, par que los usuarios se conecten.
Gracias anticipadas por tu respuesta!!
April 20th, 2009 - 12:56
@jorge, en tu WSUS no tenes que crear ninguna regla adicional, sólo tenes que configurar el proxy si es que lo habilitas en el ISA, sino como gateway que quede el ISA.
En el ISA si tenes que habilitar que el equipo de WSUS pueda navegar por los sitios de Microsoft Update sino ahí si vas a tener un problema.
Si tenes algun problema adicional podes publicar logs o imagenes del problema en el foro de WSUS en http://www.cabai.com.ar/foro
Saludos!
August 18th, 2009 - 14:10
hola Jore es posible que el servidor wsus sea un windows xp sp3? tendria como administrar la consola de usuarios y que me envien notificaciones?
August 18th, 2009 - 20:58
Gracias por la respuesta..
pero todo tiene que estar en el server 2003, con isa server instalado.
August 26th, 2009 - 01:19
@Jorge, mmm no es nada recomendable que tengas todo eso en un unico servidor. Te recomendaría hasta que uses ese equipo con plataforma de virtualización y levantes varios servidores en uno.
Saludos!
August 27th, 2009 - 15:58
Gracias,
lo sabemos..
September 8th, 2009 - 17:09
Hola, tengo 2 preguntas, si no soy administrador de la pc no puedo modificar el registro de windows para agregar el scritp del WSUS, no?
Y suponiendo que creo las opciones en el registro con el usuario de administrador local, los usuarios que no sean adminsitradores, podran bajar e instalar las actualizaciones del Wsus?
Desde ya muchas gracias a quien me pueda ayudar con estas dudas.
September 24th, 2009 - 12:30
Saludos!! Tengo una pregunta, lo que pasa es que tengo instalado WSUS 3.0 en mi server 2003 si actualiza el problema esta que solo actualiza a los que esta en el dominio como administradores pero a los que estan en el dominio pero
NO como administradores no los actualiza no aparece el globo de actualizaciones nuevas NO SE SI SE PUEDA RESOLVER ESTE PROBLEMA
espero que me puedan ayudar GRACIAS
October 1st, 2009 - 16:44
@puyet, revisá dentro de las opciones de la política o del registro el ítem: “Allow non-administrators to receive update notifications Enabled” Con ese ítem permitís a los usuarios que no son administradores a recibir las actualizaciones.
Saludos!
October 1st, 2009 - 17:00
@Juan Manuel, si no sos administrador no tenes acceso a todo el registro de Windows, sólo a una parte del mismo a menos que te den permisos exclusivos. Ahora si no sos administrador igual podes instalar actualizaciones, revisá el comentario anterior que digo qué item es necesario configurar para que estas se instalen.
Saludos!
December 2nd, 2009 - 11:40
Hola !!
Una consulta, si configuramos que los equipos de la red se actualicen con un servidor WSUS (ya sea a través de GPO o a través de Registro), cuando esos equipos ejecutan desde internet windows update de forma manual, contra que se actualizan ¿contra el servidor WSUS o contra el Windows Update de microsoft?
September 10th, 2010 - 12:36
Amigo tengo este problema con Wsus en este escenario:
1.-Tengo un D.C. en windows 2003 (es el Unico).
2.- Tengo el servidor Wsus 3.0 Sp2 en un servidor con windows 2003R2, (stanalone),no tiene nada que ver con el D.C. (a nivel de Active directory),o servidor independiente.
3.- Cuando configuro la GPO a nivel de dominio en el D.C.,los equipos no se publican en el Wsus,lo he logrado forzandolo por politica local en loe equipos,y las politicas del D.C. se actualizan perfecto en todos los equipos pero no funcionan para el wsus razon?
3.- al ejecutar el Clientdiag, me da un fallo de:
AU does not have policy set
UseWuserver is disble……….Fail
4.-Pero le indique por GPO del controlador de dominio,el nombre del wsus.
5.-Probe las conectividad con el wsus y esta bien.
6.-tampo puedo entrar via Web a admin del wsus,me dice error en la pagina
Agradeceria su ayuda
July 13th, 2011 - 22:07
best salvia trip speed drugs thailand jamaican gold strain cocaine pipes online legal highs mojo tobacco list of herbal incense buy lsd liquid online legal xtc in australia hawaiian haze herbal smoke bayou blaster spice herbal syracuse herbal bud seeds shrooms in orlando cannabis in beijing poppers online australia buy salvia legal high head shops online usa herbal blends molly hummer energy pills australia herbal highs mephedrone canada legal incense reviews herbal stimulants psychoactive alternatives red playboy ecstasy red dove and ecstasy buy herbal incense buy salvia divinorum hong kong skyscraper legal buds euphoric spice ecstasy western union