Introducción a las actualizaciones de software en Configuration Manager
Se aplica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Las actualizaciones de software en System Center 2012 Configuration Manager proporcionan un conjunto de herramientas y recursos que pueden ayudar a administrar la compleja tarea de hacer un seguimiento de las actualizaciones de software y aplicarlas en equipos cliente de la empresa. Un proceso de administración de actualizaciones de software eficaz es necesario para mantener la eficiencia operativa, superar los problemas de seguridad y mantener la estabilidad de la infraestructura de red. Sin embargo, debido a la naturaleza cambiante de la tecnología y la aparición continua de nuevas amenazas de seguridad, la administración de las actualizaciones de software, para ser efectiva, requiere atención constante y continua.
Consulte las siguientes secciones para obtener más información acerca de las actualizaciones de software:
Sincronización de las actualizaciones de software
Evaluación del cumplimiento de las actualizaciones de software
Paquetes de implementación de actualizaciones de software
Flujos de trabajo de implementación de actualizaciones de software
Proceso de implementación de actualizaciones de software
Extensión de actualizaciones de software en Configuration Manager
Compatibilidad con dispositivos de Windows Embedded que utilizan filtros de escritura
Protección de acceso a redes
Novedades de Configuration Manager
Novedades de Configuration Manager SP1
Novedades de System Center 2012 R2 Configuration Manager
Para ver un escenario de ejemplo que muestra cómo podría implementar actualizaciones de software en su entorno, consulte Escenario de ejemplo de uso de Configuration Manager para implementar y supervisar las actualizaciones de software de seguridad publicadas mensualmente por Microsoft.
Sincronización de las actualizaciones de software
La sincronización de las actualizaciones de software en Configuration Manager emplea Microsoft Update para recuperar los metadatos de actualizaciones de software. El sitio de nivel superior (sitio de administración central o sitio primario independiente) se sincroniza con Microsoft Update según una programación o cuando el usuario inicia manualmente la sincronización desde la consola de Configuration Manager. Cuando Configuration Manager finaliza la sincronización de las actualizaciones de software en el sitio de nivel superior, la sincronización de actualizaciones de software comienza en los sitios secundarios que haya. Cuando se completa la sincronización en cada uno de los sitios, primarios o secundarios, se crea una directiva de todo el sitio que proporciona a los equipos cliente la ubicación de los puntos de actualización de software.
Nota
Las actualizaciones de software están habilitadas de forma predeterminada en la configuración de cliente. No obstante, si estable la opción de configuración de cliente Habilitar actualizaciones de software en clientes en No para deshabilitar las actualizaciones de software en una recopilación o en la configuración predeterminada, la ubicación de los puntos de actualización de software no se envía a los clientes asociados. Para más información sobre las opciones de cliente de las actualizaciones de software, consulte la sección Actualizaciones de software en el tema Acerca de la configuración de cliente en Configuration Manager.
Una vez que el cliente recibe la directiva, el cliente inicia un análisis para comprobar el cumplimiento de las actualizaciones de software y escribe la información en Instrumental de administración de Windows (WMI). Luego, la información de cumplimiento se envía al punto de administración que, a continuación, envía la información al servidor de sitio. Para más información sobre la evaluación de cumplimiento, consulte la sección Evaluación del cumplimiento de las actualizaciones de software en este tema.
Para System Center 2012 Configuration Manager SP1 y versiones posteriores:
A partir de Configuration Manager SP1, es posible instalar varios puntos de actualización de software en un sitio primario. El primer punto de actualización de software que se instala se configura como origen de sincronización. Este punto se sincroniza mediante Microsoft Update o un servidor WSUS que no está en la jerarquía de Configuration Manager. Los demás puntos de actualización de software del sitio usan el primer punto de actualización de software como origen de sincronización.
Nota
Cuando el proceso de sincronización de las actualizaciones de software se completa en el sitio de nivel superior, los metadatos de actualizaciones de software se replican a los sitios secundarios mediante la replicación de base de datos. Si conecta una consola de Configuration Manager a un sitio secundario, Configuration Manager muestra los metadatos de actualizaciones de software. No obstante, hasta que se instale y se configure un punto de actualización de software en el sitio, los clientes no analizarán si hay cumplimiento de las actualizaciones de software, no informarán los datos de cumplimiento a Configuration Manager y no será posible implementar correctamente actualizaciones de software.
Sincronización en el sitio de nivel superior
El proceso de sincronización de actualizaciones de software en el sitio de nivel superior recupera de Microsoft Update los metadatos de actualizaciones de software que cumplen con los criterios especificados en las propiedades de componente de punto de actualización de software. Solo se configuran los criterios en el sitio de nivel superior.
Nota
A partir de Configuration Manager SP1, en el sitio de nivel superior, puede especificar que el origen de sincronización, en lugar de ser Microsoft Update, sea un servidor WSUS existente que no está en la jerarquía de Configuration Manager.
La lista siguiente describe los pasos básicos para el proceso de sincronización en el sitio de nivel superior:
Se inicia la sincronización de las actualizaciones de software.
El administrador de sincronización de WSUS envía una solicitud al WSUS que se ejecuta en el punto de actualización de software para que inicie la sincronización con Microsoft Update.
Los metadatos de actualizaciones de software se sincronizan desde Microsoft Update, y todos los cambios se insertan o se actualizan en la base de datos de WSUS.
Una vez que WSUS finaliza la sincronización, el administrador de sincronización de WSUS sincroniza los metadatos de actualizaciones de software desde la base de datos de WSUS en la base de datos de Configuration Manager, y todo cambio que hubiese después de la última sincronización se inserta o se actualiza en la base de datos del sitio. Los metadatos de actualizaciones de software se almacenan en la base de datos del sitio como un elemento de configuración.
Los elementos de configuración de actualización de software se envían a los sitios secundarios mediante la replicación de base de datos.
Una vez finalizada la sincronización correctamente, el administrador de sincronización de WSUS crea el mensaje de estado 6702.
El administrador de sincronización de WSUS envía una solicitud de sincronización a todos los sitios secundarios.
Solo para un sitio primario independiente que ejecuta System Center 2012 Configuration Manager SP1:
El administrador de sincronización de WSUS envía una solicitud, de a una por vez, a cada WSUS que se ejecute en otros puntos de actualización de software del sitio. Los servidores WSUS de los otros puntos de actualización de software se configuran como réplicas del WSUS que se ejecuta en el punto de actualización de software predeterminado del sitio.
Sincronización en los sitios primarios secundarios y secundarios
Durante el proceso de sincronización de las actualizaciones de software en el sitio de nivel superior, los elementos de configuración de actualización de software se replican a los sitios secundarios mediante la replicación de base de datos. Al final del proceso, el sitio de nivel superior, envía una solicitud de sincronización al sitio secundario y el sitio secundario inicia la sincronización de WSUS. La lista siguiente describe los pasos básicos para el proceso de sincronización en un sitio primario secundario o un sitio secundario:
El administrador de sincronización de WSUS recibe una solicitud de sincronización del sitio de nivel superior.
Se inicia la sincronización de las actualizaciones de software.
El administrador de sincronización de WSUS envía una solicitud al WSUS que se ejecuta en el punto de actualización de software para que inicie la sincronización.
El WSUS que se ejecuta en el punto de actualización de software en el sitio secundario sincroniza los metadatos de actualizaciones de software desde el WSUS que se ejecuta en el punto de actualización de software en el sitio primario.
Una vez finalizada la sincronización correctamente, el administrador de sincronización de WSUS crea el mensaje de estado 6702.
Desde un sitio primario, el administrador de sincronización de WSUS envía una solicitud de sincronización a cualquier sitio secundario. El sitio secundario inicia la sincronización de las actualizaciones de software con el sitio primario principal. El sitio secundario se configura como una réplica del WSUS que se ejecuta en el sitio primario.
Para Configuration Manager sin Service Pack únicamente:
Cuando hay un punto de actualización de software remoto basado en Internet, el administrador de sincronización de WSUS inicia el proceso de sincronización para el WSUS que se ejecuta en el sistema de sitio remoto.
Para System Center 2012 Configuration Manager SP1 y versiones posteriores:
El administrador de sincronización de WSUS envía una solicitud, de a una por vez, a cada WSUS que se ejecute en otros puntos de actualización de software del sitio. Los servidores WSUS de los otros puntos de actualización de software se configuran como réplicas del WSUS que se ejecuta en el punto de actualización de software predeterminado del sitio.
Sincronización de puntos de actualización de software basados en Internet
.jpeg "System_CAPS_important") Importante |
|---|
Esta sección se aplica solamente a Configuration Manager sin Service Pack. |
Cuando finaliza la sincronización para el punto de actualización de software activo en un sitio, comienza la sincronización para el punto de actualización de software activo basado en Internet correspondiente al sitio, si está configurado. El proceso es similar al proceso de sincronización en los sitios secundarios, excepto que el WSUS que se ejecuta en el punto de actualización de software activo basado en Internet se sincroniza con el WSUS que se ejecuta en el punto de actualización de software activo para el mismo sitio.
El administrador de sincronización de WSUS envía una solicitud al WSUS que se ejecuta en el punto de actualización de software remoto basado en Internet para que inicie la sincronización.
El WSUS que se ejecuta en el punto de actualización de software remoto basado en Internet sincroniza los metadatos de actualizaciones de software desde el WSUS que se ejecuta en el punto de actualización de software activo para el mismo sitio.
Una vez finalizada la sincronización correctamente, el administrador de sincronización de WSUS crea el mensaje de estado 6702.
El administrador de sincronización de WSUS envía una solicitud de sincronización a cualquier sitio secundario.
Si el origen de sincronización configurado para el punto de actualización de software basado en Internet no está configurado para sincronizar con un servidor de actualización que precede en la cadena, puede usar las funciones Export e Import de la herramienta WSUSutil para sincronizar los metadatos de actualizaciones de software desde un punto de actualización de software activo para el sitio. Para obtener más información, consulte la sección Sincronizar actualizaciones de software desde un punto de actualización de software desconectado del tema Configuración de actualizaciones de software en Configuration Manager.
Evaluación del cumplimiento de las actualizaciones de software
Antes de implementar las actualizaciones de software en equipos cliente de Configuration Manager, inicie un análisis para comprobar el cumplimiento de las actualizaciones de software en los equipos cliente. Para cada actualización de software, se crea un mensaje de estado que contiene el estado de cumplimiento para la actualización. Los mensajes de estado se envían de forma masiva al punto de administración y, a continuación, al servidor de sitio, donde el estado de cumplimiento se inserta en la base de datos del sitio. El estado de cumplimiento para las actualizaciones de software se muestra en la consola de Configuration Manager. Puede implementar e instalar las actualizaciones de software en equipos que requieren las actualizaciones. Las secciones siguientes proporcionan información acerca de los estados de cumplimiento y describen el proceso de análisis para comprobar el cumplimiento de las actualizaciones de software.
Estados de cumplimiento de las actualizaciones de software
La tabla siguiente enumera y describe cada estado de cumplimiento que se muestra en la consola de Configuration Manager en relación con las actualizaciones de software.
Estado |
Descripción |
|---|---|
Requerido |
Especifica que la actualización de software es aplicable y requerida en el equipo cliente. Cualquiera de las siguientes condiciones podría existir cuando el estado de actualización de software es Requerido:
|
No se requiere |
Especifica que la actualización de software no es aplicable en el equipo cliente. Por lo tanto, la actualización de software no se requiere. |
Instalado |
Especifica que la actualización de software es aplicable en el equipo cliente y que el equipo cliente ya tiene instalada la actualización de software. |
Desconocida |
Especifica que el servidor de sitio no recibió un mensaje de estado desde el equipo cliente, normalmente por una de las siguientes razones:
|
Proceso de análisis de cumplimiento de las actualizaciones de software
Cuando se instala y se sincroniza el punto de actualización de software, se crea una directiva de equipo de todo el sitio que informa a los equipos cliente que se habilitaron las actualizaciones de software de Configuration Manager para el sitio. Cuando un cliente recibe la directiva de equipo, se programa un análisis de evaluación de cumplimiento para que se inicie aleatoriamente dentro de las dos horas siguientes. Cuando se inicia el análisis, un agente de cliente de actualizaciones de software borra el historial de análisis, envía una solicitud para buscar el servidor WSUS que debería usarse para el análisis y actualiza la directiva de grupo local con la ubicación del servidor WSUS.
Nota
Los clientes basados en Internet se deben conectar al servidor WSUS mediante SSL.
Se envía una solicitud de examen al Agente de Windows Update (WUA). El WUA se conecta entonces a la ubicación del servidor WSUS que se indica en la directiva local, recupera los metadatos de las actualizaciones de software que se sincronizaron en el servidor WSUS y realiza un examen de las actualizaciones del equipo cliente. El proceso del Agente cliente de actualizaciones de software permite detectar la finalización del examen de cumplimiento así como crear mensajes de estado para cada actualización de software cuyo estado de cumplimiento cambió después del último examen. Los mensajes de estado se envían al punto de administración en masa cada 15 minutos. A continuación, el punto de administración reenvía los mensajes de estado al servidor de sitio, donde los mensajes de estado se insertan en la base de datos del servidor de sitio.
Después del examen inicial de cumplimiento de las actualizaciones de software, el examen se inicia según la programación de exámenes configurada. Sin embargo, si el cliente examinó el cumplimiento de las actualizaciones de software en el plazo de tiempo indicado por el valor de período de vida (TTL), el cliente utiliza los metadatos de las actualizaciones de software almacenados de manera local. Si el último examen se realiza fuera del TTL, el cliente se debe conectar al WSUS que se ejecuta en el punto de actualización de software y actualizar los metadatos de las actualizaciones de software almacenados en el cliente
Con inclusión de la programación de exámenes, el examen de cumplimiento de las actualizaciones de software se puede iniciar de las siguientes maneras:
Programación de exploración de actualización de software: la exploración de cumplimiento de las actualizaciones de software se inicia en la programación de exploración definida en la configuración del agente cliente de actualizaciones de software. Para más información sobre cómo configurar el cliente de actualizaciones de software, consulte la sección Actualizaciones de software en el tema Acerca de la configuración de cliente en Configuration Manager.
Acción de Propiedades de Configuration Manager: El usuario puede iniciar la acción Ciclo de detecciones de actualizaciones de software o Ciclo de evaluación de implementación de actualizaciones de software en la pestaña Acción del cuadro de diálogo Propiedades de Configuration Manager en el equipo cliente.
Programación de reevaluación de implementación: La evaluación de la implementación y el examen de cumplimiento de las actualizaciones de software se inician según la programación de reevaluación de implementación configurada en las opciones del Agente cliente de actualizaciones de software. Para más información sobre las opciones de cliente de las actualizaciones de software, consulte la sección Actualizaciones de software en el tema Acerca de la configuración de cliente en Configuration Manager.
Antes de descargar los archivos de actualización: Cuando un equipo cliente recibe una directiva de asignación para una nueva implementación necesaria, el Agente cliente de actualizaciones de software descarga los archivos de actualización de software en la caché del cliente local. Antes de descargar los archivos de actualización de software, el agente cliente inicia un examen para comprobar que la actualización de software sigue siendo necesaria.
Antes de la instalación de las actualizaciones de software: Justo antes de la instalación de las actualizaciones de software, el Agente cliente de actualizaciones de software inicia un examen para comprobar que las actualizaciones de software siguen siendo necesarias.
Después de la instalación de las actualizaciones de software: Justo después de completarse la instalación de una actualización de software, el Agente cliente de actualizaciones de software inicia un examen para comprobar que las actualizaciones de software ya no son necesarias y crea un nuevo mensaje de estado que indica que la actualización de software está instalada. Si la instalación finalizó pero es necesario reiniciar el equipo, el mensaje de estado indica que el equipo cliente tiene pendiente un reinicio.
Después del reinicio del sistema: Cuando un equipo cliente tiene pendiente un reinicio del sistema para que finalice la instalación de la actualización de software, el Agente cliente de actualizaciones de software inicia un examen después del reinicio para comprobar que la actualización de software ya no es necesaria y crea un mensaje de estado que indica que la actualización de software está instalada.
Valor de período de vida
El software actualiza los metadatos necesarios para que el examen de cumplimiento de las actualizaciones de software se almacene en el equipo cliente local y, de forma predeterminada, sea válido hasta 24 horas. Este valor se denomina período de vida (TTL).
Tipos de exámenes de cumplimiento de las actualizaciones de software
El cliente realiza un examen de cumplimiento de las actualizaciones de software mediante un examen en línea o fuera de línea y un examen forzado o no forzado, en función de la manera en la que se inicia el examen de cumplimiento de las actualizaciones de software. En la tabla siguiente se indica qué métodos de inicio del examen están en línea o fuera de línea y si el examen es forzado o no forzado.
Método de examen |
Tipo de examen |
Descripción |
|---|---|---|
Programación de exámenes de actualizaciones de software |
Examen en línea no forzado |
Según la programación de exámenes configurada, el cliente se conecta al WSUS que se ejecuta en el punto de actualización de software para recuperar los metadatos de las actualizaciones de software sólo si el último examen se realizó fuera del TTL. |
Ciclo de detecciones de actualizaciones de software o bien Ciclo de evaluación de implementación de actualizaciones de software |
Examen en línea forzado |
El equipo cliente se conecta siempre al WSUS que se ejecuta en el punto de actualización de software para recuperar los metadatos de las actualizaciones de software antes de que el equipo cliente realice el examen de cumplimiento de las actualizaciones de software. Una vez finalizado el examen, se restablece el contador del TTL. Por ejemplo, si el TTL es de 24 horas, una vez que un usuario inicia un examen de cumplimiento de las actualizaciones de software, el TTL se restablece a 24 horas. |
Programación de reevaluación de implementación |
Examen en línea no forzado |
Según la programación de reevaluación de implementación configurada, el cliente se conecta al WSUS que se ejecuta en el punto de actualización de software para recuperar los metadatos de las actualizaciones de software sólo si el último examen se realizó fuera del TTL. |
Antes de descargar los archivos de actualización |
Examen en línea no forzado |
Para poder descargar los archivos de actualización en las implementaciones necesarias, el cliente se conecta al WSUS que se ejecuta en el punto de actualización de software para recuperar los metadatos de las actualizaciones de software sólo si el último examen se realizó fuera del TTL. |
Antes de la instalación de las actualizaciones de software |
Examen en línea no forzado |
Para poder instalar las actualizaciones de software en las implementaciones necesarias, el cliente se conecta al WSUS que se ejecuta en el punto de actualización de software para recuperar los metadatos de las actualizaciones de software sólo si el último examen se realizó fuera del TTL. |
Después de la instalación de las actualizaciones de software |
Examen fuera de línea forzado |
Después de la instalación de una actualización de software, el Agente cliente de actualizaciones de software inicia un examen mediante el uso de los metadatos locales. El cliente nunca se conecta al WSUS que se ejecuta en el punto de actualización de software para recuperar los metadatos de las actualizaciones de software. |
Después del reinicio del sistema |
Examen fuera de línea forzado |
Después de la instalación de una actualización de software y del reinicio del equipo, el Agente cliente de actualizaciones de software inicia un examen mediante el uso de los metadatos locales. El cliente nunca se conecta al WSUS que se ejecuta en el punto de actualización de software para recuperar los metadatos de las actualizaciones de software. |
Paquetes de implementación de actualizaciones de software
Un paquete de implementación de actualizaciones de software es el vehículo utilizado para descargar actualizaciones de software en una carpeta compartida de red y copiar los archivos de origen de las actualizaciones de software en la biblioteca de contenido de los servidores de sitio así como en los puntos de distribución definidos en la implementación. Con el Asistente para descargar actualizaciones puede descargar las actualizaciones de software y agregarlas a los paquetes de implementación antes de su implementación. Este asistente le permite aprovisionar las actualizaciones de software en los puntos de distribución y comprobar que esta parte del proceso de implementación se realiza correctamente antes de implementar las actualizaciones de software en los clientes.
Cuando se implementan las actualizaciones de software descargadas mediante el Asistente para implementar actualizaciones de software, la implementación utiliza automáticamente el paquete de implementación que contiene las actualizaciones de software. Cuando se implementan actualizaciones de software que no se descargaron, se debe especificar un paquete de implementación nuevo o existente en el Asistente para implementar actualizaciones de software, y las actualizaciones de software se descargarán cuando finalice el Asistente.
| Importante |
|---|
Se debe crear manualmente la carpeta compartida de red para los archivos de origen del paquete de implementación antes de especificarla en el Asistente. Cada paquete de implementación debe utilizar una carpeta compartida de red diferente. |
.jpeg "System_CAPS_security") Seguridad Nota |
|---|
Tanto la cuenta de equipo de proveedor de SMS como el usuario administrativo que en realidad descarga las actualizaciones de software requieren permisos de escritura para el origen del paquete. Restrinja el acceso al origen del paquete para reducir el riesgo de que un atacante altere los archivos de origen de las actualizaciones de software en el origen del paquete. |
Cuando se crea un nuevo paquete de implementación, la versión del contenido se establece en 1 antes de descargar las actualizaciones de software. Cuando se descargan los archivos de actualización de software mediante el paquete, la versión del contenido se incrementa a 2. Por lo tanto, todos los nuevos paquetes de implementación se inician con una versión del contenido de 2. Cada vez que cambia el contenido en un paquete de implementación, la versión del contenido se incrementa en 1. Para obtener más información sobre la administración de contenido en Configuration Manager, consulte Introducción a la administración de contenido en Configuration Manager.
Los clientes instalan las actualizaciones de software de una implementación mediante cualquier punto de distribución que tenga las actualizaciones de software disponibles, independientemente del paquete de distribución. Aunque se elimine un paquete de implementación de una implementación activa, los clientes seguirán siendo capaces de instalar las actualizaciones de software en la implementación siempre y cuando cada actualización se descargue al menos en otro paquete de implementación y esté disponible en un punto de distribución al que se pueda acceder desde el cliente. Si se elimina el último paquete de implementación que contiene una actualización de software, los equipos cliente no pueden recuperar la actualización de software hasta que la actualización se vuelve a descargar en un paquete de implementación. Las actualizaciones de software aparecen con una flecha roja en la consola de Configuration Manager cuando los archivos de actualización no están en ningún paquete de implementación. Las implementaciones aparecen con una flecha roja doble si contienen actualizaciones que se encuentran en este estado.
Flujos de trabajo de implementación de actualizaciones de software
Hay dos escenarios principales de implementación de las actualizaciones de software en su entorno, la implementación manual y la implementación automática. Normalmente, las actualizaciones de software se implementan manualmente para crear una línea de base para los equipos cliente y, a continuación, las actualizaciones de software se administran en los clientes mediante la implementación automática. En las secciones siguientes se facilita un resumen del flujo de trabajo de la implementación manual y automática de las actualizaciones de software.
Implementación manual de las actualizaciones de software
La implementación manual de las actualizaciones de software es un proceso que incluye la selección de las actualizaciones de software en la consola de Configuration Manager y el inicio manual del proceso de implementación. Este método de implementación se utiliza normalmente para que los equipos cliente tengan todas las actualizaciones de software necesarias antes de que se creen las reglas de implementación automática que administran las implementaciones de las actualizaciones de software mensuales continuas, así como para implementar los requisitos de las actualizaciones de software fuera de banda. En la lista siguiente se indica el flujo de trabajo general de la implementación manual de las actualizaciones de software:
Filtre las actualizaciones de software que utilicen requisitos específicos. Por ejemplo, podría especificar criterios para la recuperación de todas las actualizaciones de software de seguridad o imprescindibles que se requieran en más de 50 equipos cliente.
Cree un grupo de actualizaciones de software que contenga las actualizaciones de software.
Descargue el contenido de las actualizaciones de software en el grupo de actualizaciones de software.
Implemente manualmente el grupo de actualizaciones de software.
Implementación automática de las actualizaciones de software
La implementación automática de las actualizaciones de software se configura mediante las reglas de implementación automática. Este método de implementación se utiliza normalmente para las actualizaciones de software mensuales (que se conocen como "Patch Tuesday") y para administrar las actualizaciones de definiciones. Cuando la regla se ejecuta, se quitan las actualizaciones de software del grupo de actualizaciones de software (si se está usando un grupo existente); las actualizaciones de software que cumplan los criterios especificados (por ejemplo, todas las actualizaciones de software de seguridad publicadas en la última semana) se agregan a un grupo de actualizaciones de software; los archivos de contenido de las actualizaciones de software se descargan y copian en los puntos de distribución, y las actualizaciones de software se implementan en equipos cliente de la colección de destino. En la lista siguiente se indica el flujo de trabajo general de la implementación automática de las actualizaciones de software:
Cree una regla de implementación automática que especifique una configuración de implementación como la siguiente:
Recopilación de destino
Decida si desea habilitar la implementación o notificar el cumplimiento de las actualizaciones de software para los equipos cliente de la recopilación de destino
Criterios de actualizaciones de software
Programaciones de evaluación e implementación
Experiencia del usuario
Propiedades de descarga
Las actualizaciones de software se agregan a un grupo de actualizaciones de software.
El grupo de actualizaciones de software se implementa en los equipos cliente de la recopilación de destino (si se ha especificado).
Debe determinar la estrategia de implementación que se utilizará en su entorno. Por ejemplo, podría crear la regla de implementación automática y seleccionar una recopilación de destino de clientes de prueba. Después de verificar que las actualizaciones de software están instaladas en el grupo de prueba, puede cambiar la recopilación de la regla de implementación automática para establecer una recopilación de destino que incluya un conjunto de clientes más amplio. Los objetos de actualización de software que se crean mediante las reglas de implementación automática son interactivos.
Las actualizaciones de software que se implementaron mediante una regla de implementación automática se implementan automáticamente en los nuevos clientes agregados a la recopilación de destino.
Las nuevas actualizaciones de software que se agregan a un grupo de actualizaciones de software se implementan automáticamente en los clientes de la recopilación de destino.
Puede habilitar o deshabilitar las implementaciones en cualquier momento para la regla de implementación automática.
Proceso de implementación de actualizaciones de software
Después de implementar las actualizaciones de software o cuando una regla de implementación automática se ejecuta e implementa actualizaciones de software, se agrega una directiva de asignación de implementación a la directiva de equipo del sitio. Las actualizaciones de software se descargan desde la ubicación de descarga, Internet, o la carpeta compartida de red, en el origen del paquete. Las actualizaciones de software se copian desde el origen del paquete en la biblioteca de contenido del servidor del sitio y, a continuación, se copian en la biblioteca de contenido del punto de distribución.
Cuando un equipo cliente de la recopilación de destino de la implementación recibe la directiva de equipo, el Agente cliente de actualizaciones de software inicia un examen de evaluación. El agente cliente descarga el contenido de las actualizaciones de software necesarias desde un punto de distribución en la caché del cliente local en cuanto recibe la implementación, pero espera a que transcurra el tiempo configurado en la opción Horas de disponibilidad del software para la implementación antes de que las actualizaciones de software estén disponibles para la instalación. Las actualizaciones de software de las implementaciones opcionales (implementaciones que no tienen una fecha límite de instalación) no se descargan hasta que un usuario inicia manualmente la instalación.
Cuando pasa la fecha límite configurada, el Agente cliente de actualizaciones de software realiza un examen para comprobar que las actualizaciones de software siguen siendo necesarias. A continuación, comprueba la caché local del equipo cliente para comprobar que los archivos de origen de las actualizaciones de software siguen estando disponibles. Por último, el cliente instala las actualizaciones de software. Si se eliminó el contenido de la caché del cliente para dejar espacio a otra implementación, el cliente vuelve a descargar las actualizaciones de software desde el punto de distribución en la caché del cliente. Las actualizaciones de software siempre se descargan en la memoria caché del cliente, con independencia del tamaño de memoria caché de cliente máximo configurado. Una vez completada la instalación, el agente cliente comprueba que las actualizaciones de software ya no son necesarias y, a continuación, envía un mensaje de estado al punto de administración para indicar que las actualizaciones de software ya están instaladas en el cliente.
Reinicio obligatorio del sistema
De forma predeterminada, cuando las actualizaciones de software de una implementación necesaria se instalan en un equipo cliente y se requiere un reinicio del sistema para que finalice la instalación, se inicia el reinicio del sistema. En el caso de las actualizaciones de software que se instalaron antes de la fecha límite, el reinicio automático del sistema se pospone hasta la fecha límite, a menos que el equipo se reinicie antes por algún otro motivo. El reinicio del sistema se puede suprimir en el caso de los servidores y estaciones de trabajo. Estas opciones se configuran en la página Experiencia del usuario del Asistente para implementar actualizaciones de software o el Asistente para crear regla de implementación automática.
Ciclo de reevaluación de implementación
De forma predeterminada, los equipos cliente inician un ciclo de reevaluación de implementación cada 7 días. Durante este ciclo de evaluación, el equipo cliente busca las actualizaciones de software que se implementaron e instalaron previamente. Si faltan actualizaciones de software, las actualizaciones de software se vuelven a instalar desde la caché local. Si alguna actualización de software ya no está disponible en la caché local, se descarga desde un punto de distribución y, a continuación, se instala. Puede configurar la programación de reevaluación en la página Actualizaciones de software de la configuración de cliente del sitio.
Compatibilidad con dispositivos de Windows Embedded que utilizan filtros de escritura
Para System Center 2012 Configuration Manager SP1 y versiones posteriores:
Cuando se implementan actualizaciones de software en dispositivos de Windows Embedded con filtros de escritura habilitados, se puede especificar si se desea deshabilitar el filtro de escritura en el dispositivo durante la implementación y luego reiniciar el dispositivo después de la misma. Si no se deshabilita el filtro de escritura, el software se implementa en una superposición temporal y ya no estará instalado cuando el dispositivo se reinicie a menos que otra implementación fuerce la conservación de los cambios.
Nota
Cuando implemente una actualización de software en un dispositivo de Windows Embedded, asegúrese de que el dispositivo es miembro de una recopilación que tenga una ventana de mantenimiento configurada. Esto le permite administrar cuándo se deshabilita y habilita el filtro de escritura, y cuándo se reinicia el dispositivo.
La opción de la experiencia del usuario que permite controlar el comportamiento de los filtros de escritura es la casilla Confirmar cambios dentro de la fecha límite o en una ventana de mantenimiento (reinicio necesario).
Para más información sobre cómo Configuration Manager administra los dispositivos incrustados que usan filtros de escritura, consulte la sección Implementación del cliente de Configuration Manager en dispositivos de Windows Embedded en el tema Introducción a la implementación de cliente en Configuration Manager.
Extensión de actualizaciones de software en Configuration Manager
Utilice System Center Updates Publisher 2011 para administrar las actualizaciones de software que no estén disponibles en Microsoft Update. Después de publicar las actualizaciones de software en el servidor de actualización y sincronizarlas en Configuration Manager, puede implementar las actualizaciones de software en los clientes de Configuration Manager. Para obtener más información acerca de Updates Publisher 2011, consulte Updates Publisher 2011.
Protección de acceso a redes
La Protección de acceso a redes (NAP) de Configuration Manager interactúa con Configuration Manager y la Protección de acceso a redes de Windows para proteger la red.
Protección de acceso a redes con actualizaciones de software
Cuando la NAP está habilitada, los clientes de Configuration Manager pueden evaluar si son compatibles o no con las actualizaciones de software seleccionadas. Los clientes de Configuration Manager envían esta información mediante un informe de mantenimiento (SoH), que se presenta al Validador de mantenimiento del sistema de Configuration Manager que reside en el rol de sistema de sitio del punto de Validador de mantenimiento del sistema.
El punto de Validador de mantenimiento del sistema se instala en un equipo que ejecuta Windows Server 2008 con el rol de Servidor de directivas de redes. Valida si el equipo cliente es compatible o no compatible y pasa el estado de mantenimiento del equipo al Servidor de directivas de redes de Windows.
Cumplimiento de las actualizaciones de software en el Servidor de directivas de redes
El Servidor de directivas de redes de Windows está configurado para utilizar directivas que determinan las medidas a tomar en los equipos según sean compatibles o no compatibles.
Si no se puede determinar el estado de mantenimiento de un cliente, esto se considera una condición de error. De forma predeterminada, todas las condiciones de error se asignan a un estado no compatible. No obstante, se dividen en cinco categorías y cada categoría se puede configurar para la asignación de un estado compatible o no compatible.
Las medidas que el Servidor de directivas de redes puede tomar en función de los estados de mantenimiento de los equipos son las siguientes:
Restringir el acceso de los equipos a la toda la red
Proporcionar acceso total a la red, pero durante un periodo limitado
Proporcionar acceso total a la red de manera indefinida
Aplicar medidas correctivas en los equipos no compatibles para que cumplan las directivas
Tenga en cuenta que el usuario administrativo de Configuration Manager no puede controlar las medidas que tomen a causa de los informes de mantenimiento de los equipos que pasa al Servidor de directivas de redes. Sin embargo, si el Servidor de directivas de redes está configurado para garantizar el cumplimiento mediante medidas correctivas, los servicios de Configuration Manager se utilizarán para facilitar las actualizaciones de software necesarias para que los equipos no compatibles pasen a ser compatibles. Una vez garantizado correctamente el cumplimiento, los clientes vuelven a evaluar su informe de mantenimiento, que cambiará de no compatible a compatible; asimismo, su estado de mantenimiento se actualizará como compatible.
Configuración de las actualizaciones de software para la Protección de acceso a redes
Las actualizaciones de software que deben tener los clientes para ser compatibles se seleccionan mediante la creación de directivas de NAP de Configuration Manager. Solo se pueden seleccionar las actualizaciones de software que ya están descargadas en la biblioteca de contenido del servidor del sitio. A diferencia de las implementaciones de actualizaciones de software que se destinan a las recopilaciones que elija, las directivas de NAP de Configuration Manager se destinan automáticamente a todos los equipos asignados al sitio. Las directivas de NAP de Configuration Manager se van aplicando a los niveles inferiores de la jerarquía de Configuration Manager, de forma similar a cómo se comportan los paquetes y las implementaciones de software en Configuration Manager. Los sitios que heredan las directivas de NAP de Configuration Manager destinarán automáticamente las directivas de NAP de Configuration Manager a los clientes asignados al sitio.
| Importante |
|---|
A causa del carácter automático de la herencia y la selección de destino en toda la jerarquía, debe recordar que una directiva de NAP de Configuration Manager puede afectar a todos los clientes de la jerarquía. |
Novedades de Configuration Manager
Nota
La información de esta sección también aparece en la guía Introducción a System Center 2012 Configuration Manager.
Aunque los conceptos generales relativos a la implementación de las actualizaciones de software son los mismos en System Center 2012 Configuration Manager que en Configuration Manager 2007, se dispone de una funcionalidad nueva o actualizada que mejora el proceso de implementación de las actualizaciones de software. Se incluye la aprobación y la implementación automáticas de las actualizaciones de software, una función de búsqueda mejorada con criterios ampliados, mejoras en la supervisión de las actualizaciones de software y un mayor control de usuario de la programación de la instalación de las actualizaciones de software.
Los elementos siguientes son nuevos o cambiaron desde Configuration Manager 2007:
Los grupos de actualizaciones de software son una novedad de Configuration Manager y reemplazan a las listas de actualizaciones que se utilizaban en Configuration Manager 2007. Los grupos de actualizaciones de software permiten organizar de manera más eficaz las actualizaciones de software en su entorno. Puede agregar manualmente actualizaciones de software a un grupo de actualizaciones de software, o agregar automáticamente actualizaciones de software a un grupo de actualizaciones de software nuevo o existente mediante una regla de implementación automática. También puede implementar un grupo de actualizaciones de software manual o automáticamente mediante una regla de implementación automática. Después de implementar un grupo de actualizaciones de software, puede agregar nuevas actualizaciones de software al grupo, y se implementarán automáticamente.
Las reglas de implementación automática permiten aprobar e implementar automáticamente las actualizaciones de software. Se especifican los criterios relativos a las actualizaciones de software (por ejemplo, todas las actualizaciones de software de Windows 7 publicadas durante la última semana), se agregan las actualizaciones de software a un grupo de actualizaciones de software, se configuran las opciones de implementación y supervisión, y se decide si se van a implementar las actualizaciones de software del grupo de actualizaciones de software. Se puede implementar las actualizaciones de software del grupo de actualizaciones de software o recuperar la información de cumplimiento de los equipos cliente correspondiente a las actualizaciones de software del grupo de actualizaciones de software sin implementarlas.
Se dispone de una nueva función de búsqueda con criterios ampliados cuando las actualizaciones de software aparecen en la consola de Configuration Manager. Puede agregar un conjunto de criterios que facilite la localización de las actualizaciones de software que debe tener. Puede guardar los criterios de búsqueda para usarlos más adelante. Por ejemplo, puede establecer criterios para todas las actualizaciones de software imprescindibles de Windows 7 y las actualizaciones de software publicadas durante el último año. Después de filtrar las actualizaciones que debe tener, puede seleccionar las actualizaciones de software y revisar la información de cumplimiento de cada actualización de software, crear un grupo de actualizaciones de software que contenga las actualizaciones de software, implementar manualmente las actualizaciones de software, etc.
En la consola de Configuration Manager, puede supervisar los siguientes objetos y procesos de las actualizaciones de software:
Vistas importantes de cumplimiento e implementación de las actualizaciones de software
Mensajes de estado detallados para todas las implementaciones y activos
Códigos de error de las actualizaciones de software con información adicional para facilitar la identificación de problemas
Estado de la sincronización de las actualizaciones de software
Alertas acerca de problemas importantes de las actualizaciones de software
También se dispone de informes de las actualizaciones de software, que ofrecen información detallada del estado de las actualizaciones de software, los grupos de actualizaciones de software y las implementaciones de las actualizaciones de software.
Las actualizaciones de software sustituidas en Configuration Manager 2007 expiraban automáticamente durante el proceso de sincronización completa de las actualizaciones de software de un sitio. En System Center 2012 Configuration Manager, puede decidir si las actualizaciones de software sustituidas se administrarán como en Configuration Manager 2007, o puede configurar un periodo específico durante el que la actualización de software no expira automáticamente una vez sustituida. Durante este periodo podrá implementar las actualizaciones de software sustituidas.
Configuration Manager proporciona a los usuarios más control sobre cuándo instalar las actualizaciones de software en su equipo. El Centro de software de Configuration Manager es una aplicación que se instala con el cliente de Configuration Manager. Los usuarios ejecutan esta aplicación en el menú Inicio para administrar el software que se implementa en ellos. Esto incluye las actualizaciones de software. En el Centro de software, los usuarios pueden programar la instalación de las actualizaciones de software en el momento más adecuado antes de la fecha límite e instalar actualizaciones de software opcionales. Por ejemplo, puede configurar su horario comercial y programar que las actualizaciones de software se ejecuten fuera de ese horario para minimizar la pérdida de productividad. Cuando se alcanza la fecha límite de una actualización de software, se inicia la instalación de la misma.
La biblioteca de contenido de System Center 2012 Configuration Manager es la ubicación en la que se almacenan todos los archivos de contenido de actualizaciones de software, aplicaciones, implementaciones de sistema operativo, etc. La biblioteca de contenido constituye un almacén de instancia única para los archivos de contenido del servidor de sitio y de los puntos de distribución, y supone una ventaja sobre la funcionalidad de administración de contenido de Configuration Manager 2007. Por ejemplo, en Configuration Manager 2007, podía distribuir los mismos archivos de contenido varias veces mediante diferentes implementaciones y paquetes de implementación. Como resultado, los mismos archivos de contenido se almacenaban varias veces en el servidor de sitio y los puntos de distribución, con lo que la carga de procesamiento se incrementaba de forma innecesaria y los requisitos de espacio en el disco duro eran excesivos.
Para más información sobre la administración de contenido, consulte la sección Biblioteca de contenido en el tema Introducción a la administración de contenido en Configuration Manager.
Ya no existe el nodo Plantillas de implementación en la consola de Configuration Manager para administrar las plantillas. Las plantillas de implementación solo se pueden crear a través del Asistente para crear regla de implementación automática o el Asistente para implementar actualizaciones de software. En las plantillas de implementación se almacenan muchas de las propiedades de implementación que podrían no cambiar de implementación a implementación, por lo que dichas plantillas permiten ahorrar mucho tiempo a los usuarios administrativos al implementar las actualizaciones de software.
Se pueden crear plantillas de implementación para diferentes escenarios de implementación en su entorno. Por ejemplo, puede crear una plantilla para las implementaciones urgentes de las actualizaciones de software y las implementaciones planificadas. Mediante la plantilla de las implementaciones urgentes es posible suprimir las notificaciones en los equipos cliente, establecer la fecha límite en cero (0) días a partir de la programación de implementación y habilitar los reinicios del sistema fuera de las ventanas de mantenimiento. La plantilla de las implementaciones planificadas permite mostrar las notificaciones en los equipos cliente y establecer la fecha límite en 14 días a partir de la programación de implementación.
Cuando un cliente basado en Internet recibe una implementación, el cliente intenta en primer lugar descargar los archivos de software desde Microsoft Update en lugar de los puntos de distribución. Si la conexión con Microsoft no se establece correctamente, los clientes recurren a un punto de distribución que hospeda los archivos de la actualización de software y está configurado para aceptar la comunicación de los clientes que están en Internet.
Aunque sigue siendo posible implementar las actualizaciones de software en System Center 2012 Configuration Manager, ya no hay un objeto de implementación de la actualización de software visible. El objeto de implementación ahora está anidado en un grupo de actualizaciones de software.
Hay un límite no configurable de 1000 actualizaciones de software para una implementación de actualizaciones de software. Cuando cree una regla de implementación automática, compruebe que los criterios que especifique no dan como resultado más de 1000 actualizaciones de software. Al implementar manualmente las actualizaciones de software, no seleccione más de 1.000 actualizaciones para implementar.
El nodo Protección de acceso a redes de la consola de Configuration Manager y el Asistente para nuevas directivas ya no están disponibles en System Center 2012 Configuration Manager. Para crear una directiva de NAP para las actualizaciones de software, debe seleccionar Habilitar evaluación de NAP en la pestaña Evaluación de NAP de las propiedades de la actualización de software.
Novedades de Configuration Manager SP1
Nota
La información de esta sección también aparece en la guía Introducción a System Center 2012 Configuration Manager.
Los elementos siguientes son nuevos o han cambiado en lo que respecta a las actualizaciones de software de Configuration Manager SP1:
Los puntos de actualización de software se han rediseñado en Configuration Manager SP1. Puede instalar varios sistemas de sitio de punto de actualización de software en un sitio. Puede configurar que un punto de actualización de software esté en el mismo bosque que el servidor de sitio o en otro bosque, y establecer si desea aceptar comunicaciones de clientes en Internet, intranet o tanto en Internet como en intranet. Este comportamiento proporciona tolerancia a errores sin necesitar un clúster de equilibrio de carga de red (NLB). No puede instalar más de un punto de actualización de software en un sitio secundario. Para obtener más información, consulte la sección Determinar la infraestructura del punto de actualización de software del tema Planeación de actualizaciones de software en Configuration Manager.
Nota
El concepto de punto de actualización de software activo ya no se usa en Configuration Manager SP1.
Ya no tiene la opción de configurar un punto de actualización de software como un NLB en la consola de Configuration Manager. Antes de realizar la actualización a partir de Configuration Manager sin Service Pack a Configuration Manager SP1, debe quitar el NLB de su punto de actualización de software activo. Al completar la actualización, tendrá la opción de configurar NLB mediante el cmdlet Set-CMSoftwareUpdatePoint PowerShell. Para más información sobre un punto de actualización de software configurado para usar NLB, consulte la sección Punto de actualización de software configurado para utilizar NLB en el tema Planeación de actualizaciones de software en Configuration Manager. Para obtener más información sobre el cmdlet Set-CMSoftwareUpdatePoint de PowerShell, consulte el tema Set-CMSoftwareUpdatePoint en la Referencia de cmdlet de System Center 2012 Configuration Manager SP1.
En el sitio de Configuration Manager de nivel superior, ahora puede especificar un servidor WSUS existente como la ubicación de origen de la sincronización ascendente. Durante la sincronización, el sitio se conecta a esta ubicación para sincronizar las actualizaciones de software. Por ejemplo, si tiene un servidor WSUS existente que no es parte de la jerarquía de Configuration Manager, puede especificar el servidor WSUS existente para sincronizar actualizaciones de software.
Puede elegir entre dos plantillas de implementación de actualización de software integradas en el Asistente para crear regla de implementación automática. La plantilla Actualizaciones de definiciones proporciona opciones de configuración comunes para implementar actualizaciones de definiciones de software. La plantilla Patch Tuesday proporciona opciones de configuración comunes para implementar actualizaciones de software en un ciclo mensual.
En las propiedades del punto de actualización de software, puede proporcionar las credenciales para que el servidor de sitio se conecte al servidor WSUS. Puede especificar esta cuenta para conectarse a un punto de actualización de software en, por ejemplo, otro bosque.
Puede ejecutar una regla de implementación automática hasta 3 veces al día para estar en línea con la frecuencia de publicación de actualizaciones de definiciones de Endpoint Protection.
Puede seleccionar varias actualizaciones de software para instalarlas como un grupo mediante el Centro de software.
Puede controlar el comportamiento del filtro de escritura en dispositivos de Windows Embedded al implementar actualizaciones de software mediante la nueva configuración de experiencia de usuario Confirmar cambios dentro de la fecha límite o en una ventana de mantenimiento (reinicio necesario). Para más información sobre cómo Configuration Manager administra los dispositivos incrustados que usan filtros de escritura, consulte la sección Implementación del cliente de Configuration Manager en dispositivos de Windows Embedded en el tema Introducción a la implementación de cliente en Configuration Manager.
La nueva configuración de cliente Agente de equipo denominada Deshabilitar selección aleatoria de fecha límite le permite deshabilitar el retraso de la instalación aleatoria de las actualizaciones de software y las implementaciones de aplicaciones correspondientes. Para obtener más información, consulte la sección Agente de equipo del tema Acerca de la configuración de cliente en Configuration Manager.
Novedades de System Center 2012 R2 Configuration Manager
Nota
La información de esta sección también aparece en la guía Introducción a System Center 2012 Configuration Manager.
Los elementos siguientes son nuevos o han cambiado en lo que respecta a las actualizaciones de software en System Center 2012 R2 Configuration Manager:
Nueva ventana de mantenimiento dedicada a la instalación de actualizaciones de software. Esto le permite configurar una ventana de mantenimiento general y una ventana de mantenimiento diferente para las actualizaciones de software. Cuando se configuran una ventana de mantenimiento general y una ventana de mantenimiento de actualizaciones de software, los clientes solo instalan las actualizaciones de software durante la ventana de mantenimiento de actualizaciones de software. Para obtener más información acerca de las ventanas de mantenimiento, consulte Cómo utilizar las ventanas de mantenimiento en el Administrador de configuración.
Ahora puede cambiar el paquete de implementación para una regla de implementación automática existente. Cada vez que se ejecuta una regla de distribución automática, se agregan nuevas actualizaciones de software al paquete de implementación especificado. Los paquetes de implementación pueden llegar a ser muy grandes y pueden suponer un impacto en escenarios de replicación, sobre todo cuando se agrega un nuevo punto de distribución a la jerarquía o a un grupo de puntos de distribución. Ahora puede cambiar el paquete de implementación periódicamente para evitar que se haga demasiado grande. Para más información sobre las reglas de implementación automática, consulte la sección Implementación automática de las actualizaciones de software en este tema.
Ahora puede ver las actualizaciones de software que cumplan con los filtros de propiedad y los criterios de búsqueda que se definan en una regla de distribución automática. La vista previa de las actualizaciones de software le permite revisarlas antes de crear la implementación. El botón Vista previa se ubica en la página Actualizaciones de software del asistente para implementación automática y en la pestaña Actualizaciones de software de las propiedades de la regla de implementación automática.