WSUS: Instalacion y configuración.

Una vez descargado el ejecutable lo lanzamos y comprueba la presencia de algunos complementos necesarios (NET Framework, SQL Server, etc) , suponemos que Internet Información Server (en adelante IIS) se encuentra instalado y funcionando, si precisa componentes adicionales nos lo indica para descargarlos e instalarlos.

Si no hay problema se instalará  y creará un directorio virtual sobre el servidor WEB (se recomienda apuntar los datos de  la dirección URL y puerto en el que se accede para la posterior configuración de los clientes) de IIS al que accederán los clientes para actualizarse, habitualmente surgen problemas en la conexión de los clientes con el servidor.

Los clientes tambien deben configurarse para buscar las actualizaciones en la Intranet en lugar de hacerlo en el sitio de Microsoft Update, puesto que tenemos un Windows Server en funcionamiento, puede que tengamos Active Directory
funcionando, en cuyo caso lo mejor es crear una GPO (especifica para esta función) en el dominio para aplicar las directivas necesarias:
1- Establecer las actualizaciones automáticas.
2- Indicar la localización del servidor interno en la intranet, ejemplo: http://server:8530 (puede ser el mismo para actualizaciones y estadisticas).
3- Indicar el intervalo de comprobación de las actualizaciones disponibles.

Existe una herramienta para comprobar la conexión consistente sencillamente en un ejecutable en linea de comandos (la ventana MS-DOS), se trata de  ClientDiag.exe, es gratuita y se puede buscar y descargar de Internet (preferentemente de la WEB de Microsoft, cuidado con virus y otro malware vario que la gente mete en las cosas gratuitas).

Es común que el servidor WEB tenga configurado el sitio por defecto en el puerto 80 y que el sitio WSUS se instale en el 8530 y por ejemplo 8531 para la comunicacion segura SSL, en este caso tendrmos un error de comunicación,
WinHttpDownloadFileToMemory(szURLDest, NULL, 0, NULL, NULL, NULL, &downloadBuffe
r) failed with hr=0x80190194
a pesar de el, en mi caso si descargaba actualizaciones.
Para solucionar dicho problema se deben seguir los siguientes pasos:
1- Crear en el sitio web por defecto (el asignado al puerto 80) de IIS un directorio virtual llamado SelfUpdate y asignarlo a la carpeta:
2- Asegurarnos de conceder permiso de acceso anomimo a dicho directorio en el servidor web.

Windows Server Update Services

Windows Server Update Services (abrebiadamente WSUS) es un software de Microsoft para crear una cache de las actualizaciones de Microsoft Update en un servidor local, de forma que los ordenadores internos de la red no necesitan acceder vía internet para instalar las actualizaciones de seguridad, los Service Pack, actualizaciones de Office y cualquiera otra de Microsoft soportada en Microsoft Update, permite además crear grupos de equipos y controlar que actualizaciones se aplican a cada grupo y cuales a otros, así como obtener completos y variados informes tanto gráficos como de texto acerca del estado de las actualizaciones.
Personalmente me parece muy interesante cuando se formatean o restauran los ordenadores con una cierta asiduidad, (considero que es altamente recomendable hacerlo al menos una vez al año), al descrgarse las actulaizaciones del servidor local, la máquina puede estar perfectamente actualizada en menos de un día si se efectuan los reinicios necesarios.
El software es totalmente gratuito y se puede descargar aquí (tambien buscar en google descarga WSUS), necesita Internet Informacion Server funcionando sobre un servidor Windows 2000/2003, de hecho creo que no se ha actualizado para funcionar sobre Wiidows 2008 y recientemente microsoft ha dejado de soportarlo (no prestará asistencia técnica) aunque hay quien dice que nunca lo ha hecho.

OCS Inventory NG Packager

Es un módulo de este estupendo sistema, aunque esté pensado para utilizarse con el resto se puede utilizar independientemente, permite generar un archivo ejecutable que contiene uno o varios archivos (al menos un ejecutable) que se extraerán y lanzaran cuando se ejecute el contenedor; quizá lo más importante de todo ello es que incorpora además un usuario y contraseña bajo los que se lanzará el contenido cuando el usuario del PC que lo ejecuta no tiene permisos administrativos. En otros palabras:

- Permite que un usuario normal ( en mí caso, alumnos del instituto al que tengo restringidos al máximo los permisos) ejecute el paquete que se le ha proporcionado e instale un programa con derechos de administrador.
- Esto es muy interesante pues nos evita tener que ir ordenador a ordenador instalando las aplicaciones que necesitemaos en todo un aula, evita tambien dar contrsaseñas de administrador a alumnos con los consiguientes riesgos.

La pagina general de descargas se encuantra aquí, elegir la versión en la zona de la izquierda.


En el primer campo Exe file elegimos el ejecutable que se lanzará al ejecutar el paquete, por defecto nos muestra unicamente el agente de OCS (OcsAgentSetup.exe) pero podemos cambiar la opción para que muestre cualqier ejecutable como podeis ver más abajo:


En el segundo campo Certificate file hemos de elegir un certificado SSL en principio el archivo cacert.pem que seria el certificado de nuestro servidor seguro, pero para utilizarlo como se ha escrito anteriormente nos serviría con cualquiera, podemos descargar uno generico de cacert.org en formato PEM.

En el campo Other files podemos añadir otros archivos que sean necesarios para la tarea que queramos lanzar.

Command line opcions si el ejecutable soporta opciones en la linea de comandos, se deben introducir en este campo. La interrogación ? de la dercha muestra las posibles opciones para OcsAgentsetup.exe.

Label es una etiqueta identificativa para distinguir unos paquetes de otros, ya que todos se generan con el mismo nombre, se recomienda encarecidamente renombrarlos inmediatamente despues de haberlos creado para poder distinguirlos y poder almacenarlos todos en una misma carpeta.

User será el nombre de usuario, con derechos adminstrativos, que lanzará el ejecutable contenido en el paquete. Si trabajais con usuarios de un dominio es muy aconsejable crear un usuario especifico para este fin, por ejemplo: OCS_Instalador que debereis añadir al grupo Adminstradores del dominio y utilizarlo solo para este fín. El formato más aconsejable es OCS_Instalador@dominio.com

Password es la contraseña del usuario anterior.
 

Instalación de OCS Inventory

Aunque considero que esta debía ser la primera entrada referida a OCS Inventory he de confesar que la instalación del servidor la llevé a cabo hace algún tiempo (supongo que ha principio de este curso, o de otro, que es cuando hay tiempo), no recuerdo nada especialmente traumático al respecto, por lo que debio llevarse a cabo sin mayores problemas, de hecho recuerdo que no es la primera que hize, pues la anterior cambié las contraseñas para obtener mayor seguridad y despues las olvidé por lo que tuve que borrarlo e instalarlo de nuevo.

Tengo algún ligero recuerdo al respecto de ajustar algún valor de configuración de apache.conf o algo por el estilo pero sin demasiada dificultad y creo que sugerido por el propio sistema.

Para instalar los clientes en los computadores he utilizado una directiva de grupo o GPO y una orden de Inicio de Sesion tan sencilla como:

OcsAgentSetup.exe /s

que lanza el instalador en cada PC en modo silencioso.

Un día de estos he visto que existe una herramienta (creo que nueva) para realizar el despliege del agente en una red IP se trata de:

OCS NG Agent Deployement Tool

no la he probado pero tiene buena pinta para quines no tengan una red con dominio
, eso sí, necesitais un certificado SSL en funcinamiento.

Este último tema de los certificados para la distribución de paquetes es el que más quebraderos de cbeza me ha dado en los últimos tiempos y por el que me he decidido a escribir esta bitacora que espero ayude a quienes hayan de pasar por este mismo trance.

Agradezco desde aquí la atención y ayuda de Pablo Iranzo que amable, y muy pacientemente a atendido mis consultas vía e-mail en estas últimas semanas.

El por qué de todo esto

Como reza en el título mis estudios son de mecanica, en concreto ingeniero técnico mecánico, trabajo como profesor en un IES de Aranda de Duero en el que además me dedico al mantenimiento informático de equipos y la administración de redes. Disponemos de un Directorio Activo en un servidor Windows 2003 Server en el que residen las cuentas para todos los alumnos y profesores del instituto, así como carpetas de Red personales para cada uno y otras compartidas por grupos, departamentos, etc.

Actualmente me entretienen dos proyectos, la instalación y configuración de un servidor Apache para alojar OCS Inventory NG en un sistema windows, y tambien la instalacion de Windows Server Update Service o WSUS (anteriormente SUS) para mantener una caché con las actualizaciones de los sistemas Microsoft (Windows, Office, etc) y una base de datos en la que se recoge toda la información respecto de dichas actualizaciones. Esto me intersa especialmente ya que disponemos de PC´s con tarjeta protectora de disco duro que es muy fácil restaurar a su estado original, pero despues es necesario reinstalar el software y las actualizaciones del sistema.

Dado que estas operaciones son relativamente frecuentes, (en aulas de informatica, al menos una vez al año), pretendo automatizarlas al maximo.

En la instalación y puesta en marcha de las anteriores y otras herramientas ocurren no pocos problemas y la documentación y comentarios se encuentran en muchos casos en perfecto inglés, por lo que se pretendo recoger aquí el máximo de esperiencias posibles que puedan ser de ayuda a otros e incluso a mí mismo dentro de un tiempo, y en su caso crear un foro de debate en el que podamos conpartir experiencias enriquecedoras para todos.