Embed Size (px)
Citation preview
Windows Server Update ServicesWindows Server Update Services(WSUS)(WSUS)
David Cervigón LunaDavid Cervigón LunaMicrosoft IT Pro EvangelistMicrosoft IT Pro [email protected]@microsoft.comhttphttp://://blogs.technet.comblogs.technet.com//davidcervigondavidcervigon
Webcasts Grabados sobre Actualizaciones Webcasts Grabados sobre Actualizaciones de Seguridadde Seguridad
Opciones disponibles para la gestión de Actualizaciones Opciones disponibles para la gestión de Actualizaciones de Softwarede Software http://msevents-eu.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=118763http://msevents-eu.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=118763
910&EventCategory=3&culture=es-ES&CountryCode=ES910&EventCategory=3&culture=es-ES&CountryCode=ES
Microsoft Update y Actualizaciones AutomáticasMicrosoft Update y Actualizaciones Automáticas http://msevents-eu.microsoft.com/CUI/WebCastEventDetails.aspx?http://msevents-eu.microsoft.com/CUI/WebCastEventDetails.aspx?
EventID=118766087&EventCategory=3&culture=es-ES&CountryCode=ES EventID=118766087&EventCategory=3&culture=es-ES&CountryCode=ES
Otros Webcasts grabados:Otros Webcasts grabados: httphttp://://www.microsoft.comwww.microsoft.com//spainspain/technet/jornadas/webcasts//technet/jornadas/webcasts/webcasts_ant.aspwebcasts_ant.asp
¿Qué es WSUS?¿Qué es WSUS?
Un “Feature Pack” RTW (Release to Web) de Microsoft Un “Feature Pack” RTW (Release to Web) de Microsoft Windows ServerWindows Server Gratuito:Gratuito: http://www.microsoft.com/windowsserversystem/updateservices/evaluation/http://www.microsoft.com/windowsserversystem/updateservices/evaluation/
sysreqs.mspxsysreqs.mspx
No necesita ningún tipo de CAL adicionalNo necesita ningún tipo de CAL adicional Una solución funcional:Una solución funcional: Automatiza el proceso de gestión Automatiza el proceso de gestión
de parches y actualizaciones todo lo posiblede parches y actualizaciones todo lo posible Gestiona parches de otros productos además de WindowsGestiona parches de otros productos además de Windows Incluye las funcionalidades que le demandabais SUS 1.0Incluye las funcionalidades que le demandabais SUS 1.0 Mejora y facilita las tareas del administradorMejora y facilita las tareas del administrador
Componente claveComponente clave de las actuales y futuras soluciones de de las actuales y futuras soluciones de gestión de Parches y Actualizaciones de Microsoftgestión de Parches y Actualizaciones de Microsoft Aprovechado por otras herramientas (i.e., SMS & MBSA)Aprovechado por otras herramientas (i.e., SMS & MBSA) Expone un rico conjunto de API para facilitar la Expone un rico conjunto de API para facilitar la
personalización y extensibilidadpersonalización y extensibilidad Escalabilidad hacia (Microsoft Update)Escalabilidad hacia (Microsoft Update)
Arquitectura Arquitectura
Piezas de la soluciónPiezas de la solución Windows Server Update Services Windows Server Update Services
Automatic Updates client agent Automatic Updates client agent
Microsoft Update Microsoft Update
Group Policy y Active Directory Group Policy y Active Directory
Piezas del servidorPiezas del servidor IIS / IE6 SP1IIS / IE6 SP1 BITS y WinHTTP (BITS y WinHTTP (KB842773)KB842773)
MSI 3.1MSI 3.1
Microsoft SQL ServerMicrosoft SQL Server• WMSDE/MSDEWMSDE/MSDE
.NET Framework 1.1 SP1.NET Framework 1.1 SP1 Scripting vía SDKScripting vía SDK
Contenido y Productos SoportadosContenido y Productos Soportados
ContenidoContenido Microsoft Windows, Microsoft Office, Microsoft SQL Server, Microsoft Microsoft Windows, Microsoft Office, Microsoft SQL Server, Microsoft
Exchange Server Exchange Server Se agregarán productos adicionales (i.e. ISA Server 2004)Se agregarán productos adicionales (i.e. ISA Server 2004)
Sistemas OperativosSistemas Operativos Cliente/agenteCliente/agente
• Windows 2000 SP3 y posterior,Windows 2000 SP3 y posterior,• Windows XP y posterior (Tb. versiones y x64)Windows XP y posterior (Tb. versiones y x64)• Windows 2003 (solo 32-bit),Windows 2003 (solo 32-bit),• Windows 2003 SP1 (x64 y ia64)Windows 2003 SP1 (x64 y ia64)
ServidorServidor• Windows 2000 SP4 y posterior Windows 2000 SP4 y posterior • Windows 2003 y posterior (solo 32-bit)Windows 2003 y posterior (solo 32-bit)
Soporte InternacionalSoporte Internacional 25 Windows client locales25 Windows client locales 17 Windows Server locales17 Windows Server locales
Servidor WSUS
Cómo funcionaCómo funciona
El Administrador se suscribe a las categorías de El Administrador se suscribe a las categorías de actualizacionesactualizaciones
< Back Finish Cancel
Windows Update ServicesWindows Update Services
El servidor descarga las actualizaciones desde El servidor descarga las actualizaciones desde Microsoft UpdateMicrosoft Update
Los clientes se registran en el servidorLos clientes se registran en el servidorEl agente instala los parches aprobados por el El agente instala los parches aprobados por el administradoradministradorEl Administrador pone a los clientes en diferentes El Administrador pone a los clientes en diferentes target groupstarget groupsEl Administrador aprueba las actualizacionesEl Administrador aprueba las actualizaciones
< Back Finish Cancel
Windows Update ServicesWindows Update Services
Microsoft Update
Clientes Windows XP
Target Group 1Clientes Windows Server
Target Group 2
Administrador
DEMODEMO
Instalación de WSUSInstalación de WSUS
Arquitectura del ServidorArquitectura del Servidor
Interfaz de administración Web.Interfaz de administración Web. Motor de sincronización para descargar las Motor de sincronización para descargar las
actualizaciones de Microsoft Update.actualizaciones de Microsoft Update. Base de datos SQL que mantiene el resto de los Base de datos SQL que mantiene el resto de los
datos que no son actualizaciones.datos que no son actualizaciones. Permite una estructura de servidores jerárquicaPermite una estructura de servidores jerárquica Usa BITS (Background Intelligent Transfer Usa BITS (Background Intelligent Transfer
Service) para un uso eficiente del ancho de Service) para un uso eficiente del ancho de bandabanda
EscalableEscalable
Arquitectura del Servidor (cont.)Arquitectura del Servidor (cont.)
Server APIServer API
File StoreFile Store(NTFS)(NTFS)
Metadata StoreMetadata StoreMSDE/SQLMSDE/SQL
Client/ServerClient/ServerWeb serviceWeb service
Server/ServerServer/ServerWeb serviceWeb serviceReportingReporting
Web serviceWeb service Admin UIAdmin UI ContentContentsyncsync
CatalogCatalogsyncsync
ClientesClientes
Servidores WSUS/MUServidores WSUS/MUEstación Estación deldel AdministraAdministradordor
Arquitectura del clienteArquitectura del cliente
El agente (Win32 Service) implementa la mayor El agente (Win32 Service) implementa la mayor parte de la funcionalidadparte de la funcionalidad
Extensibilidad basada en manejadores de tipo Extensibilidad basada en manejadores de tipo Update Update
Manejadores para MSI, update.exe, drivers etc. Manejadores para MSI, update.exe, drivers etc. Se auto-actualiza automáticamente a nuevas Se auto-actualiza automáticamente a nuevas
versiones ofrecidas por el servidor.versiones ofrecidas por el servidor. Controlable via GPOControlable via GPO SeguroSeguro
Arquitectura del clienteArquitectura del cliente
WUWUo WSUSo WSUS IE (WU Site)IE (WU Site) ScriptsScripts
a medidaa medida
API API Cliente WU Cliente WU
AutomaticAutomaticupdatesupdates
UpdateUpdatemanagermanager
UpdateUpdatehandlershandlers
Almacén de Almacén de contenidocontenido Metadata DBMetadata DB
WU ClienteWU Cliente
BITSBITS
¿Que Base de datos voy a usar?¿Que Base de datos voy a usar?
SQL:SQL: Instalación local de WMSDE / MSDE.Instalación local de WMSDE / MSDE. SQL Server ya existente (local o remoto).SQL Server ya existente (local o remoto).
El principal factor es la infraestructura existente.El principal factor es la infraestructura existente. WMSDE/MSDE valdrá en la mayoría de los casos.WMSDE/MSDE valdrá en la mayoría de los casos. Utilizar SQL solamente si ya está instalado y tiene capacidad de Utilizar SQL solamente si ya está instalado y tiene capacidad de
aguantar más cargaaguantar más carga
No modificar nunca directamente los datos en SQL.No modificar nunca directamente los datos en SQL.
Usar WSUSUtil.exe para backupUsar WSUSUtil.exe para backup
Jerarquías y RéplicasJerarquías y Réplicas
Autónomo = padre/hijoAutónomo = padre/hijo Solo los elementos comunes suponen ancho de bandaSolo los elementos comunes suponen ancho de banda
El almacén del padre es el común múltiplo de todos las aprobaciones de El almacén del padre es el común múltiplo de todos las aprobaciones de los hijos.los hijos.
Replica = Configuración espejo.Replica = Configuración espejo. Solamente la pertenencia a grupos es única.Solamente la pertenencia a grupos es única.
Puede repartir parcialmente las tareas de administración.Puede repartir parcialmente las tareas de administración.
Útil para distribuir la sobrecarga de red.Útil para distribuir la sobrecarga de red.
Se configura durante la instalación y no puede cambiarse Se configura durante la instalación y no puede cambiarse luego. El despliegue puede consistir en múltiples capas luego. El despliegue puede consistir en múltiples capas de servidores WSUSde servidores WSUS
Servidor únicoServidor único
Servidores de réplicaServidores de réplica
DelegacionesDelegaciones
Redes desconectadasRedes desconectadas
Desktop Desktop ClientsClients
Microsoft Microsoft UpdateUpdate
WSUS WSUS ServerServer
WSUS WSUS ServerServer
¿Qué método vamos a usar para instalar las ¿Qué método vamos a usar para instalar las actualizaciones? actualizaciones? Instalación Express vs. estándarInstalación Express vs. estándar
Instalación estándar: Descarga y reemplaza el fichero Instalación estándar: Descarga y reemplaza el fichero completo.completo.
Más costoso para el cliente y la red localMás costoso para el cliente y la red local
Instalación Express: Descarga e instala solo “deltas” Instalación Express: Descarga e instala solo “deltas” (diferencias)(diferencias)
Más costoso para el servidor WSUS y el enlace WANMás costoso para el servidor WSUS y el enlace WAN
¿Donde voy a almacenar las actualizaciones?¿Donde voy a almacenar las actualizaciones?Opciones de almacenamientoOpciones de almacenamiento
Dos opciones:Dos opciones: Sistema de archivos localSistema de archivos local
Microsoft Update (solo almacenamos la información acerca de las Microsoft Update (solo almacenamos la información acerca de las actualizaciones)actualizaciones)
Depende de dónde estén los clientes en relación al Depende de dónde estén los clientes en relación al WSUSWSUS Clientes en “red local” – Local file systemClientes en “red local” – Local file system
Clientes “fuera” – Microsoft UpdateClientes “fuera” – Microsoft Update
Por defecto son todos (3 tipos de Chino, dos de Por defecto son todos (3 tipos de Chino, dos de Japonés además del Coreano....)Japonés además del Coreano....) Eso es MUCHO tráfico y MUCHAS GigasEso es MUCHO tráfico y MUCHAS Gigas
WSUS solamente podrá informar sobre un cliente WSUS solamente podrá informar sobre un cliente si los datos para su idioma se han descargadosi los datos para su idioma se han descargado
Recomendación: No almacenar los datos Recomendación: No almacenar los datos localmente si hay gran variedad y variabilidad de localmente si hay gran variedad y variabilidad de idiomasidiomas
¿En que idiomas tengo los productos que voy a ¿En que idiomas tengo los productos que voy a actualizar?actualizar?LocalesLocales
¿Qué opciones de seguridad tengo que ¿Qué opciones de seguridad tengo que considerar?considerar?
WSUS WSUS siempresiempre detrás de un firewall detrás de un firewall Sobre el sistema operativo securizadoSobre el sistema operativo securizado Utilizar Utilizar siempresiempre SSL SSL
• Los clientes deben validarse con su certificado Los clientes deben validarse con su certificado de de máquinamáquina para recibir las actualizaciones para recibir las actualizaciones
• Usar una CA pública si no se tiene la opción de Usar una CA pública si no se tiene la opción de distribuir una CA raíz corporativa (nada más sencillo distribuir una CA raíz corporativa (nada más sencillo con Directorio Activo)con Directorio Activo)
DEMODEMO
Configuración de WSUSConfiguración de WSUS Creación de GruposCreación de Grupos Aprobación de ActualizacionesAprobación de Actualizaciones InformesInformes
Opciones de configuraciónOpciones de configuración
Tiempo de instalación de actualizaciones ya Tiempo de instalación de actualizaciones ya descargadas después de reiniciar.descargadas después de reiniciar.
Frecuencia de actualización en del clienteFrecuencia de actualización en del cliente No reiniciar automáticamente tras la instalación.No reiniciar automáticamente tras la instalación. Demorar el reinicioDemorar el reinicio Comportamiento de la descarga y la instalaciónComportamiento de la descarga y la instalación Frecuencia de los recordatorios para reiniciar tras la Frecuencia de los recordatorios para reiniciar tras la
instalacióninstalación Instalar actualizaciones al ApagarInstalar actualizaciones al Apagar Apariencia del botón de ApagarApariencia del botón de Apagar Usuarios no administradores pueden aprobar Usuarios no administradores pueden aprobar
descargas e instalacionesdescargas e instalaciones
¿Cómo voy a configurar los clientes?¿Cómo voy a configurar los clientes?
Manualmente / ScriptsManualmente / Scripts HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\
Windows\WindowsUpdate Windows\WindowsUpdate
Por políticas (WUAU.ADM)Por políticas (WUAU.ADM) Locales = Manualmente (gpedit.msc)Locales = Manualmente (gpedit.msc) GPOs en Directorio ActivoGPOs en Directorio Activo
Ver la “Deployment Guide”Ver la “Deployment Guide”
DEMODEMO
Configuración del ClienteConfiguración del Cliente
Migración desde SUS 1.0Migración desde SUS 1.0
Puntos a tener en cuenta:Puntos a tener en cuenta: La instalación NO actualiza.La instalación NO actualiza. Se migra el contenido y las aprobaciones, no la Se migra el contenido y las aprobaciones, no la
configuración.configuración.
Dos EscenariosDos Escenarios Al mismo servidorAl mismo servidor A un servidor remotoA un servidor remoto
Próximos Webcasts sobre Actualizaciones Próximos Webcasts sobre Actualizaciones de Seguridadde Seguridad
Gestión de Actualizaciones de Seguridad usando SMS 2003Gestión de Actualizaciones de Seguridad usando SMS 2003
Información de fechas y registro en:Información de fechas y registro en: httphttp://://www.microsoft.comwww.microsoft.com//spainspain/technet/jornadas/webcasts//technet/jornadas/webcasts/default.aspdefault.asp
¿PREGUNTAS?¿PREGUNTAS?
David Cervigón LunaDavid Cervigón LunaMicrosoft IT Pro EvangelistMicrosoft IT Pro [email protected]@microsoft.comhttp://blogs.technet.com/davidcervigonhttp://blogs.technet.com/davidcervigon
RECURSOSRECURSOS
Página principal de WSUS:
http://www.microsoft.com/windowsserversystem/updateservices/default.mspx SDK:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/wus/wus/portal.asp Documentación Online:
http://www.microsoft.com/windowsserversystem/updateservices/techinfo/default.mspx
Deployment Guide Operations Guide Troubleshooter
