Social Icons

twitter facebook google plus linkedin

domingo, 28 de mayo de 2017

Recomendaciones sobre WSUS y SCCM

Hola Mundo:

Este artículo no pretende ser una guía paso a paso para la instalación y configuración de Windows
Server Update Services para System Center Configuration Manager. Más bien es una serie de recomendaciones, basadas en la literatura y en la experiencia, para que ambos servicios trabajen de la mejor manera posible.

Base de datos
Por defecto, el asistente de instalación del rol estará configurado para usar un Windows Internal Database. Este motor de datos, es un SQL Server muy pequeño que funciona sobre Windows Server. 
Utilizarlo no es la mejor práctica en este escenario. Lo mejor es usar un servidor SQL Server aparte. Usar el mismo SQL Server que SCCM es una buena idea (siempre y cuando se cumplan las mejores prácticas). Esto facilita la administración y el mantenimiento de SUSDB.

Asistente de configuración de rol
Una vez que el rol termina de instalar, es necesario ejecutar un asistente de configuración del rol. En este asistente se indica la ruta donde se descargarán las actualizaciones. Es importante ejecutarlo para que SCCM reconozca que el rol está completamente operativo.
Esta consola ya no debe usarse para la distribución de actualizaciones. Solo debe usarse para vigilar la sincronización y ejecutar tareas de limpieza.

Sincronización
Dependiendo de la arquitectura de la solución de SCCM y WSUS, la configuración de este punto va a   permitir que el servidor pueda sincronizar con el catálogo de actualizaciones en línea. 
En el caso que sea el mismo servidor que sale a internet, no debe existir ninguna URI configurada. En el caso que sea otro servidor el que hace la sincronización del catálogo, como el caso de CAS, la URI debiera estar configurada y apuntando al puerto que corresponda. Si es un Windows Server 2012 sin SSL, el puerto es 8530. Si tiene SSL el puerto será 8531. Si es un servidor de una versión inferior, el puerto será el 80.
Esta configuración debe ser configurada en las opciones de configuración del rol Software Update Point en SCCM. 

IIS App Pool
WSUS es un rol que basa gran parte de su funcionamiento en servicios web. Éstos servicios web corren sobre Internet Information Services (IIS). 
Al ser una aplicación, utiliza un App Pool con sus propias configuraciones, pero manejables desde la consola de IIS. De vez en cuando, requieren de ajustes para el uso de CPU y memoria. Tiene a consumir bastante cuando tiene una carga considerable de trabajo de distribución de actualizaciones. Recomiendo esta lectura: http://blog.maximilianomarin.com/2017/01/wsus-no-sincroniza-con-sccm-error-503.html

GPO
No es necesario usar una GPO para indicarle a los equipos del dominio dónde deben ir a buscar las actualizaciones. De eso se encargan los Client Settings de SCCM. En el caso que  exista una política, SCCM nunca podrá instalar actualizaciones en las máquinas, porque el dominio tiene mayor "poder" sobre las estaciones de trabajo. Recomiendo esta lectura http://blog.maximilianomarin.com/2016/09/error-al-distribuir-updates-con-sccm.html

Matenimiento
Es más que necesario ejecutar un plan de limpieza mensual en WSUS para que el servicio opere de forma correcta. Esto implica hacer una limpieza del catálogo, actualizaciones y mantenimiento sobre la base de datos.  Recomiendo esta lectura https://blogs.technet.microsoft.com/configurationmgr/2016/01/26/the-complete-guide-to-microsoft-wsus-and-configuration-manager-sup-maintenance/


Eso es todo por hoy. Tomen en cuenta las recomendaciones. Espero que les sirvan.

Chau.