Manter clientes e servidores atualizados é uma das regras básicas da Tecnologia da Informação. Há muitas maneiras de atualizar computadores, dependendo da dimensão da sua empresa. No final de tudo, existem três possibilidades:
- Gerenciado com o Windows Update padrão
- Gerenciado com o WSUS
- Gerenciado com SCCM
O último é usado por empresas de médio e grande porte porque o System Center Configuration Manager não é apenas um gerenciador de arquivos de correção, mas também uma plataforma completa para administrar toda a infraestrutura de TI. Neste artigo, vamos ver como gerenciar clientes e servidores com o WSUS.
O Windows Server Update Services é uma função presente no Windows Server desde 2008, mas existe desde 2001, quando o nome era apenas Software Update Services. O WSUS permite que os administradores gerenciem a distribuição de atualizações e correções críticas lançadas para produtos Microsoft em computadores em um ambiente corporativo.
Instalar e configurar o WSUS
Para habilitar o WSUS é necessário selecionar a função no Gerenciador de Servidores, como mostrado na figura 1.
Deixe todas as configurações mas selecione o tipo de função que está ativa – figura 2. A configuração clássica usa o Banco de Dados Interno do Windows, com base no SQL Express, totalmente gerenciado pelo Windows.
Para aumentar o desempenho, é possível usar o banco de dados no SQL Server; isso pode ajudar a reduzir o esforço na máquina do WSUS sobre CPU e RAM. Esse cenário também é útil quando há muitos computadores. Obviamente, o custo desta escolha não é brincadeira, a menos que tenha uma licença SQL já paga, não é uma possibilidade.
A última etapa desse assistente é selecionar o caminho do conteúdo: isso deve ser formatado em NTFS e o tamanho deve ter pelo menos 150 GB. Se usar uma máquina virtual, adicione um disco dedicado apenas ao WSUS.
Confirme toda a seleção e feche o assistente. No final do procedimento, poderá abrir o console a partir do menu Iniciar.
O assistente permite configurar:
- Servidor Upstream: se o servidor for master ou source
- Idioma das Atualizações
- Produtos para gerenciar
- Classificação
- Horário da programação (sugiro pelo menos 4 de sincronização por dia)
Eu não vou falar sobre esses detalhes porque são muito fáceis, o único ponto que será apresentado é a classificação porque ser necessário selecionar todas as caixas de seleção para fornecer atualizações para tudo. Sobre os Produtos, apenas o Windows Server 2019 será selecionado, mas é preciso escolher o sistema operacional e os softwares presentes em sua infraestrutura.
NB: lembre-se que o Office 365 ProPlus não pode ser gerenciado via WSUS. O produto está presente no catálogo, mas, a menos que você tenha o SCCM, não há como fornecer atualizações. Mais detalhes estão disponíveis neste artigo: blogs.technet.microsoft.com/wsus/2016/04/13/office-365-client-updates-via-wsus
Política de grupo
Enquanto isso, o WSUS está trabalhando para sincronizar o catálogo, com tempo para criar a Política de Grupo e configurar os computadores para usar o servidor local para armazenar atualizações. Neste aspecto importante por existir muitas opções sobre a estratégia a aplicar. É necessário definir a política de instalação automática para clientes, mas para a maioria dos servidores deve ser definido o modo de download apenas e instalar as atualizações manualmente durante o horário não comercial; a propósito, pode ser o caso de existir um monte de servidores que podem ser instalados automaticamente (depende se houver um aplicativo crítico de linha de negócios).
Crie um novo GPO chamado Gerenciar WSUS – Servidor (para o cliente pode ser Gerenciar WSUS – Cliente) na unidade organizacional em que os servidores são colocados; não esqueça os Controladores de Domínio da UO para evitar o download das correções externas para cada CD.
Os parâmetros para gerenciar atualizações estão disponíveis na pasta Configuração do Computador – Políticas – Modelos Administrativos – Componentes do Windows – Windows Update
As configurações mais importantes para as alterações são:
- Configurar Atualizações Automáticas : Ativado – Download automático e notificar para instalação – Todos os dias
- Especificar o local do serviço de atualização da Microsoft na intranet – Habilitado – defina o caminho do WSUS no formato FQDN (por exemplo, http://myserver.contoso.com:8530) para as duas linhas
- Freqüência de detecção de Atualizações Automáticas – Ativada – defina o intervalo a cada 1 hora
Grupos
Para gerenciar melhor os computadores, o WSUS usa um grupo lógico para implantar atualizações aprovadas. Um único computador pode ser membro de muitos grupos; Assim, pode-se implantar correções com base no escopo. Para criar um novo grupo, clique com o botão direito do mouse em Computers – All computers e selecione Add Computer Group… – figura 6.
NB: o nome do grupo não pode ser alterado após a criação, portanto, decida a convenção de nomenclatura antes de iniciar.
Para atribuir um computador ou muitos a um grupo, selecione-o e escolha Change Membership, conforme mostrado na figura 7.
Depois de atribuir clientes e servidores a grupos-alvo corretos, siga para aprovar as atualizações. Na área Updates – All Updates, é possível ver todas as correções que devem ser implantadas em nossa infraestrutura. A sugestão é alterar a visão da tabela – figura 8 – adicionando as colunas Supersedence e Needed Count . Isso pode ajudar a despejar atualizações antigas e entender quantos computadores precisam de uma atualização específica.
Lembre-se de recusar todas as atualizações já expiradas, você pode detectá-las pelo ícone mostrado na coluna Supersedence – figura 9.
Para aprovar as atualizações, clique nelas e use o botão direito do mouse no menu Approve… – figura 10.
Selecione o grupo-alvo para aplicar as atualizações – figura 11 – e clique em OK.
O WSUS começará a obter os pacotes do Catálogo da Microsoft – figura 12. O tempo de execução depende da sua conexão com a Internet. Depois disso, os pontos de extremidade estão disponíveis para detectar as novas atualizações do WSUS.
Instalar atualizações no cliente
Abra o painel do Windows Update em sua máquina e verifique a presença de novos itens. Como é possível ver, há uma mensagem de aviso que informa a substituição de configuração do administrador sobre essa área.
Se optar por baixar e instalar as atualizações, a tarefa será executada durante o período selecionado no GPO. Caso contrário, as atualizações estarão disponíveis para instalação.
Solução de problemas
Na área de opções, há uma ótima ferramenta para limpar seu servidor. Por exemplo, é possível excluir atualizações expiradas ou computadores que não estão mais presentes em seu ambiente. É importante executar esse assistente pelo menos uma vez por mês, para manter o dimensionamento do banco de dados mais baixo e evitar o uso de espaço em disco.
Migrar pasta de conteúdo
Caso queira migrar a pasta do repositório, siga estas etapas:
- Abra um comando no diretório de instalação do WSUS – (ex. C:\Arquivos de Programas\Serviços de Atualização\Ferramentas)
- Execute o comando exe movecontent “novo caminho para o conteúdo” “novo caminho para logs”
Essa operação pode exigir horas, portanto, tenha cuidado para executar o comando fora do horário comercial.
Migrar banco de dados
Caso queira migrar seu banco de dados de outro banco de dados remoto talvez um SQL Server possa ajudar, siga a documentação oficial do Microsoft Docs: docs.microsoft.com/pt-br/windows-server/administration/windows-server-update-services/manage/wid-to-sql-migration
Consideração
O Windows Server Update Services deve ser uma necessidade dentro de todas as empresas para automatizar e simplificar o gerenciamento de correções. Como vimos, em algumas etapas, instalamos e ativamos as funções para fornecer atualizações para todos os computadores de nossa infraestrutura.
Olá, como faço para aprovar os updates que aprovei para um determinado grupo para outro grupo?
Hi,
Unfortunately we are not be able to reply you about this topic, you should consult the Microsoft documentation.
For more technical question, please open a a ticket on https://support.iperius.net