Planeie a implementação do WSUS

A primeira etapa na implantação do WSUS (Windows Server Update Services) é tomar decisões importantes, como decidir o cenário de implantação do WSUS, escolher uma topologia de rede e entender os requisitos do sistema.

1.1. Analisar considerações e requisitos do sistema

Requisitos do sistema

Os requisitos de hardware e software de banco de dados são determinados pelo número de computadores clientes que estão sendo atualizados em sua organização. Antes de habilitar a função de servidor do WSUS, confirme se o servidor atende aos requisitos do sistema e se você tem as permissões necessárias para concluir a instalação seguindo as seguintes diretrizes:

• Os requisitos de hardware do servidor para habilitar a função WSUS estão vinculados aos requisitos de hardware. Os requisitos mínimos de hardware para o WSUS são:

  • Processador: processador x64 de 1,4 gigahertz (GHz) (recomenda-se 2 Ghz ou mais rápido)
  • Memória: O WSUS requer 2 GB adicionais de RAM, além do que é exigido pelo servidor e todos os outros serviços ou software.
  • Espaço disponível em disco: recomenda-se 40 GB ou mais.
    • O gerenciamento de atualizações local com a UUP (Unified Update Platform) requer 10 GB adicionais de espaço por versão do Windows e arquitetura de processador para cada versão. Para obter mais informações, consulte a seção de considerações do UUP .
  • Adaptador de rede: 100 megabits por segundo (Mbps) ou superior (1 GB é recomendado)

  Note

  Essas diretrizes pressupõem que os clientes do WSUS estejam sincronizando com o servidor a cada oito horas, com um total de 30.000 clientes. Se eles sincronizarem com mais frequência, haverá um incremento correspondente na carga do servidor.

• Atualizações de software necessárias:

  • Windows Server 2016, 2019 e 2022: Atualização cumulativa 2023-02 ou uma atualização cumulativa posterior
  • Windows Server 2012 e 2012 R2: Atualização cumulativa 2023-03 ou uma atualização cumulativa posterior
  • Se não conseguir instalar estas atualizações, pode adicionar manualmente os tipos MIME necessários para UUP ao servidor WSUS.

• Requisitos de software:

  • Para exibir relatórios, o WSUS requer o Microsoft Report Viewer Redistributable 2008. No caso do Windows Server 2016, o WSUS requer Microsoft Report Viewer Runtime 2012

• Se instalar funções ou atualizações de software que exijam que reinicie o servidor quando a instalação estiver concluída, reinicie o servidor antes de ativar a função de servidor WSUS.

• O Microsoft .NET Framework 4.0 deve ser instalado no servidor onde a função de servidor WSUS será instalada.

• Confirme se a conta que pretende utilizar para instalar o WSUS é membro do grupo Administradores Locais.

• A conta NT Authority\Network Service deve ter permissões de Controle Total para as seguintes pastas para que o snap-in Administração do WSUS seja exibido corretamente:

  • %windir%\Temp

  • %windir%\Microsoft.NET\Framework\v4.0.30319\Arquivos ASP.NET temporários

    Note

    Esse caminho pode não existir antes da instalação da Função de Servidor Web que contém o IIS (Serviços de Informações da Internet).

Considerações sobre a instalação

Durante o processo de instalação, o WSUS instalará os seguintes itens por padrão:

• API do .NET e cmdlets do Windows PowerShell
• Banco de Dados Interno do Windows (WID), que é usado pelo WSUS
• Serviços utilizados pelo WSUS, que são:
  • Serviço de Atualização
  • Serviço Web de Relatórios
  • Serviço Web Cliente
  • Serviço de Autenticação Web Simples
  • Serviço de Sincronização do Servidor
  • Serviço Web de Autenticação DSS

Considerações sobre UUP

A partir de 28 de março de 2023, os dispositivos Windows 11, versão 22H2 locais, receberão atualizações de qualidade por meio da Plataforma de Atualização Unificada (UUP). O UUP local interopera com o WSUS e o Microsoft Configuration Manager. A atualização de recursos do Windows 11, versão 22H2 será atualizada mensalmente para que você possa implantar facilmente a compilação mais recente em seus clientes. As atualizações de qualidade UUP continuam a ser cumulativas e incluem todas as correções de qualidade e segurança do Windows lançadas. Embora as atualizações do UUP não possam ser removidas por meio do WSUS, os clientes que atualizam usando o UUP local obtêm os seguintes recursos:

• Capacidade de os utilizadores finais adquirirem funcionalidades a pedido e pacotes de idiomas em ambientes WSUS ou Configuration Manager.
• Reparação automática de corrupção
• Tamanhos de download minimizados do cliente de atualização de qualidade

Para se preparar para atualizações UUP locais, certifique-se de que os seguintes requisitos sejam atendidos:

• Ao armazenar conteúdo localmente para o WSUS, o servidor WSUS transfere aproximadamente 10 GB de conteúdo por versão do Windows e arquitetura de processador para cada versão. Por exemplo, são transferidos mais 20 GB de conteúdo adicional tanto para x64 como para arm64 no Windows 11, versão 22H2.

• Instale uma das seguintes atualizações nos servidores WSUS ou adicione manualmente os tipos MIME necessários para UUP ao servidor WSUS:

  • Windows Server 2016, 2019 e 2022: Atualização cumulativa 2023-02 ou uma atualização cumulativa posterior
  • Windows Server 2012 e 2012 R2: Atualização cumulativa 2023-03 ou uma atualização cumulativa posterior

  Tip

  Se encontrar um Cannot add duplicate collection entry of type 'mimeMap' erro, consulte Sugestões de resolução de problemas do WSUS.

Adicionar manualmente os tipos MIME necessários para UUP

Dois tipos de arquivo são necessários para o gerenciamento de atualizações local com o UUP. Os tipos MIME .msu e .wim precisam ser adicionados nos servidores WSUS para oferecer suporte ao UUP no local. Se não conseguir atualizar os servidores WSUS, pode utilizar estes passos para adicionar manualmente os tipos de ficheiro necessários:

1. Abra o Gerenciador dos Serviços de Informações da Internet (IIS).
2. Selecione o nome do servidor WSUS no painel Conexões . Se não vir o nome do servidor WSUS, selecione Ligar a um servidor no menu Ficheiro e, em seguida, introduza o nome do servidor.
3. Na vista Funcionalidades, selecione Tipos MIME e, em seguida, Abrir funcionalidade no painel Ações .

   Important

   Certifique-se de que selecionou o servidor e não o site ao adicionar os tipos MIME. O site de administração do WSUS necessita que o tipo MIME seja herdado em vez de definido localmente.

4. Selecione Adicionar no painel Ações para os tipos MIME.
5. Insira as seguintes informações na janela Adicionar tipo MIME :
   • Extensão de nome de arquivo: .wim
   • Tipo MIME: application/x-ms-wim
6. Selecione OK quando terminar para adicionar o tipo MIME.
7. Adicione outro tipo MIME, selecionando Adicionar novamente e, em seguida, insira as seguintes informações:
   • Extensão de nome de arquivo: .msu
   • Tipo MIME: application/octet-stream
8. Selecione OK quando terminar de adicionar o tipo MIME.

Reflexões sobre Funcionalidades sob Demanda

Lembre-se de que a configuração de computadores clientes (incluindo servidores) para atualização usando o WSUS resultará nas seguintes limitações:

1. As funções de servidor que tiveram suas cargas úteis removidas usando Recursos sob Demanda não podem ser instaladas sob demanda do Microsoft Update. Você deve fornecer uma fonte de instalação no momento em que tentar instalar essas funções de servidor ou configurar uma fonte para Recursos sob Demanda na Diretiva de Grupo.

2. As edições de cliente do Windows não poderão instalar o .NET 3.5 sob demanda da Web. As mesmas considerações aplicáveis às funções de servidor também se aplicam ao .NET 3.5.

   Note

   A configuração de uma fonte de instalação de Recursos sob Demanda não envolve o WSUS. Para obter informações sobre como configurar recursos, consulte Configurar recursos sob demanda no Windows Server.

3. Os dispositivos empresariais com o Windows 10, versão 1709 ou versão 1803, não podem instalar quaisquer funcionalidades a pedido diretamente a partir do WSUS. Para instalar o recurso sob demanda, crie um arquivo de recurso (armazenamento lado a lado) ou obtenha o pacote recurso sob demanda de uma das seguintes fontes:

   • VLSC (Centro de Serviços de Licenciamento por Volume ) - é necessário acesso VL

   • Portal OEM - O acesso do OEM é necessário

   • Download do MSDN - A assinatura do MSDN é necessária

     Os pacotes Feature on Demand obtidos individualmente podem ser instalados usando as opções de linha de comando do DISM.

Requisitos da base de dados do WSUS

O WSUS requer um dos seguintes bancos de dados:

• Banco de dados interno do Windows (WID)
• Qualquer versão suportada do Microsoft SQL Server. Para obter mais informações, consulte a secção Política de Ciclo de Vida da Microsoft.

O WSUS suporta as seguintes edições do SQL Server:

• Standard
• Enterprise
• Expresso

Você pode instalar a função WSUS em um computador separado do computador do servidor de banco de dados. Neste caso, aplicam-se os seguintes critérios adicionais:

1. O servidor de banco de dados não pode ser configurado como um controlador de domínio.

2. O servidor WSUS não consegue executar os Serviços de Ambiente de Trabalho Remoto.

3. O servidor de banco de dados deve estar no mesmo domínio do Ative Directory que o servidor do WSUS ou deve ter uma relação de confiança com o domínio do Ative Directory do servidor WSUS.

4. O servidor WSUS e o servidor de banco de dados devem estar no mesmo fuso horário ou estar sincronizados com a mesma fonte de tempo Universal Coordenado (hora média de Greenwich).

1.2. Escolha um cenário de implantação do WSUS

Esta seção descreve os recursos básicos de todas as implantações do WSUS. Use esta seção para se familiarizar com uma implantação simples com um único servidor WSUS, além de cenários mais complexos, como uma hierarquia de servidor WSUS ou um servidor WSUS em um segmento de rede isolado.

Implementação simples do WSUS

A implantação mais básica do WSUS consiste em um servidor dentro do firewall corporativo que atende computadores clientes em uma intranet privada. O servidor WSUS liga-se ao Microsoft Update para transferir atualizações. Isso é conhecido como sincronização. Durante a sincronização, o WSUS determina se foram disponibilizadas novas atualizações desde a última sincronização. Se for a primeira vez que sincroniza o WSUS, todas as atualizações são disponibilizadas para download.

Por padrão, o servidor WSUS usa a porta 80 para o protocolo HTTP e a porta 443 para o protocolo HTTPS para obter atualizações da Microsoft. Se houver um firewall corporativo entre sua rede e a Internet, você terá que abrir essas portas no servidor que se comunica diretamente com o Microsoft Update. Se estiver a planear usar portas personalizadas para esta comunicação, deve abrir essas portas em vez disso. Você pode configurar vários servidores WSUS para sincronizar com um servidor WSUS pai. Por padrão, o servidor WSUS usa a porta 8530 para o protocolo HTTP e a porta 8531 para o protocolo HTTPS para fornecer atualizações às estações de trabalho cliente.

Vários servidores WSUS

Os administradores podem implantar vários servidores executando o WSUS que sincronizam todo o conteúdo na intranet de sua organização. Você pode expor apenas um servidor à Internet, que seria o único servidor que baixa atualizações do Microsoft Update. Este servidor é configurado como o servidor upstream, a origem com a qual os servidores downstream sincronizam. Quando aplicável, os servidores podem ser localizados em toda uma rede geograficamente dispersa para fornecer a melhor conectividade a todos os computadores clientes.

Servidor WSUS desconectado

Se a política corporativa ou outras condições limitarem o acesso do computador à Internet, os administradores poderão configurar um servidor interno para executar o WSUS. Um exemplo disso é um servidor que está conectado à intranet, mas está isolado da Internet. Depois de baixar, testar e aprovar as atualizações nesse servidor, um administrador exportaria os metadados e o conteúdo da atualização para um DVD. Os metadados e o conteúdo da atualização são importados do DVD para servidores que executam o WSUS na intranet.

Hierarquias de servidores WSUS

Você pode criar hierarquias complexas de servidores WSUS. Como você pode sincronizar um servidor WSUS com outro servidor WSUS em vez de com o Microsoft Update, você precisa ter apenas um único servidor WSUS conectado ao Microsoft Update. Quando liga os servidores WSUS, existe um servidor WSUS a montante e um servidor WSUS a jusante. Uma implantação de hierarquia de servidor WSUS oferece os seguintes benefícios:

• Você pode baixar atualizações uma vez da Internet e, em seguida, distribuir as atualizações para computadores clientes usando servidores downstream. Esse método economiza largura de banda na conexão corporativa com a Internet.

• Você pode baixar atualizações para um servidor WSUS que esteja fisicamente mais próximo dos computadores clientes, por exemplo, em filiais.

• Você pode configurar servidores WSUS separados para atender computadores clientes que usam idiomas diferentes de produtos Microsoft.

• Você pode dimensionar o WSUS para uma grande organização que tenha mais computadores clientes do que um servidor WSUS pode gerenciar com eficiência.

Você pode conectar servidores WSUS no modo Autônomo (para obter administração distribuída) ou no modo de Réplica (para obter administração centralizada). Não é necessário implantar uma hierarquia de servidor que use apenas um modo: você pode implantar uma solução do WSUS que use servidores WSUS autônomos e de réplica.

Modo autónomo

O modo autônomo, também chamado de administração distribuída, é a opção de instalação padrão para o WSUS. No modo Autónomo, um servidor WSUS upstream partilha atualizações com servidores downstream durante a sincronização. Os servidores WSUS downstream são administrados separadamente e não recebem o status de aprovação de atualização ou informações de grupo de computadores do servidor upstream. Usando o modelo de gerenciamento distribuído, cada administrador de servidor do WSUS seleciona idiomas de atualização, cria grupos de computadores, atribui computadores a grupos, testa e aprova atualizações e garante que as atualizações corretas sejam instaladas nos grupos de computadores apropriados.

Modo de réplica

O modo de Réplica, também chamado de administração centralizada, funciona com um servidor WSUS upstream que compartilha atualizações, status de aprovação e grupos de computadores com servidores downstream. Os servidores de réplica herdam aprovações de atualização e não são administrados separadamente do servidor WSUS upstream.

Filiais

Você pode aproveitar o recurso de filial no Windows para otimizar a implantação do WSUS. Esse tipo de implantação oferece as seguintes vantagens:

1. Ele ajuda a reduzir a utilização do link WAN e melhora a capacidade de resposta do aplicativo. Para habilitar a aceleração do BranchCache do conteúdo servido pelo servidor WSUS, instale o recurso BranchCache no servidor e nos clientes e verifique se o serviço BranchCache foi iniciado. Não são necessárias outras medidas.

2. Em filiais que têm ligações de baixa largura de banda com a sede, mas ligações de alta largura de banda com a Internet, o recurso de Filial também pode ser utilizado. Nesse caso, convém configurar servidores WSUS downstream para obter informações sobre quais atualizações instalar do servidor WSUS central, mas baixe as atualizações do Microsoft Update.

Balanceamento de Carga na Rede

O Balanceamento de Carga de Rede (NLB) aumenta a fiabilidade e o desempenho da sua rede WSUS. Você pode configurar vários servidores WSUS que compartilham um único cluster de failover executando o SQL Server. Nessa configuração, você deve usar uma instalação completa do SQL Server, não a instalação do Banco de Dados Interno do Windows fornecida pelo WSUS, e a função de banco de dados deve ser instalada em todos os servidores front-end do WSUS. Também pode fazer com que todos os servidores WSUS utilizem um sistema de ficheiros distribuído (DFS) para armazenar o respetivo conteúdo.

Configuração do WSUS para NLB: em comparação com a configuração do WSUS 3.2 para NLB, uma chamada de configuração especial e parâmetros não são mais necessários para configurar o WSUS para NLB. Você só precisa configurar cada servidor WSUS, tendo em mente as seguintes considerações.

• O WSUS deve ser configurado usando a opção de banco de dados SQL em vez de WID.
• Se armazenar atualizações localmente, a mesma pasta Conteúdo deve ser compartilhada entre os servidores WSUS que compartilham o mesmo banco de dados SQL.
• A configuração do WSUS deve ser feita em série. As tarefas pós-instalação não podem ser executadas em mais de um servidor ao mesmo tempo ao compartilhar o mesmo banco de dados SQL.
• Cada servidor WSUS front-end deve executar a mesma versão do sistema operacional, incluindo o mesmo nível de atualização cumulativa.

Implantação do WSUS com computadores clientes móveis

Se a rede incluir utilizadores móveis que iniciam sessão na rede a partir de localizações diferentes, pode configurar o WSUS para permitir que os utilizadores móveis atualizem os seus computadores clientes a partir do servidor WSUS mais próximo geograficamente. Por exemplo, você pode implantar um servidor WSUS em cada região e usar uma sub-rede DNS diferente para cada região. Todos os computadores cliente podem ser direcionados para o mesmo servidor WSUS, onde cada sub-rede se resolve para o servidor WSUS físico mais próximo.

1.3. Escolha uma estratégia de armazenamento do WSUS

O WSUS (Windows Server Update Services) usa dois tipos de sistemas de armazenamento: um banco de dados para armazenar a configuração do WSUS e atualizar metadados e um sistema de arquivos local opcional para armazenar arquivos de atualização. Antes de instalar o WSUS, você deve decidir como deseja implementar o armazenamento.

As atualizações são compostas por duas partes: metadados que descrevem a atualização e os arquivos necessários para instalá-la. Os metadados de atualização geralmente são muito menores do que a atualização real e são armazenados no banco de dados do WSUS. Os ficheiros de atualização são armazenados num servidor WSUS local ou num servidor Web do Microsoft Update.

Base de dados do WSUS

O WSUS requer um banco de dados para cada servidor WSUS. O WSUS suporta a utilização de uma base de dados que reside num computador diferente do servidor WSUS, com algumas restrições. Para obter uma lista de bancos de dados suportados e limitações de bancos de dados remotos, consulte a seção 1.1 Examinar considerações iniciais e requisitos do sistema, neste guia.

A base de dados do WSUS armazena as seguintes informações:

• Informações de configuração do servidor WSUS
• Metadados que descrevem cada atualização
• Informações sobre computadores cliente, atualizações e interações

Se instalar vários servidores WSUS, tem de manter uma base de dados separada para cada servidor WSUS, quer seja um servidor autónomo ou de réplica. Não é possível armazenar vários bancos de dados do WSUS em uma única instância do SQL Server, exceto em clusters NLB (Balanceamento de Carga de Rede) que usam failover do SQL Server.

O SQL Server, o SQL Server Express e o Banco de Dados Interno do Windows fornecem as mesmas características de desempenho para uma configuração de servidor único, em que o banco de dados e o serviço WSUS estão localizados no mesmo computador. Uma configuração de servidor único pode suportar vários milhares de computadores cliente WSUS.

WSUS com Base de Dados Interna do Windows

Por padrão, o assistente de instalação cria e usa um Banco de Dados Interno do Windows chamado SUSDB.mdf. Este banco de dados está localizado na pasta %windir%\wid\data\, onde %windir% é a unidade local na qual o software de servidor do WSUS está instalado.

O WSUS suporta a autenticação do Windows apenas para a base de dados. Não é possível usar a autenticação do SQL Server com o WSUS. Se você usar o Banco de Dados Interno do Windows para o banco de dados do WSUS, a Instalação do WSUS criará uma instância do SQL Server chamada server\Microsoft##WID, onde server é o nome do computador. Com qualquer opção de banco de dados, a Instalação do WSUS cria um banco de dados chamado SUSDB. O nome deste banco de dados não é configurável.

Recomendamos que você use o Banco de Dados Interno do Windows nos seguintes casos:

• A organização ainda não comprou e não precisa de um produto SQL Server para nenhum outro aplicativo.
• A organização não requer uma solução NLB WSUS.
• Você pretende implantar vários servidores WSUS (por exemplo, em filiais). Nesse caso, você deve considerar o uso do Banco de Dados Interno do Windows nos servidores secundários, mesmo que use o SQL Server para o servidor WSUS raiz. Como cada servidor WSUS requer uma instância separada do SQL Server, você enfrentará rapidamente problemas de desempenho do banco de dados se apenas uma instância do SQL Server manipular vários servidores WSUS.

O Banco de Dados Interno do Windows não fornece uma interface de usuário ou nenhuma ferramenta de gerenciamento de banco de dados. Se você selecionar esse banco de dados para o WSUS, deverá usar ferramentas externas para gerenciar o banco de dados. Para obter mais informações, consulte:

• Backup e restauração de dados do WSUS e backup do servidor

• Reindexar a base de dados do WSUS

WSUS com SQL Server

Recomendamos que você use o SQL Server com o WSUS nos seguintes casos:

1. Você precisa de uma solução NLB WSUS.
2. Você já tem pelo menos uma instância do SQL Server instalada.
3. Não é possível executar o serviço SQL Server em uma conta local que não seja do sistema ou usando a autenticação do SQL Server. O WSUS suporta apenas a autenticação do Windows.

Armazenamento de atualização do WSUS

Quando as atualizações são sincronizadas com o servidor WSUS, os metadados e os ficheiros de atualização são armazenados em duas localizações separadas. Os metadados são armazenados na base de dados do WSUS. Os ficheiros de atualização podem ser armazenados no servidor WSUS ou nos servidores Microsoft Update, dependendo de como configurou as opções de sincronização. Se optar por armazenar ficheiros de atualização no servidor WSUS, os computadores cliente transferirão atualizações aprovadas do servidor WSUS local. Caso contrário, os computadores clientes baixarão as atualizações aprovadas diretamente do Microsoft Update. A opção que faz mais sentido para sua organização dependerá da largura de banda da rede para a Internet, da largura de banda da rede na intranet e da disponibilidade do armazenamento local.

Você pode selecionar uma solução de armazenamento de atualização diferente para cada servidor WSUS implantado.

Armazenamento do servidor WSUS local

O armazenamento local de ficheiros de atualização é a opção predefinida quando instala e configura o WSUS. Essa opção pode economizar largura de banda na conexão corporativa com a Internet porque os computadores clientes baixam atualizações diretamente do servidor WSUS local.

Esta opção requer que o servidor tenha espaço em disco suficiente para armazenar todas as atualizações necessárias. No mínimo, o WSUS requer 20 GB para armazenar atualizações localmente; no entanto, recomendamos pelo menos 40 GB. Para obter mais informações sobre como projetar a quantidade de espaço em disco necessária, consulte Requisitos do sistema e considerações sobre UUP.

Armazenamento remoto em servidores Microsoft Update

Você pode armazenar atualizações remotamente nos servidores do Microsoft Update. Esta opção é útil se a maioria dos computadores cliente se ligar ao servidor WSUS através de uma ligação WAN lenta, mas se ligar à Internet através de uma ligação de largura de banda elevada.

Nesse caso, o servidor WSUS raiz sincroniza com o Microsoft Update e recebe os metadados de atualização. Depois de aprovar as atualizações, os computadores cliente transferem as atualizações aprovadas dos servidores do Microsoft Update.

1.4. Escolher idiomas de atualização do WSUS

Ao implantar uma hierarquia de servidor do WSUS, você deve determinar quais atualizações de idioma são necessárias em toda a organização. Você deve configurar o servidor raiz do WSUS para baixar atualizações em todos os idiomas usados em toda a organização.

Por exemplo, o escritório principal pode exigir atualizações nos idiomas inglês e francês, mas uma filial requer atualizações nos idiomas inglês, francês e alemão e outra filial requer atualizações nos idiomas inglês e espanhol. Nessa situação, você configuraria o servidor raiz do WSUS para baixar atualizações em inglês, francês, alemão e espanhol. Em seguida, você configuraria o primeiro servidor WSUS da filial para baixar atualizações somente em inglês, francês e alemão e configuraria a segunda filial para baixar atualizações somente em inglês e espanhol.

A página Escolher Idiomas do Assistente de Configuração do WSUS permite-lhe obter atualizações de todos os idiomas ou de um subconjunto de idiomas. selecionar um subconjunto de idiomas economiza espaço em disco, mas é IMPORTANTE escolher todos os idiomas necessários para todos os servidores downstream e computadores clientes de um servidor WSUS.

A seguir estão algumas observações IMPORTANTES sobre o idioma de atualização que você deve ter em mente antes de configurar esta opção:

• Inclua sempre o inglês, além de quaisquer outros idiomas exigidos em toda a sua organização. Todas as atualizações são baseadas em pacotes de idioma inglês.
• Os servidores downstream e os computadores clientes não receberão todas as atualizações necessárias se você não tiver selecionado todos os idiomas necessários para o servidor upstream. Certifique-se de selecionar todos os idiomas que serão necessários para todos os computadores clientes associados a todos os servidores downstream.
• Geralmente, você deve baixar atualizações em todos os idiomas no servidor raiz do WSUS que sincroniza com o Microsoft Update. Essa seleção garante que todos os servidores downstream e computadores clientes receberão atualizações nos idiomas necessários.

Se estiver a armazenar atualizações localmente e tiver configurado um servidor WSUS para transferir atualizações num número limitado de idiomas, poderá notar que existem atualizações em idiomas diferentes daqueles que especificou. Muitos arquivos de atualização são pacotes de vários idiomas diferentes, que incluem pelo menos um dos idiomas especificados no servidor.

Servidores upstream

As atualizações aparecerão como Não Aplicável em computadores clientes que exigem o idioma. Para evitar isso, verifique se todos os idiomas do sistema operacional estão incluídos nas opções de sincronização do servidor WSUS. Pode ver todos os idiomas do sistema operativo acedendo à vista computadores da Consola de Administração do WSUS e ordenando os computadores por idioma do sistema operativo. No entanto, convém incluir mais idiomas se houver aplicativos da Microsoft em mais de um idioma (por exemplo, se a versão em francês do Microsoft Word estiver instalada em alguns computadores que usam a versão em inglês do Windows.)

Escolher idiomas para um servidor upstream não é o mesmo que escolher idiomas para um servidor downstream. Os procedimentos a seguir explicam as diferenças.

Para escolher idiomas de atualização para a sincronização de um servidor a partir do Microsoft Update

1. No Assistente de Configuração do WSUS:

   • Para obter atualizações em todos os idiomas, selecione Baixar atualizações em todos os idiomas, incluindo novos idiomas.
   • Para obter atualizações apenas para idiomas específicos, selecione Transferir atualizações apenas nestes idiomas e, em seguida, selecione os idiomas para os quais pretende atualizações.

Para escolher idiomas de atualização para um servidor downstream

1. Se o servidor upstream tiver sido configurado para transferir ficheiros de atualização num subconjunto de idiomas: No Assistente de Configuração do WSUS, selecione Transferir atualizações apenas nestes idiomas (apenas os idiomas marcados com um asterisco são suportados pelo servidor upstream) e, em seguida, selecione os idiomas para os quais pretende atualizações.

   Note

   Você deve fazer isso mesmo que queira que o servidor downstream baixe os mesmos idiomas que o servidor upstream.

2. Se o servidor upstream tiver sido configurado para transferir ficheiros de atualização em todos os idiomas: No Assistente de Configuração do WSUS, selecione Transferir atualizações em todos os idiomas suportados pelo servidor upstream.

   Note

   Você deve fazer isso mesmo que queira que o servidor downstream baixe os mesmos idiomas que o servidor upstream. Essa configuração faz com que o servidor upstream baixe atualizações em todos os idiomas, incluindo idiomas que não foram originalmente configurados para o servidor upstream. Se você adicionar idiomas ao servidor upstream, deverá copiar as novas atualizações para seus servidores de réplica.

   Alterar as opções de idioma apenas no servidor upstream pode causar uma incompatibilidade entre o número de atualizações aprovadas no servidor central e o número de atualizações aprovadas nos servidores de réplica.

1.5. Planejar grupos de computadores do WSUS

O WSUS permite direcionar atualizações para grupos de computadores cliente, para que você possa garantir que computadores específicos sempre recebam as atualizações certas nos momentos mais convenientes. Por exemplo, se todos os computadores de um departamento (como a equipe de Contabilidade) tiverem uma configuração específica, você poderá configurar um grupo para essa equipe, decidir quais atualizações os computadores precisam e a que horas devem ser instaladas e, em seguida, usar relatórios do WSUS para avaliar as atualizações para a equipe.

Os computadores são sempre atribuídos ao grupo Todos os computadores e permanecem atribuídos ao grupo Computadores não atribuídos até serem atribuídos a outro grupo. Os computadores podem pertencer a mais de um grupo.

Os grupos de computadores podem ser configurados em hierarquias (por exemplo, o grupo Folha de pagamento e o grupo Contas a pagar abaixo do grupo Contabilidade). As atualizações aprovadas para um grupo superior serão implantadas automaticamente nos grupos inferiores, além do grupo superior. Neste exemplo, se você aprovar Update1 para o grupo Contabilidade, a atualização será implantada em todos os computadores do grupo Contabilidade, em todos os computadores do grupo Folha de pagamento e em todos os computadores do grupo Contas a pagar.

Como os computadores podem ser atribuídos a vários grupos, é possível que uma única atualização seja aprovada mais de uma vez para o mesmo computador. No entanto, a atualização será implementada apenas uma vez e quaisquer conflitos serão resolvidos pelo servidor WSUS. Para continuar com o exemplo anterior, se o computadorA for atribuído ao grupo Folha de pagamento e ao grupo Contas a pagar e Update1 for aprovado para ambos os grupos, ele será implantado apenas uma vez.

Você pode atribuir computadores a grupos de computadores usando um dos dois métodos, direcionamento do lado do servidor ou direcionamento do lado do cliente. Seguem-se as definições para cada método:

• Segmentação do lado do servidor: você atribui manualmente um ou mais computadores clientes a vários grupos simultaneamente.
• Segmentação do lado do cliente: você usa a Diretiva de Grupo ou edita as configurações do Registro em computadores cliente para permitir que esses computadores se adicionem automaticamente aos grupos de computadores criados anteriormente.

Resolução de Conflitos

O servidor aplica as seguintes regras para resolver conflitos e determinar a ação resultante nos clientes:

1. Priority

2. Install/Uninstall

3. Deadline

Priority

As ações associadas ao grupo de prioridade mais alta substituem as ações de outros grupos. Quanto mais profundo um grupo aparece dentro da hierarquia de grupos, maior é a sua prioridade. A prioridade é atribuída apenas com base na profundidade; Todos os ramos têm a mesma prioridade. Por exemplo, um grupo dois níveis abaixo da ramificação Desktops tem uma prioridade maior do que um grupo um nível abaixo da ramificação Server.

No exemplo de texto a seguir do painel de hierarquia do console do Update Services, para um servidor WSUS chamado WSUS-01, grupos de computadores chamados Computadores desktop e Servidor foram adicionados ao grupo padrão Todos os computadores . Os grupos de computadores desktop e servidores estão no mesmo nível hierárquico.

• Serviços de atualização
  • WSUS-01
    • Updates
    • Computers
      • Todos os computadores
        • Computadores não atribuídos
        • Computadores de secretária
          • Desktops-L1
            • Desktops-L2
        • Servers
          • Servers-L1
    • Servidores Downstream
    • Synchronizations
    • Reports
    • Options

Neste exemplo, o grupo dois níveis abaixo da ramificação Computadores desktop (Desktops L2) tem uma prioridade maior do que o grupo um nível abaixo da ramificação Servidor (Servidores L1). Assim, para um computador que tenha associação nos grupos Desktops-L2 e Servers-L1, todas as ações para o grupo Desktops-L2 têm prioridade sobre as ações especificadas para o grupo Servers-L1.

Prioridade de instalação e desinstalação

As ações de instalação substituem as ações de desinstalação. As instalações necessárias substituem as instalações opcionais (as instalações opcionais só estão disponíveis através da API e alterar uma aprovação para uma atualização usando o Console de Administração do WSUS limpará toda a aprovação opcional.)

Prioridade dos prazos

As ações que têm um prazo sobrepõem-se àquelas sem prazo. As ações com prazos anteriores sobrepõem-se às ações com prazos posteriores.

1.6. Planejar considerações de desempenho do WSUS

Há algumas áreas que você deve planejar cuidadosamente antes de implantar o WSUS para que você possa ter um desempenho otimizado. As áreas-chave são:

• Configuração da rede
• Download adiado
• Filters
• Installation
• Grandes atualizações de software
• Serviço de transferência inteligente em segundo plano (BITS)

Configuração da rede

Para otimizar o desempenho em redes WSUS, considere as seguintes sugestões:

1. Configure redes WSUS em uma topologia hub-and-spoke em vez de em uma topologia hierárquica.

2. Use a ordenação de máscara de rede DNS para computadores cliente em roaming e configure os computadores cliente em roaming para obter atualizações do servidor WSUS local.

Download adiado

Você pode aprovar atualizações e baixar os metadados de atualização antes de baixar os arquivos de atualização, esse método é chamado de downloads adiados. Quando você adia downloads, uma atualização é baixada somente depois de aprovada. Recomendamos que você adie os downloads porque otimiza a largura de banda da rede e o espaço em disco.

Numa hierarquia de servidores WSUS, o WSUS define automaticamente todos os servidores downstream para utilizarem a definição de transferência adiada do servidor WSUS raiz. Você pode alterar essa configuração padrão. Por exemplo, você pode configurar um servidor upstream para executar sincronizações completas e imediatas e, em seguida, configurar um servidor downstream para adiar os downloads.

Se implantar uma hierarquia de servidores WSUS conectados, recomendamos que não aninhe demasiadamente os servidores. Se você habilitar downloads adiados e um servidor downstream solicitar uma atualização que não é aprovada no servidor upstream, a solicitação do servidor downstream forçará um download no servidor upstream. Em seguida, o servidor downstream baixa a atualização em uma sincronização subsequente. Em uma hierarquia profunda de servidores WSUS, podem ocorrer atrasos à medida que as atualizações são solicitadas, baixadas e, em seguida, passadas pela hierarquia do servidor. Por padrão, os downloads adiados são habilitados quando você armazena atualizações localmente. Pode alterar esta opção manualmente.

Filters

O WSUS permite filtrar sincronizações de atualização por idioma, produto e classificação. Numa hierarquia de servidores WSUS, o WSUS define automaticamente todos os servidores downstream para utilizarem as opções de filtragem de atualização selecionadas no servidor WSUS raiz. Você pode reconfigurar os servidores de download para receber apenas um subconjunto dos idiomas.

Por padrão, os produtos a serem atualizados são Windows e Office, e as classificações padrão são Atualizações críticas, Atualizações de segurança e Atualizações de definição. Para economizar largura de banda e espaço em disco, recomendamos que você limite os idiomas àqueles que você realmente usa.

Installation

As atualizações geralmente consistem em novas versões de arquivos que já existem no computador que está sendo atualizado. Em um nível binário, esses arquivos existentes podem não diferir muito das versões atualizadas. O recurso de arquivos de instalação expressa identifica os bytes exatos entre as versões, cria e distribui atualizações apenas dessas diferenças e, em seguida, mescla o arquivo existente com os bytes atualizados.

Às vezes, esse recurso é chamado de entrega delta porque baixa apenas o delta (diferença) entre duas versões de um arquivo. Os arquivos de instalação expressa são maiores do que as atualizações distribuídas aos computadores clientes porque o arquivo de instalação expressa contém todas as versões possíveis de cada arquivo a ser atualizado.

Você pode usar arquivos de instalação expressa para limitar a largura de banda consumida na rede local, porque o WSUS transmite apenas o delta aplicável a uma versão específica de um componente atualizado. No entanto, isso tem o custo de largura de banda adicional entre o servidor WSUS, qualquer servidor WSUS upstream e o Microsoft Update, e requer espaço em disco local adicional. Por padrão, o WSUS não usa arquivos de instalação expressa.

Nem todas as atualizações são boas candidatas para distribuição usando arquivos de instalação expressa. Se você selecionar essa opção, obterá arquivos de instalação expressa para todas as atualizações. Se você não armazenar atualizações localmente, o Windows Update Agent decidirá se deseja baixar os arquivos de instalação expressa ou as distribuições de atualização de arquivo completo.

Implementação de grande atualização

Ao implantar atualizações grandes (como service packs), você pode evitar saturar a rede usando as seguintes práticas:

1. Utilize a limitação de velocidade do BITS (Serviço de Transferência Inteligente em Segundo Plano). As limitações de largura de banda do BITS podem ser controladas pela hora do dia, mas se aplicam a todos os aplicativos que usam o BITS. Para saber como controlar a limitação do BITS, consulte Políticas de grupo.

2. Use a limitação dos Serviços de Informações da Internet (IIS) para regular a utilização de um ou mais serviços Web.

3. Use grupos de computadores para controlar a distribuição. Um computador cliente identifica-se como membro de um determinado grupo de computadores quando envia informações para o servidor WSUS. O servidor WSUS usa essas informações para determinar quais atualizações devem ser implantadas neste computador. Você pode configurar vários grupos de computadores e aprovar sequencialmente downloads de service packs grandes para um subconjunto desses grupos.

Serviço de transferência inteligente em segundo plano

O WSUS utiliza o protocolo BITS (Serviço de Transferência Inteligente em Segundo Plano) para todas as suas tarefas de transferência de ficheiros. Isso inclui downloads para computadores clientes e sincronizações de servidores. O BITS permite que os programas baixem arquivos usando largura de banda sobressalente. O BITS mantém transferências de arquivos por meio de desconexões de rede e reinicializações do computador. Para obter mais informações, consulte: Serviço de transferência inteligente em segundo plano.

1.7. Planejar configurações de Atualizações Automáticas

Pode especificar um prazo para aprovar atualizações no servidor WSUS. O prazo faz com que os computadores clientes instalem a atualização em um momento específico, mas há várias situações diferentes, dependendo se o prazo expirou, se há outras atualizações na fila para o computador instalar e se a atualização (ou outra atualização na fila) requer uma reinicialização.

Por padrão, as Atualizações Automáticas sondam o servidor WSUS em busca de atualizações aprovadas a cada 22 horas, menos um deslocamento aleatório. Se for necessário instalar novas atualizações, elas serão baixadas. O tempo entre cada ciclo de deteção pode ser manipulado de 1 a 22 horas.

Você pode manipular as opções de notificação da seguinte maneira:

1. Se as Atualizações Automáticas estiverem configuradas para notificar o usuário sobre atualizações que estão prontas para serem instaladas, a notificação será enviada para o log do Sistema e para a área de notificação do computador cliente.

2. Quando um usuário com credenciais apropriadas seleciona o ícone da área de notificação, as Atualizações Automáticas exibem as atualizações disponíveis para instalação. O usuário deve selecionar Instalar para iniciar a instalação. Será exibida uma mensagem se a atualização exigir que o computador seja reiniciado para concluir a atualização. Se for solicitada uma reinicialização, as Atualizações Automáticas não poderão detetar atualizações adicionais até que o computador seja reiniciado.

Se as Atualizações Automáticas estiverem configuradas para instalar atualizações em um cronograma definido, as atualizações aplicáveis serão baixadas e marcadas como prontas para instalação. As Atualizações Automáticas notificam os usuários que têm credenciais apropriadas usando um ícone de área de notificação e um evento é registrado no log do sistema.

No dia e hora agendados, as Atualizações Automáticas instalam a atualização e reiniciam o computador (se necessário), mesmo que nenhum administrador local esteja conectado. Se um administrador local estiver conectado e o computador precisar ser reiniciado, as Atualizações Automáticas exibirão um aviso e uma contagem regressiva para a reinicialização. Caso contrário, a instalação ocorre em segundo plano.

Se o computador precisar ser reiniciado e qualquer usuário estiver conectado, uma caixa de diálogo de contagem regressiva semelhante será exibida, avisando o usuário sobre a reinicialização iminente. Você pode manipular as reinicializações do computador com a Diretiva de Grupo.

Depois que as novas atualizações são baixadas, as Atualizações Automáticas pesquisam o servidor WSUS para obter a lista de pacotes aprovados para confirmar se os pacotes baixados ainda são válidos e aprovados. Isso significa que, se um administrador do WSUS remover atualizações da lista de atualizações aprovadas enquanto as Atualizações Automáticas estiverem baixando atualizações, somente as atualizações que ainda forem aprovadas serão realmente instaladas.

Próximo passo