Paso 2: Configurar WSUS

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.

Después de instalar el rol de servidor de Windows Server Update Services (WSUS) en el servidor, debe configurarlo correctamente. También deberá configurar los equipos cliente para recibir sus actualizaciones del servidor WSUS.

En este artículo encontrará información sobre los siguientes procedimientos:

Tarea Descripción
2.1. Configurar conexiones de red Configure el firewall y el proxy para permitir que el servidor realice las conexiones que necesita.
2.2. Configurar WSUS con el Asistente para la configuración de WSUS Use el Asistente para la configuración de WSUS a fin de realizar la configuración básica de WSUS.
2.3. Proteger WSUS con el protocolo de Capa de sockets seguros Configure el protocolo Capa de sockets seguros (SSL) para proteger WSUS.
2.4. Configurar grupos de equipos WSUS Cree grupos de equipos en la consola de administración de WSUS para administrar las actualizaciones de su organización.
2.5. Configurar equipos cliente para establecer conexiones SSL con el servidor WSUS Configure los equipos cliente para establecer conexiones seguras con el servidor WSUS.
2.6. Configurar equipos cliente para recibir actualizaciones del servidor WSUS Configure los equipos cliente para recibir sus actualizaciones del servidor WSUS.

2.1. Configurar conexiones de red

Antes de iniciar el proceso de configuración, asegúrese de saber responder las siguientes preguntas:

  • ¿El firewall del servidor está configurado para permitir el acceso de clientes?

  • ¿Puede este equipo conectarse al servidor que precede en la cadena (como el servidor designado para descargar actualizaciones de Microsoft Update)?

  • ¿Tiene el nombre del servidor proxy y las credenciales de usuario para este servidor, si los necesita?

A continuación, puede empezar a configurar las siguientes opciones de red de WSUS:

  • Actualizaciones: especifique de qué manera este servidor obtendrá actualizaciones (desde Microsoft Update o desde otro servidor WSUS).

  • Proxy: en caso de que WSUS necesite un servidor proxy para tener acceso a Internet, configure los parámetros correspondientes en el servidor WSUS.

  • Firewall: si WSUS está detrás de un firewall de empresa, deberá realizar pasos adicionales en el dispositivo perimetral para permitir el tráfico de WSUS.

Importante

Si solo tiene un servidor WSUS, debe tener acceso a Internet, ya que debe descargar actualizaciones de Microsoft. Si tiene varios servidores WSUS, solo un servidor necesita acceso a Internet. Los demás solo necesitan tener acceso de red al servidor WSUS conectado a Internet. Asimismo, los equipos cliente no necesitan tener acceso a Internet; solo necesitan acceso de red a un servidor WSUS.

Sugerencia

Si la red es de tipo "air gapped" (con espacio de aire) y no tiene acceso a Internet en absoluto, puede usar WSUS para proporcionar las actualizaciones a los equipos cliente de la red. Esta opción requiere dos servidores WSUS. Un servidor WSUS con acceso a Internet recopila las actualizaciones de Microsoft. Un segundo servidor WSUS en la red protegida sirve las actualizaciones a los equipos cliente. Las actualizaciones se exportan desde el primer servidor a medios extraíbles, se transportan a través del espacio de aire y se importan al segundo servidor. Se trata de una configuración avanzada que está fuera del ámbito de este artículo.

2.1.1. Configuración del firewall para permitir que el primer servidor WSUS se conecte a dominios de Microsoft en Internet

Si hay un firewall de empresa entre WSUS e Internet, es posible deba configurar el firewall para asegurarse de que WSUS obtenga las actualizaciones. Para obtener actualizaciones de Microsoft Update, el servidor WSUS usa el puerto 443 para el protocolo HTTPS. Si bien la mayoría de los firewalls de empresa permiten este tipo de tráfico, algunas compañías restringen el acceso de servidores a Internet debido a sus directivas de seguridad. Si es así, deberá configurar el firewall para permitir que el servidor WSUS acceda a los dominios de Microsoft.

El primer servidor WSUS debe tener acceso de salida a los puertos 80 y 443 en los siguientes dominios:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

Importante

Debe configurar el firewall para permitir que el primer servidor WSUS acceda a cualquier dirección URL dentro de estos dominios. Las direcciones IP asociadas a estos dominios cambian constantemente, por lo que no intente usar intervalos de direcciones IP en su lugar.

Para ver un ejemplo en el que WSUS no puede obtener actualizaciones debido a la configuración de firewall, consulte el artículo 885819 de Microsoft Knowledge Base.

2.1.2. Configuración del firewall para permitir que otros servidores WSUS se conecten al primer servidor

Si tiene varios servidores WSUS, debe configurar los demás servidores WSUS para acceder al primer servidor ("nivel superior"). Los demás servidores WSUS recibirán toda su información de actualización del servidor de nivel superior. Esta configuración le permite administrar toda la red mediante la consola de administración de WSUS en el servidor de nivel superior.

Los demás servidores WSUS deben tener acceso de salida al servidor de nivel superior mediante dos puertos. De forma predeterminada, se trata de los puertos 8530 y 8531. Puede cambiar estos puertos, tal como se describe más adelante en este artículo.

Nota

Si la conexión de red entre los servidores WSUS es lenta o costosa, puede configurar uno o varios de los otros servidores WSUS para que reciban las cargas de actualización directamente de Microsoft. En este caso, solo se enviará una pequeña cantidad de datos desde esos servidores WSUS al servidor de nivel superior. Tenga en cuenta que, para que esta configuración funcione, los demás servidores WSUS deben tener acceso a los mismos dominios de Internet que el servidor de nivel superior.

Nota

Si tiene una organización grande, puede usar cadenas de servidores WSUS conectados, en lugar de que todos los demás servidores WSUS se conecten directamente al servidor de nivel superior. Por ejemplo, puede conectar un segundo servidor WSUS al servidor de nivel superior y, a continuación, conectar otros servidores WSUS al segundo servidor WSUS.

2.1.3. Configurar los servidores WSUS para que usen un servidor proxy, si es necesario

Si la red corporativa usa servidores proxy, estos deben admitir los protocolos HTTP y SSL. También deben usar la autenticación básica o la autenticación de Windows. Estos requisitos pueden cumplirse mediante una de las siguientes configuraciones:

  • Un servidor proxy único que admita dos canales de protocolos. En este caso, establezca que un canal use HTTP y el otro HTTPS.

    Nota

    Puede configurar un servidor proxy que controle los dos protocolos de WSUS durante la instalación del software del servidor WSUS.

  • Dos servidores proxy, cada uno de los cuales admite un único protocolo. En este caso, un servidor proxy se configura para que use HTTP y el otro para HTTPS.

Configuración de WSUS para usar dos servidores proxy

  1. Inicie sesión en el equipo que actuará como servidor WSUS con una cuenta que sea miembro del grupo de administradores locales.

  2. Instalación del rol de servidor WSUS Mientras use el Asistente para configuración de WSUS, no especifique un servidor proxy.

  3. Abra un símbolo del sistema (Cmd.exe) como administrador:

    1. Vaya a Inicio.
    2. En Iniciar búsqueda, escribe Símbolo del sistema.
    3. En la parte superior del menú, haga clic con el botón derecho en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador.
    4. Si aparece el cuadro de diálogo Control de cuentas de usuario, escriba las credenciales adecuadas (si se solicitan), confirme que la acción que se muestra es la esperada y, a continuación, haga clic en Continuar.
  4. En la ventana del símbolo del sistema, vaya a la carpeta C:\Archivos de programa\Update Services\Tools. Escriba el comando siguiente:

    wsusutil ConfigureSSLproxy [<proxy_server proxy_port>] -enable

    En ese comando:

    • proxy_server es el nombre del servidor proxy que admite HTTPS.

    • proxy_port es el número del puerto del servidor proxy.

  5. Cierre la ventana del símbolo del sistema.

Adición de un servidor proxy a la configuración de WSUS

  1. Abra la consola de administración de WSUS.

  2. En el panel izquierdo, expanda el nombre del servidor y haga clic en Opciones.

  3. En el panel Opciones, haga clic en Actualizar origen y servidor y luego haga clic en la pestaña Servidor proxy.

  4. Seleccione la casilla Usar un servidor proxy al sincronizarse.

  5. En el cuadro de texto Nombre del servidor proxy, escriba el nombre del servidor proxy.

  6. En el cuadro de texto Número del puerto del proxy, escriba el número del puerto del servidor proxy. El número de puerto predeterminado es 80.

  7. Si el servidor proxy requiere el uso de una cuenta de usuario concreta, seleccione la casilla Usar credenciales de usuario para conectarse al servidor proxy. Escriba el nombre de usuario, el dominio y la contraseña necesarios en los cuadros de texto correspondientes.

  8. Si el servidor proxy admite la autenticación básica, active la casilla Permitir la autenticación básica (la contraseña se envía en texto no cifrado) .

  9. Seleccione Aceptar.

Eliminación de un servidor proxy de la configuración de WSUS

  1. Seleccione la casilla Usar un servidor proxy al sincronizarse.

  2. Seleccione Aceptar.

2.1.4. Configurar el firewall para permitir que los equipos cliente accedan a un servidor WSUS

Todos los equipos cliente se conectarán a uno de los servidores WSUS. El equipo cliente debe tener acceso de salida a dos puertos del servidor WSUS. De forma predeterminada, se trata de los puertos 8530 y 8531.

2.2. Configurar WSUS con el Asistente para la configuración de WSUS

En este procedimiento, se supone que está usando el Asistente para la configuración de WSUS, que aparece la primera vez que inicia la Consola de administración de WSUS. Más adelante en este tema, obtendrá información acerca de cómo configurar estos parámetros mediante la página Opciones.

Para configurar WSUS

  1. En el panel izquierdo del Administrador del servidor, seleccione Panel > Herramientas > Servicios de actualización de Windows Server.

    Nota

    Si aparece el cuadro de diálogo Completar instalación de WSUS, haga clic en Ejecutar. Cuando la instalación finalice correctamente, en el cuadro de diálogo Completar instalación de WSUS, haga clic en Cerrar.

  2. Se abrirá el Asistente de configuración de WSUS. En la página Antes de comenzar, revise la información y, a continuación, haga clic en Siguiente.

  3. Lea las instrucciones en la página Unirse al programa de mejora de Microsoft Update. Mantenga la selección predeterminada si quiere participar en el programa o desactive la casilla si no. Luego, seleccione Siguiente.

  4. En la página Elegir servidor ascendente, seleccione una de las dos opciones: Sincronizar las actualizaciones con Microsoft Update o Sincronizar desde otro servidor de Windows Server Update Services.

    Si decide sincronizar desde otro servidor WSUS:

    • Especifique el nombre del servidor y el puerto de comunicación entre este servidor y el servidor que precede en la cadena.

    • Para usar SSL, active la casilla Usar SSL al sincronizar la información de actualización. Los servidores usarán el puerto 443 para la sincronización. (Asegúrese de que este servidor y el servidor que precede en la cadena sean compatibles con SSL).

    • Si este es un servidor de réplicas, active la casilla Esto es una réplica del servidor que precede en la cadena.

  5. Después de seleccionar las opciones de la implementación, seleccione Siguiente.

  6. En la página Especificar servidor proxy, seleccione la casilla Usar un servidor proxy al sincronizar. A continuación, escriba el nombre del servidor proxy y el número de puerto (puerto 80 de forma predeterminada) en los cuadros correspondientes.

    Importante

    Debe completar este paso si observa que WSUS necesita un servidor proxy para obtener acceso a Internet.

  7. Si quiere conectarse al servidor proxy mediante credenciales de usuario específicas, seleccione la casilla Usar credenciales de usuario para conectarse al servidor proxy. A continuación, escriba el nombre de usuario, el dominio y la contraseña del usuario en los cuadros correspondientes.

    Si quiere habilitar la autenticación básica del usuario que se conecta al servidor proxy, active la casilla Permitir autenticación básica (la contraseña se envía en texto no cifrado) .

  8. Seleccione Siguiente.

  9. En la página Conectar al servidor que precede en la cadena, haga clic en Iniciar conexión.

  10. Cuando WSUS se conecte al servidor, seleccione Siguiente.

  11. En la página Elegir idiomas, tiene la opción de seleccionar los idiomas en los que WSUS recibirá actualizaciones: todos los idiomas o un subconjunto de idiomas. Si selecciona un subconjunto de idiomas, ahorrará espacio en disco; no obstante, es importante elegir todos los idiomas que necesitan los clientes de este servidor WSUS.

    Si decide obtener actualizaciones solo de idiomas concretos, haga clic en Descargar actualizaciones solamente en estos idiomas, y luego seleccione los idiomas para los que quiere obtener esas actualizaciones. De lo contrario, deje el valor predeterminado.

    Advertencia

    Si selecciona Descargar actualizaciones solo en estos idiomas y este servidor tiene un servidor WSUS que sigue en la cadena, esta opción forzará al servidor que sigue en la cadena a usar los idiomas seleccionados.

  12. Después de seleccionar las opciones de idioma de la implementación, seleccione Siguiente.

  13. La página Elegir productos le permite especificar los productos para los que quiere obtener actualizaciones. Seleccione las categorías de productos, como Windows, o productos específicos, como Windows Server 2012. Si selecciona una categoría de productos, selecciona todos los productos de esa categoría.

  14. Después de seleccionar las opciones del producto para la implementación, seleccione Siguiente.

  15. En la página Elegir clasificaciones, seleccione las clasificaciones de actualización que quiere obtener. Elija todas las clasificaciones o un subconjunto de ellas y haga clic en Siguiente.

  16. En la página Establecer una programación de sincronización se permite seleccionar si se debe realizar la sincronización de forma manual o automática.

    • Si elige Sincronizar manualmente, deberá iniciar el proceso de sincronización desde la Consola de administración de WSUS.

    • Si elige Sincronizar automáticamente, el servidor WSUS se sincronizará en intervalos establecidos.

    Establezca la hora de la Primera sincronización y, a continuación, especifique el número de Sincronizaciones por día que quiere que realice este servidor. Por ejemplo, si especifica cuatro sincronizaciones al día, a partir de las 3:00 a. m., las sincronizaciones se producirán a las 3:00 a. m., 9:00 a. m., 3:00 p. m. y 9:00 p. m.

  17. Después de seleccionar las opciones del producto para la implementación, seleccione Siguiente.

  18. En la página Finalizado, tiene la opción de iniciar la sincronización al momento si activa la casilla Iniciar sincronización inicial.

    Si no selecciona esta opción, deberá usar la Consola de administración de WSUS para realizar la sincronización inicial. Haga clic en Siguiente, si quiere leer más información sobre los parámetros adicionales de configuración o haga clic en Finalizar para concluir el asistente y finalizar la configuración inicial de WSUS.

  19. Después de hacer clic en Finalizar, aparece la Consola de administración de WSUS. Usará esta consola para administrar la red WSUS, tal como se describe más adelante.

2.3. Protección de WSUS con el protocolo de Capa de sockets seguros

Debe usar el protocolo de Capa de sockets seguros (SSL) para proteger la red WSUS. WSUS puede usar SSL para autenticar las conexiones y para cifrar y proteger la información de actualización.

Advertencia

La protección de WSUS mediante el protocolo SSL es muy importante para la seguridad de la red. Si el servidor WSUS no usa correctamente SSL para proteger sus conexiones, es posible que un atacante pueda modificar información de actualización crucial al enviarla desde un servidor WSUS a otro, o desde el servidor WSUS a los equipos cliente. Esto permitirá al atacante instalar software malintencionado en los equipos cliente.

Importante

Los clientes y los servidores que siguen en la cadena que están configurados para usar Seguridad de la capa de transporte (TLS) o HTTPS también deben configurarse para utilizar un nombre de dominio completo (FQDN) para su servidor WSUS que precede en la cadena.

2.3.1. Habilitar SSL/HTTPS en el servicio IIS del servidor WSUS para usar SSL/HTTPS

Para comenzar el proceso, debe habilitar la compatibilidad con SSL en el servicio IIS del servidor WSUS. Esta acción implica la creación de un certificado SSL para el servidor.

Los pasos necesarios para obtener un certificado SSL para el servidor están fuera del ámbito de este documento y dependerán de la configuración de red. Para obtener más información e instrucciones sobre cómo instalar certificados y configurar este entorno, puede consultar los artículos siguientes:

2.3.2 Configurar el servidor web IIS del servidor WSUS para que use SSL para algunas conexiones

WSUS requiere dos puertos para las conexiones a otros servidores WSUS y a los equipos cliente. Un puerto usa SSL/HTTPS para enviar metadatos de actualización (información crucial sobre las actualizaciones). De forma predeterminada, es el puerto 8531. Un segundo puerto usa HTTP para enviar cargas de actualización. De forma predeterminada, es el puerto 8530.

Importante

No se puede configurar todo el sitio web de WSUS para solicitar SSL. WSUS está diseñado para cifrar solo los metadatos de actualización. Es de la misma manera en que Microsoft Update distribuye las actualizaciones.

Para protegerse frente a la manipulación de las cargas de actualización por parte de un atacante, todas ellas se firman mediante un conjunto específico de certificados de firma de confianza. Además, se calcula un hash criptográfico para cada carga de actualización. El hash se envía al equipo cliente mediante la conexión segura de metadatos HTTPS, junto con los demás metadatos de la actualización. Cuando se descarga una actualización, el software cliente comprueba la firma digital y el hash de la carga. Si la actualización ha cambiado, no se instala.

Debe requerir SSL solo para las raíces virtuales IIS siguientes:

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

No necesita SSL para las raíces virtuales siguientes:

  • Contenido

  • Inventario

  • ReportingWebService

  • SelfUpdate

El certificado de la entidad de certificación (CA) debe importarse al almacén de CA raíz de confianza de cada servidor WSUS del equipo local o en el almacén de CA raíz de confianza de WSUS, si existe.

Para más información sobre el uso de los certificados SSL en IIS, consulte Requerir Capa de Sockets seguros (IIS 7).

Importante

Debe usar el almacén de certificados del equipo local. Recuerde que no puede usar el almacén de certificados de un usuario.

Normalmente, debe configurar IIS para que use el puerto 8531 para las conexiones HTTPS y el puerto 8530 para las conexiones HTTP. Si cambia estos puertos, tenga en cuenta que debe usar dos números de puerto adyacentes. El número de puerto que se usa para las conexiones HTTP debe ser exactamente 1 menos que el número de puerto que se usa para las conexiones HTTPS.

Debe volver a inicializar ClientServicingProxy si se ha cambiado el nombre del servidor, la configuración de SSL o el número del puerto.

2.3.3. Configurar WSUS para usar el certificado de firma SSL para sus conexiones de cliente

  1. Inicie sesión en el servidor WSUS con una cuenta que sea miembro de los grupos de administradores o administradores locales de WSUS.

  2. Vaya a Inicio, escriba CMD, haga clic con el botón derecho en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador.

  3. Vaya a la carpeta %ProgramFiles%\Actualización de servicios\Herramientas\ .

  4. En una ventana del símbolo del sistema, escriba el siguiente comando:

    Wsusutil configuressl certificateName

    En el comando, certificateName es el nombre DNS del servidor WSUS.

2.3.4. Proteger la conexión de SQL Server, si es necesario

Si usa WSUS con una base de datos de SQL Server remota, la conexión entre el servidor WSUS y el servidor de la base de datos no estará protegida con SSL. Esto crea un vector de ataque potencial. Para proteger esta conexión, tenga en cuenta las siguientes recomendaciones:

  • Mueva la base de datos WSUS al servidor WSUS.

  • Mueva el servidor de la base de datos remota y el servidor WSUS a una red privada.

  • Implemente el protocolo de seguridad de Internet (IPsec) para ayudar a proteger el tráfico de la red. Para obtener más información sobre IPsec, consulte Creación y uso de directivas de IPsec.

2.3.5. Creación de un certificado de firma de código para la publicación local, si es necesario

Además de distribuir las actualizaciones que proporciona Microsoft, WSUS también admite la publicación local. La publicación local le permite crear y distribuir las actualizaciones que diseñe usted mismo, con sus propias cargas y comportamientos.

La habilitación y configuración correcta de la publicación local no se recogen este artículo. Para obtener detalles completos, consulte Publicación local.

Importante

La publicación local es un proceso muy complicado y no suele ser necesario. Antes de decidir si quiere habilitar la publicación local, debe revisar cuidadosamente la documentación y considerar si usará esta funcionalidad y cómo lo hará.

2.4. Configurar grupos de equipos WSUS

Los grupos de equipos son una parte importante del uso eficaz de WSUS. Los grupos de equipos le permiten probar y dirigir actualizaciones a equipos específicos. Hay dos grupos de equipos predeterminados: Todos los equipos y Equipos sin asignar. De manera predeterminada, cuando cada equipo cliente se comunica por primera vez con el servidor WSUS, el servidor agrega ese equipo cliente en ambos grupos.

Puede crear tantos grupos de equipos personalizados como desee para administrar actualizaciones en la organización. Como procedimiento recomendado, cree al menos un grupo de equipos para probar actualizaciones antes de implementarlas en otros equipos de la organización.

2.4.1. Elegir un enfoque para asignar equipos cliente a grupos de equipos

Hay dos enfoques para asignar equipos cliente a grupos de equipos. El enfoque adecuado para su organización dependerá de cómo administre normalmente los equipos cliente.

  • Destinatarios del lado servidor: este es el enfoque predeterminado. En este enfoque, asignará equipos cliente a grupos de equipos mediante la Consola de administración de WSUS.

    Este enfoque le ofrece la flexibilidad de mover rápidamente los equipos cliente de un grupo a otro a medida que cambien las circunstancias. Sin embargo, esto significa que los nuevos equipos cliente deben moverse manualmente del grupo de equipos sin asignar al grupo de equipos adecuado.

  • Destinatarios del lado cliente: en este enfoque, cada equipo cliente se asigna a grupos de equipos mediante la configuración de una directiva establecida en el propio equipo cliente.

    Este enfoque facilita la asignación de nuevos equipos cliente a los grupos adecuados. Lo hará como parte de la configuración del equipo cliente para recibir actualizaciones del servidor WSUS. Tenga en cuenta que esto significa que los equipos cliente no se pueden asignar a grupos de equipos ni moverse de un grupo de equipos a otro mediante la Consola de administración de WSUS. En su lugar, se deben modificar las directivas de los equipos cliente.

2.4.2. Habilitar los destinatarios del lado cliente, si procede

Importante

Omita este paso si va a usar destinatarios del lado servidor.

  1. En la consola de administración de WSUS, en Update Services, expanda el servidor WSUS y luego haga clic en Opciones.

  2. En la pestaña General del panel Opciones, elija Usar directiva de grupo o configuración de Registro de los equipos.

2.4.3. Crear los grupos de equipos deseados

Nota

Debe crear grupos de equipos mediante la Consola de administración de WSUS, tanto si usa destinatarios del lado servidor como del lado cliente para agregar equipos cliente a los grupos de equipos.

  1. En la Consola de administración de WSUS, en Update Services, expanda el servidor de WSUS, después expanda Equipos, haga clic con el botón derecho en Todos los equipos y luego haga clic en Agregar grupo de equipos.

  2. En el cuadro de diálogo Agregar grupo de equipos, en Nombre, especifique el nombre del nuevo grupo. A continuación, seleccione Agregar.

2.5. Configurar equipos cliente para establecer conexiones SSL con el servidor WSUS

Suponiendo que ha configurado el servidor WSUS para proteger las conexiones de los equipos cliente mediante SSL, debe configurar los equipos cliente para que confíen en esas conexiones SSL.

El certificado SSL del servidor WSUS debe importarse al almacén de CA raíz de confianza de los equipos cliente o al almacén de CA raíz de confianza del servicio de actualización automática, si es que existe.

Importante

Debe usar el almacén de certificados del equipo local. Recuerde que no puede usar el almacén de certificados de un usuario.

Los equipos cliente deben confiar en el certificado que se enlace al servidor WSUS. Según el tipo de certificado que se use, podría tener que configurar un servicio para permitir que los equipos cliente confíen en el certificado que está enlazado al servidor WSUS.

Si usa la opción de publicación local, también debe configurar los equipos cliente para que confíen en el certificado de firma de código del servidor WSUS. Para obtener instrucciones, consulte Publicación local.

2.6. Configurar equipos cliente para recibir actualizaciones del servidor WSUS

De forma predeterminada, los equipos cliente reciben actualizaciones de Windows Update. En su lugar, deben configurarse para recibir actualizaciones del servidor WSUS.

Importante

En este artículo se presenta un conjunto de pasos para configurar equipos cliente mediante una directiva de grupo. Estos pasos son adecuados en muchas situaciones. Aún así, hay muchas otras opciones disponibles para configurar el comportamiento de actualización en los equipos cliente, incluido el uso de la administración de dispositivos móviles. Estas opciones se documentan en Administración de la configuración adicional de Windows Update.

2.6.1. Elección del conjunto correcto de directivas que se editarán

Si ha configurado Active Directory en su red, puede configurar uno o varios equipos simultáneamente al incluirlos en el Objeto de directiva de grupo (GPO), y luego al configurar ese GPO con la configuración de WSUS.

Se recomienda que cree un GPO nuevo, que contenga solo la configuración de WSUS. Vincule este GPO de WSUS a un contenedor de Active Directory que sea apropiado para su entorno.

En un entorno simple, podría unir un GPO de WSUS único al dominio. En un entorno más complejo, puede vincular varios GPO de WSUS a varias unidades organizativas (OU). La vinculación de GPO a UO le permitirá aplicar la configuración de directivas de WSUS a distintos tipos de equipos.

Si no usa Active Directory en la red, deberá configurar cada equipo mediante el editor de directivas de grupo local.

2.6.2. Editar directivas para configurar los equipos cliente

Nota

En estas instrucciones se supone que usa las versiones más recientes de las herramientas de edición de las directivas mencionadas. En versiones anteriores de las herramientas, las directivas pueden estar organizadas de forma diferente.

  1. Abra el objeto de directiva adecuado:

    • Si usa Active Directory, abra la Consola de administración de directivas de grupo, busque el GPO donde quiera configurar WSUS y haga clic en Editar. A continuación, expanda Configuración del equipo y Directivas.
    • Si no usa Active Directory, abra el Editor de directivas de grupo local. Aparecerá la directiva de equipo local. Expanda la opción Configuración del equipo.
  2. En el objeto que expandió en el paso anterior, expanda Plantillas administrativas, Componentes de Windows y Windows Update; a continuación, haga clic en Manage end user experience (Administrar experiencia de usuario final).

  3. En el panel de detalles, haga doble clic en Configurar actualizaciones automáticas. Se abrirá la directiva Configurar actualizaciones automáticas .

  4. Haga clic en Habilitado y, a continuación, seleccione la opción deseada en Configurar actualización automática para administrar cómo se descargarán las actualizaciones automáticas y se instalarán las actualizaciones aprobadas.

    Se recomienda usar la opción Descargar automáticamente y programar la instalación. Esto asegura que las actualizaciones que apruebe en WSUS se descargarán e instalarán a su debido tiempo, sin necesidad de intervención del usuario.

  5. Si lo desea, edite otras partes de la directiva, como se documenta en Administración de la configuración adicional de Windows Update.

    Nota

    La casilla Instalar actualizaciones de otros productos de Microsoft no tiene ningún efecto en los equipos cliente que reciben actualizaciones de WSUS. Los equipos cliente recibirán todas las actualizaciones aprobadas para ellos en el servidor WSUS.

  6. Haga clic en Aceptar para cerrar la directiva Configurar actualizaciones automáticas.

  7. De nuevo en el nodo de Windows Update del árbol, haga clic en Manage updates offered from Windows Server Update Service (Administrar actualizaciones ofrecidas por Windows Server Update Services).

  8. En el panel de detalles de Manage updates offered from Windows Server Update Service (Administrar actualizaciones ofrecidas por Windows Server Update Services), haga doble clic en Especificar la ubicación del servicio Windows Update en la intranet. Se abre la directiva Especificar la ubicación del servicio Windows Update en la intranet.

  9. Haga clic en Habilitado, escriba la misma dirección URL del servidor WSUS en los cuadros de texto Establecer el servicio de actualización de la intranet para detectar actualizaciones y Establecer el servidor de estadísticas de la intranet.

    Advertencia

    Asegúrese de incluir el puerto correcto en la dirección URL. Suponiendo que configuró el servidor para usar SSL tal como se recomienda, debe especificar el puerto que se ha configurado para HTTPS. Por ejemplo, si eligió usar el puerto 8531 para HTTPS y el nombre de dominio del servidor es wsus.contoso.com, debe escribir https://wsus.contoso.com:8531 en ambos cuadros de texto.

  10. Haga clic en Aceptar para cerrar la directiva Especificar la ubicación del servicio de actualización de Microsoft en la intranet.

Configuración de los destinatarios del lado cliente, si procede

Si ha elegido usar destinatarios del lado cliente, ahora debe especificar el grupo de equipos adecuado para los equipos cliente que está configurando.

Nota

En estos pasos se supone que acaba de completar los pasos para editar directivas para configurar los equipos cliente.

  1. En el panel de detalles de Manage updates offered from Windows Server Update Service (Administrar actualizaciones ofrecidas por Windows Server Update Services), haga doble clic en Habilitar destinatarios del lado cliente. Se abre la directiva Habilitar destinatarios del lado cliente.

  2. Seleccione Habilitado y luego escriba el nombre del grupo de equipos WSUS a los que quiere agregar los equipos cliente en el cuadro Nombre del grupo de destino para este equipo.

    Si ejecuta una versión actual de WSUS, puede agregar los equipos cliente a varios grupos de equipos especificando los distintos nombres de grupos separados por punto y coma. Por ejemplo, puede escribir Contabilidad;Ejecutivo para agregar los equipos cliente al grupo de equipos Contabilidad y Ejecutivo.

  3. Haga clic en Aceptar para cerrar la directiva Habilitar destinatarios del lado cliente.

2.6.3. Permitir que el equipo cliente se conecte al servidor WSUS

Los equipos cliente no aparecerán en la Consola de administración de WSUS hasta que se conecten al servidor WSUS por primera vez.

  1. Espere a que los cambios de la directiva surtan efecto en el equipo cliente.

    Si usó un objeto de directiva de grupo basado en Active Directory para configurar los equipos cliente, el mecanismo de actualización de la directiva de grupo tardará un poco en entregar los cambios a un equipo cliente. Si quiere acelerarlo, puede abrir una ventana del símbolo del sistema con privilegios elevados y, a continuación, escribir el comando gpupdate /force.

    Si usó el editor de directivas de grupo local para configurar un equipo cliente individual, los cambios se realizarán inmediatamente.

  2. Reinicia el equipo cliente. Este paso garantiza que el software de Windows Update en el equipo detecte los cambios de directiva.

  3. Permita que el equipo cliente busque actualizaciones. Normalmente, este examen tarda algún tiempo.

    Puede acelerar el proceso mediante una de estas opciones:

    • En Windows 10 u 11, use la página de Windows Update de la aplicación Configuración para buscar actualizaciones manualmente.
    • En versiones anteriores a Windows 10, use el icono de Windows Update en el Panel de control para buscar actualizaciones manualmente.
    • En las versiones a Windows 10, puede abrir una ventana del símbolo del sistema con privilegios elevados y escribir el comando wuauclt /detectnow.

2.6.4 Comprobar la conexión correcta del equipo cliente con el servidor WSUS

Si ha realizado todos los pasos anteriores correctamente, verá los siguientes resultados:

  • El equipo cliente detectará correctamente las actualizaciones. (Puede que encuentre o no actualizaciones aplicables para descargar e instalar).

  • En unos 20 minutos, el equipo cliente aparecerá en la lista de equipos que se muestran en la Consola de administración de WSUS, en función del tipo de destino:

    • Si usa destinatarios del lado servidor, el equipo cliente aparecerá en los grupos de equipos denominados Todos los equipos y Equipos sin asignar.

    • Si en cambio usa destinatarios del lado cliente, el equipo cliente aparecerá en el grupo de equipos denominado Todos los equipos y en el grupo de equipos que seleccionó al configurar el equipo cliente.

2.6.5. Configurar los destinatarios del lado servidor del equipo cliente, si procede

Si usa destinatarios del lado servidor, debe agregar ahora el nuevo equipo cliente a los grupos de equipos adecuados.

  1. En la Consola de administración de WSUS, busque el nuevo equipo cliente. Debe aparecer en los grupos de equipos Todos los equipos y Equipos sin asignar de la lista de equipos del servidor WSUS.

  2. Haga clic con el botón derecho en el equipo cliente y seleccione Cambiar pertenencia.

  3. En el cuadro de diálogo, seleccione los grupos de equipos adecuados y haga clic en Aceptar.