Instalación y configuración de un punto de actualización de software
Se aplica a: Configuration Manager (rama actual)
Importante
Antes de instalar el rol de sistema de sitio de punto de actualización de software (SUP), debe comprobar que el servidor cumple las dependencias necesarias y determina la infraestructura del punto de actualización de software en el sitio. Para obtener más información sobre cómo planear las actualizaciones de software y determinar la infraestructura del punto de actualización de software, consulte Planeamiento de actualizaciones de software.
El punto de actualización de software es necesario en el sitio de administración central y en los sitios primarios para habilitar la evaluación de cumplimiento de actualizaciones de software e implementar actualizaciones de software en los clientes. El punto de actualización de software es opcional en sitios secundarios. El rol de sistema de sitio de punto de actualización de software debe crearse en un servidor que tenga WSUS instalado. El punto de actualización de software interactúa con los servicios WSUS para configurar los valores de actualización de software y solicitar la sincronización de metadatos de actualizaciones de software. Cuando tenga una jerarquía de Configuration Manager, instale y configure primero el punto de actualización de software en el sitio de administración central, luego en sitios primarios secundarios y, opcionalmente, en sitios secundarios. Cuando tenga un sitio primario independiente, no un sitio de administración central, instale y configure primero el punto de actualización de software en el sitio primario y, opcionalmente, en los sitios secundarios. Algunas opciones solo están disponibles cuando se configura el punto de actualización de software en un sitio de nivel superior. Hay distintas opciones que debe tener en cuenta en función de dónde haya instalado el punto de actualización de software.
Importante
- Puede instalar más de un punto de actualización de software en un sitio. El primer punto de actualización de software que instale se configura como origen de sincronización, que sincroniza las actualizaciones desde Microsoft Update o desde el origen de sincronización ascendente. Los demás puntos de actualización de software del sitio se configuran como réplicas del primer punto de actualización de software. Por lo tanto, algunas opciones de configuración no están disponibles después de instalar y configurar el punto de actualización de software inicial.
- No se admite la instalación del rol de sistema de sitio de punto de actualización de software en un servidor que se haya configurado y usado como un servidor WSUS independiente o que use un punto de actualización de software para administrar directamente los clientes WSUS. Los servidores WSUS existentes solo se admiten como orígenes de sincronización ascendentes para el punto de actualización de software activo. Consulte Sincronización desde una ubicación de origen de datos ascendente
Puede agregar el rol de sistema de sitio de punto de actualización de software a un servidor de sistema de sitio existente o puede crear uno nuevo. En la página Selección de roles del sistema del Asistente para crear servidor de sistema de sitio o Asistente para agregar roles de sistema de sitio, en función de si agrega el rol de sistema de sitio a un servidor de sitio nuevo o existente, seleccione Punto de actualización de software y, a continuación, configure los valores del punto de actualización de software en el asistente. La configuración es diferente en función de la versión de Configuration Manager que use. Para obtener más información sobre cómo instalar roles de sistema de sitio, consulte Instalación de roles de sistema de sitio.
Use las secciones siguientes para obtener información sobre la configuración del punto de actualización de software en un sitio.
Configuración del servidor proxy
Puede configurar los valores del servidor proxy en diferentes páginas del Asistente para crear servidor de sistema de sitio o el Asistente para agregar roles de sistema de sitio en función de la versión de Configuration Manager que use.
Debe configurar el servidor proxy y, a continuación, especificar cuándo usar el servidor proxy para las actualizaciones de software. Configure las siguientes opciones:
Configure los valores del servidor proxy en la página Proxy del asistente o en la pestaña Proxy en Propiedades del sistema de sitio. La configuración del servidor proxy es específica del sistema de sitio, lo que significa que todos los roles de sistema de sitio usan la configuración del servidor proxy que especifique.
Especifique si se va a usar el servidor proxy cuando Configuration Manager sincroniza las actualizaciones de software y cuando descarga contenido mediante una regla de implementación automática. Configure las opciones del servidor proxy de punto de actualización de software en la página Configuración de proxy y cuenta del asistente o en la pestaña Configuración de proxy y cuenta en Propiedades del punto de actualización de software.
La opción Usar un proxy al descargar contenido mediante reglas de implementación automática está disponible, pero no se usa para un punto de actualización de software en un sitio secundario. Solo el punto de actualización de software del sitio de administración central y el sitio primario descargan contenido de la página Microsoft Actualizar.
De forma predeterminada, la cuenta del sistema local del servidor en el que se creó una regla de implementación automática se usa para conectarse a Internet y descargar actualizaciones de software cuando se ejecutan las reglas de implementación automática. Cuando esta cuenta no tiene acceso a Internet, las actualizaciones de software no se pueden descargar y la siguiente entrada se registra en ruleengine.log: No se pudo descargar la actualización de Internet. Error = 12007. Configure las credenciales para conectarse al servidor proxy cuando la cuenta del sistema local no tenga acceso a Internet.
Configuración de WSUS
Debe configurar los valores de WSUS en distintas páginas del Asistente para crear servidor de sistema de sitio o asistente para agregar roles de sistema de sitio en función de la versión de Configuration Manager que use y, en algunos casos, solo en las propiedades del punto de actualización de software, también conocidas como Propiedades del componente de punto de actualización de software. Use la información de las secciones siguientes para configurar los valores de WSUS.
Importante
Para asegurarse de que se han implementado los mejores protocolos de seguridad, se recomienda encarecidamente usar el protocolo TLS/SSL para ayudar a proteger la infraestructura de actualización de software. A partir de la actualización acumulativa de septiembre de 2020, los servidores WSUS basados en HTTP serán seguros de forma predeterminada. Un cliente que busque actualizaciones en un WSUS basado en HTTP ya no podrá aprovechar un proxy de usuario de forma predeterminada. Si todavía necesita un proxy de usuario a pesar de los inconvenientes de seguridad, hay disponible una nueva configuración de cliente de actualizaciones de software para permitir estas conexiones. Para obtener más información sobre los cambios para examinar WSUS, consulte Cambios de septiembre de 2020 para mejorar la seguridad de los dispositivos Windows que examinan WSUS.
Configuración del puerto WSUS
Debe configurar los valores de puerto WSUS en la página Punto de actualización de software del asistente o en las propiedades del punto de actualización de software. Use el procedimiento siguiente para determinar la configuración de puerto usada por WSUS:
Determinación de la configuración de puerto usada en IIS
- En el servidor WSUS, abra el Administrador de Internet Information Services (IIS).
- Expanda Sitios, seleccione el sitio de administración de WSUS y, a continuación, seleccione Enlaces en el panel Acciones . En el cuadro de diálogo Enlaces de sitio , los valores de puerto HTTP y HTTPS se muestran en la columna Puerto .
Configuración de las comunicaciones SSL con WSUS
Para asegurarse de que se han implementado los mejores protocolos de seguridad, se recomienda encarecidamente usar el protocolo TLS/SSL para ayudar a proteger la infraestructura de actualización de software. Puede configurar la comunicación SSL en la página Punto de actualización de software del asistente o en la pestaña General de las propiedades del punto de actualización de software. Antes de seleccionar, la opción Requerir comunicación SSL al servidor WSUS para el SUP, asegúrese de que ha habilitado la comunicación SSL en los servidores WSUS.
Para obtener más información sobre cómo usar SSL, vea Decidir si configurar WSUS para usar SSL y Configurar un punto de actualización de software para usar TLS/SSL con un certificado PKI.
Permitir el tráfico de puerta de enlace de administración en la nube
Puede habilitar un punto de actualización de software para aceptar la comunicación de los clientes en Internet a través de una puerta de enlace de administración en la nube (CMG). Para obtener más información sobre esta configuración, consulte Configuración de roles orientados al cliente para el tráfico de CMG.
Ajuste la velocidad de descarga para usar el ancho de banda de red sin usar (LEDBAT de Windows)
(Introducido en la versión 2203)
A partir de Configuration Manager versión 2203, puedes habilitar el transporte en segundo plano con retraso adicional bajo (LEDBAT) de Windows para los puntos de actualización de software que se ejecutan Windows Server 2016 o posterior. LEDBAT ajusta las velocidades de descarga durante los exámenes de cliente en WSUS para ayudar a controlar la congestión de la red.
Si un sistema de sitio tiene los roles de punto de distribución y punto de actualización de software, puede configurar LEDBAT de forma independiente en los roles. Por ejemplo, si solo habilita LEDBAT en el rol de punto de distribución, el rol de punto de actualización de software no hereda la misma configuración.
Para usar LEDBAT para los SUP que se ejecutan Windows Server 2016 o posterior, habilite la opción Ajustar la velocidad de descarga para usar el ancho de banda de red no utilizado (LEDBAT de Windows) desde una de las siguientes ubicaciones:
- En la página Punto de actualización de software del Asistente para instalar el punto de actualización de software
- En la pestaña General de las propiedades del punto de actualización de software
Para obtener más información general sobre WINDOWS LEDBAT, consulta Conceptos fundamentales para la administración de contenido.
Cuenta de conexión del servidor WSUS
Puede configurar una cuenta para que la use el servidor de sitio cuando se conecte a WSUS que se ejecuta en el punto de actualización de software. Cuando no configura esta cuenta, el Configuration Manager usa la cuenta de equipo para que el servidor de sitio se conecte a WSUS. Configure la cuenta de conexión del servidor WSUS en la página Configuración de proxy y cuenta del asistente o en la pestaña Configuración de proxy y cuenta en Propiedades del punto de actualización de software. Puede configurar la cuenta en diferentes lugares del asistente en función de la versión de Configuration Manager que use.
Para obtener más información sobre las cuentas de Configuration Manager, consulte Cuentas usadas.
Origen de sincronización
Puede configurar el origen de sincronización ascendente para la sincronización de actualizaciones de software en la página Origen de sincronización del asistente o en la pestaña Configuración de sincronización en Propiedades del componente de punto de actualización de software. Las opciones del origen de sincronización varían en función del sitio.
Use la tabla siguiente para las opciones disponibles al configurar el punto de actualización de software en un sitio.
Site | Opciones de origen de sincronización disponibles |
---|---|
- Sitio de administración central - Sitio primario independiente |
- Sincronizar desde el sitio web de Microsoft Update - Sincronizar desde una ubicación de origen de datos ascendente - No sincronizar desde Microsoft Update ni desde el origen de datos ascendente |
- Puntos de actualización de software adicionales en un sitio - Sitio primario secundario - Sitio secundario |
- Sincronizar desde una ubicación de origen de datos ascendente |
En la lista siguiente se proporciona más información sobre cada opción que puede usar como origen de sincronización:
Sincronizar desde Microsoft Update: use esta configuración para sincronizar los metadatos de las actualizaciones de software de Microsoft Update. El sitio de administración central debe tener acceso a Internet; De lo contrario, se producirá un error en la sincronización. Esta configuración solo está disponible cuando se configura el punto de actualización de software en el sitio de nivel superior.
Cuando hay un firewall entre el punto de actualización de software e Internet, es posible que sea necesario configurar el firewall para aceptar los puertos HTTP y HTTPS que se usan para el sitio web wsus. También puede optar por restringir el acceso en el firewall a dominios limitados. Para obtener más información sobre cómo planear un firewall que admita actualizaciones de software, consulte Configuración de firewalls.
Si va a compartir la base de datos WSUS, tenga en cuenta que Configuration Manager elige aleatoriamente el punto de actualización de software entre los servidores WSUS de front-end. Asegúrese de que se cumplen los requisitos de acceso a Internet para cada uno de los servidores WSUS. Si no se cumplen los requisitos de acceso a Internet, pueden producirse errores de sincronización. Es posible que vea diferentes puntos de actualización de software en la sincronización del sitio de nivel superior con Microsoft.
Sincronizar desde una ubicación de origen de datos ascendente: use esta configuración para sincronizar los metadatos de las actualizaciones de software desde el origen de sincronización ascendente. Los sitios primarios secundarios y los sitios secundarios se configuran automáticamente para usar la dirección URL del sitio primario para esta configuración. Tiene la opción de sincronizar las actualizaciones de software desde un servidor WSUS existente. Especifique una dirección URL, como
https://WSUSServer:8531
, donde 8531 es el puerto que se usa para conectarse al servidor WSUS.No sincronizar desde Microsoft Update o el origen de datos ascendente: use esta opción para sincronizar manualmente las actualizaciones de software cuando el punto de actualización de software en el sitio de nivel superior esté desconectado de Internet. Para obtener más información, consulte Sincronización de actualizaciones de software desde un punto de actualización de software desconectado.
También puede configurar si desea crear eventos de informes de WSUS en la página Origen de sincronización del asistente o en la pestaña Configuración de sincronización en Propiedades del componente de punto de actualización de software. Configuration Manager no usa estos eventos; por lo tanto, normalmente elegirá la configuración predeterminada No crear eventos de informes de WSUS.
Programación de sincronización
Configure la programación de sincronización en la página Programación de sincronización del asistente o en propiedades del componente de punto de actualización de software. Esta configuración solo se configura en el punto de actualización de software del sitio de nivel superior.
Si habilita la programación, puede configurar una programación de sincronización simple o personalizada periódica. Al configurar una programación sencilla, la hora de inicio se basa en la hora local del equipo que ejecuta la consola de Configuration Manager en el momento en que se crea la programación. Al configurar la hora de inicio para una programación personalizada, se basa en la hora local del equipo que ejecuta la consola de Configuration Manager.
Sugerencia
- Programe la sincronización de actualizaciones de software para que se ejecute mediante un período de tiempo adecuado para su entorno. Un escenario típico consiste en establecer que la programación de sincronización de actualizaciones de software se ejecute poco después de la Microsoft versión de actualización de seguridad normal el segundo martes de cada mes, lo que normalmente se conoce como Martes de revisión. Otro escenario típico es establecer la programación de sincronización de actualizaciones de software para que se ejecute diariamente cuando se usan actualizaciones de software para entregar la definición de Endpoint Protection y las actualizaciones del motor.
- Si decide no habilitar la sincronización de actualizaciones de software según una programación, puede sincronizar manualmente las actualizaciones de software desde el nodo Todos los Novedades de software o Grupos de actualizaciones de software del área de trabajo Biblioteca de software. Para obtener más información, consulte Sincronización de actualizaciones de software.
Reglas de sustitución
Configure los valores de sustitución en la página Reglas de sustitución del asistente o en la pestaña Reglas de sustitución en Propiedades de componente de punto de actualización de software. Solo puede configurar las reglas de sustitución en el sitio de nivel superior. También puede especificar el comportamiento de las reglas de sustitución para las actualizaciones de características por separado de las actualizaciones que no son de características.
Nota:
La página Reglas de sustitución del asistente solo está disponible cuando se configura el primer punto de actualización de software en el sitio. Esta página no se muestra al instalar puntos de actualización de software adicionales.
En esta página, puede especificar cuándo expiran las actualizaciones de software sustituidas en Configuration Manager, lo que impide que se incluyan en nuevas implementaciones y marca las implementaciones existentes para indicar que las actualizaciones de software sustituidas contienen una o varias actualizaciones de software expiradas. Puede especificar un período de tiempo antes de que expiren las actualizaciones de software sustituidas, lo que le permite seguir implementándolas. Para obtener más información, vea Reglas de sustitución.
La configuración predeterminada es esperar 3 meses antes de expirar una actualización sustituida. El valor predeterminado de 3 meses es darle tiempo para comprobar que ninguno de los equipos cliente ya no necesita la actualización. Se recomienda no suponer que las actualizaciones sustituidas deben expirar inmediatamente en favor de la nueva actualización de superposición. Puede mostrar una lista de las actualizaciones de software que reemplazan a la actualización de software en la pestaña Información de sustitución en las propiedades de actualización de software.
Mantenimiento de WSUS
Configuration Manager puede ejecutar automáticamente las tareas de mantenimiento de WSUS más comunes. Para obtener más información sobre estas tareas, consulte Mantenimiento de actualizaciones de software.
Tiempo máximo de ejecución
Puede especificar la cantidad máxima de tiempo que debe completar una instalación de actualización de software. Puede especificar el tiempo de ejecución máximo para lo siguiente:
Tiempo máximo de ejecución para las actualizaciones de características de Windows (minutos)
-
Actualizaciones de características : actualización que se encuentra en una de estas tres clasificaciones:
- Actualizaciones
- Paquetes acumulativos de actualizaciones
- Service Pack
-
Actualizaciones de características : actualización que se encuentra en una de estas tres clasificaciones:
Tiempo de ejecución máximo para actualizaciones de Office 365 y actualizaciones que no son de características para Windows (minutos)
-
Actualizaciones que no son de características: actualización que no es una actualización de características y cuyo producto aparece como uno de los siguientes:
- Windows 11
- Windows 10 (todas las versiones)
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Office 365
-
Actualizaciones que no son de características: actualización que no es una actualización de características y cuyo producto aparece como uno de los siguientes:
Tiempo de ejecución máximo para todas las demás actualizaciones de software fuera de estas categorías, como las actualizaciones de terceros (minutos): el tiempo de ejecución máximo predeterminado de estas actualizaciones varía en función de cuándo la actualización se sincronice por primera vez en el entorno y en la versión Configuration Manager. Use el carro siguiente para determinar el valor máximo en tiempo de ejecución de estas actualizaciones:
2203 o posterior 2103, 2107 o 2111 2010 El tiempo de ejecución máximo para todas las demás actualizaciones de software es personalizable. El valor predeterminado es 60 minutos. 60 minutos 10 minutos Importante
- Esta configuración solo cambia el tiempo de ejecución máximo para las nuevas actualizaciones sincronizadas en mediante SUP. No cambia el tiempo de ejecución en las actualizaciones existentes que se sincronizaron antes de que se modificara el tiempo de ejecución. Por ejemplo, si
Update 1
primero se sincronizó en un entorno 2111, el tiempo de ejecución máximo es de 60 minutos. A continuación, actualice el entorno a la versión 2203 y establezca el tiempo de ejecución máximo en 30 minutos.Update 1
conserva su tiempo de ejecución de 60 minutos. Sin embargo, cuando una nueva actualización,Update 2
, se sincroniza en, se le asigna el nuevo tiempo de ejecución de 30 minutos. - Si necesita cambiar el tiempo máximo de ejecución de una actualización manualmente, puede configurar los valores de actualización de software para ella.
- Esta configuración solo cambia el tiempo de ejecución máximo para las nuevas actualizaciones sincronizadas en mediante SUP. No cambia el tiempo de ejecución en las actualizaciones existentes que se sincronizaron antes de que se modificara el tiempo de ejecución. Por ejemplo, si
Clasificaciones
Configure las opciones de clasificación en la página Clasificaciones del asistente o en la pestaña Clasificaciones en Propiedades del componente de punto de actualización de software. Para obtener más información sobre las clasificaciones de actualizaciones de software, consulte Clasificaciones de actualizaciones.
Sugerencia
- La página Clasificaciones del asistente solo está disponible cuando se configura el primer punto de actualización de software en el sitio. Esta página no se muestra al instalar puntos de actualización de software adicionales.
- Cuando instale por primera vez el punto de actualización de software en el sitio de nivel superior, borre todas las clasificaciones de actualizaciones de software. Después de la sincronización de actualizaciones de software iniciales, configure las clasificaciones de una lista actualizada y, a continuación, vuelva a iniciar la sincronización. Esta configuración solo se configura en el punto de actualización de software del sitio de nivel superior.
Productos
Configure los valores del producto en la página Productos del asistente o en la pestaña Productos en Propiedades del componente de punto de actualización de software.
Sugerencia
- La página Productos del asistente solo está disponible cuando se configura el primer punto de actualización de software en el sitio. Esta página no se muestra al instalar puntos de actualización de software adicionales.
- Cuando instale por primera vez el punto de actualización de software en el sitio de nivel superior, borre todos los productos. Después de la sincronización de actualizaciones de software iniciales, configure los productos de una lista actualizada y, a continuación, vuelva a iniciar la sincronización. Esta configuración solo se configura en el punto de actualización de software del sitio de nivel superior.
Idiomas
Configure los valores de idioma en la página Idiomas del asistente o en la pestaña Idiomas de Propiedades del componente de punto de actualización de software. Especifique los idiomas para los que desea sincronizar los archivos de actualización de software y los detalles de resumen. La configuración Archivo de actualización de software se configura en cada punto de actualización de software de la jerarquía de Configuration Manager. La configuración detalles de resumen solo se configura en el punto de actualización de software de nivel superior. Para obtener más información, vea Idiomas.
Nota:
La página Idiomas del asistente solo está disponible cuando se instala el punto de actualización de software en el sitio de administración central. Puede configurar los lenguajes de archivo de actualización de software en sitios secundarios desde la pestaña Idiomas en Propiedades del componente de punto de actualización de software.
Actualizaciones de terceros
Puede habilitar las actualizaciones de terceros para Configuration Manager clientes. Al habilitar las actualizaciones de software de terceros en las propiedades del componente SUP, el SUP descargará el certificado de firma usado por WSUS para las actualizaciones de terceros. Esta opción no está disponible durante la instalación del punto de actualización de software y debe configurarse después de instalar el SUP. Para habilitar la configuración de cliente para las actualizaciones de terceros, consulte el artículo Acerca de la configuración de cliente .
Pasos siguientes
Ha instalado el punto de actualización de software a partir del sitio superior de la jerarquía de Configuration Manager. Repita los procedimientos de este artículo para instalar el punto de actualización de software en sitios secundarios.
Una vez que tenga instalados los puntos de actualización de software, vaya a sincronizar las actualizaciones de software.