Continuant l’entrada general sobre les actualitzacions de sistemes operatius i aplicacions, on s’ha vist que és necessari actualitzar per evitar mals majors. En un entorn empresarial, en la majoria de casos, no és aconsellable deixar aquesta responsabilitat a l’usuari final (factor humà) on el punt dèbil es multiplica per tants usuaris i dispositius com hi pugui haver.

A més, què passa quan no és una màquina la què s’ha d’actualitzar sinó 10, 25, 50, 100, 300, 600, 1500…?

Totes les màquines tenen que passar per la connexió a Internet, connectar-se a la web de Microsoft o el fabricant que toqui i fer la descàrrega de les actualitzacions. Quan són pocs els equips i/o aplicacions a actualitzar és suportable, però com bé diu la pregunta, quan la quantitat augmenta i el temps de vida del sistema operatiu o aplicació passa (més actualitzacions) és més difícil de controlar.

Actualitzacions amb Windows Server Update Services (WSUS)

Actualitzar un equip tarda la tira! Si ho he de fer a tots els de la xarxa ja puc plegar.

És veritat, com més temps passa més actualitzacions té un sistema operatiu o aplicació. S’han de descarregar més paquets i instal·lar. I el problema és la descarrega de paquets. Quan són pocs equips es pot anar controlant, però quan en són uns quants la cosa es fa més feixuga, a no ser que tinguis un ample de banda molt considerable.

Sabent que és important tenir els equips actualitzats, com a responsable de la infraestructura, com puc mantenir tots els equips al dia?

Desplegant el servei de Windows Server Update Services, WSUS pels amics, que incorporen els servidors Windows Server. Naturalment, el servei s’instal·la en un servidor de gestió. Aquest, permet fer una única descarrega de les actualitzacions dels productes seleccionats en el servidor. Mitjançant l’Active Directory es configuren tots els equips de la xarxa perquè vagin a buscar les actualitzacions a aquest servidor en comptes d’anar directament a Microsoft. WSUS també permet controlar quines actualitzacions es desplegaran als equips i l’estat d’actualització dels mateixos.

Instal·lació de Windows Server Update Services (WSUS)

Per instal·lar WSUS es necessita un servidor Windows Server 2008 R2 o superior (per la versió del servei) i un disc dur de gran capacitat (depenent de la quantitat de programari que es vulgui actualitzar). El procés d’instal·lació i configuració descrit a continuació es basa en un Windows 2012 Server.

Obrir l’administrador del servidor. Des del tauler principal, seleccionar Agregar roles y características.

Seleccionar Instalación basada en características o en roles. Clicar Siguiente.

Marcar Seleccionar un servidor del grupo de servidores. Seleccionar el nom del servidor i clicar Siguiente.

Seleccionar el rol Windows Server Update Services, afegint les característiques necessàries al quadre de diàleg que ens pregunta. Clicar Siguiente.

No afegim més característiques. Clicar Siguiente.

S’inicia l’assistent per instal·lar WSUS. Clicar Siguiente.

Indicar els rols a instal·lar:

• WID Database
• WSUS Services

• Base de datos (no marcar, s’utilitza WID en comptes d’aquesta)

Indicar on s’han de guardar les actualitzacions (els paquets que es descarreguen). La recomanació és en un disc a banda del sistema operatiu i en emmagatzematge barat (Near-Line SAS o SATA). En l’exemple, la unitat F:\WSUS. Clicar Siguiente.

Resum de la instal·lació, marcar la opció Reiniciar automáticamente el servidor de destino en caso necesario per no preocupar-nos de fer-ho nosaltres i clicar Instalar.

Un cop instal·lat, clicar a Cerrar.

Configurar Windows Server Update Services

Instal·lat el rol de WSUS, s’ha de configurar perquè funcioni. Des de l’Administrador de Servidor, Eines clicar a Windows Server Update Services.

S’inicia l’assistent per preparar l’entorn. Seleccionar la ruta pel directori de contingut: F:\WSUS. Clicar Ejecutar i esperar que acabi les tasques de postinstal·lació.

Quan ha acabat, clicar a Cerrar per iniciar la consola de gestió de WSUS.

S’inicia l’assistent per la configuració de WSUS, clicar Siguiente.

Seleccionar Sí, si es vol participar al programa de millora de Microsoft. Clicar Siguiente.

Indicar si les actualitzacions es descarreguen des de Microsoft Update o es tracta d’un servidor WSUS enllaçat, útil en el cas de delegacions, per exemple. Al ser el primer servidor, marcar Sincronizar desde Microsoft Update. Clicar Siguiente.

Configuració del proxy per sortir a Internet segons correspongui a la xarxa, no té més. Clicar Siguiente.

Es realitza una primera connexió als servidors de Microsoft per descarregar la llista de productes i idiomes per les actualitzacions. Clicar Iniciar conexión. L’assistent no pot continuar sense aquesta descàrrega inicial. Descarregats els productes, clicar Siguiente.

Indicar l’idioma o idiomes del que es descarregaran actualitzacions de producte. Marcar el/s que correspongui i clicar Siguiente.

Seleccionar els productes dels que es vol descarregar les actualitzacions. Per defecte hi han marcats tots els paquets Office i Windows. Marcar només els sistemes operatius i aplicacions que hi hagi instal·lades a la xarxa, per estalviar espai de disc. Aquest paràmetre després es pot modificar incorporant o eliminant aplicacions. Clicar Siguiente.

Marcar la classificació de l’actualització. Si és una actualització crítica, controladors, eines…Personalment ho marco tot menys els controladors, tot i que no estaria de més. Clicar Siguiente.

Per evitar interferir l’ample de banda en hores de treball, es pot programar que realitzi la descàrrega de les actualitzacions a una hora determinada. Marcar Sincronizar Automáticamente, indicar l’hora i a sincronització per dia es pot deixar a 1. A no ser que sigui actualitzacions molt crítiques, Microsoft publica cada 2n dimarts de cada mes. Clicar Siguiente.

Ja s’ha completat la configuració bàsica. Ara, es pot escollir fer la sincronització inicial o bé finalitzar l’assistent. Com que no es vol interferir durant el dia i acabar de polir quatre detalls, no es marca la sincronització inicial i es continua l’assistent clicant a Siguiente.

Al finalitzar l’assistent, es mostra un llistat de recomanacions per configurar que cal tenir en compte per deixar completament operatiu el servei de WSUS i que es configurarà tot seguit. Clicar Finalizar.

Iniciar la consola d’Administració de WSUS. Recordar que està buida, s’ha d’acabar de personalitzar i afegir les actualitzacions i equips. En la foto s’observa la veu visió inicial.

A la banda esquerra, desplegar l’arbre d’opcions fins a Opciones. On es poden modificar les opcions de configuració de la plataforma WSUS.

Opcions de configuració de WSUS

Repassem les opcions per tenir clar on anar a cercar les coses:

• Origen de actualización y servidor proxy. Permet modificar des d’on es descarreguen les actualtizacions i si es requereix la configuració d’un servidor proxy per sortir a Internet.

• Productos y Clasificaciones. Afegir o eliminar els productes pels que es descarreguen les actualitzacions.

Així, com el tipus de classificació de l’actualització.

• Archivos e idiomas de actualización. La primera pestanya permet especificar si es descarregaran les actualitzacions al servidor o si els clients les descarregaran directament des de Microsoft. 

La segona pestanya permet especificar els idiomes pels que es descarregaran les actualitzacions.

• Programación de sincronización. Quan es dur a terme l’actualització del servidor.

• Aprobaciones automáticas. Per no estar aprovant cada cop les actualitzacions per desplegar-les a la infraestructura, aquest apartat permet generar regles d’aplicació automàtica. Si els requisits de les aplicacions de la xarxa ho permeten (no hi pot haver conflictes amb aplicacions), és recomanable distribuir totes les actualitzacions de forma automàtica.

 Marcar la regla predeterminada, clicar el botó Editar.

En la regla es poden especificar tres paràmetres a complir:

• Tipus de classificació
• Producte
• Data límit per l’aprovació (útil per frenar el possible desplegament d’actualitzacions que no siguin compatibles amb aplicacions de tercers).

Una configuració tipus pot ser que s’apliqui automàticament l’actualització a tots els equips quan estigui dins la classificació d’actualitzacions crítiques i sigui una actualització de qualsevol producte:

A la pestanya Opciones avanzadas, es pot especificar les actualitzacions del propi servei de WSUS.

• Equipos. Depèn del tipus de configuració que es vulgui seguir. Personalment m’agrada tenir les coses bastant ordenades, d’aquesta forma és més fàcil de trobar-les o aplicar noves configuracions. Per tant, prefereixo indicar on registraré els equips mitjançant GPOs. Marcar Usar directiva de grupo o configuración de registro de los equipos. Clicar Aceptar.

• Asistente para limpieza del servidor. De tant en tant està molt bé passar l’escombra. Entre d’altres, permet posar al dia els fitxers del servidor de WSUS, eliminant versions d’actualitzacions anteriors, substituïdes per altres; o actualitzacions de productes que s’han desmarcat. Simplement cal marcar les opcions per on passar l’escombra i clicar Siguiente.

 Es fa la neteja i en acabar mostra un resum de les actuacions que ha fet. Clicar Finalizar.

• Paquete acumulativo de informes. En cas d’enllaçar varis servidors WSUS, permet indicar si els informes que es visualitzen són només d’aquest servidor o de tota la cadena (tota la xarxa). Marcar Acumular el estado de los servidores de réplica que siguin en la cadena per tenir una visió global. Clicar Aceptar.

• Notificaciones por correo electrónico. Sé que a molts administradors us agrada rebre aquestes petites notificacions. El sistema envia un resum de com està el parc informàtic. Hi ha dos tipus d’avís: actualitzacions noves descarregades al WSUS i informes d’estats del parc informàtic. Configurar la programació a gust de cadascú.

No deixar-se la pestanya Servidor de correo electrònico.

•  Programa de mejora de Microsoft Update. Si es vol participar o no. No té massa més.

•  Personalización. Té a veure amb la recopilació de dades dels servidors enllaçats.

 I les advertències de la llista de tasques pendents.

Falta crear els grups d’equips on s’aniran col·locant segons la configuració de la GPO corresponent. Normalment jo els separo en tres grups per aplicar diferents polítiques o actualitzacions que s’hi han d’aplicar:

• Equips – Els ordinadors clients. Acostumen a ser tots igual a no ser que hi hagi alguna aplicació que s’hagi d’anar molt en compte amb les actualitzacions.

• Servidors – Els servidors en general. Es diferencien perquè no reiniciaré un servidor automàticament, a diferència d’un equip.

• Nodes virtuals – Nodes de virtualització. El mateix que els servidors, però manies meves, prefereixo tenir-ho separat.

Per crear el grup. Dins la consola de WSUS, a la banda esquerra, seleccionar Equipos > Todos los equipos, botó dret i clicar a Agregar grupo de equipos.

Indicar el nom del grup i clicar a Agregar. No cal fer res més.

Clicant damunt el nom Equipos, s’obté un informe d’estat de tots els grups. Amb una mirada ràpida es veu l’estat de les actualitzacions a la infraestructura.

Cal comprovar que s’ha fet la sincronització de les actualitzacions des de Microsoft. Des de l’arbre d’opcions, clicar Sincronizaciones.

En l’exemple es mostren dues actualitzacions, una que ha donat error i l’altre que s’ha completat amb èxit, però que no ha descarregat cap actualització.

Clicant amb el botó dret damunt la tasca, es pot visualitzar l’informe de la sincronització.

Per visualitzar els informes de WSUS es requereix tenir instal·lat Microsoft Report Viewer 2008 SP1.

En el WSUS, l’aprovació i desplegament d’actualitzacions es controla des de l’opció Actualizaciones. Clicant damunt seu s’obté un informe gràfic de l’estat segons cada vista.

Per defecte, dins ja hi ha 4 vistes que filtren els resultats perquè sigui més fàcil localitzar els paquets, però se’n poden crear més de personalitzades segons les necessitats.

• Todas las actualizaciones. És la vista per defecte que conté la visió de totes les actualitzacions.
• Actualizaciones críticas. Creada per defecte, visualitza totes les actualitzacions crítiques.
• Actualizaciones de seguridad. Les que afecten a la seguretat.
• Actualizaciones de WSUS. Les que afecten al propi servei de WSUS.

A la vegada, cada vista es pot filtrar pel tipus d’aprovació:

• Sin aprobar
• Aprobada
• Rechazada
• Cualquiera, excepto rechazada

i l’estat de la descàrrega de l’actualització:

• Con errores o necesaria
• Instalada/no aplicable o sin estado
• Con errores
• Necesaria
• Instalada/no aplicable
• Sin estado
• Cualquiera

A més de la possibilitat de buscar una actualització pel botó Buscar, situat a la barra d’accions de la dreta, i indicant en el quadre de diàleg el text: Títol, descripció o KB o equip.

L’apartat de Informes es poden executar informes preestablerts de l’estat d’actualitzacions. Clicar l’informe que correspongui i s’executa.

Assignació dels equips per GPO

Com no pot ser de cap altre manera, farem la configuració de les actualitzacions automàtiques amb les nostres estimades GPOs. En un dels controladors d’Active Directory o bé un servidor amb les eines d’administració instal·lades, obrir la consola d’administració de directives de grup. Es pot localitzar a l’administrador del servidor > Eines.

Crear dues directives noves, una per equips i l’altre per a servidors. A Objetos de directiva de grupo, botó dret clicar a Nuevo.

Indicar un nom descriptiu per la directiva: WSUS – Servidors. Clicar Aceptar.

Botó dret damunt la nova directiva, clicar Editar…

S’està configurant una directiva per a màquines, desplegar Configuración del equipo > Directivas > Plantillas Administrativas > Componentes de Windows > Windows Update

Recordar que es poden ordenar les directives pel seu nom clicant a la capçalera.

Opcions importants a configurar per a servidors:

• Configurar Actualizaciones automáticas. En el cas dels servidors, que faci la descàrrega, però NO la instal·lació, opció 3. El periode de temps segons convingui.

• Habilitar destinatarios del lado cliente. Especificar el nom del grup que s’ha creat al WSUS, per exemple: Servidors. O bé Equips, Nodes de virtualització, etc…

• Especificar la ubicación del servicio Windows Update en la intranet. Indica quina és l’adreça del servidor de WSUS, normalment es crea un registre del tipus alias en el DNS per si canvia el nom del servidor: wsus.laboratoris.local. En les instal·lacions per defecte, el site d’actualitzacions s’executa pel port TCP 8530 (http) o pel TCP 8531 (https). S’han d’indicar aquests ports a l’adreça.

Modificada la directiva, es vincula a les unitats organitzatives on hi ha els servidors: Domain Controllers, Servidors membres. Botó dret damunt la unitat organitzativa, clicar a Vincular un GPO existente.

Marcar la directiva corresponent, WSUS – Servidors i clicar Aceptar.

Assegurar la rèplica de l’Active Directory amb la instrucció de consola (recordar que s’ha d’executar amb privilegis d’administrador)

repadmin /syncall

Comprovar que les opcions de Windows Update de la màquina s’aplica la directiva. Anar al Tauler de control > Windows Update

A la banda esquerra, seleccionar Cambiar configuración per accedir a les opcions configurades:

Si la màquina no està controlada per la directiva de WSUS, es poden modificar les diferents opcions:

Però si s’actualitza i aplica la directiva, per exemple amb el gpupdate, al clicar a cambiar configuración. mostra les opcions configurades, però sense poder-les modificar. Han passat a estar administrades.

Amb l’equip administrat per GPO, comprovar que s’ha donat d’alta a la consola de WSUS, al grup que li correspon:

Comandes pels clients

Com que l’entorn d’actualitzacions automàtiques passa a estar automatitzat, es pot donar el cas que convingui forçar accions. Per fer-ho, existeix una eina de consola de comandes que passant uns paràmetres executa accions bàsiques. Són instruccions que aparentment no fan res, però per sota inicien el processos demanats.

Iniciar una consola de sistema amb privilegis d’administrador. Des del directori c:\Windows\System32\, executar:

En cas que el servidor no hagi informat es pot forçar amb la instrucció:

wuauclt /reportnow

Si es vol forçar la detecció d’actualitzacions pendents, equival a prèmer el botó del Windows Update de buscar actualitzacions.

wuauclt /detectnow

Si es vol forçar la detecció d’actualitzacions pendents i descarregar-les:

wuauclt /detectnow /downloadnow

Si hi ha hagut un error de registre en el servidor WSUS o l’equip estava registrat en un altre servidor de WSUS i ara s’ha canviat:

wuauclt /ResetAuthorization

La comanda wuauclt.exe no disposa d’ajuda directe, pel que les biblioteques d’informació han estat la pròpia ajuda. Altres paràmetres que es poden utilitzar són:

• /RunHandlerComServer
• /RunStoreAsComServer
• /ShowSettingsDialog
• /ResetEulas
• /ShowWU
• /ShowWindowsUpdate
• /SelfUpdateManaged
• /SelfUpdateUnmanaged
• /UpdateNow
• /ShowWUAutoScan
• /ShowFeaturedUpdates
• /ShowOptions
• /ShowFeaturedOptInDialog
• /DemoUI

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies! 

Similar Posts by The Author:

• Microsoft SQL Server con SMB3
• Microsoft SQL Server amb SMB3
• Containers en Linux
• Containers amb Linux
• Migrar el servidor de archivos a Windows Server 2019
• Migrar el servidor de fitxers a Windows Server 2019
• Puerta enlace a Azure en el Windows Admin Center
• Porta enllaç a Azure en el Windows Admin Center
• Hola mundo! WordPress 5 y Gutenberg
• Hola món! WordPress 5 i Gutenberg