----------------------------------------------------------------------------------------------------------------------------------------------------------- ---------------- ----------------------------------------------------------------------------------------------------------------------------------------------------------- ---------------- Module 12: Implementing Update Management ----------------------------------------------------------------------------------------------------------------------------------------------------------- ---------------- ----------------------------------------------------------------------------------------------------------------------------------------------------------- ---------------- Gestion de Actualizaciones: Por defecto, todos los sistemas operativos de Microsoft se conectan a windows update para descargar las actualizaciones y parches de seguridad. Estas actualizaciones son de cualquiera de los productos de Microsoft, no solo del sistema operativo. Si tenemos cientos o miles de equipos en la red, cuando todos se conectan a internet para acceder a windows update y descargar las actulizaciones, probablemente saturen la red. Ademas, cuando son tantos equipos a gestionar, es dificil controlar cuales de ellos se han actualizado, cuales son las actualizaciones que han recibido y si alguna de ellas ha dado problemas y hay que revertirla. Queremos controlar cuales son los equipos que se actualizan, con que actulizaciones y si estas son fiables. Para esto, suele usarse un grupo de equipos de pruebas donde instalar previamente las actualizaciones para luego aprobarlas si no dan problemas. Para esta gestion tenemos el rol Windows Server Update Services (WSUS). Es un servidor de actualizaciones para centralizar la descarga, definir grupos de equipos, aprobar actualizaciones, revertirlas si dan problemas y obtener informes detallados de actualizaciones. Implementaciones de WSUS: Como resumen, podemos tener 3 despliegues de WSUS: - Un unico servidor de WSUS para toda la organización (single server). Se conecta a windows update y todos los equipos de la red descargan sus actualizaciones de este WSUS. Por defecto usa el puerto 8530 para http y 8531 para HTTPS. - Multiples servidores WSUS pero funcionando de forma independiente. Es util cuando tenemos varias localizaciones aisladas entre si. Es esfuerzo administrativo es mayor. Es necesario contar con personal TI en cada localizacion y es complicado tener informes globales de las actualizaciones desplegadas en toda la red.
- Multiples servidores WSUS con uno de ellos como servidor principal, que se encarga de descargar y aprobar las actualizaciones y el resto de WSUS actuan solo como intermediarios. Disconected Servers (Solo un WSUS Se conecta a windows update, el resto estan desconectados). En el caso concreto de que tampoco se conecten los servidores WSUS de las sucursales al de la central, podemos cargar en ellos las actualizaciones en un disco externo, pendrive, dvd, Cuando diseñamos una jerarquia de servidores WSUS, Distinguimos 2 tipos de servidores: - Upstream Server: Es un servidor que se conecta directamente a windows update, o si no tienen conexión reciben las actualizaciones de un pendrive, dvd,. - Downstream Server: Es un servidor WSUS que se conecta al servidor Upstream. Los servidores Downstream pueden configurarse de 2 modos: - Modo Autonomo: Recibe las actualizaciones de un servidor Upstream, pero mantiene su independencia en cuanto a la gestion de actualizaciones. Decide de forma local cuales son las actualizaciones, los grupos de actualizacion y cuando desplegar las actualizaciones. - Modo replica: Recibe del servidor Upstream tanto las actualizaciones como la configuracion: actualizaciones aprobadas, grupos de actualizacion, programacion de las actualizaciones, En este caso no es necesario parsonal TI en cada localizacion para gestionar WSUS Downstream. Tenemos una verdadera administracion centralizada. WSUS puede usar 2 tipos de bases de datos: - WID (Windows Internal Database): es la que se usa por defecto. Se suele utilizar en entornos pequelos, en los que si hay varios servidores WSUS, son independientes, y en los que no se requiere balanceo de carga. Cada WSUS tiene su propia BBDD de forma local en un archivo SUSDB.MDF - SQL Server: Es la opcion recomendada, aunque requiere de mas recursos, hardware y personal. Podemos tener balanceo de carga por que la BBDD de todos los WSUS se almacena en el servidor SQL Server. Para que la BBDD no se sea un punto unico de fallo, podemos crear un Cluster de SQL Server. Proceso de gestion de actulizaciones: Los procesos de gestion de sistemas informaticos suelen basarse en el ciclo de demming o PDCA (Plan, Do, Check, Act).
Instalacion de WSUS Instalacion de servidor UPstream Aquí podemos elegir donde se guardan las actualizaciones
Actualizacion de clientes: Para configurar los clientes de forma que descarguen las actualizaciones de WSUS en lugar de windows update, tenemos 2 formas: - Modificar una clave del registro. No es practico si hay muchos clientes y estan en dominio - GPO Creacion de la GPO
Primero configurarmos las actualizaciones automaticas. Y la localizacion del servidor de actualizaciones.
Abrimos la consola de WSUS La primera vez aparece el almacen de actualizaciones
Aquí es donde se configuraria como downstream
Y ya estaria
Computer Groups: Una buena practica de WSUS es crear grupos de equipos para controlar las actualizaciones que se despliegan y crear un grupo de test. Para asignar un cliente a computer group de WSUS, tenemos 2 metodos: - Client-side Targeting: configuramos una clave de registro en el equipo o una GPO en el dominio de forma que asignamos un equipo cliente a un grupo. - Server-side Targeting: Desde el servidor WSUS podemos asignar equipos a grupos. Antes de aplicar Server-side Targeting y mover a un equipo a un computer Group, ese equipo tiene que estar registrado en WSUS
Comando WSUS powershel Meter a una maquina en un grupo por GPO Por comando Get-WsusComputer -NameIncludes CL3 Add-WsusComputer -TargetGroupName Sales Desde un cliente pedimos la conexion con este comando Wuauclt /detectnow /reportnow
Para cambiar la maquina de grupo
Ejercicio configurar LON-WSUS como servidor WSUS Downstream teneindo como upstream LON-RTR. Los equipos que esten dentro de la unidad organizativa Sales deben usar como servidor WSUS a LON-WSUS y el resto a lon-rtr. LON-WSUS Sera un servidor WSUS en modo replica.