Planear actualizaciones de software en Configuration Manager

  • Artículo
  • 39 minutos para leer

Se aplica a: Configuration Manager (rama actual)

Antes de usar actualizaciones de software en un entorno de producción de Configuration Manager, es importante que pase por el proceso de planeación. Tener un buen plan para la infraestructura de punto de actualización de software es clave para una implementación correcta de actualizaciones de software. Para obtener información sobre la planeación de capacidad para actualizaciones de software, vea Size and scale numbers.

Determinar la infraestructura del punto de actualización de software

En esta sección se incluyen los siguientes subtemas:

El sitio de administración central y todos los sitios principales secundarios deben tener un punto de actualización de software. Cuando planee la infraestructura de punto de actualización de software, determine las siguientes dependencias:

  • Dónde instalar el punto de actualización de software para el sitio
  • Qué sitios requieren un punto de actualización de software que acepte la comunicación de clientes basados en Internet
  • Si necesita un punto de actualización de software en sitios secundarios

Importante

Para obtener más información acerca de las dependencias internas y externas necesarias para las actualizaciones de software, vea Prerequisites for software updates.

Agregue varios puntos de actualización de software en un sitio principal de Configuration Manager para proporcionar tolerancia a errores. El diseño de conmutación por error del punto de actualización de software es diferente del modelo de aleatorización pura que se usa en el diseño para puntos de administración. A diferencia del diseño de puntos de administración, hay costos de rendimiento de cliente y red en el diseño de punto de actualización de software cuando los clientes cambian a un nuevo punto de actualización de software. Cuando el cliente cambia a un nuevo servidor WSUS para buscar actualizaciones de software, el resultado es un aumento en el tamaño del catálogo y las demandas asociadas de rendimiento del lado cliente y de red. Por lo tanto, el cliente conserva la afinidad con el último punto de actualización de software desde el que se digitalizaron correctamente.

El primer punto de actualización de software que se instala en un sitio principal es el origen de sincronización de todos los puntos de actualización de software adicionales que agregue en el sitio principal. Después de agregar puntos de actualización de software e iniciar la sincronización, vea el estado de los puntos de actualización de software y el origen de sincronización desde el nodo Estado de sincronización de puntos de actualización de software en el área de trabajo Supervisión.

Cuando se produce un error en el punto de actualización de software configurado como origen de sincronización para el sitio, quite manualmente el rol con errores. A continuación, seleccione un nuevo punto de actualización de software para usarlo como origen de sincronización. Para obtener más información, vea Remove a site system role.

Lista de puntos de actualización de software

Configuration Manager proporciona al cliente una lista de puntos de actualización de software en los siguientes escenarios:

  • Un nuevo cliente recibe la directiva para habilitar actualizaciones de software

  • Un cliente no puede ponerse en contacto con su punto de actualización de software asignado y necesita cambiar a otro

El cliente selecciona aleatoriamente un punto de actualización de software de la lista. Prioriza los puntos de actualización de software en el mismo bosque. Configuration Manager proporciona a los clientes una lista diferente según el tipo de cliente:

  • Clientes basados en intranet: reciba una lista de puntos de actualización de software que puede configurar para permitir conexiones solo desde la intranet o una lista de puntos de actualización de software que permiten conexiones de cliente de Internet e intranet.

  • Clientes basados en Internet: reciba una lista de puntos de actualización de software que configure para permitir conexiones solo desde Internet o una lista de puntos de actualización de software que permiten conexiones de cliente de Internet e intranet.

Cambio de punto de actualización de software

Nota

Los clientes usan grupos de límites para buscar un nuevo punto de actualización de software. Si su punto de actualización de software actual ya no es accesible, también usan grupos de límites para reserva y encontrar uno nuevo. Agregue puntos de actualización de software individuales a diferentes grupos de límites para controlar qué servidores puede encontrar un cliente. Para obtener más información, vea Puntos de actualización de software.

Si tiene varios puntos de actualización de software en un sitio y uno falla o deja de estar disponible, los clientes se conectarán a un punto de actualización de software diferente. Con este nuevo servidor, los clientes siguen buscando las actualizaciones de software más recientes. Cuando se asigna por primera vez un punto de actualización de software a un cliente, permanece asignado a ese punto de actualización de software a menos que no se pueda examinar.

El examen de actualizaciones de software puede producir un error con una serie de códigos de error de reintento y no reintentar distintos. Cuando se produce un error en el examen con un código de error de reintento, el cliente inicia un proceso de reintento para buscar las actualizaciones de software en el punto de actualización de software. Las condiciones de alto nivel que resultan en un código de error de reintento suelen ser porque el servidor WSUS no está disponible o porque está sobrecargado temporalmente. Cuando el cliente no puede buscar actualizaciones de software, usa el siguiente proceso:

  1. El cliente busca actualizaciones de software:

    • En su hora programada
    • Cuando se ejecuta manualmente desde el panel de control del cliente
    • Cuando se ejecuta manualmente desde la consola de Configuration Manager a través de una acción de notificación de cliente
    • Cuando se ejecuta desde un método sdk de Configuration Manager

  2. Si se produce un error en el examen, el cliente espera 30 minutos para volver a intentar el examen. Usa el mismo punto de actualización de software.

  3. El cliente vuelve a reintentos un mínimo de cuatro veces cada 30 minutos. Después del cuarto error y después de esperar dos minutos adicionales, el cliente pasa al siguiente punto de actualización de software de su lista.

  4. El cliente repite este proceso con el nuevo punto de actualización de software. Después de un examen correcto, el cliente continúa conectándose al nuevo punto de actualización de software.

En la siguiente lista se proporciona información adicional que se debe tener en cuenta para los escenarios de reintento y cambio de punto de actualización de software:

  • Si un cliente está desconectado de la intranet y no puede buscar actualizaciones de software, no cambia a otro punto de actualización de software. Se espera este error, ya que el cliente no puede llegar a la red interna o a un punto de actualización de software que permita conexiones desde la intranet. El cliente de Configuration Manager determina la disponibilidad del punto de actualización de software de intranet.

  • Si está administrando clientes en Internet y ha configurado varios puntos de actualización de software para aceptar la comunicación de clientes en Internet, el proceso de cambio sigue el proceso de reintento estándar descrito anteriormente.

  • Si se inicia el proceso de examen, pero el cliente se apaga antes de que finalice el examen, no se considera un error de examen y no cuenta como uno de los cuatro reintentos.

Cuando Configuration Manager recibe cualquiera de los siguientes códigos de error Windows Update Agent, el cliente vuelve a inste a la conexión:

2149842970, 2147954429, 2149859352, 2149859362, 2149859338, 2149859344, 2147954430, 2147747475, 2149842974, 2149859342, 2149859372, 2149859341, 2149904388, 2149859371, 2149859367, 2149859366, 2149859364, 2149859363, 2149859361, 2149859360, 2149859359, 2149859358, 2149859357, 2149859356, 2149859354, 2149859353, 2149859350, 2149859349, 2149859340, 2149859339, 2149859332, 2149859333, 2149859334, 2149859337, 2149859336, 2149859335

To look up the meaning of an error code, convert the decimal error code to hexadecimal, and then search for the hexadecimal value on a site such as the Windows Update Agent - Error Codes Wiki.‭ For example, the decimal error code 2149842970 is hexadecimal 8024001A‬, which means WU_E_POLICY_NOT_SET A policy value was not set.

Cambiar manualmente los clientes a un nuevo punto de actualización de software

Cambie los clientes de Configuration Manager a un nuevo punto de actualización de software cuando haya problemas con el punto de actualización de software activo. Este cambio solo se produce cuando un cliente recibe varios puntos de actualización de software desde un punto de administración.

Importante

Al cambiar los dispositivos para usar un nuevo servidor, los dispositivos usan reserva para buscar ese nuevo servidor. Los clientes cambian al nuevo punto de actualización de software durante el siguiente ciclo de examen de actualizaciones de software.

Antes de iniciar este cambio, revise las configuraciones de los grupos de límites para asegurarse de que los puntos de actualización de software se encuentran en los grupos de límites correctos. Para obtener más información, vea Puntos de actualización de software.

Cambiar a un nuevo punto de actualización de software genera tráfico de red adicional. La cantidad de tráfico depende de las opciones de configuración de WSUS, por ejemplo, las clasificaciones y productos sincronizados o el uso de una base de datos wsus compartida. Si planea cambiar varios dispositivos, considere la posibilidad de hacerlo durante las ventanas de mantenimiento. Este tiempo reduce el impacto en la red cuando los clientes analizan con el nuevo punto de actualización de software.

Proceso para cambiar puntos de actualización de software

Inicie este cambio en una colección de dispositivos. Una vez desencadenados, los clientes buscan otro punto de actualización de software en el siguiente examen.

  1. En la consola de Configuration Manager, vaya al área de trabajo Activos y cumplimiento y seleccione el nodo Colecciones de dispositivos.

  2. Seleccione la colección de destino. En la ficha Inicio de la cinta de opciones, en el grupo Colección, haga clic en Notificación de cliente y, a continuación, haga clic en Cambiar al siguiente punto de actualización de software.

Puntos de actualización de software en un bosque que no es de confianza

Cree uno o varios puntos de actualización de software en un sitio para admitir clientes en un bosque que no es de confianza. Para agregar un punto de actualización de software en otro bosque, primero instale y configure un servidor WSUS en ese bosque. A continuación, inicie el asistente para agregar un servidor de sitio de Configuration Manager con el rol de sistema de sitio de punto de actualización de software. En el asistente, configure las siguientes opciones para conectarse correctamente a WSUS en el bosque que no es de confianza:

  • Especifique una cuenta de instalación del sistema de sitio que pueda tener acceso al servidor WSUS en el bosque que no es de confianza.

  • Especifique una cuenta de conexión de servidor WSUS para conectarse al servidor WSUS.

Por ejemplo, tiene un sitio principal en el bosque A con dos puntos de actualización de software (SUP01 y SUP02). Para el mismo sitio principal, también tiene dos puntos de actualización de software (SUP03 y SUP04) en el bosque B. Al cambiar al siguiente punto de actualización de software, los clientes priorizan los servidores del mismo bosque.

Usar un servidor WSUS existente como origen de sincronización en el sitio de nivel superior

Normalmente, el sitio de nivel superior de la jerarquía está configurado para sincronizar los metadatos de actualizaciones de software con Microsoft Update. Cuando la directiva de seguridad de la organización no permita que el sitio de nivel superior acceda a Internet, configure el origen de sincronización para que el sitio de nivel superior use un servidor WSUS existente. Este servidor WSUS no está en la jerarquía de Configuration Manager. Por ejemplo, tienes un servidor WSUS en una red conectada a Internet (DMZ), pero el sitio de nivel superior está en una red interna sin acceso a Internet. Configure el servidor WSUS en la DMZ como origen de sincronización para los metadatos de actualizaciones de software. Configure el servidor WSUS en la DMZ para sincronizar las actualizaciones de software con los mismos criterios que necesita en Configuration Manager. De lo contrario, es posible que el sitio de nivel superior no sincronice las actualizaciones de software que espera. Al instalar el punto de actualización de software, configure una cuenta de conexión de servidor WSUS. Esta cuenta necesita acceso al servidor WSUS en la DMZ. Confirme también que el firewall permite el tráfico para los puertos adecuados. Para obtener más información, vea los puertos usados por el puntode actualización de software al origen de sincronización .

Punto de actualización de software en un sitio secundario

El punto de actualización de software es opcional en un sitio secundario. Instale solo un punto de actualización de software en un sitio secundario. Cuando no se instala un punto de actualización de software en el sitio secundario, los dispositivos situados dentro de los límites de un sitio secundario usan un punto de actualización de software en el sitio principal asignado. Normalmente, se instala un punto de actualización de software en un sitio secundario cuando hay un ancho de banda de red limitado entre los dispositivos del sitio secundario y los puntos de actualización de software en el sitio principal principal. También puede usar esta configuración cuando el punto de actualización de software en el sitio principal se acerque al límite de capacidad. Después de instalar y configurar correctamente un punto de actualización de software en el sitio secundario, se actualiza una directiva de todo el sitio para los clientes y empiezan a usar el nuevo punto de actualización de software.

Planeación de clientes basados en Internet

Cuando necesite administrar dispositivos que desoyes de la red en Internet, desarrolle un plan para administrar las actualizaciones de software en estos dispositivos. Configuration Manager admite varias tecnologías para este escenario. Use una o una combinación según sea necesario para cumplir los requisitos de su organización.

Puerta de enlace de administración en la nube

Cree una puerta de enlace de administración de nube en Microsoft Azure y habilite al menos un punto de actualización de software local para permitir el tráfico de clientes basados en Internet. A medida que los clientes desfilan por Internet, siguen analizando los puntos de actualización de software. Todos los clientes basados en Internet siempre obtienen contenido del servicio en la nube de Microsoft Update.

Para obtener más información, vea Overview of cloud management gateway y Configure boundary groups.

Administración de cliente basada en Internet

Coloque un punto de actualización de software en una red orientada a Internet y habilite para permitir el tráfico de clientes basados en Internet. A medida que los clientes se desfilan por Internet, cambian a este punto de actualización de software para analizar. Todos los clientes basados en Internet siempre obtienen contenido del servicio en la nube de Microsoft Update.

Para obtener más información sobre las ventajas y desventajas de la administración de clientes basada en Internet, vea Administrar clientes en Internet.

Windows Update para empresas

Windows Update for Business te permite mantener los dispositivos Windows 10 o posteriores siempre actualizados con las últimas actualizaciones de calidad y características. Estos dispositivos se conectan directamente al Windows actualizar el servicio en la nube. Configuration Manager puede diferenciar entre Windows equipos que usan WUfB y WSUS para obtener actualizaciones de software.

Para obtener más información, vea Integration with Windows Update for Business.

Planeación del contenido de actualización de software

Los clientes deben descargar los archivos de contenido de las actualizaciones de software para poder instalarlos. Configuration Manager proporciona varias tecnologías para admitir la administración y la entrega de este contenido. O configure implementaciones de actualización de software para permitir o requerir que los clientes obtengan contenido directamente desde el servicio en la nube de Microsoft Update.

Descargar y distribuir contenido

De forma predeterminada, el proceso de administración de actualizaciones de software en Configuration Manager usa las características integradas de administración de contenido. Estas características incluyen la biblioteca de contenido del almacén centralizado de instancia única y el diseño distribuido del rol del sistema de sitio de punto de distribución. Estas características se usan al descargar y distribuir paquetes de implementación de actualizaciones de software.

Para obtener más información, vea Descargar actualizaciones de software.

Administrar archivos de instalación rápida para Windows 10 o posterior

Configuration Manager admite el uso de archivos de instalación rápida para Windows actualizaciones. Los archivos de actualización rápida y las tecnologías de soporte técnico, como optimización de distribución, pueden ayudar a reducir el impacto en la red de la descarga de archivos de contenido grandes a los clientes.

Para obtener más información, vea Optimize Windows update delivery.

Los clientes descargan contenido de Internet

Al implementar actualizaciones de software en clientes, configure la implementación para que los clientes descarguen contenido del servicio en la nube de Microsoft Update. Cuando los clientes no pueden descargar contenido de otro origen de contenido, aún pueden descargar el contenido de Internet.

No es necesario crear un paquete de implementación al implementar actualizaciones de software. Al seleccionar la opción Sin paquete de implementación, los clientes aún pueden descargar contenido de orígenes locales si están disponibles, pero normalmente se descargan desde el servicio Microsoft Update.

Los clientes basados en Internet siempre descargan contenido del servicio en la nube de Microsoft Update. No distribuya paquetes de implementación de actualizaciones de software a una puerta de enlace de administración de nube (CMG) habilitada para contenido.

Planear actualizaciones de terceros

Configuration Manager se integra con WSUS, que admite de forma nativa las actualizaciones de software publicadas por Microsoft. La mayoría de los clientes usan otras aplicaciones de terceros que también necesitan actualizaciones. Hay varias opciones a tener en cuenta para mantener las aplicaciones de terceros actualizadas.

Reemplazar aplicaciones para actualizar

Use una relación de sustitución con la característica de administración de aplicaciones en Configuration Manager para actualizar o reemplazar las aplicaciones existentes. Al reemplazar una aplicación, especifique un nuevo tipo de implementación para reemplazar el tipo de implementación de la aplicación reemplazada. Decida también si desea actualizar o desinstalar la aplicación reemplazada antes de instalar la aplicación de superseding.

Para obtener más información, vea Revisar y reemplazar aplicaciones.

Actualizaciones de software de terceros

Puede usar el nodo Catálogos de actualizaciones de software de terceros en la consola de Configuration Manager para suscribirse a catálogos de terceros, publicar sus actualizaciones en el punto de actualización de software y, a continuación, implementarlas en clientes.

Para obtener más información, vea Actualizaciones de software de terceros.

Centro de actualizaciones del sistema de Publisher

System Center Updates Publisher (SCUP) es una herramienta independiente que permite a los proveedores de software independientes o desarrolladores de aplicaciones de línea de negocio administrar actualizaciones personalizadas. Estas actualizaciones incluyen aquellas con dependencias, como controladores y paquetes de actualizaciones. SCUP también se puede usar para catálogos de actualizaciones de terceros que no están disponibles directamente en la consola.

Para obtener más información, vea System Center Actualizaciones Publisher.

Planear la instalación de puntos de actualización de software

En esta sección se incluyen los siguientes subtemas:

En esta sección se proporciona información sobre los pasos a seguir para planear y preparar correctamente la instalación del punto de actualización de software. Antes de crear un rol de sistema de sitio para el punto de actualización de software en Configuration Manager, hay varios requisitos a tener en cuenta. Los requisitos específicos dependen de la infraestructura de Configuration Manager. Al configurar el punto de actualización de software para comunicarse con HTTPS, esta sección es especialmente importante revisar. Los servidores habilitados para HTTPS requieren pasos adicionales para funcionar correctamente.

Requisitos para el punto de actualización de software

Instale el rol de punto de actualización de software en un sistema de sitio que cumpla los requisitos mínimos para WSUS y las configuraciones admitidas para los sistemas de sitio de Configuration Manager.

Planear la instalación de WSUS

Instale una versión compatible de WSUS en todos los servidores del sistema de sitio que configure para el rol de punto de actualización de software. Cuando no instale el punto de actualización de software en el servidor de sitio, instale la Consola de administración de WSUS en el servidor del sitio. Este componente permite al servidor de sitio comunicarse con WSUS que se ejecuta en el punto de actualización de software.

Cuando use WSUS en Windows Server 2012 o posterior, configure permisos adicionales para permitir que el componente de Wsus Configuration Manager en Configuration Manager se conecte a WSUS. Este componente realiza comprobaciones periódicas de estado. Elija una de las siguientes opciones para configurar el permiso necesario:

  • Agregar la cuenta SYSTEM al grupo Administradores de WSUS

  • Agregue la cuenta NT AUTHORITY\SYSTEM como usuario para la base de datos WSUS (SUSDB). Configure un mínimo de la pertenencia a roles de base de datos webService.

Para obtener más información acerca de cómo instalar WSUS en Windows server, vea Install the WSUS Server Role.

Cuando instale más de un punto de actualización de software en un sitio principal, use la misma base de datos WSUS para cada punto de actualización de software en el mismo bosque de Active Directory. Compartir la misma base de datos mejora el rendimiento cuando los clientes cambian a un nuevo punto de actualización de software. Para obtener más información, vea Use a shared WSUS database for software update points.

Configuración de la ruta de acceso del directorio de contenido wsus

Cuando instale WSUS, deberá proporcionar una ruta de acceso de directorio de contenido. El directorio de contenido wsus se usa principalmente para almacenar los archivos de términos de licencia de software de Microsoft necesarios para los clientes durante el examen. Configuration Manager El directorio de contenido wsus no debe superponerse con el directorio de origen de contenido para los paquetes de implementación de software de Configuration Manager. Si se superponen el directorio de contenido WSUS y el origen del paquete de Configuration Manager, se quitarán los archivos incorrectos del directorio de contenido de WSUS.

Configurar WSUS para usar un sitio web personalizado

Al instalar WSUS, tiene la opción de usar el sitio web predeterminado de IIS existente o crear un sitio web WSUS personalizado. Cree un sitio web personalizado para WSUS para que IIS hospeda los servicios WSUS en un sitio web virtual dedicado. De lo contrario, comparte el mismo sitio web que usan los demás sistemas de sitio o aplicaciones de Configuration Manager. Esta configuración es especialmente necesaria al instalar el rol de punto de actualización de software en el servidor de sitio. Al ejecutar WSUS en Windows Server 2012 o posterior, WSUS está configurado de forma predeterminada para usar el puerto 8530 para HTTP y el puerto 8531 para HTTPS. Especifique estos puertos al crear el punto de actualización de software en un sitio.

Configurar WSUS como servidor de réplica

Al agregar el rol de punto de actualización de software en un servidor de sitio principal, no puede usar un servidor WSUS configurado como réplica. Cuando el servidor WSUS está configurado como una réplica, Configuration Manager no puede configurar el servidor WSUS y se produce un error en la sincronización de WSUS. El primer punto de actualización de software que se instala en un sitio principal es el punto de actualización de software predeterminado. Los puntos de actualización de software adicionales en el sitio se configuran como réplicas del punto de actualización de software predeterminado.

Decidir si se configura WSUS para usar SSL

Se recomienda usar el protocolo SSL para proteger el punto de actualización de software. WSUS usa SSL para autenticar los equipos cliente y los servidores WSUS descendentes en el servidor WSUS. WSUS también usa SSL para cifrar los metadatos de actualización de software. Cuando elija proteger WSUS con SSL, prepare el servidor WSUS antes de instalar el punto de actualización de software.

Al instalar y configurar el punto de actualización de software, seleccione la opción Habilitar comunicaciones SSL para el servidor WSUS. De lo contrario, Configuration Manager configura WSUS para que no use SSL. Al habilitar SSL en un punto de actualización de software, también configure los puntos de actualización de software en sitios secundarios para que usen SSL. Para obtener más información, vea el tutorial Configurar un punto de actualización de software para usar TLS/SSL con un certificado PKI.

Nota

Para asegurarse de que se han establecido los mejores protocolos de seguridad, le recomendamos encarecidamente que use el protocolo TLS/SSL para proteger la infraestructura de actualización de software. A partir de la actualización acumulativa de septiembre de 2020, los servidores WSUS basados en HTTP serán seguros de forma predeterminada. Un cliente que busque actualizaciones en un WSUS basado en HTTP ya no podrá aprovechar un proxy de usuario de forma predeterminada. Si aún necesita un proxy de usuario a pesar de los descuentos de seguridad, hay disponible una nueva configuración de cliente de actualizaciones de software para permitir estas conexiones. Para obtener más información acerca de los cambios para examinar WSUS, vea Cambios de septiembre de 2020para mejorar la seguridad de los dispositivos Windows que analizan WSUS.

Configurar firewalls

El punto de actualización de software de un sitio de administración central de Configuration Manager se comunica con WSUS en el punto de actualización de software. WSUS se comunica con el origen de sincronización para sincronizar los metadatos de actualizaciones de software. Los puntos de actualización de software de un sitio secundario se comunican con el punto de actualización de software en el sitio primario. Cuando hay más de un punto de actualización de software en un sitio principal, los puntos de actualización de software adicionales se comunican con el punto de actualización de software predeterminado. El rol predeterminado es el primer punto de actualización de software que se instala en el sitio.

Es posible que deba configurar el firewall para permitir el tráfico HTTP o HTTPS que WSUS usa en los siguientes escenarios:

  • Entre el punto de actualización de software e Internet
  • Entre un punto de actualización de software y su origen de sincronización ascendente
  • Entre puntos de actualización de software adicionales

La conexión a Microsoft Update siempre está configurada para usar el puerto 80 para HTTP y el puerto 443 para HTTPS. Usa un puerto personalizado para la conexión desde WSUS en el punto de actualización de software de un sitio secundario a WSUS en el punto de actualización de software del sitio primario. Cuando la directiva de seguridad no permita la conexión, use el método de sincronización de exportación e importación. Para obtener más información, vea la sección Origen de sincronización de este artículo. Para obtener más información acerca de los puertos que usa WSUS, vea How to determine the port settings used by WSUS in Configuration Manager.

Restringir el acceso a dominios específicos

Si su organización restringe la comunicación de red con Internet mediante un firewall o un dispositivo proxy, debe permitir que el punto de actualización de software activo tenga acceso a los puntos de conexión de Internet. A continuación, WSUS y las actualizaciones automáticas se pueden comunicar con el servicio en la nube de Microsoft Update.

Para obtener más información, vea Requisitos de acceso a Internet.

Planear la configuración de sincronización

En esta sección se incluyen los siguientes subtemas:

La sincronización de actualizaciones de software en Configuration Manager descarga los metadatos de actualizaciones de software en función de los criterios que configure. El sitio de nivel superior de la jerarquía sincroniza las actualizaciones de software de Microsoft Update. Tiene la opción de configurar el punto de actualización de software en el sitio de nivel superior para sincronizarlo con un servidor WSUS existente, no en la jerarquía de Configuration Manager. Los sitios principales secundarios sincronizan los metadatos de actualizaciones de software desde el punto de actualización de software del sitio de administración central. Antes de instalar y configurar un punto de actualización de software, use esta sección para planear la configuración de sincronización.

Origen de sincronización

La configuración de origen de sincronización del punto de actualización de software especifica la ubicación donde el punto de actualización de software recupera los metadatos de las actualizaciones de software. También especifica si el proceso de sincronización crea eventos de informes wsus.

  • Origen de sincronización: de forma predeterminada, el punto de actualización de software en el sitio de nivel superior configura el origen de sincronización para Microsoft Update. Tienes la opción de sincronizar el sitio de nivel superior con un servidor WSUS existente. El punto de actualización de software de un sitio primario secundario configura el origen de sincronización como el punto de actualización de software en el sitio de administración central.

    • El primer punto de actualización de software que se instala en un sitio principal, que es el punto de actualización de software predeterminado, se sincroniza con el sitio de administración central. Los puntos de actualización de software adicionales en el sitio principal se sincronizan con el punto de actualización de software predeterminado en el sitio principal.

    • Cuando se desconecte un punto de actualización de software de Microsoft Update o del servidor de actualización ascendente, configure el origen de sincronización para que no se sincronice con un origen de sincronización configurado. En su lugar, configúrelo para que use la función de exportación e importación de la herramienta WSUSUtil para sincronizar las actualizaciones de software. Para obtener más información, vea Synchronize software updates from a disconnected software update point.

  • Eventos de informes wsus: El Windows actualizar en equipos cliente puede crear mensajes de eventos para los informes wsus. Configuration Manager no usa estos eventos. Por lo tanto, la opción No crear eventos de informes WSUS, está seleccionada de forma predeterminada. Cuando estos eventos no se crean, la única vez que el cliente debe conectarse al servidor WSUS es durante los exámenes de evaluación y cumplimiento de actualizaciones de software. Si estos eventos son necesarios para informar fuera de Configuration Manager, modifique esta configuración para crear eventos de informes wsus.

Importante

Si comparte la base de datos WSUS (SUSDB) en varios puntos de actualización de software para el sitio de nivel superior, asegúrese de que cada uno de esos servidores WSUS cumple los requisitos de acceso a Internet para las actualizaciones de software. Cuando se comparte la base de datos en el sitio de nivel superior, Configuration Manager puede seleccionar cualquiera de esos servidores WSUS para sincronizarse con Microsoft Update.

Programación de sincronización

Configure la programación de sincronización solo en el punto de actualización de software del sitio de nivel superior de la jerarquía de Configuration Manager. Al configurar la programación de sincronización, el punto de actualización de software se sincroniza con el origen de sincronización en la fecha y hora especificadas. La programación personalizada permite sincronizar las actualizaciones de software para optimizar el entorno. Tenga en cuenta las demandas de rendimiento del servidor WSUS, el servidor de sitio y la red. Por ejemplo, a las 2:00 a.m. una vez a la semana. Como alternativa, inicie manualmente la sincronización en el sitio de nivel superior mediante la acción Actualizaciones de software de sincronización de los nodos Todas las actualizaciones de software o Grupos de actualizaciones de software en la consola de Configuration Manager.

Sugerencia

Programe la sincronización de actualizaciones de software para que se ejecute con una hora adecuada para su entorno. Un escenario común es establecer la programación de sincronización para que se ejecute poco después de la versión regular de actualización de software de Microsoft el segundo martes de cada mes. Este día se conoce normalmente como Martes de revisión. Si usa Configuration Manager para Endpoint Protection y Windows Defender de definición y motor, considere la posibilidad de establecer la programación de sincronización para que se ejecute diariamente.

Después de que el punto de actualización de software se sincronice correctamente, envía una solicitud de sincronización a los sitios secundarios. Si tiene puntos de actualización de software adicionales en un sitio principal, envía una solicitud de sincronización a cada punto de actualización de software. Este proceso se repite en todos los sitios de la jerarquía.

Clasificaciones de actualización

Cada actualización de software se define con una clasificación de actualización que ayuda a organizar los diferentes tipos de actualizaciones. Durante el proceso de sincronización, el sitio sincroniza los metadatos de las clasificaciones especificadas.

Configuration Manager admite la sincronización de las siguientes clasificaciones de actualización:

  • Actualizaciones críticas: una actualización publicada ampliamente para un problema específico que aborda un error crítico que no está relacionado con la seguridad.

  • Actualizaciones de definiciones: una actualización de virus u otros archivos de definición.

  • Paquetes de características: nuevas características de producto que se distribuyen fuera de una versión de producto y que normalmente se incluyen en la siguiente versión completa del producto.

  • Actualizaciones de seguridad: una actualización publicada ampliamente para un problema específico del producto relacionado con la seguridad.

  • Service Packs: conjunto acumulativo de revisiones que se aplica a un sistema operativo o aplicación. Estas revisiones incluyen actualizaciones de seguridad, actualizaciones críticas y actualizaciones de software.

  • Herramientas: una utilidad o característica que ayuda a completar una o más tareas.

  • Paquetes acumulativos de actualizaciones: conjunto acumulativo de revisiones que se empaquetan juntas para facilitar la implementación. Estas revisiones incluyen actualizaciones de seguridad, actualizaciones críticas y actualizaciones de software. Por lo general, un paquete acumulativo de actualizaciones se dirige a un área específica, como la seguridad o un componente de producto.

  • Actualizaciones: una actualización de una aplicación o archivo que está instalado actualmente.

  • Actualizaciones: una actualización de características a una nueva versión de Windows.

Configure las opciones de clasificación de actualización solo en el sitio de nivel superior. La configuración de clasificación de actualizaciones no está configurada en el punto de actualización de software en sitios secundarios, ya que los metadatos de las actualizaciones de software se replican desde el sitio de nivel superior. Cuando seleccione las clasificaciones de actualización, tenga en cuenta que cuanto más clasificaciones seleccione, más tiempo se tarda en sincronizar los metadatos de las actualizaciones de software.

Advertencia

Como práctica recomendada, desactive todas las clasificaciones antes de sincronizar por primera vez. Después de la sincronización inicial, seleccione las clasificaciones deseadas y vuelva a ejecutar la sincronización.

Productos

Los metadatos de cada actualización de software definen uno o varios productos para los que se aplica la actualización. Un producto es una edición específica de un sistema operativo o aplicación. Un ejemplo de un producto es Microsoft Windows 10. Una familia de productos es el sistema operativo base o la aplicación de la que se derivan los productos individuales. Un ejemplo de una familia de productos es Microsoft Windows, de la que Windows 10 y Windows Server 2016 son miembros. Seleccione una familia de productos o productos individuales dentro de una familia de productos.

Cuando las actualizaciones de software se aplican a varios productos y al menos uno de los productos está seleccionado para la sincronización, todos los productos aparecen en la consola de Configuration Manager incluso si algunos productos no estaban seleccionados. Por ejemplo, solo selecciona el Windows Server 2012 producto. Si se aplica una actualización de software a Windows Server 2012 y Windows Server 2012 Datacenter Edition, ambos productos se encuentran en la base de datos del sitio.

Configure la configuración del producto solo en el sitio de nivel superior. La configuración del producto no está configurada en el punto de actualización de software para sitios secundarios porque los metadatos de actualizaciones de software se replican desde el sitio de nivel superior. Cuanto más productos seleccione, más tiempo se tarda en sincronizar los metadatos de las actualizaciones de software.

Importante

Configuration Manager almacena una lista de productos y familias de productos que elija cuando instale por primera vez el punto de actualización de software. Es posible que los productos y las familias de productos que se liberan después de publicar Configuration Manager no estén disponibles para seleccionar hasta que complete la sincronización. El proceso de sincronización actualiza la lista de productos y familias de productos disponibles entre los que puede elegir. Borra todos los productos antes de sincronizar las actualizaciones de software por primera vez. Después de la sincronización inicial, seleccione los productos deseados y vuelva a ejecutar la sincronización.

Reglas de sustitución

Normalmente, una actualización de software que reemplaza a otra actualización de software realiza una o varias de las siguientes acciones:

  • Mejora, mejora o actualiza la corrección proporcionada por una o varias actualizaciones publicadas anteriormente.

  • Mejora la eficacia del paquete de archivos de actualización reemplazado, que se instala en los clientes si la actualización se aprueba para la instalación. Por ejemplo, la actualización reemplazada puede contener archivos que ya no son relevantes para la corrección o para los sistemas operativos compatibles con la nueva actualización. Esos archivos no se incluyen en el paquete de archivos de superseding de la actualización.

  • Actualiza las versiones más recientes de un producto. En otras palabras, actualiza versiones que ya no son aplicables a versiones anteriores o configuraciones de un producto. Las actualizaciones también pueden reemplazar a otras actualizaciones si se realizaron modificaciones para ampliar la compatibilidad con idiomas. Por ejemplo, una revisión posterior de una actualización de producto para Aplicaciones Microsoft 365 podría quitar la compatibilidad con un sistema operativo anterior, pero podría agregar compatibilidad adicional para nuevos idiomas en la versión de actualización inicial.

En las propiedades del punto de actualización de software, especifique que las actualizaciones de software reemplazadas han expirado inmediatamente. Esta configuración evita que se incluyan en nuevas implementaciones. También marca las implementaciones existentes para indicar que contienen una o más actualizaciones de software expiradas. O bien, especifique un período de tiempo antes de que expiran las actualizaciones de software reemplazadas. Esta acción le permite seguir implementándolos.

Tenga en cuenta los siguientes escenarios en los que es posible que necesite implementar una actualización de software reemplazada:

  • Una actualización de software superseding solo admite versiones más recientes de un sistema operativo. Algunos de los equipos cliente ejecutan versiones anteriores del sistema operativo.

  • Una actualización de software de superseding tiene una aplicabilidad más restringida que la actualización de software que reemplaza. Este comportamiento lo haría inadecuado para algunos clientes.

  • Si no se aprobó una actualización de software de superseding para su implementación en el entorno de producción.

Configuration Manager puede expirar automáticamente las actualizaciones reemplazadas según la programación que elija. Puede especificar el comportamiento de las reglas de sustitución para las actualizaciones de características por separado de las actualizaciones que no son de características. La configuración predeterminada es esperar 3 meses antes de expirar una actualización reemplazada. El valor predeterminado de 3 meses es darle tiempo para comprobar que ninguno de los equipos cliente ya no necesita la actualización. Se recomienda no asumir que las actualizaciones reemplazadas deben expirar inmediatamente a favor de la nueva actualización superseding. Puede mostrar una lista de las actualizaciones de software que reemplazan a la actualización de software en la pestaña Información de sustitución en las propiedades de actualización de software.

Idiomas

La configuración de idioma del punto de actualización de software le permite configurar:

  • Idiomas para los que se sincronizan los detalles de resumen (metadatos de actualizaciones de software) para las actualizaciones de software
  • Los idiomas de archivo de actualización de software que se descargan para actualizaciones de software

Archivo de actualización de software

Configure los idiomas para la configuración del archivo de actualización de software en las propiedades del punto de actualización de software. Esta configuración proporciona los idiomas predeterminados que están disponibles al descargar actualizaciones de software en un sitio. Modifique los idiomas seleccionados de forma predeterminada cada vez que se descarguen o implementen las actualizaciones de software. Durante el proceso de descarga, los archivos de actualización de software para los idiomas configurados se descargan en la ubicación de origen del paquete de implementación, si los archivos de actualización de software están disponibles en el idioma seleccionado. A continuación, se copian en la biblioteca de contenido del servidor del sitio. A continuación, se distribuyen a los puntos de distribución configurados para el paquete.

Configure la configuración del idioma del archivo de actualización de software con los idiomas que se usan con más frecuencia en el entorno. Por ejemplo, los clientes del sitio usan principalmente inglés y japonés para Windows o aplicaciones. Hay pocos otros idiomas que se usan en el sitio. Seleccione solo inglés y japonés en la columna Archivo de actualización de software al descargar o implementar la actualización de software. Esta acción le permite usar la configuración predeterminada en la página Selección de idioma de los asistentes de implementación y descarga. Esta acción también evita que se descarguen los archivos de actualización innecesarios. Configure esta configuración en cada punto de actualización de software de la jerarquía de Configuration Manager.

Detalles de resumen

Durante el proceso de sincronización, la información de detalles de resumen (metadatos de actualizaciones de software) se actualiza para las actualizaciones de software en los idiomas que especifique. Los metadatos proporcionan información sobre la actualización de software, por ejemplo:

  • Nombre
  • Descripción
  • Productos compatibles con la actualización
  • Clasificación de actualización
  • Id. de artículo
  • Dirección URL de descarga
  • Reglas de aplicabilidad

Configure la configuración de detalles de resumen solo en el sitio de nivel superior. Los detalles de resumen no están configurados en el punto de actualización de software en sitios secundarios porque los metadatos de las actualizaciones de software se replican desde el sitio de administración central mediante la replicación basada en archivos. Cuando seleccione los idiomas de detalles de resumen, seleccione solo los idiomas que necesite en su entorno. Cuanto más idiomas seleccione, más tiempo se tarda en sincronizar los metadatos de las actualizaciones de software. Configuration Manager muestra los metadatos de actualizaciones de software en la configuración regional del sistema operativo en el que se ejecuta la consola de Configuration Manager. Si las propiedades localizadas de las actualizaciones de software no están disponibles en la configuración regional de este sistema operativo, la información de actualizaciones de software se muestra en inglés.

Importante

Seleccione todos los idiomas de detalles de resumen que necesita. Cuando el punto de actualización de software en el sitio de nivel superior se sincroniza con el origen de sincronización, los idiomas de detalles de resumen seleccionados determinan los metadatos de actualizaciones de software que recupera. Si modifica los idiomas de detalles de resumen después de que la sincronización se ejecutó al menos una vez, recupera los metadatos de las actualizaciones de software para los idiomas de detalles de resumen modificados solo para actualizaciones de software nuevas o actualizadas. Las actualizaciones de software que ya se han sincronizado no se actualizan con nuevos metadatos para los idiomas modificados a menos que haya un cambio en la actualización de software en el origen de sincronización.

Tiempo máximo de ejecución

(Se introdujo en la versión 1906)

Puede especificar la cantidad máxima de tiempo que debe completarse una instalación de actualización de software. Puede especificar el tiempo máximo de ejecución para lo siguiente:

  • Tiempo máximo de ejecución para Windows actualizaciones de características (minutos)

    • Actualizaciones de características: actualización que se encuentra en una de estas tres clasificaciones:
      • Actualizaciones
      • Paquetes acumulativos de actualizaciones
      • Service Pack

  • Tiempo máximo de ejecución para Office 365 actualizaciones y actualizaciones sin características para Windows (minutos)

    • Actualizaciones sin características: una actualización que no es una actualización de características y cuyo producto aparece como uno de los siguientes:
      • Windows 11
      • Windows 10 (todas las versiones)
      • Windows Server 2012
      • Windows Server 2012 R2
      • Windows Server 2016
      • Windows Server 2019
      • Office 365

  • Todas las demás actualizaciones fuera de estas categorías, como las actualizaciones de terceros, tienen un tiempo de ejecución máximo predeterminado de 10 minutos. Esta configuración solo cambia el tiempo de ejecución máximo para las nuevas actualizaciones que se sincronizan desde Microsoft Update. No cambia el tiempo de ejecución de las actualizaciones de características existentes o que no son de características.

    Nota

    A partir de Configuration Manager 2103, el tiempo máximo de ejecución predeterminado para todas las demás actualizaciones fuera de estas categorías, como las actualizaciones de terceros, es de 60 minutos en lugar de 10 minutos. El nuevo tiempo máximo de ejecución solo se aplicará a las actualizaciones nuevas que se sincronizan desde Microsoft Update. No cambia el tiempo de ejecución de las actualizaciones existentes.

  • Si necesita cambiar el tiempo máximo de ejecución de una actualización, puede configurar la configuración de actualización de software para ella.

Planear una ventana de mantenimiento de actualizaciones de software

Agregue una ventana de mantenimiento dedicada a la instalación de actualizaciones de software. Esta acción le permite configurar una ventana de mantenimiento general y una ventana de mantenimiento diferente para las actualizaciones de software. Al configurar una ventana de mantenimiento general y una ventana de mantenimiento de actualizaciones de software, los clientes instalan actualizaciones de software solo durante la ventana de mantenimiento de actualizaciones de software.

Puede cambiar este comportamiento y permitir que las actualizaciones de software se instalen durante una ventana de mantenimiento general. Para obtener más información acerca de esta configuración de cliente, vea Software updates client settings.

Para obtener más información acerca de las ventanas de mantenimiento, vea How to use maintenance windows.

Opciones de reinicio para Windows 10 después de la instalación de la actualización de software

Cuando se implementa e instala una actualización de software que requiere un reinicio mediante Configuration Manager, el cliente programa un reinicio pendiente y muestra un cuadro de diálogo de reinicio.

Cuando hay un reinicio pendiente para una actualización de software de Configuration Manager, la opción Actualizar y Reiniciar y Actualizar y Apagar está disponible en Windows 10 equipos en las opciones de alimentación Windows configuración. Después de usar una de estas opciones, el cuadro de diálogo de reinicio no se muestra después de reiniciar el equipo. En determinadas circunstancias, el sistema operativo puede quitar las opciones de reinicio pendientes. Esto puede ocurrir si la característica Inicio rápido en Windows 10 está habilitada. Para obtener más información, vea Updates may not be installed with Fast Startup in Windows 10.

Evaluar actualizaciones de software después de una actualización de pila de mantenimiento

A partir de la versión 2002, Configuration Manager detecta si una actualización de pila de mantenimiento (SSU) forma parte de una instalación para varias actualizaciones. Cuando se detecta un SSU, se instala primero. Después de instalar el SSU, se ejecuta un ciclo de evaluación de actualización de software para instalar las actualizaciones restantes. Este cambio permite instalar una actualización acumulativa dependiente después de la actualización de la pila de mantenimiento. El dispositivo no necesita reiniciarse entre instalaciones y no es necesario crear una ventana de mantenimiento adicional. Las SSUs se instalan primero solo para las instalaciones iniciadas por el usuario. Por ejemplo, si un usuario inicia una instalación para varias actualizaciones del Centro de software, es posible que el SSU no se instale primero. La instalación de las SSUs en primer lugar no está disponible para sistemas operativos Windows Server cuando se usa Configuration Manager versión 2002. Esta funcionalidad se agregó en Configuration Manager versión 2006 para Windows de servidor.

Siguientes pasos

Una vez que planee actualizaciones de software, vea Prepare for software updates management.

Para obtener más información acerca de la Windows como servicio, vea Conceptos básicos de Configuration Manager como servicio y Windows como servicio.