Skip to content

WSUS y SCCM 2012

noviembre 21, 2012

Hola,

Alguno de ustedes se preguntarán eventualmente cual es la mejor práctica para la configuración del WSUS cuando trabajamos con SCCM 2012; preguntas como: debo configurar una GPO?, cuales son los valores recomendados para la configuración de la GPO? son por lo general muy frecuentes dentro de los administradores. A continuación les comparto algunas recomendaciones.

Cuando trabajamos con SCCM 2012 y configuramos el rol SUP (Software Update Point), necesitamos que previamente se haya instalado WSUS sobre el servidor que alojará el rol, esto es debido a que SCCM 2012 se apoya en el catalogo de actualizaciones disponible en WSUS, catalogo que es sincronizado desde el sitio window update en internet.

Al habilitar SUP, el agente de sccm configura sobre la política local de las máquinas los valores de la opción “specify intranet Microsoft service update location” para contactar al servidor SUP, valores que corresponden al sitio web configurado en las opciones del SUP, ahora, la interacción que ocurre con los clientes durante el proceso de instalación de actualizaciones es comandada por SCCM 2012 propiamente y ejecutada por el WUA (windows update agent) , servicio presente en las estaciones de trabajo, sin embargo, es importante resaltar que el WUA no recibe las actualizaciones desde el servidor WSUS, las recibe a través de SCCM.

 WUA interactúa con el servidor WSUS en los siguientes escenarios:

1. Cuando la opción “configure automatic updates” esta habilitado sobre una GPO que aplica a la máquina.

2. Cuando sobre WSUS se aprueban actualizaciones

3. Cuando hay una actualización de infraestructura (actualización que aplica al servicio WSUS o WUA), estas actualizaciones se aprueban automáticamente

De acuerdo a lo anterior, podemos decir que aunque los valores de la política local de máquina son auto configurados por el agente de SCCM, es recomendable  crear una política para deshabilitar “configure automatic updates”, reconfirmar los valores para SUP y bloquear la consulta de Windows update online, este ultimo debido a que a pesar de configura un servidor interno SUP o WUS los usuarios tienen la posibilidad de buscar actualizaciones automáticas desde internet. Estas recomendaciones nos proporcionan los siguientes beneficios.

1. Evitamos que el servicio WUA detecte un reinicio pendiente y notifique al usuario

2. Evitamos la interacción de WUA directa ante la aprobación manual o automática de una actualización

(Cuando se trabaja con SCCM y SUP se debe evitar la configuración directa del WSUS)

3. Evitamos que los usuarios puedan buscar actualizaciones desde internet

4.Logramos que WUA no trabaje de manera automática; solo se limitara a recibir las ordenes de SCCM

NOTA: Deshabilitar “configure automatic updates” sobre una GPO no deshabilita el servicio WUA; este servicio debe permanecer iniciado y en modo automático, de lo contrario no se podrá instalar ninguna actualización inclusive usando SCCM.

Estos son los pasos y valores para la aplicación de las recomendaciones:

1. Sobre una política de dominio proceder a configurar los siguientes valores para la configuración del WSUS

  • Ir a computer configuration
  • Dar clic sobre Administrative Templates Policy
  • Expandir Windows Components
  • Luego dar clic sobre Windows Update
  • Configurar el Valor “Enable Automatic Updates” como Disabled

 

 2. Configurar el valor “Specify Intranet Microsoft Update Location” con los siguientes valores.

 Valor: http://nombredeservidor:puerto

                                                                    

 3. Opcionalmente, sobre la misma política proceder a configurar los siguientes valores bloquear la consulta de actualizaciones por internet

a. Ir a computer configuration

b. Dar clic sobre “Administrative Templates Policy”

c. Expandir “System”

d. Expandir “internet communication management”

e. Dar clic sobre “Internet Communication settings”

f. Habilitar la opción “turn off access to all window update features”

 

 Importante:

  • Habilitar la opción “turn off Access to all Windows update features” puede causar que clientes móviles no puedan actualizar sus equipos vía internet cuando se encuentran fuera de la organización.
  • Habilitar la opción “turn off Access to all Windows update features” evita que se puedan actualizar drivers o buscar drivers para nuevos dispositivos desde windows update online

sí tienen inquietudes recuerden hacer sus comentarios!

saludos!

2 comentarios
  1. Harold Ordóñez permalink

    Excelente artículo. Considero que esto es de mucha utilidad para todos los que tenemos SCCM.

  2. Freddy permalink

    Excelente explicacion, felicitaciones me gustan todas las explicaciones del Blog y estoy atento a sus publicaciones

    Gracias

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: