hol-win58. ► introducción ► novedades ► arquitectura ► instalación ► contenidos y...

Windows Server 2008 R2Windows Server Update

Services (WSUS)

Ignacio Sánchez-Beato Paredesisanchezbeato@informatica64.com

HOL-WIN58

Agenda

►Introducción►Novedades►Arquitectura►Instalación►Contenidos y productos►Administración►Seguridad►Configuración de clientes►Migraciones¿?

Introducción

►¿Qué es WSUS?Una solución funcional: Un rol de servidor que automatiza

el proceso de gestión de parches y actualizaciones todo lo posible

Gestiona parches de ‘todos’ los productos de MicrosoftIncluye funcionalidades nuevas demandadas desde WSUS 2.0Mejora y facilita las tareas del administrador

Componente clave: de otros productos actuales y futuros sobre gestión de parches y actualizaciones de Microsoft

Aprovechado por otras herramientas (SMS, MOM, SCOM, MSBA…)Expone un conjunto de API para facilitar la personalización y extensibilidadEscalabilidad de sistemas

Introducción

► Piezas de la solución Windows Server Update Services Automatic Updates client agent Microsoft Update Group Policy Objects y Active Directory

► Piezas del servidor IIS 6.0 BITS MMC 3.0 Microsoft SQL Server

WMSDE/MSDE .NET Framework 2.0 Scripting vía WMI y Powershell

Servidor WSUS

El Administrador se suscribe a las categorías de actualizaciones

< Back Finish Cancel

Windows Update ServicesWindows Update Services

El servidor descarga las actualizaciones desde Microsoft Update

Los clientes se registran en el servidorEl agente instala los parches aprobados por el administradorEl Administrador pone a los clientes en diferentes target groupsEl Administrador aprueba las actualizaciones

< Back Finish Cancel

Windows Update ServicesWindows Update Services

Microsoft Update

Clientes Windows XPTarget Group 1 Clientes Windows

ServerTarget Group 2

Administrador

Cómo Funciona

Novedades y mejoras en WSUS 3.0 SP2

►Integración con Windows Server 2008 R2►Soporte para clientes Windows 7►Soporte para la característica de Branch Cache de Windows

Server 2008 R2►Mejoras en el cliente WUA (Windows Update Agent)

Tiempo de escaneo del cliente más rápidoBusqueda de actualizaciones de otros programas en los

servidores WSUS (como Windows Defender)Mejora visual de la consola de actualizaciones para una

mejor gestión por parte del usuarioResolución de errores antiguos

Novedades y mejoras en WSUS 3.0 SP2

►Reglas de autoaprobación con deadlines específicos para todos los equipos o conjuntos específicos de equipos

►Mejora del manejo de los lenguajes con avisos cuando sólo seleccionamos un idioma

►Nuevos informes de actualizaciones y del estado de los equipos permiten un mejor filtrado.

Arquitectura del Servidor

► Interfaz de administración Web.► Motor de sincronización para descargar las

actualizaciones de Microsoft Update.► Base de datos SQL que mantiene el resto de los datos

que no son actualizaciones.► Permite una estructura de servidores jerárquica► Usa BITS (Background Intelligent Transfer Service)

para un uso eficiente del ancho de banda► Escalable

Arquitectura del Servidor (cont.)

Server API

File Store(NTFS)

Metadata StoreMSDE/SQL

Client/ServerWeb service

Server/ServerWeb serviceReporting

Web service Admin UI Contentsync

Catalogsync

Clientes

Servidores WSUS/MUEstación del Administrador

Arquitectura del cliente

►El agente (Win32 Service) implementa la mayor parte de la funcionalidad

►Extensibilidad basada en manejadores de tipo Update ►Manejadores para MSI, update.exe, drivers etc. ►Se auto-actualiza automáticamente a nuevas versiones

ofrecidas por el servidor.►Controlable via GPO►Seguro

Arquitectura del cliente

WUo WSUS IE (WU Site) Scripts

a medida

API Cliente WU

Automaticupdates

Updatemanager

Updatehandlers

Almacén de contenido Metadata DB

WU Cliente

BITS

¿Que Base de datos voy a usar?

►SQL: Instalación local de WMSDE / MSDE. SQL Server ya existente (local o remoto).

►El principal factor es la infraestructura existente.WMSDE/MSDE valdrá en la mayoría de los casos.Utilizar SQL solamente si ya está instalado y tiene capacidad

de aguantar más carga

►No modificar nunca directamente los datos en SQL.

►Usar WSUSUtil.exe para backup

Jerarquías y Réplicas

►Autónomo = padre/hijo Solo los elementos comunes suponen ancho de banda El almacén del padre es el común múltiplo de todos las aprobaciones de los hijos.

►Replica = Configuración espejo.Solamente la pertenencia a grupos es única.

►Puede repartir parcialmente las tareas de administración.►Útil para distribuir la sobrecarga de red.►Se configura durante la instalación y no puede cambiarse luego.

El despliegue puede consistir en múltiples capas de servidores WSUS

Servidor único

Microsoft Update

Firewall WSUS Server

Policy Configuration Script

WSUS Clients

Servidores de réplica

Microsoft Update

Firewall WSUS Server

Policy

Servers

Policy

Client Computers

Replica WSUS Servers

Delegaciones

Corporate WSUS Servers

Firewall Branch Office WSUS Server

Site Policy Configuration Script

Branch Office WSUS Clients

Redes desconectadas

Desktop Clients

Microsoft Update

WSUS Server

WSUS Server

Requisitos de instalación

►Sistemas operativos soportadosWindows Server 2008 R2Windows Server 2008 SP1 o versiones superiores

No se puede actualizar de 2008 a 2008 R2 si está instalado WSUSo Actualizar Windows Internal Database

Windows Server 2003 SP1 o versiones superioresWindows Small Business Server 2008Windows Small Business Server 2003

►AplicacionesIIS 6.0 o versiones superiores

ASP.NET, Windows Authentication, Dynamic conten compression, IIS6 Managament compatibility

Requisitos de instalación

►AplicacionesBases de datos

SQL Server 2008 Express, Standard o Enterprise EditionSQL Server 2005 SP2 Windows Internal Database (si no existen servidores SQL)

.NET Framework 2.0 o versiones superioresMMC 3.0Report Viewer Distributable 2008

DEMO

Instalación del Rol WSUS

Contenidos y productos

Administración de WSUS

Seguridad

►Activar la autenticación para servidores WSUS conectados en Active Directory

Crear una lista de Servidores WSUS secundarios permitidos para comunar con el servidor principal

Deshabilitar en IIS el acceso anonimo►Securizar con SSL las comunicaciones

Incrementa la carga del servidor un 10%Solo encripta los metadatosNo cifra la conexión con una base de datos en otro servidorCrear un certificado de servidor con una CA

Seguridad

►Securizar con SSL las comunicaciones wsusutil configuressl <NombreDelCertificado>Usar sólo SSL con los siguientes directorios virtuales

SimpleAuthWebServiceDSSAuthWebServiceServerSyncWebServiceAPIRemoting30ClientWebService

Instalar el certificado en los cliente para poder confiar en los servidores WSUS de la organización

Configuración de clientes

►Configuración de clientes en dominio: mediante GPO Opciones bajo la ruta: Configuración de equipo\Plantillas administrativas\Componentes de Windows\Windows Update

Configurar actualizaciones automáticasEspecificar la ubicación del servicio de Windows UpdateNo reiniciar automáticamente si hay una sesión iniciadaMuchas mas…

►Configuración de clientes que no están en dominoMediante la política local: gpedit.mscUsando el registro de windows

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate

TechNews

Suscripción gratuita en technews@informatica64.com

►Informática 64http://www.informatica64.com

i64@informatica64.com

+34 91 146 20 00

►Ignacio Sánchez-Beato Paredesisanchezbeato@informatica64.com

Contactos