Como config un server wsus

Introducción a Windows Server Update
Services
Se aplica a: Windows Server 2012 R2, Windows Server 2012
Windows Server Update Services (WSUS) permite a los administradores de tecnologías de
la información implementar las actualizaciones de productos de Microsoft más recientes.
Con WSUS, los administradores pueden administrar por completo la distribución de
actualizaciones que se publican en Microsoft Update para los equipos de su red. En este
tema se proporciona información general sobre este rol de servidor y más información
sobre cómo implementar y mantener WSUS.
Quizá lo que busca es…
 Windows Server Update Services 3.0 SP2 en TechNet:
 Windows Update
 Implementación de software
Descripción del rol de servidor de WSUS
El servidor WSUS proporciona las características que los administradores necesitan para
administrar y distribuir actualizaciones mediante una consola de administración. Además,
un servidor WSUS puede ser el origen de actualización para otros servidores WSUS de la
organización. El servidor WSUS que actúa como origen de actualización es el servidor que
precede en la cadena. En una implementación de WSUS, al menos un servidor WSUS de la
red debe conectarse a Microsoft Update para obtener información sobre actualizaciones
disponibles. El administrador puede determinar, en función de la configuración y seguridad
de red, la cantidad de servidores que desea que se conecten directamente a Microsoft
Update.
Aplicaciones prácticas
La administración de actualizaciones es el proceso por el cual se controla la
implementación y el mantenimiento de versiones provisionales de software en entornos de
producción. Le permite preservar la eficiencia operativa, superar vulnerabilidades de
seguridad y mantener la estabilidad del entorno de producción. Si su organización no puede
determinar y mantener un nivel conocido de confianza en sus sistemas operativos y
software de aplicación, podría tener una serie de vulnerabilidades de seguridad que, si se
explotan, afectarían los ingresos y la propiedad intelectual. Minimizar esta amenaza
requiere que tenga sistemas correctamente configurados, que use el software más reciente y
que instale las actualizaciones de software recomendadas.

Los escenarios principales en los que WSUS favorece a su negocio son los siguientes:
 Administración centralizada de actualizaciones
 Automatización de administración de actualizaciones
Funcionalidad nueva y modificada
Advertencia
Para proceder a la actualización desde cualquier versión de Windows Server que sea
compatible con WSUS 3.2 a Windows Server® 2012 R2 es preciso desinstalar primero
WSUS 3.2.
En Windows Server 2012, la actualización desde cualquier versión de Windows Server con
WSUS 3.2 instalado se bloquea durante el proceso de instalación si se detecta WSUS 3.2, y
se le pedirá que desinstale Windows Server Update Services antes de actualizar Windows
Server 2012.
Sin embargo, dados los cambios introducidos en Windows Server 2012 R2, al proceder a la
actualización desde cualquier versión de Windows Server y WSUS 3.2 a Windows
Server 2012 R2, la instalación no se bloquea. El hecho de no desinstalar WSUS 3.2 antes
de realizar una actualización de Windows Server 2012 R2 provocará un error en las tareas
de instalación posterior de WSUS en Windows Server 2012 R2. En ese caso, la única
solución conocida consiste en formatear el disco duro y reinstalar Windows
Server 2012 R2.
Windows Server Update Services es un rol del servidor integrado que incluye las siguientes
mejoras:
 Puede agregarse o quitarse con el Administrador del servidor.
 Incluye cmdlets de Windows PowerShell para administrar las diez tareas
administrativas más importantes en WSUS.
 Agrega la capacidad hash SHA256 para una mayor seguridad.
 Proporciona separación entre cliente y servidor: las versiones del Agente de
Windows Update (WUA) pueden entregarse independientemente de WSUS
Característica y funcionalidad Windows Server 2008 R2
Windows Server 2012
y Windows
Server 2012 R2
Adición de cmdlets de Windows
PowerShell para administrar las diez
tareas administrativas más
importantes en WSUS
X
Mejoras de seguridad con capacidad
hash SHA256
X

Separación entre cliente y servidor:
las versiones del Agente de Windows
Update (WUA) pueden entregarse
independientemente de WSUS
X
Uso de Windows PowerShell para administrar WSUS
Para administrar sus operaciones, los administradores necesitan cobertura en la
automatización de línea de comandos. El objetivo principal es facilitar la administración de
WSUS al permitir que los administradores del sistema automaticen sus operaciones
cotidianas.
¿Qué valor aporta este cambio?
Al exponer operaciones principales de WSUS mediante Windows PowerShell, los
administradores del sistema pueden aumentar su productividad, reducir la curva de
aprendizaje de herramientas nuevas y disminuir los errores debido a expectativas no
cumplidas por incoherencia en operaciones similares.
¿Qué funciona de manera diferente?
En versiones anteriores del sistema operativo Windows Server, no había cmdlets de
Windows PowerShell y la automatización de la administración de actualizaciones era un
desafío. Los cmdlets de Windows PowerShell para operaciones de WSUS agregan
flexibilidad y agilidad al administrador del sistema.
Funcionalidad eliminada o en desuso
En esta versión de WSUS, la API se actualiza a .NET Framework 4.5.
Requisitos del sistema
Los requisitos mínimos de hardware para WSUS son:
 Procesador: procesador x64 de 1,4 gigahertz (GHz) (se recomienda de 2 Ghz o más
rápido)
 Memoria: WSUS requiere 2 GB adicionales de RAM más de lo que necesita el
servidor.
 Espacio en disco disponible: 10 GB (se recomiendan 40 GB o más)
 Adaptador de red: 100 megabits por segundo (Mbps) o superior
Requisitos de software
 Para ver informes, WSUS necesita Microsoft Report Viewer Redistributable 2008.

Vea también
La siguiente tabla incluye referencias que proporcionan más información acerca de WSUS:
Tipo de contenido REFERENCES
Recursos de WSUS 3.0
SP2
Windows Server Update Services 3.0 SP2 en TechNet:
Evaluación del producto Página de TechNet sobre Windows Server Update Services
Planeación e
implementación
Implementación de Windows Server Update Services en la
organización
Migración
Migración de Windows Server Update Services a Windows
Server 2012
Recursos de la comunidad WSUS Forum

Implementación de Windows Server
Update Services en la organización
Windows Server Update Services (WSUS) permite a los administradores de tecnologías de
la información implementar las actualizaciones de productos de Microsoft más recientes.
WSUS es un rol de servidor de Windows Server que puede instalarse para administrar y
distribuir actualizaciones. Un servidor WSUS puede ser el origen de actualización para
otros servidores WSUS de la organización. El servidor WSUS que actúa como origen de
actualización es el servidor que precede en la cadena. En una implementación de WSUS, al
menos un servidor WSUS de la red debe conectarse a Microsoft Update para obtener
información sobre actualizaciones disponibles. El administrador puede determinar, en
función de la configuración y seguridad de red, la cantidad de servidores que desea que se
conecten directamente a Microsoft Update.
Este documento ofrece información conceptual para planear la implementación de
Windows Server Update Services en Windows Server 2012 y las versiones posteriores del
sistema operativo Windows Server. Además proporciona los procedimientos paso a paso
para instalar WSUS en la organización.
 Paso 1: preparar la implementación de WSUS
 Paso 2: instalar el rol de servidor de WSUS
 Paso 3: configurar WSUS
 Paso 4: aprobar e implementar actualizaciones de WSUS
 Paso 5: Configurar opciones de directiva de grupo para actualizaciones automáticas

Paso 1: preparar la implementación de
WSUS
El primer paso de la implementación de Windows Server Update Services (WSUS) es
tomar decisiones importantes, tales como determinar el escenario de implementación de
WSUS, elegir una topología de red y comprender los requisitos del sistema. La siguiente
lista de comprobación describe los pasos para preparar la implementación de WSUS.
Tarea Descripción
1.1. Revisar consideraciones
iniciales y requisitos del
sistema
Revise la lista de consideraciones y requisitos del sistema
para asegurarse de tener todo el hardware y software
necesario para implementar WSUS.
1.2. Elegir el escenario de
implementación de WSUS
Decida el escenario de implementación de WSUS que se va
a usar.
1.3. Elegir la estrategia de
almacenamiento de WSUS
Decida cuál es la estrategia de almacenamiento de WSUS
que mejor se adapta a su implementación.
1.4. Elegir idiomas de
actualización de WSUS
Decida los idiomas de actualización de WSUS que se van a
instalar.
1.5. Planear grupos de equipos
WSUS
Planee el enfoque de grupos de equipos WSUS que usará
en la implementación.
1.6. Planear consideraciones
sobre el rendimiento de WSUS
Planee un diseño de WSUS para su mejor rendimiento.
1.7. Planear la configuración
de actualizaciones automáticas
Planee la manera en que configurará las actualizaciones
automáticas en su escenario.
1.1. Revisar consideraciones iniciales y requisitos del
sistema
Requisitos del sistema:
Antes de habilitar el rol de servidor de WSUS, compruebe que el servidor cumpla con los
requisitos del sistema y que usted tenga los permisos necesarios para completar la
instalación. Para ello, siga estas instrucciones:
 Los requisitos de hardware del servidor para habilitar el rol de WSUS están
enlazados a los requisitos del hardware. Los requisitos de hardware se enumeran en
el tema: Introducción a Windows Server Update Services.

 Si instala roles o actualizaciones de software que al finalizar requieren el reinicio
del servidor, reinícielo antes de habilitar el rol de servidor WSUS.
 Se debe instalar Microsoft .NET Framework 4.0 en el servidor que tendrá instalado
el rol de servidor de WSUS.
 Para que el complemento de administración de WSUS se muestre correctamente, la
cuenta NT Authority o de servicio de red debe tener permisos de control total para
las siguientes carpetas:
o %windir%Microsoft.NETFrameworkv4.0.30319Temporary ASP.NET
Files
Importante
Esta ruta de acceso podría no existir antes de instalar el rol del servidor web
que contiene Internet Information Services (IIS).
o %windir%Temp
 Confirme que la cuenta que tiene previsto usar para instalar WSUS es miembro del
grupo local Administradores.
Consideraciones para la instalación:
Durante el proceso de instalación, WSUS instalará lo siguiente de manera predeterminada:
 API de .NET y cmdlets de Windows PowerShell
 Windows Internal Database (WID), que usa WSUS
 Servicios que usa WSUS:
o Servicio de actualización
o Servicio web de informes
o Servicio web de cliente
o Servicio web de autenticación simple
o Servicio de sincronización de servidores
o Servicio web de autenticación DSS
Consideraciones de las características a petición
Tenga en cuenta que la configuración de los equipos cliente (incluidos los servidores) para
actualizar mediante WSUS provocará las siguientes limitaciones:
1. Los roles de servidor a los que se ha quitado sus cargas mediante características a
petición no se pueden instalar a petición desde Microsoft Update. Deberá facilitar
un origen de instalación en el momento en que se intentan instalar estos roles de
servidor o configurar un origen para las características a petición en las directiva de
grupo.
2. Las ediciones cliente de Windows no podrán instalar .NET 3.5 a petición desde la
web. Las mismas consideraciones de los roles de servidor se aplican a .NET 3.5.

Nota
En la configuración de un origen de instalación de características a petición no influye
WSUS 3.x o WSUS en Windows Server® 2012 R2. Para obtener información sobre cómo
configurar las características, consulte Configuración de características a petición en
Windows Server.
Requisitos de base de datos de WSUS
Independientemente de los Service Pack asociados con cada versión de Microsoft SQL
Server, WSUS necesita una de las bases de datos siguientes:
 Windows Internal Database (WID)
 Microsoft SQL Server 2014
 Microsoft SQL Server 2012
 Microsoft SQL Server 2008 R2
Las siguientes ediciones de SQL Server son compatibles con WSUS:
 Enterprise
 Standard
 Express
Importante
SQL Server Express 2008 R2 admite un tamaño límite de base de datos de 10 GB. Aunque
probablemente este tamaño de base de datos es suficiente para WSUS, su uso no representa
ningún beneficio con respecto a WID. La base de datos WID tiene un requisito mínimo de
memoria de RAM de 2 GB, por encima de los requisitos estándares de un sistema Windows
Server.
Puede instalar el rol de WSUS en un equipo independiente del equipo servidor de base de
datos. En este caso, se aplican los siguientes criterios adicionales:
1. El servidor de base de datos no puede ser un controlador de dominio.
2. El servidor WSUS no puede ejecutar Servicios de Escritorio remoto.
3. El servidor de base de datos debe estar en el mismo dominio de Active Directory
que el servidor WSUS; de lo contrario, debe existir una relación de confianza entre
ellos.
4. El servidor WSUS y el servidor de base de datos deben estar en la misma zona
horaria o deben estar sincronizados en la misma Hora universal coordinada (Hora
del meridiano de Greenwich).
1.2. Elegir el escenario de implementación de WSUS

Esta sección describe las características básicas de todas las implementaciones de WSUS.
Use esta sección para familiarizarse con una implementación simple que implica un
servidor WSUS único; además de escenarios más complejos, como una jerarquía de
servidores WSUS o un servidor WSUS en un segmento aislado de red.
Implementación simple de WSUS
La implementación de WSUS más básica consiste en un servidor dentro de un firewall
corporativo que sirve a equipos cliente en una intranet privada, como se muestra en la
figura 1. El servidor WSUS se conecta con Microsoft Update para descargar
actualizaciones. Esto se conoce como sincronización. En cada sincronización, WSUS
determina si, desde la última realizada, se ha puesto a disposición alguna actualización
nueva. Si es la primera vez que se sincroniza WSUS, todas las actualizaciones están
disponibles para su descarga.
Nota
La sincronización inicial puede tardar más de una hora. Todas las sincronizaciones
siguientes deberán ser mucho más rápidas.
De manera predeterminada, el servidor WSUS usa el puerto 80 para el protocolo HTTP y el
puerto 443 para el protocolo HTTPS, a fin de obtener actualizaciones de Microsoft. Si hay
un firewall corporativo entre su red e Internet, deberá abrir estos puertos en el servidor que
se comunica directamente con Microsoft Update. Si tiene previsto usar puertos
personalizados para esta comunicación, abra esos puertos. Varios servidores WSUS se
pueden sincronizar con un servidor WSUS primario. De forma predeterminada, el servidor
WSUS usa el puerto 8530 para el protocolo HTTP y el puerto 8531 para el protocolo
HTTPS, a fin de proporcionar actualizaciones a estaciones de trabajo cliente.
La siguiente figura muestra un escenario simple de servidor WSUS en el que un
administrador puede establecer un servidor que ejecuta WSUS dentro del firewall
corporativo, para que sincronice contenido directamente con Microsoft Update y distribuya
actualizaciones a los equipos cliente.

Figura 1 Implementación básica de WSUS
Varios servidores WSUS
Los administradores pueden implementar varios servidores que ejecutan WSUS para que
sincronicen todo el contenido dentro de la intranet de la organización. En la figura 2, se
expone un solo servidor en Internet. En esta configuración, este es el único servidor que
descarga actualizaciones de Microsoft Update. Este servidor se configura como el servidor
que precede en la cadena: el origen con el que se sincronizan los servidores que siguen en
la cadena. Cuando es aplicable, los servidores pueden estar geográficamente dispersos en
una red para proporcionar una mejor conectividad a todos los equipos cliente. La siguiente
figura muestra un ejemplo de varios servidores WSUS internos sincronizados.

Figura 2 Varios servidores WSUS
Servidor WSUS desconectado
Si una directiva corporativa u otras condiciones limitan el acceso de los equipos a Internet,
los administradores pueden configurar un servidor interno para que ejecute WSUS. Un
ejemplo es un servidor conectado a la intranet, pero aislado de Internet. Después de
descargar, probar y aprobar las actualizaciones en este servidor, un administrador
exportaría los metadatos y el contenido de las actualizaciones a un DVD, para después
importarlos a servidores que ejecutan WSUS en la intranet.
Figura 3 Importación de actualizaciones con medios externos
Jerarquías de servidores WSUS

Es posible crear jerarquías complejas de servidores WSUS. Dado que los servidores WSUS
se pueden sincronizar entre sí en lugar de hacerlo con Microsoft Update, solo es necesario
un servidor WSUS único que se conecte a Microsoft Update. Cuando piensa en vincular
servidores WSUS, hay uno que precede en la cadena y otro que sigue en la cadena. Una
implementación de jerarquía de servidores WSUS ofrece los siguientes beneficios:
 Puede descargar actualizaciones desde Internet una sola vez y después distribuirlas
a los equipos cliente mediante servidores que siguen en la cadena. Este método
ahorra ancho de banda en la conexión corporativa a Internet.
 Puede descargar actualizaciones en un servidor WSUS que esté físicamente cerca de
los equipos cliente, por ejemplo, en sucursales.
 Puede configurar servidores WSUS independientes para equipos cliente que usan
productos de Microsoft en distintos idiomas.
 Puede escalar WSUS para una organización grande, cuyos equipos cliente superan
la cantidad que un servidor WSUS puede administrar con eficacia.
Nota
Se recomienda no crear una jerarquía de servidores WSUS con una profundidad mayor que
tres niveles. Cada nivel requiere tiempo para propagar actualizaciones a todos los
servidores conectados. Si bien no hay un límite teórico de jerarquía, Microsoft Corporation
solo ha probado implementaciones con una jerarquía de cinco niveles de profundidad.
Puede conectar servidores WSUS en modo autónomo (para una administración distribuida)
o en modo de réplica (para una administración centralizada). No es necesario implementar
una jerarquía de servidores en un solo modo: puede implementar una solución WSUS que
use servidores WSUS en ambos modos, autónomo y de réplica.
Modoautónomo
El modo autónomo, también denominado administración distribuida, es la opción de
instalación predeterminada para WSUS. En este modo, un servidor WSUS que precede en
la cadena comparte actualizaciones con los servidores que siguen en la cadena, durante la
sincronización. Los servidores WSUS que siguen en la cadena se administran de forma
independiente y no reciben el estado de aprobación de una actualización ni información del
grupo de equipos del servidor que precede en la cadena. Al usar el modelo de
administración distribuida, el administrador de cada servidor WSUS selecciona idiomas de
actualización, crea grupos de equipos, asigna equipos a grupos, prueba y aprueba
actualizaciones y se asegura de que las actualizaciones correctas se instalen en los grupos
de equipos adecuados. La siguiente imagen muestra cómo se podrían implementar
servidores WSUS autónomos en un entorno de sucursal:

Figura 4 Servidores autónomos
Modode réplica
El modo de réplica, también denominado administración centralizada, funciona con un
servidor WSUS que precede en la cadena y que comparte actualizaciones, estados de
aprobación y grupos de equipos con los servidores que siguen en la cadena. Los servidores
de réplica heredan las aprobaciones de actualización y no pueden administrarse al margen
del servidor WSUS que los precede . La siguiente imagen muestra cómo se podrían
implementar servidores WSUS de réplica en un entorno de sucursal:

Figura 5 Servidores de réplica
Nota
Si configura varios servidores de réplica para que se conecten con un servidor WSUS único
que los precede, no programe la sincronización para que se ejecute al mismo tiempo en
todos los servidores de réplica. Este procedimiento evitará un repentino aumento del uso
del ancho de banda.
Sucursales
Puede aprovechar la característica de sucursal de Windows para optimizar la
implementación de WSUS. Este tipo de implementación ofrece las siguientes ventajas:

1. Ayuda a reducir el uso del vínculo WAN y mejora la capacidad de respuesta de la
aplicación. Para habilitar la aceleración BranchCache del contenido proporcionado
por un servidor WSUS, instale la característica BranchCache en el servidor y en los
equipos cliente, y asegúrese de que el servicio BranchCache se haya iniciado. No es
necesario realizar otros pasos.
2. La característica de sucursal también se puede usar en sucursales que tengan
conexiones de ancho de banda reducido con la oficina central, pero conexiones de
ancho de banda alto con Internet. En este caso, quizás desee configurar servidores
WSUS que siguen en la cadena para que obtengan información sobre las
actualizaciones que se deben instalar desde el servidor WSUS central, pero que las
descarguen desde Microsoft Update.
Equilibrio de carga de red
El equilibrio de carga de red (NLB) aumenta la confiabilidad y el rendimiento de la red
WSUS. Puede configurar varios servidores WSUS para que compartan un solo clúster de
conmutación por error que ejecuta SQL Server 2008 R2 SP1. En esta configuración, debe
usar una instalación completa de SQL Server, no la instalación de Windows Internal
Database que se proporciona con WSUS, y el rol de base de datos debe instalarse en todos
los servidores WSUS front-end. Además puede hacer que todos los servidores WSUS usen
un sistema de archivos distribuido (DFS) para almacenar su contenido.

Figura 6 Clúster de conmutación por error
Programa de instalación de WSUS para NLB: en comparación con el programa de
instalación de WSUS 3.2 para NLB, ya no son necesarios ni parámetros ni una llamada de
configuración especial para configurar WSUS para NLB. Solo es necesario instalarse los
servidores WSUS con las consideraciones siguientes.
 WSUS debe instalarse con la opción de base de datos SQL en lugar de WID.
 Si almacena las actualizaciones de forma local, debe compartirse la misma carpeta
de contenido entre los servidores WSUS que comparten la misma base de datos
SQL.
 La instalación de WSUS debe realizarse en serie. Las tareas posteriores a la
instalación no se pueden ejecutar en varios servidores al mismo tiempo cuando se
comparte la misma base de datos SQL.
Implementación de WSUS con equipos cliente móviles
Si la red incluye usuarios móviles que inician sesión desde distintas ubicaciones, puede
configurar WSUS para permitir que estos usuarios actualicen sus equipos cliente desde el
servidor WSUS que tengan geográficamente más cerca. La figura 7 muestra un servidor
WSUS implementado en cada región y cada región es una subred DNS. Todos los equipos
cliente se dirigen al mismo servidor WSUS, que se resuelve en cada subred como el
servidor WSUS físico más cercano.
Figura 7 Servidores en regiones
1.3. Elegir la estrategia de almacenamiento de WSUS
Windows Server Update Services (WSUS) usa dos tipos de sistemas de almacenamiento:
una base de datos para almacenar la configuración de WSUS y los metadatos de
actualizaciones, y un sistema de archivos local opcional para almacenar archivos de
actualización. Antes de instalar WSUS, debe decidir la manera en que implementará el
almacenamiento.

Las actualizaciones se componen de dos partes: los metadatos que describen la
actualización y los archivos necesarios para instalarla. Los metadatos de una actualización
normalmente son mucho más pequeños que la actualización en sí y se almacenan en la base
de datos de WSUS. Los archivos de una actualización se almacenan en un servidor WSUS
local o en un servidor web de Microsoft Update.
Base de datos de WSUS
WSUS requiere una base de datos para cada servidor WSUS. WSUS admite el uso de una
base de datos que resida en otro equipo que no sea el servidor WSUS, con algunas
restricciones. Para obtener una lista de las bases de datos admitidas y las limitaciones de
bases de datos remotas, consulte la sección 1.1. Revisar consideraciones iniciales y
requisitos del sistema de este documento.
La base de datos WSUS almacena la siguiente información:
 Información de configuración de servidores WSUS
 Metadatos que describen cada actualización
 Información sobre equipos cliente, actualizaciones e interacciones
Si instala varios servidores WSUS, debe tener una base de datos independiente para cada
uno de ellos, sean autónomos o de réplica. No puede almacenar varias bases de datos de
WSUS en una instancia única de SQL Server, salvo en clústeres de equilibrio de carga de
red que usan la conmutación por error de SQL Server.
SQL Server, SQL Server Express y Windows Internal Database proporcionan las mismas
características de rendimiento para una configuración de servidor único, donde la base de
datos y el servicio de WSUS se ubican en el mismo equipo. Una configuración de servidor
único puede admitir miles de equipos cliente de WSUS.
Precaución
No intente administrar WSUS accediendo directamente a la base de datos. La manipulación
directa de la base de datos puede dañarla. Los daños podrían no detectarse de inmediato,
pero pueden impedir actualizaciones a las siguientes versiones del producto. Para
administrar WSUS, puede usar la consola de WSUS o las interfaces de programación de
aplicaciones (API) de WSUS.
WSUS conWindows InternalDatabase
De manera predeterminada, el asistente para instalación crea y usa Windows Internal
Database con el nombre SUSDB.mdf. Esta base de datos se ubica en la carpeta
%windir%widdata, donde %windir% es la unidad local en la que se instala el software
del servidor WSUS.

Advertencia
Windows Internal Database (WID) se incluye con Windows Server 2012 y las versiones
posteriores del sistema operativo Windows Server.
WSUS admite la autenticación de Windows solo para la base de datos. No se puede usar la
autenticación de SQL Server con WSUS. Si usa Windows Internal Database para la base de
datos de WSUS, el programa de instalación de WSUS crea una instancia de SQL Server
con el nombre serverMicrosoft##WID, donde server es el nombre del equipo. Con
cualquiera de las opciones de base de datos, el programa de instalación de WSUS crea una
base de datos con el nombre SUSDB. El nombre de esta base de datos no es configurable.
Se recomienda que use Windows Internal Database en los siguientes casos:
 La organización aún no ha adquirido y no necesita un producto de SQL Server para
ninguna otra aplicación.
 La organización no necesita una solución NLB WSUS.
 Se intenta implementar varios servidores WSUS (por ejemplo, en sucursales). En
este caso, debe considerar usar Windows Internal Database en servidores
secundarios, aun si va a usar SQL Server para el servidor WSUS raíz. Dado que
cada servidor WSUS requiere una instancia independiente de SQL Server, pronto
experimentará problemas de rendimiento de la base de datos si una sola instancia de
SQL Server administra varios servidores WSUS.
Windows Internal Database no proporciona una interfaz de usuario ni herramientas de
administración de bases de datos. Si selecciona esta base de datos para WSUS, debe usar
herramientas externas para administrarla. Para obtener más información, véase:
 Copias de seguridad y restauraciones de datos de WSUS y copias de seguridad de su
servidor
 Reindización de la base de datos de WSUS
WSUS conSQLServer
Se recomienda que use SQL Server con WSUS en los siguientes casos:
1. Necesita una solución NLB WSUS.
2. Ya tiene por lo menos una instancia de SQL Server instalada.
3. No puede ejecutar el servicio de SQL Server con una cuenta local no del sistema ni
usando la autenticación de SQL Server. WSUS admite la autenticación de Windows
únicamente.
Almacenamiento de actualizaciones de WSUS
Cuando se sincronizan las actualizaciones con su servidor WSUS, los archivos de
actualización y los metadatos se almacenan en dos ubicaciones independientes. Los

metadatos se almacenan en la base de datos de WSUS. Los archivos de actualización se
pueden almacenar en el servidor WSUS o en servidores de Microsoft Update, en función de
cómo haya configurado las opciones de sincronización. Si decide almacenar los archivos de
actualización en el servidor WSUS, los equipos cliente descargarán actualizaciones
aprobadas desde el servidor WSUS local. En caso contrario, los equipos cliente descargarán
actualizaciones aprobadas directamente desde Microsoft Update. La opción que mejor se
adapte a su organización dependerá del ancho de banda de red para conectarse a Internet,
del ancho de banda de red de la intranet y de la disponibilidad de almacenamiento local.
Puede seleccionar otra solución de almacenamiento de actualizaciones para cada servidor
WSUS que implemente.
AlmacenamientoenservidorWSUS local
El almacenamiento local de archivos de actualización es la opción predeterminada cuando
instala y configura WSUS. Esta opción puede ahorrar ancho de banda en la conexión
corporativa a Internet, porque los equipos cliente descargan actualizaciones directamente
desde el servidor WSUS local.
Esta opción requiere que el servidor tenga suficiente espacio en disco para almacenar todas
las actualizaciones necesarias. Como mínimo, WSUS requiere 20 GB para almacenar
actualizaciones de forma local; sin embargo, se recomienda tener 30 GB en función de
variables probadas.
Almacenamientoremotoen servidores deMicrosoftUpdate
Puede almacenar actualizaciones de forma remota en servidores de Microsoft Update. Esta
opción es útil si la mayoría de los equipos cliente se conecta al servidor WSUS con una
conexión WAN lenta, pero se conectan a Internet con una conexión de ancho de banda alto.
En este caso, el servidor WSUS raíz se sincroniza con Microsoft Update y recibe los
metadatos de las actualizaciones. Una vez que se aprueben las actualizaciones, los equipos
cliente las descargarán desde servidores de Microsoft Update.
La figura 8 muestra una configuración de WSUS donde las actualizaciones se almacenan en
Microsoft Update. En este caso, las sucursales recuperan actualizaciones aprobadas
directamente desde servidores de Microsoft Update. Esto ahorra espacio en disco y ancho
de banda de red en la organización. Esta opción de almacenamiento puede ofrecer
descargas más rápidas para equipos cliente geográficamente distribuidos.

Figura 8 Configuración de WSUS
1.4. Elegir idiomas de actualización de WSUS
Cuando implementa una jerarquía de servidores WSUS, debe determinar los idiomas de
actualización que se usan en toda la organización. Debe configurar el servidor WSUS raíz
para que descargue actualizaciones en todos los idiomas utilizados en la organización.
Por ejemplo, la oficina principal necesita actualizaciones en francés e inglés, pero una
sucursal las necesita en inglés, francés y alemán, y otra sucursal las necesita en inglés y
español. En esta situación, se configuraría el servidor WSUS raíz para que descargue
actualizaciones en inglés, francés, alemán y español. Después se configuraría el servidor
WSUS de la primera sucursal para que descargue solo actualizaciones en inglés, francés y
alemán, y se configuraría la segunda sucursal para que descargue solo actualizaciones en
inglés y español.
La página Elegir idiomas del Asistente para la configuración de WSUS permite obtener
actualizaciones en todos los idiomas o en un subconjunto de idiomas. Si selecciona un
subconjunto de idiomas, ahorra espacio en disco; no obstante, es importante elegir todos los

idiomas que se necesitan para todos los servidores que siguen en la cadena y los equipos
cliente de un servidor WSUS.
A continuación encontrará notas importantes sobre el idioma de actualización que debe
tener en cuenta, antes de configurar esta opción:
 Siempre incluya inglés además de cualquier otro idioma necesario en la
organización. Todas las actualizaciones se basan en paquetes de idioma para inglés.
 Los servidores que siguen en la cadena y los equipos cliente no recibirán todas las
actualizaciones adecuadas, si no se han seleccionado todos los idiomas necesarios
para el servidor que precede en la cadena. Asegúrese de seleccionar todos los
idiomas que necesitan todos los equipos cliente asociados con los servidores que
siguen en la cadena.
 Por lo general, se deben descargar actualizaciones en todos los idiomas en el
servidor WSUS raíz que se sincroniza con Microsoft Update. Esta selección
garantiza que todos los servidores que siguen en la cadena y los equipos cliente
recibirán las actualizaciones en los idiomas adecuados.
Si almacena actualizaciones de forma local y ha configurado un servidor WSUS para que
descargue una cantidad limitada de idiomas, podrá notar actualizaciones en idiomas
distintos a los que especificó. Muchos archivos de actualización son grupos de varios
idiomas, que incluyen al menos uno de los idiomas especificados en el servidor.
Servidores que preceden en la cadena
Importante
Configure los servidores que preceden en la cadena para que sincronicen las actualizaciones
en todos los idiomas que requieren los servidores de réplica que siguen en la cadena. No se
le notificarán las actualizaciones necesarias en los idiomas no sincronizados.
Las actualizaciones se mostrarán como No aplicables en los equipos cliente que requieran
el idioma. Para evitar esto, asegúrese de que se incluyen todos los idiomas de sistemas
operativos en las opciones de sincronización del servidor WSUS. Puede ver todos los
idiomas del sistema operativo en la vista Equipos de la consola de administración de
WSUS y ordenar los equipos por idioma del sistema operativo. Sin embargo, puede que
quiera incluir más idiomas si hay aplicaciones de Microsoft en más de un idioma (por
ejemplo, si se instala la versión en francés de Microsoft Word en algunos equipos que usan
la versión en inglés de Windows Server® 2008 R2).
La elección de idiomas de un servidor que precede en la cadena no es lo mismo que elegir
idiomas para un servidor que sigue en la cadena. En los procedimientos siguientes se
explican las diferencias.
Elección de idiomas de actualización para un servidor de sincronización de
Microsoft Update

1. En el Asistente para configuración de WSUS:
o Para obtener actualizaciones en todos los idiomas, haga clic en Descargar
actualizaciones en todos los idiomas, incluyendo los más recientes.
o Para obtener actualizaciones solo de idiomas concretos, haga clic en
Descargar actualizaciones solamente en estos idiomas, y luego seleccione
los idiomas para los que quiere actualizaciones.
Elección de idiomas de actualización para un servidor que sigue en la cadena
1.
1. Si el servidor que precede en la cadena se configuró para descargar archivos
de actualización de un subconjunto de idiomas: en el Asistente para
configuración de WSUS, haga clic en Descargar actualizaciones
solamente en estos idiomas (el servidor que precede en la cadena solo
admite los idiomas marcados con un asterisco) y luego seleccione los
idiomas para los que quiere actualizaciones.
Nota
Debe hacer esto aunque quiera que el servidor que sigue en la cadena
descargue los mismos idiomas que el servidor que precede en la cadena.
2. Si el servidor que precede en la cadena se configuró para descargar archivos
de actualización de todos los idiomas: en el Asistente para configuración de
WSUS, haga clic en Descargar actualizaciones en todos los idiomas que
admite el servidor que precede en la cadena.
Nota
Debe hacer esto aunque quiera que el servidor que sigue en la cadena
descargue los mismos idiomas que el servidor que precede en la cadena.
Esta configuración hace que el servidor que precede en la cadena descargue
actualizaciones en todos los idiomas, incluidos los idiomas que no se
configuraron originalmente para el servidor que precede en la cadena. Si
agrega idiomas al servidor que precede en la cadena, debe copiar las nuevas
actualizaciones en sus servidores de réplica.
Si se cambian las opciones de idioma solo en el servidor que precede en la
cadena, se puede provocar una falta de coincidencia entre el número de
actualizaciones aprobadas en el servidor central y el número de
actualizaciones aprobadas en los servidores de réplica.
1.5. Planear grupos de equipos WSUS

WSUS le permite dirigir actualizaciones a grupos de equipos cliente para asegurarse de que
determinados equipos reciban siempre las actualizaciones correspondientes en los
momentos más oportunos. Por ejemplo, si todos los equipos de un departamento (como el
equipo de Contabilidad) tienen una configuración específica, puede configurar un grupo
para ese equipo, decidir las actualizaciones que se instalarán y después usar informes de
WSUS para evaluar las actualizaciones correspondientes al equipo.
Importante
Si un servidor WSUS se ejecuta en el modo de réplica, no se pueden crear grupos en ese
servidor. Todos los grupos de equipos necesarios para equipos cliente del servidor de
réplicas deben crearse en el servidor WSUS que se encuentra en la raíz de la jerarquía de
servidores WSUS. Para más información sobre el modo de réplica, vea Administrar
servidores de réplica WSUS en el manual de operaciones de WSUS 3.0 SP2.
Los equipos siempre se asignan al grupo Todos los equipos y permanecen en el grupo
Equipos sin asignar hasta que los asigne a otro grupo. Los equipos pueden pertenecer a
más de un grupo.
Los grupos de equipos pueden configurarse en jerarquías (por ejemplo, el grupo Nómina y
el grupo Cuentas por pagar debajo del grupo Contabilidad). Las actualizaciones aprobadas
para un grupo superior se implementarán automáticamente en los grupos inferiores. En este
ejemplo, si aprueba Update1 para el grupo Contabilidad, la actualización se implementará
en todos los equipos de este grupo, en todos los equipos del grupo Nómina y en todos los
equipos del grupo Cuentas por pagar.
Dado que los equipos pueden asignarse a varios grupos, es posible que una actualización se
apruebe más de una vez para el mismo equipo. No obstante, la actualización se
implementará una sola vez y cualquier conflicto se resolverá en el servidor WSUS. Para
continuar con el ejemplo anterior, si el EquipoA se asigna al grupo Nómina y al grupo
Cuentas por pagar y Update1 se aprueba para ambos grupos, esta se implementará una sola
vez.
Puede asignar equipos a grupos de equipos por medio de dos métodos: asignación del lado
servidor o asignación del lado cliente. A continuación se encuentran las definiciones de
cada método:
 Asignación del lado servidor: se asigna de forma manual uno o más equipos cliente
a varios grupos simultáneamente.
 Asignación del lado cliente: se usa la directiva de grupo o se modifica la
configuración del Registro en los equipos cliente para habilitar esos equipos de
manera que se agreguen automáticamente a los grupos de equipos creados
anteriormente.

Resolución de conflictos
El servidor aplica las siguientes reglas para resolver conflictos y determinar la acción
correspondiente en los clientes:
1. Prioridad
2. Prioridad de la instalación y desinstalación
3. Prioridad de las fechas de entrega
Prioridad
Las acciones asociadas al grupo de mayor prioridad reemplazan las acciones de otros
grupos. Cuanto mayor sea la profundidad de un grupo dentro de la jerarquía de grupos,
mayor será su prioridad. La prioridad solo se asigna en función de la profundidad; todas las
ramas tienen la misma prioridad. Por ejemplo, un grupo dos niveles por debajo de la rama
Equipos de escritorio tiene una prioridad más alta que un grupo un nivel por debajo de la
rama Servidor.
En el siguiente ejemplo de texto del panel de jerarquías de la consola de Update Services,
para un servidor WSUS denominado WSUS-01, se han agregado grupos de equipos
denominados Equipos de escritorio y Servidor al grupo predeterminado Todos los equipos.
Tanto el grupo Equipos de escritorio como el grupo Servidor tienen el mismo nivel
jerárquico.
 Update Services
o WSUS-01
 Actualizaciones
 Equipos
 Todos los equipos
 Equipos sin asignar
 Equipos de escritorio
 Desktops-L1
 Desktops-L2
 Servidores
 Servers-L1
 Servidores que siguen en la cadena
 Sincronizaciones
 Informes
 Opciones
En este ejemplo, el grupo que está dos niveles por debajo de la rama Equipos de escritorios
(Desktops L2) tiene mayor prioridad que el grupo que está un nivel por debajo de la rama
Servidor (Servers L1). Por lo tanto, para un equipo que pertenezca tanto al grupo Desktops-
L2 como al grupo Servers-L1, todas las acciones del grupo Desktops-L2 tendrán prioridad
sobre las acciones especificadas para el grupo Servers-L1.

Prioridaddela instalacióny desinstalación
Instalar acciones reemplaza a desinstalar acciones. Las instalaciones obligatorias
reemplazan a las instalaciones opcionales (estas últimas están disponibles solo a través de
la API y cambiar la aprobación para una actualización con la Consola de administración de
WSUS borrará todas las aprobaciones opcionales).
Prioridaddelas fechas deentrega
Las acciones que tienen una fecha límite reemplazan a las que no la tienen. Las acciones
con fechas límite anteriores reemplazan a las que tienen fechas límite posteriores.
1.6. Planear consideraciones sobre el rendimiento de
WSUS
Antes de implementar WSUS, debe planear con cuidado algunas áreas para obtener un
mejor rendimiento. Las áreas clave son:
 Configuración de red
 Descarga diferida
 Filtros
 Instalación
 Implementaciones de actualizaciones grandes
 Servicio de transferencia inteligente en segundo plano
Configuración de red
Para optimizar el rendimiento en redes de WSUS, considere estas sugerencias:
1. Configure redes de WSUS en una topología de concentrador y radio, en lugar de
una topología jerárquica.
2. Use el orden de máscara de red DNS para equipos cliente móviles y configure estos
equipos para que obtengan actualizaciones del servidor WSUS local.
Descarga diferida
Puede aprobar actualizaciones y descargar los metadatos antes de descargar los archivos de
actualización. Este método se denomina descarga diferida. Al diferir descargas, una
actualización se descarga solo después de haber sido aprobada. Se recomienda diferir
descargas porque de esta manera se optimiza el ancho de banda de red y el espacio en
disco.

Figura 9 Descarga diferida
En una jerarquía de servidores WSUS, WSUS establece automáticamente la configuración
de descarga diferida del servidor WSUS raíz en todos los servidores que siguen en la
cadena. Esta configuración predeterminada se puede modificar. Por ejemplo, puede
configurar un servidor que precede en la cadena para que realice sincronizaciones
completas e inmediatas, y después configurar un servidor que sigue en la cadena para que
difiera las descargas.
Si implementa una jerarquía de servidores WSUS conectados, se recomienda que no anide
servidores con profundidad. Si habilita las descargas diferidas y un servidor que sigue en la
cadena solicita una actualización no aprobada en el servidor que precede, esta solicitud
fuerza una descarga en el servidor que precede. El servidor que sigue en la cadena después
descarga la actualización en una sincronización posterior. En una jerarquía profunda de
servidores WSUS, se pueden producir demoras porque las actualizaciones se solicitan, se
descargan y después se pasan a través de la jerarquía. De manera predeterminada, las
descargas diferidas se habilitan cuando las actualizaciones se guardan de forma local.
Puede cambiar esta opción manualmente.
Filtros
WSUS le permite filtrar sincronizaciones de actualizaciones por idioma, producto y
clasificación. En una jerarquía de servidores WSUS, WSUS establece automáticamente las
opciones de filtrado seleccionadas en el servidor WSUS raíz en todos los servidores que
siguen en la cadena. Puede volver a configurar los servidores de descarga para que reciban
un subconjunto de idiomas únicamente.
De manera predeterminada, los productos que se van actualizar son Windows y Office, y
las clasificaciones predeterminadas son actualizaciones críticas, de seguridad y de
definiciones. Para conservar el ancho de banda y el espacio en disco, se recomienda limitar
los idiomas a aquellos que realmente usa.
Instalación
Las actualizaciones normalmente consisten en nuevas versiones de archivos que ya existen
en un equipo que se está actualizando. En un nivel binario, estos archivos existentes
podrían no diferir demasiado de las versiones actualizadas. La característica de archivos de
instalación rápida identifica el número exacto de bytes entre versiones, crea y distribuye

actualizaciones solo para esas diferencias y después combina el archivo existente con los
bytes actualizados.
A veces esta característica se denomina entrega de diferencia porque descarga únicamente
la diferencia (delta) entre dos versiones de un archivo. Los archivos de instalación rápida
son más grandes que las actualizaciones que se distribuyen a equipos cliente, porque un
archivo de instalación rápida contiene todas las versiones posibles de cada archivo que se
va a actualizar.
Puede usar archivos de instalación rápida para limitar el ancho de banda que se consume en
la red local, ya que WSUS transmite solo el delta aplicable a una versión determinada de un
componente actualizado. Sin embargo, esto requiere ancho de banda adicional entre el
servidor WSUS, los servidores WSUS que preceden en la cadena y Microsoft Update,
además de espacio adicional en el disco local. De manera predeterminada, WSUS no usa
archivos de instalación rápida.
La figura 10 muestra una actualización que primero se distribuye mediante archivos de
instalación rápida y después se distribuye sin estos archivos. En este ejemplo, el uso de
archivos de instalación rápida da lugar a un tamaño de descarga inicial que es tres veces
mayor que el tamaño de la actualización en sí. No obstante, esto se pondera con la cantidad
reducida de ancho de banda que se requiere para actualizar equipos cliente en la red
corporativa. Cuando se deshabilita la característica de archivos de instalación rápida, la
descarga inicial es más pequeña, pero el tamaño total de la descarga después deberá
distribuirse a cada equipo cliente de la red corporativa.
Figura 10 Archivos de instalación rápida
Nota
Los tamaños de archivo en esta imagen solo se dan a modo ilustrativo. Cada actualización y
tamaño de archivo de instalación rápida varían. El tamaño de cada actualización que se
distribuye a equipos cliente depende del estado del equipo que se está actualizando.

No todas las actualizaciones son óptimas para su distribución con archivos de instalación
rápida. Si selecciona esta opción, obtendrá archivos de instalación rápida para todas las
actualizaciones. Si no almacena las actualizaciones de forma local, el agente de Windows
Update decidirá si se deben descargar los archivos de instalación rápida o las distribuciones
de actualización completas.
Implementaciones de actualizaciones grandes
Cuando implementa actualizaciones grandes (como Service Packs), puede evitar que se
sature la red de la siguiente manera:
1. Use el límite del Servicio de transferencia inteligente en segundo plano (BITS). Las
limitaciones de ancho de banda de BITS se pueden controlar por hora del día, pero
se aplican a todas las aplicaciones que usan BITS. Para obtener información sobre
cómo controlar la limitación de BITS, consulte Directivas de grupo
2. Use el límite de Internet Information Services (IIS) para limitar uno o más servicios
web.
3. Use grupos de equipos para controlar el lanzamiento. Un equipo cliente se identifica
a sí mismo como miembro de un determinado grupo de equipos, cuando envía
información al servidor WSUS. El servidor WSUS usa esta información para
determinar las actualizaciones que deben implementarse en ese equipo. Puede
configurar varios grupos de equipos y aprobar secuencialmente grandes descargas
de Service Packs para un subconjunto de estos grupos.
Servicio de transferencia inteligente en segundo plano
WSUS usa el protocolo Servicio de transferencia inteligente en segundo plano (BITS) para
todas sus tareas de transferencia de archivos. Esto incluye descargas a equipos cliente y
sincronizaciones de servidores. BITS habilita programas para que descarguen archivos
usando ancho de banda de reserva. BITS mantiene las transferencias de archivos cuando se
producen desconexiones de red y se reinicia el equipo. Para más información, consulte:
Servicio de transferencia inteligente en segundo plano.
1.7. Planear la configuración de actualizaciones
automáticas
Puede especificar una fecha límite para aprobar actualizaciones en el servidor WSUS. La
fecha límite hace que los equipos cliente instalen la actualización en un momento
específico, pero hay situaciones que varían según si la fecha límite expiró, si hay otras
actualizaciones en la cola para instalarse en el equipo y si la actualización (u otra
actualización en la cola) requiere el reinicio.
De manera predeterminada, el servicio Actualizaciones automáticas sondea el servidor
WSUS para detectar actualizaciones aprobadas, cada 22 horas, con un desplazamiento

aleatorio. Si hay nuevas actualizaciones que necesitan instalarse, estas se descargan. El
tiempo transcurrido entre cada ciclo de detección se puede manipular entre 1 y 22 horas.
Puede manipular las opciones de notificación de la siguiente manera:
1. Si Actualizaciones automáticas se configura para que notifique al usuario cuando
haya actualizaciones listas para instalarse, la notificación se envía al registro del
sistema y al área de notificación del equipo cliente.
2. Cuando un usuario con credenciales apropiadas hace clic en el icono del área de
notificación, Actualizaciones automáticas muestra las actualizaciones disponibles
para instalar. El usuario debe hacer clic en Instalar para que la instalación
comience. Si la actualización requiere el reinicio del equipo para completarse,
aparecerá un mensaje. Si se solicita el reinicio, el servicio Actualizaciones
automáticas no podrá detectar otras actualizaciones hasta que el equipo no se
reinicie.
Si este servicio se configura para instalar actualizaciones con una programación
establecida, las actualizaciones aplicables se descargarán y marcarán como listas para
instalar. Actualizaciones automáticas notifica a los usuarios que tienen credenciales
apropiadas mediante el icono del área de notificación y un evento se registra en el registro
del sistema.
En el día y hora programados, Actualizaciones automáticas instala la actualización y
reinicia el equipo (si es necesario), aun cuando ningún administrador local haya iniciado
sesión. Si un administrador local inicia sesión y el equipo debe reiniciarse, Actualizaciones
automáticas muestra una advertencia y una cuenta regresiva para el reinicio. De lo
contrario, la instalación se produce en segundo plano.
Si el equipo debe reiniciarse y cualquier usuario inició sesión, se muestra un cuadro de
diálogo de cuenta regresiva similar que advierte al usuario sobre el reinicio inminente.
Puede manipular el reinicio del equipo con la directiva de grupo.
Una vez descargadas las actualizaciones nuevas, Actualizaciones automáticas sondea la
lista de paquetes aprobados en el servidor WSUS para confirmar que los paquetes que
descargó aún son válidos y están aprobados. Esto significa que si un administrador de
WSUS elimina actualizaciones de la lista de actualizaciones aprobadas mientras
Actualizaciones automáticas está realizando una descarga, solo se instalarán las
actualizaciones que aún estén aprobadas.

Paso 2: instalar el rol de servidor de WSUS
El siguiente paso en la implementación del servidor WSUS es instalar el rol de servidor de
WSUS. En el siguiente procedimiento, se describen los pasos para instalar el rol de servidor
de WSUS mediante el Administrador del servidor.
Importante
Este procedimiento solo abarca la instalación de WSUS con Windows Internal Database
(WID). El procedimiento para instalar WSUS con Microsoft SQL Server aparece en este
artículo.
Para instalar el rol de servidor de WSUS
1. Inicie sesión en el servidor donde tiene previsto instalar el rol de servidor de WSUS,
con una cuenta que sea miembro del grupo local Administradores.
2. En el Administrador del servidor, haz clic en Administrar y después haz clic en
Agregar roles y características.
3. En la página Antes de comenzar, haga clic en Siguiente.
4. En el campo Comando, especifique el fichero que quiera ejecutar, por ejemplo,
%comspec% o C:WindowsSystem32cmd.exe .
5. En la página Seleccionar servidor de destino, elija la ubicación del servidor (en un
grupo de servidores o en un disco duro virtual). Una vez que selecciones la
ubicación, elige el servidor en el que quieres instalar el rol de servidor de WSUS y
después haz clic en Siguiente.
6. En la página Seleccionar roles de servidor, haga clic en Windows Server Update
Services. Se abre Agregar características requeridas para Windows Server
Update Services. Haz clic en Agregar características requeridas y, a
continuación, haz clic en Siguiente.
7. En la página Seleccionar características. Deja la configuración predeterminada y
haz clic en Siguiente.
Importante
WSUS solo requiere la configuración predeterminada del rol de servidor web. Si se
le solicita una configuración adicional para el rol de servidor web mientras
configura WSUS, acepte con seguridad los valores predeterminados y continúe la
instalación de WSUS.
8. En la página Windows Server Update Services, haga clic en Siguiente.
9. En la página Seleccionar servicios de rol, deje la configuración predeterminada y
haga clic en Siguiente.

Sugerencia
Tienes que seleccionar un tipo de base de datos. Si las opciones de base de datos
están desactivadas (no seleccionadas), se producirá un error en las tareas posteriores
a la instalación.
10. En la página Selección de ubicación de contenido, escribe una ubicación válida
para almacenar las actualizaciones. Por ejemplo, puedes crear una carpeta llamada
WSUS_database en la raíz de la unidad K específicamente para este propósito y
escribir k:WSUS_database como una ubicación válida.
11. Click La propiedad SIDHistory lo hace posible. Revisa la información y, a
continuación, haz clic en Siguiente. En Seleccionar servicios de rol para instalar
para el servidor Web (IIS), conserva los valores predeterminados y, a
continuación, haz clic en Siguiente.
12. En la página Confirmar selecciones de instalación, revise las opciones
seleccionadas y haga clic en Instalar. Se ejecuta el Asistente para la instalación de
WSUS. Esto puede llevar varios minutos.
13. Una vez finalizada la instalación de WSUS, en la ventana resumen de la página de
Progreso de la instalación, haz clic en Tareas de inicio posterior a la instalación.
El texto cambia y muestra: Espera mientras se configura el servidor. Cuando
haya terminado la tarea, el texto cambia a: La configuración se completó
correctamente. Haga clic en Cerrar.
14. En Administrador del servidor, compruebe si aparece una notificación que le
informa que es necesario reiniciar el servidor. Esta puede variar según el rol de
servidor instalado. Si se requiere el reinicio, asegúrese de reiniciar el servidor para
que finalice la instalación.
Importante
En este punto finaliza el proceso de instalación; no obstante, para que funcione WSUS
tienes que continuar con Paso 3: configurar WSUS.

Paso 3: configurarWSUS
Después de instalar el rol de servidor de WSUS en su servidor, debe configurarlo de forma
apropiada. La siguiente lista de comprobación describe los pasos de la configuración inicial
de su servidor WSUS.
Tarea Descripción
3.1. Configurar conexiones de red
Configure la red en clúster con el Asistente para
configuración de red.
3.2. Configurar WSUS con el
Asistente para la configuración de
WSUS
Utilizar el Asistente para configuración de WSUS a fin
de realizar la configuración básica de WSUS.
3.3. Configurar grupos de equipos
Cree grupos de equipos en la consola de
administración de WSUS para administrar las
actualizaciones de su organización.
3.4. Configurar actualizaciones de
cliente
Especifique cómo y cuándo se aplican las
actualizaciones automáticas en los equipos cliente.
3.5. Proteger WSUS con el
protocolo de Capa de sockets
seguros
Configure el protocolo de Capa de sockets seguros
(SSL) para ayudar a proteger Windows Server Update
Services (WSUS).
3.1. Configurar conexiones de red
Antes de iniciar el proceso de configuración, asegúrese de saber responder las siguientes
preguntas:
1. ¿El firewall del servidor está configurado para permitir el acceso de clientes?
2. ¿Puede este equipo conectarse al servidor que precede en la cadena (como el
servidor designado para descargar actualizaciones de Microsoft Update)?
3. ¿Tiene el nombre del servidor proxy y las credenciales de usuario para este servidor,
si los necesita?
De manera predeterminada, WSUS se configura para usar Microsoft Update como
ubicación donde obtener actualizaciones. Si tiene un servidor proxy en la red, puede
configurar WSUS para que lo use. Si hay un firewall corporativo entre WSUS e Internet,
quizás deba configurar el firewall para asegurarse de que WSUS obtenga actualizaciones.
Sugerencia

Si bien se requiere conectividad a Internet para descargar actualizaciones de Microsoft
Update, WSUS ofrece la posibilidad de importar actualizaciones en redes no conectadas a
Internet.
Si tiene las respuestas de estas preguntas, puede comenzar a configurar los siguientes
parámetros de red de WSUS:
 Actualizaciones Especifique de qué manera este servidor obtendrá actualizaciones
(desde Microsoft Update o desde otro servidor WSUS).
 Servidor proxy En caso de que WSUS necesite un servidor proxy para tener acceso
a Internet, configure los parámetros correspondientes en el servidor WSUS.
 Firewall En caso de que WSUS esté protegido por un firewall corporativo, deberá
seguir pasos adicionales en el dispositivo perimetral para permitir el tráfico de
WSUS de forma apropiada.
3.1.1. Conexión desde el servidor WSUS a Internet
Si hay un firewall corporativo entre WSUS e Internet, quizás deba configurar el firewall
para asegurarse de que WSUS obtenga actualizaciones. Para obtener actualizaciones de
Microsoft Update, el servidor WSUS usa el puerto 443 para el protocolo HTTPS. Si bien la
mayoría de los firewalls corporativos permiten este tipo de tráfico, algunas compañías
restringen el acceso de servidores a Internet por sus políticas de seguridad. Si su compañía
restringe el acceso, deberá obtener autorización para permitir el acceso de WSUS a
Internet, a las siguientes direcciones URL:
 http://windowsupdate.microsoft.com
 http://*.windowsupdate.microsoft.com
 https://*.windowsupdate.microsoft.com
 http://*.update.microsoft.com
 https://*.update.microsoft.com
 http://*.windowsupdate.com
 http://download.windowsupdate.com
 http://download.microsoft.com
 http://*.download.windowsupdate.com
 http://wustat.windows.com
 http://ntservicepack.microsoft.com
 http://go.microsoft.com
Importante
Para ver un escenario en el que WSUS no puede obtener actualizaciones debido a la
configuración de firewall, consulte el artículo 885819 de Microsoft Knowledge Base.
En la siguiente sección se describe cómo configurar un firewall corporativo entre WSUS e
Internet. Dado que WSUS inicia todo el tráfico de red, no es necesario que configure
Firewall de Windows en el servidor WSUS. Si bien la conexión entre Microsoft Update y

WSUS requiere que los puertos 80 y 443 estén abiertos, se pueden configurar varios
servidores WSUS para que se sincronicen con un puerto personalizado.
3.1.2. Conexión entre servidores WSUS
Los servidores WSUS que preceden y siguen en la cadena se sincronizarán en el puerto que
configure el administrador de WSUS. De forma predeterminada, estos puertos se
configuran así:
 En WSUS 3.2 y versiones anteriores, el puerto 80 para HTTP y el 443 para HTTPS.
 En WSUS 6.2 y versiones posteriores (como mínimo Windows Server 2012), el
puerto 8530 para HTTP y el 8531 para HTTPS.
El firewall del servidor WSUS debe configurarse para permitir tráfico entrante en estos
puertos.
3.1.3. Conexión entre clientes (Agente de Windows Update) y servidores
WSUS
Los puertos e interfaces de escucha se configuran en los sitios de IIS para WSUS y en las
configuraciones de directivas de grupo que se usan para configurar los equipos cliente. Los
puertos predeterminados son los mismos que los que se especifican en la sección anterior,
Conexión entre servidores WSUS, y el firewall del servidor WSUS también debe
configurarse para permitir el tráfico entrante en esos puertos.
Configuración del servidor proxy
Si la red corporativa usa servidores proxy, estos deben admitir protocolos HTTP y SSL y
utilizar la autenticación básica o autenticación de Windows. Estos requisitos pueden
cumplirse mediante una de las siguientes configuraciones:
1. Un servidor proxy único que admita dos canales de protocolos. En este caso,
establezca que un canal use HTTP y el otro HTTPS.
Nota
Puede configurar un servidor proxy que controle los dos protocolos de WSUS
durante la instalación del software del servidor WSUS.
2. Dos servidores proxy, cada uno de los cuales admite un único protocolo. En este
caso, un servidor proxy se configura para que use HTTP y el otro para HTTPS.
Para configurar dos servidores proxy, cada uno de los cuales controlará un protocolo para
WSUS, aplique el procedimiento siguiente:

Configuración de WSUS para usar dos servidores proxy
1. Inicie sesión en el equipo que actuará como servidor WSUS con una cuenta que sea
miembro del grupo de administradores locales.
2. Instalación del rol de servidor WSUS Durante el Asistente para configuración de
WSUS (que se explica en la sección siguiente), no especifique un servidor proxy.
3. Abra un símbolo del sistema (Cmd.exe) como administrador. Para abrir un símbolo
del sistema como administrador, vaya a Inicio. En Iniciar búsqueda, escriba
Símbolo del sistema. En la parte superior del menú Inicio, haga clic con el botón
derecho en Símbolo del sistema y luego haga clic en Ejecutar como
administrador. Si aparece el cuadro de diálogo Control de cuentas de usuario,
escriba las credenciales adecuadas (si se solicitan), confirme que la acción que se
muestra es la esperada y, a continuación, haga clic en Continuar.
4. En la ventana del símbolo del sistema, vaya a la carpeta C:Archivos de
programaUpdate ServicesTools. Escriba el siguiente comando:
wsusutil ConfigureSSLProxy [< proxy_server proxy_port>] –enable, donde:
1. proxy_server es el nombre del servidor proxy que admite HTTPS.
2. proxy_port es el número del puerto del servidor proxy.
5. Cierre la ventana del símbolo del sistema.
Para agregar el servidor proxy que usa el protocolo HTTP para la configuración de WSUS,
siga el procedimiento que se muestra a continuación:
Adición de un servidor proxy que usa el protocolo HTTP
1. Abra la consola de administración de WSUS.
2. En el panel izquierdo, expanda el nombre del servidor y haga clic en Opciones.
3. En el panel Opciones, haga clic en Actualizar origen y servidor y luego haga clic
en la pestaña Servidor proxy.
4. Use las siguientes opciones para modificar la configuración del servidor proxy
existente:
Cambiooadicióndeunservidorproxy a la configuracióndeWSUS
1. Seleccione la casilla Usar un servidor proxy al sincronizarse.
2. En el cuadro de texto Nombre del servidor proxy, escriba el nombre del
servidor proxy.
3. En el cuadro de texto Número del puerto del proxy, escriba el número del
puerto del servidor proxy. El número de puerto predeterminado es 80.
4. Si el servidor proxy requiere el uso de una cuenta de usuario concreta,
seleccione la casilla Usar credenciales de usuario para conectarse al
servidor proxy. Escriba el nombre de usuario, el dominio y la contraseña
necesarios en los cuadros de texto correspondientes.

5. Si el servidor proxy admite la autenticación básica, active la casilla Permitir
la autenticación básica (la contraseña se envía en texto no cifrado).
6. Haga clic en Aceptar.
Eliminacióndeunservidorproxydela configuracióndeWSUS
7. Para quitar un servidor proxy de la configuración de WSUS, desactive la
casilla Usar un servidor proxy al sincronizarse.
3.2. Configurar WSUS con el Asistente para la
configuración de WSUS
En este procedimiento, se supone que está usando el Asistente para la configuración de
WSUS, que aparece la primera vez que inicia la Consola de administración de WSUS. Más
adelante en este tema, obtendrá información acerca de cómo configurar estos parámetros
mediante la página Opciones:
Para configurar WSUS
1. En el panel de navegación del Administrador del servidor, haga clic en Panel, en
Herramientas y, a continuación, en Windows Server Update Services.
Nota
Si aparece el cuadro de diálogo Completar instalación de WSUS, haga clic en
Ejecutar. Cuando la instalación finalice correctamente, en el cuadro de diálogo
Completar instalación de WSUS, haga clic en Cerrar.
2. Se abrirá el Asistente para Windows Server Update Services. En la página Antes de
comenzar, revise la información y haga clic en Siguiente.
3. Lea las instrucciones en la página Unirse al programa de mejora de Microsoft
Update y determine si desea participar. Si quiere participar en el programa.
Conserve la selección predeterminada, o desactive la casilla y haga clic en
Siguiente.
4. En la página Elegir servidor que precede en la cadena, hay dos opciones:
1. Sincronizar las actualizaciones con Microsoft Update.
2. Sincronizar desde otro servidor de Windows Server Update Services.
 Si elige sincronizar con otro servidor WSUS, especifique el nombre
del servidor y el puerto de comunicación entre este servidor y el
servidor que precede en la cadena.
 Para usar SSL, active la casilla Usar SSL al sincronizar la
información de actualización. Los servidores usarán el puerto 443
para la sincronización. (Asegúrese de que este servidor y el servidor
que precede en la cadena sean compatibles con SSL).

 Si este es un servidor de réplicas, active la casilla Esto es una
réplica del servidor que precede en la cadena.
5. Una vez que seleccione las opciones apropiadas para la implementación, haga clic
en Siguiente para continuar.
6. En la página Especificar servidor proxy, active la casilla Usar un servidor proxy
al sincronizar y, a continuación, escriba el nombre del servidor proxy y el número
del puerto (puerto 80, de manera predeterminada) en los cuadros correspondientes.
Importante
Debe completar este paso si observa que WSUS necesita un servidor proxy para
obtener acceso a Internet.
7. Si desea conectarse al servidor proxy con credenciales de usuario específicas, active
la casilla Usar credenciales de usuario para conectarse al servidor proxy y, a
continuación, escriba el nombre de usuario, el dominio y la contraseña del usuario
en los cuadros correspondientes. Si desea habilitar la autenticación básica del
usuario que se conecta al servidor proxy, active la casilla Permitir autenticación
básica (la contraseña se envía en texto no cifrado).
8. Haga clic en Siguiente. En la página Conectar al servidor que precede en la
cadena, haga clic en Iniciar conexión.
9. Cuando se conecte, haga clic en Siguiente para continuar.
10. En la página Elegir idiomas, tiene la opción de seleccionar los idiomas en los que
WSUS recibirá actualizaciones, todos los idiomas o un subconjunto de idiomas. Si
selecciona un subconjunto de idiomas, ahorrará espacio en disco; no obstante, es
importante elegir todos los idiomas que necesitan los clientes de este servidor
WSUS. Si elige obtener actualizaciones solo en idiomas específicos, seleccione
Descargar actualizaciones solo en estos idiomas y, a continuación, seleccione los
idiomas que desea; de lo contrario, deje la selección predeterminada.
Advertencia
Si selecciona Descargar actualizaciones solo en estos idiomas y este servidor
tiene un servidor WSUS que sigue en la cadena, esta opción forzará al servidor que
sigue en la cadena a usar los idiomas seleccionados.
11. Una vez que seleccione las opciones de idioma apropiadas para la implementación,
haga clic en Siguiente para continuar.
12. La página Elegir productos le permite especificar los productos para los que desea
actualizaciones. Seleccione las categorías de productos, como Windows, o
productos específicos, como Windows Server 2008. Si selecciona una categoría de
productos, selecciona todos los productos de esa categoría.
13. Seleccione las opciones de producto apropiadas para la implementación y haga clic
en Siguiente.

14. En la página Elegir clasificaciones, seleccione las clasificaciones de actualización
que desea obtener. Elija todas las clasificaciones o un subconjunto de ellas y haga
clic en Siguiente.
15. En la página Establecer una programación de sincronización se permite
seleccionar si se debe realizar la sincronización de forma manual o automática.
o Si elige Sincronizar manualmente, deberá iniciar el proceso de
sincronización desde la Consola de administración de WSUS.
o Si elige Sincronizar automáticamente, el servidor WSUS sincronizará en
intervalos establecidos.
Establezca la hora de la Primera sincronización y especifique el número de
Sincronizaciones por día que quiere que realice este servidor. Por ejemplo, si
especifica que deberán realizarse cuatro sincronizaciones por día a partir de las
03:00 a.m., las sincronizaciones se producirán a las 03:00 a.m., 09:00 a.m.,
03:00 p.m. y 09:00 p.m.
16. Una vez que seleccione las opciones de sincronización apropiadas para la
implementación, haga clic en Siguiente para continuar.
17. En la página Finalizado, tiene la opción de iniciar la sincronización ahora al activar
la casilla Iniciar sincronización inicial. Si selecciona esta opción, deberá usar la
Consola de administración de WSUS para realizar la sincronización inicial. Haga
clic en Siguiente, si desea leer más información sobre parámetros adicionales de
configuración o haga clic en Finalizar, para concluir el asistente y finalizar la
configuración inicial de WSUS.
18. Después de que haga clic en Finalizar, aparece la Consola de administración de
WSUS.
Ahora que ya ha establecido la configuración básica de WSUS, lea las siguientes secciones
para obtener más detalles sobre cómo cambiar la configuración mediante la Consola de
administración de WSUS.
3.3. Configurar grupos de equipos
Los grupos de equipos son una parte importante de las implementaciones de Windows
Server Update Services (WSUS). Los grupos de equipos le permiten probar y dirigir
actualizaciones a equipos específicos. Hay dos grupos de equipos predeterminados: Todos
los equipos y Equipos sin asignar. De manera predeterminada, cuando cada equipo cliente
se comunica por primera vez con el servidor WSUS, el servidor agrega ese equipo cliente
en ambos grupos.
Puede crear tantos grupos de equipos personalizados como desee para administrar
actualizaciones en la organización. Como procedimiento recomendado, cree al menos un
grupo de equipos para probar actualizaciones antes de implementarlas en otros equipos de
la organización.
Use el siguiente procedimiento para crear un grupo nuevo y asignar un equipo a este grupo:

Para crear un grupo de equipos
1. En la Consola de administración de WSUS, en Update Services, expanda el
servidor de WSUS, después expanda Equipos, haga clic con el botón secundario en
Todos los equipos y luego haga clic en Agregar grupo de equipos.
2. En el cuadro de diálogo Agregar grupo de equipos, en Nombre, especifique el
nombre del nuevo grupo y haga clic en Agregar.
3. Haga clic en Equipos y, a continuación, seleccione los equipos que desee asignar a
este grupo nuevo.
4. Haga clic con el botón secundario en los nombres de los equipos que seleccionó en
el paso anterior y, a continuación, haga clic en Cambiar pertenencia.
5. En el cuadro de diálogo Establecer pertenencia a grupo de equipos, seleccione el
grupo de prueba que creó y, a continuación, haga clic en Aceptar.
3.4. Configurar actualizaciones de cliente
El programa de instalación de WSUS configura ISS de forma automática para que se
distribuya la versión más reciente del servicio Actualizaciones automáticas a cada equipo
cliente que se contacte con el servidor WSUS. La mejor manera de configurar
Actualizaciones automáticas depende del entorno de red.
 En entornos que usan el servicio de directorio de Active Directory, puede usar un
objeto de directiva de grupo (GPO) basado en dominio que ya existe o crear un
GPO nuevo.
 En entornos sin Active Directory, use el Editor de directivas de grupo local para
configurar Actualizaciones automáticas y luego determine que los equipos cliente
señalen al servidor WSUS.
Importante
En los siguientes procedimientos, se supone que su red ejecuta Active Directory. Además
se supone que usted está familiarizado con la directiva de grupo y que la usa para
administrar la red.
Use los siguientes procedimientos para configurar Actualizaciones automáticas para
equipos cliente:
 Configurar Actualizaciones automáticas en la directiva de grupo
 3.3. Configurar grupos de equipos
Realice los primeros dos procedimientos en el GPO basado en dominio que desee y realice
el último procedimiento en un símbolo del sistema del equipo cliente.

Configurar Actualizaciones automáticas en la directiva de grupo
Si ha configurado Active Directory en su red, puede configurar uno o varios equipos
simultáneamente al incluirlos en el objeto de directiva de grupo (GPO) y luego al
configurar ese GPO con la configuración de WSUS. Se recomienda que cree un GPO
nuevo, que contenga solo la configuración de WSUS.
Vincule este GPO de WSUS a un contenedor de Active Directory apropiado para su
entorno. En un entorno simple, podría unir un GPO de WSUS único al dominio. En un
entorno complejo, podría vincular varios GPO de WSUS a varias unidades organizativas
(OU), lo cual permite aplicar parámetros de configuración de directiva de WSUS diferentes
en distintos tipos de equipos.
Para habilitarWSUS enunGPOde dominio
1. En la Consola de administración de directivas de grupo (GPMC), busque el GPO
donde desee configurar WSUS y haga clic en Editar.
2. En GPMC, expanda Configuración del equipo, expanda Directivas, expanda
Plantillas administrativas, expanda Componentes de Windows y, a continuación,
haga clic en Windows Update.
3. En el panel de detalles, haga doble clic en Configurar actualizaciones
automáticas. Se abrirá la directiva Configurar actualizaciones automáticas.
4. Haga clic en Habilitada y, después, seleccione una de las siguientes opciones del
parámetro Configurar actualización automática:
o Notificar descarga y notificar instalación. Esta opción notifica al usuario
administrativo con sesión iniciada sobre las actualizaciones, antes de que se
descarguen e instalen.
o Descargar automáticamente y notificar instalación. Esta opción
comienza automáticamente a descargar actualizaciones y luego notifica al
usuario administrativo con sesión iniciada antes de instalarlas. Esta opción
está seleccionada de forma predeterminada.
o Descargar automáticamente y programar la instalación. Esta opción
comienza automáticamente a descargar actualizaciones y luego las instala el
día y a la hora especificados.
o Permitir que el administrador local elija la opción. Esta opción permite a
los administradores locales usar Actualizaciones automáticas en el Panel de
control para seleccionar una opción de configuración. Por ejemplo, pueden
elegir una hora de instalación programada. Los administradores locales no
pueden deshabilitar Actualizaciones automáticas.
5. Seleccione Habilitar destinatarios del lado cliente, elija Habilitado y luego
escriba el nombre del grupo de equipos WSUS a los que quiere agregar este equipo
en el cuadro Nombre de grupo de destino para este equipo.
Nota
La opción Habilitar destinatarios del lado cliente permite que los equipos cliente se

agreguen ellos mismos a grupos de equipos de destino en el servidor WSUS,
cuando las actualizaciones automáticas se redirigen a un servidor WSUS. Si el
estado se establece en Habilitado, este equipo se identificará como miembro de un
grupo de equipos concreto cuando envíe información al servidor WSUS, que la
usará para determinar las actualizaciones que están implementadas en este equipo.
Este valor indica al servidor WSUS el grupo que usará el equipo cliente. Debe crear
el grupo en el servidor WSUS y agregar equipos miembros del dominio a ese grupo.
6. Haga clic en Aceptar para cerrar la directiva Habilitar destinatarios del lado
cliente y volver al panel de detalles de Windows Update.
7. Haga clic en Aceptar para cerrar la directiva Configurar actualizaciones
automáticas y volver al panel de detalles de Windows Update.
8. En el panel de detalles de Windows Update, haga doble clic en Especificar la
ubicación del servicio Windows Update en la intranet.
9. Haga clic en Habilitado y escriba la misma dirección URL del servidor WSUS en
los cuadros de texto Establecer el servicio de actualización de la intranet para
detectar actualizaciones y Establecer el servidor de estadísticas de la intranet.
Por ejemplo, escriba http://nombreservidor en ambos cuadros (donde
nombreservidor es el nombre del servidor WSUS).
Advertencia
Cuando escriba la dirección de intranet de su servidor WSUS, asegúrese de
especificar el puerto que se va a usar. De manera predeterminada, WSUS usará el
puerto 8530 para HTTP y 8531 para HTTPS. Por ejemplo, si usa HTTP, debe
escribir http://nombreservidor:8530.
Una vez que configure un equipo cliente, pasarán varios minutos antes de que el equipo
aparezca en la página Equipos, en la Consola de administración de WSUS. Con equipos
cliente configurados con un objeto de directiva de grupo basado en dominio, pueden
transcurrir alrededor de 20 minutos para que la directiva de grupo se aplique a la nueva
configuración del equipo cliente. De manera predeterminada, la directiva de grupo se
actualiza en segundo plano cada 90 minutos, con un desplazamiento aleatorio de 0 a 30
minutos. Si quiere actualizar la directiva de grupo antes, puede abrir una ventana del
símbolo del sistema en el equipo cliente y escribir gpupdate /force.
Para equipos cliente configurados con el Editor de directivas de grupo local, el GPO se
aplica inmediatamente y la actualización puede tardar alrededor de 20 minutos. Si
comienza la detección de forma manual, no será necesario que espere 20 minutos para que
el equipo cliente se comunique con WSUS.
Dado que la espera de la detección a veces requiere bastante tiempo, con el siguiente
procedimiento puede iniciar la detección de inmediato.

Para iniciarla deteccióndeWSUS
1. En el equipo cliente, abra una ventana del símbolo del sistema con privilegios
elevados.
2. Escriba wuauclt.exe /detectnow y presione ENTRAR.
3.5. Proteger WSUS con el protocolo de Capa de sockets
seguros
Puede usar el protocolo de Capa de sockets seguros (SSL) para ayudar a proteger la
implementación de WSUS. WSUS utiliza SSL para autenticar en el servidor WSUS los
equipos cliente y los servidores WSUS que siguen en la cadena. WSUS también usa SSL
para cifrar los metadatos de actualización.
Importante
Los clientes y los servidores que siguen en la cadena que están configurados para usar
Seguridad de la capa de transporte (TLS) o HTTPS también deben configurarse para
utilizar un nombre de dominio completo (FQDN) para su servidor WSUS que precede en la
cadena.
WSUS usa SSL solo para los metadatos, no para los archivos de actualización. Se trata de
la misma manera en que Microsoft Update distribuye actualizaciones. Microsoft reduce el
riesgo de enviar archivos de actualización a través de un canal no cifrado mediante la firma
de cada actualización. Además, se calcula un hash y se envía junto con los metadatos de
cada actualización. Cuando se descarga una actualización, WSUS comprueba la firma
digital y el hash. Si la actualización ha cambiado, no se instala.
Limitaciones de las implementaciones SSL de WSUS
Debe tener en cuenta las siguientes limitaciones cuando use SSL para proteger una
implementación de WSUS:
1. El uso de SSL aumenta la carga de trabajo del servidor. Debe esperar una pérdida de
rendimiento del 10 por ciento, debido al costo de cifrar todos los metadatos que se
envían a través de la red.
2. Si usa WSUS con una base de datos de SQL Server remota, la conexión entre el
servidor WSUS y el servidor de la base de datos no está protegida con SSL. Si la
conexión de base de datos debe estar protegida, tenga en cuenta las siguientes
recomendaciones:
 Mueva la base de datos WSUS al servidor WSUS.
 Mueva el servidor de la base de datos remota y el servidor WSUS a una red privada.

 Implemente el protocolo de seguridad de Internet (IPsec) para ayudar a proteger el
tráfico de la red. Para más información sobre IPsec, consulte Creación y uso de
directivas de IPsec.
Configurar SSL en el servidor WSUS
WSUS requiere dos puertos para SSL: un puerto que use HTTPS para enviar metadatos
cifrados y otro que utilice HTTP para enviar las actualizaciones. Al configurar WSUS para
que use SSL, tenga en cuenta lo siguiente:
 No se puede configurar que el sitio web de WSUS completo requiera SSL porque
entonces debería cifrarse todo el tráfico al sitio de WSUS. WSUS solo cifra los
metadatos de actualización. Si un equipo intenta recuperar los archivos de
actualización en el puerto HTTPS, se producirá un error en la transferencia.
Debe requerir SSL solo para las raíces virtuales siguientes:
o SimpleAuthWebService
o DSSAuthWebService
o ServerSyncWebService
o APIRemoting30
o ClientWebService
No debe requerir SSL para las raíces virtuales siguientes:
o Content
o Inventory
o ReportingWebService
o SelfUpdate
 El certificado de la entidad de certificación (CA) debe importarse en el almacén de
CA raíz de confianza del equipo local o el de Windows Server Update Service en
los servidores WSUS que siguen en la cadena. Si el certificado solo se importa al
almacén de la entidad de certificación raíz de confianza del usuario local, el servidor
WSUS que sigue en la cadena no se autenticará en el servidor que precede en la
cadena.
Para más información sobre el uso de los certificados SSL en IIS, consulte Requerir
Capa de Sockets seguros (IIS 7).
 Debe importar el certificado en todos los equipos que se comunicarán con el
servidor WSUS. Se incluyen todos los equipos cliente, servidores que siguen en la
cadena y equipos que ejecutan la consola de administración de WSUS. El
certificado debe importarse en el almacén de CA raíz de confianza del equipo local
o el de Windows Server Update Service.

 Puede usar cualquier puerto para SSL. Sin embargo, el puerto que configure para
SSL también determina el puerto que WSUS usa para enviar el tráfico HTTP sin
cifrar. Considera los ejemplos siguientes:
o Si utiliza el puerto estándar del sector 443 para el tráfico HTTPS, WSUS
usará el puerto estándar del sector 80 para el tráfico HTTP sin cifrar.
o Si utiliza un puerto distinto del 443 para el tráfico HTTPS, WSUS enviará
tráfico HTTP sin cifrar a través del puerto que preceda numéricamente al
puerto para HTTPS. Por ejemplo, si utiliza el puerto 8531 para HTTPS,
WSUS usará el puerto 8530 para HTTP.
 Debe volver a inicializar ClientServicingProxy si se cambia el nombre del servidor,
la configuración de SSL o el número del puerto.
ConfiguracióndeSSLenel servidorraízWSUS
1. Inicie sesión en el servidor WSUS con una cuenta que sea miembro de los grupos
de administradores o administradores locales de WSUS.
2. Vaya a Inicio, escriba CMD, haga clic con el botón secundario en Símbolo del
sistema y después haga clic en Ejecutar como administrador.
3. Navegue hasta la carpeta %ProgramFiles%Update ServicesTools.
4. En la ventana del símbolo del sistema, escriba los comandos siguientes:
Wsusutil configuressl nombreCertificado
Donde:
nombreCertificado es el nombre DNS del servidor WSUS.
Configurar SSL en equipos cliente
Al configurar SSL en los equipos cliente, debe considerar lo siguiente:
 Debe incluir la dirección URL de un puerto seguro en el servidor WSUS. Dado que
no se requiere SSL en el servidor, la única forma de asegurarse de que los equipos
cliente pueden usar un canal de seguridad es mediante una dirección URL que
especifique HTTPS. Si usa un puerto distinto del 443 para SSL, también debe
incluir ese puerto en la dirección URL.
 El certificado en un equipo cliente debe importarse en el almacén de CA raíz de
confianza del equipo local o el del servicio de actualización automática. Si el
certificado se importa solo en el almacén de CA raíz de confianza del usuario local,
las actualizaciones automáticas no superarán la autenticación del servidor.
 Los equipos cliente deben confiar en el certificado que se enlace al servidor WSUS.
Según el tipo de certificado que se use, podría tener que configurar un servicio para
permitir que los equipos cliente confíen en el certificado que está enlazado al
servidor WSUS.
Configurar SSL para servidores WSUS que siguen en la cadena

Las instrucciones siguientes configuran un servidor que sigue en la cadena para que se
sincronice con uno que precede en la cadena y usa SSL.
Sincronizacióndeunservidorquesigueenla cadena a unoque precedeen la cadena y
usa SSL
1. Inicie sesión en el equipo con una cuenta de usuario que sea miembro de los grupos
de administradores o administradores locales de WSUS.
2. Haga clic en Inicio, Todos los programas, Herramientas administrativas y, por
último, en Windows Server Update Service.
3. En el panel derecho, expanda el nombre del servidor.
4. Haga clic en Opciones y después en Actualizar origen y servidor proxy.
5. En la página Actualizar origen, seleccione Sincronizar desde otro servidor de
Windows Server Update Services.
6. Escriba el nombre del servidor que precede en la cadena en el cuadro de texto
Nombre del servidor. Escriba el número del puerto que el servidor usa para las
conexiones SSL en el cuadro de texto Número de puerto.
7. Active la casilla Usar SSL al sincronizar la información de actualización y haga
clic en Aceptar.
Recursos SSL adicionales
Los pasos necesarios para configurar una entidad de certificación, enlazar el certificado al
sitio web de WSUS y establecer una confianza entre los equipos cliente y el certificado
están fuera del ámbito de esta guía. Para más información y para instrucciones sobre cómo
instalar certificados y configurar este entorno, consulte los temas siguientes:
 Guía paso a paso de Suite B de PKI
 Implementación y administración de plantillas de certificado
 Guía de migración y actualización de los Servicios de certificados de Active
Directory
 Configurar la inscripción automática de certificados
3.6. Completar la configuración de IIS
De forma predeterminada, el acceso de lectura anónimo está habilitado en los sitios web de
IIS predeterminados y en todos los nuevos. Algunas aplicaciones, especialmente Windows
SharePoint Services, pueden quitar el acceso anónimo. Si esto ha sucedido, debe volver a
habilitar el acceso de lectura anónimo antes de poder instalar y trabajar con WSUS
correctamente.
Para habilitar el acceso de lectura anónimo, siga los pasos de la versión concreta de IIS:
1. Habilitar la autenticación anónima (IIS 7), como se documenta en la Guía de
operaciones de IIS 7.

2. Habilitación de la autenticación anónima (IIS 6.0), como se documenta en la Guía
de operaciones de IIS 6.0.
3.6. Configurar un certificado de firma
WSUS tiene la capacidad de publicar paquetes de actualización personalizados para
actualizar productos de Microsoft y de otros desarrolladores. WSUS puede firmar
automáticamente estos paquetes de actualización con un certificado Authenticode. Para
habilitar la firma de actualización personalizada, debe instalar un certificado de firma de
paquetes en el servidor WSUS. Hay varias consideraciones que debe tener en cuenta
relacionados con la firma de actualización personalizada.
1. Distribución de certificados. La clave privada debe instalarse en el servidor WSUS
y la clave pública debe instalarse de forma explícita en el almacén de certificados de
confianza en todos los servidores y equipos cliente que recibirán las actualizaciones
de firma personalizada.
2. Expiración. Cuando el certificado autofirmado expire o esté próximo a hacerlo,
WSUS registrará los eventos en el registro de eventos.
3. Actualizaciones y revocación de certificados. Si quería actualizar o revocar un
certificado (por ejemplo, tras detectar que expiró), WSUS no ofrecía ninguna
funcionalidad para habilitar esta opción. Para realizar esto, era necesario realizar
una tarea manual que era muy complicada de hacer a mano o automatizar
correctamente.

Paso 4: aprobar e implementar
actualizaciones de WSUS
Los equipos que pertenecen a un grupo se comunican automáticamente con el servidor
WSUS en las siguientes 24 horas, para obtener actualizaciones. La característica de
informes de WSUS se puede usar para determinar si esas actualizaciones fueron
implementadas en los equipos de prueba. Cuando las pruebas finalizan correctamente, se
pueden aprobar las actualizaciones para los grupos de equipos de la organización que
correspondan. La siguiente lista de comprobación describe los pasos para aprobar e
implementar actualizaciones mediante el uso de la Consola de administración de WSUS.
Tarea Descripción
4.1. Aprobar e implementar
actualizaciones de WSUS
Apruebe e implemente actualizaciones de WSUS mediante el
uso de la Consola de administración de WSUS.
4.2. Configurar reglas de
aprobación automática
Configure WSUS para aprobar automáticamente la instalación
de actualizaciones para grupos seleccionados y el método para
aprobar las revisiones de las actualizaciones existentes.
4.3. Revisar actualizaciones
instaladas con informes de
WSUS
Revise las actualizaciones que se instalaron, los equipos que
recibieron esas actualizaciones y otros detalles mediante el uso
de la característica de informes de WSUS.
4.1. Aprobar e implementar actualizaciones de WSUS
Use el siguiente procedimiento para aprobar e implementar actualizaciones.
Para aprobar e implementar actualizaciones de WSUS
1. En la Consola de administración de WSUS, haga clic en Actualizaciones. En el
panel derecho, se muestra un resumen de estado de actualización para Todas las
actualizaciones, Actualizaciones críticas, Actualizaciones de seguridad y
Actualizaciones de WSUS.
3. En la lista de actualizaciones, seleccione las que desee aprobar para su instalación
en el grupo de equipos de prueba. Podrá encontrar información sobre una
actualización seleccionada, en el panel inferior del panel Actualizaciones. Para
seleccionar varias actualizaciones contiguas, mantenga presionada la tecla MAYÚS,
mientras hace clic en los nombres de las actualizaciones. Para seleccionar varias

actualizaciones no contiguas, mantenga presionada la tecla CTRL, mientras hace
clic en los nombres de las actualizaciones.
4. Haga clic con el botón secundario y, a continuación, haga clic en Aprobar.
6. Click
7. Aparecerá la ventana Progreso de la aprobación, que muestra el progreso de las
tareas relacionadas con la aprobación de actualizaciones. Cuando se haya
completado el proceso de aprobación, haga clic en Cerrar.
4.2. Configurar reglas de aprobación automática
Las aprobaciones automáticas permiten especificar cómo aprobar automáticamente la
instalación de actualizaciones de determinados grupos y como aprobar las revisiones de las
actualizaciones existentes.
Para configurar aprobaciones automáticas
1. En la consola de administración de WSUS, en Update Services, expanda el
servidor WSUS y luego haga clic en Opciones. La propiedad SIDHistory lo hace
posible.
2. En Opciones, haga clic en Aprobaciones automáticas. Se abre el cuadro de
diálogo Aprobaciones automáticas.
3. En Reglas de actualización, haga clic en Nueva regla. La propiedad SIDHistory
lo hace posible.
4. En Agregar regla, en Paso 1: Seleccionar propiedades, seleccione cualquiera de
las siguientes opciones o combinación de opciones:
o Cuando una actualización está en una clasificación específica
o Cuando una actualización está en un producto específico
o L
5. En Paso 2: Modificar las propiedades, haga clic en cada una de las opciones y
luego seleccione las opciones adecuadas para cada una.
6. En Paso 3: Especificar un nombre, escriba un nombre para la regla y luego haga
clic en Aceptar.
7. Click
4.3. Revisar actualizaciones instaladas con informes de
WSUS
24 horas después de aprobar las actualizaciones, puede usar la característica de informes de
WSUS para determinar si las actualizaciones se implementaron en los equipos del grupo de
prueba. Para comprobar el estado de una actualización, use la característica de informes de
WSUS de la siguiente manera.
Para revisar actualizaciones

1. En el panel de navegación de la Consola de administración de WSUS, haga clic en
Informes.
2. En la página Informes, haga clic en el informe Resumen de estado de
actualización. La propiedad SIDHistory lo hace posible.
3. Si desea filtrar la lista de actualizaciones, seleccione los criterios que desea usar; por
ejemplo, Incluir actualizaciones en estas clasificaciones y, a continuación, haga
clic en Ejecutar informe.
4. Verá el panel Informe de actualizaciones. Puede comprobar el estado de
actualizaciones individuales al seleccionar la actualización en la sección izquierda
del panel. La última sección del panel de informes muestra el resumen de estado de
la actualización.
5. Puede guardar o imprimir este informe, al hacer clic en el icono correspondiente de
la barra de herramientas.
6. Una vez que prueba las actualizaciones, puede aprobarlas para su instalación en los
grupos de equipos correspondientes de la organización.

Paso 5: Configurar opciones de directiva
de grupo para actualizaciones automáticas
En un entorno de Active Directory, puede utilizar Directiva de grupo para definir la forma
en que los equipos y usuarios (denominados en este documento los clientes WSUS) pueden
interactuar con las actualizaciones de Windows para obtener las actualizaciones
automáticas de Windows Server Update Services (WSUS).
Este tema contiene dos secciones principales:
Configuración de directiva de grupo para las actualizaciones de cliente WSUSque
proporciona orientación prescriptiva y comportamientos detalles acerca de la configuración
de Windows Update y el programador de mantenimiento de directiva de grupo que
controlan cómo los clientes WSUS pueden interactuar con Windows Update para obtener
actualizaciones automáticas.
Información complementariatiene las siguientes secciones: Para los administradores que no
estén familiarizados con la directiva de grupo, la primera sección proporciona información
general sobre el uso general de directiva de grupo. La segunda sección contiene una tabla
que resume las diferencias entre la instalación manual de estrofas de predeterminado de
WSUS en una versión anterior y actual de WSUS. La tercera sección contiene una lista y
definiciones de la terminología utilizada en esta guía.
 Obtener acceso a la configuración de Windows Update en la directiva de grupoque
proporciona instrucciones generales acerca de cómo utilizar el Editor de
administración de directivas de grupo y obtener información acerca del acceso a las
extensiones de directiva de servicios de actualización y configuración de
programador de mantenimiento de directiva de grupo.
 Cambios realizados en WSUS relevantes para esta guía: para los administradores
familiarizados con WSUS 3.2 y versiones anteriores, esta sección ofrece un breve
resumen de las diferencias clave entre la versión actual y pasada de WSUS
relevantes para esta guía.
 Términos y definiciones: las definiciones para varios términos relacionados con
WSUS y actualización de los servicios que se usan en esta guía.
Configuración de directiva de grupo para las
actualizaciones de cliente WSUS

Esta sección proporciona información sobre tres extensiones de directiva de grupo. En estas
extensiones, encontrará la configuración que puede utilizar para configurar la forma en que
los clientes WSUS pueden interactuar con Windows Update para recibir las actualizaciones
automáticas.
 Configuración del equipo > configuración de la directiva de Windows Update
 Configuración del equipo > configuración de la directiva de programador de
mantenimiento
 Configuración de usuario > configuración de la directiva de Windows Update
Nota
En este tema se supone que ya utilice y está familiarizado con directiva de grupo. Si no está
familiarizado con la directiva de grupo, es recomendable que revise la información de
laInformación complementariasección de este documento antes de intentar configurar la
directiva de WSUS.
Configuración del equipo > configuración de la directiva de Windows
Update
Esta sección proporciona detalles acerca de la configuración de directiva de equipo
siguiente:
 Permitir la instalación inmediata de actualizaciones automáticas
 Permitir que los usuarios reciben notificaciones de actualización
 Permitir actualizaciones firmadas desde una ubicación del servicio Microsoft update
de la intranet
 Frecuencia de detección de actualizaciones automática
 Configurar actualizaciones automáticas
 Retrasar el reinicio para las instalaciones programadas
 No ajustar la opción predeterminada en "Instalar actualizaciones y apagar" en el
cuadro de diálogo de salir de Windows
 No mostrar la opción "Instalar actualizaciones y apagar" en el cuadro de diálogo de
salir de Windows
 Habilitar destinatarios del lado cliente
 Habilitar administración de energía de Windows Update reactivar automáticamente
el equipo para instalar las actualizaciones programadas
 Instalaciones de actualizaciones no reiniciar automáticamente con usuarios que
iniciaron sesión para automáticas programadas
 Volver a preguntar para reiniciar con instalaciones programadas
 Volver a programar la instalación programada de actualizaciones automáticas
 Especifique la ubicación del servicio Microsoft update de la intranet
 Activar actualizaciones recomendadas mediante actualizaciones automáticas
 Activar las notificaciones de Software

Como config un server wsus

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Como config un server wsus

Similar a Como config un server wsus (20)

Último

Último (20)

Como config un server wsus