Archivos de etiquetas: MECM

WSUS y MECM

Hola gente linda! Hoy vamos a hablar sobre el funcionamiento de WSUS y su integración con MECM. No hablaré sobre la implementación, porque es un asunto super documentado en muchos rincones de internet.

Para partir, WSUS es una aplicación web que corre sobre IIS, tradicionalmente sobre el puerto 8530, que se conecta al servicio de Microsoft Update para descargar actualizaciones según el criterio definido. Estos criterios pueden ser: categorías, producto, fecha, estado, etc. Posteriormente, estas actualizaciones se distribuyen a equipos definidos. Si la implementación es sola, se configura mediante GPO para equipos que estén dentro de la red corporativa. Para equipos que no pertenezcan al dominio, se puede configurar una política local para que se actualicen contra el WSUS local y no internet.

Instalación

  • Considerar una máquina exclusiva para el servicio y una unidad de disco aparte para el almacenamiento de las actualizaciones.
  • Utilizar un servidor SQL Server externo para el almacenamiento de SUSDB. Puede ser un SQL Server Standard, incluso un Express. El uso de WID no es tan manejable y más complejo para la ejecución de mantenimiento. WID es un SQL Server hiper mega recortado y no tiene capacidades para administración acabada.
  • Si la organización tiene una extensión geográfica considerable, utilizar entidades secundarias para que vayan a sincronizar contra el principal. De este modo se ahorra en ancho de banda internacional. Para esto se requiere una buena organización de Active Directory.
  • Al momento de instalar se debe ajustar los parámentros de uso de memoria y CPU en el Application Pool para que el servicio no se vaya de espalda.

Uso y mantenimiento

  • Ejecutar plan de mantenimiento periodicamente.
  • Instalar herramientas para la visualización de reportes (Reporting Services Viewer y SQL Server CLR Types.)

Integración con MECM

  • Microsoft Endpoint Configuration Manager ofrece un rol llamado Software Update Point para manejar las actualizaciones de WSUS. Básicamente, este sol se conecta a WSUS y descarga las actualizaciones.
  • Una vez instalado el rol SUP NO se debe usar la consola de WSUS para operar. Solo para troubleshooting.
  • Revisión constante del estado de los componentes y de los log. La lectura de log es clave: WCM.log, wsyncmgr.log y WSUSCtrl.log

WSUS + MECM + SSL

  • Les comenté más arriba que es un serivio que funciona sobre HTTP. Si se agrega una capa de seguridad, funcionaría sobre HTTPS por el puerto 8531. Es necesario configurar el sitio en IIS y certificado correspondiente.
  • En la integración de ambas plataformas, corre la misma regla de no usar la consola de WSUS.
  • Eso si, siempre hay que estar atento a cuál es el origen. Siempre debe ser Microsoft Update (en el caso que no tengamos otro WSUS en la red). Si esta configuración toma cursos extraños, como por ejemplo, que se cambie de la nada o después de una sincronización, reiniciar website, servicio IIS y si vuelve en lo mismo, reiniciar la máquina.
  • Cualquier tarea automatizada de matenimiento que se quiera ejecutar, especialmente las que se realizan por Powershell, indicar el FQDN o el nombre de la máquina. El certificado fue configurado para la máquina y no para localhost. De esta forma se asegura la conexión.

Como siempre, recomiendo mantener respaldos actualizados y estar atentos a las vulnerabilidades encontradas y puntos de mejoras.

Chau!

Capturando Windows 10 Pro para fábrica de Windows

Me he encontrado con este escenario ya dos veces. Clientes que cuentan con MECM o SCCM necesitan montar una fábrica de Windows para la distribución de imágenes corporativas de Windows 10 sin mucha intervención y disminuyendo el tiempo de espera de usuarios y bajando la carga al equipo de soporte.

Esta operación requiere de preparación de imagen y de una posterior captura. Para que sea una imagen única se ejecuta un proceso que se llama sysprep, que destruye los identificadores de usurio y máquina y permitiendo que se genere uno nuevo por cada distribución.

Todo fantástico. En Winodws 7 funcionaba a la primera y de maravillas. En Windows 10, no.

Con Windows 10 llevaron las Universal Apps. Básicamente son aplicaciones que tienen la interfaz moderna de Windows 10. Microsoft incluye muchas de terceros y propias para mejorar la experiencia del usuario. El problema está en que estas aplicaciones no son compatibles con el proceso de sysprep y hace que fallen. La solución está en eliminarlas a mano y continuar con el proceso.

¿Cómo se identifican?

No existe un listado definido de aplicaciones, porque cambian con cada build de Windows, pero son identificables cuando arroja el error.

El log se encuentra en %windir%\system32\sysprep\panther\setupact.log y %windir%\system32\sysprep\panther\setuperr.log y podrás ver algo como:

SYSPRP Package SpotifyAB.SpotifyMusic_1.148.625.0_x86__zpdnekdrzrea0 was installed for a user, but not provisioned for all users. This package will not function properly in the sysprep image.

El problema está en la aplicación Spotify. Para quitarla hay que abrir una sesión de Powershell como administrador y teclear:

Get-AppxPackage *spotify* | Remove-AppxPackage

Santo remedio. Hacer lo mismo con todas que arrojen error.

Feliz 2021.