Guía completa para configurar WSUS (Windows Server Update Services) paso a paso

Última actualización:
Autor:
  • WSUS permite controlar y distribuir actualizaciones de Windows desde un único servidor
  • Su implementación requiere una correcta instalación del rol, configuración del cortafuegos y de los clientes
  • Mediante GPOs se puede automatizar el proceso de actualización en todos los equipos del dominio
  • El uso de SSL y certificados mejora la seguridad de las conexiones WSUS

configurar WSUS Windows Server Update Services

Configurar correctamente WSUS (Windows Server Update Services) es clave para mantener un entorno de trabajo seguro y eficiente en empresas que utilizan sistemas Windows. Este servicio permite centralizar la gestión de las actualizaciones de seguridad y funcionales del sistema operativo, reduciendo el tráfico de red y mejorando el control que tiene el administrador sobre el parque de dispositivos.

A lo largo de esta guía completa vamos a repasar todos los pasos que debes seguir para instalar y configurar WSUS desde cero. Verás desde la preparación del servidor hasta la configuración GPO que deben tener los equipos cliente, pasando por los ajustes de red, puertos, uso de proxy o la implementación de certificados SSL para mejorar la seguridad.

Instalación del rol de WSUS en el servidor

wsu

El primer paso para comenzar con WSUS es instalar el rol correspondiente en el servidor que vas a usar como centro de actualizaciones. Este servidor debe estar actualizado, con roles de red correctamente configurados y preferiblemente ser parte del dominio de Active Directory.

Desde el Administrador del servidor, accede a la opción Agregar roles y características. En el asistente que se abre, selecciona Instalación basada en roles o características y elige el servidor de destino correspondiente. A continuación, marca la casilla de Windows Server Update Services.

El asistente te pedirá también agregar varias características necesarias. Confirma las sugerencias por defecto. En el paso de Ubicación de contenido, debes indicar una ruta local donde WSUS almacenará las actualizaciones descargadas. Se recomienda que esta carpeta esté en una unidad con suficiente espacio libre (mínimo 40 GB, preferiblemente más de 150 GB si manejarás varios equipos). Además, es importante asegurarse de que las actualizaciones se instalen de manera efectiva para evitar problemas, lo que puedes consultar en este enlace.

Después, pasarás por la instalación de IIS (Internet Information Services), que es obligatorio para el funcionamiento del entorno web de WSUS. No cambies sus configuraciones a menos que tengas una estructura personalizada. Finalmente, revisa las selecciones, pulsa Instalar y espera a que el proceso finalice.

Una vez completada la instalación, ejecuta las tareas posteriores desde la ventana de progreso. Esto prepara el entorno para iniciar la configuración inicial desde la consola de administración de WSUS.

  Guía completa para importar y exportar máquinas virtuales en Hyper-V

Configuración inicial de WSUS

wsu

Después de instalar el rol, el siguiente paso es abrir el asistente de configuración inicial de WSUS. Este asistente guía al administrador para definir desde dónde se obtendrán las actualizaciones, qué idiomas, productos y clasificaciones descargar, y cómo se realizará la sincronización.

Al iniciarlo, revisa la introducción y, si lo deseas, escoge participar en el Programa de mejora de Microsoft Update. Después, deberás elegir entre sincronizar desde Microsoft Update o desde otro servidor WSUS. Esta segunda opción es útil en entornos grandes con múltiples sedes y servidores intermedios.

En caso de que tu red corporativa utilice un proxy para salir a internet, configurar esa opción es obligatorio. Indica el host y el puerto del proxy (por defecto 80), e introduce credenciales si fueran necesarias. WSUS es compatible con autenticación básica y autenticación integrada de Windows.

Tras conectar con la fuente de actualizaciones, elige los idiomas que deseas incluir. Reducir el número de idiomas permite ahorrar espacio y agilizar las sincronizaciones. Luego selecciona los productos de Microsoft que deseas mantener actualizados: puede ser Windows 10, Windows Server 2019, Office, etc.

En el paso siguiente, marca las clasificaciones de actualizaciones que WSUS deberá gestionar. Lo habitual es seleccionar actualizaciones críticas, definiciones de seguridad y mejoras de software. Si estás experimentando problemas con el proceso de actualización, consulta sobre las posibles soluciones en esta guía.

Finalmente, podrás elegir si sincronizar manualmente o de forma automática. Si decides automatizarlo, define cuántas veces al día y a qué hora se realizarán las sincronizaciones. Puedes hacer hasta 24 sincronizaciones diarias.

Al finalizar, puedes iniciar la sincronización inicial directamente desde el asistente. Este paso descargará los metadatos iniciales y preparará el servidor para operar.

Configuración de red, puertos y acceso externo

Para que WSUS funcione correctamente tanto con servidores de actualización como con equipos cliente, es imperativo abrir los puertos necesarios en los distintos firewalls y routers que pueda haber entre los dispositivos.

Para conectarse con Microsoft Update, el servidor WSUS necesita salida en los puertos 80 (HTTP) y 443 (HTTPS). Si tu organización utiliza reglas estrictas de salida, asegúrate de permitir el acceso a dominios como:

  • windowsupdate.microsoft.com
  • *.update.microsoft.com
  • download.microsoft.com
  • *.delivery.mp.microsoft.com

Si tienes múltiples servidores WSUS y estás configurando una cadena jerárquica, los servidores secundarios deberán poder acceder al principal a través de los puertos 8530 (HTTP) y 8531 (HTTPS).

Los equipos cliente también necesitan comunicación hacia el servidor WSUS por estos mismos puertos. Asegúrate de que el firewall del servidor permite conexiones entrantes y que no haya restricciones a nivel de red local. A veces, los usuarios pueden experimentar problemas de conexión que pueden estar relacionados con la configuración de actualizaciones, por lo que es recomendable revisar este artículo.

  WF.msc: Qué es, para qué sirve y cómo dominar el firewall avanzado en Windows

Si la empresa usa un servidor proxy de salida, este debe ser compatible con HTTP y HTTPS, y tener permisos adecuados para gestionar tráfico WSUS. Puedes usar un solo proxy o dos separados por protocolo.

Implementar seguridad con certificados y SSL

WSUS permite proteger las comunicaciones mediante el protocolo SSL (HTTPS), que cifra el tráfico para evitar ataques y fugas de información. Para habilitarlo, necesitas emitir un certificado válido desde una CA (Autoridad Certificadora) interna o externa.

Una vez tengas el certificado, debes configurarlo en el servicio web IIS del servidor WSUS. Asegúrate de habilitar HTTPS solo en las carpetas virtuales necesarias para garantizar la compatibilidad:

  • SimpleAuthWebService
  • DSSAuthWebService
  • ServerSyncWebService
  • APIremoting30
  • ClientWebService

Las carpetas que contienen contenido descargable (como updates o reporting) no necesitan SSL. También es fundamental configurar el número de puerto HTTPS como 8531, y el HTTP como 8530, o usar pares de puertos adyacentes si decides personalizarlos.

Después de aplicar los cambios en IIS, abre el símbolo del sistema como administrador y ejecuta el comando:

wsusutil configuressl NOMBRE_SERVIDOR

Este paso finaliza la configuración segura del servidor WSUS. Recuerda que también debes importar el certificado en todos los equipos cliente como entidad raíz de confianza para evitar errores de confianza SSL.

Creación y gestión de grupos de equipos WSUS

WSUS permite clasificar los dispositivos cliente en grupos personalizados para poder controlar qué tipo de actualizaciones recibe cada conjunto de máquinas. Por defecto, existen dos grupos: Todos los equipos y Equipos sin asignar.

Desde la consola WSUS, puedes crear nuevos grupos (por ejemplo, “Servidores”, “Oficina A”, etc.) e ir asignando cada equipo según criterio organizativo. Esta segmentación es útil para aprobar actualizaciones por fases y evitar posibles errores en implementaciones masivas. Además, si necesitas resolver bloqueos en actualizaciones, consulta esta guía.

Además, puedes optar por dos métodos de asignación:

  • Lado servidor: manualmente desde la consola WSUS.
  • Lado cliente: usando directivas de grupo que, al aplicarse, colocan cada equipo en el grupo correspondiente automáticamente.

Configurar los clientes para recibir actualizaciones desde WSUS

Por defecto, los equipos con Windows descargan sus actualizaciones desde internet, usando el servicio de Windows Update. Para que redirijan sus peticiones al servidor WSUS, debemos configurar las GPO adecuadas.

  Guía definitiva para instalar y configurar Vagrant en Hyper-V en Windows

Si tienes un entorno con Active Directory, esta tarea es muy sencilla. Simplemente crea una nueva GPO (se recomienda que sea exclusiva para WSUS) y edítala desde el Editor de directivas. Navega hasta:

Configuración del equipo > Plantillas administrativas > Componentes de Windows > Windows Update

Dentro de esa ruta, activa las siguientes políticas:

  • Configurar actualizaciones automáticas: habilita la descarga e instalación según la opción deseada (por ejemplo, automática en horario programado).
  • Especificar ubicación del servicio de Microsoft Update en intranet: introduce la URL o IP del servidor WSUS añadiendo el puerto 8530 si usas HTTP, o 8531 si estás en HTTPS.
  • Habilitar destinatarios del lado cliente: pide el nombre del grupo WSUS al que pertenece el equipo (debe coincidir exactamente con el nombre configurado en la consola WSUS).

Aplica la GPO en la OU correspondiente. Usa el comando gpupdate /force para aplicar los cambios inmediatamente o reinicia los equipos clientes. Luego, ejecuta wuauclt /detectnow para forzar la detección de actualizaciones.

Comprobación del estado y gestión de actualizaciones

Pasados unos 20-30 minutos, los equipos cliente empezarán a aparecer en la consola WSUS. Aquellos correctamente configurados mostrarán su nombre, sistema operativo, grupo y estado de actualización.

Desde aquí puedes aprobar o denegar actualizaciones de forma manual, ver estadísticas de cumplimiento, exportar informes o configurar notificaciones por correo electrónico. En ocasiones, pueden surgir problemas de configuración, por lo que es aconsejable revisar aspectos en este enlace.

Es recomendable establecer una política interna donde ciertas máquinas (como los servidores de test o PCs piloto) reciban las actualizaciones antes que el resto, lo que permite detectar incompatibilidades o errores antes de desplegar masivamente.

La implementación y configuración de WSUS no es excesivamente complicada, pero sí requiere prestar atención a cada detalle: desde la instalación, configuración del proxy, sincronización de idiomas y productos, pasos de seguridad con certificados SSL, hasta el despliegue efectivo de políticas de grupo. Si todo se ha hecho correctamente, WSUS te brindará un entorno mucho más controlado, seguro y eficiente en cuanto a actualizaciones se refiere.

Artículo relacionado:
Windows Update no puede detectar las actualizaciones en este momento porque no hay ninguna

Deja un comentario