Implementar las actualizaciones de Windows10 con Windows Server Update Services (WSUS)

Se aplica a

  • Windows 10

¿Buscas información para consumidores? Consulta Windows Update: preguntas más frecuentes

Importante

Debido a cambios en la nomenclatura, las condiciones anteriores como CB, CBB y LTSB pueden seguir apareciendo en algunos de nuestros productos.

En la siguiente configuración, CB hace referencia al canal semianual (dirigido), mientras CBB hace referencia al canal semianual.

WSUS es un rol de Windows Server disponible en los sistemas operativos Windows Server. Proporciona un concentrador único para las actualizaciones de Windows dentro de una organización. WSUS permite a las empresas no solo aplazar las actualizaciones, sino también aprobarlas de manera selectiva, elegir cuándo se entregan y determinar qué dispositivos individuales o grupos de dispositivos las reciben. WSUS proporciona un control adicional sobre Windows Update para empresas, pero no proporciona todas las opciones de programación ni la flexibilidad de implementación que proporciona System Center Configuration Manager.

Si eliges WSUS como origen de las actualizaciones de Windows, se usa la directiva de grupo para orientar los dispositivos cliente Windows 10 al servidor WSUS para sus actualizaciones. Desde ahí, las actualizaciones se descargan periódicamente en el servidor WSUS y se administran, aprueban e implementan a través de la consola de administración de WSUS o la directiva de grupo, lo que simplifica la administración de actualizaciones de la empresa. Si estás usando actualmente WSUS para administrar las actualizaciones de Windows en tu entorno, puedes seguir haciéndolo en Windows 10.

Requisitos para el mantenimiento de Windows 10 con WSUS

Para poder usar WSUS para administrar e implementar actualizaciones de características de Windows 10, debes tener WSUS 4.0, que está disponible en los sistemas operativos Windows Server 2012 R2 y Windows Server 2012. Además de WSUS 4.0, debes instalar las revisiones KB3095113 y KB3159706 en el servidor WSUS.

Escalabilidad de WSUS

Para usar WSUS para administrar todas las actualizaciones de Windows, algunas organizaciones pueden necesitar acceso a WSUS desde una red perimetral o podrían tener algún otro escenario complejo. WSUS es muy escalable y configurable para las organizaciones de cualquier tamaño o diseño de sitio. Para obtener información específica sobre el ajuste de escala de WSUS, incluida la configuración del servidor que precede en la cadena y el que sigue en la cadena, las sucursales, el equilibrio de carga de WSUS y otros escenarios complejos, consulta Choose a Type of WSUS Deployment (Elegir un tipo de implementación de WSUS).

Archivos de instalación rápida

Con Windows 10, las actualizaciones de calidad serán mayores que las actualizaciones de Windows tradicionales porque son acumulativas. Para administrar los clientes de ancho de banda que requerirá la descarga de actualizaciones de gran tamaño como estas, WSUS tiene la característica de archivos de instalación rápida.

En un nivel binario, los archivos asociados a actualizaciones no pueden cambiar mucho. De hecho, con las actualizaciones de calidad acumulativas, la mayoría del contenido será de las actualizaciones anteriores. En lugar de descargar la actualización completa cuando solo un pequeño porcentaje de la carga es realmente diferente, la característica de archivos de instalación rápida analiza las diferencias entre los nuevos archivos asociados a una actualización y los archivos existentes en el cliente. Este enfoque reduce considerablemente la cantidad de ancho de banda usado porque realmente se entrega solo una fracción del contenido de la actualización.

Para configurar WSUS para descargar archivos de actualización rápida

  1. Abre la consola de administración de WSUS.

  2. En el panel de navegación, ve a Tu_servidor\Opciones.

  3. En la sección Opciones, haz clic en Actualizar archivos e idiomas.

    Ejemplo de interfaz de usuario

  4. En el cuadro de diálogo Actualizar archivos e idiomas, selecciona Descargar archivos de instalación rápida.

    Ejemplo de interfaz de usuario

    Nota

    Dado que las actualizaciones de Windows 10 son acumulativas, al habilitar la característica de archivos de instalación rápida cuando WSUS está configurado para descargar actualizaciones de Windows 10, aumentará considerablemente la cantidad de espacio en disco que necesita WSUS. Como alternativa, al usar la característica de archivos de instalación rápida para versiones anteriores de Windows, los efectos positivos de la característica no son perceptibles porque las actualizaciones no son acumulativas.

Configurar las actualizaciones automáticas y actualizar la ubicación del servicio

Si usas WSUS para administrar las actualizaciones en los dispositivos cliente Windows, comienza configurando las opciones Configurar Actualizaciones automáticas y Especificar la ubicación del servicio Microsoft Update en la intranet de la directiva de grupo para tu entorno. Al hacerlo, obligas a los clientes afectados a ponerse en contacto con el servidor WSUS para que pueda administrarlas. El siguiente proceso describe cómo especificar estas opciones de configuración y cómo implementarlas en todos los dispositivos del dominio.

Para configurar las opciones Configurar Actualizaciones automáticas y Especificar la ubicación del servicio Microsoft Update en la intranet de la directiva de grupo para tu entorno

  1. Abre GPMC.

  2. Expande Bosque\Dominios\Tu_dominio.

  3. Haz clic con el botón derecho en Tu_dominio y, después, haz clic en Crear un GPO en este dominio y vincularlo aquí.

    Ejemplo de interfaz de usuario

    Nota

    En este ejemplo, las opciones Configurar Actualizaciones automáticas y Especificar la ubicación del servicio Microsoft Update en la intranet de la directiva de grupo se especifican para todo el dominio. Esto no es un requisito; puedes aplicar estas opciones a cualquier grupo de seguridad mediante la característica Filtrado de seguridad o una UO específica.

  4. En el cuadro de diálogo Nuevo GPO, asigna el nombre WSUS: actualizaciones automáticas y ubicación del servicio de actualización en la intranet al nuevo GPO.

  5. Haz clic en el GPO WSUS: actualizaciones automáticas y ubicación del servicio de actualización en la intranet y, después, haz clic en Editar.

  6. En el Editor de administración de directivas de grupo, ve a Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Windows Update.

  7. Haz clic con el botón derecho en la opción Configurar Actualizaciones automáticas y, después, haz clic en Editar.

    Ejemplo de interfaz de usuario

  8. En el cuadro de diálogo Configurar Actualizaciones automáticas, selecciona Habilitar.

  9. En Opciones, en la lista Configurar actualización automática, selecciona 3 - Descargar automáticamente y notificar instalación y, después, haz clic en Aceptar.

    Ejemplo de interfaz de usuario

    Nota

    Existen otras tres opciones de configuración para actualizar automáticamente las fechas y horas de descarga e instalación. Simplemente, es la opción que se usa en este ejemplo. Para obtener más ejemplos sobre cómo controlar las actualizaciones automáticas y otras directivas relacionadas, consulta Configure Automatic Updates by Using Group Policy (Configurar las actualizaciones automáticas con la opción de directiva de grupo).

  10. Haz clic con el botón derecho en la opción Especificar la ubicación del servicio Microsoft Update en la intranet y, después, haz clic en Editar.

  11. En el cuadro de diálogo Especificar la ubicación del servicio Microsoft Update en la intranet, selecciona Habilitar.

  12. En Opciones, en las opciones configurar el servicio de actualización de la intranet para detectar actualizaciones y establecer las estadísticas de la intranet , escriba http://Your_WSUS_Server_FQDN:PortNumber y, a continuación, haga clic en Aceptar.

    Nota

    La dirección URL http://CONTOSO-WSUS1.contoso.com:8530 de la imagen siguiente es solo un ejemplo. En tu entorno, asegúrate de usar el nombre del servidor y el número de puerto de tu instancia de WSUS.

    Ejemplo de interfaz de usuario

    Nota

    El puerto HTTP predeterminado para WSUS es 8530 y el puerto HTTP sobre Capa de sockets seguros (HTTPS) predeterminado es 8531. Si no estás seguro de qué puerto usa WSUS para la comunicación del cliente, haz clic con el botón derecho en el sitio de administración de WSUS en el Administrador de IIS y, después, haz clic en Modificar enlaces.

Dado que los clientes Windows actualizan sus directivas de equipo (el valor de actualización de directiva de grupo predeterminado es de 90 minutos y cuando se reinicia un equipo), los equipos comienzan a aparecer en WSUS. Ahora que los clientes se comunican con el servidor WSUS, crea los grupos de equipos que estén en línea con tus anillos de implementación.

Crear grupos de equipos en la consola de administración de WSUS

Nota

En los siguientes procedimientos, se usan los grupos de la Tabla 1 de Generar anillos de implementación para las actualizaciones de Windows 10 a modo de ejemplo.

Puedes usar grupos de equipos para un subconjunto de dispositivos que tengan actualizaciones de calidad y de características específicas. Estos grupos representan tus anillos de implementación, tal como los controla WSUS. Puedes rellenar los grupos manualmente mediante la consola de administración de WSUS o automáticamente a través de la directiva de grupo. Independientemente del método que elijas, primero debes crear los grupos en la consola de administración de WSUS.

Para crear grupos de equipos en la consola de administración de WSUS

  1. Abre la consola de administración de WSUS.

  2. Ve a Nombre_servidor\Equipos\Todos los equipos y, después, haz clic en Agregar grupo de equipos.

    Ejemplo de interfaz de usuario

  3. Escribe el nombre Usuarios de empresa piloto del anillo 2 y, después, haz clic en Agregar.

  4. Repite estos pasos para los grupos TI general del anillo 3 y Todos los usuarios empresariales del anillo 4. Cuando termines, debería haber tres grupos de anillo de implementación.

Ahora que los grupos se han creado, agrega los equipos a los grupos de equipos en línea con los anillos de implementación deseados. Puedes hacerlo a través de la directiva de grupo o manualmente mediante la consola de administración de WSUS.

Usar la consola de administración de WSUS para rellenar los anillos de implementación

Agregar equipos a grupos de equipos en la consola de administración de WSUS es sencillo, pero puede tardar mucho más que administrar la pertenencia a través de la directiva de grupo, especialmente si tienes muchos equipos que se deben agregar. La adición de equipos a grupos de equipos en la consola de administración de WSUS se denomina selección de destinatarios del lado servidor.

En este ejemplo, se agregan equipos a grupos de equipos de dos maneras diferentes: asignando manualmente equipos sin asignar y buscando varios equipos.

Asignar manualmente equipos sin asignar a grupos

Cuando nuevos equipos se comunican con WSUS, aparecen en el grupo Equipos sin asignar. Desde ahí, puedes usar el siguiente procedimiento para agregar equipos a los grupos adecuados. En estos ejemplos, se usan dos equipos Windows 10 (WIN10-PC1 y WIN10-PC2) para agregarlos a los grupos de equipos.

Para asignar equipos manualmente

  1. En la consola de administración de WSUS, ve a Nombre_servidor\Equipos\Todos los equipos\Equipos sin asignar.

    Aquí verás los nuevos equipos que recibieron el GPO que creaste en la sección anterior y que comenzaron a comunicarse con WSUS. En este ejemplo hay solo dos equipos; según el alcance de la implementación de tu directiva, es probable que tengas muchos equipos aquí.

  2. Selecciona ambos equipos, haz clic con el botón derecho en la selección y, después, haz clic en Cambiar pertenencia.

    Ejemplo de interfaz de usuario

  3. En el cuadro de diálogo Establecer pertenencia a un grupo de equipos, selecciona el anillo de implementación Usuarios de empresa piloto del anillo 2 y, después, haz clic en Aceptar.

    Dado que se asignan a un grupo, los equipos ya no están en el grupo Equipos sin asignar. Si seleccionas el grupo de equipos Usuarios de empresa piloto del anillo 2, verás ambos equipos aquí.

Buscar varios equipos para agregarlos a grupos

Otra forma de agregar varios equipos a un anillo de implementación en la consola de administración de WSUS es usar la característica de búsqueda.

Para buscar varios equipos

  1. En la consola de administración de WSUS, ve a Nombre_servidor\Equipos\Todos los equipos, haz clic con el botón derecho en Todos los equipos y, después, haz clic en Buscar.

  2. En el cuadro de búsqueda, escribe WIN10.

  3. En los resultados de la búsqueda, selecciona los equipos, haz clic con el botón derecho en la selección y, después, haz clic en Cambiar pertenencia.

    Ejemplo de interfaz de usuario

  4. Selecciona el anillo de implementación TI general del anillo 3 y, después, haz clic en Aceptar.

Ahora puedes ver estos equipos en el grupo de equipos TI general del anillo 3.

Usar la directiva de grupo para rellenar los anillos de implementación

La consola de administración de WSUS proporciona una interfaz sencilla desde la que puedes administrar las actualizaciones de calidad y de características de Windows 10. Sin embargo, si necesitas agregar varios equipos al anillo de implementación de WSUS correcto, hacerlo manualmente en la consola de administración de WSUS puede llevar mucho tiempo. En estos casos, considera la posibilidad de usar la directiva de grupo para seleccionar como destino los equipos correctos, de modo que se agreguen automáticamente al anillo de implementación de WSUS correcto en función de un grupo de seguridad de Active Directory. Este proceso se denomina selección de destinatarios del lado cliente. Antes de habilitar la selección de destinatarios del lado cliente en la directiva de grupo, debes configurar WSUS para que acepte la asignación de equipos de la directiva de grupo.

Para configurar WSUS para permitir la selección de destinatarios del lado cliente desde la directiva de grupo

  1. Abre la consola de administración de WSUS y ve a Nombre_servidor\Opciones; después, haz clic en Equipos.

    Ejemplo de interfaz de usuario

  2. En el cuadro de diálogo Equipos, selecciona Usar directiva de grupo o configuración del Registro en los equipos y, después, haz clic en Aceptar.

    Nota

    Esta opción es exclusivamente either-or. Al habilitar WSUS para usar la directiva de grupo para la asignación de grupos, ya no puedes agregar equipos manualmente a través de la consola de administración de WSUS hasta que se restablezca la opción.

Ahora que WSUS está listo para la selección de destinatarios del lado cliente, realiza los siguientes pasos para usar la directiva de grupo para configurar la selección de destinatarios del lado cliente:

Para configurar la selección de destinatarios del lado cliente

Sugerencia

Cuando uses la selección de destinatarios del lado cliente, considera la posibilidad de asignar a los grupos de seguridad los mismos nombres que asignaste a los anillos de implementación. Esta acción simplifica el proceso de creación de directivas y ayuda a garantizar que no se agreguen equipos a anillos incorrectos.

  1. Abre GPMC.

  2. Expande Bosque\Dominios\Tu_dominio.

  3. Haz clic con el botón derecho en Tu_dominio y, después, haz clic en Crear un GPO en este dominio y vincularlo aquí.

  4. En el cuadro de diálogo Nuevo GPO, escribe WSUS: selección de destinatarios de cliente (Todos los usuarios empresariales del anillo 4) como nombre del nuevo GPO.

  5. Haz clic con el botón derecho en el GPO WSUS: selección de destinatarios de cliente (Todos los usuarios empresariales del anillo 4) y, después, haz clic en Editar.

    Ejemplo de interfaz de usuario

  6. En el Editor de administración de directivas de grupo, ve a Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\Windows Update.

  7. Haz clic con el botón derecho en Habilitar destinatarios del lado cliente y, después, haz clic en Editar.

  8. En el cuadro de diálogo Habilitar destinatarios del lado cliente, selecciona Habilitar.

  9. En el cuadro Nombre de grupo de destino para este equipo, escribe Todos los usuarios empresariales del anillo 4. Este es el nombre del anillo de implementación de WSUS al que se agregarán estos equipos.

    Ejemplo de interfaz de usuario

  10. Cierra el Editor de administración de directivas de grupo.

Ahora estás listo para implementar este GPO en el grupo de seguridad informática correcto para el anillo de implementación Todos los usuarios empresariales del anillo 4.

Para definir el ámbito del GPO en un grupo

  1. En GPMC, selecciona la directiva WSUS: selección de destinos de cliente (Todos los usuarios empresariales del anillo 4).

  2. Haz clic en la pestaña Ámbito.

  3. En Filtrado de seguridad, quita el grupo de seguridad Usuarios autenticados predeterminado y, después, agrega el grupo Todos los usuarios empresariales del anillo 4.

    Ejemplo de interfaz de usuario

La próxima vez que los clientes del grupo de seguridad Todos los usuarios empresariales del anillo 4 reciban su directiva de equipo y se pongan en contacto con WSUS, se agregarán al anillo de implementación Todos los usuarios empresariales del anillo 4.

Aprobar e implementar automáticamente las actualizaciones de características

Para los clientes que deberían tener sus actualizaciones de características aprobadas tan pronto como estén disponibles, puedes configurar las reglas de aprobación automática en WSUS.

Nota

WSUS respeta la rama de mantenimiento del cliente. Si se aprueba una actualización de características mientras se encuentra en la rama actual (CB), WSUS instalará la actualización solo en los equipos que estén en la rama de mantenimiento CB. Cuando Microsoft lance la compilación de la rama actual para empresas (CBB), los equipos de la rama de mantenimiento CBB la instalarán. La configuración de sucursales de Windows Update para empresas no se aplica a las actualizaciones de características a través de WSUS.

Para configurar una regla de aprobación automática para actualizaciones de características de Windows 10 y aprobarlas para el anillo de implementación TI general del anillo 3

  1. En la consola de administración de WSUS, ve a Actualizar servicios\Nombre_servidor\Opciones y, después, selecciona Aprobaciones automáticas.

  2. En la pestaña Reglas de actualización, haz clic en Nueva regla.

  3. En el cuadro de diálogo Agregar regla, selecciona las casillas Cuando una actualización está en una clasificación específica, Cuando una actualización está en un producto específico y Establecer una fecha límite para la aprobación.

    Ejemplo de interfaz de usuario

  4. En el área Editar las propiedades, selecciona cualquier clasificación. Bórralo todo excepto Actualizaciones y, después, haz clic en Aceptar.

  5. En el área Editar las propiedades, haz clic en el vínculo cualquier producto. Desactiva todas las casillas excepto Windows 10 y, después, haz clic en Aceptar.

    Windows 10 está bajo Todos los productos\Microsoft\Windows.

  6. En el área Editar las propiedades, haz clic en el vínculo todos los equipos. Borra todas las casillas de grupos de equipos excepto TI general del anillo 3 y, después, haz clic en Aceptar.

  7. Deja la fecha límite establecida en 7 días después de la aprobación a las 3:00.

  8. En el cuadro Paso 3: Especificar un nombre, escribe Aprobación automática de la actualización de Windows 10 para TI general del anillo 3 y, después, haz clic en Aceptar.

    Ejemplo de interfaz de usuario

  9. En el cuadro de diálogo Aprobaciones automáticas, haz clic en Aceptar.

    Nota

    WSUS no respeta la configuración de aplazamiento mensual, semanal o diario existente para CB o CBB. Dicho esto, si usas Windows Update para empresas en un equipo en el que WSUS también administra actualizaciones, cuando WSUS apruebe la actualización, se instalará en el equipo independientemente de si has configurado la directiva de grupo para que espere.

Ahora, siempre que se publiquen actualizaciones de características de Windows 10 en WSUS, se aprobarán automáticamente para el anillo de implementación TI general del anillo 3 con una fecha límite de instalación de 1 semana.

Aprobar e implementar actualizaciones de características manualmente

También puedes aprobar actualizaciones y establecer fechas límite de instalación manualmente en la consola de administración de WSUS. Para simplificar el proceso de aprobación manual, empieza por crear una vista de actualización de software que contenga solo actualizaciones de Windows 10.

Para aprobar e implementar actualizaciones de características manualmente

  1. En la consola de administración de WSUS, ve a Actualizar servicios\Nombre_servidor\Actualizaciones. En el panel Acción, haz clic en Nueva vista de actualización.

  2. En el cuadro de diálogo Agregar vista de actualización, selecciona Las actualizaciones están en una clasificación específica y Las actualizaciones son para un producto específico.

  3. En Paso 2: Editar las propiedades, haz clic en cualquier clasificación. Desactiva todas las casillas excepto Actualizaciones y, después, haz clic en Aceptar.

  4. En Paso 2: Editar las propiedades, haz clic en cualquier producto. Desactiva todas las casillas excepto Windows 10 y, después, haz clic en Aceptar.

    Windows 10 está bajo Todos los productos\Microsoft\Windows.

  5. En el cuadro Paso 3: Especificar un nombre, escribe Todas las actualizaciones de Windows 10 y, después, haz clic en Aceptar.

    Ejemplo de interfaz de usuario

Ahora que ya tienes la vista de todas las actualizaciones de Windows 10, completa los siguientes pasos para aprobar manualmente una actualización para el anillo de implementación Todos los usuarios empresariales del anillo 4:

  1. En la consola de administración de WSUS, ve a Actualizar servicios\Nombre_servidor\Actualizaciones\Todas las actualizaciones de Windows 10.

  2. Haz clic con el botón derecho en la actualización de características que quieres implementar y, después, haz clic en Aprobar.

    Ejemplo de interfaz de usuario

  3. En la lista Todos los usuarios empresariales del anillo 4 del cuadro de diálogo Aprobar actualizaciones, selecciona Aprobada para su instalación.

    Ejemplo de interfaz de usuario

  4. En la lista Todos los usuarios empresariales del anillo 4 del cuadro de diálogo Aprobar actualizaciones, haz clic en Fecha límite, en Una semana y, después, en Aceptar.

    Ejemplo de interfaz de usuario

  5. Si se abre el cuadro de diálogo Términos de licencia del software de Microsoft, haz clic en Aceptar.

    Si la implementación se realiza correctamente, deberías recibir un informe de progreso correcto.

    Ejemplo de interfaz de usuario

  6. En el cuadro de diálogo Progreso de la aprobación, haz clic en Cerrar.


Pasos para administrar las actualizaciones de Windows 10

listo Obtener información sobre actualizaciones y ramas de mantenimiento
listo Preparar la estrategia de mantenimiento de las actualizaciones de Windows 10
listo Generar anillos de implementación para las actualizaciones de Windows 10
hecho Asignar dispositivos a las ramas de mantenimiento de actualizaciones de Windows 10
hecho Optimizar la distribución de las actualizaciones de Windows 10
listo Implementar actualizaciones con Windows Update para empresas
o bien, Implementar las actualizaciones de Windows10 con Windows Server Update Services (este tema)
o bien, Implementar las actualizaciones de Windows 10 con SystemCenterConfigurationManager

Temas relacionados