Manter clientes e servidores atualizados é uma das regras básicas da Tecnologia da Informação. Há muitas maneiras de atualizar computadores, dependendo da dimensão da sua empresa. No final de tudo, existem três possibilidades:

  • Gerenciado com o Windows Update padrão
  • Gerenciado com o WSUS
  • Gerenciado com SCCM

O último é usado por empresas de médio e grande porte porque o System Center Configuration Manager não é apenas um gerenciador de arquivos de correção, mas também uma plataforma completa para administrar toda a infraestrutura de TI. Neste artigo, vamos ver como gerenciar clientes e servidores com o WSUS.

O Windows Server Update Services é uma função presente no Windows Server desde 2008, mas existe desde 2001, quando o nome era apenas Software Update Services. O WSUS permite que os administradores gerenciem a distribuição de atualizações e correções críticas lançadas para produtos Microsoft em computadores em um ambiente corporativo.

Instalar e configurar o WSUS

Para habilitar o WSUS é necessário selecionar a função no Gerenciador de Servidores, como mostrado na figura 1.

2019_01_03_wsus-01

Deixe todas as configurações mas selecione o tipo de função que está ativa – figura 2. A configuração clássica usa o Banco de Dados Interno do Windows, com base no SQL Express, totalmente gerenciado pelo Windows.

2019_01_03_wsus-02

Para aumentar o desempenho, é possível usar o banco de dados no SQL Server; isso pode ajudar a reduzir o esforço na máquina do WSUS sobre CPU e RAM. Esse cenário também é útil quando há muitos computadores. Obviamente, o custo desta escolha não é brincadeira, a menos que tenha uma licença SQL já paga, não é uma possibilidade.

A última etapa desse assistente é selecionar o caminho do conteúdo: isso deve ser formatado em NTFS e o tamanho deve ter pelo menos 150 GB. Se usar uma máquina virtual, adicione um disco dedicado apenas ao WSUS.

2019_01_03_wsus-03

Confirme toda a seleção e feche o assistente. No final do procedimento, poderá abrir o console a partir do menu Iniciar.

2019_01_03_wsus-04

O assistente permite configurar:

  • Servidor Upstream: se o servidor for master ou source
  • Idioma das Atualizações
  • Produtos para gerenciar
  • Classificação
  • Horário da programação (sugiro pelo menos 4 de sincronização por dia)

Eu não vou falar sobre esses detalhes porque são muito fáceis, o único ponto que será apresentado é a classificação porque ser necessário selecionar todas as caixas de seleção para fornecer atualizações para tudo. Sobre os Produtos, apenas o Windows Server 2019 será selecionado, mas é preciso escolher o sistema operacional e os softwares presentes em sua infraestrutura.

NB: lembre-se que o Office 365 ProPlus não pode ser gerenciado via WSUS. O produto está presente no catálogo, mas, a menos que você tenha o SCCM, não há como fornecer atualizações. Mais detalhes estão disponíveis neste artigo: blogs.technet.microsoft.com/wsus/2016/04/13/office-365-client-updates-via-wsus

Política de grupo

Enquanto isso, o WSUS está trabalhando para sincronizar o catálogo, com tempo para criar a Política de Grupo e configurar os computadores para usar o servidor local para armazenar atualizações. Neste aspecto importante por existir muitas opções sobre a estratégia a aplicar. É necessário definir a política de instalação automática para clientes, mas para a maioria dos servidores deve ser definido o modo de download apenas e instalar as atualizações manualmente durante o horário não comercial; a propósito, pode ser o caso de existir um monte de servidores que podem ser instalados automaticamente (depende se houver um aplicativo crítico de linha de negócios).

Crie um novo GPO chamado Gerenciar WSUS – Servidor (para o cliente pode ser Gerenciar WSUS – Cliente) na unidade organizacional em que os servidores são colocados; não esqueça os Controladores de Domínio da UO para evitar o download das correções externas para cada CD.

Os parâmetros para gerenciar atualizações estão disponíveis na pasta Configuração do Computador – Políticas – Modelos Administrativos – Componentes do Windows – Windows Update

2019_01_03_wsus-06

As configurações mais importantes para as alterações são:

  • Configurar Atualizações Automáticas : Ativado – Download automático e notificar para instalação – Todos os dias
  • Especificar o local do serviço de atualização da Microsoft na intranet – Habilitado – defina o caminho do WSUS no formato FQDN (por exemplo, http://myserver.contoso.com:8530) para as duas linhas
  • Freqüência de detecção de Atualizações Automáticas – Ativada – defina o intervalo a cada 1 hora

Grupos

Para gerenciar melhor os computadores, o WSUS usa um grupo lógico para implantar atualizações aprovadas. Um único computador pode ser membro de muitos grupos; Assim, pode-se implantar correções com base no escopo. Para criar um novo grupo, clique com o botão direito do mouse em Computers – All computers e selecione Add Computer Group… – figura 6.

2019_01_03_wsus-05

NB: o nome do grupo não pode ser alterado após a criação, portanto, decida a convenção de nomenclatura antes de iniciar.

Para atribuir um computador ou muitos a um grupo, selecione-o e escolha Change Membership, conforme mostrado na figura 7.

2019_01_03_wsus-07

Depois de atribuir clientes e servidores a grupos-alvo corretos, siga para aprovar as atualizações. Na área Updates – All Updates, é possível ver todas as correções que devem ser implantadas em nossa infraestrutura. A sugestão é alterar a visão da tabela – figura 8 – adicionando as colunas Supersedence e Needed Count . Isso pode ajudar a despejar atualizações antigas e entender quantos computadores precisam de uma atualização específica.

2019_01_03_wsus-08

Lembre-se de recusar todas as atualizações já expiradas, você pode detectá-las pelo ícone mostrado na coluna Supersedence – figura 9.

2019_01_03_wsus-09

Para aprovar as atualizações, clique nelas e use o botão direito do mouse no menu Approve… – figura 10.

2019_01_03_wsus-10

Selecione o grupo-alvo para aplicar as atualizações – figura 11 – e clique em OK.

2019_01_03_wsus-11

O WSUS começará a obter os pacotes do Catálogo da Microsoft – figura 12. O tempo de execução depende da sua conexão com a Internet. Depois disso, os pontos de extremidade estão disponíveis para detectar as novas atualizações do WSUS.

2019_01_03_wsus-12

Instalar atualizações no cliente

Abra o painel do Windows Update em sua máquina e verifique a presença de novos itens. Como é possível ver, há uma mensagem de aviso que informa a substituição de configuração do administrador sobre essa área.

2019_01_03_wsus-13

Se optar por baixar e instalar as atualizações, a tarefa será executada durante o período selecionado no GPO. Caso contrário, as atualizações estarão disponíveis para instalação.

Solução de problemas

Na área de opções, há uma ótima ferramenta para limpar seu servidor. Por exemplo, é possível excluir atualizações expiradas ou computadores que não estão mais presentes em seu ambiente. É importante executar esse assistente pelo menos uma vez por mês, para manter o dimensionamento do banco de dados mais baixo e evitar o uso de espaço em disco.

2019_01_03_wsus-14

Migrar pasta de conteúdo

Caso queira migrar a pasta do repositório, siga estas etapas:

  • Abra um comando no diretório de instalação do WSUS – (ex. C:\Arquivos de Programas\Serviços de Atualização\Ferramentas)
  • Execute o comando exe movecontent “novo caminho para o conteúdo” “novo caminho para logs”

Essa operação pode exigir horas, portanto, tenha cuidado para executar o comando fora do horário comercial.

Migrar banco de dados

Caso queira migrar seu banco de dados de outro banco de dados remoto talvez um SQL Server possa ajudar, siga a documentação oficial do Microsoft Docs: docs.microsoft.com/pt-br/windows-server/administration/windows-server-update-services/manage/wid-to-sql-migration

Consideração

O Windows Server Update Services deve ser uma necessidade dentro de todas as empresas para automatizar e simplificar o gerenciamento de correções. Como vimos, em algumas etapas, instalamos e ativamos as funções para fornecer atualizações para todos os computadores de nossa infraestrutura.

(Inglês, Francês, Espanhol)



Como manter atualizados seus computadores com o WSUS
Iperius Backup Brasil
*****************************************

PLEASE NOTE: if you need technical support or have any sales or technical question, don't use comments. Instead open a TICKET here: https://www.iperiusbackup.com/contact.aspx

*****************************************

Comments

  1. Marcus Silva

    Olá, como faço para aprovar os updates que aprovei para um determinado grupo para outro grupo?

Leave a Reply to Marcus Silva Cancel reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

*****************************************

PLEASE NOTE: if you need technical support or have any sales or technical question, don't use comments. Instead open a TICKET here: https://www.iperiusbackup.com/contact.aspx

*****************************************