Experto en varios temas: Revisión de máquinas virtuales inactivas
El uso de la herramienta Microsoft Offline Virtual Machine Servicing Tool para hacer revisiones de máquinas virtuales es una buena forma de asegurar que éstas estén listas para iniciar la actividad, y evitar cualquier problema con revisiones obsoletas.
Por Greg Shields
¿Detesta hacer revisiones? Yo sí. La revisión siempre me pareció una tarea ingrata, y el hecho de que no tiene ningún valor comercial la hace aun más insignificante. Bueno, al menos no tiene ningún otro valor comercial más que saber que está evitando algún tipo de problema que pudiese ocurrir en el futuro.
No, la revisión siempre ha sido la tarea difícil del mundo de TI. Es la causa principal de la necesidad de quedarse trabajando hasta tarde y fuera del horario laboral y de las llamadas para decir: “Lo siento, cariño, no podré ir a cenar”. La revisión y la administración de revisiones son las actividades que todos odiamos con gusto.
Sin embargo, en la actualidad, la administración de revisiones no es tan desagradable como solía ser. No hace mucho tiempo atrás, realizar las revisiones correctamente requería una gran hoja de cálculos y la vinculación de cada revisión con su número de “MS” y su número “q”, la criticidad de Microsoft con nuestra prioridad corporativa. Registrar qué revisiones reemplazaban a las otras llevaba, al menos, medio día de trabajo todos los meses.
Gracias al lanzamiento de Windows Server Update Services (WSUS), mucho de eso ha cambiado. Esta simple pero fantástica herramienta que permite ahorrar tiempo reemplazó casi todos los procedimientos manuales de la tarea de revisión. Si combina el servidor WSUS con algunas secuencias de comandos, puede indicar que se realice la revisión de una computadora inmediatamente, sin esperar que llegue el siguiente ciclo programado. (Aún conservo ese comando. Vaya a concentratedtech.com si desea una copia).
La única limitación del servidor WSUS es que sus mecanismos de revisión automatizados sólo funcionaban si el servidor o el escritorio que requerían revisión estaban encendidos. Cuando una computadora debía apagarse por algún motivo, el servidor WSUS experimentaba problemas. Por ello, el ciclo de revisión debía ocurrir inmediatamente después de que la máquina se encendiera al día siguiente por la mañana, o bien el administrador se ocupaba de la tarea extra de detectar el problema y encender el equipo la noche anterior.
Pero, actualmente, sabemos que esa limitación del WSUS no es un problema grave. Si los usuarios dejan la computadora apagada durante el ciclo de revisión nocturno, cuando la enciendan al día siguiente verán un globo de notificación y la revisión comenzará a instalarse. Incluso hoy en día los servidores generalmente permanecen encendidos todo el tiempo. Lo que significa que siempre están en condiciones de recibir instrucciones del jefe supremo de las revisiones, el servidor WSUS.
Cambio de la mezcla
Este agradable y estático entorno cambia una vez más, a medida que nuestros centros de datos saltan a la virtualización. Incluso una vez virtualizados, es probable que nuestros servidores permanezcan encendidos constantemente. No obstante, dichos servidores virtuales deben provenir de algún lado. Para la gran mayoría de nosotros, “algún lado” significa por medio de la clonación de una plantilla de servidor.
Las plantillas de servidor son excelentes porque nos ayudan a poner en marcha un nuevo servidor rápidamente y a lanzarlo en línea con el mínimo esfuerzo. También se aseguran de que cada servidor comience su existencia desde la misma configuración central. Las plantillas de servidor también tienen un lado más oscuro. Si bien estas computadoras son ideales para crear un servidor nuevo, nuestras plantillas no están diseñadas para existir por sí mismas.
Las plantillas de servidor están archivadas con el formato de disco duro virtual (VHD) en un recurso compartido de archivos en algún sitio. Si está apagado, ese archivo queda inactivo. Lo mismo que sucede con un archivo de Word o una hoja de cálculo de Excel de tamaño importante. Si está encendido, ese archivo inactivo se convierte en un servidor completamente funcional que puede procesar cargas de trabajo regulares o las malvadas cargas de trabajo de los códigos malintencionados y otras vulnerabilidades actuales.
En resumen, si esas plantillas inactivas no se revisan, podrían ser la fuente de un nuevo brote de códigos malintencionados—, sólo porque se encendieron.
¿Capté su atención? Bien, porque ese es el tema central de la herramienta Microsoft Offline Virtual Machine Servicing Tool, actualmente, su versión 2.1. Este acelerador de soluciones gratuito instala un conjunto de automatizaciones diseñadas para que las plantillas de su máquina virtual, que de otra manera estarían inactivas, se mantengan actualizadas con el WSUS.
.png)
Figura 1 Los tres componentes principales del servicio sin conexión de máquinas virtuales.
Para saber lo esencial de su funcionamiento, mire la Figura 1. Puede ver cómo el servidor que aloja a System Center Virtual Machine Manager (VMM) interactúa con una de sus bibliotecas compartidas, un host de Hyper-V y su servidor de administración de actualizaciones de software. Dicho servidor de administración de actualizaciones puede ser un servidor WSUS o un servidor System Center Configuration Manager (SCCM) disponible. Los procesos son prácticamente iguales en ambos casos.
La herramienta Offline VM Servicing Tool usa lo que se denomina herramientas de servicio para administrar la implementación de actualizaciones en las máquinas virtuales en la biblioteca de VMM. Estas herramientas de servicio básicamente son tareas manejadas por el Programador de tareas Windows que comienzan en horarios predeterminados.
Cuando una tarea de servicio está lista para activarse, primero comienza por “despertar” a la máquina virtual desde la ubicación de su plantilla. Dicho proceso implica la implementación de la máquina virtual en el host Hyper-V y su encendido. Una vez que esa máquina virtual se enciende, la aplicación Windows Update Agent (WUA) internamente configurada de la máquina virtual recibe la instrucción de comenzar un ciclo de actualización del software.
La configuración de la WUA de las máquinas virtuales se establece de la misma manera en la que se establece para todas sus computadoras. Puede ser por medio de la aplicación de la directiva de grupo o por la configuración manual dentro de la máquina virtual. Para que este proceso funcione, debe establecer todas las configuraciones típicas del servidor WSUS, como la ubicación del servicio de actualización, todo grupo de computadoras del WSUS, así como otras características específicas, según lo define su directiva de seguridad.
Una vez que haya actualizado correctamente la máquina virtual, la herramienta de servicio la apaga y la devuelve a la biblioteca. Este proceso automatizado garantiza que sus máquinas virtuales, así como el resto de su infraestructura, se actualicen con las revisiones correctas. La herramienta Offline VM Servicing Tool no agrega ninguna de sus configuraciones de administración de actualizaciones, sino que se basa en las configuraciones existentes para los servidores WSUS o SCCM.
En realidad, instalar la herramienta Offline VM Servicing Tool requiere unos pasos que no resultan obvios si no leyó la guía del Acelerador de soluciones correspondiente. Si bien se trata de la versión 2.1 de la herramienta, parece que fuera una versión anterior. La instalación requiere la descarga de una consola del sitio web de Microsoft. Para que funcione, es necesario descargar y copiar los binarios de PSExec, tanto psexec.exe como pdh.dll, en la carpeta Bin de la herramienta, que se encuentra en C:\Archivos de programa\Microsoft Offline Virtual Machine Servicing Tool\bin. También es necesario configurar la directiva de ejecución de Windows PowerShell para RemoteSigned.
.png)
Figura 2 La consola de la herramienta Offline VM Servicing Tool.
Una vez instalada, su consola (que se muestra en la Figura 2) en verdad sólo identifica grupos de máquinas virtuales para determinar qué maquinas recibirán una revisión y cuándo. También identifica las herramientas de servicios, que contienen las características de sus tareas de actualización. La herramienta de servicios también trabaja únicamente con las máquinas virtuales dentro de la biblioteca de su VMM. Esto significa que toda máquina virtual que esté apagada y que ya se haya implementado en un host Hyper-V no funcionará con la herramienta.
Funcionará con las máquinas virtuales que no sean plantillas específicamente, como máquinas virtuales de reposición en directo listas para su lanzamiento en línea después de un error, o bien cuando necesite servidores adicionales. En esos casos, la herramienta sugiere usar una tarjeta de interfaz de red (NIC) secundaria en los servidores de reposición en directo, junto con la implementación en una red aislada. Eso ayuda a garantizar que la reposición en directo no se convierta en una acción operativa de manera accidental si usted sólo desea aplicar las revisiones actuales.
Tal vez la herramienta Microsoft Offline Virtual Machine Servicing Tool no sea una solución integral para todas sus necesidades de revisión sin conexión, pero su bajo costo y sus capacidades limitadas ayudarán en esas circunstancias en las que tan solo desea mantener actualizadas algunas máquinas virtuales inactivas. Si tiene en cuenta lo difícil que resulta hacerlo de forma manual, más el impacto de la omisión de una revisión, podrá ver cuán importante es analizar todas las máquinas virtuales inactivas pero potencialmente peligrosas.
.jpg)
Greg Shields*, MVP, es socio de Concentrated Technology. Obtenga más información acerca de las sugerencias y los trucos de Experto en varios temas de Shields en ConcentratedTech.com.*