Geek de todas las operaciones: 6 sugerencias para un cumplimiento del 100% con WSUS

WSUS es la principal solución de administración de actualizaciones prácticamente por sí misma, pero usted puede mejorarla aun más.

Por Greg Shields

Windows Server Update Services (WSUS) es verdaderamente de uno de los logros notables de Microsoft. Muchos de nosotros recordamos a su antecesor, Software Update Services (SUS). En ese entonces, las actualizaciones de software llegaron con poco horarios imprevisibles y de advertencias. Hubo decenas de soluciones de administración de parches en el mercado, cada una forma única para poner orden en la embestida de actualizaciones críticas de publicidad.

Luego vino WSUS, y con ella el cultivo de las soluciones de administración de revisiones se parecía a secarse. Pie casi por sí sola, WSUS reina Supremo como la solución de administración de revisiones de Microsoft para las masas. ¿Por qué? Porque funciona.

Muchos centros de datos utilizan un servidor WSUS para administrar sus actualizaciones de Windows. Aún más el uso del cliente WSUS: el agente de actualización de Windows: para la instalación de código ejecutable de cada actualización. Sin embargo, muchos aún tienen dificultades para implementar las actualizaciones de manera oportuna. Cómo llegar a 100 por ciento de cumplimiento durante la noche es un objetivo noble, aunque siempre no hacemos.

Muchos profesionales de alguien que no reconocen que algunas de las mejores formas de implementar WSUS no son los más evidentes. Algunos no son incluso publicitadas. Permítaseme compartir algunos de los más exitosos trucos que le ayudará a suavizar el proceso de actualización.

1. No permita que los usuarios o reiniciar el Control de versiones

Cómo llegar a actualización de 100 por ciento de cumplimiento requiere dos pasos básicos: En primer lugar, tiene que instalar la actualización;en segundo lugar, se debe reiniciar el equipo. Se deben realizar dos pasos para el equipo de considerarse compatible con. WSUS se queda corto en cómo maneja el paso de reiniciar el sistema.

La mayoría de ustedes no quiere molestar a los usuarios con post-actualización reiniciar el equipo. Lanzando un reinicio durante la jornada de trabajo irrita a los usuarios y puede causar pérdida de trabajo. Es por ello que siempre hay la opción de permitir a los usuarios posponerlo. Aplazamiento de reiniciar el sistema da un tiempo de usuario para terminar lo que están haciendo y cierra el equipo correctamente. Sin embargo, posponer el reinicio puede retrasar lograr el cumplimiento del 100 por ciento.

Otra opción es adjuntar una fecha límite a cada actualización aprobado. Establece una fecha y hora cuando deben finalizar la instalación y reiniciar el equipo. Se podrá forzar absolutamente equipos que reiniciar después de la fecha límite pasa. El problema aquí es con equipos que fueron encendidos hacia abajo o desconectado de la red durante el período de la fecha límite. Esos equipos obtendrá parcheados y posteriormente reinicia después de que están encendidos volver o cuando vuelva a conectar a la red. No es una buena solución.

Una mejor manera de controlar los reinicios es eliminarlos por completo de WSUS. Crear una secuencia de comandos que se reinicia todos los equipos a la vez. Programar esa secuencia de comandos para ejecutar después de que los usuarios dejar para el día. Puede actualizar los sistemas siempre que lo desee, sabiendo que su script de reinicio externos a terminar el proceso.

Por ejemplo, identificar una ventana de tiempo al podrá reiniciar cada escritorio en la red: Supongamos que los miércoles y el sábados por la mañana entre las 2: 00 a.m. y 4: 00 a.m. Socializar esta "ventana de reinicio" a los usuarios, para que sepan para guardar su trabajo. A continuación, usted mismo construir un pequeño script que a la vez que se reinicie cada escritorio. Puede descargar una muestra uno de $concentratedtech.com/download $. Utilice el programador de tareas para ejecutar a esa secuencia de comandos cada semana durante los Windows de reinicio.

Algunas opciones de directiva de grupo pueden ayudar con esta situación: Activar la Directiva de no configuración de "reiniciar automáticamente con los usuarios ha iniciado la sesión para instalaciones de actualizaciones automáticas programadas." Esto impedirá que una instalación de la actualización de reiniciar el equipo.

En la configuración de directiva "Configurar actualizaciones automáticas," establecer el valor en 4 y asegúrese de que el tiempo de instalación se produce antes de su ventana de reiniciar el sistema. Activación de la Directiva "Permitir actualizaciones inmediata instalación automática" también ayuda a, ya que inmediatamente instalan actualizaciones que no requieren reiniciar el sistema. Por último, si desea bloquear esta configuración abajo incluso para los administradores, puede habilitar el configuración de usuario política "quitar acceso a utilizar todas las características de Windows Update".

Volver a configurar WSUS de esta manera separa el paso de reinicio del paso de la instalación y se le da mucho mejor control sobre llegar a 100 por ciento de cumplimiento durante la noche.

2. Utilizar la API de WSUS para un equipo de parches inmediatamente

Los chicos de TI constantemente me preguntan, "existe una manera usar WSUS una revisión un equipo inmediatamente a?" Están cansados de esperar actualizaciones de WSUS basado en tiempo. Quieren control inmediato sobre cuando obtenga parcheados equipos, especialmente con los servidores.

Hay una manera, aunque no está expuesto en la GUI de WSUS. WSUS también tiene exposición a través de una API de secuencias de comandos. Mediante esta API y tu idioma preferido de secuencias de comandos, puede indicar a agente del cualquier cliente de Windows Update para reunir e instalar actualizaciones aprobadas desde el servidor WSUS. El agente incluso reiniciará el equipo inmediatamente si las actualizaciones requieren reiniciar el sistema para la instalación.

La parte difícil es en la construcción de una secuencia de comandos que se va a realizar la tarea. Encontrará dos secuencias de comandos en concentratedtech.com/download . El primero se ejecuta en el equipo que necesitan actualizaciones. Descargará las actualizaciones aprobadas, instalarlos y reiniciar el equipo si es necesario. La segunda utiliza la herramienta de Microsoft nifty PSExec para lanzar de forma remota la primera secuencia de comandos en varios equipos en la red.

Estas dos secuencias de comandos muy prácticas para los servidores de aplicación de parches. Puede indicar a los servidores para aplicar parches y ellos mismos reiniciar inmediatamente, sin tener que esperar del temporizador de reloj en la pared WSUS comenzar.

3. Activar equipos con Directiva de grupo

Derecho donde se almacenan las otras configuraciones de directiva de grupo de WSUS, encontrará una con nombre habilitar Windows Update administración de energía. Esto despertará automáticamente del sistema para instalar las actualizaciones programadas.

Muchos de nosotros configurar nuestros equipos para mover al menor consumo de energía cuando no están en uso, tales como la desactivación de la pantalla o incluso dormir el equipo. El problema es que un equipo para dormir no estén despierto para la instalación de las actualizaciones en medio de la noche.

Si se habilita a esta opción indica a Windows Update para activar automáticamente equipos para dormir cuando es el momento de actualizar. Una vez completada, los equipos volverá a un modo de espera después de dos minutos.

4. Implementar un WSUS orientado a Internet

Empleados que rara vez se conectan a la LAN interna son otro desafío. Estos equipos portátiles son propiedad de la empresa, pero las opciones de administración son limitadas porque son rara vez en la red. Para asegurar que estos equipos obtener corregidos, muchos usuarios se ven obligados al sitio de Web de actualización pública. Allí, te pueden cada parche que Microsoft considere oportunas.

Como puede imaginar, hay varios problemas con este enfoque. La mayoría de nosotros desea determinar qué revisiones se han instalado. Queremos probar y aprobar parches, por lo que podemos descartar los sabemos causan problemas. También necesitamos informes sobre parches de éxito, para evitar que un equipo sin parche infectando a nuestra red.

Una forma de lograr esto (y lograr el cumplimiento de 100 por ciento durante la noche) es con un servidor WSUS orientado a Internet. Este tipo de servidor puede satisfacer sus necesidades de gestión de parches para los usuarios que rara vez se encuentran en la Oficina. Servidores WSUS orientado a Internet por lo general no contienen datos de actualización real. En su lugar, apuntan a los clientes para la actualización de Windows para el contenido de actualización.

Este permite controlar que parches le desplegar mientras se descarga la responsabilidad de distribución de parches a los servidores de Microsoft. Estos servidores también tienden a ser reforzado contra inadecuados usuarios mediante el uso de certificados SSL y un servidor de base de datos independiente.

5. Considere la posibilidad de aceleración de BranchCache

Alcanzar 100 por ciento durante la noche de cumplimiento requiere que los clientes rápidamente parches. También es necesario distribuir rápidamente las actualizaciones en toda la jerarquía WSUS. Por desgracia, la rápida distribución de actualización de metadatos y el contenido no siempre es posible si has encadenar varios servidores WSUS. La frecuencia de detección de actualizaciones automáticas y algunas conexiones de red de Oficina de rama latente son los temas aquí.

Si está utilizando Windows Server 2008 R2, puede reemplazar los servidores WSUS encadenados con BranchCache, una solución de aceleración de contenido que almacena en caché los documentos para usuarios de oficinas remotas. También se puede utilizar BranchCache para acelerar la implementación de la actualización.

Instale BranchCache en su servidor WSUS. A continuación, utilizar Directiva de grupo para activarlo para clientes de Windows 7 en sus oficinas remotas. Por último, punto de aquellos clientes de oficinas remotas a la Oficina principal servidor WSUS para sus actualizaciones.

Utiliza el modo de caché distribuida de BranchCache, equipos de Windows 7 en el sitio remoto compartirán WSUS contenido una vez que se haya descargado. Esto agiliza la distribución de actualización sin saturar la conexión de red.

El almacenamiento en caché real en BranchCache es completamente transparente para el cliente. Esto significa aceleración funcionará una vez habilitada para todo el contenido descargado desde un servidor habilitado para BranchCache. Como resultado, usted puede deshacerse de los servidores WSUS de sitios remotos y quitar un paso en la distribución de la actualización.

6. Mantener la base de datos WSUS limpio

Esta última sugerencia puede sentir como hacer trampa, pero es un paso importante para llegar a 100 por ciento de cumplimiento de normas. Eliminación de equipos caducados desde la base de datos WSUS elimina de tus contadores de cumplimiento de normas. Si un equipo ya no existe, nunca se presentará de cumplimiento de normas y nunca verá el 100 por ciento.

WSUS incluye a un asistente de limpieza, que debería utilizar de forma regular. Va quitar equipos ya no ponerse en contacto con el servidor, así como eliminar las actualizaciones innecesarias.

He compartido estas sugerencias a los clientes durante años. Todos ellos informan mejoras significativas en su tiempo a cumplir plenamente. Se puede llegar, demasiado. Si no puede hacerlo, hágamelo saber. Compartir sus problemas en concentratedtech.com/WSUSGuarantee .

Greg Shields MVP, es socio de tecnología concentrado. Obtenga más de escudos Hedi consejos y trucos en ConcentratedTech.com.

 

Obtener reconocimiento por sus mejores consejos

¿Es usted un administrador de Windows Hedi (JOAT)? ¿Usted es responsable de redes, servidores, impresoras y todo entre? Si es así, que seguramente haya desarrollado algunos útiles consejos y trucos para mantener los servidores que ejecutan. ¿Interés en compartir? Geek-de-todo-oficios columnista la revista TechNet Greg Shields está buscando algunos consejos útiles para una próxima columna, y él está buscando su ayuda.

¿Tiene una sugerencia inteligente para la administración de los servidores de Windows? ¿Calculó una táctica ingeniosa para mantener los equipos de escritorio que se ejecuta? ¿Atención para compartir un truco secreto para administrar su entorno de TI?  "Top 20 se consejos de Greg" aparecerá en un próximo número de TechNet Magazine. Allí, él podrá ser reconociendo los top 20 JOATs de TI más inteligente en la industria al lado de su innovadora punta o truco.  Presentar suyo hoy!  Obtener su nombre en la impresión, elogian sus virtudes y recordar por qué usted es de los que hacer el trabajo real. Envíe sus sugerencias a gshields@concentratedtech.com.  Cada sugerencia presentada obtendrá una respuesta.

— G.S.

Contenido relacionado

• Geek de todas las operaciones: Implementación de Windows 7 en 7 sencillos pasos
• Geek de todas las operaciones: Despliegue automático de Microsoft Office 2010 con herramientas gratuitas
• Geek de todas las operaciones: Deje de perder el poder y ahorre 50 por equipo al año