Implementar las actualizaciones de cliente de Windows con Windows Server Update Services (WSUS)

¿Buscas información para consumidores? Consulta Windows Update: preguntas más frecuentes

WSUS es un rol de Windows Server disponible en los sistemas operativos Windows Server. Proporciona un concentrador único para las actualizaciones de Windows dentro de una organización. WSUS permite a las empresas no solo aplazar las actualizaciones, sino también aprobarlas de forma selectiva, elegir cuándo se entregan y determinar qué dispositivos o grupos individuales de dispositivos las reciben. WSUS proporciona control adicional sobre Windows Update para empresas, pero no proporciona todas las opciones de programación y la flexibilidad de implementación que proporciona Microsoft Configuration Manager.

Al elegir WSUS como origen para las actualizaciones de Windows, se usa directiva de grupo para que los dispositivos cliente de Windows apunten al servidor WSUS para sus actualizaciones. Desde ahí, las actualizaciones se descargan periódicamente en el servidor WSUS y se administran, aprueban e implementan a través de la consola de administración de WSUS o la directiva de grupo, lo que simplifica la administración de actualizaciones de la empresa. Si actualmente usa WSUS para administrar las actualizaciones de Windows en su entorno, puede seguir haciéndolo en Windows 11.

Requisitos para el servicio de cliente de Windows con WSUS

Para poder usar WSUS para administrar e implementar actualizaciones de características de Windows, debe usar una versión de WSUS compatible:

  • WSUS 10.0.14393 (rol en Windows Server 2016)
  • WSUS 10.0.17763 (rol en Windows Server 2019)
  • WSUS 6.2 y 6.3 (rol en Windows Server 2012 y Windows Server 2012 R2)
  • Las 3095113 KB y kb 3159706 (o una actualización equivalente) deben instalarse en WSUS 6.2 y 6.3.

Importante

Tanto kb 3095113 como kb 3159706 se incluyen en el paquete acumulativo de actualizaciones de calidad mensual de seguridad a partir de julio de 2017. Esto significa que es posible que no vea kb 3095113 y KB 3159706 como actualizaciones instaladas, ya que es posible que se hayan instalado con un paquete acumulativo. Sin embargo, si necesita cualquiera de estas actualizaciones, se recomienda instalar un paquete acumulativo de actualizaciones de calidad mensual de seguridad publicado después de octubre de 2017 , ya que contienen una actualización de WSUS adicional para reducir el uso de memoria en el clientewebservice de WSUS. Si ha sincronizado cualquiera de estas actualizaciones antes del paquete acumulativo de actualizaciones de calidad mensual de seguridad, puede experimentar problemas. Para recuperarse de esto, consulte Cómo eliminar actualizaciones en WSUS.

Escalabilidad de WSUS

Para usar WSUS para administrar todas las actualizaciones de Windows, algunas organizaciones pueden necesitar acceso a WSUS desde una red perimetral o podrían tener algún otro escenario complejo. WSUS es muy escalable y configurable para las organizaciones de cualquier tamaño o diseño de sitio. Para obtener información específica sobre el escalado de WSUS, incluida la configuración del servidor ascendente y descendente, las sucursales, el equilibrio de carga de WSUS y otros escenarios complejos, consulte Implementación de Windows Server Update Services.

Configurar las actualizaciones automáticas y actualizar la ubicación del servicio

Si usas WSUS para administrar las actualizaciones en los dispositivos cliente Windows, comienza configurando las opciones Configurar Actualizaciones automáticas y Especificar la ubicación del servicio Microsoft Update en la intranet de la directiva de grupo para tu entorno. Al hacerlo, obligas a los clientes afectados a ponerse en contacto con el servidor WSUS para que pueda administrarlas. El siguiente proceso describe cómo especificar estas opciones de configuración y cómo implementarlas en todos los dispositivos del dominio.

Para configurar las opciones Configurar Actualizaciones automáticas y Especificar la ubicación del servicio Microsoft Update en la intranet de la directiva de grupo para tu entorno

  1. Abra directiva de grupo Management Console (gpmc.msc).

  2. Expanda Bosque\Dominios\Your_Domain.

  3. Haga clic con el botón derecho en Your_Domain y, a continuación , seleccione Crear un GPO en este dominio y Vincularlo aquí.

    Cree un GPO en este ejemplo de dominio en la interfaz de usuario.

    Nota:

    En este ejemplo, las opciones Configurar Actualizaciones automáticas y Especificar la ubicación del servicio Microsoft Update en la intranet de la directiva de grupo se especifican para todo el dominio. Esto no es un requisito; puedes aplicar estas opciones a cualquier grupo de seguridad mediante la característica Filtrado de seguridad o una UO específica.

  4. En el cuadro de diálogo Nuevo GPO, asigne al nuevo GPO el nombre WSUS- Auto Novedades y Intranet Update Service Location (Ubicación del servicio de actualización de intranet).

  5. Haga clic con el botón derecho en el GPO WSUS - Auto Novedades y Ubicación del servicio de actualización de intranet y, a continuación, seleccione Editar.

  6. En el Editor de administración de directivas de grupo, ve a Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Windows Update.

  7. Haga clic con el botón derecho en la opción Configurar Novedades automática y, a continuación, seleccione Editar.

    Configure la Novedades automática en la interfaz de usuario.

  8. En el cuadro de diálogo Configurar Actualizaciones automáticas, selecciona Habilitar.

  9. En Opciones, en la lista Configurar actualización automática , seleccione 3 : Descarga automática y notificación para la instalación y, a continuación, seleccione Aceptar.

    Seleccione Descargar automáticamente y notificar la instalación en la interfaz de usuario.

    Importante

    Use Regedit.exe para comprobar que la clave siguiente no está habilitada, ya que puede interrumpir la conectividad de la Tienda Windows: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotConnectToWindowsUpdateInternetLocations

    Nota:

    Hay otras tres opciones de configuración para las fechas y horas de instalación y descarga de actualizaciones automáticas. Simplemente, es la opción que se usa en este ejemplo. Para obtener más ejemplos sobre cómo controlar las actualizaciones automáticas y otras directivas relacionadas, consulta Configure Automatic Updates by Using Group Policy (Configurar las actualizaciones automáticas con la opción de directiva de grupo).

  10. Haga clic con el botón derecho en la configuración Especificar ubicación del servicio Microsoft Update de intranet y, a continuación, seleccione Editar.

  11. En el cuadro de diálogo Especificar la ubicación del servicio Microsoft Update en la intranet, selecciona Habilitar.

  12. En Opciones, en Establecer el servicio de actualización de intranet para detectar actualizaciones y Establecer las opciones del servidor de estadísticas de intranet , escriba http://Your_WSUS_Server_FQDN:PortNumbery, a continuación, seleccione Aceptar.

    Nota:

    La dirección URL http://CONTOSO-WSUS1.contoso.com:8530 de la imagen siguiente es solo un ejemplo. En tu entorno, asegúrate de usar el nombre del servidor y el número de puerto de tu instancia de WSUS.

    Establezca el servidor de estadísticas de intranet en la interfaz de usuario.

    Nota:

    El puerto HTTP predeterminado para WSUS es 8530 y el puerto HTTP sobre Capa de sockets seguros (HTTPS) predeterminado es 8531. (Las otras opciones son 80 y 443; no se admiten otros puertos).

Dado que los clientes Windows actualizan sus directivas de equipo (el valor de actualización de directiva de grupo predeterminado es de 90 minutos y cuando se reinicia un equipo), los equipos comienzan a aparecer en WSUS. Ahora que los clientes se comunican con el servidor WSUS, crea los grupos de equipos que estén en línea con tus anillos de implementación.

Crear grupos de equipos en la consola de administración de WSUS

Nota:

Los procedimientos siguientes usan los grupos de la tabla 1 en Anillos de implementación de compilación para las actualizaciones de cliente de Windows como ejemplos.

Puedes usar grupos de equipos para un subconjunto de dispositivos que tengan actualizaciones de calidad y de características específicas. Estos grupos representan tus anillos de implementación, tal como los controla WSUS. Puedes rellenar los grupos manualmente mediante la consola de administración de WSUS o automáticamente a través de la directiva de grupo. Independientemente del método que elijas, primero debes crear los grupos en la consola de administración de WSUS.

Para crear grupos de equipos en la consola de administración de WSUS

  1. Abre la consola de administración de WSUS.

  2. Vaya a Server_Name\Computers\All Computers (Equipos\Todos los equipos) y seleccione Agregar grupo de equipos.

    Agregar grupo de equipos en la interfaz de usuario de administración de WSUS.

  3. Escriba Ring 2 Pilot Business Users (Usuarios empresariales piloto del anillo 2 ) para el nombre y, a continuación, seleccione Agregar.

  4. Repite estos pasos para los grupos TI general del anillo 3 y Todos los usuarios empresariales del anillo 4. Cuando haya terminado, debería haber tres grupos de anillos de implementación.

Ahora que los grupos se han creado, agrega los equipos a los grupos de equipos en línea con los anillos de implementación deseados. Puedes hacerlo a través de la directiva de grupo o manualmente mediante la consola de administración de WSUS.

Usar la consola de administración de WSUS para rellenar los anillos de implementación

Agregar equipos a grupos de equipos en la consola de administración de WSUS es sencillo, pero puede tardar mucho más que administrar la pertenencia a través de la directiva de grupo, especialmente si tienes muchos equipos que se deben agregar. La adición de equipos a grupos de equipos en la consola de administración de WSUS se denomina selección de destinatarios del lado servidor.

En este ejemplo, se agregan equipos a grupos de equipos de dos maneras diferentes: asignando manualmente equipos sin asignar y buscando varios equipos.

Asignar manualmente equipos sin asignar a grupos

Cuando nuevos equipos se comunican con WSUS, aparecen en el grupo Equipos sin asignar. Desde ahí, puedes usar el siguiente procedimiento para agregar equipos a los grupos adecuados. En estos ejemplos, se usan dos equipos Windows 10 (WIN10-PC1 y WIN10-PC2) para agregarlos a los grupos de equipos.

Para asignar equipos manualmente

  1. En la consola de administración de WSUS, ve a Nombre_servidor\Equipos\Todos los equipos\Equipos sin asignar.

    Aquí verás los nuevos equipos que recibieron el GPO que creaste en la sección anterior y que comenzaron a comunicarse con WSUS. Este ejemplo solo tiene dos equipos; En función de la amplitud con la que implementó la directiva, es probable que tenga muchos equipos aquí.

  2. Seleccione ambos equipos, haga clic con el botón derecho en la selección y, a continuación, seleccione Cambiar pertenencia.

    Seleccione Cambiar pertenencia en la interfaz de usuario.

  3. En el cuadro de diálogo Establecer pertenencia a grupos de equipos, seleccione el anillo de implementación Anillo 2 Usuarios empresariales piloto y, a continuación, seleccione Aceptar.

    Dado que se asignan a un grupo, los equipos ya no están en el grupo Equipos sin asignar. Si selecciona el grupo de equipos Anillo 2 Usuarios empresariales piloto , verá ambos equipos allí.

Buscar varios equipos para agregarlos a grupos

Otra forma de agregar varios equipos a un anillo de implementación en la consola de administración de WSUS es usar la característica de búsqueda.

Para buscar varios equipos

  1. En la Consola de administración de WSUS, vaya a Server_Name\Equipos\Todos los equipos, haga clic con el botón derecho en Todos los equipos y, a continuación, seleccione Buscar.

  2. En el cuadro de búsqueda, escribe WIN10.

  3. En los resultados de la búsqueda, seleccione los equipos, haga clic con el botón derecho en la selección y, a continuación, seleccione Cambiar pertenencia.

    Seleccione Cambiar pertenencia para buscar varios equipos en la interfaz de usuario.

  4. Seleccione el anillo de implementación de TI amplio anillo 3 y, a continuación, seleccione Aceptar.

Ahora puedes ver estos equipos en el grupo de equipos TI general del anillo 3.

Usar la directiva de grupo para rellenar los anillos de implementación

La consola de administración de WSUS proporciona una interfaz sencilla desde la que puedes administrar las actualizaciones de calidad y de características de Windows 10. Sin embargo, si necesitas agregar varios equipos al anillo de implementación de WSUS correcto, hacerlo manualmente en la consola de administración de WSUS puede llevar mucho tiempo. En estos casos, considera la posibilidad de usar la directiva de grupo para seleccionar como destino los equipos correctos, de modo que se agreguen automáticamente al anillo de implementación de WSUS correcto en función de un grupo de seguridad de Active Directory. Este proceso se denomina selección de destinatarios del lado cliente. Antes de habilitar la selección de destinatarios del lado cliente en la directiva de grupo, debes configurar WSUS para que acepte la asignación de equipos de la directiva de grupo.

Para configurar WSUS para permitir la selección de destinatarios del lado cliente desde la directiva de grupo

  1. Abra la Consola de administración de WSUS, vaya a Server_Name\Options y, a continuación, seleccione Equipos.

    Seleccione Comptuers en la consola de administración de WSUS.

  2. En el cuadro de diálogo Equipos, seleccione Usar directiva de grupo o configuración del Registro en los equipos y, a continuación, seleccione Aceptar.

    Nota:

    Esta opción es exclusivamente either-or. Al habilitar WSUS para usar la directiva de grupo para la asignación de grupos, ya no puedes agregar equipos manualmente a través de la consola de administración de WSUS hasta que se restablezca la opción.

Ahora que WSUS está listo para la selección de destinatarios del lado cliente, realiza los siguientes pasos para usar la directiva de grupo para configurar la selección de destinatarios del lado cliente:

Para configurar la selección de destinatarios del lado cliente

Sugerencia

Cuando uses la selección de destinatarios del lado cliente, considera la posibilidad de asignar a los grupos de seguridad los mismos nombres que asignaste a los anillos de implementación. Esto simplifica el proceso de creación de directivas y ayuda a garantizar que no agregue equipos a los anillos incorrectos.

  1. Abra directiva de grupo Management Console (gpmc.msc).

  2. Expanda Bosque\Dominios\Your_Domain.

  3. Haga clic con el botón derecho en Your_Domain y, a continuación , seleccione Crear un GPO en este dominio y Vincularlo aquí.

  4. En el cuadro de diálogo Nuevo GPO , escriba WSUS - Destino de cliente- Anillo 4 Usuarios empresariales amplios para el nombre del nuevo GPO.

  5. Haga clic con el botón derecho en el GPO WSUS - Client Targeting - Ring 4 Broad Business Users (WSUS: destino de cliente: anillo 4 de usuarios empresariales amplios ) y, a continuación, seleccione Editar.

    Seleccione el anillo 4 de WSUS y edite en la directiva de grupo.

  6. En el Editor de administración de directivas de grupo, ve a Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Windows Update.

  7. Haga clic con el botón derecho en Habilitar la selección de destino del lado cliente y, a continuación, seleccione Editar.

  8. En el cuadro de diálogo Habilitar destinatarios del lado cliente, selecciona Habilitar.

  9. En el cuadro Nombre de grupo de destino para este equipo, escribe Todos los usuarios empresariales del anillo 4. Este es el nombre del anillo de implementación de WSUS al que se agregarán estos equipos.

    Escriba el nombre del anillo de implementación de WSUS.

Advertencia

El nombre del grupo de destino debe coincidir con el nombre del grupo de equipos.

  1. Cierra el Editor de administración de directivas de grupo.

Ahora ya está listo para implementar este GPO en el grupo de seguridad de equipo correcto para el anillo de implementación Ring 4 Broad Business Users .

Para definir el ámbito del GPO en un grupo

  1. En GPMC, seleccione la directiva WSUS - Client Targeting - Ring 4 Broad Business Users (WSUS: destino de cliente: anillo 4 usuarios empresariales amplios ).

  2. Seleccione la pestaña Ámbito .

  3. En Filtrado de seguridad, quita el grupo de seguridad Usuarios autenticados predeterminado y, después, agrega el grupo Todos los usuarios empresariales del anillo 4.

    Quite el grupo de seguridad USUARIOS AUTENTICADOS predeterminado en la directiva de grupo.

La próxima vez que los clientes del grupo de seguridad Ring 4 Broad Business Users reciban su directiva de equipo y se pongan en contacto con WSUS, se agregarán al anillo de implementación Ring 4 Broad Business Users .

Aprobar e implementar automáticamente las actualizaciones de características

Para los clientes que deben tener sus actualizaciones de características aprobadas tan pronto como estén disponibles, puede configurar reglas de aprobación automática en WSUS.

Nota:

WSUS respeta la rama de mantenimiento del dispositivo cliente. Si aprueba una actualización de características mientras sigue en una rama, como Insider Preview, WSUS instalará la actualización solo en los dispositivos que se encuentren en esa rama de mantenimiento. Cuando Microsoft publica la compilación para el canal de disponibilidad general, los dispositivos que la instalarán. Windows Update para la configuración de la rama Business no se aplica a las actualizaciones de características a través de WSUS.

Para configurar una regla de aprobación automática para las actualizaciones de características de cliente de Windows y aprobarlas para el anillo de implementación de TI amplia de Ring 3 En este ejemplo se usa Windows 10, pero el proceso es el mismo para Windows 11.

  1. En la Consola de administración de WSUS, vaya a Update Services\Server_Name\Options y, a continuación, seleccione Aprobaciones automáticas.

  2. En la pestaña Actualizar reglas , seleccione Nueva regla.

  3. En el cuadro de diálogo Agregar regla, selecciona las casillas Cuando una actualización está en una clasificación específica, Cuando una actualización está en un producto específico y Establecer una fecha límite para la aprobación.

    Active las casillas de actualización y fecha límite en la Consola de administración de WSUS.

  4. En el área Editar las propiedades, selecciona cualquier clasificación. Borre todo excepto Actualizaciones y, a continuación, seleccione Aceptar.

  5. En el área Editar las propiedades, seleccione el vínculo de cualquier producto . Desactive todas las casillas excepto Windows 10 y, a continuación, seleccione Aceptar.

    Windows 10 está bajo Todos los productos\Microsoft\Windows.

  6. En el área Editar las propiedades , seleccione el vínculo Todos los equipos . Desactive todas las casillas del grupo de equipos excepto Ring 3 Broad IT y, a continuación, seleccione Aceptar.

  7. Deja la fecha límite establecida en 7 días después de la aprobación a las 3:00.

  8. En el cuadro Paso 3: Especificar un nombre, escriba Windows 10 Actualizar aprobación automática para TI amplia de Anillo 3 y, a continuación, seleccione Aceptar.

    Escriba el nombre de implementación del anillo 3.

  9. En el cuadro de diálogo Aprobaciones automáticas , seleccione Aceptar.

    Nota:

    WSUS no respeta ninguna configuración de aplazamiento de mes, semana o día existente. Dicho esto, si usa Windows Update para empresas para un equipo para el que WSUS también está administrando actualizaciones, cuando WSUS apruebe la actualización, se instalará en el equipo independientemente de si configuró directiva de grupo esperar.

Ahora, cada vez que se publiquen actualizaciones de características de cliente de Windows en WSUS, se aprobarán automáticamente para el anillo de implementación de TI amplio ring 3 con una fecha límite de instalación de 1 semana.

Advertencia

La regla de aprobación automática se ejecuta después de que se produzca la sincronización. Esto significa que se aprobará la siguiente actualización para cada versión de cliente de Windows. Si selecciona Ejecutar regla, se aprobarán todas las actualizaciones posibles que cumplan los criterios, lo que podría incluir actualizaciones anteriores que no desea realmente, lo que puede ser un problema cuando los tamaños de descarga son muy grandes.

Aprobar e implementar actualizaciones de características manualmente

También puedes aprobar actualizaciones y establecer fechas límite de instalación manualmente en la consola de administración de WSUS. Es posible que sea mejor aprobar las reglas de actualización manualmente después de actualizar la implementación piloto.

Para simplificar el proceso de aprobación manual, empiece por crear una vista de actualización de software que contenga solo Windows 10 actualizaciones (en este ejemplo). El proceso es el mismo para las actualizaciones de Windows 11.

Nota:

Si aprueba más de una actualización de características para un equipo, puede producirse un error con el cliente. Aprobar solo una actualización de características por equipo.

Para aprobar e implementar actualizaciones de características manualmente

  1. En la Consola de administración de WSUS, vaya a Update Services\Server_Name\Novedades. En el panel Acción , seleccione Nueva vista de actualización.

  2. En el cuadro de diálogo Agregar vista de actualización, selecciona Las actualizaciones están en una clasificación específica y Las actualizaciones son para un producto específico.

  3. En Paso 2: Editar las propiedades, seleccione cualquier clasificación. Desactive todas las casillas excepto Actualizaciones y, a continuación, seleccione Aceptar.

  4. En Paso 2: Editar las propiedades, seleccione cualquier producto. Desactive todas las casillas excepto Windows 10 y, a continuación, seleccione Aceptar.

    Windows 10 está bajo Todos los productos\Microsoft\Windows.

  5. En el cuadro Paso 3: Especificar un nombre, escriba Todas las actualizaciones Windows 10 y, a continuación, seleccione Aceptar.

    Escriba Todas las actualizaciones de Windows 10 para el nombre en la consola de administración de WSUS.

Ahora que tiene la vista Todas las actualizaciones de Windows 10, complete los pasos siguientes para aprobar manualmente una actualización para el anillo de implementación Anillo 4 De amplios usuarios empresariales:

  1. En la Consola de administración de WSUS, vaya a Update Services\Server_Name\Novedades\Todas las actualizaciones de Windows 10.

  2. Haga clic con el botón derecho en la actualización de características que desea implementar y, a continuación, seleccione Aprobar.

    Apruebe la característica que desea implementar en la consola de administración de WSUS.

  3. En la lista Todos los usuarios empresariales del anillo 4 del cuadro de diálogo Aprobar actualizaciones, selecciona Aprobada para su instalación.

    Seleccione Aprobar para instalar en la consola de administración de WSUS.

  4. En el cuadro de diálogo Aprobar Novedades, en la lista Anillo 4 Usuarios empresariales amplios, seleccione Fecha límite, una semana y, a continuación, seleccione Aceptar.

    Seleccione una fecha límite de una semana en la consola de administración de WSUS.

  5. Si se abre el cuadro de diálogo Términos de licencia de software de Microsoft , seleccione Aceptar.

    Si la implementación se realiza correctamente, deberías recibir un informe de progreso correcto.

    Una implementación correcta de ejemplo.

  6. En el cuadro de diálogo Progreso de aprobación , seleccione Cerrar.