Академический Документы
Профессиональный Документы
Культура Документы
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Gestion de Actualizaciones:
Por defecto, todos los sistemas operativos de Microsoft se conectan a windows update para descargar las
actualizaciones y parches de seguridad. Estas actualizaciones son de cualquiera de los productos de Microsoft, no
solo del sistema operativo.
Si tenemos cientos o miles de equipos en la red, cuando todos se conectan a internet para acceder a windows
update y descargar las actulizaciones, probablemente saturen la red.
Ademas, cuando son tantos equipos a gestionar, es dificil controlar cuales de ellos se han actualizado, cuales son las
actualizaciones que han recibido y si alguna de ellas ha dado problemas y hay que revertirla.
Queremos controlar cuales son los equipos que se actualizan, con que actulizaciones y si estas son fiables. Para esto,
suele usarse un grupo de equipos de pruebas donde instalar previamente las actualizaciones para luego aprobarlas si
no dan problemas.
Para esta gestion tenemos el rol Windows Server Update Services (WSUS). Es un servidor de actualizaciones para
centralizar la descarga, definir grupos de equipos, aprobar actualizaciones, revertirlas si dan problemas y obtener
informes detallados de actualizaciones.
Implementaciones de WSUS:
Un unico servidor de WSUS para toda la organizacin (single server). Se conecta a windows update y
todos los equipos de la red descargan sus actualizaciones de este WSUS. Por defecto usa el puerto 8530
para http y 8531 para HTTPS.
Multiples servidores WSUS pero funcionando de forma independiente. Es util cuando tenemos varias
localizaciones aisladas entre si. Es esfuerzo administrativo es mayor. Es necesario contar con personal TI
en cada localizacion y es complicado tener informes globales de las actualizaciones desplegadas en toda
la red.
Multiples servidores WSUS con uno de ellos como servidor principal, que se encarga de descargar y
aprobar las actualizaciones y el resto de WSUS actuan solo como intermediarios. Disconected Servers
(Solo un WSUS Se conecta a windows update, el resto estan desconectados). En el caso concreto de que
tampoco se conecten los servidores WSUS de las sucursales al de la central, podemos cargar en ellos las
actualizaciones en un disco externo, pendrive, dvd,
Upstream Server: Es un servidor que se conecta directamente a windows update, o si no tienen conexin
reciben las actualizaciones de un pendrive, dvd, .
Modo Autonomo: Recibe las actualizaciones de un servidor Upstream, pero mantiene su independencia
en cuanto a la gestion de actualizaciones. Decide de forma local cuales son las actualizaciones, los grupos
de actualizacion y cuando desplegar las actualizaciones.
Modo replica: Recibe del servidor Upstream tanto las actualizaciones como la configuracion:
actualizaciones aprobadas, grupos de actualizacion, programacion de las actualizaciones, En este caso
no es necesario parsonal TI en cada localizacion para gestionar WSUS Downstream. Tenemos una
verdadera administracion centralizada.
WID (Windows Internal Database): es la que se usa por defecto. Se suele utilizar en entornos pequelos,
en los que si hay varios servidores WSUS, son independientes, y en los que no se requiere balanceo de
carga. Cada WSUS tiene su propia BBDD de forma local en un archivo SUSDB.MDF
SQL Server: Es la opcion recomendada, aunque requiere de mas recursos, hardware y personal.
Podemos tener balanceo de carga por que la BBDD de todos los WSUS se almacena en el servidor SQL
Server. Para que la BBDD no se sea un punto unico de fallo, podemos crear un Cluster de SQL Server.
Instalacion de WSUS
Instalacion de servidor UPstream
Actualizacion de clientes:
Para configurar los clientes de forma que descarguen las actualizaciones de WSUS en lugar de windows update,
tenemos 2 formas:
-
Modificar una clave del registro. No es practico si hay muchos clientes y estan en dominio
GPO
Creacion de la GPO
Y ya estaria
Computer Groups:
Una buena practica de WSUS es crear grupos de equipos para controlar las actualizaciones que se despliegan y crear
un grupo de test.
Para asignar un cliente a computer group de WSUS, tenemos 2 metodos:
-
Client-side Targeting: configuramos una clave de registro en el equipo o una GPO en el dominio de forma
que asignamos un equipo cliente a un grupo.
Server-side Targeting: Desde el servidor WSUS podemos asignar equipos a grupos. Antes de aplicar
Server-side Targeting y mover a un equipo a un computer Group, ese equipo tiene que estar registrado
en WSUS
Por comando
Get-WsusComputer -NameIncludes CL3 | Add-WsusComputer -TargetGroupName Sales
Ejercicio configurar LON-WSUS como servidor WSUS Downstream teneindo como upstream LON-RTR.
Los equipos que esten dentro de la unidad organizativa Sales deben usar como servidor WSUS a LON-WSUS y el resto
a lon-RTR.
LON-WSUS Sera un servidor WSUS en modo replica.