WSUS y MECM

Hola gente linda! Hoy vamos a hablar sobre el funcionamiento de WSUS y su integración con MECM. No hablaré sobre la implementación, porque es un asunto super documentado en muchos rincones de internet.

Para partir, WSUS es una aplicación web que corre sobre IIS, tradicionalmente sobre el puerto 8530, que se conecta al servicio de Microsoft Update para descargar actualizaciones según el criterio definido. Estos criterios pueden ser: categorías, producto, fecha, estado, etc. Posteriormente, estas actualizaciones se distribuyen a equipos definidos. Si la implementación es sola, se configura mediante GPO para equipos que estén dentro de la red corporativa. Para equipos que no pertenezcan al dominio, se puede configurar una política local para que se actualicen contra el WSUS local y no internet.

Instalación

  • Considerar una máquina exclusiva para el servicio y una unidad de disco aparte para el almacenamiento de las actualizaciones.
  • Utilizar un servidor SQL Server externo para el almacenamiento de SUSDB. Puede ser un SQL Server Standard, incluso un Express. El uso de WID no es tan manejable y más complejo para la ejecución de mantenimiento. WID es un SQL Server hiper mega recortado y no tiene capacidades para administración acabada.
  • Si la organización tiene una extensión geográfica considerable, utilizar entidades secundarias para que vayan a sincronizar contra el principal. De este modo se ahorra en ancho de banda internacional. Para esto se requiere una buena organización de Active Directory.
  • Al momento de instalar se debe ajustar los parámentros de uso de memoria y CPU en el Application Pool para que el servicio no se vaya de espalda.

Uso y mantenimiento

  • Ejecutar plan de mantenimiento periodicamente.
  • Instalar herramientas para la visualización de reportes (Reporting Services Viewer y SQL Server CLR Types.)

Integración con MECM

  • Microsoft Endpoint Configuration Manager ofrece un rol llamado Software Update Point para manejar las actualizaciones de WSUS. Básicamente, este sol se conecta a WSUS y descarga las actualizaciones.
  • Una vez instalado el rol SUP NO se debe usar la consola de WSUS para operar. Solo para troubleshooting.
  • Revisión constante del estado de los componentes y de los log. La lectura de log es clave: WCM.log, wsyncmgr.log y WSUSCtrl.log

WSUS + MECM + SSL

  • Les comenté más arriba que es un serivio que funciona sobre HTTP. Si se agrega una capa de seguridad, funcionaría sobre HTTPS por el puerto 8531. Es necesario configurar el sitio en IIS y certificado correspondiente.
  • En la integración de ambas plataformas, corre la misma regla de no usar la consola de WSUS.
  • Eso si, siempre hay que estar atento a cuál es el origen. Siempre debe ser Microsoft Update (en el caso que no tengamos otro WSUS en la red). Si esta configuración toma cursos extraños, como por ejemplo, que se cambie de la nada o después de una sincronización, reiniciar website, servicio IIS y si vuelve en lo mismo, reiniciar la máquina.
  • Cualquier tarea automatizada de matenimiento que se quiera ejecutar, especialmente las que se realizan por Powershell, indicar el FQDN o el nombre de la máquina. El certificado fue configurado para la máquina y no para localhost. De esta forma se asegura la conexión.

Como siempre, recomiendo mantener respaldos actualizados y estar atentos a las vulnerabilidades encontradas y puntos de mejoras.

Chau!