Compartir a través de

Paso 2: Configurar WSUS

Después de instalar el rol de servidor de Windows Server Update Services (WSUS) en el servidor, debe configurarlo correctamente. También deberá configurar los equipos cliente para recibir sus actualizaciones del servidor WSUS.

2.1. Configurar conexiones de red

Antes de iniciar el proceso de configuración, asegúrese de saber responder las siguientes preguntas:

  • ¿El firewall del servidor está configurado para permitir el acceso de clientes?

  • ¿Puede este equipo conectarse al servidor ascendente (el servidor designado para descargar actualizaciones de Microsoft Update)?

  • ¿Tiene el nombre del servidor proxy y las credenciales de usuario para este servidor, si los necesita?

A continuación, puede empezar a configurar las siguientes opciones de red de WSUS:

  • Actualizaciones: especifique la forma en que este servidor debe obtener actualizaciones (de Microsoft Update o de otro servidor WSUS).

  • Proxy: si identifica que WSUS debe usar un servidor proxy para tener acceso a Internet, configure las opciones de proxy en el servidor WSUS.

  • Firewall: si identifica que WSUS está detrás de un firewall corporativo, realice pasos adicionales en el dispositivo perimetral para permitir el tráfico de WSUS.

Importante

Si solo tiene un servidor WSUS, debe tener acceso a Internet, ya que necesita descargar actualizaciones de Microsoft. Si tiene varios servidores WSUS, solo un servidor necesita acceso a Internet. Los demás solo necesitan tener acceso de red al servidor WSUS conectado a Internet. Los equipos cliente no necesitan acceso a Internet. Solo necesitan acceso de red a un servidor WSUS.

Sugerencia

Si la red es de tipo air gapped (con espacio de aire) y no tiene acceso a Internet en absoluto, puede usar WSUS para proporcionar las actualizaciones a los equipos cliente de la red. Esta opción requiere dos servidores WSUS. Un servidor WSUS con acceso a Internet recopila las actualizaciones de Microsoft. Un segundo servidor WSUS en la red protegida sirve las actualizaciones a los equipos cliente. Las actualizaciones se exportan desde el primer servidor a medios extraíbles, se transportan a través del espacio aéreo y se importan en el segundo servidor. Esta configuración está avanzada y está fuera del ámbito de este artículo.

2.1.1. Configuración del firewall para permitir que el primer servidor WSUS se conecte a dominios de Microsoft en Internet

Si hay un firewall de empresa entre WSUS e Internet, es posible deba configurar el firewall para asegurarse de que WSUS obtenga las actualizaciones. Para obtener actualizaciones de Microsoft Update, el servidor WSUS usa los puertos 80 y 443 para los protocolos HTTP y HTTPS. Si bien la mayoría de los firewalls de empresa permiten este tipo de tráfico, algunas compañías restringen el acceso de servidores a Internet debido a sus directivas de seguridad. Si su empresa restringe el acceso, debe configurar el firewall para permitir que el servidor WSUS acceda a los dominios de Microsoft.

El primer servidor WSUS debe tener acceso de salida a los puertos 80 y 443 en los siguientes dominios:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

  • http://*.delivery.mp.microsoft.com

  • https://*.delivery.mp.microsoft.com

Si va a administrar las actualizaciones de Microsoft 365, que requiere Microsoft Configuration Manager, consulte Administrar actualizaciones de Aplicaciones de Microsoft 365 con Microsoft Configuration Manager para obtener más información sobre los dominios que necesita permitir.

Importante

Debe configurar el firewall para permitir que el primer servidor WSUS acceda a cualquier dirección URL dentro de estos dominios. Las direcciones IP asociadas a estos dominios cambian constantemente, por lo que no intente usar intervalos de direcciones IP en su lugar.

2.1.2. Configuración del firewall para permitir que otros servidores WSUS se conecten al primer servidor

Si tiene varios servidores WSUS, debe configurar los demás servidores WSUS para acceder al primer servidor (más arriba). A continuación, los demás servidores WSUS reciben toda su información de actualización del servidor superior. Esta configuración le permite administrar toda la red mediante la consola de administración de WSUS en el servidor de nivel superior.

Los demás servidores WSUS deben tener acceso de salida al servidor de nivel superior mediante dos puertos. De forma predeterminada, estos puertos son 8530 y 8531. Puede cambiar estos puertos, como se describe en Configuración del servidor web IIS del servidor WSUS para usar TLS para algunas conexiones más adelante en este artículo.

Nota

Si la conexión de red entre los servidores WSUS es lenta o costosa, puede configurar uno o varios de los otros servidores WSUS para que reciban las cargas de actualización directamente de Microsoft. En este caso, solo se envía una pequeña cantidad de datos desde esos servidores WSUS al servidor superior. Tenga en cuenta que, para que esta configuración funcione, los demás servidores WSUS deben tener acceso a los mismos dominios de Internet que el servidor de nivel superior.

Nota

Si tiene una organización grande, puede usar cadenas de servidores WSUS conectados, en lugar de que todos los demás servidores WSUS se conecten directamente al servidor de nivel superior. Por ejemplo, puede conectar un segundo servidor WSUS al servidor de nivel superior y, a continuación, conectar otros servidores WSUS al segundo servidor WSUS.

2.1.3. Configurar los servidores WSUS para que usen un servidor proxy, si es necesario

Si la red corporativa usa servidores proxy, los servidores proxy deben admitir los protocolos HTTP y HTTPS. También deben usar la autenticación básica o la autenticación de Windows. Estos requisitos pueden cumplirse mediante una de las siguientes configuraciones:

  • Un servidor proxy único que admita dos canales de protocolos. En este caso, establezca que un canal use HTTP y el otro HTTPS.

    Nota

    Puede configurar un servidor proxy que controle los dos protocolos de WSUS durante la instalación del software del servidor WSUS.

  • Dos servidores proxy, cada uno de los cuales admite un único protocolo. En este caso, configure un servidor proxy para usar HTTP y el otro servidor proxy para usar HTTPS.

Configuración de WSUS para usar dos servidores proxy

  1. Inicie sesión en el equipo que planea usar como servidor WSUS mediante una cuenta que sea miembro del grupo Administradores locales.

  2. Instalación del rol de servidor WSUS Al usar el Asistente para configuración de WSUS, como se explica en Configurar WSUS mediante el Asistente para configuración de WSUS, no especifique un servidor proxy.

  3. Abra un símbolo del sistema (Cmd.exe) como administrador:

    1. En el menú Inicio, busque Símbolo del sistema.
    2. Haga clic con el botón derecho en símbolo del sistema y seleccione Ejecutar como administrador.
    3. Si aparece el cuadro de diálogo Control de cuentas de usuario , escriba las credenciales adecuadas (si se solicitan), confirme que la acción que muestra es lo que desea y, a continuación, seleccione Continuar.

  4. En símbolo del sistema, vaya a la carpeta C:\Archivos de programa\Update Services\Tools. Escriba el comando siguiente:

    wsusutil ConfigureSSLproxy [<proxy-server proxy-port>] -enable

    En ese comando:

    • proxy_server es el nombre del servidor proxy que admite HTTPS.

    • proxy_port es el número del puerto del servidor proxy.

  5. Cierre la ventana de comandos.

Adición de un servidor proxy a la configuración de WSUS

  1. Abra la consola de administración de WSUS.

  2. En Update Services, expanda el nombre del servidor y, a continuación, seleccione Opciones.

  3. En el panel Opciones , seleccione Actualizar origen y servidor proxy y, a continuación, vaya a la pestaña Servidor proxy .

  4. Seleccione Usar un servidor proxy al sincronizar y escriba el nombre y el número de puerto del servidor proxy en los cuadros correspondientes. El número de puerto predeterminado es 80.

  5. Si el servidor proxy requiere que use una cuenta de usuario específica, seleccione Usar credenciales de usuario para conectarse al servidor proxy. Escriba el nombre de usuario, el dominio y la contraseña necesarios en los cuadros correspondientes.

  6. Si el servidor proxy admite la autenticación básica, seleccione Permitir autenticación básica (la contraseña se envía en texto no cifrado).

  7. Seleccione Aceptar.

Eliminación de un servidor proxy de la configuración de WSUS

  1. En la Consola de administración de WSUS, en Update Services, expanda el nombre del servidor y, a continuación, seleccione Opciones.

  2. En el panel Opciones , seleccione Actualizar origen y servidor proxy y, a continuación, vaya a la pestaña Servidor proxy .

  3. Desmarque la casilla Usar un servidor proxy al sincronizarse.

  4. Seleccione Aceptar.

2.1.4. Configurar el firewall para permitir que los equipos cliente accedan a un servidor WSUS

Todos los equipos cliente deben conectarse a uno de los servidores WSUS. Cada equipo cliente debe tener acceso saliente a dos puertos en el servidor WSUS. De forma predeterminada, estos puertos son 8530 y 8531.

2.2. Configurar WSUS con el Asistente para la configuración de WSUS

Los procedimientos de las secciones siguientes usan el Asistente para configuración de WSUS para configurar las opciones de WSUS. El Asistente para configuración de WSUS aparece la primera vez que inicia la consola de administración de WSUS. También puede usar el panel Opciones de la Consola de administración de WSUS para configurar las opciones de WSUS. Para obtener más información sobre el uso del panel Opciones , consulte los procedimientos siguientes en otras secciones de este artículo:

Iniciar el asistente y configurar las opciones iniciales

  1. En el panel Administrador del servidor, seleccione Herramientas de>Windows Server Update Services.

    Nota

    Si aparece el cuadro de diálogo Completar instalación de WSUS , seleccione Ejecutar. En el cuadro de diálogo Completar instalación de WSUS , seleccione Cerrar cuando finalice correctamente la instalación.

    Se abrirá el Asistente de configuración de WSUS.

  2. En la página Antes de comenzar, revise la información y, a continuación, haga clic en Siguiente.

  3. En la página Unirse al Programa de mejora de Microsoft Update , lea las instrucciones. Mantenga la selección predeterminada si quiere participar en el programa o desactive la casilla si no. Luego, seleccione Siguiente.

Configuración de los ajustes del servidor de origen y proxy

  1. En la página Elegir servidor ascendente , seleccione una de las siguientes opciones:

    • Sincronizar desde Microsoft Update

    • Sincronizar desde otro servidor de Windows Server Update Services

    Si decide sincronizar desde otro servidor WSUS, siga estos pasos:

    1. Especifique el nombre del servidor y el puerto en el que este servidor debe comunicarse con el servidor ascendente.

    2. Para usar TLS, seleccione Usar SSL al sincronizar la información de actualización. Los servidores usan el puerto 443 para la sincronización. (Asegúrese de que este servidor y el servidor ascendente admiten TLS).

    3. Si este servidor es un servidor de réplica, seleccione Esta es una réplica del servidor ascendente.

  2. Después de seleccionar las opciones de la implementación, seleccione Siguiente.

  3. Si WSUS necesita un servidor proxy para acceder a Internet, configure las siguientes opciones de proxy. De lo contrario, omita este paso.

    1. En la página Especificar servidor proxy , seleccione Usar un servidor proxy al sincronizar. A continuación, escriba el nombre del servidor proxy y el número de puerto (puerto 80 de forma predeterminada) en los cuadros correspondientes.

    2. Si desea conectarse al servidor proxy mediante credenciales de usuario específicas, seleccione Usar credenciales de usuario para conectarse al servidor proxy. A continuación, escriba el nombre de usuario, el dominio y la contraseña del usuario en los cuadros correspondientes.

      Si desea habilitar la autenticación básica para el usuario que se conecta al servidor proxy, seleccione Permitir autenticación básica (la contraseña se envía en texto no cifrado).

  4. Seleccione Siguiente.

  5. En la página Conectar al servidor ascendente , seleccione Iniciar conexión.

  6. Cuando WSUS se conecte al servidor, seleccione Siguiente.

Selección de idiomas, productos y clasificaciones

  1. En la página Elegir idiomas , puede seleccionar los idiomas de los que WSUS recibe actualizaciones: todos los idiomas o un subconjunto de idiomas. Al seleccionar un subconjunto de idiomas, se ahorra espacio en disco, pero es importante seleccionar todos los idiomas que necesitan todos los clientes de este servidor WSUS.

    Si decide obtener actualizaciones solo de idiomas concretos, haga clic en Descargar actualizaciones solamente en estos idiomas, y luego seleccione los idiomas para los que quiere obtener esas actualizaciones. De lo contrario, deje el valor predeterminado.

    Advertencia

    Si selecciona la opción Descargar actualizaciones solo en estos idiomas y este servidor tiene un servidor WSUS de bajada conectado, esta opción obliga al servidor de bajada a usar también los idiomas seleccionados.

  2. Seleccione Siguiente.

  3. En la página Elegir productos , especifique los productos para los que desea actualizar. Seleccione categorías de productos, como Windows o productos específicos, como Windows Server 2019. Si selecciona una categoría de productos, selecciona todos los productos de esa categoría.

  4. Seleccione Siguiente.

  5. En la página Elegir clasificaciones, seleccione las clasificaciones de actualización que quiere obtener. Seleccione todas las clasificaciones o un subconjunto de ellas y, a continuación, seleccione Siguiente.

Configuración de la programación de sincronización

  1. En la página Establecer programación de sincronización , seleccione si desea realizar la sincronización manual o automáticamente.

    • Si elige Sincronizar manualmente, deberá iniciar el proceso de sincronización desde la Consola de administración de WSUS.

    • Si selecciona Sincronizar automáticamente, el servidor WSUS se sincroniza a intervalos establecidos.

      Para La primera sincronización, establezca la hora y, a continuación, especifique el número de sincronizaciones por día que desea que realice este servidor. Por ejemplo, si especifica cuatro sincronizaciones al día, a partir de las 3:00 a.m., las sincronizaciones se producen a las 3:00 a.m., a las 9:00, a las 3:00 p. m. y a las 9:00 p. m.

  2. Seleccione Siguiente.

Finalizar el asistente

  1. En la página Finalizado , si desea iniciar la sincronización inmediatamente, seleccione Comenzar sincronización inicial. Si no selecciona esta opción, deberá usar la Consola de administración de WSUS para realizar la sincronización inicial.

  2. Si desea obtener más información sobre otras opciones de configuración, seleccione Siguiente. De lo contrario, seleccione Finalizar para concluir el asistente y finalizar la configuración inicial de WSUS.

Después de hacer clic en Finalizar, aparece la Consola de administración de WSUS. Esta consola se usa para administrar la red WSUS, como se describe en las secciones posteriores de este artículo.

2.3. Protección de WSUS con el protocolo TLS

Debe usar el protocolo TLS para ayudar a proteger la red WSUS. WSUS puede usar TLS para autenticar las conexiones y cifrar y proteger la información de actualización.

Advertencia

La protección de WSUS mediante el protocolo TLS es importante para la seguridad de la red. Si el servidor WSUS no usa TLS correctamente para proteger sus conexiones, un atacante podría modificar la información de actualización crucial cuando se envía desde un servidor WSUS a otro o desde el servidor WSUS a los equipos cliente. En esta situación, el atacante puede instalar software malintencionado en equipos cliente.

Importante

Los clientes y los servidores descendentes configurados para usar TLS o HTTPS también deben configurarse para usar un nombre de dominio completamente calificado (FQDN) para el servidor WSUS ascendente.

2.3.1. Habilitación de TLS/HTTPS en el servicio IIS del servidor WSUS para usar TLS/HTTPS

Para comenzar el proceso de uso de TLS/HTTPS, debe habilitar la compatibilidad con TLS en el servicio Internet Information Services (IIS) del servidor WSUS. Este esfuerzo implica la creación de un certificado TLS/Secure Sockets Layer (SSL) para el servidor.

Los pasos necesarios para obtener un certificado TLS/SSL para el servidor están fuera del ámbito de este artículo y dependen de la configuración de red. Para obtener más información e instrucciones sobre cómo instalar certificados y configurar este entorno, consulte la documentación de Servicios de certificados de Active Directory.

2.3.2 Configuración del servidor web IIS del servidor WSUS para usar TLS para algunas conexiones

WSUS requiere dos puertos para las conexiones a otros servidores WSUS y a los equipos cliente. Un puerto usa TLS/HTTPS para enviar metadatos de actualización (información fundamental sobre las actualizaciones). De forma predeterminada, el puerto 8531 se usa para este propósito. Un segundo puerto usa HTTP para enviar cargas de actualización. De forma predeterminada, el puerto 8530 se usa para este propósito.

Importante

No puede configurar todo el sitio web de WSUS para requerir TLS. WSUS está diseñado para cifrar solo los metadatos de actualización. Windows Update distribuye las actualizaciones de la misma manera.

Para protegerse frente a la manipulación de las cargas de actualización por parte de un atacante, todas ellas se firman mediante un conjunto específico de certificados de firma de confianza. Además, se calcula un hash criptográfico para cada carga de actualización. El hash se envía al equipo cliente mediante la conexión segura de metadatos HTTPS, junto con los demás metadatos de la actualización. Cuando se descarga una actualización, el software cliente comprueba la firma digital y el hash de la carga. Si la actualización ha cambiado, no se instala.

Solo debe requerir TLS para las siguientes raíces virtuales de IIS:

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

No debe requerir TLS para las siguientes raíces virtuales:

  • Contenido

  • Inventario

  • ReportingWebService

  • Autoactualización

El certificado de la entidad de certificación (CA) debe importarse en el almacén del CA raíz de confianza para el equipo local de cada servidor WSUS o en el almacén del CA raíz de confianza de WSUS, si existe.

Para obtener más información sobre cómo usar certificados TLS/SSL en IIS, consulte Configuración de SSL en IIS 7 o posterior.

Importante

Debe usar el almacén de certificados del equipo local. Recuerde que no puede usar el almacén de certificados de un usuario.

Normalmente, debe configurar IIS para que use el puerto 8531 para las conexiones HTTPS y el puerto 8530 para las conexiones HTTP. Si cambia estos puertos, tenga en cuenta que debe usar dos números de puerto adyacentes. El número de puerto que se usa para las conexiones HTTP debe ser exactamente 1 menos que el número de puerto que se usa para las conexiones HTTPS.

Debe reinicializar el ClientServicingProxy proxy de cliente si cambia el nombre del servidor, la configuración de TLS o el número de puerto.

2.3.3. Configuración de WSUS para usar el certificado de firma TLS/SSL para sus conexiones de cliente

  1. Inicie sesión en el servidor WSUS mediante una cuenta que sea miembro del grupo Administradores de WSUS o del grupo Administradores locales.

  2. En el menú Inicio , escriba CMD, haga clic con el botón derecho en Símbolo del sistema y seleccione Ejecutar como administrador.

  3. Vaya a la carpeta C:\Archivos de programa\Update Services\Tools .

  4. En el símbolo del sistema, escriba el siguiente comando:

    wsusutil configuressl <certificate-name>

    En ese comando, certificate-name es el nombre del sistema de nombres de dominio (DNS) del servidor WSUS.

2.3.4. Proteger la conexión de SQL Server, si es necesario

Si usa WSUS con una base de datos remota de SQL Server, la conexión entre el servidor WSUS y el servidor de base de datos no se protege a través de TLS. Esta situación crea un vector de ataque potencial. Para proteger esta conexión, tenga en cuenta las siguientes recomendaciones:

  • Mueva la base de datos WSUS al servidor WSUS.

  • Mueva el servidor de la base de datos remota y el servidor WSUS a una red privada.

  • Implemente el protocolo de seguridad de Internet (IPsec) para ayudar a proteger el tráfico de la red. Para obtener más información sobre IPsec, consulte Creación y uso de directivas de IPsec.

2.3.5. Creación de un certificado de firma de código para la publicación local, si es necesario

Además de distribuir las actualizaciones que proporciona Microsoft, WSUS admite la publicación local. Puede usar la publicación local para crear y distribuir actualizaciones que diseñe usted mismo, con sus propias cargas y comportamientos.

La habilitación y configuración correcta de la publicación local no se recogen este artículo. Para obtener detalles completos, consulte Publicación local.

Importante

La publicación local es un proceso muy complicado y no suele ser necesario. Antes de decidir habilitar la publicación local, debe revisar cuidadosamente la documentación y considerar si desea usar esta funcionalidad y cómo puede usarla.

2.4. Configurar grupos de equipos WSUS

Los grupos de equipos son una parte importante del uso eficaz de WSUS. Puede usar grupos de equipos para probar y dirigir las actualizaciones a equipos específicos. Hay dos grupos de equipos predeterminados: Todos los equipos y Equipos sin asignar. De manera predeterminada, cuando cada equipo cliente se comunica por primera vez con el servidor WSUS, el servidor agrega ese equipo cliente en ambos grupos.

Puede crear tantos grupos de equipos personalizados como desee para administrar actualizaciones en la organización. Como procedimiento recomendado, cree al menos un grupo de equipos para probar actualizaciones antes de implementarlas en otros equipos de la organización.

2.4.1. Elegir un enfoque para asignar equipos cliente a grupos de equipos

Hay dos enfoques para asignar equipos cliente a grupos de equipos. El enfoque adecuado para su organización depende de cómo administre normalmente los equipos cliente.

  • Destino del lado servidor: este enfoque es el predeterminado. En este enfoque, asignará equipos cliente a grupos de equipos mediante la Consola de administración de WSUS.

    Este enfoque le ofrece la flexibilidad de mover rápidamente los equipos cliente de un grupo a otro a medida que cambien las circunstancias. Sin embargo, esto significa que los nuevos equipos cliente deben moverse manualmente del grupo de equipos sin asignar al grupo de equipos adecuado.

  • Destinatarios del lado cliente: en este enfoque, cada equipo cliente se asigna a grupos de equipos mediante la configuración de una directiva establecida en el propio equipo cliente.

    Este enfoque facilita la asignación de nuevos equipos cliente a los grupos adecuados. Lo hará como parte de la configuración del equipo cliente para recibir actualizaciones del servidor WSUS. Pero como resultado, no se pueden asignar equipos cliente a grupos de equipos ni moverlos de un grupo de equipos a otro, a través de la Consola de administración de WSUS. En su lugar, se deben modificar las directivas de los equipos cliente.

2.4.2. Habilitar los destinatarios del lado cliente, si procede

Importante

Omita los pasos de esta sección si tiene previsto usar la orientación del lado del servidor.

  1. En la Consola de administración de WSUS, en Update Services, expanda el servidor WSUS y, a continuación, seleccione Opciones.

  2. En el panel Opciones , seleccione Equipos. Vaya a la pestaña General y, a continuación, seleccione Usar la directiva de grupo o la configuración del Registro en los equipos.

2.4.3. Crear los grupos de equipos deseados

Nota

Debe crear grupos de equipos mediante la Consola de administración de WSUS, tanto si usa destinatarios del lado servidor como del lado cliente para agregar equipos cliente a los grupos de equipos.

  1. En la Consola de administración de WSUS, en Update Services, expanda el servidor de WSUS, después expanda Equipos, haga clic con el botón derecho en Todos los equipos y luego haga clic en Agregar grupo de equipos.

  2. En el cuadro de diálogo Agregar grupo de equipos, en Nombre, especifique el nombre del nuevo grupo. A continuación, seleccione Agregar.

2.5. Configuración de equipos cliente para establecer conexiones TLS con el servidor WSUS

Suponiendo que configure el servidor WSUS para ayudar a proteger las conexiones de los equipos cliente mediante TLS, debe configurar los equipos cliente para que confíen en esas conexiones TLS.

El certificado TLS/SSL del servidor WSUS debe importarse en el almacén de CA raíz de confianza de los equipos cliente o en el almacén de CA raíz de confianza del servicio de actualización automática de los equipos cliente si existe.

Importante

Debe usar el almacén de certificados del equipo local. Recuerde que no puede usar el almacén de certificados de un usuario.

Los equipos cliente deben confiar en el certificado que se enlace al servidor WSUS. Según el tipo de certificado que se use, podría tener que configurar un servicio para permitir que los equipos cliente confíen en el certificado que está enlazado al servidor WSUS.

Si usa la opción de publicación local, también debe configurar los equipos cliente para que confíen en el certificado de firma de código del servidor WSUS. Para obtener instrucciones, consulte Publicación local.

2.6. Configurar equipos cliente para recibir actualizaciones del servidor WSUS

De forma predeterminada, los equipos cliente reciben actualizaciones de Windows Update. En su lugar, deben configurarse para recibir actualizaciones del servidor WSUS.

Importante

En este artículo se presenta un conjunto de pasos para configurar equipos cliente mediante una directiva de grupo. Estos pasos son adecuados en muchas situaciones. Aún así, hay muchas otras opciones disponibles para configurar el comportamiento de actualización en los equipos cliente, incluido el uso de la administración de dispositivos móviles. Para obtener documentación sobre estas opciones, consulta Administrar la configuración adicional de Windows Update.

2.6.1. Elección del conjunto correcto de directivas que se editarán

Si Active Directory está configurado en la red, puede configurar uno o varios equipos simultáneamente incluyéndolas en un objeto de directiva de grupo (GPO) y, a continuación, configurar ese GPO con la configuración de WSUS.

Se recomienda que cree un GPO nuevo, que contenga solo la configuración de WSUS. Vincule este GPO de WSUS a un contenedor de Active Directory que sea apropiado para su entorno.

En un entorno simple, podría unir un GPO de WSUS único al dominio. En un entorno más complejo, puede vincular varios GPO de WSUS a varias unidades organizativas (OU). Al vincular los GPO a las UO, puede aplicar la configuración de directiva de WSUS a los diferentes tipos de equipos.

Si no usa Active Directory en la red, debe configurar cada equipo mediante el Editor de directivas de grupo local.

2.6.2. Editar directivas para configurar los equipos cliente

Siga los pasos descritos en las secciones siguientes para configurar los equipos cliente mediante la configuración de directiva.

Nota

En estas instrucciones se supone que usa las versiones más recientes de las herramientas de edición de las directivas mencionadas. En versiones anteriores de las herramientas, las directivas pueden estar organizadas de forma diferente.

Abra el editor de directivas y vaya al elemento de Windows Update.

  1. Abra el objeto de directiva adecuado:

    • Si usa Active Directory, abra la Consola de administración de directivas de grupo, vaya al GPO en el que desea configurar WSUS y seleccione Editar. A continuación, expanda Configuración del equipo y expanda Directivas.
    • Si no usa Active Directory, abra el Editor de directivas de grupo local. Aparecerá la directiva de equipo local. Expanda la opción Configuración del equipo.

  2. En el objeto que expandió en el paso anterior, expanda Plantillas administrativas>Componentes de Windows>Windows Update. Si el sistema operativo es Windows 10 o Windows 11, seleccione también Administrar experiencia del usuario final.

Editar la configuración de las actualizaciones automáticas

  1. En el panel de detalles, haga doble clic en Configurar actualizaciones automáticas. Se abrirá la directiva Configurar actualizaciones automáticas .

  2. Seleccione Habilitado y, a continuación, seleccione la opción deseada en la opción Configurar actualización automática para administrar cómo debe descargar e instalar actualizaciones aprobadas la característica de actualizaciones automáticas.

    Se recomienda usar la opción Descargar automáticamente y programar la instalación. Garantiza que las actualizaciones que apruebe en WSUS se descarguen e instalen de forma oportuna, sin necesidad de intervención del usuario.

  3. Si lo desea, edite otras partes de la directiva. Para obtener más información, consulta Administrar la configuración adicional de Windows Update.

    Nota

    La configuración Instalar actualizaciones de otros productos de Microsoft no tiene ningún efecto en los equipos cliente que reciben actualizaciones de WSUS. Los equipos cliente reciben todas las actualizaciones aprobadas para ellos en el servidor WSUS.

  4. Haga clic en Aceptar para cerrar la directiva Configurar actualizaciones automáticas.

Edite la configuración para especificar un servidor de intranet para hospedar actualizaciones.

  1. En el panel de detalles, haga doble clic en Especificar ubicación del servicio Microsoft Update de intranet. Si el sistema operativo es Windows 10 o Windows 11, vuelva primero al nodo Windows Update del árbol y, a continuación, seleccione Administrar actualizaciones ofrecidas en Windows Server Update Service.

    Se abre la directiva Especificar la ubicación del servicio Windows Update en la intranet.

  2. Seleccione Habilitado y, a continuación, escriba la dirección URL del servidor WSUS en los cuadros Establecer el servicio de actualización de intranet para detectar actualizaciones y Establecer los cuadros del servidor de estadísticas de intranet .

    Advertencia

    Asegúrese de incluir el puerto correcto en la dirección URL. Suponiendo que configure el servidor para que use TLS como se recomienda, debe especificar el puerto configurado para HTTPS. Por ejemplo, si decide usar el puerto 8531 para HTTPS y el nombre de dominio del servidor es wsus.contoso.com, debe escribir https://wsus.contoso.com:8531 en ambos cuadros.

  3. Haga clic en Aceptar para cerrar la directiva Especificar la ubicación del servicio de actualización de Microsoft en la intranet.

Configuración de los destinatarios del lado cliente, si procede

Si decide usar el destino del lado cliente, siga los pasos descritos en esta sección para especificar el grupo de equipos adecuado para los equipos cliente que está configurando.

Nota

En estos pasos se supone que acaba de completar los pasos para editar directivas para configurar los equipos cliente.

  1. En el editor de directivas, vaya al elemento Windows Update . Si el sistema operativo es Windows 10 o Windows 11, seleccione también Administrar actualizaciones ofrecidas en Windows Server Update Service.

  2. En el panel de detalles, haga doble clic en Habilitar el destino del lado cliente. Se abre la directiva Habilitar destinatarios del lado cliente.

  3. Seleccione Habilitado. En Nombre de grupo de destino para este equipo, escriba el nombre del grupo de equipos WSUS al que desea agregar los equipos cliente.

    Si ejecuta una versión actual de WSUS, puede agregar los equipos cliente a varios grupos de equipos especificando los distintos nombres de grupos separados por punto y coma. Por ejemplo, puede escribir Contabilidad;Ejecutivo para agregar los equipos cliente al grupo de equipos Contabilidad y Ejecutivo.

  4. Haga clic en Aceptar para cerrar la directiva Habilitar destinatarios del lado cliente.

2.6.3. Permitir que el equipo cliente se conecte al servidor WSUS

Los equipos cliente no aparecen en la consola de administración de WSUS hasta que se conectan al servidor WSUS por primera vez.

  1. Espere a que los cambios de la directiva surtan efecto en el equipo cliente.

    Si usa un GPO basado en Active Directory para configurar los equipos cliente, el mecanismo de actualización de directivas de grupo tarda algún tiempo en entregar los cambios a un equipo cliente. Si quiere acelerarlo, puede abrir una ventana del símbolo del sistema con privilegios elevados y, a continuación, escribir el comando gpupdate /force.

    Si usa el Editor de directivas de grupo local para configurar un equipo cliente individual, los cambios surten efecto inmediatamente.

  2. Reinicia el equipo cliente. Este paso garantiza que el software de Windows Update en el equipo detecte los cambios de directiva.

  3. Permita que el equipo cliente busque actualizaciones. Normalmente, este examen tarda algún tiempo.

    Puede acelerar el proceso mediante una de estas opciones:

    • En Windows 10 o 11, usa la página Configuración de La aplicación Windows Update para comprobar manualmente las actualizaciones.
    • En versiones anteriores a Windows 10, use el icono de Windows Update en el Panel de control para buscar actualizaciones manualmente.
    • En las versiones a Windows 10, puede abrir una ventana del símbolo del sistema con privilegios elevados y escribir el comando wuauclt /detectnow.

2.6.4 Comprobar la conexión correcta del equipo cliente con el servidor WSUS

Si realiza correctamente todos los pasos anteriores, verá los siguientes resultados:

  • El equipo cliente detectará correctamente las actualizaciones. (Puede que encuentre o no actualizaciones aplicables para descargar e instalar).

  • En unos 20 minutos, el equipo cliente aparecerá en la lista de equipos que se muestran en la Consola de administración de WSUS, en función del tipo de destino:

    • Si usa destinatarios del lado servidor, el equipo cliente aparecerá en los grupos de equipos denominados Todos los equipos y Equipos sin asignar.

    • Si en cambio usa destinatarios del lado cliente, el equipo cliente aparecerá en el grupo de equipos denominado Todos los equipos y en el grupo de equipos que seleccionó al configurar el equipo cliente.

2.6.5. Configurar los destinatarios del lado servidor del equipo cliente, si procede

Si usa destinatarios del lado servidor, debe agregar ahora el nuevo equipo cliente a los grupos de equipos adecuados.

  1. En la Consola de administración de WSUS, busque el nuevo equipo cliente. Debe aparecer en los grupos de equipos Todos los equipos y Equipos sin asignar de la lista de equipos del servidor WSUS.

  2. Haga clic con el botón derecho en el equipo cliente y seleccione Cambiar pertenencia.

  3. En el cuadro de diálogo, seleccione los grupos de equipos adecuados y haga clic en Aceptar.

Paso siguiente

Paso 3: Aprobar e implementar actualizaciones