Publicación local con WSUS

La publicación local con WSUS (Windows Server Update Services) permite centralizar la publicación de actualizaciones de otras aplicaciones no Microsoft: Adobe, Java, etc…; en la red local.

Es bien sabido por todos que las actualizaciones son mucho trabajo y muy molestas de mantener. Más cuando éstas se tienen que hacer equipo por equipo. También recordar que son la principal fuente de problemas en la red que podemos tener hoy en día. Un equipo desactualizado es peor que tener el equipo sin antivirus. Por lo tanto, teniendo ya el WSUS desplegado en la red, aprovechamos esta tecnología para poder desplegar otros tipos de paquetes de actualizaciones como el Adobe Reader, el Adobe Flash, el JAVA, etc…

Y lo mejor de todo: ¡los productos del despliegue son gratuitos!

¿Que necesito para la publicación local con WSUS?

La distribución de las actualizaciones se sustenta con la tecnología WSUS de Microsfoft. Por lo tanto, lo primero que debo tener desplegado y operativo es el propio servicio de WSUS (entrada de configuración del WSUS).

Para las actualizaciones de las aplicaciones de terceros, utilizaré la aplicación de libre distribución, WSUS Package Publisher. Se puede descargar desde el enlace: https://wsuspackagepublisher.codeplex.com/

Instalación y configuración de WSUS Package Publisher

El archivo que se descarga es una carpeta comprimida con los archivos, sólo hay que descomprimirla en la carpeta donde se quiera dejar instalada la aplicación. Particularmente recomiendo que se haga en la unidad donde se guardan los archivos de WSUS, indicando un nombre de carpeta identificativo: WSUSPackagePublisher.

Acceder dentro de la carpeta y hacer un acceso directo en el escritorio o menú de inicio del ejecutable Wsus Package Publisher.exe por comodidad a la hora de iniciar la aplicación. Iniciarla. Nos pregunta que es un archivo descargado de Internet y no está firmado, desmarcar el checkbox Preguntar siempre antes de abrir este archivo porque no nos vuelva a pedir y hacer clic en el botón Ejecutar.

Al iniciar la aplicación por primera vez y de manera predeterminada, comprueba si el servidor tiene el rol de WSUS. En caso afirmativo se autoconfigura como servidor predeterminado. Estos parámetros los podemos modificar siempre que queramos.

Con la aplicación iniciada, seleccionar el menú Tools > Settings.

Comprobar que el nombre del servidor de WSUS es el correcto. En caso que sea el mismo, marcar el checkbox Connect to local server. Podemos repasar otras opciones por defecto, la Autenticación, que ya está bien utilizar el mismo usuario.

El código de colores de las actualizaciones

Como se tienen que tratar las actualizaciones. En este apartado, cambiar la carpeta por defecto (en mi caso en F:\WSUSaddicionals) para guardar los archivos y la acción por defecto de las actualizaciones.

La configuración de un proxy para salir a Internet.

Opciones diversas. Marcar When starting, connect to the last used Server para que cargue automáticamente la configuración del servidor. Hacer clic en OK para aceptar los parámetros de configuración.

Volviendo a la ventana principal, hacer clic en el botón Connect/Reload para cargar la configuración del servidor de WSUS.

Al hacerlo nos aparecerá el servidor a la izquierda con la estructura de árbol de WSUS, pero también una advertencia que no se pueden publicar aplicaciones porque no se dispone de certificado. Hacer clic en el botón Aceptar.

En el menú, seleccionar Tools > Certificate para generar el certificado que permitirá publicar aplicaciones.

Este paso «es muy complicado» y hay que poner los cinco sentidos, hacer clic sobre Generate the certificate. Uy, ya está.

Generado el certificado autofirmado, se muestra la advertencia que antes de utilizarlo se debe reiniciar el servicio de WSUS. Hacer clic en el botón Aceptar.

Hay que guardar el certificado para poderlo distribuir en los equipos clientes. Hacer clic en el botón Save certificate, indicar una ruta conocida. Con el certificado guardado, ya se puede cerrar esta consola con el botón Close.

Desde la consola de servicios, reiniciar WSUS Certificate Server. Volvemos a conectar con el servidor de WSUS. Si lo hemos hecho bien, no tiene que dar ningún mensaje de advertencia.

Comprobar que se ha instalado el certificado en el equipo local. Iniciar la consola de certificados del servidor: Inicio > Ejecutar > mmc > Archivo > Agregar o quitar complemento > Certificados > Agregar > Cuenta de equipo > Siguiente > Equipo local > Finalizar > Aceptar. Localizar la carpeta WSUS > Certificados donde tiene que aparecer el certificado que hemos creado.

Para distribuirlo de manera automática podemos recurrir a las famosas GPOs. Iniciar el administrador de directivas de grupo. Para evitar confusiones en las configuraciones, se puede recurrir a la GPO de actualizaciones WSUS para añadir los certificados.

En el apartado Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Directivas de clave pública.

Añadir el certificado en las carpetas: Entidades de certificación raíz de confianza y en Editores de confianza. Botón derecho en el espacio de la derecha, seleccionar Importar…

Se inicia el asistente para importar certificados. Hacer clic en el botón Siguiente.

Seleccionar el archivo que hemos guardado anteriormente, hacer clic en Siguiente.

Dejar por defecto el almacén de certificados (Entidades de certificación raíz de confianza o bien Editores de confianza), hacer clic en Siguiente.

Finalizar la importación, hacer clic en Finalizar y Aceptar el mensaje de conformidad de la importación.

Modificar el equipo para que permita la instalación de paquetes desde la Intranet. En la misma GPO, localizar la directiva: Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > Windows Update. Hacer doble clic en Permitir Actualizaciones firmadas procedentes de una ubicación del servicio Microsoft Update en la intranet.

Marcar la opción Habilitada. Hacer clic en el botón Aceptar.

Con esto tenemos la red preparada para enviar las actualizaciones de otros fabricantes.

Añadir paquetes de otros fabricantes para distribuir: Adobe

Adobe Flash Player

Para el Adobe Flash Player se puede hacer una suscripción al catálogo de Adobe, para que no nos tengamos que preocupar de comprobar y descargar la versión. Desde la pantalla principal de la aplicación Wsus Package Publisher, seleccionar Updates > Manage Catalog Subscriptions…

Indicar la ruta y el archivo a comprobar, en el caso del Adobe Flash:

• Address: http://fpdownload.adobe.com/get/flashplayer/current/licensing/win
• Archivo: AdobeFlashPlayerCatalog_SCUP.cab

Cada cuando se debe comprobar si existe una actualización. Por el tema del Flash mejor dejar cada día.

Comprobar la conexión con el paquete haciendo clic en el botón Test Connectivity. Que tiene que acabar con un Succeeded.

Cargar el archivo en el catálogo haciendo clic en el botón Add this catalog. Aparecerá la línea en el catálogo, permitiendo comprobar si hay nuevas versiones, hacer clic en el botón Check Update Availability Now.

Hacer clic dos veces sobre la nueva línea de actualizaciones de Adobe Flash.

Hacer clic en el botón Open Catalog para cargar las diferentes versiones disponibles.

Seleccionar la/las versiones que se quieren importar en el WSUS y distribuir. En este caso, la versión 13. Hacer clic en el botón Import Selected Updates.

La aplicación realizará la descarga de los paquetes correspondientes y los incorporará en el repositorio.

Hacer clic en el botón Close dos veces cuando haya terminado y en el botón OK para cerrar la suscripción de catálogos. En la ventana principal en el árbol de opciones ¡ya aparecen las actualizaciones!

Seleccionar Adobe Flash Player y hacer clic en el botón Approve ¡para distribuirla! Al igual que WSUS, indicar en que grupo de equipos se quiere distribuir y de que manera.

Para hacer la prueba de concepto, distribuir en el grupo de servidores para su instalación opcional. La Deadline permite especificar a partir de que fecha ya no se puede instalar la actualización, útil para cuando se sustituyen. Hacer clic en OK.

Para comprobar el estado de distribución de la actualización, seleccionar la pestaña Status. Escoger el grupo de equipos (Servidores) hacer clic sobre el nombre del equipo para forzarlo a buscar la actualización, informar, ver las actualizaciones pendientes, forzar esta actualización, etc… Todo ello algo útil, ¿verdad?

También lo podemos hacer manualmente en el servidor utilizando el Windows Update, realizamos un escaneo de Windows Update. Panel de control > Windows Update, Buscar actualizaciones.

Ha encontrado unas cuantas actualizaciones, haciendo clic sobre el enlace de actualizaciones, ¡pero NO aparece el Adobe Flash! Novatada: El servidor no tiene el reproductor de Flash a la que afecta la actualización instalado, por lo tanto es normal que no se pueda actualizar.

Aprobamos la actualización para un equipo cliente que sí tiene el Adobe Flash instalado, lo comprobamos con el Windows Update. Ahora sí, aparece la actualización del Flash y sólo hay que instalarlo haciendo clic en Instalar actualizaciones. Naturalmente, este apartado estará configurado para la distribución automática sin intervención del usuario.

Adobe Reader

¿Por que no instalar de manera centralizada y personalizada el Adobe Reader en todos los equipos de la red?

Primero que todo, descargar el paquete completo del servidor FTP de Adobe: ftp://ftp.adobe.com/pub/adobe/reader/win/

Seleccionar la versión, idioma, etc.. Todo ello consiste en ir navegando por las diferentes carpetas hasta encontrar el archivo .exe deseado y descargarlo.

Descomprimir con 7-Zip el archivo .exe en una carpeta para obtener los archivos para su distribución.

En el caso de la versión 11, descargar el archivo de personalización del paquete de instalación que se puede descargar desde ftp://ftp.adobe.com/pub/adobe/acrobat/win/11.x/11.0.00/misc/CustWiz11003_en_US.exe

Instalar en la máquina que tenga que hacer la personalización del paquete de Adobe Reader. La instalación no tiene demasiada complicación más que Siguiente > Siguiente > Finalizar.

Iniciar la aplicación Adobe Customization Wizard XI. Cargar el último paquete de Adobe Reader para instalar que hemos descargado anteriormente. File > Open Package…

Seleccionar el paquete .msi que se ha obtenido de descomprimir el archivo .exe. En la primera opción: Personalization options, marcar el checkbox Suppress display of End User License Agreement (EULA).

En el apartado Installation Options dejar marcado:

• Default Viewer for PDF files (a gusto del consumidor): Make Reader the default PDF viewer.
• Remove all versions of Reader (para no dejar basura en los equipos)
• Enable Optimization
• Enable Caching of installer files on local hard drive
• Run Installation: Silently (no interface)
• If reboot required at the end of installation: Suppress reboot

En el apartado Registry, hay que desactivar las actualizaciones propias de Adobe. Localizar la clave de registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Botón derecho sobre Adobe ARM, hacer clic en Modify.

En la opción Action, indicar Remove value, hacer clic en el botón OK.

En el apartado Security, habilitar para todos los archivos. También es un buen lugar para indicar las ubicaciones de confianza de la red local.

Apartado Online Services and Features, toca desactivar las actualizaciones de producto y accesos a los servicios Online de Adobe:

• Disable product updates
• Load trusted root certificates from Adobe: Enable & Install silently
• When launching PDF in Internet Explorer, prompt user with Open/Save dialog
• In Adobe Reader, disable Help > Purchase Adobe Acrobat
• Disable Help > Digital Editions
• Disable Product Improvement Program
• Disable the Tools pane in Reader
• Disable file storage on Adobe online services
• Disable all Adobe online services based workflows and entry points

Finalmente en el apartado Direct Editor, seleccionar la Tabla InstallExecuteSequence y eliminar las filas, mediante el botón derecho, drop Row:

• InstallServices
• StartServices

Guardar el paquete modificado. File > Save Package y ya se puede salir de la herramienta de personalización.

Podéis encontrar más información de como personalizar la instalación de Adobe Reader en http://www.adobe.com/devnet-docs/acrobatetk/tools/Wizard/Customization%20Wizard%2011%20for%20Windows.pdf

Iniciar WSUS Package Publisher, seleccionar Tools > Msi Reader.

Hacer clic en el botón Load MSI File y indicar la ruta del archivo que acabamos de modificar de Adobe Reader. Seleccionar la tabla Property.

Localizar la entrada ProductCode, ¡es diferente para cada producto! Copiar en el portapapeles.

Abrir la carpeta descomprimida de la aplicación Adobe Reader, localizar el archivo setup.msi y arrastrarlo a la carpeta Adobe Systems de la aplicación WSUS Package Publisher

Se inicia el asistente de creación de paquetes. En Additional files, hacer clic en el botón Add files para añadir el resto de archivos que contiene la carpeta. Ojo en no volver a repetir el setup.exe. Hacer clic en Next.

Indicar el nombre de producto: Adobe Reader y un título: Adobe Reader XI del paquete. Hacer clic en Next.

En Rule type, marcar MSI Product Installed y hacer clic en el botón Add Rule. Pegar el código de producto que hemos copiado antes, en mi caso: ac76b… Hacer clic en el botón OK.

Marcar el checkbox Delete Rules at Package Level. Hacer clic en el botón Next.

Lo mismo que el paso anterior, pero esta vez por determinar si se debe instalar el paquete. Seleccionar MSI Product Installed, hacer clic en el botón Add Rule, etc… Con la excepción que se tiene que marcar la opción Reverse Rule. Hacer clic en el botón Publish para terminar.

Esperar que incorpore el paquete en el WSUS. Hacer clic en OK cuando ha terminado.

Marcar el nuevo producto: Adobe Reader, hacer clic en el botón Approve para distribuirlo en los equipos, por ejemplo. Hacer clic en OK.

Iniciar un equipo cliente y hacer la comprobación de actualizaciones. Aparece una nueva actualización:

Comprobar que sea nuestro Adobe Reader XI y adelante con la actualización, hacer clic en el botón Instalar actualizaciones.

¡Y que se instala correctamente!

A partir de aquí se pueden ir distribuyendo diferentes paquetes o actualizaciones mediante el WSUS.

¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o sugerencia. ¡Gracias!

Similar Posts by The Author:

• Microsoft SQL Server con SMB3
• Microsoft SQL Server amb SMB3
• Containers en Linux
• Containers amb Linux
• Migrar el servidor de archivos a Windows Server 2019
• Migrar el servidor de fitxers a Windows Server 2019
• Puerta enlace a Azure en el Windows Admin Center
• Porta enllaç a Azure en el Windows Admin Center
• Hola mundo! WordPress 5 y Gutenberg
• Hola món! WordPress 5 i Gutenberg