WSUS qué es

Qué es y para que sirve WSUS

Compartir

Acompáñanos a lo largo de este breve artículo y descubre qué es y para qué sirve WSUS y por qué podría ayudarte a mantener tu infraestructura más segura de manera simple y rápida.

Windows Server Update Services (WSUS) o el Servidor de Actualizaciones de Windows Server es un pequeño servicio que podemos desplegar dentro de nuestra infraestructura para conseguir una gestión de actualizaciones diversas (no solo de sistema operativo, sino también de aplicaciones y servicios) y sobre todo de parches de seguridad que permitirán mantenernos a salvo de los chicos malos; o al menos un poco más seguros.

Este servicio nos permite, suponiendo que seamos administradores de sistemas, gestionar de manera centralizada la distribución de distintos tipos de software a través de actualizaciones automáticas dentro de nuestra red corporativa.

Windows Server Update Services es básicamente una “digi-evolución” de Software Update Services (SUS), una aplicación que permitía únicamente parchear el sistema operativo, o, mejor dicho, actualizar el parcheo del mismo.

Una de las ventajas que proporciona WSUS, más allá de la gestión centralizada de parches y actualizaciones, es que permite descargar las actualizaciones a un solo servidor que hará las veces de colector y desde el que se redistribuirán las actualizaciones, permitiendo de esta manera ahorrar una cantidad bastante grande de ancho de banda, al menos respecto a la opción en la que cada servidor descarga los paquetes que necesite. Además, no solo hablamos de volumen de descargas, sino que también hablamos de volumen de espacio en disco, ya que, de esta manera solo deberá descargarse una vez y ser almacenada en un repositorio central al que accederán los servidores para coger los datos e instalarlos en local.

 

Imagen. Consola central de administración del servicio
Imagen. Consola central de administración de WSUS

 

¿Qué es WSUS?

Tal como hemos dicho, WSUS (Windows Server Update Services) es un servidor que permite a los administradores de sistemas implementar actualizaciones de distintos productos de Microsoft dentro de su infraestructura de manera centralizada.

Los administradores de sistemas pueden usar WSUS para gestionar la distribución de actualizaciones publicadas mediante Microsoft Update de extremo a extremo.

 

Arquitectura de WSUS:

WSUS es un servicio que permite trabajar de múltiples formas; podemos trabajar desde una estructura sencilla en la que simplemente tenemos un servidor de WSUS, hasta más complejas con múltiples arquitecturas de servidores WSUS.

Las opciones disponibles son:

  • Arquitectura básica de WSUS para la actualización de equipos.
  • Arquitectura con múltiples servidores de WSUS para la actualización de equipos.
  • Arquitectura con servidores de WSUS desconectados para la actualización de equipos.
  • Arquitectura con servidores de WSUS integrados en otra solución.

Primero tenemos la arquitectura básica de WSUS para la actualización de equipos, en la que podríamos decir que se trata como una cadena simple. El servidor de WSUS se encuentra en el eslabón central, y conecta a través de internet contra los Servicios de Actualización de Microsoft, seleccionando las actualizaciones y parches a instalar para después pasarlos a los clientes, que pueden ser o bien servidores o PC de sobremesa.

Imagen. Arquitectura básica de WSUS para la actualización de equipos
Imagen. Arquitectura básica de WSUS para la actualización de equipos

Con una configuración más o menos similar, pero con cierta redundancia o, mejor dicho, separación de la tarea entre distintos hosts, tenemos la arquitectura con múltiples servidores de WSUS para la actualización de equipos, en la que no es exactamente una cadena simple porque tenemos distintas secciones, pero que sigue el mismo fundamento. Cada uno de los servidores de WSUS se encuentra en un punto central (al mismo nivel que otros servidores WSUS), y conecta a través de internet contra los Servicios de Actualización de Microsoft, seleccionando las actualizaciones y parches a instalar para después pasarlos a los clientes que quedan bajo su paraguas, sean estos servidores o PC de sobremesa.

Imagen. Arquitectura con múltiples servidores de WSUS para la actualización de equipos
Imagen. Arquitectura con múltiples servidores de WSUS para la actualización de equipos

La tercera forma básica de trabajo es un poco más elaborada: la arquitectura con servidores de WSUS desconectados para la actualización de equipos. En esta tenemos dos líneas de trabajo distintas. La primera línea funciona básicamente como las dos anteriores, pero estableciendo un corte en medio para aislar los equipos y servidores de internet.

El servidor de WSUS conecta a través de internet contra los Servicios de Actualización de Microsoft, seleccionando las actualizaciones y parches a instalar para después pasarlos a un repositorio central.

Este repositorio central es accedido por otro servidor de WSUS que lo usa como fuente de datos y desde allí pasa las actualizaciones a los clientes de este servicio, que como siempre pueden ser o bien servidores o PC de sobremesa.

Imagen. Arquitectura con servidores de WSUS desconectados para la actualización de equipos
Imagen. Arquitectura con servidores de WSUS desconectados para la actualización de equipos

La cuarta forma de utilizar WSUS es la de la arquitectura con servidores de WSUS integrados en otra solución, como por ejemplo Microsoft System Center Configuration Manager (SCCM). Esta se parece bastante a la anterior, y la vamos a representar de manera muy simplificada ya que System Center no es el propósito de este artículo.

En esta configuración tenemos nuevamente dos líneas de trabajo distintas. La primera línea funciona básicamente como las dos anteriores, pero estableciendo un corte en medio para aislar los equipos y servidores de internet.

El servidor de WSUS conecta a través de internet contra los Servicios de Actualización de Microsoft, seleccionando las actualizaciones y parches a instalar para después pasarlos a un repositorio central.

Este repositorio central es accedido por el segundo servicio, por ejemplo, Microsoft SCCM, que lo usa como repositorio de actualizaciones de software y desde allí distribuye las actualizaciones a los clientes según necesidad y configuración.

Imagen. Arquitectura con servidores de WSUS integrados en otra solución
Imagen. Arquitectura con servidores de WSUS integrados en otra solución

 

Requerimientos y necesidades de WSUS:

WSUS es un servicio relativamente sencillo de desplegar y mantener, entre otras cosas porque tiene unos requerimientos de hardware muy sencillitos y porque usa puertos de uso común, al menos para la descarga de software.

Vayamos primero con los requisitos de sistema en los que se puede implementar, que básicamente son Windows Server 2012 o superior:

  • Windows Server 2012.
  • Windows Server 2012 R2.
  • Windows Server 2016.
  • Windows Server 2019.
  • Windows Server 2022.

Los requisitos de hardware del servidor para habilitar el rol de WSUS están enlazados a los requisitos del hardware. Los requisitos mínimos de hardware para WSUS son:

  • Procesador: x64 de 1,4GHz, aunque se recomienda de 2Ghz.
  • Memoria: 2GB de RAM adicionales a las recomendaciones del servidor.
  • Espacio en disco: 40GB adicionales.
  • Red: 100Mbps o superior.

Los requisitos de software:

  • Si se necesita mostrar informes se necesitará Microsoft Report Viewer Redistributable 2008, y según la configuración del servidor puede ser necesario Microsoft Report Viewer Runtime 2012.
  • Microsoft .NET Framework 4.0.
  • La cuenta NT Authority o de servicio de red deben tener permisos de control total en la ruta “%windir%\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET Files”.

El servidor descarga las actualizaciones mediante los siguientes puertos:

  • Puerto 80 para el protocolo HTTP.
  • Puerto 443 para el protocolo HTTPS.

Razón por la que no hay que hacer nada especial para que funcione.

Así mismo, WSUS usa otros puertos para la inyección de las actualizaciones en los equipos clientes, estos son:

  • Puerto 8530 para el protocolo HTTP.
  • Puerto 8531 para el protocolo HTTPS.

 

Políticas de actualización:

Algo que no podíamos dejar de mencionar en un artículo en el que se hable de provisión de software, sea cual sea su propósito, es sobre las políticas de instalación.

Es importante que en toda arquitectura o solución de este tipo se construya una pequeña maqueta (o piloto) que permita testear las actualizaciones antes de llevarlas a producción. El procedimiento correcto, sería tener una serie de equipos sobre los que se pueda hacer pruebas, por ejemplo, estableciendo distintos niveles.

Para empezar, se debería hacer pruebas sobre equipos creados para tal propósito (o sea, equipos de pruebas), para una vez probada la idoneidad y sobre todo que las actualizaciones no tienen efectos nocivos se puedan propagar por el resto de la infraestructura.

Aun así, lo recomendable es establecer distintos grupos de actualización, propagando las actualizaciones poco a poco para así comprobar que no hay problemas que no se hayan detectado anteriormente.

NOTA: El procedimiento de actualización descrito es para casos comunes, en los que no es crítico propagar la actualización a la mayor brevedad posible. En los casos de actualizaciones críticas de seguridad puede ser necesario obviar dicha cautela.

 

Conclusiones:

Tal como hemos visto a lo largo de este artículo, WSUS (Windows Server Update Services) es una solución de gestión de parcheos y actualizaciones que nos permite gestionar todos estos aspectos de actualización de los servidores de manera centralizada con un ahorro considerable de espacio en disco, ancho de banda y sobre todo de tiempo por parte del administrador.

En este artículo has podido leer sus ventajas, pero no te hemos comentado cómo puedes implementarlo de manera sencilla, ya que lo reservamos para un tutorial posterior, así que si quieres saber más estate atento y podrás aprender un poco más sobre este servidor tan útil para los administradores de sistemas, si no puedes esperar a que publiquemos el tutorial puedes consultar la KB de Microsoft.

Esperamos que os haya resultado útil.

¡Gracias por acompañarnos!

Categorías:Cloud y sistemas

Otros posts que te pueden interesar

27 de diciembre de 2024
Como ya sabes, en Jotelulu nos gusta hacer las cosas de otra manera y, de nuevo, mantendremos los precios
13 de noviembre de 2024
¡Tenemos nuevas distros en Servidores! En respuesta a las múltiples solicitudes de varios de nuestros partners, se ha habilitado
13 de noviembre de 2024
¡Ya es posible desplegar plantillas de diferentes softwares desde el asistente de despliegue de servidores! Estrenamos esta funcionalidad del

Rellena el formulario y nuestro equipo de Sales contactará contigo lo antes posible.

growth@jotelulu.com  |  +34 911 333 712  |  jotelulu.com 

Puedes darte de baja de estas comunicaciones en cualquier momento.  Consulta nuestra Política de privacidad.

Precios competitivos para la pyme y mucho más margen para el partner

Disaster Recovery ha sido diseñado, implementado y puesto en producción teniendo en cuenta dos premisas: Debe tener un precio atractivo para la pyme a la vez que deja un buen margen de beneficio a la empresa de IT que lo comercializa y gestiona.

DR_buen_precio_y_mas_margen

De esta manera, Disaster Recovery pretende ser un producto diferencial que permita incrementar la seguridad de todo tipo de empresas de manera asequible e implicando, además, rentabilidad para el distribuidor que lo comercializa.

Protege la infraestructura de tus clientes

Disaster Recovery permite replicar cualquier suscripción de infraestructura (Escritorio Remoto y Servidores) en otra zona de disponibilidad creando un entorno de alta disponibilidad y blindando así el servicio.

Replica en pocos pasos no sólo los discos sino todos los elementos que forman parte de cada suscripción:

  • Servidores: Instancias, discos, reglas de firewall, redes, IPs…
  • Escritorio Remoto: Usuarios, Aplicaciones, Licencias, Personalización…
DR_blinda_la_infraestructura

Tratamos de hacer fácil lo difícil

Las herramientas de Disaster Recovery existentes necesitan de conocimientos avanzados para poder ser gestionadas, implicando, muchas veces, un expertise difícil de alcanzar.

 

Disaster Recovery de Jotelulu busca hacer fácil lo difícil y plantea un despliegue muy sencillo basado en una configuración de tres pasos:

Origin (Primary Site)
Determina la ubicación de origen de la suscripción sobre la que se va a establecer el servicio de Disaster Recovery.

Destino (Recovery Site)
Establece la ubicación de destino (zona de disponibilidad) en la que quieres que se despliegue el Recovery Site.

Características de la réplica
Establece los datos asociados al número de copias que se quieren guardar y la frecuencia con la que se va a llevar a cabo la réplica.