Planeamiento de la implementación para actualizar Windows Virtual Machines en Azure

Aunque haya bloqueado el acceso a su red virtual de Azure desde Internet, puede obtener las actualizaciones de Windows sin poner en peligro la seguridad ni abrir el acceso a Internet en su totalidad. Este artículo contiene recomendaciones sobre cómo configurar una red perimetral, también denominada subred filtrada, para hospedar una instancia de Windows Server Update Service (WSUS), con el fin de actualizar de forma segura redes virtuales sin conectividad a Internet.

Si utiliza Azure Firewall, puede usar la etiqueta FQDN de Windows Update en las reglas de una aplicación para permitir que el tráfico de red saliente necesario atraviese el firewall. Para más información, consulte Información general de las etiquetas FQDN.

Para implementar las recomendaciones de este artículo, debe estar familiarizado con los servicios de Azure. En las secciones siguientes se describe el diseño recomendado para la implementación, que usa una configuración radial con una o varias regiones.

Topología de red radial de Azure Virtual Network

Se recomienda configurar una topología de red de modelo radial mediante la creación de una red perimetral. Hospede el servidor de WSUS en una máquina virtual de Azure que se encuentre en el centro de conectividad entre Internet y las redes virtuales. El centro de conectividad debe tener puertos abiertos. Para obtener las actualizaciones de Microsoft, WSUS utiliza el puerto 80 para el protocolo HTTP y el 443 para el protocolo HTTPS. Los radios son las restantes redes virtuales, que se comunicarán con el centro de conectividad, no con Internet. Esto se logra mediante la creación de una subred, grupos de seguridad de red y un emparejamiento de la red virtual de Azure que permita el paso del tráfico de WSUS, pero que bloquee el resto de tráfico de Internet. En esta imagen se muestra un ejemplo de topología radial:

Descargue un archivo Visio de esta arquitectura.

En esta imagen:

• WSUSSubnet es el centro de la topología radial.
• NSG_DS es una regla de grupo de seguridad de red que permite el tráfico de WSUS mientras se bloquea el resto del tráfico de Internet.
• WSUS VM es la máquina virtual de Azure que está configurada para ejecutar WSUS.
• MainSubnet es una red virtual, un radio, que contiene máquinas virtuales.
• NSG_MS es una directiva de grupo de seguridad de red que permite el tráfico desde una máquina virtual de WSUS, pero deniega el tráfico de Internet.

Puede reutilizar un servidor existente o implementar uno nuevo que actúe como servidor de WSUS. En el caso de la máquina virtual de WSUS, es aconsejable cumplir los siguientes requisitos, como mínimo:

• Sistema operativo: Windows Server 2016 o una versión posterior.
• Procesador: de doble núcleo a 2 GHz, o más rápido.
• Memoria: 2 GB de RAM, además de la que necesiten el servidor y los restantes servicios y software en ejecución.
• Storage: 40 GB, o más.
• Acceso: con Just-in-Time (JIT) puede acceder a esta máquina virtual de forma más segura. Consulte el artículo en el que se explica cómo administrar el acceso mediante Just-In-Time.

La red tendrá más de una red virtual de Azure y pueden estar todas en la misma región o en regiones diferentes. Deberá evaluar todas las máquinas virtuales con Windows Server para ver si alguna se puede usar como servidor de WSUS. Si tiene miles de máquinas virtuales que actualizar, se recomienda dedicar una máquina virtual con Windows Server al rol de WSUS.

Si todas las redes virtuales están en la misma región, se recomienda disponer de un WSUS por cada 18 000 máquinas virtuales. Esta sugerencia se basa en una combinación de los requisitos de máquinas virtuales, el número de máquinas virtuales cliente que se van a actualizar y el costo de la comunicación entre las redes virtuales. Para más información sobre los requisitos de capacidad de WSUS, consulte Planear la implementación de WSUS.

Para determinar el costo de estas configuraciones, utilice la calculadora de precios de Azure. Debe especificar la siguiente información:

• Máquina virtual:
  • Región: La región en que se implementa la red virtual de Azure.
  • Sistema operativo: Windows
  • Nivel: Estándar
  • Instancia: Configuración de D4
  • Discos administrados: HDD estándar de 64 GB
• Red virtual:
  • Escriba
    • En la misma región si la transferencia se realiza en la misma región.
    • Entre regiones si se mueven datos de una región a otra.
  • Transferencia de datos: 2 GB
  • Region
    • Si la transferencia se realiza dentro de una región, elija la región en que se encuentran el servidor de WSUS y las redes virtuales.
    • Si la transferencia implica a varias regiones, la región de la red virtual de origen es donde se encuentra el servidor de WSUS. La región de la red virtual de destino es aquella a la que van los datos.
  • Si tiene varias regiones, tendrá que seleccionar la Red virtual varias veces.

Tenga en cuenta que los precios variarán por región.

Implementación manual

Una vez que haya identificado la red virtual de Azure que va a usar como centro de conectividad, o que haya determinado que necesita crear una instancia de Windows Server, es preciso que cree una regla de grupo de seguridad de red que permita el tráfico de Internet, lo que, a su vez, permitirá que tanto los metadatos de Windows Update como su contenido se sincronicen con el servidor de WSUS que va a crear. Estas son las reglas que es necesario agregar:

• Regla de grupo de seguridad de red de entrada o salida para permitir el tráfico hacia Internet, y desde este, en el puerto 80 (para contenido).
• Regla de grupo de seguridad de red de entrada o salida para permitir el tráfico hacia Internet, y desde este, en el puerto 443 (para metadatos).
• Regla de grupo de seguridad de red de entrada o salida para permitir el tráfico desde las máquinas virtuales cliente en el puerto 8530 (el predeterminado, salvo que se haya configurado otro).

Configuración de WSUS

Se pueden usar dos métodos para configurar un servidor de WSUS:

• Si desea configurar automáticamente un servidor para controlar una carga de trabajo típica con el mínimo de trabajo de administración necesario, puede usar el script de automatización de PowerShell.
• Si necesita controlar miles de clientes en los que se ejecutan muchos sistemas operativos y lenguajes diferentes, o si desea configurar WSUS de alguna forma que el script de PowerShell no pueda controlar, puede configurar WSUS manualmente. Ambos métodos se describirán más adelante en este mismo artículo.

También puede combinar los dos enfoques, es decir, usar primero el script de automatización para que haga la mayor parte del trabajo y, después, la consola de administración de WSUS para ajustar con precisión los valores del servidor.

Configuración de WSUS mediante el script de automatización

El script Configure-WSUSServer le permite configurar rápidamente un servidor WSUS que sincronizará y aprobará automáticamente las actualizaciones de un conjunto seleccionado de productos y lenguajes.

La versión más reciente del script está disponible en GitHub.

Configure el script mediante un archivo JSON. Actualmente puede configurar estas opciones:

• Si las cargas de actualización se deben almacenar localmente (y, en ese caso, dónde deben almacenarse) o dejarse en los servidores de Microsoft.
• Qué productos, clasificaciones de actualizaciones y lenguajes deben estar disponibles en el servidor.
• Si el servidor debe aprobar automáticamente las actualizaciones para su instalación o debe dejarlas sin aprobar hasta que un administrador las apruebe.
• Si el servidor debe recuperar automáticamente nuevas actualizaciones de Microsoft y, en caso afirmativo, con qué frecuencia.
• Si se deben usar paquetes de actualizaciones rápidas (los paquetes de actualizaciones rápidas reducen el ancho de banda necesario entre el servidor y el cliente, a cambio de usar la CPU o el disco del cliente y el ancho de banda entre servidores).
• Si el script debe sobrescribir su configuración previa. (Por lo general, para evitar una reconfiguración involuntaria que pudiera interrumpir el funcionamiento del servidor, el script se ejecutará una sola vez en un servidor determinado).

Copie el script y su archivo de configuración en un almacenamiento local y edítelo para adecuarlo a sus necesidades.

Este script se puede ejecutar de una de estas dos formas:

• Manualmente, desde la máquina virtual de WSUS.

  El siguiente comando, que se ejecuta desde una ventana del símbolo del sistema con privilegios elevados, instalará y configurará WSUS. Usará el script y el archivo de configuración del directorio actual.

  powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json

• Puede usar la extensión del script personalizado para Windows.

  Copie el script y el archivo de configuración JSON en su propio contenedor de almacenamiento.

  En las configuraciones de máquinas virtuales y de Azure Virtual Network habituales, la extensión del script personalizado solo necesita los dos parámetros siguientes para ejecutar el script correctamente (es preciso reemplazar los valores que se muestran por las direcciones URL de las ubicaciones de almacenamiento).

  "fileUris": ["https://mystorage.blob.core.windows.net/mycontainer/Configure-WSUSServer.ps1","https://mystorage.blob.core.windows.net/container/WSUS-Config.json"],
  "commandToExecute": "powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json"
  
  

El script empezará la sincronización inicial necesaria para hacer que las actualizaciones estén disponibles para los equipos cliente. Sin embargo, no esperará a que esa sincronización se complete. En función de los productos, las clasificaciones y los lenguajes que se hayan seleccionado, la sincronización inicial puede tardar varias horas en realizarse. No obstante, las sincronizaciones posteriores deberían tardar menos.

Configuración manual de WSUS

1. En la máquina virtual de WSUS, abra el Administrador del servidor y seleccione Agregar roles y características.

2. Seleccione Siguiente hasta llegar a la página Seleccionar roles de servidor. Seleccione Windows Server Update Services. Seleccione Agregar características cuando se le pregunte si desea agregar las características requeridas para Windows Server Update Services

3. Seleccione Siguiente hasta llegar a la página Seleccionar servicios de rol.

   • De forma predeterminada, puede utilizar conectividad de WID.
   • Use Conectividad de SQL Server si necesita admitir clientes que usen muchas versiones de Windows diferentes (por ejemplo, Windows 11 y Windows 10).

4. Seleccione Siguiente hasta que llegue a la página Selección de ubicación de contenido. Escriba la ubicación en la que desea almacenar las actualizaciones.

5. Seleccione Siguiente hasta que llegue a la página Confirmar selecciones de instalación. Seleccione Instalar.

6. Abra la instancia de Windows Server Update Services instalada y seleccione Ejecutar.

7. Seleccione Siguiente hasta llegar a la página Conectar al servidor que precede en la cadena. Seleccione Iniciar conexión.

8. Seleccione Siguiente hasta llegar a la página Elegir idiomas. Elija los idiomas que necesite.

9. Seleccione Siguiente hasta que llegue a la página Elegir productos. Elija los productos que necesite.

10. Seleccione Siguiente hasta que llegue a la página Elegir clasificaciones. Elija las actualizaciones que necesite.

11. Seleccione Siguiente hasta que llegue a la página Establecer programación de sincronización. Elija su preferencia de sincronización.

12. Seleccione Siguiente hasta que llegue a la página Finalizado. Seleccione Iniciar sincronización inicialy, después, seleccione Siguiente.

13. Seleccione Siguiente hasta llegar a la página Pasos siguientes y seleccione Finalizar.

14. Si selecciona su nombre de WSUS (por ejemplo, WsusVM) en el panel de navegación, debería ver que el valor de Estado de sincronización es Inactivo y que el de Resultado de la última sincronización es Correcto.

15. En el panel de navegación, seleccione Opciones>Equipos>Usar directiva de grupo o configuración del Registro en los equipos. Seleccione Aceptar.

Durante la sincronización, WSUS determina si hay nuevas actualizaciones disponibles desde la última sincronización. Si es la primera vez que sincroniza WSUS, los metadatos se descargarán inmediatamente. La carga solo se descarga si se ha activado activa el almacenamiento local y se ha aprobado la actualización para al menos un grupo de equipos.

Configuración de redes virtuales para que se comuniquen con WSUS

A continuación, configure el emparejamiento de red virtual de Azure o el emparejamiento de red virtual global para comunicarse con el centro de conectividad. Se recomienda configurar un servidor de WSUS en cada región que haya implementado para minimizar la latencia.

En todas las redes virtuales de Azure que sean radios, tendrá que crear una directiva de grupo de seguridad de red que tenga estas reglas:

• Una regla de grupo de seguridad de red de entrada o salida para permitir el tráfico desde la máquina virtual de WSUS en el puerto 8530 (el predeterminado, salvo que se haya configurado otro).
• Una regla de grupo de seguridad de red de entrada o salida para denegar el tráfico desde Internet.

Después, cree el emparejamiento de red virtual de Azure desde el radio hasta el centro de conectividad.

Máquina virtual cliente

• Si desea mayor seguridad, puede eliminar una dirección IP pública asociada a una máquina virtual. Para más información, consulte Visualización, cambio de la configuración o eliminación de una dirección IP pública.
• Para obtener información sobre cómo acceder a una máquina virtual de forma más segura mediante JIT, consulte Administración del acceso a máquina virtual mediante Just-In-Time.

Configuración de máquinas virtuales cliente

WSUS se puede usar para actualizar las máquinas virtuales que ejecuten Windows (excepto la SKU de Home). Siga estos pasos en todas las máquinas virtuales cliente para habilitar la comunicación entre WSUS y el cliente:

Desde la máquina virtual cliente

1. Abra el Editor de directivas de grupo local (o el Editor de administración de directivas de grupo).
2. Vaya a Configuración del equipo>Plantillas administrativas>Componentes de Windows>Windows Update.
3. Habilite Especificar la ubicación del servicio Windows Update en la intranet.
4. Escriba la dirección URL http://\<WSUS name>:8530. (el nombre de WSUS [por ejemplo, WsusVM] se puede encontrar en la página Actualizar servicios). Esta configuración puede que tarde un tiempo en reflejarse (varias horas como máximo).
5. Vaya a Configuración>Actualización y seguridad>Windows Update.
6. Seleccione Buscar actualizaciones.

Desde la máquina virtual de WSUS

1. Abra Windows Server Update Services. Debería poder ver la máquina virtual cliente que aparece en Equipos>Todos los equipos.
2. Seleccione Actualizaciones>Todas las actualizaciones.
3. En Aprobación, seleccione Cualquiera, excepto rechazada.
4. En Estado, seleccione Necesaria. Ahora puede ver todas las actualizaciones necesarias para su máquina virtual cliente.
5. Haga clic con el botón derecho en cualquiera de las actualizaciones y seleccione Aprobar.

Comprobación

1. En la máquina virtual cliente, vaya a Configuración>Actualización y seguridad>Windows Update.
2. Seleccione Buscar actualizaciones. Debería ver una actualización con el mismo número de artículo de KB (por ejemplo, 4480056) que aprobó en la máquina virtual de WSUS.

Los administradores de redes grandes deben consultar la sección Configuración de las actualizaciones automáticas y actualización de la ubicación del servicio para poder utilizar la configuración de la directiva de grupo para configurar automáticamente los clientes.

Implementación de WSUS para varias nubes

No es posible configurar el emparejamiento de red virtual entre nubes públicas y privadas. Las redes que se implementen entre nubes públicas y privadas deberán tener al menos un servidor de WSUS en cada nube.

Notas de soporte técnico

En la actualidad, WSUS no admite la sincronización con la SKU de Windows Home.

Azure Update Management

Puede usar la solución Update Management de Azure para administrar y programar actualizaciones del sistema operativo para las máquinas virtuales que se están sincronizando en WSUS. El estado de la actualización de seguridad de la máquina virtual (es decir, qué actualizaciones faltan) se evalúa según el origen con el que la máquina virtual está configurada para sincronizarse. Si la máquina virtual Windows está configurada para informar a WSUS, el resultado podría no ser el mismo que el que muestra. Todo depende de cuándo fue la última vez que se actualizó Microsoft Update. Después de configura el entorno de WSUS, puede habilitar Update Management. Para más información, consulte Introducción a Update Management y pasos necesarios para su incorporación.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Autor principal:

• Paul Reed | Responsable sénior de programas de cumplimiento de Azure

Pasos siguientes

• Para más información sobre el planeamiento de una implementación, consulte Planear la implementación de WSUS.
• Para más información sobre la administración de WSUS, la configuración de una programación de sincronización de WSUS, etc., consulte Administración de WSUS.

Recursos relacionados

• Ejecución de una VM con Windows en Azure
• Administración de actualizaciones de Azure Automation
• Ejecución de SAP NetWeaver en Windows en Azure
• Administración de cargas de trabajo de Azure híbridas mediante Windows Admin Center
• CI/CD para Azure Virtual Machines