Compartir a través de

¿Como puedo configurar las GPOs de mi dominio para que los PCs de red instalen los feature updates solo desde el WSUS interno y el resto vía winUpdate de Microsoft?

Nora Diaz 65 Puntos de reputación
2024-12-11T12:53:19.89+00:00

Buenas tardes.

Mi entorno de pruebas tiene un dominio con Active Directory, donde tengo configurado el despliegue de parches vía GPOs, de forma tal que la aplicación de feature updates se hagan de forma controlada desde un servidor WSUS interno. Esta parte funciona correctamente, pero quería comprobar si es posible que las actualizaciones acumulativas de seguridad o calidad se descarguen directamente desde Microsoft usando la configuración: "Specify source service for specific classess of Windows Update", pero aún con ello, a menos que apruebe los parches acumulativos en el WSUS no llegan a instalarse ¿Hay una forma de configurar este entorno para que busque las actualizaciones de seguridad y calidad directamente de Microsoft sin necesidad de aprobarlas en el servidor WSUS, salvo las feature updates?

Agradeciendo de antemano vuestra ayuda!!

N.D

Windows Server
Windows Server
Familia de sistemas operativos de servidor de Microsoft que admiten administración de nivel empresarial, almacenamiento de datos, aplicaciones y comunicaciones.
218 preguntas
0 comentarios
Respuesta aceptada
  1. Jonathan Pereira Castillo 12,095 Puntos de reputación Proveedor de Microsoft
    2024-12-26T20:49:31.0266667+00:00

    ¡Hola Nora Diaz!

    Gracias por la información adicional. El error 80072F8F generalmente está relacionado con problemas de seguridad, como certificados SSL no válidos o problemas de sincronización de tiempo. Aquí hay algunas sugerencias para resolver este problema:

    Verificar la Fecha y Hora del Sistema:

    • Asegúrate de que la fecha y hora del sistema en el PC problemático estén correctas. Una discrepancia en la hora puede causar errores de certificado SSL.

    Actualizar Certificados Raíz:

    • Asegúrate de que el repositorio de certificados raíz esté actualizado. Puedes hacerlo manualmente descargando e instalando los certificados raíz más recientes desde el sitio web de Microsoft1.

    Verificar Configuración de Proxy:

    • Si estás utilizando un proxy, asegúrate de que esté configurado correctamente y que no esté bloqueando las conexiones a los servidores de actualización de Microsoft.

    Configurar la Política de Grupo para Certificados:

    • Puedes configurar una política de grupo para actualizar automáticamente los certificados raíz. Ve a Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Directivas de clave pública > Configuración de validación de ruta de certificado y habilita la opción para actualizar automáticamente los certificados raíz.

    Ejecutar el Comando de Actualización de Certificados:

    • Ejecuta el siguiente comando en el PC problemático para actualizar el repositorio de certificados:
    certutil -generateSSTFromWU roots.sst
    • Luego, importa el archivo roots.sst generado en el almacén de certificados raíz.

    Verificar Conexiones HTTPS:

    • Asegúrate de que el PC pueda establecer conexiones HTTPS con los servidores de actualización de Microsoft. Puedes probar esto abriendo un navegador web e intentando acceder a https://slscr.update.microsoft.com.

    Si después de seguir estos pasos el problema persiste, puede ser útil revisar los registros de eventos y los logs de Windows Update para obtener más detalles sobre el error.

    Espero que estas sugerencias te ayuden a resolver el problema. ¡Felices fiestas y buena suerte con la configuración!

    Saudações

    Jonathan.

    Sua opinião é muito importante para nós! Se esta resposta resolveu sua consulta, por favor clique em ‘YES‘. Isso nos ajuda a melhorar continuamente a qualidade e relevância de nossas soluções. Obrigado pela sua colaboração!

4 respuestas adicionales

Ordenar por: Muy útil
Muy útil Más reciente Más antiguo
  1. Jonathan Pereira Castillo 12,095 Puntos de reputación Proveedor de Microsoft
    2024-12-11T17:05:03.9166667+00:00

    ¡Hola Nora Diaz!

    Bienvenido a Microsoft Q&A.

    Para configurar las GPOs de tu dominio de manera que los PCs de la red instalen los feature updates solo desde el WSUS interno y el resto de las actualizaciones directamente desde Windows Update de Microsoft, puedes seguir estos pasos:

    Configurar WSUS para Feature Updates: Asegúrate de que tu WSUS esté configurado para aprobar y distribuir solo los feature updates. Esto se puede hacer mediante la configuración de reglas de aprobación automática en WSUS para los feature updates.

    Configurar GPO para WSUS: Crea una GPO que apunte a tu servidor WSUS para la instalación de feature updates. En la GPO, ve a Configuración del equipo > Plantillas administrativas > Componentes de Windows > Windows Update y configura las siguientes políticas:

    • Especificar la ubicación del servicio de actualización de Microsoft en la intranet: Aquí, especifica la URL de tu servidor WSUS.
    • Configurar actualizaciones automáticas: Configura esta política para que los equipos busquen actualizaciones en el WSUS.

    Configurar GPO para Actualizaciones de Seguridad y Calidad: Para permitir que las actualizaciones de seguridad y calidad se descarguen directamente desde Microsoft, puedes usar la política Specify source service for specific classes of Windows Update. Esta política permite especificar que ciertas clases de actualizaciones se descarguen directamente desde Windows Update en lugar de WSUS. Configura esta política para que las actualizaciones de seguridad y calidad se descarguen desde Windows Update.

    Aplicar las GPOs: Aplica las GPOs a las unidades organizativas (OUs) correspondientes en tu dominio de Active Directory. Asegúrate de que las políticas se apliquen correctamente ejecutando gpupdate /force en los equipos cliente.

    Verificación: Verifica que los equipos cliente estén recibiendo los feature updates desde WSUS y las actualizaciones de seguridad y calidad directamente desde Windows Update. Puedes revisar los registros de Windows Update en los equipos cliente para confirmar que las actualizaciones se están descargando de las fuentes correctas.

    Espero que estos pasos te ayuden a configurar tu entorno de la manera deseada. Si tienes alguna otra pregunta o necesitas más detalles, no dudes en preguntar. ¡Buena suerte con tu configuración! Paso 4: Configurar la directiva de grupo para actualizaciones automáticas | Microsoft Learn

    Espero que estos consejos ayuden a resolver el problema. Si necesitas más asistencia, estoy a tu disposición.

    Saludos,

    Jonathan.

    ----------*

    Tu opinión es muy importante para nosotros! Si esta respuesta resolvió tu consulta, por favor haz clic en ''. Esto nos ayuda a mejorar continuamente la calidad y relevancia de nuestras soluciones.

    0 comentarios
  2. Jonathan Pereira Castillo 12,095 Puntos de reputación Proveedor de Microsoft
    2024-12-17T17:53:28.26+00:00

    Hola Nora Diaz!,

    El propósito de este mensaje es verificar la información proporcionada. Si tienes más actualizaciones sobre este tema, no dudes en responder en este mismo hilo.

    Respetuosamente,

    Jonathan

    ---------

    Tu opinión es muy importante para nosotros! Si esta respuesta resolvió tu consulta, por favor haz clic en ‘Sí’. Esto nos ayuda a mejorar continuamente la calidad y relevancia de nuestras soluciones. ¡Gracias por tu colaboración!

  3. Nora Diaz 65 Puntos de reputación
    2024-12-26T13:32:37+00:00

    Hola Jonatan. Perdona no te pude responder antes pues hasta ahora pude probar.

    Te comento, mi entorno efectivamente lo tengo configurado para que vía GPO "Specify source service for specific classes of Windows Update" sirva las FU desde WSUS y el resto desde Windows Update. Además el WSUS lo tengo configurado para que solo ofrezca Feature Update vía Https.

    Esta semana he conseguido que funcione en un segundo portátil de prueba, pero en un primer PC, que llevaba semanas probando al recoger la traza del WindowsUpdate.log me arroja este error:

    2024/12/26 12:35:06.5241722 4164 5688 Agent *FAILED* [80072F8F] wuauengcore.dll, C:\__w\1\s\src\Client\lib\DownloadFile\DownloadSession.cpp @853

    2024/12/26 12:35:06.5241867 4164 5688 SLS Complete the request URL HTTPS://slscr.update.microsoft.com/SLS/{7971F918-A847-4430-9279-4A52D1EFE18D}/x64/10.0.26100.2314/0?CH=17&L=es-ES;en-US&P=&PT=0x30&WUA=1309.2409.26012.0&MK=Dell+Inc.&MD=OptiPlex+5000 with [80072F8F] and http status code[0] and send SLS events.

    Me llama la atención que lanzando el siguiente comando que sugieren en este otro hilo (https://learn.microsoft.com/en-us/answers/questions/1571547/error-connecting-to-update-service-80072f8f?page=2#answers):

    Imagen del usuario

    Se produce el mismo comportamiento que allí explican: El PC que si localiza actualizaciones de ambas fuentes este valor se actualiza cada hora, pero el que da el error, tiene semanas que no actualiza el repositorio de certificados.

    ¿Puede tratarse a un tema de seguridad o algún bloqueo que impida que estos equipos descargue las actualizaciones de Microsoft?

    Gracias de antemano por tu ayuda y Felices Fiestas !!

    N.D,

    0 comentarios
  4. Jonathan Pereira Castillo 12,095 Puntos de reputación Proveedor de Microsoft
    2024-12-27T16:11:26.7433333+00:00

    Nora Diaz,

    Agradezco sinceramente por haber tenido la oportunidad de ayudarle Es gratificante saber que la información que proporcioné estaba correcta

    Jonathan

    0 comentarios

Su respuesta

Las respuestas se pueden marcar como respuestas aceptadas por el autor de la pregunta, lo que ayuda a los usuarios a conocer la respuesta que resolvió el problema del autor.