Implementar windows de cliente con windows server update services
1. Implementar Windows de cliente con
Windows Server Update Services
(WSUS)
Se aplica a
• Windows10
• Windows11
WSUS es un rol de Windows Server disponible en los sistemas operativos Windows
Server. Proporciona un concentrador único para las actualizaciones de Windows
dentro de una organización. WSUS permite a las empresas no solo aplazar las
actualizaciones, sino también aprobarlas de manera selectiva, elegir cuándo se
entregan y determinar qué dispositivos individuales o grupos de dispositivos las
reciben. WSUS proporciona control adicional sobre Windows update para
empresas, pero no proporciona todas las opciones de programación y la
flexibilidad de implementación que Microsoft Endpoint Manager proporciona.
Cuando elige WSUS como origen para las actualizaciones Windows, usa la directiva
de grupo para apuntar Windows dispositivos cliente al servidor WSUS para sus
actualizaciones. Desde ahí, las actualizaciones se descargan periódicamente en el
servidor WSUS y se administran, aprueban e implementan a través de la consola de
administración de WSUS o la directiva de grupo, lo que simplifica la administración
de actualizaciones de la empresa. Si actualmente usa WSUS para administrar
actualizaciones de Windows en su entorno, puede continuar en Windows 11.
Requisitos para Windows servicio de cliente con
WSUS
Para poder usar WSUS para administrar e implementar actualizaciones Windows
características, debes usar una versión compatible de WSUS:
• WSUS 10.0.14393 (rol en Windows Server 2016)
• WSUS 10.0.17763 (rol en Windows Server 2019)
• WSUS 6.2 y 6.3 (rol en Windows Server 2012 y Windows Server 2012
R2)
• Los 3095113 KB y 3159706 KB (o una actualización equivalente) deben
instalarse en WSUS 6.2 y 6.3.
2. Importante
Tanto los 3095113 KB como los 3159706 KB **** se incluyen en el paquete
acumulativo de calidad mensual de seguridad a partir de julio de 2017. Esto
significa que es posible que no vea los 3095113 KB y kb 3159706 como
actualizaciones instaladas, ya que es posible que se hayan instalado con un
paquete acumulativo. Sin embargo, si necesita alguna de estas **** actualizaciones,
le recomendamos que instale un paquete acumulativo mensual de calidad de
seguridad publicado después de octubre de 2017, ya que contienen una
actualización adicional de WSUS para disminuir el uso de memoria en el servicio
web de cliente de WSUS. Si ha sincronizado alguna de estas actualizaciones antes
del paquete acumulativo de calidad mensual de seguridad, puede experimentar
problemas. Para recuperarse de esto, consulte How to Delete Upgrades in WSUS.
Escalabilidad de WSUS
Para usar WSUS para administrar todas las actualizaciones de Windows, algunas
organizaciones pueden necesitar acceso a WSUS desde una red perimetral o
podrían tener algún otro escenario complejo. WSUS es muy escalable y
configurable para las organizaciones de cualquier tamaño o diseño de sitio. Para
obtener información específica sobre el ajuste de escala de WSUS, incluida la
configuración del servidor que precede en la cadena y el que sigue en la cadena,
las sucursales, el equilibrio de carga de WSUS y otros escenarios complejos,
consulta Choose a Type of WSUS Deployment (Elegir un tipo de implementación
de WSUS).
Configurar las actualizaciones automáticas y
actualizar la ubicación del servicio
Si usas WSUS para administrar las actualizaciones en los dispositivos cliente
Windows, comienza configurando las opciones Configurar Actualizaciones
automáticas y Especificar la ubicación del servicio Microsoft Update en la
intranet de la directiva de grupo para tu entorno. Al hacerlo, obligas a los clientes
afectados a ponerse en contacto con el servidor WSUS para que pueda
administrarlas. El siguiente proceso describe cómo especificar estas opciones de
configuración y cómo implementarlas en todos los dispositivos del dominio.
3. Para configurar las opciones Configurar Actualizaciones automáticas y
Especificar la ubicación del servicio Microsoft Update en la intranet de la
directiva de grupo para tu entorno
1. Abra la Consola de administración de directivas de grupo (gpmc.msc).
2. Expanda ForestDomainsYour_Domain.
3. Haga clic con el Your_Domainy, a continuación, seleccione Crear un
GPO en este dominio y Vincularlo aquí.
Nota
En este ejemplo, las opciones Configurar Actualizaciones
automáticas y Especificar la ubicación del servicio Microsoft
Update en la intranet de la directiva de grupo se especifican para
todo el dominio. Esto no es un requisito; puedes aplicar estas opciones
4. a cualquier grupo de seguridad mediante la característica Filtrado de
seguridad o una UO específica.
4. En el cuadro de diálogo Nuevo GPO, asigna el nombre WSUS:
actualizaciones automáticas y ubicación del servicio de
actualización en la intranet al nuevo GPO.
5. Haz clic en el GPO WSUS: actualizaciones automáticas y ubicación
del servicio de actualización en la intranet y, después, haz clic
en Editar.
6. En el Editor de administración de directivas de grupo, ve a
Configuración del equipoDirectivasPlantillas
administrativasComponentes de WindowsWindows Update.
7. Haz clic con el botón derecho en la opción Configurar
Actualizaciones automáticas y, después, haz clic en Editar.
8. En el cuadro de diálogo Configurar Actualizaciones automáticas,
selecciona Habilitar.
9. En Opciones, en la lista Configurar actualización automática,
selecciona 3 - Descargar automáticamente y notificar instalación y,
después, haz clic en Aceptar.
5. Importante
Usa Regedit.exe para comprobar que la siguiente clave no está
habilitada, ya que puede interrumpir Windows de la Tienda:
ComputerHKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWin
dowsWindowsUpdateDoNotConnectToWindowsUpdateInternetLocat
ions
Nota
Hay otras tres opciones de configuración para la descarga automática
de actualizaciones y las fechas y horas de instalación. Simplemente, es
la opción que se usa en este ejemplo. Para obtener más ejemplos
sobre cómo controlar las actualizaciones automáticas y otras directivas
6. relacionadas, consulta Configure Automatic Updates by Using
Group Policy (Configurar las actualizaciones automáticas con la
opción de directiva de grupo).
10. Haga clic con el botón secundario en la configuración Especificar la
ubicación del servicio microsoft update de intranet y, a continuación,
seleccione Editar.
11. En el cuadro de diálogo Especificar la ubicación del servicio
Microsoft Update en la intranet, selecciona Habilitar.
12. En Opciones, en establecer el servicio de actualización de intranet
para detectar actualizaciones y Establecer las opciones del servidor de
estadísticas de intranet, escriba y, a
continuación, http://Your_WSUS_Server_FQDN:PortNumber seleccio
ne Aceptar.
Nota
La dirección URL http://CONTOSO-WSUS1.contoso.com:8530 de la imagen
siguiente es solo un ejemplo. En tu entorno, asegúrate de usar el
nombre del servidor y el número de puerto de tu instancia de WSUS.
7. Nota
El puerto HTTP predeterminado para WSUS es 8530 y el puerto HTTP
sobre Capa de sockets seguros (HTTPS) predeterminado es 8531. (Las
otras opciones son 80 y 443; no se admiten otros puertos).
Dado que los clientes Windows actualizan sus directivas de equipo (el valor de
actualización de directiva de grupo predeterminado es de 90 minutos y cuando se
reinicia un equipo), los equipos comienzan a aparecer en WSUS. Ahora que los
clientes se comunican con el servidor WSUS, crea los grupos de equipos que estén
en línea con tus anillos de implementación.
8. Crear grupos de equipos en la consola de
administración de WSUS
Nota
Los siguientes procedimientos usan los grupos de la tabla 1 en Anillos de
implementación de compilación para Windows actualizaciones de cliente como
ejemplos.
Puedes usar grupos de equipos para un subconjunto de dispositivos que tengan
actualizaciones de calidad y de características específicas. Estos grupos representan
tus anillos de implementación, tal como los controla WSUS. Puedes rellenar los
grupos manualmente mediante la consola de administración de WSUS o
automáticamente a través de la directiva de grupo. Independientemente del
método que elijas, primero debes crear los grupos en la consola de administración
de WSUS.
Para crear grupos de equipos en la consola de administración de WSUS
1. Abre la consola de administración de WSUS.
2. Ve a Nombre_servidorEquiposTodos los equipos y, después, haz clic
en Agregar grupo de equipos.
3. Escribe el nombre Usuarios de empresa piloto del anillo 2 y,
después, haz clic en Agregar.
9. 4. Repite estos pasos para los grupos TI general del anillo 3 y Todos los
usuarios empresariales del anillo 4. Cuando termines, debería haber
tres grupos de anillo de implementación.
Ahora que los grupos se han creado, agrega los equipos a los grupos de equipos
en línea con los anillos de implementación deseados. Puedes hacerlo a través de
la directiva de grupo o manualmente mediante la consola de administración de
WSUS.
Usar la consola de administración de WSUS para
rellenar los anillos de implementación
Agregar equipos a grupos de equipos en la consola de administración de WSUS es
sencillo, pero puede tardar mucho más que administrar la pertenencia a través de
la directiva de grupo, especialmente si tienes muchos equipos que se deben
agregar. La adición de equipos a grupos de equipos en la consola de
administración de WSUS se denomina selección de destinatarios del lado servidor.
En este ejemplo, se agregan equipos a grupos de equipos de dos maneras
diferentes: asignando manualmente equipos sin asignar y buscando varios equipos.
Asignar manualmente equipos sin asignar a grupos
Cuando nuevos equipos se comunican con WSUS, aparecen en el grupo Equipos
sin asignar. Desde ahí, puedes usar el siguiente procedimiento para agregar
equipos a los grupos adecuados. En estos ejemplos, se usan dos equipos Windows
10 (WIN10-PC1 y WIN10-PC2) para agregarlos a los grupos de equipos.
Para asignar equipos manualmente
1. En la consola de administración de WSUS, ve
a Nombre_servidorEquiposTodos los equiposEquipos sin asignar.
Aquí verás los nuevos equipos que recibieron el GPO que creaste en la
sección anterior y que comenzaron a comunicarse con WSUS. En este
ejemplo hay solo dos equipos; según el alcance de la implementación
de tu directiva, es probable que tengas muchos equipos aquí.
10. 2. Selecciona ambos equipos, haz clic con el botón derecho en la
selección y, después, haz clic en Cambiar pertenencia.
3. En el cuadro de diálogo Establecer pertenencia a un grupo de
equipos, selecciona el anillo de implementación Usuarios de empresa
piloto del anillo 2 y, después, haz clic en Aceptar.
Dado que se asignan a un grupo, los equipos ya no están en el
grupo Equipos sin asignar. Si seleccionas el grupo de
equipos Usuarios de empresa piloto del anillo 2, verás ambos
equipos aquí.
Buscar varios equipos para agregarlos a grupos
Otra forma de agregar varios equipos a un anillo de implementación en la consola
de administración de WSUS es usar la característica de búsqueda.
Para buscar varios equipos
1. En la consola de administración de WSUS, ve
a Nombre_servidorEquiposTodos los equipos, haz clic con el botón
derecho en Todos los equipos y, después, haz clic en Buscar.
2. En el cuadro de búsqueda, escribe WIN10.
3. En los resultados de la búsqueda, selecciona los equipos, haz clic con el
botón derecho en la selección y, después, haz clic en Cambiar
pertenencia.
11. 4. Selecciona el anillo de implementación TI general del anillo 3 y,
después, haz clic en Aceptar.
Ahora puedes ver estos equipos en el grupo de equipos TI general del anillo 3.
Usar la directiva de grupo para rellenar los anillos
de implementación
La consola de administración de WSUS proporciona una interfaz sencilla desde la
que puedes administrar las actualizaciones de calidad y de características de
Windows 10. Sin embargo, si necesitas agregar varios equipos al anillo de
implementación de WSUS correcto, hacerlo manualmente en la consola de
administración de WSUS puede llevar mucho tiempo. En estos casos, considera la
posibilidad de usar la directiva de grupo para seleccionar como destino los equipos
correctos, de modo que se agreguen automáticamente al anillo de implementación
de WSUS correcto en función de un grupo de seguridad de Active Directory. Este
proceso se denomina selección de destinatarios del lado cliente. Antes de habilitar la
selección de destinatarios del lado cliente en la directiva de grupo, debes
configurar WSUS para que acepte la asignación de equipos de la directiva de
grupo.
Para configurar WSUS para permitir la selección de destinatarios del lado
cliente desde la directiva de grupo
1. Abre la consola de administración de WSUS y ve
a Nombre_servidorOpciones; después, haz clic en Equipos.
12. 2. En el cuadro de diálogo Equipos, selecciona Usar directiva de grupo
o configuración del Registro en los equipos y, después, haz clic
en Aceptar.
Nota
Esta opción es exclusivamente either-or. Al habilitar WSUS para usar la
directiva de grupo para la asignación de grupos, ya no puedes agregar
equipos manualmente a través de la consola de administración de
WSUS hasta que se restablezca la opción.
Ahora que WSUS está listo para la selección de destinatarios del lado cliente,
realiza los siguientes pasos para usar la directiva de grupo para configurar la
selección de destinatarios del lado cliente:
Para configurar la selección de destinatarios del lado cliente
Sugerencia
13. Cuando uses la selección de destinatarios del lado cliente, considera la posibilidad
de asignar a los grupos de seguridad los mismos nombres que asignaste a los
anillos de implementación. Esta acción simplifica el proceso de creación de
directivas y ayuda a garantizar que no se agreguen equipos a anillos incorrectos.
1. Abra la Consola de administración de directivas de grupo (gpmc.msc).
2. Expande BosqueDominiosTu_dominio.
3. Haz clic con el botón derecho en Tu_dominio y, después, haz clic
en Crear un GPO en este dominio y vincularlo aquí.
4. En el cuadro de diálogo Nuevo GPO, escribe WSUS: selección de
destinatarios de cliente (Todos los usuarios empresariales del
anillo 4) como nombre del nuevo GPO.
5. Haz clic con el botón derecho en el GPO WSUS: selección de
destinatarios de cliente (Todos los usuarios empresariales del
anillo 4) y, después, haz clic en Editar.
6. En el Editor de administración de directivas de grupo, ve a
Configuración del equipoDirectivasPlantillas
administrativasComponentes de WindowsWindows Update.
7. Haz clic con el botón derecho en Habilitar destinatarios del lado
cliente y, después, haz clic en Editar.
14. 8. En el cuadro de diálogo Habilitar destinatarios del lado cliente,
selecciona Habilitar.
9. En el cuadro Nombre de grupo de destino para este equipo,
escribe Todos los usuarios empresariales del anillo 4. Este es el nombre
del anillo de implementación de WSUS al que se agregarán estos
equipos.
Advertencia
El nombre del grupo de destino debe coincidir con el nombre del grupo de
equipos.
10. Cierra el Editor de administración de directivas de grupo.
15. Ahora estás listo para implementar este GPO en el grupo de seguridad informática
correcto para el anillo de implementación Todos los usuarios empresariales del
anillo 4.
Para definir el ámbito del GPO en un grupo
1. En GPMC, selecciona la directiva WSUS: selección de destinos de
cliente (Todos los usuarios empresariales del anillo 4).
2. Haz clic en la pestaña Ámbito.
3. En Filtrado de seguridad, quita el grupo de seguridad Usuarios
autenticados predeterminado y, después, agrega el grupo Todos los
usuarios empresariales del anillo 4.
La próxima vez que los clientes del grupo de seguridad Todos los usuarios
empresariales del anillo 4 reciban su directiva de equipo y se pongan en contacto
con WSUS, se agregarán al anillo de implementación Todos los usuarios
empresariales del anillo 4.
Aprobar e implementar automáticamente las
actualizaciones de características
16. Para los clientes que deberían tener sus actualizaciones de características
aprobadas tan pronto como estén disponibles, puedes configurar las reglas de
aprobación automática en WSUS.
Nota
WSUS respeta la rama de mantenimiento del dispositivo cliente. Si apruebas una
actualización de características mientras aún está en una rama, como Insider
Preview, WSUS instalará la actualización solo en dispositivos que estén en esa rama
de mantenimiento. Cuando Microsoft lanza la compilación para Semi-Annual (o
Canal de disponibilidad general), los dispositivos en los que se instalará. Windows
La configuración de la rama actualizar para empresas no se aplica a las
actualizaciones de características a través de WSUS.
Para configurar una regla de aprobación automática para Windows
actualizaciones de características de cliente y aprobarlas para el anillo de
implementación de TI general anillo 3 En este ejemplo Windows 10, pero el
proceso es el mismo para Windows 11.
1. En la consola de administración de WSUS, ve a Actualizar
serviciosNombre_servidorOpciones y, después,
selecciona Aprobaciones automáticas.
2. En la pestaña Reglas de actualización, haz clic en Nueva regla.
3. En el cuadro de diálogo Agregar regla, selecciona las casillas Cuando
una actualización está en una clasificación específica, Cuando una
actualización está en un producto específico y Establecer una fecha
límite para la aprobación.
17. 4. En el área Editar las propiedades, selecciona cualquier clasificación.
Bórralo todo excepto Actualizaciones y, después, haz clic en Aceptar.
5. En el área Editar las propiedades, haz clic en el vínculo cualquier
producto. Desactiva todas las casillas excepto Windows 10 y, después,
haz clic en Aceptar.
Windows 10 está bajo Todos los productosMicrosoftWindows.
6. En el área Editar las propiedades, haz clic en el vínculo todos los
equipos. Borra todas las casillas de grupos de equipos excepto TI
general del anillo 3 y, después, haz clic en Aceptar.
7. Deja la fecha límite establecida en 7 días después de la aprobación a
las 3:00.
8. En el cuadro Paso 3: Especificar un nombre, escribe Aprobación
automática de la actualización de Windows 10 para TI general del
anillo 3 y, después, haz clic en Aceptar.
18. 9. En el cuadro de diálogo Aprobaciones automáticas, haz clic
en Aceptar.
Nota
WSUS no respeta ninguna configuración de aplazamiento de
mes/semana/día existente. Dicho esto, si usas Windows Update para
empresas en un equipo en el que WSUS también administra
actualizaciones, cuando WSUS apruebe la actualización, se instalará en
el equipo independientemente de si has configurado la directiva de
grupo para que espere.
19. Ahora, siempre que Windows actualizaciones de características de cliente se
publiquen en WSUS, se aprobarán automáticamente para el anillo de
implementación de TI general anillo 3 con una fecha límite de instalación de 1
semana.
Advertencia
La regla de aprobación automática se ejecuta después de que se produzca la
sincronización. Esto significa que se aprobará la siguiente actualización Windows
versión de cliente. Si selecciona Ejecutarregla, se aprobarán todas las
actualizaciones posibles que cumplan los criterios, lo que puede incluir
actualizaciones más antiguas que no desee, lo que puede ser un problema cuando
los tamaños de descarga son muy grandes.
Aprobar e implementar actualizaciones de
características manualmente
También puedes aprobar actualizaciones y establecer fechas límite de instalación
manualmente en la consola de administración de WSUS. Es mejor aprobar las
reglas de actualización manualmente después de actualizar la implementación
piloto.
Para simplificar el proceso de aprobación manual, empiece creando una vista de
actualización de software que contenga solo Windows 10 actualizaciones (en este
ejemplo). El proceso es el mismo para Windows 11 actualizaciones.
Nota
Si aprueba más de una actualización de características para un equipo, puede
producirse un error con el cliente. Aprobar solo una actualización de características
por equipo.
Para aprobar e implementar actualizaciones de características manualmente
1. En la consola de administración de WSUS, ve a Actualizar
serviciosNombre_servidorActualizaciones. En el panel Acción, haz clic
en Nueva vista de actualización.
2. En el cuadro de diálogo Agregar vista de actualización,
selecciona Las actualizaciones están en una clasificación
específica y Las actualizaciones son para un producto específico.
20. 3. En Paso 2: Editar las propiedades, haz clic en cualquier clasificación.
Desactiva todas las casillas excepto Actualizaciones y, después, haz
clic en Aceptar.
4. En Paso 2: Editar las propiedades, haz clic en cualquier producto.
Desactiva todas las casillas excepto Windows 10 y, después, haz clic
en Aceptar.
Windows 10 está bajo Todos los productosMicrosoftWindows.
5. En el cuadro Paso 3: Especificar un nombre, escribe Todas las
actualizaciones de Windows 10 y, después, haz clic en Aceptar.
Ahora que ya tiene la vista Todas las actualizaciones Windows 10, siga estos
pasos para aprobar manualmente una actualización para el anillo de
implementación Anillo 4 Usuarios generales de la empresa:
21. 1. En la consola de administración de WSUS, ve a Actualizar
serviciosNombre_servidorActualizacionesTodas las actualizaciones de
Windows 10.
2. Haz clic con el botón derecho en la actualización de características que
quieres implementar y, después, haz clic en Aprobar.
3. En la lista Todos los usuarios empresariales del anillo 4 del cuadro
de diálogo Aprobar actualizaciones, selecciona Aprobada para su
instalación.
22. 4. En la lista Todos los usuarios empresariales del anillo 4 del cuadro
de diálogo Aprobar actualizaciones, haz clic en Fecha límite, en Una
semana y, después, en Aceptar.
5. Si se abre el cuadro de diálogo Términos de licencia del software de
Microsoft, haz clic en Aceptar.
Si la implementación se realiza correctamente, deberías recibir un
informe de progreso correcto.
23. 6. En el cuadro de diálogo Progreso de la aprobación, haz clic
en Cerrar.
Pasos para administrar actualizaciones para
Windows cliente
PASOS PARA ADMINISTRAR ACTUALIZACIONES PARA
WINDOWS CLIENTE
Obtener información sobre actualizaciones y ramas de mantenimiento
Preparar la estrategia de mantenimiento para Windows actualizaciones de cliente
Crear anillos de implementación para Windows actualizaciones de cliente
Asignar dispositivos a canales de mantenimiento para Windows actualizaciones de
cliente
Optimizar la entrega de actualizaciones Windows actualizaciones de cliente
Implementar actualizaciones con Windows Update para empresas
o implementar Windows actualizaciones de cliente mediante Windows Server Update
Services (este tema)
24. PASOS PARA ADMINISTRAR ACTUALIZACIONES PARA
WINDOWS CLIENTE
o implementar Windows actualizaciones de cliente mediante Microsoft Endpoint
Configuration Manager