Descripción de las opción de implementación de Windows Server Update Services
Antes de instalar y configurar servidores WSUS (Windows Server Update Services), debe considerar cómo implementar WSUS en el entorno. Las implementaciones de WSUS varían en tamaño y configuración en función del entorno de red y de cómo quiera administrar las actualizaciones. Podría tener un único servidor WSUS para toda la organización, varios servidores WSUS que actúen de forma independiente o varios servidores WSUS conectados entre sí en una jerarquía.
Servidor único de WSUS
La implementación más básica de WSUS usa un único servidor WSUS dentro de la red. Este servidor se conecta a Microsoft Update y descarga actualizaciones mediante el firewall. El servidor WSUS usa el puerto 8530 para la comunicación HTTP y el puerto 8531 para HTTPS, en lugar de los valores predeterminados 80 y 443, respectivamente. Debe asegurarse de que el firewall tiene las reglas necesarias para permitir que el servidor se conecte a Microsoft Update. Este escenario básico se usa normalmente para redes pequeñas con una sola ubicación física.
Varios servidores WSUS
Si el entorno se compone de varias ubicaciones físicas aisladas, es posible que tenga que implementar un servidor WSUS en cada ubicación. En este escenario, cada servidor WSUS tiene su propia conexión a Internet para descargar actualizaciones de Microsoft Update.
Aunque se trata de una opción válida, exige mucho más esfuerzo administrativo, especialmente a medida que crece el número de ubicaciones físicas, ya que debe administrar cada servidor WSUS individual de forma independiente. Tiene que descargar actualizaciones en cada servidor por separado, aprobarlas en cada servidor individualmente y administrar clientes WSUS para que reciban actualizaciones del servidor WSUS correcto.
Los servidores WSUS individuales funcionan bien para las organizaciones que tienen un pequeño número de ubicaciones físicas, donde cada una tiene su propio equipo de administración de TI. También puede usar este escenario en una única ubicación física que tenga demasiados clientes para la administración por parte de un único servidor WSUS, y colocar varios servidores WSUS en un clúster de equilibrio de carga de red (NLB).
Servidores WSUS desconectados
Un servidor WSUS desconectado es un servidor que no se conecta a Microsoft Update por Internet ni recibe sus actualizaciones de ningún otro servidor de la red. En su lugar, este servidor recibe sus actualizaciones de medios extraíbles generados en otro servidor WSUS.
Un servidor WSUS desconectado es más común en entornos de red aislados sin acceso a Internet, como en algunos entornos de alta seguridad. Puede usar un servidor WSUS en otra ubicación para sincronizarse con Microsoft Update, exportar las actualizaciones a medios portátiles y, después, transportar los medios portátiles a la ubicación remota que se importará en el servidor WSUS desconectado.
Jerarquías de servidores WSUS
Todos los escenarios analizados hasta ahora tratan con un servidor WSUS administrado de forma independiente que se conecta directamente a Microsoft Update o recibe sus actualizaciones de una manera desconectada. Pero en organizaciones más grandes con varias ubicaciones físicas, es posible que quiera tener la capacidad de sincronizar con Microsoft Update en un servidor. Es posible que también quiera enviar cambios las actualizaciones en servidores de varias ubicaciones por la red y aprobar las actualizaciones desde una sola ubicación.
Las jerarquías de servidor WSUS permiten lo siguiente:
Descargar las actualizaciones de los servidores que están más cerca de los clientes, como los servidores de sucursales.
Descargar las actualizaciones una vez en un único servidor y, después, replicarlas por la red en otros servidores.
Separar los servidores WSUS en función del lenguaje que usan sus clientes.
Escalar los servidores WSUS para una organización grande que tenga más equipos cliente de los que puede administrar un único servidor WSUS.
En una jerarquía de servidores WSUS, hay dos tipos de servidores:
Servidores que preceden en la cadena. Los servidores que preceden en la cadena se conectan directamente a Microsoft Update para recuperar actualizaciones, o bien se desconectan y reciben actualizaciones mediante medios portátiles.
Servidores que siguen en la cadena. Los servidores que siguen en la cadena reciben actualizaciones de un servidor WSUS que precede en la cadena.
Hay dos modos de configurar los servidores que siguen en la cadena:
Modo autónomo. El modo autónomo, o administración distribuida, permite que un servidor que sigue en la cadena reciba actualizaciones de uno que precede en la cadena, pero permite a los administradores mantener la administración de las actualizaciones localmente. En este escenario, el servidor que sigue en la cadena mantiene su propio conjunto de grupos de equipos y las actualizaciones se pueden aprobar independientemente de la configuración de aprobación en los servidores que preceden en la cadena. Esto permite que otro grupo de administradores administre las actualizaciones en sus propias ubicaciones y solo use el servidor que precede en la cadena como origen de actualizaciones descargables.
Modo de réplica. El modo de réplica, o administración centralizada, permite que un servidor que sigue en la cadena reciba actualizaciones, información de pertenencia a grupos de equipos y aprobaciones de un servidor que precede en la cadena. En este escenario, un único grupo de administradores puede administrar las actualizaciones de toda la organización. Además, los servidores que siguen en la cadena se pueden colocar en oteas oficinas físicas y recibir todas las actualizaciones y datos de administración de un servidor que precede en la cadena.
Puede tener varias capas en la jerarquía de WSUS. Puede configurar algunos de los servidores que siguen en la cadena para que usen el modo autónomo, y usar el modo de réplica para configurar otros servidores. Por ejemplo, puede tener un único servidor que precede en la cadena conectado a Microsoft Update, y que descargue actualizaciones para toda la organización. Puede tener otros dos servidores que siguen en la cadena en modo autónomo, uno que administra las actualizaciones de todos los equipos que ejecutan software en inglés y otro para todos los que ejecutan software en español. Por último, puede tener otro conjunto de servidores que siguen en la cadena que reciben sus actualizaciones de los servidores WSUS de nivel intermedio configurados en modo de réplica. Estos son los servidores reales de los que los clientes reciben las actualizaciones, pero toda la administración se realiza en el nivel intermedio.
[NOTA] Puede configurar servidores que siguen en la cadena para descargar los metadatos de la información de actualización desde un servidor que precede en la cadena, pero que descarguen las actualizaciones reales de Microsoft Update. Se trata de una configuración común cuando los servidores que siguen en la cadena tienen una buena conectividad a Internet y quiere reducir el tráfico WAN.