• Artículo

System Center

Nuevas herramientas de administración de actualizaciones de software

Steve Rachui

 

Resumen:

  • Administración de actualizaciones de forma tradicional
  • El nuevo proceso en SCCM 2007
  • Configuración y flexibilidad personalizadas
  • Programación de actualizaciones con precisión

La administración de las actualizaciones de software se introdujo por primera vez en Systems Management Server (SMS) 2.0 con las herramientas de detección de seguridad y actualizaciones de Office. Estas herramientas han experimentado numerosas revisiones: la herramienta ampliada de

de inventario de actualizaciones de seguridad se ha revisado para aceptar la digitalización de productos adicionales; la herramienta de inventario Inventory Tool for Microsoft ® Updates, para combinar las herramientas de seguridad y de Office en un solo producto; e Inventory Tool para actualizaciones de Dell. La herramienta de publicación de actualizaciones personalizadas también se introdujo para admitir la revisión de productos de terceros. Inventory Tool for Microsoft Updates (ITMU) ha pasado por tres revisiones. Cada una de estas herramientas tiene sus propios catálogos e infraestructura de detección así como requisitos y desafíos específicos. Con el tiempo, los catálogos para estos sistemas se hicieron bastante grandes; de hecho, se hicieron tan grandes que las actualizaciones más antiguas se eliminaron y se sustituyeron por otras nuevas debido a las restricciones de tamaño.

Con la cantidad de opciones existentes, era un reto implementar actualizaciones con estas herramientas. Es evidente que existía la necesidad de simplificar el proceso. La siguiente versión de SMS, System Center Configuration Manager 2007 (SCCM), da grandes pasos en esa dirección. Con SCCM, el mecanismo de actualización de software se crea para garantizar que los resultados finales sean mejores. Con un enfoque completamente diferente de las operaciones de administración de actualizaciones, los viejos catálogos y motores de análisis son cosa del pasado. El estado de las actualizaciones, que normalmente se detallaba mediante inventario de hardware, usa un mecanismo nuevo (el mensaje de estado) para asegurar una mejor determinación del cumplimiento, así como su aplicación en cada cliente. Podrá comprobar que el nuevo de la administración de actualizaciones en SCCM 2007 representa una mejora considerable.

SCCM 2007 presenta dos componentes nuevos, que trataremos antes de adentrarnos en la funcionalidad de administración de actualizaciones.

Software Update Point (SUP) Como ya se ha mencionado, ya no existen catálogos en SCCM. En su lugar, SCCM trabaja directamente con un servidor de Windows Server® Update Services (WSUS) dedicado, que actuará como punto de actualización de software (SUP) para permitir descargas de metadatos y detección de clientes. En SCCM, las características de entrega binaria de actualizaciones del WSUS están deshabilitadas para centrarse en el proceso de detección. Con este ajuste, WSUS se adapta para administrar la detección de hasta 25.000 clientes por SUP en un servidor dedicado. SCCM permite también configurar el SUP detrás de un clúster de equilibrio de carga de red (NLB) para aumentar la disponibilidad y la escala y habilitar hasta cuatro SUP para un total de 100.000 posibles clientes por sitio principal.

Elementos de configuración (CI) Un elemento de configuración es un enfoque nuevo que se usa en SCCM para definir configuraciones específicas que deben existir en los sistemas de destino. La administración de actualizaciones de SCCM ahora usa esta infraestructura. Las actualizaciones ya no deben considerarse en términos de distribución normal de software, aunque todavía existen similitudes. Ahora, las actualizaciones residen en su propio nodo de la consola de administrador y usan este mecanismo completamente único de CI. En el cliente, las actualizaciones se descargan de forma selectiva y se almacenan de forma local.

Configuración de la administración de actualizaciones

La configuración de la administración de actualizaciones afecta a tres áreas generales: habilitar el agente de cliente, configurar el SUP y configurar las actualizaciones para la distribución.

El agente del cliente de SCCM (tal y como se muestra en la figura 1) es parecido a otros agentes de cliente, y se configura en el mismo nodo de la consola administrativa. La página de propiedades del nodo Software Updates Client Agents es donde los administradores habilitan este agente y configuran las opciones de instalación de actualizaciones y de reevaluación de implementación. La opción para habilitar el agente de cliente para actualizaciones de software afecta a todo el sitio; es decir, que todos los clientes de SCCM asignados al sitio donde está activada esta función tendrán este rol habilitado. Si algún sistema de un entorno no debe tener esta función habilitada, puede invalidar la configuración para todo el sitio y usar la configuración en función de cada sistema mediante las opciones de invalidación de directiva local.

Figura 1 Propiedades del agente de cliente

Figura 1** Propiedades del agente de cliente **

Estas opciones también permiten al administrador especificar cómo administrar los plazos de actualización. Imagine, por ejemplo, que tiene cuatro actualizaciones pendientes de instalación, una de las cuales (la actualización A) tiene una fecha límite anterior por un día a la de las otras tres. Pero suponga que es preferible instalar las cuatro actualizaciones al mismo tiempo, incluso aquellas cuya fecha límite no se ha alcanzado todavía. Puede hacerlo desde esta ficha, mediante la opción de aplicar todas las implementaciones obligatorias. Es más, estas opciones permiten a los administradores especificar que deben suprimirse todas las notificaciones y las indicaciones visibles del proceso de actualización. Estas opciones se muestran en la figura 1.

Las opciones de la ficha Deployment Re-evaluation permiten a los administradores programar cuándo se reevaluarán las implementaciones. Los clientes de SCCM se evaluarán según esta programación, para consultar si las actualizaciones que se han instalado anteriormente todavía son necesarias y, si faltan, volverlas a instalar.

Configuración del SUP

Tal y como se ha explicado anteriormente, el SUP es el componente responsable de descargar toda la información de actualización disponible en una programación y para interactuar directamente con clientes de SCCM para realizar comprobaciones de cumplimiento a partir de la base de datos de actualizaciones. Antes de configurar un SUP, debe instalarse un WSUS 3.0 o un servidor más grande, ya que el proceso del SUP no instala realmente WSUS, sólo lo configura para el uso de SCCM. Además, la consola de administrador de WSUS debe estar instalada en el servidor del sitio para permitir la conectividad con el servidor WSUS. Cuando SCCM sustituye al servidor WSUS para la función de SUP, el servidor WSUS queda dedicado a SCCM y sólo los clientes de éste lo pueden usar.

El SUP es una nueva función del sistema de sitio en SCCM. Para empezar la configuración, navegue hasta el nodo de sistemas del sitio en la consola de administrador y añada un nuevo sistema del sitio. El paso siguiente es seleccionar Software Update Point y seguir el asistente, que recogerá la información siguiente:

  • Configuración de proxy
  • Información de puerto y SSL
  • La forma en que este SUP debe sincronizar las actualizaciones: desde Microsoft Update, mediante un SUP precedente o manualmente
  • Programación de sincronización
  • Actualice las clasificaciones de interés, como las actualizaciones críticas, los controladores, las actualizaciones de seguridad, los conjuntos de actualizaciones, etc.
  • Actualice los productos disponibles: Windows® Exchange, SQL Server™, etc. (tal y como muestra la figura 2)
  • Idioma

Figura 2 Configuración del producto en el asistente de función del sitio

Figura 2** Configuración del producto en el asistente de función del sitio **(Hacer clic en la imagen para ampliarla)

Una vez completado el asistente, se instalará el SUP y se ajustarán las configuraciones internas para que sean compatibles con los requisitos de SCCM. Se recomienda confirmar que la instalación se ha realizado correctamente revisando el archivo SUPSetup.log que se encuentra en la carpeta de registros donde se ha instalado SCCM.

Una vez instalado el SUP, debe realizarse la sincronización para que el SUP recupere las actualizaciones y las almacene en la base de datos de SUP y SCCM. La sincronización puede ejecutarse manualmente o en una programación configurada cuando se ejecuta el asistente de instalación de SUP. La sincronización de actualización manual puede inicializarse a tiempo, y es recomendable asegurar que la sincronización se realice después de instalar el SUP por primera vez. La figura 3 muestra cómo hacerlo.

Figura 3 Ejecutar la sincronización manualmente

Figura 3** Ejecutar la sincronización manualmente **(Hacer clic en la imagen para ampliarla)

El proceso de sincronización consta de dos pasos. Primero, el servidor SUP (WSUS) se configura para ajustarse a la configuración de SCCM y las actualizaciones configuradas se sincronizan con el propio servidor SUP (WSUS). A continuación, la información de actualización del SUP (WSUS) se sincroniza en la base de datos de SCCM y pasa a estar disponible para la implementación de la actualización. Este segundo paso crea los CI necesarios (uno para cada actualización de software) en la base de datos de SCCM; este proceso puede tardar bastante tiempo. La sincronización inicial puede llegar a durar varias horas. El proceso de sincronización puede revisarse en el registro WSyncMgr; se muestra un extracto de este registro en las figuras 4 y 5. Concretamente, la figura 4 muestra el proceso de sincronización que solicita que el servidor SUP (WSUS) actualice su lista de actualizaciones desde Microsoft Update. La figura 5 muestra el inicio del proceso para sincronizar el inventario de SUP con la base de datos de SCCM.

Figura 4 Sincronización de la lista de actualizaciones

Figura 4** Sincronización de la lista de actualizaciones **(Hacer clic en la imagen para ampliarla)

Figura 5 Sincronizar las actualizaciones como CI en la base de datos de SCCM

Figura 5** Sincronizar las actualizaciones como CI en la base de datos de SCCM **(Hacer clic en la imagen para ampliarla)

Una vez que un servidor de WSUS se ha configurado como un SUP, puede llevarse a cabo cualquier acción de administración necesaria mediante la consola del administrador de SCCM. Si los cambios de configuración se realizan directamente en el servidor de WSUS, es posible que SCCM resulte afectado de forma negativa. Además, estas configuraciones se restablecerán cada hora, cuando SCCM compruebe su SUP para garantizar que las configuraciones sean correctas.

En una jerarquía de varios niveles, necesita tener por lo menos un SUP en cada sitio principal en el que se vayan a implementar actualizaciones de software. Estos SUP trabajarán juntos en una jerarquía en la que sólo un SUP, que normalmente es que se encuentra en el lugar más alto de la jerarquía, se sincronizará con Microsoft Updates. Los SUP restantes se sincronizarán desde un socio de réplica de SUP configurado precedente.

Configuración de la implementación de actualizaciones

Una vez configurado el agente de cliente y configurado y sincronizado el SUP, estará listo para preparar la implementación. Primero, examinemos los diversos nodos de la IU de administración de SCCM. Básicamente, hay cinco nodos principales de interés: repositorio de actualización, listas de actualización, plantillas de implementación, administración de implementaciones y paquetes de implementación.

El repositorio de actualización es donde se almacenan todas las actualizaciones sincronizadas y donde están disponibles para su implementación. Las actualizaciones pueden implementarse seleccionando una o más actualizaciones e iniciando el Asistente para implementar actualizaciones de software, que realiza dos tareas: configurar la plantilla de implementación (o seleccionar alguna ya existente) y configurar la implementación. Explicaré rápidamente en qué consiste este proceso. La lista de actualizaciones puede llegar a ser bastante grande, y la opción de buscar en carpetas, una característica nueva de SCCM 2007, puede ayudarle a encontrar actualizaciones de interés basándose en 28 criterios relacionados con las actualizaciones, como gravedad, clasificación, producto, fecha de lanzamiento o suplantación.

Las listas de actualizaciones permiten a los administradores crear un conjunto fijo de actualizaciones que administrar. Pueden usarse para la realización de informes de cumplimiento, la creación de implementaciones y para delegar las funciones de administración. Una vez creadas, estas listas de actualizaciones se replican en la jerarquía para volver a usarse en sitios secundarios, como hacen los paquetes o los anuncios. Cuando se replican, las listas de actualizaciones no están vinculadas a ninguna implementación particular; simplemente son listas de actualizaciones. Una vez completada y replicada la lista, las actualizaciones que contiene pueden implementarse como una unidad seleccionando la lista y eligiendo la implementación de actualizaciones.

Plantillas de implementación

Las plantillas de implementación contienen la configuración habitual (como, por ejemplo, la información sobre la programación y la colección de destino) usada durante la implementación de una actualización de software, y se han desarrollado para disminuir el tiempo administrativo implicado en la implementación de actualizaciones. Las plantillas pueden crearse para reaccionar ante varias condiciones de implementación en un entorno, y para usarlas en el Asistente para la implementación simplemente hay que seleccionar la plantilla apropiada. Las opciones rellenadas previamente por la plantilla de implementación incluyen la colección objetivo, las opciones de fecha límite de actualización (tal y como se muestra en la figura 6), las opciones de reinicio y las ventanas de mantenimiento. Cuando hay muchas actualizaciones en una implementación, puede resultar afectado el rendimiento del sistema de destino, ya que pueden coincidir las fechas límite de todas las actualizaciones. Además, hay que tener en cuenta que la configuración de la plantilla se aplica a la implementación cuando ésta se crea. Dicha configuración seguirá aplicándose a la implementación a menos que se modifique manualmente dentro de ésta. Es importante tener en cuenta que modificar las opciones de la plantilla más tarde no hará que se cambien las opciones modificadas en las implementaciones ya existentes que usan la plantilla modificada.

Figura 6 Definición de programaciones de implementación en el asistente

Figura 6** Definición de programaciones de implementación en el asistente **(Hacer clic en la imagen para ampliarla)

Las opciones de la figura 6 pueden configurarse al ejecutar el Asistente para plantilla de implementación o el Asistente para implementar actualizaciones de software (si se está creando una plantilla nueva). Tenga en cuenta que la opción de duración en esta pantalla está establecida en 0. El valor predeterminado de esta opción es de dos semanas. Si esta opción está establecida en un valor distinto de 0, existirá una demora en el cliente de una duración equivalente a la duración de dicho valor, como máximo antes de que se implementen las actualizaciones. En el tiempo que transcurre entre que la implementación está disponible y vence la fecha límite configurada, la actualización estará disponible para su instalación manual por parte de usuarios finales para las instalaciones programadas antes de la fecha límite. Una vez alcanzada la fecha límite, se aplicará y se instalará la actualización. Si se producen retrasos en la implementación de una actualización, compruebe que esta opción esté configurada correctamente en función de sus necesidades.

Administración de la implementación

Después de configurar una implementación de actualización de software, puede obtener acceso a ella desde el nodo de administración de implementaciones. Tenga en cuenta que una implementación de software configurada no es lo mismo que un paquete de implementación. Las opciones relacionadas con la implementación, así como las actualizaciones incluidas en la implementación, pueden verse y manipularse en este nodo, pero no el propio paquete. Las opciones de implementación que se encuentran aquí reflejan las opciones que provienen del Asistente para actualizaciones de software, así como las que se heredan de la plantilla elegida.

Paquetes de implementación

Los paquetes de implementación se parecen a los paquetes SMS estándar en que definen las características específicas de la actualización: directorio de origen, punto de distribución, etc. Los paquetes de implementación son independientes de la implementación usada para distribuir las actualizaciones y son esencialmente una ubicación de almacenamiento para las actualizaciones. Si más de un paquete de implementación contiene las actualizaciones necesarias para una implementación, los agentes de SCCM determinarán la mejor ubicación desde la que recuperar la actualización y pueden usar cualquier paquete de implementación disponible que contenga la actualización.

El Asistente para implementar actualizaciones de software se usa para implementar actualizaciones en SCCM. Dicho asistente puede usarse con actualizaciones específicas o listas de actualización. La figura 7 muestra cómo iniciar el asistente.

Figura 7 Inicio del Asistente para implementar actualizaciones de software

Figura 7** Inicio del Asistente para implementar actualizaciones de software **(Hacer clic en la imagen para ampliarla)

El asistente le pide un nombre para la implementación, le pregunta si desea usar una configuración de plantilla existente o una nueva (si se elige una plantilla nueva el asistente le solicitará que indique las opciones de plantilla descritas anteriormente), la configuración del paquete de implementación (existente o nueva), la configuración del punto de distribución, las opciones de ubicación para la descarga, los idiomas de actualización para descargar y la información de programación de implementación.

Con la configuración completa, se actualizará la directiva para notificar a los clientes de las actualizaciones de destino y se instalarán las actualizaciones en los sistemas cliente. Los procesos del cliente son bastante diferentes de las versiones anteriores y se encuentran fuera del ámbito de este artículo. Una diferencia clave, no obstante, es que los análisis de actualizaciones ya no se realizan de forma local (el SUP realiza todos los análisis) pero los detalles acerca del cumplimiento de las actualizaciones se almacenan en el repositorio local del instrumental de administración de Windows (WMI), de forma similar a las versiones anteriores.

A diferencia de las versiones anteriores, no obstante, el inventario de hardware ya no se usa para enviar el estado de actualización al servidor del sitio. Ahora, los mensajes de estado (un nuevo tipo de mensaje de estado simplificado) se envían al servidor del sitio mediante el punto de administración. Los mensajes de estado proporcionan datos acerca de todos los clientes administrados para la detección del cumplimiento y para seguir el progreso de las implementaciones. Hay una serie de nuevos informes en SCCM para la administración de actualizaciones de software, incluido el cumplimiento global por equipo de las actualizaciones implementadas en cada cliente, estado de cumplimiento de implementación por cliente, y los informes de error de cliente para detecciones e implementaciones que generan una lista ordenada por pila de los principales problemas que resolver.

Además del cumplimiento tradicional programado y obligatorio de implementaciones de actualizaciones, SCCM permite instalar actualizaciones aprobadas antes de la fecha límite de la instalación en una programación muy semejante a la usada actualmente con las actualizaciones automáticas. Este práctico complemento hará incrementar todavía más el número de sistemas compatibles antes de la fecha límite de la implementación.

Si le interesan las actualizaciones personalizadas, SCCM también las permite. La herramienta de publicación de actualizaciones personalizadas de SMS 2003 R2 ha sido modificada para poder usarlo con SCCM 2007, y ahora es el publicador de actualizaciones de System Center, de modo que pueda implementarse cualquier actualización personalizada de la misma manera que la descrita.

Los cambios para actualizar la administración son extensos en SCCM, pero desde una perspectiva administrativa deberían ser más fáciles de usar y suponer una mejora respecto a versiones anteriores. Aunque algunos de los cambios conceptuales pueden resultar difíciles de comprender al principio para los usuarios acostumbrados a SMS 2003, el esfuerzo de aprender el nuevo sistema vale la pena. Que disfrute.

Steve Rachui es ingeniero de escala de soporte técnico para la capacidad de administración del grupo de servicios de soporte técnico de productos de Microsoft. Ha proporcionado soporte técnico para SMS desde la versión 1.2. Puede ponerse en contacto con Steve en la dirección steverac@microsoft.com.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.