Planificacion Seguridad Servicios Windows Windows 2012 Windows 2012 R2

Migrar servicio WSUS desde Windows Server 2003 a Windows Server 2012 R2. Fase 2: Ejecución.

Buenos dias, por fin es viernes.

Hoy vamos a ver el paso a paso y el resultado de la migración de nuestro servicio WSUS.

Ya vimos en el post anterior denominado «Planificación» tanto los prerequisitos necesarios como los pasos que vamos a seguir, asi que  …….  Rock & Roll.

1 Usuarios y Grupos Locales.

Recordamos que el servicio WSUS trabaja con usuarios/grupos locales así que tendremos que tenerlos en cuenta en la migración.

En nuestro caso todo lo gestiona un grupo de seguridad del Grupo de Atención al Usuario, tanto los Administradores como los Iformes. (tomamos nota).

Upgradewsus000003

2 Backup de la base de datos de WSUS. 

Desde nuestro Microsoft SQL Server Management Studio Express del servidor origen, realizaremos la copia de seguridad. Seguiremos los siguientes pasos:

  1. Nos conectamos a la instancia del servidor en el Explorador de Objetos de nuestra consola.
  2. Expandimos la bases de datos (DDBB) y seleccionamos la DDBB denominada SUSDB (como puede verse en la captura).
  3. Botón derecho, seleccionaremos Tareas (Tasks) y despues Back UP, donde tendremos que seleccionar los siguientes parámetros para nuestro backup: Base de Datos, tipo, que será Completo y ruta donde almacenar nuestra copia de seguridad.
  4. Pulsaremos OK y ya tendremos nuestra copia de seguridad.

Upgradewsus000008

3 Instalación Microsoft SQL Express & Management Studio en el servidor destino. 

Como ya hemos comentado, lo primero es tener instalado Microsoft SQL Express & Management Studio, asi que me pongo manos a la obra. Ya os facilité los diferentes links de descarrgas de las versiones así que os dejo un par de capturas de la instalación, el Wizard:

Upgradewsus000006

Y seleccionaremos las herramientas de gestión:

Upgradewsus000007

Os dejo abajo un link mucho mas exhaustivo y detallado de cómo instalar SQL Express Management Studio en las lecturas recomendadas.

Por cierto, al realizar la instalación de la versión 2012, probablemente os aparezca el siguiente error si no teneis instalado el .Net Framework 3.5

Upgradewsus00000

Lo solucionaremos como vimos hace poco en este post «No puedo instalar .Net Framework 3.5 en Windows Server 2012 y Windows Server 2012 R2. Una solución quiero!»

 

Upgradewsus000011B

4 Restauración de la base de datos de WSUS en el servidor destino. 

Pasos a seguir:

  1. Abrimos Microsoft SQL Management Studio y lo conectamos a la instancia local instalada en el punto anterior.
  2. Expandimos las bases de datos.
  3. Botón derecho sobre bases de datos y seleccionamos «Restaurar base de datos».
  4. Seleccioanremos l
  5. Se realiza la restauración.
  6. Chin pun, finiquito.

Upgradewsus000012

Insisito, fácil

Upgradewsus000014

5 Instalación del Rol WSUS en el servidor destino.

Necesitaremos las siguientes características para la instalación del rol:

  • .NET Framework. (ya la hemos instalado en puntos anteriores).Upgradewsus000015
  • Background Intelligent Transfer Service (BITS) 2.0.
  • Microsoft Internet Information Services (IIS).

Podemos instalarlas via PowerShell (PS) con el siguiente cmdlet:

Import-Module ServerManager

Add-WindowsFeature Bitstransfer IISUpgradewsus000017

O desde el Server Manager, al libre albedrío.

Despues, continuaríamos con los siguientes pasos:

  1. ServerManager.
  2. Añadir Roles y Características, donde seleccionamos WSUS.
  3. Automáticamente nos aparecen los Roles y las Características necesarias para la instalación de WSUS, que os resumo

Upgradewsus000018bUpgradewsus000020b

4. Configuración inicial para la instalación del servicio WSUS.

5. Seleccionaremos, en nuestro caso, los siguientes roles:

6. Seleccionaremos la ruta donde se almacenarán las actualizaciones:

Upgradewsus000021

7. Apuntamos la conexión a la base de datos que acabamos de restaurar:

Upgradewsus00002

Se lanza la instalación de todos estos roles y características. Si os fijais, ya nos indica que existen unas tareas que tendremos que configurar una vez se haya terminado dicha instalación:

Upgradewsus000022

Una vez terminada la instalación, con o sin reinicio, realizamos las tareas post-despliegue:

Upgradewsus000023

8. Conectaremos la base de datos y el almacenamiento para las descargas del servicio WSUS:

Upgradewsus000026

Comprobaremos que todo ha sido correcto:

Upgradewsus000027

9. Se lanza el asistente de configuración del servicio WSUS (como si fuese la primera vez pero no lo es)

Upgradewsus000028

Siguiente:

Upgradewsus000029

10. Elegiremos de dónde nos vamos a descargar los parches (al igual que el Servidor origen).

Upgradewsus000030

11. Comprobaremos credenciales, si son necesarias, para el acceso a internet:

Upgradewsus000031

Y ya estaría instalado el servicio

7 Cambio de WSUS server Identity

Como ya comentamos, nuestra intención es que los usuarios finales, ya sean servidores o clientes, no se vean afectados por este cambio. Ya sabemos que el servicio WSUS le asigna a cada servidor un GUID distinto al de AD y trabaja con él, lo que tenemos que hacer es que al cambiar de servidor y base de datos, el cliente final no se vea afectado perdiendo la conexión con el servicio WSUS.

1. En el nuevo servidor abriremos consola de PowerShell con privilegios de administrador.

2. Importaremos el módulo de WSUS.

2. Ejecutaremos el siguiente script:

$updateServer = get-wsusserver

$config = $updateServer.GetConfiguration()

$config.ServerId = [System.Guid]::NewGuid()

$config.Save()

Todo de una vez, para verlo mas claro:

Upgradewsus000032

4. Tan pronto la identidad haya cambiado, ejecutaremos el siguiente comando para generar una nueva clave de encriptación: WSUSUTIL.exe Postinstall

 

8 Usuarios y Grupos Locales.

Recordamos los usuarios que pertenecían a los gurpos de gestión del servicio WSUS y los introducimos desde el Server Manager:

Upgradewsus000061

9 Apuntar a todos los clientes a la nueva dirección del servidor WSUS.

Desde la consola gpmc.msc de gestión de Políticas de Grupo de Directorio Activo actualizaremos el Servidor que realiza las tareas de WSUS (Specify intranet Microsoft update service policy) en cada una de las GPOs de actualización de parches que existan:

Upgradewsus000034

Luego, para forzar a los clientes a detectar el nuevo servidor destino, desde una consola podemos ejecutar los siguientes comandos:

  • wuauclt.exe /resetauthorization /detectnow
  • GPUpdate /Force.

 

10 Verificar la configuración del servidor destino.

Comprobarermos el correcto funcionamiento de nuestro nuevo servidor. ¿cómo? realizando las siguientes comprobaciones desde la consola de gestión del servicio WSUS:

  • Expandiremos Equipos y verificaremos las últimas conexiones o reportes de cada equipo, si empiezan a actualizarse es que todo está correcto.

Upgradewsus000062

  • Realizaremos una sincronización con Microsoft Windows Update y verificaremos si es correcta.

Upgradewsus0000101

  • Verificar si existen servidores réplica a los que nuestro nuevo servidor distribuye parches ya actualizaciones de seguridad:

Upgradewsus000063

11 Verificación de la funcionalidad del servicio WSUS en los clientes.

Podremos comprobar el funcionamiento correcto del servicio en el log que deja WSUS en cada cliente en la ruta%WinDir%\WindowsUpdate.log

 

Lecturas recomendadas:

Lo se, vaya ladrillo, pero ya sabeis que la realidad supera la ficción y la planificación.

Buen fin de semana.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *