Paso 2: configurar WSUSStep 2: Configure WSUS

Se aplica a: Windows Server (canal semianual), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Después de instalar el rol de servidor de WSUS en su servidor, debe configurarlo de forma apropiada.After installing the WSUS server role on your server, you need to properly configure it. La siguiente lista de comprobación resume los pasos necesarios para realizar la configuración inicial del servidor WSUS.The following checklist summarizes the steps involved in performing the initial configuration for your WSUS server.

TareaTask DescripciónDescription
2,1. configurar conexiones de red2.1. Configure network connections Configure la red en clúster con el Asistente para configuración de red.Configure the cluster network by using the Network Configuration Wizard.
2,2. configurar WSUS mediante el Asistente para configuración de WSUS2.2. Configure WSUS by using the WSUS Configuration Wizard Utilizar el Asistente para configuración de WSUS a fin de realizar la configuración básica de WSUS.Use the WSUS Configuration wizard to perform the base WSUS configuration.
2,3. configurar grupos de equipos de WSUS2.3. Configure WSUS computer groups Cree grupos de equipos en la consola de administración de WSUS para administrar las actualizaciones de su organización.Create computer groups in the WSUS administration console to manage updates in your organization.
2,4. configurar actualizaciones de cliente2.4. Configure client updates Especifique cómo y cuándo se aplican las actualizaciones automáticas en los equipos cliente.Specify how and when automatic updates are applied to client computers.
2,5. proteger WSUS con el protocolo de Capa de sockets seguros2.5. Secure WSUS with the Secure Sockets Layer Protocol Configure el protocolo de Capa de sockets seguros (SSL) para ayudar a proteger Windows Server Update Services (WSUS).Configure Secure Sockets Layer (SSL) protocol to help protect Windows Server Update Services (WSUS).

2.1.2.1. Configurar conexiones de redConfigure network connections

Antes de iniciar el proceso de configuración, asegúrese de saber responder las siguientes preguntas:Before you start the configuration process, be sure that you know the answers to the following questions:

  1. ¿El firewall del servidor está configurado para permitir el acceso de clientes?Is the server's firewall configured to allow clients to access the server?

  2. ¿Puede este equipo conectarse al servidor que precede en la cadena (como el servidor designado para descargar actualizaciones de Microsoft Update)?Can this computer connect to the upstream server (such as the server that is designated to download updates from Microsoft Update)?

  3. ¿Tiene el nombre del servidor proxy y las credenciales de usuario para este servidor, si los necesita?Do you have the name of the proxy server and the user credentials for the proxy server, if you need them?

De manera predeterminada, WSUS se configura para usar Microsoft Update como ubicación donde obtener actualizaciones.By default, WSUS is configured to use Microsoft Update as the location from which to obtain updates. Si tiene un servidor proxy en la red, puede configurar WSUS para que use el servidor proxy.if you have a proxy server on the network, you can configure WSUS to use the proxy server. Si hay un Firewall corporativo entre WSUS e Internet, es posible que tenga que configurar el firewall para asegurarse de que WSUS puede obtener las actualizaciones.if there is a corporate firewall between WSUS and the Internet, you might have to configure the firewall to ensure that WSUS can obtain updates.

Sugerencia

Si bien se requiere conectividad a Internet para descargar actualizaciones de Microsoft Update, WSUS ofrece la posibilidad de importar actualizaciones en redes no conectadas a Internet.Although Internet connectivity is required to download updates from Microsoft Update, WSUS offers you the ability to import updates onto networks that are not connected to the Internet.

Si tiene las respuestas de estas preguntas, puede comenzar a configurar los siguientes parámetros de red de WSUS:When you have the answers for these questions, you can start configuring the following WSUS network settings:

  • Actualizaciones Especifique de qué manera este servidor obtendrá actualizaciones (desde Microsoft Update o desde otro servidor WSUS).Updates Specify the way this server will obtain updates (from Microsoft Update or from another WSUS server).

  • Proxy si identificó que WSUS necesita usar un servidor proxy para tener acceso a Internet, debe configurar los valores de proxy en el servidor WSUS.Proxy if you identified that WSUS needs to use a proxy server to have Internet access, you need to configure proxy settings in the WSUS server.

  • Firewall si identificó que WSUS está detrás de un Firewall corporativo, se deben realizar algunos pasos adicionales en el dispositivo perimetral para permitir el tráfico de WSUS correctamente.Firewall if you identified that WSUS is behind a corporate firewall, there are some additional steps that must be done at the edge device to properly allow WSUS traffic.

2.1.1.2.1.1. Conexión desde el servidor WSUS a InternetConnection from the WSUS server to the Internet

Si hay un firewall corporativo entre WSUS e Internet, quizás deba configurar el firewall para asegurarse de que WSUS obtenga actualizaciones.If there is a corporate firewall between WSUS and the Internet, you might have to configure that firewall to ensure WSUS can obtain updates. Para obtener actualizaciones de Microsoft Update, el servidor WSUS usa el puerto 443 para el protocolo HTTPS.To obtain updates from Microsoft Update, the WSUS server uses port 443 for HTTPS protocol. Aunque la mayoría de los firewalls corporativos permiten este tipo de tráfico, hay algunas compañías que restringen el acceso a Internet desde los servidores debido a las directivas de seguridad de la compañía.Although most of corporate firewalls allow this type of traffic, there are some companies that restrict Internet access from the servers due the company's security policies. Si su compañía restringe el acceso, deberá obtener autorización para permitir el acceso a Internet desde WSUS a la siguiente lista de direcciones URL:if your company restricts access, you need to obtain authorization to allow Internet access from WSUS to the following list of URLs:

  • http://windowsupdate.microsoft.comhttp://windowsupdate.microsoft.com

  • http://*. windowsupdate.microsoft.comhttp://*.windowsupdate.microsoft.com

  • https://*. windowsupdate.microsoft.comhttps://*.windowsupdate.microsoft.com

  • http://*. update.microsoft.comhttp://*.update.microsoft.com

  • https://*. update.microsoft.comhttps://*.update.microsoft.com

  • http://*. windowsupdate.comhttp://*.windowsupdate.com

  • http://download.windowsupdate.comhttp://download.windowsupdate.com

  • :https//download.microsoft.comhttps://download.microsoft.com

  • http://*. download.windowsupdate.comhttp://*.download.windowsupdate.com

  • http://wustat.windows.comhttp://wustat.windows.com

  • http://ntservicepack.microsoft.comhttp://ntservicepack.microsoft.com

  • http://go.microsoft.comhttp://go.microsoft.com

  • http://dl.delivery.mp.microsoft.comhttp://dl.delivery.mp.microsoft.com

  • :https//dl.delivery.mp.microsoft.comhttps://dl.delivery.mp.microsoft.com

Importante

Para ver un escenario en el que WSUS no puede obtener actualizaciones debido a las configuraciones de firewall, consulte el artículo 885819 en Microsoft Knowledge base.For a scenario in which WSUS is failing to obtain updates due firewall configurations, see article 885819 in the Microsoft Knowledge Base.

En la siguiente sección se describe cómo configurar un firewall corporativo entre WSUS e Internet.The following section describes how to configure a corporate firewall that is positioned between WSUS and the Internet. Dado que WSUS inicia todo el tráfico de red, no es necesario configurar Firewall de Windows en el servidor WSUS.Because WSUS initiates all the network traffic, it is not necessary to configure Windows Firewall on the WSUS server. Si bien la conexión entre Microsoft Update y WSUS requiere que los puertos 80 y 443 estén abiertos, se pueden configurar varios servidores WSUS para que se sincronicen con un puerto personalizado.Although the connection between Microsoft Update and WSUS requires ports 80 and 443 to be open, you can configure multiple WSUS servers to synchronize with a custom port.

2.1.2.2.1.2. Conexión entre servidores WSUSConnection between WSUS servers

Los servidores WSUS que preceden y siguen en la cadena se sincronizarán en el puerto que configure el administrador de WSUS.WSUS upstream and downstream servers will synchronize on the port configured by the WSUS Administrator. De forma predeterminada, estos puertos se configuran así:By default, these ports are configured as follows:

  • En WSUS 3.2 y versiones anteriores, el puerto 80 para HTTP y el 443 para HTTPS.On WSUS 3.2 and earlier, port 80 for HTTP and 443 for HTTPS

  • En WSUS 6,2 y versiones posteriores (al menos Windows Server 2012), se usa el puerto 8530 para HTTP y 8531 para HTTPS.On WSUS 6.2 and later (at least Windows Server 2012 ), port 8530 for HTTP and 8531 for HTTPS are used

El firewall del servidor WSUS debe configurarse para permitir tráfico entrante en estos puertos.The firewall on the WSUS server must be configured to allow inbound traffic on these ports.

2.1.3.2.1.3. Conexión entre clientes (Agente de Windows Update) y servidores WSUSConnection between clients (Windows Update Agent) and WSUS servers

Los puertos e interfaces de escucha se configuran en los sitios de IIS para WSUS y en las configuraciones de directivas de grupo que se usan para configurar los equipos cliente.The listening interfaces and ports are configured in the IIS site(s) for WSUS and in any Group Policy settings used to configure client PCs. Los puertos predeterminados son los mismos que los que se especifican en la sección anterior, Conexión entre servidores WSUS, y el firewall del servidor WSUS también debe configurarse para permitir el tráfico entrante en esos puertos.The default ports are the same as those specified in the preceding section Connection between WSUS servers, and the firewall on the WSUS server must also be configured to allow inbound traffic on these ports.

Configuración del servidor proxyConfigure the proxy server

Si la red corporativa usa servidores proxy, estos deben admitir protocolos HTTP y SSL y utilizar la autenticación básica o autenticación de Windows.If the corporate network uses proxy servers, the proxy servers must support HTTP and SSL protocols and use basic authentication or Windows authentication. Estos requisitos pueden cumplirse mediante una de las siguientes configuraciones:These requirements can be met by using one of the following configurations:

  1. Un servidor proxy único que admita dos canales de protocolos.A single proxy server that supports two protocol channels. En este caso, establezca que un canal use HTTP y el otro HTTPS.In this case, set one channel to use HTTP and the other channel to use HTTPS.

    Nota

    Puede configurar un servidor proxy que controle los dos protocolos de WSUS durante la instalación del software del servidor WSUS.You can set up one proxy server that handles both protocols for WSUS during the WSUS server software installation.

  2. Dos servidores proxy, cada uno de los cuales admite un único protocolo.Two proxy servers, each of which supports a single protocol. En este caso, un servidor proxy se configura para que use HTTP y el otro para HTTPS.In this case, one proxy server is configured to use HTTP, and the other proxy server is configured to use HTTPS.

Para configurar dos servidores proxy, cada uno de los cuales controlará un protocolo para WSUS, aplique el procedimiento siguiente:To set up two proxy servers, each of which will handle one protocol for WSUS, use the following procedure:

Configuración de WSUS para usar dos servidores proxyTo set up WSUS to use two proxy servers

  1. Inicie sesión en el equipo que actuará como servidor WSUS con una cuenta que sea miembro del grupo de administradores locales.Log on to the computer that is to be the WSUS server by using an account that is a member of the local Administrators group.

  2. Instalación del rol de servidor WSUSInstall the WSUS server role. Durante el Asistente para configuración de WSUS (que se explica en la sección siguiente), no especifique un servidor proxy.During the WSUS Configuration Wizard (discussed in the next section) do not specify a proxy server.

  3. Abra un símbolo del sistema (Cmd.exe) como administrador.Open a command prompt (Cmd.exe) as an administrator. Para abrir un símbolo del sistema como administrador, vaya a Inicio.To open a command prompt as an administrator, go to Start. En Iniciar búsqueda, escriba símbolo del sistema.In Start Search, type Command prompt. en la parte superior del menú Inicio, haga clic con el botón secundario en símbolo del sistemay, a continuación, haga clic en Ejecutar como administrador.at the top of the start menu, right-click Command prompt, and then click Run as administrator. Si aparece el cuadro de diálogo control de cuentas de usuario , escriba las credenciales adecuadas (si se solicitan), confirme que la acción que se muestra es la que desea y, a continuación, haga clic en continuar.if the User Account Control dialog box appears, enter the appropriate credentials (if requested), confirm that the action it displays is what you want, and then click Continue.

  4. En la ventana del símbolo del sistema, vaya a la carpeta C:\Archivos de Programa\update Services\ToolsIn the Command prompt window, go to the C:\Program Files\Update Services\Tools folder. Escriba el siguiente comando:type the following command:

    WSUSUTIL ConfigureSSlproxy [< proxy_server proxy_port >]-enable, donde:wsusutil ConfigureSSlproxy [< proxy_server proxy_port>] -enable, where:

    1. proxy_server es el nombre del servidor proxy que admite HTTPS.proxy_server is the name of the proxy server that supports HTTPS.

    2. proxy_port es el número del puerto del servidor proxy.proxy_port is the proxy server port number.

  5. Cierre la ventana del símbolo del sistema.Close the Command prompt window.

Para agregar el servidor proxy que usa el protocolo HTTP para la configuración de WSUS, siga el procedimiento que se muestra a continuación:To add the proxy server that uses the HTTP protocol to the WSUS configuration, use the following procedure:

Adición de un servidor proxy que usa el protocolo HTTPTo add a proxy server that uses the HTTP protocol

  1. Abre la consola de administración de WSUS.Open the WSUS Administration Console.

  2. En el panel izquierdo, expanda el nombre del servidor y haga clic en Opciones.In the left pane, expand the server name, and then click Options.

  3. En el panel Opciones, haga clic en Actualizar origen y servidor y luego haga clic en la pestaña Servidor proxy.In the Options pane, click Update Source and Update Server, and then click the Proxy Server tab.

  4. Use las siguientes opciones para modificar la configuración del servidor proxy existente:Use the following options to modify the existing proxy server configuration:

    Cambio o adición de un servidor proxy a la configuración de WSUSTo change or add a proxy server to the WSUS configuration
    1. Seleccione la casilla Usar un servidor proxy al sincronizarse.Select the check box for Use a proxy server when synchronizing.

    2. En el cuadro de texto Nombre del servidor proxy, escriba el nombre del servidor proxy.In the Proxy server name text box, type the name of the proxy server.

    3. En el cuadro de texto Número del puerto del proxy, escriba el número del puerto del servidor proxy.In the Proxy port number text box, type the port number of the proxy server. El número de puerto predeterminado es 80.The default port number is 80.

    4. FF el servidor proxy requiere que use una cuenta de usuario específica, active la casilla usar credenciales de usuario para conectarse al servidor proxy .Ff the proxy server requires that you use a specific user account, select the Use user credentials to connect to the proxy server check box. Escriba el nombre de usuario, el dominio y la contraseña necesarios en los cuadros de texto correspondientes.type the required user name, domain, and password into the corresponding text boxes.

    5. Si el servidor proxy admite la autenticación básica, active la casilla Permitir la autenticación básica (la contraseña se envía en texto no cifrado) .If the proxy server supports basic authentication, select the Allow basic authentication (password is sent in cleartext) check box.

    6. Haga clic en Aceptar.Click OK.

    Eliminación de un servidor proxy de la configuración de WSUSTo remove a proxy server from the WSUS configuration
    1. Para quitar un servidor proxy de la configuración de WSUS, desactive la casilla Usar un servidor proxy al sincronizarse.To remove a proxy server from the WSUS configuration, clear the check box for Use a proxy server when synchronizing.

    2. Haga clic en Aceptar.Click OK.

2.2.2.2. Configurar WSUS con el Asistente para la configuración de WSUSConfigure WSUS by using the WSUS Configuration Wizard

En este procedimiento, se supone que está usando el Asistente para la configuración de WSUS, que aparece la primera vez que inicia la Consola de administración de WSUS.This procedure assumes that you are using the WSUS Configuration Wizard, which appears the first time you launch the WSUS Management Console. Más adelante en este tema, obtendrá información acerca de cómo configurar estos parámetros mediante la página Opciones :Later in this topic, you will learn how to perform these configurations by using the Options page:

Para configurar WSUSTo configure WSUS

  1. En el panel de navegación del Administrador del servidor, haga clic en Panel, en Herramientas y, a continuación, en Windows Server Update Services.In the Server Manager navigation pane, click Dashboard, click Tools, and then click Windows Server Update Services.

    Nota

    Si aparece el cuadro de diálogo completar instalación de WSUS , haga clic en Ejecutar.If the complete WSUS Installation dialog box appears, click Run. En el cuadro de diálogo completar instalación de WSUS , haga clic en cerrar cuando finalice correctamente la instalación.In the complete WSUS Installation dialog box, click Close when the installation successfully finishes.

  2. Se abrirá el Asistente para Windows Server Update Services.The Windows Server Update Services Wizard opens. En la página Antes de comenzar , revise la información y haga clic en Siguiente.On the Before you Begin page, review the information, and then click Next.

  3. Lea las instrucciones en la página Unirse al programa de mejora de Microsoft Update y determine si desea participar.Read the instructions on the Join the Microsoft Update Improvement Program page and evaluate if you want to participate. Si quiere participar en el programa.If you want to participate in the program. Conserve la selección predeterminada, o desactive la casilla y, a continuación, haga clic en siguiente.retain the default selection, or clear the check box, and then click Next.

  4. En la página Elegir servidor que precede en la cadena , hay dos opciones:On the Choose Upstream Server page, there are two options:

    1. Sincronizar las actualizaciones con Microsoft Update.Synchronize the updates with Microsoft Update

    2. Sincronizar desde otro servidor de Windows Server Update Services.Synchronize from another Windows Server Update Services server

      • Si decide sincronizar desde otro servidor WSUS, especifique el nombre del servidor y el puerto en el que este servidor se comunicará con el servidor que precede en la cadena.if you choose to synchronize from another WSUS server, specify the server name and the port on which this server will communicate with the upstream server.

      • Para usar SSL, active la casilla Usar SSL al sincronizar la información de actualización .To use SSL, select the Use SSL when synchronizing update information check box. Los servidores usarán el puerto 443 para la sincronización.The servers will use port 443 for synchronization. (Asegúrese de que este servidor y el servidor que precede en la cadena sean compatibles con SSL).(Make sure that this server and the upstream server support SSL).

      • Si se trata de un servidor de réplicas, active la casilla esta es una réplica del servidor que precede en la cadena .if this is a replica server, select the This is a replica of the upstream server check box.

  5. Una vez que seleccione las opciones apropiadas para la implementación, haga clic en Siguiente para continuar.After selecting the proper options for your deployment, click Next to proceed.

  6. En la página Especificar servidor proxy , active la casilla Usar un servidor proxy al sincronizar y, a continuación, escriba el nombre del servidor proxy y el número del puerto (puerto 80, de manera predeterminada) en los cuadros correspondientes.On the Specify Proxy Server page, select the Use a proxy server when synchronizing check box, and then type the proxy server name and port number (port 80 by default) in the corresponding boxes.

    Importante

    Debe completar este paso si observa que WSUS necesita un servidor proxy para obtener acceso a Internet.You must complete this step if you identified that WSUS needs a proxy server to have Internet access.

  7. Si desea conectarse al servidor proxy con credenciales de usuario específicas, active la casilla usar credenciales de usuario para conectarse al servidor proxy y, a continuación, escriba el nombre de usuario, el dominio y la contraseña del usuario en los cuadros correspondientes.if you want to connect to the proxy server by using specific user credentials, select the Use user credentials to connect to the proxy server check box, and then type the user name, domain, and password of the user in the corresponding boxes. Si desea habilitar la autenticación básica para el usuario que se está conectando al servidor proxy, active la casilla permitir autenticación básica (la contraseña se envía en texto no cifrado) .if you want to enable basic authentication for the user who is connecting to the proxy server, select the Allow basic authentication (password is sent in cleartext) check box.

  8. Haz clic en Siguiente.Click Next. En la página conectar al servidor que precede en la cadena, haga clic en iniciar conexión.On the Connect to Upstream Server page, click start Connecting.

  9. Cuando se conecte, haga clic en Siguiente para continuar.When it connects, click Next to proceed.

  10. En la página elegir idiomas , tiene la opción de seleccionar los idiomas en los que WSUS recibirá actualizaciones: todos los idiomas o un subconjunto de idiomas.On the Choose Languages page, you have the option to select the languages from which WSUS will receive updates - all languages or a subset of languages. al seleccionar un subconjunto de idiomas, se ahorra espacio en disco, pero es importante elegir todos los idiomas que necesitan todos los clientes de este servidor WSUS.selecting a subset of languages will save disk space, but it is IMPORTANT to choose all of the languages that are needed by all the clients of this WSUS server. Si elige obtener actualizaciones solo para idiomas específicos, seleccione Descargar actualizaciones solo en estos idiomasy, a continuación, seleccione los idiomas para los que desea actualizaciones. de lo contrario, deje la selección predeterminada.if you choose to get updates only for specific languages, select Download updates only in these languages, and then select the languages for which you want updates; otherwise, leave the default selection.

    Advertencia

    Si selecciona Descargar actualizaciones solo en estos idiomas y este servidor tiene un servidor WSUS que sigue en la cadena, esta opción forzará al servidor que sigue en la cadena a usar los idiomas seleccionados.If you select the option Download updates only in these languages, and this server has a downstream WSUS server connected to it, this option will force the downstream server to also use only the selected languages.

  11. Una vez que seleccione las opciones de idioma apropiadas para la implementación, haga clic en Siguiente para continuar.After selecting the appropriate language options for your deployment, click Next to continue.

  12. La página Elegir productos le permite especificar los productos para los que desea actualizaciones.The Choose Products page allows you specify the products for which you want updates. Seleccione las categorías de productos, como Windows, o productos específicos, como Windows Server 2008.select product categories, such as Windows, or specific products, such as Windows Server 2008. al seleccionar una categoría de producto, se seleccionan todos los productos de esa categoría.selecting a product category selects all the products in that category.

  13. Seleccione las opciones de producto apropiadas para la implementación y, a continuación, haga clic en siguiente.select the appropriate product options for your deployment, and then click Next.

  14. En la página Elegir clasificaciones , seleccione las clasificaciones de actualización que desea obtener.On the Choose Classifications page, select the update classifications that you want to obtain. Elija todas las clasificaciones o un subconjunto de ellas y haga clic en Siguiente.Choose all the classifications or a subset of them, and then click Next.

  15. En la página Establecer una programación de sincronización se permite seleccionar si se debe realizar la sincronización de forma manual o automática.The Set Sync Schedule page enables you to select whether to perform synchronization manually or automatically.

    • Si elige sincronizar manualmente, debe iniciar el proceso de sincronización desde la consola de administración de WSUS.if you choose Synchronize manually, you must start the synchronization process from the WSUS Administration Console.

    • Si elige sincronizar automáticamente, el servidor WSUS se sincronizará a intervalos establecidos.if you choose Synchronize automatically, the WSUS server will synchronize at set intervals.

    Establezca la hora de la Primera sincronizacióny especifique el número de Sincronizaciones por día que quiere que realice este servidor.Set the time for the First synchronization, and then specify the number of Synchronizations per day that you want this server to perform. Por ejemplo, si especifica que deberán realizarse cuatro sincronizaciones por día a partir de las 03:00 a.m., las sincronizaciones se producirán a las 03:00 a.m., 09:00 a.m., 03:00 p.m. y 09:00 p.m.For example, if you specify that there should be four synchronizations per day, starting at 3:00 A.M., synchronizations will occur at 3:00 A.M., 9:00 A.M., 3:00 P.M., and 9:00 P.M.

  16. Una vez que seleccione las opciones de sincronización apropiadas para la implementación, haga clic en Siguiente para continuar.After selecting the appropriate synchronization options for your deployment, click Next to continue.

  17. En la página Finalizado, tiene la opción de iniciar la sincronización ahora al activar la casilla Iniciar sincronización inicial.On the Finished page, you have the option to start the synchronization now by selecting the Begin initial synchronization check box. Si no selecciona esta opción, deberá usar la consola de administración de WSUS para realizar la sincronización inicial.if you do not select this option, you need to use WSUS Management Console to perform the initial synchronization. Haga clic en Siguiente , si desea leer más información sobre parámetros adicionales de configuración o haga clic en Finalizar , para concluir el asistente y finalizar la configuración inicial de WSUS.Click Next if you want to read more about additional settings, or you can click Finish to conclude this wizard and finish the initial WSUS setup.

  18. Después de que haga clic en Finalizar, aparece la Consola de administración de WSUS.After you click Finish, the WSUS Management Console appears.

Ahora que ya ha establecido la configuración básica de WSUS, lea las siguientes secciones para obtener más detalles sobre cómo cambiar la configuración mediante la Consola de administración de WSUS.Now that you have performed the basic WSUS configuration, read the next sections for more details about changing the settings by using WSUS Management Console.

2.3.2.3. Configurar grupos de equipos de WSUSConfigure WSUS computer groups

los grupos de equipos son una parte importante de las implementaciones de Windows Server Update Services (WSUS).computer groups are an IMPORTANT part of Windows Server Update Services (WSUS) deployments. Los grupos de equipos le permiten probar y dirigir actualizaciones a equipos específicos.Computer groups permit you to test and target updates to specific computers. Hay dos grupos de equipos predeterminados: todos los equipos y equipos sin asignar.There are two default computer groups: All computers and Unassigned computers. De manera predeterminada, cuando cada equipo cliente se comunica por primera vez con el servidor WSUS, el servidor agrega ese equipo cliente en ambos grupos.By default, when each client computer first contacts the WSUS server, the server adds that client computer to both of these groups.

Puede crear tantos grupos de equipos personalizados como desee para administrar actualizaciones en la organización.You can create as many custom computer groups as you need to manage updates in your organization. Como procedimiento recomendado, cree al menos un grupo de equipos para probar actualizaciones antes de implementarlas en otros equipos de la organización.As a best practice, create at least one computer group to test updates before you deploy them to other computers in your organization.

Use el siguiente procedimiento para crear un grupo nuevo y asignar un equipo a este grupo:Use the following procedure to create a new group and assign a computer to this group:

Para crear un grupo de equiposTo create a computer group

  1. En la consola de administración de WSUS, en servicios de actualización, expanda el servidor WSUS, expanda equipos, haga clic con el botón secundario en todos los equiposy, a continuación, haga clic en Agregar grupo de equipos.In the WSUS Administration Console, under Update Services, expand the WSUS server, expand computers, right-click All computers, and then click add computer Group.

  2. En el cuadro de diálogo Agregar grupo de equipos , en nombre, especifique el nombre del nuevo grupo y haga clic en Agregar.In the add computer Group dialog box, in Name, specify the name of the new group, and click then add.

  3. Haga clic en equiposy, a continuación, seleccione los equipos que desea asignar a este grupo nuevo.Click computers, and then select the computers that you want to assign to this new group.

  4. Haga clic con el botón secundario en los nombres de equipo que seleccionó en el paso anterior y, a continuación, haga clic en cambiar pertenencia.Right-click the computer names that you selected in the previous step, and then click change Membership.

  5. En el cuadro de diálogo establecer pertenencia a grupo de equipos , seleccione el grupo de prueba que creó y, a continuación, haga clic en Aceptar.In the Set computer Group Membership dialog box, select the test group that you created, and then click OK.

2.4.2.4. Configurar actualizaciones de clienteConfigure client updates

El programa de instalación de WSUS configura ISS de forma automática para que se distribuya la versión más reciente del servicio Actualizaciones automáticas a cada equipo cliente que se contacte con el servidor WSUS.WSUS Setup automatically configures IIS to distribute the latest version of Automatic Updates to each client computer that contacts the WSUS server. La mejor manera de configurar Actualizaciones automáticas depende del entorno de red.The best way to configure Automatic Updates depends on the network environment.

  • En un entorno que utiliza el servicio de directorio de Active Directory, puede usar un objeto de directiva de grupo basado en dominio (GPO) existente o crear un nuevo GPO.In an environment that uses active directory directory service, you can use an existing domain-based Group Policy Object (GPO) or create a new GPO.

  • En un entorno sin Active Directory, use el editor de directiva de grupo local para configurar Actualizaciones automáticas y, a continuación, señale los equipos cliente al servidor WSUS.In an environment without active directory, use the Local Group Policy editor to configure Automatic Updates, and then point the client computers to the WSUS server.

Importante

Los procedimientos siguientes suponen que la red ejecuta Active Directory.The following procedures assume that your network runs active directory. Además se supone que usted está familiarizado con la directiva de grupo y que la usa para administrar la red.These procedures also assume that you are familiar with Group Policy and you use it to manage the network.

Use los siguientes procedimientos para configurar Actualizaciones automáticas para equipos cliente:Use the following procedures to configure Automatic Updates for client computers:

Configurar Actualizaciones automáticas en la directiva de grupoConfigure Automatic Updates in Group Policy

Si ha configurado Active Directory en la red, puede configurar uno o varios equipos al mismo tiempo incluyéndolos en un objeto de directiva de grupo (GPO) y, a continuación, configurando ese GPO con la configuración de WSUS.If you have set up active directory in your network, you can configure one or multiple computers simultaneously by including them in a Group Policy Object (GPO), and then configuring that GPO with WSUS settings. Se recomienda que cree un GPO nuevo, que contenga solo la configuración de WSUS.We recommend that you create a new GPO that contains only WSUS settings.

Vincule este GPO de WSUS a un contenedor de Active Directory que sea adecuado para su entorno.Link this WSUS GPO to an active directory container that is appropriate for your environment. En un entorno simple, podría unir un GPO de WSUS único al dominio.In a simple environment, you might link a single WSUS GPO to the domain. En un entorno complejo, podría vincular varios GPO de WSUS a varias unidades organizativas (OU), lo cual permite aplicar parámetros de configuración de directiva de WSUS diferentes en distintos tipos de equipos.In a more complex environment, you might link multiple WSUS GPOs to several organizational units (OUs), which will enable you to apply different WSUS policy settings to different types of computers.

Para habilitar WSUS en un GPO de dominioTo enable WSUS through a domain GPO
  1. En el Consola de administración de directivas de grupo (GPMC), busque el GPO en el que desea configurar WSUS y, a continuación, haga clic en Editar.In the Group Policy Management Console (GPMC), browse to the GPO on which you want to configure WSUS, and then click edit.

  2. En GPMC, expanda configuración del equipo, expanda directivas, expanda plantillas administrativas, expanda componentes de Windowsy, a continuación, haga clic en Windows Update.In the GPMC, expand computer Configuration, expand Policies, expand Administrative Templates, expand Windows components, and then click Windows Update.

  3. En el panel de detalles, haga doble clic en Configurar actualizaciones automáticas.In the details pane, double-click Configure Automatic Updates. Se abrirá la directiva Configurar actualizaciones automáticas .The Configure Automatic Updates policy opens.

  4. Haga clic en Habilitada y, después, seleccione una de las siguientes opciones del parámetro Configurar actualización automática:Click Enabled, and then select one of the following options under the Configure automatic updating setting:

    • Notificar descarga y notificar instalación.Notify for download and notify for install. Esta opción notifica al usuario administrativo con sesión iniciada sobre las actualizaciones, antes de que se descarguen e instalen.This option notifies a logged-on administrative user before you download and install the updates.

    • Descargar automáticamente y notificar instalación.Auto download and notify for install. Esta opción comienza automáticamente a descargar actualizaciones y luego notifica al usuario administrativo con sesión iniciada antes de instalarlas.This option automatically begins downloading updates and then notifies a logged-on administrative user before installing the updates. Esta opción está seleccionada de forma predeterminada.By default, this option is selected.

    • Descargar automáticamente y programar la instalación.Auto download and schedule the install. Esta opción comienza automáticamente a descargar actualizaciones y luego las instala el día y a la hora especificados.This option automatically begins downloading updates and then installs the updates on the day and time that you specify.

    • Permitir que el administrador local elija la opción.Allow local admin to choose setting. Esta opción permite a los administradores locales usar Actualizaciones automáticas en el Panel de control para seleccionar una opción de configuración.This option lets local administrators to use Automatic Updates in Control Panel to select a configuration option. Por ejemplo, pueden elegir una hora de instalación programada.For example, they can choose a scheduled installation time. Los administradores locales no pueden deshabilitar Actualizaciones automáticas.Local administrators cannot disable Automatic Updates.

  5. Seleccione Habilitar destinatarios del lado cliente, seleccione habilitadoy, a continuación, escriba el nombre del grupo de equipos de WSUS al que desea agregar este equipo en el cuadro nombre de grupo de destino para este equipo .select Enable client-side targeting, select Enabled, and then type the name of the WSUS computer group to which you want to add this computer in the Target group name for this computer box.

    Nota

    La opción Habilitar destinatarios del lado cliente permite que los equipos cliente se agreguen ellos mismos a grupos de equipos de destino en el servidor WSUS, cuando las actualizaciones automáticas se redirigen a un servidor WSUS.Enable client-side targeting enables client computers to add themselves to target computer groups on the WSUS server, when Automatic Updates is redirected to a WSUS server. Si el estado se establece en habilitado, este equipo se identificará como miembro de un grupo de equipos concreto cuando envíe información al servidor WSUS, que lo utilizará para determinar qué actualizaciones se han implementado en este equipo.if the status is set to Enabled, this computer will identify itself as a member of a particular computer group when it sends information to the WSUS server, which uses it to determine which updates are deployed to this computer. Este valor indica al servidor WSUS el grupo que usará el equipo cliente.This setting indicates to the WSUS server which group the client computer will use. Debe crear el grupo en el servidor WSUS y agregar equipos miembros del dominio a ese grupo.You must create the group on the WSUS server, and add domain-member computers to that group.

  6. Haga clic en Aceptar para cerrar la directiva Habilitar destinatarios del lado cliente y volver al panel de detalles de Windows Update.Click OK to close the Enable client-side targeting policy and return to the Windows Update details pane.

  7. Haga clic en Aceptar para cerrar la directiva Configurar actualizaciones automáticas y volver al panel de detalles de Windows Update.Click OK to close the Configure Automatic Updates policy and return to the Windows Update details pane.

  8. En el panel de detalles de Windows Update , haga doble clic en Especificar la ubicación del servicio Windows Update en la intranet.In the Windows Update details pane, double-click Specify intranet Microsoft update service location.

  9. Haga clic en Habilitado y escriba la misma dirección URL del servidor WSUS en los cuadros de texto Establecer el servicio de actualización de la intranet para detectar actualizaciones y Establecer el servidor de estadísticas de la intranet.Click Enabled, and then, server in the Set the intranet update service for detecting updates and Set the intranet statistics server text boxes, type the same URL of the WSUS server. Por ejemplo, escriba http://servername en ambos cuadros (donde ServerName es el nombre del servidor WSUS).For example, type http://servername in both boxes (where servername is the name of the WSUS server).

    Advertencia

    Cuando escriba la dirección de intranet de su servidor WSUS, asegúrese de especificar el puerto que se va a usar.When you type the intranet address of your WSUS server make sure to specify which port is going to be used. De manera predeterminada, WSUS usará el puerto 8530 para HTTP y 8531 para HTTPS.By default WSUS will use port 8530 for HTTP and 8531 for HTTPS. Por ejemplo, si usa HTTP, debe escribir http://servername:8530 .For example, if you are using HTTP, you should type http://servername:8530.

  10. Haga clic en Aceptar.Click OK.

Después de configurar un equipo cliente, el equipo tardará varios minutos en aparecer en la página equipos de la consola de administración de WSUS.After you set up a client computer, it will take several minutes before the computer appears on the computers page in the WSUS Administration Console. Con equipos cliente configurados con un objeto de directiva de grupo basado en dominio, pueden transcurrir alrededor de 20 minutos para que la directiva de grupo se aplique a la nueva configuración del equipo cliente.For client computers that are configured with a domain-based Group Policy Object, it can take about 20 minutes for Group Policy to apply the new policy settings to the client computer. De forma predeterminada, directiva de grupo actualiza en segundo plano cada 90 minutos, con un desplazamiento aleatorio de 0-30 minutos.By default, Group Policy updates in the background every 90 minutes, with a random offset of 0-30 minutes. Si desea actualizar directiva de grupo antes, puede abrir una ventana del símbolo del sistema en el equipo cliente y escribir gpupdate/force.if you want to update Group Policy sooner, you can open a Command prompt window on the client computer and type gpupdate /force.

en el caso de los equipos cliente que se configuran mediante el editor de directiva de grupo local, el GPO se aplica inmediatamente y la actualización tarda aproximadamente 20 minutos.for client computers that are configured by using the Local Group Policy editor, the GPO is applied immediately, and the update takes about 20 minutes. Si comienza la detección de forma manual, no tiene que esperar 20 minutos para que el equipo cliente se ponga en contacto con WSUS.if you begin detection manually, you do not have to wait 20 minutes for the client computer to contact WSUS.

Dado que la espera de la detección a veces requiere bastante tiempo, con el siguiente procedimiento puede iniciar la detección de inmediato.Because waiting for detection to start can be a time-consuming process, you can use the following procedure to initiate detection immediately.

Para iniciar la detección de WSUSTo initiate WSUS detection
  1. En el equipo cliente, abra una ventana del símbolo del sistema con privilegios elevados.On the client computer, open a Command prompt window with elevated privileges.

  2. Escriba wuauclt. exe/detectnow y, a continuación, presione Entrar.type wuauclt.exe /detectnow, and then press ENTER.

2.5.2.5. Proteger WSUS con el protocolo de Capa de sockets segurosSecure WSUS with the Secure Sockets Layer Protocol

Puede usar el protocolo de Capa de sockets seguros (SSL) para ayudar a proteger la implementación de WSUS.You can use the Secure Sockets Layer (SSL) protocol to help secure the WSUS deployment. WSUS utiliza SSL para autenticar en el servidor WSUS los equipos cliente y los servidores WSUS que siguen en la cadena.WSUS uses SSL to authenticate client computers and downstream WSUS servers to the WSUS server. WSUS también usa SSL para cifrar los metadatos de actualización.WSUS also uses SSL to encrypt update metadata.

Importante

Los clientes y los servidores que siguen en la cadena que están configurados para usar Seguridad de la capa de transporte (TLS) o HTTPS también deben configurarse para utilizar un nombre de dominio completo (FQDN) para su servidor WSUS que precede en la cadena.Clients and downstream servers that are configured to use Transport Layer Security (TLS) or HTTPS must also be configured to use a fully qualified domain name (FQDN) for their upstream WSUS server.

WSUS usa SSL solo para los metadatos, no para los archivos de actualización.WSUS uses SSL for metadata only, not for update files. Se trata de la misma manera en que Microsoft Update distribuye actualizaciones.This is the same way that Microsoft Update distributes updates. Microsoft reduce el riesgo de enviar archivos de actualización a través de un canal no cifrado mediante la firma de cada actualización.Microsoft reduces the risk of sending update files over an unencrypted channel by signing each update. Además, se calcula un hash y se envía junto con los metadatos de cada actualización.In addition, a hash is computed and sent together with the metadata for each update. Cuando se descarga una actualización, WSUS comprueba la firma digital y el hash.When an update is downloaded, WSUS checks the digital signature and hash. Si la actualización ha cambiado, no se instala.If the update has been changed, it is not installed.

Limitaciones de las implementaciones SSL de WSUSLimitations of WSUS SSL deployments

Debe tener en cuenta las siguientes limitaciones cuando use SSL para proteger una implementación de WSUS:You must consider the following limitations when you use SSL to secure a WSUS deployment:

  1. El uso de SSL aumenta la carga de trabajo del servidor.Using SSL increases the server workload. Debe esperar una pérdida de rendimiento del 10 por ciento, debido al costo de cifrar todos los metadatos que se envían a través de la red.You should expect a 10 percent loss of performance because of the cost of encrypting all the metadata that is sent over the network.

  2. Si usa WSUS con una base de datos de SQL Server remota, la conexión entre el servidor WSUS y el servidor de la base de datos no está protegida con SSL.If you use WSUS with a remote SQL Server database, the connection between the WSUS server and the database server is not secured by SSL. Si la conexión de base de datos debe estar protegida, tenga en cuenta las siguientes recomendaciones:If the database connection must be secured, consider the following recommendations:

  • Mueva la base de datos de WSUS al servidor WSUS.move the WSUS database to the WSUS server.

  • Mueva el servidor de base de datos remoto y el servidor WSUS a una red privada.move the remote database server and the WSUS server to a private network.

  • Implemente el protocolo de seguridad de Internet (IPsec) para ayudar a proteger el tráfico de red.deploy Internet Protocol security (IPsec) to help secure network traffic. Para más información sobre IPsec, consulte Creación y uso de directivas de IPsec.For more information about IPsec, see Creating and Using IPsec Policies.

Configurar SSL en el servidor WSUSConfigure SSL on the WSUS server

WSUS requiere dos puertos para SSL: un puerto que use HTTPS para enviar metadatos cifrados y otro que utilice HTTP para enviar las actualizaciones.WSUS requires two ports for SSL: one port that uses HTTPS to send encrypted metadata, and one port that uses HTTP to send updates. Al configurar WSUS para que use SSL, tenga en cuenta lo siguiente:When you configure WSUS to use SSL, consider the following:

  • No se puede configurar que el sitio web de WSUS completo requiera SSL porque entonces debería cifrarse todo el tráfico al sitio de WSUS.You cannot configure the whole WSUS website to require SSL because all traffic to the WSUS site would have to be encrypted. WSUS solo cifra los metadatos de actualización.WSUS encrypts update metadata only. Si un equipo intenta recuperar los archivos de actualización en el Puerto HTTPS, se producirá un error en la transferencia.if a computer attempts to retrieve update files on the HTTPS port, the transfer will fail.

    Debe requerir SSL solo para las raíces virtuales siguientes:You should require SSL for the following virtual roots only:

    • SimpleAuthWebServiceSimpleAuthWebService

    • DSSAuthWebServiceDSSAuthWebService

    • ServerSyncWebServiceServerSyncWebService

    • APIremoting30APIremoting30

    • ClientWebServiceClientWebService

    No debe requerir SSL para las raíces virtuales siguientes:You should not require SSL for the following virtual roots:

    • ContenidoContent

    • StockInventory

    • ReportingWebServiceReportingWebService

    • SelfUpdateSelfUpdate

  • El certificado de la entidad de certificación (CA) debe importarse en el almacén de CA raíz de confianza del equipo local o el de Windows Server Update Service en los servidores WSUS que siguen en la cadena.The certificate of the certification authority (CA) must be imported into the local computer Trusted Root CA store, or the Windows Server Update Service Trusted Root CA store on downstream WSUS servers. Si el certificado solo se importa en el almacén de CA raíz de confianza del usuario local, el servidor WSUS que sigue en la cadena no se autenticará en el servidor que precede en la cadena.if the certificate is only imported to the Local User Trusted Root CA store, the downstream WSUS server will not be authenticated on the upstream server.

    para obtener más información sobre cómo usar los certificados SSL en IIS, vea requerir capa de sockets seguros (IIS 7).for more information about how to use SSL certificates in IIS, see Require Secure Sockets Layer (IIS 7).

  • Debe importar el certificado en todos los equipos que se comunicarán con el servidor WSUS.You must import the certificate to all computers that will communicate with the WSUS server. Se incluyen todos los equipos cliente, servidores que siguen en la cadena y equipos que ejecutan la consola de administración de WSUS.This includes all client computers, downstream servers, and computers that run the WSUS Administration Console. El certificado debe importarse en el almacén de CA raíz de confianza del equipo local o el de Windows Server Update Service.The certificate should be imported into the local computer Trusted Root CA store or into the Windows Server Update Service Trusted Root CA store.

  • Puede usar cualquier puerto para SSL.You can use any port for SSL. Sin embargo, el puerto que configure para SSL también determina el puerto que WSUS usa para enviar el tráfico HTTP sin cifrar.However, the port that you set up for SSL also determines the port that WSUS uses to send clear HTTP traffic. Revisa los siguientes ejemplos:Consider the following examples:

    • Si utiliza el puerto estándar del sector de 443 para el tráfico HTTPS, WSUS usa el puerto estándar del sector 80 para el tráfico HTTP sin cifrar.if you use the industry standard port of 443 for HTTPS traffic, WSUS uses the industry standard port 80 for clear HTTP traffic.

    • Si usa un puerto distinto de 443 para el tráfico HTTPS, WSUS enviará tráfico HTTP sin cifrar a través del puerto que se incluye numéricamente antes del puerto para HTTPS.if you use any port other than 443 for HTTPS traffic, WSUS will send clear HTTP traffic over the port that numerically comes before the port for HTTPS. Por ejemplo, si utiliza el puerto 8531 para HTTPS, WSUS usará el puerto 8530 para HTTP.For example, if you use port 8531 for HTTPS, WSUS will use port 8530 for HTTP.

  • Debe volver a inicializar ClientServicingProxy si se cambia el nombre del servidor, la configuración de SSL o el número del puerto.You must re-initialize ClientServicingProxy if the server name, SSL configuration, or port number are changed.

Configuración de SSL en el servidor raíz WSUSTo configure SSL on the WSUS root server
  1. Inicie sesión en el servidor WSUS con una cuenta que sea miembro de los grupos de administradores o administradores locales de WSUS.Log on to the WSUS server by using an account that is a member of the WSUS Administrators group or the local Administrators group.

  2. Vaya a Inicio, escriba cmd, haga clic con el botón secundario en símbolo del sistemay, a continuación, haga clic en Ejecutar como administrador.Go to start, type CMD, right-click Command prompt, and then click Run as administrator.

  3. Vaya a la carpeta % ProgramFiles% \Update Services\Tools\ .Navigate to the %ProgramFiles%\Update Services\Tools\ folder.

  4. En la ventana del símbolo del sistema, escriba el siguiente comando:In the Command prompt window, type the following command:

    Wsusutil configuresslnombreCertificadoWsusutil configuresslcertificateName

    Donde:where:

    nombreCertificado es el nombre DNS del servidor WSUS.certificateName is the DNS name of the WSUS server.

Configurar SSL en equipos clienteConfigure SSL on client computers

Al configurar SSL en los equipos cliente, debe considerar lo siguiente:When you configure SSL on client computers, you should consider the following issues:

  • Debe incluir la dirección URL de un puerto seguro en el servidor WSUS.You must include a URL for a secure port on the WSUS server. Dado que no se requiere SSL en el servidor, la única forma de asegurarse de que los equipos cliente pueden usar un canal de seguridad es mediante una dirección URL que especifique HTTPS.Because you cannot require SSL on the server, the only way to make sure that client computers can use a security channel is by using a URL that specifies HTTPS. Si usa un puerto distinto de 443 para SSL, también debe incluir ese puerto en la dirección URL.if you use any port other than 443 for SSL, you must include that port in the URL also.

  • El certificado de un equipo cliente debe importarse en el almacén de CA raíz de confianza del equipo local o en el almacén de CA raíz de confianza del servicio de actualización automática.The certificate on a client computer must be imported into the Local computer Trusted Root CA store or Automatic Update Service Trusted Root CA store. Si el certificado se importa solo en el almacén de CA raíz de confianza del usuario local, Actualizaciones automáticas producirá un error en la autenticación del servidor.if the certificate is imported to the Local User's Trusted Root CA store only, Automatic Updates will fail server authentication.

  • Los equipos cliente deben confiar en el certificado que se enlace al servidor WSUS.The client computers must trust the certificate that you bind to the WSUS server. Según el tipo de certificado que se use, podría tener que configurar un servicio para permitir que los equipos cliente confíen en el certificado que está enlazado al servidor WSUS.Depending on the type of certificate that is used, you might have to set up a service to enable the client computers to trust the certificate that is bound to the WSUS server.

Configurar SSL para servidores WSUS que siguen en la cadenaConfigure SSL for downstream WSUS servers

Las instrucciones siguientes configuran un servidor que sigue en la cadena para que se sincronice con uno que precede en la cadena y usa SSL.The following instructions configure a downstream server to synchronize to an upstream server that uses SSL.

Sincronización de un servidor que sigue en la cadena a uno que precede en la cadena y usa SSLTo synchronize a downstream server to an upstream server that uses SSL
  1. Inicie sesión en el equipo con una cuenta de usuario que sea miembro de los grupos de administradores o administradores locales de WSUS.Log on to the computer by using a user account that is a member of the local Administrators group or the WSUS Administrators group.

  2. Haga clic en Inicio, en todos los programas, en herramientas administrativasy, a continuación, en Windows Server Update Service.Click start, click All Programs, click Administrative Tools, and then click Windows Server Update Service.

  3. En el panel derecho, expanda el nombre del servidor.In the right pane, expand the server name.

  4. Haga clic en Opcionesy después en Actualizar origen y servidor proxy.Click Options, and then click Update Source and Proxy Server.

  5. En la página Actualizar origen , seleccione Sincronizar desde otro servidor de Windows Server Update Services.On the Update Source page, select Synchronize from another Windows Server Update Services server.

  6. Escriba el nombre del servidor que precede en la cadena en el cuadro de texto nombre del servidor .type the name of the upstream server into the Server name text box. Escriba el número de puerto que el servidor usa para las conexiones SSL en el cuadro de texto número de Puerto .type the port number that the server uses for SSL connections into the Port number text box.

  7. Active la casilla usar SSL al sincronizar la información de actualización y, a continuación, haga clic en Aceptar.select the Use SSL when synchronizing update information check box, and then click OK.

recursos SSL adicionalesadditional SSL resources

Los pasos necesarios para configurar una entidad de certificación, enlazar el certificado al sitio web de WSUS y establecer una confianza entre los equipos cliente y el certificado están fuera del ámbito de esta guía.The steps that are required to set up a certification authority, bind the certificate to the WSUS website, and establish a trust between the client computers and the certificate are beyond the scope of this guide. Para más información y para instrucciones sobre cómo instalar certificados y configurar este entorno, consulte los temas siguientes:For more information and for instructions about how to install certificates and set up this environment, see the following topics:

2.6.2.6. Completar la configuración de IISComplete IIS Configuration

De forma predeterminada, el acceso de lectura anónimo está habilitado en los sitios web de IIS predeterminados y en todos los nuevos.By default, anonymous read access is enabled for the default and all new IIS websites. Algunas aplicaciones, especialmente Windows SharePoint Services, pueden quitar el acceso anónimo.Some applications, notably Windows SharePoint Services, may remove anonymous access. Si esto se ha producido, debe volver a habilitar el acceso de lectura anónimo antes de poder instalar y operar correctamente WSUS.if this has occurred, you must re-enable the anonymous read access before you can successfully install and operate WSUS.

Para habilitar el acceso de lectura anónimo, siga los pasos de la versión concreta de IIS:To enable anonymous read access, follow the steps for the applicable version of IIS:

  1. Habilitar la autenticación anónima (IIS 7), como se documenta en la Guía de operaciones de IIS 7.Enable Anonymous Authentication (IIS 7), as documented in the IIS 7 Operations Guide.

  2. Habilitación de la autenticación anónima (IIS 6.0), como se documenta en la Guía de operaciones de IIS 6.0.Enabling Anonymous Authentication (IIS 6.0), as documented in the IIS 6.0 Operations Guide.

2.7.2.7. Configurar un certificado de firmaConfigure a Signing Certificate

WSUS tiene la capacidad de publicar paquetes de actualización personalizados para actualizar productos de Microsoft y de otros desarrolladores.WSUS has the ability to publish custom update packages to update Microsoft and non-Microsoft products. WSUS puede firmar automáticamente estos paquetes de actualización con un certificado Authenticode.WSUS can automatically sign these custom update packages for you with an Authenticode certificate. Para habilitar la firma de actualización personalizada, debe instalar un certificado de firma de paquetes en el servidor WSUS.To enable custom update signing, you must install a package signing certificate on your WSUS server. Hay varias consideraciones que debe tener en cuenta relacionados con la firma de actualización personalizada.There are several considerations associated with custom update signing.

  1. Distribución de certificados.Certificate Distribution. La clave privada debe instalarse en el servidor WSUS y la clave pública debe instalarse de forma explícita en el almacén de certificados de confianza en todos los servidores y equipos cliente que recibirán las actualizaciones de firma personalizada.The private key must be installed on the WSUS server, and the public key must be explicitly installed in the trusted certificate store on all client PCs and servers which are to receive custom-signed updates.

  2. Expiración.Expiration. Cuando el certificado autofirmado expire o esté próximo a hacerlo, WSUS registrará los eventos en el registro de eventos.When the self-signed certificate expires or nears expiration, WSUS will log events in the event log.

  3. Actualizaciones y revocación de certificados.Certificate Updates/Revocation. Si desea actualizar o revocar un certificado (es decir, después de detectar que expiró), WSUS no ofrecía ninguna funcionalidad para habilitarlo.if you wanted to update or revoke a certificate (i.e. after discovering that it expired), WSUS offered no functionality to enable this. Para realizar esto, era necesario realizar una tarea manual que era muy complicada de hacer a mano o automatizar correctamente.Accomplishing this turned into a manual task that was very hard to either do by hand or automate successfully.