hol-win58. ► introducción ► novedades ► arquitectura ► instalación ► contenidos y...
TRANSCRIPT
Windows Server 2008 R2Windows Server Update
Services (WSUS)
Ignacio Sánchez-Beato [email protected]
HOL-WIN58
Agenda
►Introducción►Novedades►Arquitectura►Instalación►Contenidos y productos►Administración►Seguridad►Configuración de clientes►Migraciones¿?
Introducción
►¿Qué es WSUS?Una solución funcional: Un rol de servidor que automatiza
el proceso de gestión de parches y actualizaciones todo lo posible
Gestiona parches de ‘todos’ los productos de MicrosoftIncluye funcionalidades nuevas demandadas desde WSUS 2.0Mejora y facilita las tareas del administrador
Componente clave: de otros productos actuales y futuros sobre gestión de parches y actualizaciones de Microsoft
Aprovechado por otras herramientas (SMS, MOM, SCOM, MSBA…)Expone un conjunto de API para facilitar la personalización y extensibilidadEscalabilidad de sistemas
Introducción
► Piezas de la solución Windows Server Update Services Automatic Updates client agent Microsoft Update Group Policy Objects y Active Directory
► Piezas del servidor IIS 6.0 BITS MMC 3.0 Microsoft SQL Server
WMSDE/MSDE .NET Framework 2.0 Scripting vía WMI y Powershell
Servidor WSUS
El Administrador se suscribe a las categorías de actualizaciones
< Back Finish Cancel
Windows Update ServicesWindows Update Services
El servidor descarga las actualizaciones desde Microsoft Update
Los clientes se registran en el servidorEl agente instala los parches aprobados por el administradorEl Administrador pone a los clientes en diferentes target groupsEl Administrador aprueba las actualizaciones
< Back Finish Cancel
Windows Update ServicesWindows Update Services
Microsoft Update
Clientes Windows XPTarget Group 1 Clientes Windows
ServerTarget Group 2
Administrador
Cómo Funciona
Novedades y mejoras en WSUS 3.0 SP2
►Integración con Windows Server 2008 R2►Soporte para clientes Windows 7►Soporte para la característica de Branch Cache de Windows
Server 2008 R2►Mejoras en el cliente WUA (Windows Update Agent)
Tiempo de escaneo del cliente más rápidoBusqueda de actualizaciones de otros programas en los
servidores WSUS (como Windows Defender)Mejora visual de la consola de actualizaciones para una
mejor gestión por parte del usuarioResolución de errores antiguos
Novedades y mejoras en WSUS 3.0 SP2
►Reglas de autoaprobación con deadlines específicos para todos los equipos o conjuntos específicos de equipos
►Mejora del manejo de los lenguajes con avisos cuando sólo seleccionamos un idioma
►Nuevos informes de actualizaciones y del estado de los equipos permiten un mejor filtrado.
Arquitectura del Servidor
► Interfaz de administración Web.► Motor de sincronización para descargar las
actualizaciones de Microsoft Update.► Base de datos SQL que mantiene el resto de los datos
que no son actualizaciones.► Permite una estructura de servidores jerárquica► Usa BITS (Background Intelligent Transfer Service)
para un uso eficiente del ancho de banda► Escalable
Arquitectura del Servidor (cont.)
Server API
File Store(NTFS)
Metadata StoreMSDE/SQL
Client/ServerWeb service
Server/ServerWeb serviceReporting
Web service Admin UI Contentsync
Catalogsync
Clientes
Servidores WSUS/MUEstación del Administrador
Arquitectura del cliente
►El agente (Win32 Service) implementa la mayor parte de la funcionalidad
►Extensibilidad basada en manejadores de tipo Update ►Manejadores para MSI, update.exe, drivers etc. ►Se auto-actualiza automáticamente a nuevas versiones
ofrecidas por el servidor.►Controlable via GPO►Seguro
Arquitectura del cliente
WUo WSUS IE (WU Site) Scripts
a medida
API Cliente WU
Automaticupdates
Updatemanager
Updatehandlers
Almacén de contenido Metadata DB
WU Cliente
BITS
¿Que Base de datos voy a usar?
►SQL: Instalación local de WMSDE / MSDE. SQL Server ya existente (local o remoto).
►El principal factor es la infraestructura existente.WMSDE/MSDE valdrá en la mayoría de los casos.Utilizar SQL solamente si ya está instalado y tiene capacidad
de aguantar más carga
►No modificar nunca directamente los datos en SQL.
►Usar WSUSUtil.exe para backup
Jerarquías y Réplicas
►Autónomo = padre/hijo Solo los elementos comunes suponen ancho de banda El almacén del padre es el común múltiplo de todos las aprobaciones de los hijos.
►Replica = Configuración espejo.Solamente la pertenencia a grupos es única.
►Puede repartir parcialmente las tareas de administración.►Útil para distribuir la sobrecarga de red.►Se configura durante la instalación y no puede cambiarse luego.
El despliegue puede consistir en múltiples capas de servidores WSUS
Servidor único
Microsoft Update
Firewall WSUS Server
Policy Configuration Script
WSUS Clients
Servidores de réplica
Microsoft Update
Firewall WSUS Server
Policy
Servers
Policy
Client Computers
Replica WSUS Servers
Delegaciones
Corporate WSUS Servers
Firewall Branch Office WSUS Server
Site Policy Configuration Script
Branch Office WSUS Clients
Redes desconectadas
Desktop Clients
Microsoft Update
WSUS Server
WSUS Server
Requisitos de instalación
►Sistemas operativos soportadosWindows Server 2008 R2Windows Server 2008 SP1 o versiones superiores
No se puede actualizar de 2008 a 2008 R2 si está instalado WSUSo Actualizar Windows Internal Database
Windows Server 2003 SP1 o versiones superioresWindows Small Business Server 2008Windows Small Business Server 2003
►AplicacionesIIS 6.0 o versiones superiores
ASP.NET, Windows Authentication, Dynamic conten compression, IIS6 Managament compatibility
Requisitos de instalación
►AplicacionesBases de datos
SQL Server 2008 Express, Standard o Enterprise EditionSQL Server 2005 SP2 Windows Internal Database (si no existen servidores SQL)
.NET Framework 2.0 o versiones superioresMMC 3.0Report Viewer Distributable 2008
DEMO
Instalación del Rol WSUS
Contenidos y productos
Administración de WSUS
Seguridad
►Activar la autenticación para servidores WSUS conectados en Active Directory
Crear una lista de Servidores WSUS secundarios permitidos para comunar con el servidor principal
Deshabilitar en IIS el acceso anonimo►Securizar con SSL las comunicaciones
Incrementa la carga del servidor un 10%Solo encripta los metadatosNo cifra la conexión con una base de datos en otro servidorCrear un certificado de servidor con una CA
Seguridad
►Securizar con SSL las comunicaciones wsusutil configuressl <NombreDelCertificado>Usar sólo SSL con los siguientes directorios virtuales
SimpleAuthWebServiceDSSAuthWebServiceServerSyncWebServiceAPIRemoting30ClientWebService
Instalar el certificado en los cliente para poder confiar en los servidores WSUS de la organización
Configuración de clientes
►Configuración de clientes en dominio: mediante GPO Opciones bajo la ruta: Configuración de equipo\Plantillas administrativas\Componentes de Windows\Windows Update
Configurar actualizaciones automáticasEspecificar la ubicación del servicio de Windows UpdateNo reiniciar automáticamente si hay una sesión iniciadaMuchas mas…
►Configuración de clientes que no están en dominoMediante la política local: gpedit.mscUsando el registro de windows
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
TechNews
Suscripción gratuita en [email protected]
►Informática 64http://www.informatica64.com
+34 91 146 20 00
►Ignacio Sánchez-Beato [email protected]
Contactos