Cómo crear un servidor de actualizaciones WSUS paso a paso

Contar con un servidor de actualizaciones WSUS bien montado marca la diferencia entre tener tu parque de equipos bajo control o estar apagando fuegos cada vez que Microsoft publica un parche nuevo. En redes pequeñas todavía se puede ir tirando con Windows Update directo, pero en cuanto tienes varias decenas (o cientos) de equipos, controlar qué se instala, cuándo y en qué orden se vuelve imprescindible.

En esta guía vamos a ver cómo crear y configurar un servidor de actualizaciones WSUS paso a paso en Windows Server, cómo integrarlo con Active Directory mediante directivas de grupo y cómo organizar los equipos por anillos de despliegue para que las actualizaciones lleguen de forma escalonada y segura. Además, veremos trucos de configuración, escenarios con varios servidores WSUS y tareas típicas de administración para que el sistema funcione de forma estable.

Qué es WSUS y por qué merece la pena montarlo

Windows Server Update Services, más conocido como WSUS, es un rol de Windows Server que actúa como servidor central para almacenar, aprobar y distribuir actualizaciones de Microsoft a todos los equipos de tu red. En lugar de que cada PC se conecte a Internet a descargar los parches, lo hacen contra tu servidor, ahorrando ancho de banda y dándote control total.

Este rol se apoya en Internet Information Services (IIS), que es el servidor web que ofrece a los clientes los metadatos y los paquetes de actualización, y también recibe de vuelta los informes de estado de cada equipo. Gracias a ello puedes ver qué máquinas tienen actualizaciones pendientes, cuáles han fallado y dónde conviene meter mano.

WSUS es especialmente útil en entornos corporativos con muchos equipos, donde necesitas decidir con cabeza qué parches se aplican, en qué momento, en qué grupos de ordenadores y con qué plazos. Permite gestionar actualizaciones de sistemas operativos Windows, Office y otros productos de Microsoft, e incluso integrarse con Configuration Manager para escenarios más avanzados.

Además, el servicio es altamente escalable y flexible: puedes tener un único servidor central, montar jerarquías con servidores ascendentes y descendentes, distribuir cargas con balanceadores o colocar servidores en delegaciones remotas que sincronizan desde un WSUS principal en vez de ir a Internet.

Requisitos y consideraciones previas antes de instalar WSUS

Antes de lanzarte a dar clics en el Administrador del servidor, conviene revisar que tu entorno cumple una serie de requisitos mínimos para WSUS. No es una aplicación especialmente pesada, pero si lo dimensionas mal te vas a encontrar con un servidor lento, bases de datos inmanejables y sincronizaciones eternas.

Para empezar, necesitas un sistema operativo de servidor compatible con el rol WSUS. A día de hoy, Microsoft soporta WSUS integrado en:

• Windows Server 2016
• Windows Server 2019
• Windows Server 2022
• Windows Server 2025

En cuanto a recursos, se recomienda disponer de al menos 8 GB de RAM para que la base de datos y el propio IIS tengan algo de margen, y un disco con espacio holgado para almacenar las actualizaciones. Lo ideal es dedicar un disco separado exclusivamente al contenido de WSUS, ya que los parches pueden ocupar fácilmente cientos de gigas con el paso del tiempo si gestionas varios productos y arquitecturas.

También es esencial tener una conexión a Internet estable, especialmente para la primera sincronización, en la que WSUS descargará una cantidad considerable de metadatos y actualizaciones. Si tu organización sale a Internet a través de un proxy, deberás tener a mano la configuración para introducirla durante el asistente de configuración.

Por último, hay que decidir desde el principio cómo vas a integrar WSUS con tu dominio. Aunque puede usarse en grupos de trabajo, donde más brilla es en entornos con Active Directory, ya que mediante directivas de grupo puedes dirigir de forma masiva a todos los equipos hacia tu servidor WSUS y asignarlos automáticamente a grupos lógicos.

Instalar el rol de servidor WSUS en Windows Server

La instalación de WSUS en las versiones modernas de Windows Server se realiza desde el Administrador del servidor, usando el asistente para agregar roles y características. El proceso es bastante guiado, pero conviene fijarse en ciertos puntos clave, sobre todo en la elección de la base de datos y la carpeta de contenido.

Entra en el servidor donde vayas a montar WSUS con una cuenta que pertenezca al grupo Administradores locales. Desde el Administrador del servidor, ve al menú “Administrar” y selecciona “Agregar roles y características” para iniciar el asistente.

En la pantalla de tipo de instalación, confirma que esté marcada la opción de “Instalación basada en características o en roles” y pulsa “Siguiente”. A continuación, elige el servidor de destino sobre el que vas a instalar WSUS, bien desde un grupo de servidores, bien desde la lista de equipos físicos o máquinas virtuales disponibles.

En el apartado de selección de roles, marca “Windows Server Update Services”. El asistente te avisará de que se necesitan características adicionales, como IIS y otros componentes; acepta pulsando en “Agregar características” y continúa con “Siguiente”, dejando las opciones de características por defecto si no tienes necesidades especiales.

Al avanzar, verás una sección dedicada a Windows Server Update Services y posteriormente la pantalla de selección de servicios de rol. La configuración habitual pasa por dejar seleccionadas las opciones de conectividad WID y servicios WSUS, de modo que uses la base de datos interna de Windows (WID) salvo que prefieras un SQL Server dedicado.

En el momento de indicar la ruta de almacenamiento de las actualizaciones, introduce una carpeta en el disco que hayas reservado para WSUS, por ejemplo K:\WSUS_Database o una unidad similar. Esta ruta será donde el servidor descargue todos los paquetes, así que es clave que tenga espacio suficiente y buena velocidad.

Acto seguido, el asistente te mostrará el apartado de Servidor web (IIS). Deja marcados los servicios que se proponen por defecto para IIS, ya que son los necesarios para que WSUS funcione correctamente. No es necesario hacer configuraciones avanzadas aquí en la mayoría de los casos.

Revisa el resumen en la pantalla de “Confirmar selecciones de instalación” y haz clic en “Instalar”. El proceso puede tardar varios minutos, ya que se copian archivos, se agregan componentes y se prepara la estructura inicial del servicio.

Cuando la instalación finaliza, el propio asistente te ofrece la opción de ejecutar las tareas posteriores a la instalación. Haz clic en “Iniciar tareas posteriores a la instalación” y espera a que el sistema muestre el mensaje de que la configuración del servidor se ha completado correctamente. Después, cierra el asistente y comprueba en el Administrador del servidor si se requiere un reinicio; si lo pide, es recomendable reiniciar para dejar el rol perfectamente asentado.

Primer arranque y asistente de configuración de WSUS

Con el rol instalado, el siguiente paso es lanzar la consola de administración de WSUS desde el menú Herramientas del Administrador del servidor. La primera vez se mostrará un asistente de configuración que te guiará por las opciones básicas: origen de las actualizaciones, idiomas, productos, tipos de actualización y programación de sincronización.

En la pantalla de bienvenida, simplemente pulsa “Siguiente” hasta llegar al apartado donde se te pregunta desde qué servidor ascendente quieres sincronizar. En entornos estándar, lo habitual es seleccionar que WSUS descargue directamente desde Microsoft Update, marcando esa opción para que el servidor se conecte a Internet.

Si tu red accede a Internet a través de un proxy, el asistente te mostrará una sección específica para introducir los datos del proxy (dirección, puerto y, en su caso, credenciales). Rellena estos campos según la configuración de tu empresa y continúa. En caso de no utilizar proxy, simplemente deja estas opciones en blanco.

El asistente te propondrá iniciar una primera conexión con Microsoft Update para obtener el catálogo de productos y clasificaciones de actualización. Pulsa en “Iniciar conexión” y espera unos minutos, ya que en este punto se descargan los metadatos iniciales que permitirán seleccionar qué quieres gestionar.

Una vez completado este paso, llega el momento de decidir los idiomas de las actualizaciones. Para optimizar el espacio y agilizar las sincronizaciones, conviene marcar únicamente los idiomas que realmente usas en tu entorno, por ejemplo Español y, si procede, Inglés para ciertos servidores o aplicaciones.

Después tendrás que elegir qué productos de Microsoft deseas mantener actualizados. Aquí puedes seleccionar versiones concretas de Windows (Windows 10, Windows 11, Windows Server 2019, etc.), Office y otros componentes. Cuantos más productos marques, más espacio en disco necesitarás y más tardarán las sincronizaciones, así que es buena idea ceñirse a lo que tengas realmente desplegado.

En la sección de clasificaciones, define qué tipos de actualizaciones quieres descargar: actualizaciones críticas, de seguridad, service packs, actualizaciones de drivers, etc. En muchos entornos se suele empezar con parches de seguridad y críticas, y luego, si hace falta, se amplía a otras clasificaciones.

Por último, el asistente te permite programar la sincronización automática de WSUS. Puedes configurar que el servidor compruebe diariamente, a una hora concreta, si Microsoft ha publicado nuevas actualizaciones y que se las baje. Por ejemplo, se puede establecer la sincronización todos los días de madrugada, a las 00:30 o 03:00, para no interferir con el horario de trabajo.

Al finalizar el asistente, WSUS quedará listo para realizar la primera sincronización completa, descargar las actualizaciones seleccionadas y, a partir de ahí, permitirte aprobarlas, rechazarlas y distribuirlas a tus equipos de forma ordenada.

Configuración de WSUS con varios servidores y sedes

En organizaciones con varias oficinas o sedes conectadas por enlaces WAN relativamente limitados es habitual montar una estructura jerárquica de servidores WSUS para evitar que todas las delegaciones descarguen los parches directamente desde Internet. En su lugar, un servidor principal actúa como origen, y el resto de WSUS secundarios sincronizan contra él.

Imagina un escenario con dos sedes conectadas por un enlace de 10 Mbps. En la sede principal instalas un servidor WSUS que se conecta a Microsoft Update cada día, por ejemplo a las 00:30, y descarga todas las actualizaciones que has configurado. En la sede secundaria despliegas otro servidor WSUS, pero en lugar de ir a Internet, lo configuras para que sincronice desde el servidor WSUS de la sede principal, quizá a las 03:00, cuando el primero ya ha terminado su descarga.

Con este enfoque, cada servidor WSUS guarda localmente las actualizaciones para su propia sede, reduciendo el tráfico a través del enlace WAN, ya que el segundo sitio no tiene que hablar directamente con Microsoft Update. A la hora de aprobar las actualizaciones puedes decidir si los servidores descendentes funcionan de manera independiente o en modo réplica, donde heredan automáticamente las aprobaciones del WSUS principal.

Este tipo de despliegues escalados saca partido de la capacidad de WSUS para trabajar como servidor ascendente o descendente, y se adapta muy bien a topologías con muchas oficinas remotas. La elección de trabajar en modo réplica o independiente dependerá de si quieres centralizar las decisiones de aprobación o delegarlas a cada sede.

Configurar Actualizaciones automáticas y apuntar los clientes a WSUS

Para que los equipos de tu red dejen de ir a Internet y empiecen a usar tu servidor WSUS como origen de actualizaciones, necesitas aplicar políticas de grupo (GPO) que modifiquen el comportamiento de Windows Update en los clientes. Estas directivas forzarán a los equipos a contactar con WSUS, descargar las actualizaciones y reportar su estado.

Desde un controlador de dominio, abre la Group Policy Management Console (gpmc.msc) y navega por Bosque → Dominios hasta localizar tu dominio. Crea un nuevo GPO a nivel de dominio o vincúlalo a la unidad organizativa que contenga los equipos que quieras gestionar, dándole un nombre descriptivo, por ejemplo “WSUS – Actualizaciones automáticas y servicio de intranet”.

Edita esa directiva y entra en Configuración del equipo → Directivas → Plantillas administrativas → Componentes de Windows → Windows Update. En esta ruta encontrarás las opciones esenciales para controlar el comportamiento de Windows Update en los clientes.

Primero, haz doble clic en la política “Configurar Actualizaciones automáticas”. Márcala como “Habilitada” y escoge el modo de descarga e instalación que mejor encaje en tu entorno, como por ejemplo “3: Descargar automáticamente y notificar para la instalación”, o “4: Descargar automáticamente y programar la instalación”. Ajusta día y hora si vas a usar instalación programada.

A continuación, abre la directiva “Especificar la ubicación del servicio Microsoft Update en la intranet” y actívala. En los campos de opciones, introduce la URL de tu servidor WSUS con el puerto adecuado, por ejemplo http://NombreServidorWSUS:8530 para el servicio de actualizaciones y la misma URL para el servidor de estadísticas. Esto hará que los clientes apunten a tu WSUS en lugar de a los servidores públicos de Microsoft.

Ten en cuenta que los equipos actualizan sus políticas de grupo de forma periódica, generalmente cada 90 minutos más un retraso aleatorio y también al reiniciar. A medida que reciban la nueva directiva, irán apareciendo en la consola de WSUS, inicialmente dentro del grupo “Equipos sin asignar”, listos para que los asignes a grupos de destino o para que WSUS los coloque automáticamente según las políticas que habilites.

Crear y gestionar grupos de equipos en WSUS

Una de las claves para no liarla con las actualizaciones es dividir tus equipos en grupos o anillos de implementación. La consola de WSUS permite crear grupos de equipos que representen, por ejemplo, un anillo piloto, un grupo de TI, usuarios de negocio sensibles, servidores críticos, etc. De esa forma puedes aprobar un parche primero para un subconjunto reducido y, si no hay problemas, ir ampliando el despliegue.

Para crear estos grupos, abre la consola de WSUS, despliega tu servidor en el árbol de la izquierda y entra en la sección “Equipos → Todos los equipos”. Desde ahí puedes usar la opción “Agregar grupo de equipos” para ir creando los anillos que necesites, como “Ring 2 Piloto”, “Ring 3 TI amplia” o “Ring 4 Usuarios empresa”.

Una vez definidos los grupos, tienes dos formas de poblarlos con equipos. La primera es la llamada selección de destinatarios del lado servidor, en la que tú mismo arrastras o reasignas máquinas desde la consola de WSUS. Los nuevos equipos aparecerán en “Equipos sin asignar” cuando empiecen a hablar con WSUS tras recibir la GPO; solo tienes que seleccionarlos, hacer clic derecho, elegir “Cambiar pertenencia” y asignarlos al grupo adecuado.

La segunda opción es recurrir a la selección de destinatarios del lado cliente, que se basa en políticas de grupo. En este caso, WSUS debe estar configurado para aceptar que sean los propios clientes, a través de su GPO o del Registro, los que indiquen a qué grupo de WSUS pertenecen. Para activar esto, entra en “Opciones → Equipos” dentro de la consola de WSUS y marca la opción de usar directiva de grupo o configuración de Registro en los equipos.

Con esta modalidad, puedes crear GPO específicas que incluyan la política “Habilitar la selección de destino del lado cliente” y en el campo correspondiente indicar el nombre exacto del grupo de WSUS al que deseas que pertenezcan esos equipos. Luego, limitando el ámbito de esa GPO a un grupo de seguridad concreto de Active Directory, consigues que solo determinadas máquinas entren en ese anillo de despliegue.

Esta combinación de grupos en WSUS y directivas en el dominio te permite organizar un esquema de anillos de actualización muy preciso, por ejemplo: un anillo 2 para usuarios piloto, un anillo 3 para el departamento de TI, y un anillo 4 para la mayoría de los usuarios de negocio, cada cual con sus tiempos y estrategias de aprobación.

Aprobación de actualizaciones: automática y manual

Una vez que WSUS se ha sincronizado con Microsoft Update y tienes a tus equipos organizados en grupos, toca decidir cómo se van a aprobar las actualizaciones. Aquí tienes dos grandes enfoques: automatizar la aprobación para ciertos tipos de parches o grupos, o hacerlo de forma manual y más controlada.

Si quieres que determinados grupos, como un anillo de TI interna, reciban actualizaciones de características o de seguridad de forma automática en cuanto estén disponibles, puedes crear reglas de aprobación automática. Desde la consola de WSUS, ve a “Opciones → Aprobaciones automáticas” y añade una regla nueva.

En la creación de la regla, puedes indicar que se aplique cuando la actualización pertenezca a una clasificación concreta (por ejemplo solo “Actualizaciones” o “Actualizaciones críticas”), que sea para un producto específico (como Windows 10 o Windows 11), y que se dirija a un grupo de equipos determinado (por ejemplo “Ring 3 TI amplia”). Incluso puedes fijar una fecha límite automática, como “7 días después de la aprobación a las 3:00”, para forzar la instalación dentro de un margen de tiempo.

En otros casos te puede interesar un control totalmente manual, sobre todo cuando hablamos de actualizaciones de características grandes o parches delicados que conviene probar antes. Para ello, puedes crear vistas personalizadas en la sección “Actualizaciones” de la consola, filtrando por clasificación y producto, como por ejemplo una vista “Todas las actualizaciones Windows 10”.

Desde esa vista, cuando veas una actualización que quieres desplegar, haz clic derecho y elige “Aprobar”. En el cuadro de aprobación, selecciona el grupo de destino (por ejemplo “Ring 4 Usuarios empresa”) y marca el estado “Aprobada para su instalación”. Si lo deseas puedes fijar una fecha límite específica para que Windows Update en los clientes no posponga indefinidamente la instalación.

En determinados parches, verás también el cuadro de términos de licencia de software de Microsoft, que deberás aceptar antes de que WSUS pueda distribuirlos. Una vez confirmado todo, el servidor comenzará a servir la actualización a los equipos del grupo correspondiente, respetando la configuración local de Windows Update que hayas fijado mediante GPO.

Integración de WSUS con Active Directory y políticas avanzadas

Cuando utilizas WSUS en un dominio de Active Directory ya existente, la lógica habitual es aprovechar las GPO para automatizar al máximo el alta de clientes, la asignación de grupos y los horarios de instalación. Esto te permite gestionar cientos o miles de equipos sin tener que tocarlos uno a uno.

Además de las políticas básicas para configurar las actualizaciones automáticas y la ubicación del servicio Microsoft Update en la intranet, suele ser buena idea definir ajustes como evitar reinicios automáticos tras la instalación en equipos de usuario, o controlar si se permite que los usuarios instalen manualmente actualizaciones opcionales.

Una práctica común es crear GPO específicas por tipo de grupo de equipos (por ejemplo, una para grupos de servidores, otra para ordenadores de oficina, otra para portátiles) y vincularlas a las unidades organizativas correspondientes. Dentro de esas directivas, además de las opciones de WSUS, puedes ajustar ventanas de mantenimiento, horas activas y otras políticas de Windows Update que mejoren la experiencia del usuario.

Combinando grupos de seguridad de Active Directory con la política de “Habilitar la selección de destino del lado cliente”, puedes conseguir que los equipos se asignen automáticamente a los grupos de WSUS que has creado para tus anillos, de manera que no tengas que moverlos desde la consola del servidor salvo casos puntuales.

Una vez aplicadas las GPO y pasado el tiempo necesario para que las políticas se repliquen, verás cómo los equipos empiezan a aparecer y organizarse en WSUS de forma automática, y podrás concentrarte en aprobar actualizaciones, revisar informes y ajustar tu estrategia de parches en lugar de gestionar alta de equipos manualmente.

Tareas habituales de administración y buenas prácticas en WSUS

Montar WSUS es solo el principio: para que el sistema siga funcionando fino con el paso del tiempo hay que realizar ciertas tareas de administración y mantenimiento. De lo contrario, acabarás con una base de datos enorme, sincronizaciones lentas y un servidor que responde a trompicones.

Entre las tareas más frecuentes están la sincronización inicial y las posteriores sincronizaciones automáticas o manuales, revisar con regularidad qué actualizaciones están aprobadas, rechazar aquellas que ya no necesites (por ejemplo, para sistemas operativos retirados) y depurar contenido obsoleto.

WSUS dispone de informes sobre actualizaciones, equipos y sincronizaciones que te permiten comprobar el grado de cumplimiento, detectar máquinas que no se actualizan o identificar parches que dan error de instalación en muchos equipos. Para mejorar esta parte puedes instalar herramientas adicionales como el componente Report Viewer, que amplía la generación de informes avanzados.

Otra buena práctica es diseñar un plan de almacenamiento y limpieza: limitar los idiomas y productos a lo que realmente se usa, suprimir actualizaciones superadas por otras más recientes y revisar de vez en cuando el espacio disponible en el disco dedicado a WSUS. Esto mantiene el tamaño de la base de datos y el repositorio de contenido bajo control.

En entornos con muchos equipos y productos diversos, WSUS se convierte en una pieza clave de la estrategia de seguridad y mantenimiento. Al centralizar la distribución de parches, puedes reducir la superficie de ataque, minimizar problemas derivados de actualizaciones defectuosas y garantizar que todos los sistemas se mantienen en un estado razonablemente homogéneo.

Con todo lo anterior bien ajustado, un servidor de actualizaciones WSUS correctamente dimensionado y administrado se transforma en una herramienta muy potente para mantener al día la infraestructura Windows corporativa, permitiendo aprobar o rechazar parches con criterio, probar primero en grupos piloto y escalar de forma controlada al resto de la organización, incluso en escenarios complejos con varias sedes y enlaces limitados.