Entender e explorar Introdução às atualizações de software Ícones usados para as atualizações de software Planejamento e design Planejar atualizações

(1)

Introdução às atualizações de software no System

Center Configuration Manager

11/01/2018 • 45 min to read • Edit Online

Sincronização das atualizações de software

OBSERVAÇÃO OBSERVAÇÃO

Aplica-se a: System Center Configuration Manager (Branch Atual)

As atualizações de software no System Center Configuration Manager fornecem um conjunto de ferramentas e recursos que podem ajudar a gerenciar a tarefa complexa de acompanhar e aplicar atualizações de software aos computadores cliente da empresa. Um processo eficiente de gerenciamento de atualização de software é necessário para manter a eficiência operacional, solucionar problemas de segurança e manter a estabilidade da infraestrutura de rede. No entanto, devido à natureza variável da tecnologia e ao aparecimento contínuo de novas ameaças à segurança, a eficiência do gerenciamento de atualização de software exige atenção consistente e contínua.

Para obter um exemplo que mostra como você pode implantar atualizações de software em seu ambiente, consulte Cenário de exemplo para implantar atualizações de software de segurança.

A sincronização de atualizações de software no Configuration Manager se conecta ao Microsoft Update para recuperar metadados de atualizações de software. O site de nível superior (site de administração central ou site primário autônomo) sincroniza com o Microsoft Update em um horário agendado ou quando você inicia a sincronização manualmente no console do Configuration Manager. Quando o Configuration Manager terminar a sincronização das atualizações de software no site de nível superior, a sincronização das atualizações de software se iniciará nos sites filho, se existirem. Quando sincronização termina em cada site primário ou secundário, uma política de site é criada para fornecer aos computadores cliente o local dos pontos de atualização de software.

As atualizações de software são habilitadas por padrão nas configurações do cliente. No entanto, se você não definir a configuração do cliente Habilitar as atualizações de software em clientes para Não para desabilitar as atualizações de software em um coleção ou nas configurações padrão, o local dos pontos de atualização de software não será enviado aos clientes associados. Para obter detalhes, veja Configurações do cliente para atualizações de software.

Depois que o cliente recebe a política, ele inicia uma verificação da conformidade das atualizações de software e grava as informações no WMI (Windows Management Instrumentation). Em seguida, as informações de

conformidade são enviadas ao ponto de gerenciamento que, por sua vez, envia as informações ao servidor do site. Para obter mais informações sobre avaliação de conformidade, consulte a seção Software updates compliance assessment neste tópico.

É possível instalar vários pontos de atualização de software em um site primário. O primeiro ponto de atualização de software que você instala é configurado como a origem da sincronização. A sincronização acontece no Microsoft Update ou em um servidor WSUS, não na hierarquia do Configuration Manager. Os outros pontos de atualização de software do site usam o primeiro ponto de atualização de software como a origem da sincronização.

(4)

Sincronização no site de nível superior Sincronização no site de nível superior

Sincronização em sites primários e secundários filho Sincronização em sites primários e secundários filho

Quando o processo de sincronização de atualizações de software termina no site de nível superior, os metadados das atualizações de software são replicados nos sites filho por meio da replicação de banco de dados. Ao conectar um console do Configuration Manager ao site filho, o Configuration Manager exibe os metadados das atualizações de software. No entanto, até você instalar e configurar um ponto de atualização de software no site, os clientes não verificarão a conformidade das atualizações de software, não relatarão informações de conformidade para o Configuration Manager, e você não poderá implantar atualizações de software com êxito.

O processo de sincronização de atualizações de software no site de nível superior recupera do Microsoft Update os metadados das atualizações de software que atendem aos critérios especificados em Propriedades do Componente de Ponto de Atualização de Software. Você define os critérios apenas no site de nível superior.

É possível especificar um servidor WSUS existente que não está na hierarquia do Configuration Manager, em vez de Microsoft Updates como a origem da sincronização.

A lista a seguir descreve as etapas básicas do processo de sincronização no site de nível superior: 1. A sincronização de atualizações de software inicia.

2. O Gerenciador de Sincronização do WSUS envia uma solicitação ao WSUS em execução no ponto de atualização de software para iniciar a sincronização com o Microsoft Update.

3. Os metadados das atualizações de software são sincronizados no Microsoft Update e as alterações são inseridas ou atualizadas no banco de dados do WSUS.

4. Quando o WSUS termina a sincronização, o Gerenciador de Sincronização do WSUS sincroniza os metadados das atualizações de software do banco de dados do WSUS com o banco de dados do

Configuration Manager, e as alterações após a última sincronização são inseridas ou atualizadas no banco de dados do site. Os metadados das atualizações de software são armazenados no banco de dados do site como item de configuração.

5. Os itens de configuração das atualizações de software são enviados aos sites filho por meio da replicação de banco de dados.

6. Quando a sincronização termina com êxito, o Gerenciador de Sincronização do WSUS cria a mensagem de status 6702.

7. O Gerenciador de Sincronização do WSUS envia uma solicitação de sincronização para todos os sites filho. 8. O Gerenciador de Sincronização do WSUS envia uma solicitação por vez ao WSUS em execução em outros

pontos de atualização de software do site. Os servidores WSUS dos outros pontos de atualização de software são configurados para serem réplicas do WSUS em execução no ponto de atualização de software padrão do site.

Durante o processo de sincronização de atualizações de software no site de nível superior, os itens de configuração das atualizações de software são replicados nos sites filho por meio da replicação de banco de dados. No fim do processo, o site de nível superior envia uma solicitação de sincronização ao site filho, que inicia a sincronização do WSUS. A lista a seguir fornece as etapas básicas do processo de sincronização em um site primário ou secundário filho:

(5)

Software updates compliance assessment

Estados de conformidade das atualizações de software Estados de conformidade das atualizações de software 2. A sincronização de atualizações de software inicia.

3. O Gerenciador de Sincronização do WSUS faz uma solicitação para o WSUS em execução no ponto de atualização de software para iniciar a sincronização.

4. O WSUS em execução no ponto de atualização de software no site filho sincroniza os metadados de atualizações de software do WSUS em execução no ponto de atualização de software no site pai.

5. Quando a sincronização termina com êxito, o Gerenciador de Sincronização do WSUS cria a mensagem de status 6702.

6. Em um site primário, o Gerenciador de Sincronização do WSUS envia uma solicitação de sincronização para qualquer site secundário filho. O site secundário inicia a sincronização das atualizações de software com o site primário pai. O site secundário é configurado como uma réplica do WSUS em execução no site pai. 7. O Gerenciador de Sincronização do WSUS envia uma solicitação por vez ao WSUS em execução em outros

pontos de atualização de software do site. Os servidores WSUS dos outros pontos de atualização de software são configurados para serem réplicas do WSUS em execução no ponto de atualização de software padrão do site.

Antes de você implantar atualizações de software em computadores cliente no Configuration Manager, inicie a verificação da conformidade das atualizações de software nos computadores cliente. Para cada atualização de software, uma mensagem de estado é criada contendo o estado de conformidade da atualização. As mensagens de estado são enviadas em massa para o ponto de gerenciamento e depois para o servidor do site, onde o estado de conformidade é inserido no banco de dados do site. O estado de conformidade das atualizações de software é exibido no console do Configuration Manager. Você pode implantar e instalar atualizações de software nos computadores que precisam dessas atualizações. As seções a seguir fornecem informações sobre os estados de conformidade e descreve o processo da verificação da conformidade das atualizações de software.

A seguir veja uma lista e descrição de cada estado de conformidade que é exibido no console do Configuration Manager para as atualizações de software.

Necessária

Especifica que a atualização de software é aplicável e necessária no computador cliente. Qualquer uma das condições a seguir pode ser válida quando o estado da atualização de software é Necessária:

A atualização de software não foi implantada no computador cliente.

A atualização de software foi instalada no computador cliente. No entanto, a mensagem de estado mais recente ainda não foi inserida no banco de dados do servidor do site. O computador cliente repete a verificação da atualização após o término da instalação. Pode haver um atraso de até dois minutos para o cliente enviar o estado atualizado ao ponto de gerenciamento que, por sua vez, encaminha o estado atualizado ao servidor do site.

A atualização de software foi instalada no computador cliente. No entanto, a instalação da atualização de software requer a reinicialização do computador para ser concluída.

A atualização de software foi implantada no computador cliente, mas ainda não foi instalada. Não necessário

Especifica que a atualização de software não é aplicável no computador cliente. Portanto, a atualização de software não é necessária.

(6)

Examinar o processo de conformidade das atualizações de software Examinar o processo de conformidade das atualizações de software

Especifica que a atualização de software é aplicável ao computador cliente e que o computador cliente já tem a atualização de software instalada.

Desconhecida

Especifica que o servidor do site não recebeu uma mensagem de estado do computador cliente, normalmente porque:

O computador cliente não verificou com êxito a conformidade das atualizações de software. A verificação foi concluída com êxito no computador cliente. No entanto, a mensagem de estado ainda não foi processada no servidor do site, talvez devido a um acúmulo de mensagens de estado. A verificação foi concluída com êxito no computador cliente, mas a mensagem de estado não foi enviada pelo site filho.

A verificação foi concluída com êxito no computador cliente, mas o arquivo da mensagem de estado foi corrompido de alguma maneira e não pôde ser processado.

Quando o ponto de atualização de software é instalado e sincronizado, uma política de computador de todo o site é criada, informando aos computadores cliente de que as atualizações de software do Configuration Manager foram habilitadas para o site. Quando um cliente recebe a política de computador, uma verificação de avaliação de conformidade é agendada para iniciar aleatoriamente nas próximas duas horas. Quando a verificação é iniciada, um processo do Agente Cliente de Atualizações de Software apaga o histórico de verificações, envia uma solicitação para localizar o servidor WSUS que deve ser usado na verificação e atualiza a Política de Grupo local com o local do servidor WSUS.

Clientes baseados na Internet devem se conectar ao servidor do WSUS usando SSL.

Uma solicitação de verificação é passada para o WUA (Windows Update Agent). O WUA, em seguida, conecta-se ao local do servidor do WSU que está listado na política local, recupera os metadados de atualizações de software sincronizados no servidor do WSUS e verifica as atualizações no computador do cliente. Um processo do Agente Cliente de Atualizações de Software detecta que a verificação de conformidade foi concluída e cria mensagens de estado para cada atualização que foi alterada em conformidade com o estado, após a última verificação. As mensagens de estado são enviadas para o ponto de gerenciamento em massa a cada 15 minutos. O ponto de gerenciamento, em seguida, encaminha as mensagens de estado para o servidor do site, onde são inseridas no banco de dados do servidor do site.

Após a verificação inicial de conformidade das atualizações de software, a verificação é iniciada na agenda de verificação configurada. No entanto, se o cliente tiver verificado a conformidade das atualizações de software no período de tempo indicado pelo valor TTL (Vida Útil), usará o software de metadados de atualizações que é armazenado localmente. Quando a última verificação estiver fora do TTL, o cliente deverá se conectar ao WSUS em execução no ponto de atualização de software e atualizar os metadados de atualizações de software armazenados no cliente.

Incluindo o agendamento da verificação, a verificação de conformidade das atualizações de software pode ter início das seguintes maneiras:

Agendamento de verificação das atualizações de software: a verificação de conformidade das atualizações de software começa no agendamento de verificação definido nas configurações do Agente Cliente de Atualizações de Software. Para obter mais informações sobre como definir as configurações do cliente de Atualizações de Software, veja Configurações do cliente de Atualizações de Software.

(7)

Valor de vida útil Valor de vida útil

Examinar os tipos de conformidade das atualizações de software Examinar os tipos de conformidade das atualizações de software

Ação Propriedades do Configuration Manager: o usuário pode iniciar a ação Ciclo de Verificação de Atualizações de Software ou Ciclo de Avaliação de Implantação de Atualizações de Software na guia Ação na caixa de diálogo Propriedades do Configuration Manager no computador cliente. Agendamento de reavaliação da implantação: a avaliação da implantação e a verificação de conformidade das atualizações de software começam no agendamento de reavaliação da implantação definido nas configurações do Agente Cliente de Atualizações de Software. Para obter mais informações sobre as configurações do cliente de Atualizações de Software, veja Configurações do cliente de Atualizações de Software.

Antes de baixar arquivos de atualização: quando um computador cliente recebe uma política de atribuição de uma nova implantação necessária, o Agente Cliente de Atualizações de Software baixa os arquivos de atualização no cache local do cliente. Para baixar os arquivos de atualização de software, o agente cliente inicia uma varredura para verificar se a atualização de software ainda é necessária.

Antes da instalação da atualização de software: logo antes da instalação da atualização de software, o Agente Cliente de Atualizações de Software inicia uma verificação para confirmar se as atualizações de software ainda são necessárias.

Após a instalação da atualização de software: logo após uma instalação de atualização de software ser concluída, o Agente Cliente de Atualizações de Software inicia uma verificação para confirmar se as

atualizações não são mais necessárias e cria uma nova mensagem de estado que indica que a atualização de software foi instalada. Quando a instalação é concluída, mas uma reinicialização é necessária, a mensagem de estado indica que uma reinicialização está pendente no computador cliente.

Após a reinicialização do sistema: quando uma reinicialização do sistema está pendente no computador cliente para que a instalação da atualização de software seja concluída, o Agente Cliente de Atualizações de Software inicia uma verificação após a reinicialização para confirmar se a atualização de software não é mais necessária e cria uma mensagem de estado que indica que a atualização de software está instalada.

Os metadados de atualizações de software necessários na verificação de conformidade das atualizações são armazenados no computador cliente local e, por padrão, são relevantes por até 24 horas. Esse valor é conhecido como TTL (Vida Útil).

O cliente verifica a conformidade das atualizações de software usando uma verificação online ou offline e uma verificação forçada ou não forçada, dependendo da forma pela qual a conformidade das atualizações de software é iniciada. A seguir há uma descrição dos métodos online ou offline para iniciar a verificação e se ela é forçada ou não forçada.

Agendamento da verificação das atualizações de software (verificação online não forçada) No agendamento de verificação configurado, o cliente só se conecta ao WSUS em execução no ponto de atualização de software para recuperar os metadados das atualizações de software quando a última verificação está fora do TTL.

Ciclo de Verificação de Atualizações de Software ou Ciclo de Avaliação de Implantação de Atualizações de Software (verificação online forçada)

O computador cliente sempre se conecta ao WSUS em execução no ponto de atualização de software para recuperar os metadados das atualizações de software antes de o computador cliente verificar a

conformidade das atualizações de software. Após a conclusão da verificação, o contador de TTL é redefinido. Por exemplo, se o TTL for 24 horas, depois que um usuário inicia uma verificação de conformidade das atualizações de software o TTL é redefinido para 24 horas.

(8)

Pacotes de implantação de atualização de software

IMPORTANTE IMPORTANTE

No agendamento de reavaliação da implantação configurado, o cliente só se conecta ao WSUS em execução no ponto de atualização de software para recuperar os metadados das atualizações de software quando a última verificação está fora do TTL.

Antes de baixar arquivos de atualização (verificação online não forçada)

Para que o cliente possa baixar os arquivos de atualização em implantações necessárias, ele só se conecta ao WSUS em execução no ponto de atualização de software para recuperar os metadados das atualizações de software quando a última verificação está fora do TTL.

Antes da instalação da atualização de software (verificação online não forçada)

Para que o cliente instale as atualização de software em implantações necessárias, ele só se conecta ao WSUS em execução no ponto de atualização de software para recuperar os metadados das atualizações de software quando a última verificação está fora do TTL.

Antes da instalação da atualização de software (verificação offline forçada)

Depois que uma atualização de software é instalada, o Agente Cliente de Atualizações de Software inicia uma verificação usando os metadados locais. O cliente nunca se conecta ao WSUS em execução no ponto de atualização de software para recuperar metadados de atualizações de software.

Após a reinicialização do sistema (verificação offline forçada)

Depois que uma atualização de software é instalada e o computador é reiniciado, o Agente Cliente de Atualizações de Software inicia uma verificação usando os metadados locais. O cliente nunca se conecta ao WSUS em execução no ponto de atualização de software para recuperar metadados de atualizações de software.

Um pacote de implantação de atualização de software é o veículo usado para baixar atualizações de software para uma pasta de rede compartilhada, e copiar os arquivos de origem de atualização na biblioteca de conteúdo em servidores de site e nos pontos de distribuição definidos na implantação. Ao usar o Assistente de Atualizações de Downloads, você pode baixar atualizações de software e adicioná-las aos pacotes de implantação antes de implantá-la. Este assistente permite que você provisione atualizações de software nos pontos de distribuição e verifique se esta parte do processo de implantação foi bem-sucedida antes de implantar as atualizações de software nos clientes.

Quando você implanta atualizações de software baixadas usando o Assistente para Implantar Atualizações de Software, a implantação usa automaticamente o pacote de implantação que contém as atualizações de software. Quando atualizações de software que não foram baixadas são implantadas, você deve especificar um pacote de implantação novo ou existente no Assistente para Implantar Atualizações de Software e as atualizações de software são baixadas quando o assistente é concluído.

Você deve criar a pasta de rede compartilhada manualmente para os arquivos de origem do pacote de implantação antes de especificá-los no assistente. Cada pacote de implantação deve usar uma pasta de compartilhamento de rede diferente.

A conta de computador do Provedor de SMS e o usuário administrativo que baixa as atualizações de software, ambos requerem permissões de Gravação na origem do pacote. Restrinja o acesso à origem do pacote para reduzir o risco de ataques aos arquivos de origem de atualizações de software na origem do pacote.

(9)

Fluxos de trabalho de implantação de atualização de software

Implantação manual de atualizações de software Implantação manual de atualizações de software

Implantação automática de atualizações de software Implantação automática de atualizações de software

Quando um novo pacote de implantação é criado, a versão do conteúdo é definida como 1 antes que qualquer atualização de software seja baixada. Quando os arquivos de atualização de software forem baixados com o uso do pacote, a versão do conteúdo é incrementada para 2. Portanto, todos os novos pacotes de implantação começam com uma versão de conteúdo de 2. Sempre que o conteúdo é alterado em um pacote de implantação, a versão do conteúdo é incrementada em 1. Para mais informações, consulte Conceitos fundamentais para o gerenciamento de conteúdo.

Os clientes instalam atualizações de software em uma implantação usando qualquer ponto de distribuição que tem as atualizações de software disponíveis, independentemente do pacote de implantação. Mesmo que um pacote de implantação seja excluído para uma implantação ativa, os clientes ainda podem instalar as atualizações de software na implantação, desde que cada atualização seja baixada para pelo menos outro pacote de implantação e esteja disponível em um ponto de distribuição que possa ser acessado pelo cliente. Quando o último pacote de

implantação que contém uma atualização de software é excluído, os computadores cliente não podem recuperar a atualização de software até que a atualização seja baixada novamente em um pacote de implantação. As

atualizações de software aparecem com uma seta vermelha no console do Configuration Manager quando os arquivos de atualização não estão nos pacotes de implantação. As implantações serão exibidas com uma seta vermelha dupla se contiverem as atualizações nessa condição.

Há dois cenários principais para implantar atualizações de software em seu ambiente, a implantação manual e a implantação automática. Em geral, você implanta atualizações de software manualmente para criar uma linha de base para seus computadores cliente; em seguida, você gerencia as atualizações de software nos clientes usando a implantação automática. As seções a seguir fornecem um resumo do fluxo de trabalho de implantação manual e automática das atualizações de software.

Uma implantação manual de atualizações de software é o processo de selecionar atualizações de software no console do Configuration Manager e iniciar manualmente o processo de implantação. Esse método de implantação é usado geralmente para ter os computadores cliente em dia com as atualizações de software necessárias antes de serem criadas regras de implantação automáticas que gerenciam as implantações de atualização de software mensalmente e continuamente e para implantar requisitos de atualização de software fora da banda. A lista seguinte fornece o fluxo de trabalho geral para implantação manual das atualizações de software:

1. Filtro para atualizações de software que usam requisitos específicos. Por exemplo, você pode fornecer critérios que recuperam toda a segurança ou atualizações críticas de software que são necessárias em mais de 50 computadores cliente.

2. Crie um grupo de atualização de software que contém as atualizações de software. 3. Baixe o conteúdo das atualizações de software no grupo de atualização de software. 4. Implante manualmente o grupo de atualização de software.

A implantação automática de atualizações de software é configurada usando uma ADR (regra de implantação automática). Esse método de implantação geralmente é usado para suas atualizações de software mensais (geralmente conhecidas como "Patch Tuesday") e para o gerenciamento de atualizações de definição. Quando a regra é executada, as atualizações são removidas do grupo de atualização de software (se estiver usar um arquivo de grupo) de software, as atualizações de software que atendem aos critérios especificados (por exemplo, todas as atualizações de software de segurança lançados na última semana) são adicionadas a um grupo de atualização de software, os arquivos de conteúdo das atualizações de software são baixados e copiados nos pontos de distribuição e as atualizações de software são implantadas em computadores clientes na coleção de destino. A lista seguinte fornece o fluxo de trabalho geral para implantação automática das atualizações de software:

(10)

Processo de implantação de atualização de software

1. Crie uma ADR que especifica as configurações de implantação, como as seguintes:

Coleção de destino

Decida se deseja habilitar a implantação ou relatório em conformidade de atualizações de software para os computadores cliente na coleção de destino

Critérios de atualizações de software Agendamento de avaliação e implantação Experiência do usuário

Propriedades do download

2. As atualizações de software são adicionadas a um grupo de atualização de software.

3. O grupo de atualização de software é implantado nos computadores cliente na coleção de destino, se especificada.

Você deve determinar qual estratégia de implantação usar no seu ambiente. Por exemplo, é possível criar a ADR e ter com alvo uma coleção de clientes de teste. Depois de verificar se as atualizações de software estão instaladas no grupo de teste, é possível adicionar uma nova implantação à regra ou alterar a coleção na implantação existente para uma coleção de destino que inclua um conjunto maior de clientes. Os objetos de atualização de software que são criados pelas ADRs são interativos.

As atualizações de software implantadas usando uma ADR são automaticamente implantadas nos novos clientes adicionados à coleção de destino.

Novas atualizações de software adicionadas a um grupo de atualização de software são automaticamente implantadas em clientes na coleção de destino.

É possível habilitar ou desabilitar as implantações a qualquer momento para a ADR.

Depois de criar uma ADR, é possível adicionar outras implantações à regra. Isso pode ajudá-lo a gerenciar a complexidade de implantar diferentes atualizações em diferentes coleções. Cada nova implantação tem a gama completa da funcionalidade e da experiência de monitoramento da implantação, e cada nova implantação que você adicionar:

Usa o mesmo grupo e pacote de atualização que é criado quando o ADR é executado pela primeira vez Pode especificar uma coleção diferente

Dá suporte a propriedades de implantação exclusivas, incluindo: Tempo de ativação

Prazo

Mostrar ou ocultar a experiência do usuário final Alertas separados para esta implantação

Depois de implantar as atualizações de software ou quando uma regra de implementação automática executa e implanta atualizações de software, uma política de atribuição de implantação é adicionada à política do

computador para o site. As atualizações de software são baixadas por meio do local de download, a Internet, ou de uma pasta de rede compartilhada, na origem do pacote. As atualizações de software são copiadas da origem do pacote para a biblioteca de conteúdo no servidor do site, e depois copiadas na biblioteca de conteúdo no ponto de distribuição.

(11)

Reinicialização necessária do sistema Reinicialização necessária do sistema

Ciclo de reavaliação de implantação Ciclo de reavaliação de implantação

Suporte para dispositivos Windows Embedded que usam filtros de

gravação

Quando um computador cliente na coleção de destino da implantação recebe a política do computador, o Agente Cliente de Atualizações de Software começa uma verificação de avaliação. O agente cliente baixa o conteúdo das atualizações de software necessárias de um ponto de distribuição para o cache do cliente local na configuração Tempo disponível do software da implantação e, em seguida, as atualizações do software ficam disponíveis para instalação. As atualizações de software em implantações opcionais (implantações que não têm um prazo de instalação) não são baixadas até que um usuário inicie manualmente a instalação.

Quando o prazo configurado passa, o Agente Cliente de Atualizações de Software realiza uma varredura para verificar se as atualizações de software ainda são necessárias. Em seguida, ele verifica o cache local no computador cliente para ver se os arquivos de origem da atualização ainda estão disponíveis. Por fim, o cliente instala as atualizações de software. Se o conteúdo tiver sido excluído do cache do cliente para liberar espaço para outra implantação, o cliente baixará as atualizações de software do ponto de distribuição no cache. As atualizações de software são sempre baixadas no cache do cliente independentemente do tamanho máximo do cache do cliente configurado. Quando a instalação é concluída, o agente cliente verifica se as atualizações de software não são mais necessárias e, em seguida, envia uma mensagem de estado para o ponto de gerenciamento para indicar que as atualizações estão instaladas no cliente.

Por padrão, quando as atualizações de software de uma implantação necessária são instaladas em um computador cliente e é necessário reiniciar o sistema para a instalação concluir, o sistema é reiniciado. Para atualizações de software instalados antes do prazo, a reinicialização automática do sistema é adiada até prazo, a menos que o computador seja reiniciado antes disso, por algum outro motivo. A reinicialização do sistema pode ser suprimida para servidores e estações de trabalho. Estas definições são configuradas na página Experiência do Usuário do assistente para Implantar Atualizações de Software ou Criar Assistente de Regra de Implantação Automática.

Por padrão, os computadores cliente iniciam um ciclo de reavaliação de implantação a cada 7 dias. Durante esse ciclo de avaliação, o computador cliente verifica atualizações de software que foram implantadas e instaladas anteriormente. Se faltarem atualizações de software, elas serão reinstaladas por meio do cache local. Se uma atualização de software não estiver mais disponível no cache local, será baixada de um ponto de distribuição e depois instalada. Você pode configurar o agendamento da reavaliação na página Atualizações de Software nas configurações do cliente para o site.

Quando você implanta atualizações de software em dispositivos Windows Embedded habilitados com filtro de gravação, pode especificar se quer desabilitar o filtro de gravação no dispositivo durante a implantação e reiniciá-lo após a implantação. Se o filtro de gravação não for desabilitado, o software será implantado em uma sobreposição temporária e não será mais instalado quando o dispositivo for reiniciado, a menos que outras alterações de forças de implantação sejam persistidas.

Ao implantar uma atualização de software em um dispositivo Windows Embedded, verifique se o dispositivo é membro de uma coleção com uma janela de manutenção configurada. Isso permite que você gerencie se o filtro de gravação é desabilitado e habilitado na reinicialização do dispositivo.

A configuração de experiência do usuário que controla o comportamento do filtro de gravação é uma caixa de seleção denominada Confirmar as alterações no prazo ou durante uma janela de manutenção (requer reinicializações).

(12)

Estender as atualizações de software no Configuration Manager

Próximas etapas

de gravação, veja Planejamento para implantação do cliente em dispositivos Windows Embedded.

Use System Center Updates Publisher para gerenciar atualizações de software que não estão disponíveis no Microsoft Update. Depois de publicar as atualizações de software no servidor de atualização e sincronizá-las no Configuration Manager, você pode implantar as atualizações de software nos clientes do Configuration Manager. Para obter mais informações sobre o Updates Publisher, consulte Updates Publisher 2011.

(13)

Ícones usados para as atualizações de software no

System Center Configuration Manager

Ícones de atualizações de software

Ícone normal Ícone normal Ícone expirado Ícone expirado Ícone substituído Ícone substituído

Aplica-se a: System Center Configuration Manager (Branch Atual)

Atualizações de software sincronizadas são exibidas no console do Configuration Manager e a primeira coluna de cada atualização de software contém um ícone que indica um estado específico. Grupos de atualização de software também são representados por um ícone que fornece informações sobre o estado das atualizações de software contidas no grupo. Esta seção fornece informações sobre os ícones de atualização de software e o que cada ícone representa.

Atualizações de software sincronizadas são representadas por um dos ícones a seguir.

O ícone com a seta verde representa uma atualização de software normal. Descrição:

Atualizações de software normais foram sincronizadas e estão disponíveis para implantação de software. Problemas operacionais:

não há problemas operacionais.

O ícone com um X preto representa uma atualização de software expirada. Você também pode identificar as atualizações de software expiradas analisando a coluna Expirada da atualização de software quando ela for exibida no console do Configuration Manager.

Descrição:

Anteriormente, atualizações de software expiradas podiam ser implantadas em computadores cliente, mas após uma atualização de software expirar, novas implantações não podem ser criadas para as atualizações de software. As atualizações de software expiradas são removidas das implantações ativas e não estarão mais disponíveis para os clientes.

Problemas operacionais: não há problemas operacionais.

O ícone com a estrela amarela representa uma atualização de software substituída. Você também pode identificar atualizações de software substituídas analisando a coluna Substituída da atualização de software quando ela for exibida no console do Configuration Manager.

Descrição:

Atualizações de software que foram substituídas por versões mais recentes da atualização de software. Normalmente, uma atualização de software que substitui outra tem uma ou mais das seguintes características:

(14)

Ícone inválido Ícone inválido

Ícone somente metadados Ícone somente metadados

Melhora, aumenta ou acrescenta algo à correção fornecida por uma ou mais atualizações lançadas anteriormente.

Melhora a eficiência do pacote de arquivos de atualização de software, que o cliente instala se a atualização for aprovada para instalação. Por exemplo, a atualização de software substituída pode conter arquivos que não são mais relevantes para a correção ou para os sistemas operacionais com suporte pela nova

atualização. Sendo assim, esses arquivos não são incluídos no pacote de arquivos da atualização de software de substituição.

Atualiza versões mais novas de um produto ou, em outras palavras, que não são mais aplicáveis a versões ou configurações mais antigas de um produto. Atualizações de software também podem substituir outras atualizações de software caso tenham sido feitas modificações para expandir o suporte para idiomas. Por exemplo, uma revisão posterior da atualização de um produto do Microsoft Office pode remover o suporte de um sistema operacional mais antigo, mas adicionar suporte para novos idiomas na versão de atualização de software inicial.

Na guia Regras de Substituição nas propriedades do Componente de Ponto de Atualização de Software, você pode especificar como gerenciar atualizações de software substituídas. Para obter mais informações, consulte Supersedence rules.

Problemas operacionais:

Quando possível, implante a atualização de software de substituição nos computadores cliente em vez da atualização de software substituídas. Você pode exibir uma lista das atualizações de software que substituem a atualização de software na guia Informações de Substituição nas propriedades da atualização de software.

O ícone com um X vermelho representa uma atualização de software inválida. Descrição:

Atualizações de software inválidas estão em uma implantação ativa, mas, por algum motivo, o conteúdo (arquivos de atualização de software) não está disponível. Veja a seguir cenários em que esse estado pode ocorrer:

Você implanta com êxito a atualização de software, mas o arquivo de atualização de software é removido do pacote de implantação e não está mais disponível.

Você cria uma implantação de atualização de software em um site e o objeto de implantação é replicado com êxito para um site filho, mas o pacote de implantação não foi replicado com êxito para o site filho. Problemas operacionais:

Quando o conteúdo está ausente para uma atualização de software, os clientes não conseguem instalar a atualização de software até que o conteúdo fique disponível no ponto de distribuição. Você pode redistribuir o conteúdo para pontos de distribuição usando a ação Redistribuir . Quando o conteúdo está ausente para uma atualização de software em uma implantação criada em um site pai, a atualização de software deve ser replicada ou redistribuída para o site filho. Para obter mais informações sobre a redistribuição de conteúdo, consulte Gerenciar o conteúdo que você distribuiu.

O ícone com a seta azul representa uma atualização de software somente de metadados. Descrição:

Atualizações de software somente de metadados estão disponíveis no console do Configuration Manager para relatórios. Você não pode implantar ou baixar atualizações de software somente de metadados porque um arquivo

(15)

Ícones de grupos de atualizações de software

Ícone normal Ícone normal Ícone expirado Ícone expirado Ícone substituído Ícone substituído Ícone inválido Ícone inválido

de atualização de software não está associado aos metadados das atualizações de software. Problemas operacionais:

Atualizações de software somente de metadados estão disponíveis para fins de relatório e não se destinam a implantação de atualização de software.

Grupos de atualizações de software são representadas por um dos ícones a seguir.

O ícone com a seta verde representa um grupo de atualizações de software que contém apenas atualizações de software normais.

Problemas operacionais: não há problemas operacionais.

O ícone com o X preto representa um grupo de atualizações de software que contém uma ou mais atualizações de software expiradas.

Remova ou substitua atualizações de software expiradas do grupo de atualização de software quando possível.

O ícone com a estrela amarela representa um grupo de atualizações de software que contém uma ou mais atualizações de software substituídas.

Substitua a atualização de software substituída no grupo de atualizações de software pela atualização de software substituta quando possível.

O ícone com o X vermelho representa um grupo de atualizações de software que contém uma ou mais atualizações de software inválidas.

Quando o conteúdo está ausente para uma atualização de software, os clientes não conseguem instalar a atualização de software até que o conteúdo fique disponível no ponto de distribuição. Você pode redistribuir o conteúdo para pontos de distribuição usando a ação Redistribuir . Quando o conteúdo está ausente para uma atualização de software em uma implantação criada em um site pai, a atualização de software precisa ser replicada ou redistribuída para o site filho. Para obter mais informações sobre a redistribuição de conteúdo, consulte

(16)

Planejar atualizações de software no System Center

Configuration Manager

Recomendações de planejamento de capacidade para atualizações de

software

Planejamento de capacidade para o ponto de atualização de software Planejamento de capacidade para o ponto de atualização de software

Planejamento de capacidade para objetos de atualizações de software Planejamento de capacidade para objetos de atualizações de software Aplica-se a: System Center Configuration Manager (Branch Atual)

Antes de usar atualizações de software em um ambiente de produção do System Center Configuration Manager, é importante que você passe pelo processo de planejamento. Ter um bom plano para a infraestrutura de ponto de atualização de software é fundamental para uma implementação bem-sucedida das atualizações de software.

Você pode usar as seguintes recomendações como uma linha de base que pode ajudá-lo a determinar as informações para o planejamento de capacidade de atualizações de software apropriadas para sua organização. Os requisitos de capacidade real podem variar das recomendações listadas neste tópico dependendo dos

seguintes critérios: o ambiente de rede específico, o hardware usado para hospedar o sistema de sites do ponto de atualização de software, o número de clientes instalados e as funções do sistema de sites instaladas no servidor.

O número de clientes com suporte depende da versão do WSUS (Windows Server Update Services) executada no ponto de atualização de software e também depende de se a função do sistema de sites do ponto de atualização de software coexiste ou não com outra função do sistema de sites:

O ponto de atualização de software pode dar suporte a até 25.000 clientes quando o WSUS é executado no computador do ponto de atualização de software e quando o ponto de atualização de software coexiste com outra função do sistema de sites.

O ponto de atualização de software pode oferecer suporte a até 150.000 clientes quando o computador remoto atende aos requisitos do WSUS. O WSUS é usado com o Configuration Manager e você configura o seguinte:

Pool de Aplicativos do IIS:

Aumentar o Comprimento da Fila de WsusPool para 2000

Aumentar em o limite da Memória Particular do WsusPool para 4 vezes mais ou defini-lo como 0 (ilimitado)

Para obter detalhes sobre os requisitos de hardware para o ponto de atualização de software, consulte

Hardware recomendado para sistemas de sites.

Por padrão, o Configuration Manager não dá suporte à configuração de pontos de atualização de software como clusters de NLB. Antes da versão 1702 do Configuration Manager, era possível usar o SDK do Configuration Manager para configurar até quatro pontos de atualização de software em um cluster de NLB. No entanto, a partir do Configuration Manager versão 1702, não há suporte para os pontos de atualização de software como clusters NLB, e as atualizações para o Configuration Manager versão 1702 serão bloqueadas se essa configuração for detectada.

Use as seguintes informações de capacidade para planejar objetos de atualizações de software. Limite de 1000 atualizações de software em uma implantação

(17)

Determinar a infraestrutura do ponto de atualização de software

Lista de pontos de atualização de software Lista de pontos de atualização de software

É necessário limitar o número de atualizações de software a 1000 para cada implantação de atualização de software. Ao criar uma regra de implantação automática, especifique os critérios que limitam o número de atualizações de software que serão retornadas. A regra de implantação automática falha quando os critérios que você especifica retornam mais de 1000 atualizações de software. É possível verificar o status da regra de implantação automática no nó Regras de Implantação Automática no console do

Configuration Manager. Ao implantar atualizações de software manualmente, não selecione mais de 1.000 atualizações para implantar.

Você também precisa limitar o número de atualizações de software a 1.000 em uma linha de base de configuração. Para obter mais informações, consulte Criar linhas de base de configuração.

O site de administração central e todos os sites primários filho devem ter um ponto de atualização de software onde você implantará atualizações de software. Enquanto planeja a infraestrutura do ponto de atualização de software, você precisa determinar as seguintes dependências:

onde instalar o ponto de atualização de software para o site

quais sites exigem um ponto de atualização de software que aceita comunicação de clientes baseados na Internet

se você precisa de um ponto de atualização de software em um site secundário.

Use as seções a seguir para determinar a infraestrutura do ponto de atualização de software.

Para obter informações sobre as dependências internas e externas necessárias para as atualizações de software, consulte Pré-requisitos para atualizações de software.

É possível adicionar vários pontos de atualização de software em um site primário do Configuration Manager. A capacidade de ter vários pontos de atualização de software em um site fornece tolerância a falhas sem exigir a complexidade do NLB. No entanto, o failover que você recebe com vários pontos de atualização de software não é tão robusto quanto o NLB para balanceamento de carga puro, mas foi projetado para tolerância a falhas. Além disso, o design de failover do ponto de atualização de software é diferente do modelo aleatório puro de usado no design de pontos de gerenciamento. Ao contrário do design de pontos de gerenciamento, nos pontos de

atualização de software existem custos de desempenho e rede e do cliente associados à mudança para um novo ponto de atualização de software. Quando o cliente muda para um novo servidor do WSUS para verificar

atualizações de software, o resultado é um aumento no tamanho do catálogo e no lado do cliente associado, e nas demandas de desempenho de rede. Portanto, o cliente preserva a afinidade com o último ponto de atualização de software para o qual ele verificou com êxito.

O primeiro ponto de atualização de software que você instala em um site primário é a origem da sincronização de todos os pontos de atualização de software que você adiciona ao site primário. Depois de adicionar os pontos de atualização de software e iniciar a sincronização das atualizações de software, você poderá exibir o status dos pontos de atualização de software e a origem da sincronização no nó Status da Sincronização do Ponto de Atualização de Software no espaço de trabalho Monitoramento .

Quando ocorre falha em um ponto de atualização de software e esse ponto é configurado como a origem da sincronização para outros pontos de atualização de software, você deve remover manualmente o ponto de atualização de software com falha e selecionar um novo ponto para usar como origem da sincronização. Para obter mais informações sobre como remover um ponto de atualização de software, consulte Remover a função de sistema de sites do ponto de atualização de software.

(18)

Mudança de ponto de atualização de software Mudança de ponto de atualização de software

O Configuration Manager fornece ao cliente uma lista de pontos de atualização de software nos seguintes cenários: quando um novo cliente recebe a política para habilitar atualizações de software ou quando um cliente não consegue entrar em contato com seu ponto de atualização de software e precisa mudar para outro ponto de atualização de software. O cliente seleciona aleatoriamente um ponto de atualização de software na lista e prioriza os pontos de atualização de software que estão na mesma floresta. O Configuration Manager oferece aos clientes uma lista diferente, dependendo do tipo de cliente.

Clientes baseados em intranet: recebem uma lista de pontos de atualização de software que você pode configurar para permitir conexões somente da intranet ou uma lista de pontos de atualização de software que permitem conexões do cliente na Internet e na intranet.

Clientes baseados em internet: recebem uma lista de pontos de atualização de software que você pode configurar para permitir conexões somente da internet ou uma lista de pontos de atualização de software que permitem conexões do cliente na Internet e na intranet.

A partir da versão 1702, os clientes usam grupos de limites para localizar um novo ponto de atualização de software, fazer fallback e localizar um novo ponto de atualização de software se o atual não estiver mais acessível. Você pode adicionar pontos de atualização de software individuais a grupos de limites diferentes para controlar quais servidores um cliente pode encontrar. Para saber mais, veja pontos de atualização de software no tópico Configurando grupos de limites.

Se você tiver vários pontos de atualização de software e um deles falhar ou ficar indisponível, os clientes irão se conectar a um ponto de atualização de software diferente e continuarão verificando as atualizações de software mais recentes. Quando um cliente for atribuído pela primeira vez a um ponto de atualização de software, ele permanecerá atribuído a esse ponto de atualização de software a menos que ocorra falha na verificação de atualizações de software nesse ponto de atualização de software.

A verificação de atualizações de software pode falhar com um número de repetição diferente e códigos de erro sem repetição. Quando há falha na verificação para repetir um código de erro, o cliente inicia o processo de repetição para verificar as atualizações de software no ponto de atualização de software. As condições de alto nível que resultam em na repetição de um código de erro geralmente ocorrem porque o servidor do WSUS está indisponível ou temporariamente sobrecarregado. O cliente usa o processo a seguir quando ocorre falha para verificar se há atualizações de software:

1. O cliente verifica atualizações de software no horário agendado ou quando ele é iniciado através do painel de controle no cliente, ou usando o SDK. Se a verificação falhar, o cliente aguardará 30 minutos para repetir a verificação e usará o mesmo ponto de atualização de software.

2. O cliente tenta novamente por no mínimo quatro vezes em intervalos de 30 minutos. Após a quarta falha, e depois de aguardar mais dois minutos, o cliente passará para o próximo ponto de atualização de software na lista de pontos de atualização de software.

3. O cliente passa pelo mesmo processo no novo ponto de atualização de software. Após uma verificação bem-sucedida, o cliente continuará a se conectar ao novo ponto de atualização de software.

A lista a seguir fornece informações adicionais que você pode considerar para repetição do ponto de atualização de software e mudança de cenários:

Se um cliente for desconectado da intranet corporativa e falhar para verificar atualizações de software, ele não mudará para outro ponto de atualização de software. Essa é uma falha esperada, pois o cliente não pode chegar à rede corporativa ou ao ponto de atualização de software que permite conexão da intranet. O cliente do Configuration Manager determina a disponibilidade do ponto de atualização de software da intranet.

(19)

Mudar manualmente clientes para um novo ponto de atualização de software Mudar manualmente clientes para um novo ponto de atualização de software

Para habilitar a opção de alternar pontos de atualização de software Para habilitar a opção de alternar pontos de atualização de software

Pontos de atualização de software em uma floresta não confiável Pontos de atualização de software em uma floresta não confiável

Se o gerenciamento de clientes baseado na Internet estiver habilitado e existirem vários pontos de atualização de software configurados para aceitar comunicação de clientes na Internet, o processo de mudança acompanhará o processo de repetição padrão descrito no cenário anterior.

Se o processo de verificação foi iniciado, mas o cliente estava desligado antes da conclusão da verificação, ele não é considerado uma falha de verificação e não conta como uma das quatro repetições.

Quando o Configuration Manager receber qualquer um dos seguintes códigos de erro do Windows Update Agent, o cliente tentará novamente estabelecer a conexão:

2149842970, 2147954429, 2149859352, 2149859362, 2149859338, 2149859344, 2147954430, 2147747475, 2149842974, 2149859342, 2149859372, 2149859341, 2149904388, 2149859371, 2149859367, 2149859366, 2149859364, 2149859363, 2149859361, 2149859360, 2149859359, 2149859358, 2149859357, 2149859356, 2149859354, 2149859353, 2149859350, 2149859349, 2149859340, 2149859339, 2149859332, 2149859333, 2149859334, 2149859337, 2149859336, 2149859335

Para pesquisar o significado de um código de erro, você deve converter o código de erro decimal em hexadecimal e pesquisar o valor hexadecimal em um site como o Wiki Windows Update Agent – Error Codes (Windows Update Agent – Códigos de Erro).

A partir da versão 1606 do Configuration Manager, você pode habilitar a opção para clientes do Configuration Manager mudarem para um novo ponto de atualização de software quando houver problemas com o ponto de atualização de software ativo. Essa opção resulta em alterações somente quando um cliente recebe vários pontos de atualização de software de um ponto de gerenciamento.

Quando você alternar os dispositivos para usar um novo servidor, os dispositivos usam fallback para localizar esse novo servidor. Portanto, examine as configurações de seu grupo de limites e certifique-se de que seus pontos de atualização de software estejam nos grupos de limites corretos antes de iniciar esta alteração. Para ver os detalhes, confira Pontos de atualização de software.

A alteração para um novo ponto de atualização de software gerará tráfego de rede adicional. A quantidade de tráfego depende de suas definições de configuração do WSUS (classificações de atualização, produtos, se os pontos de atualização de software compartilham um banco de dados do WSUS etc.). Se você planeja alternar vários dispositivos, considere a possibilidade de fazer isso durante as janelas de manutenção a fim de reduzir o impacto em sua rede durante a sincronização para o novo servidor de ponto de atualização de software.

Habilite essa opção em uma coleção de dispositivos ou em um conjunto de dispositivos selecionados. Uma vez habilitada, os clientes procurarão outro ponto de atualização de software na próxima verificação.

1. No console do Configuration Manager, vá até Ativos e Conformidade > Visão Geral > Coleções de Dispositivos.

2. Na guia Início , no grupo Coleção , clique em Notificação do Clientee em Alternar para o próximo ponto de atualização de software.

Você pode criar um ou mais pontos de atualização de software em um site para dar suporte a clientes em uma floresta não confiável. Para adicionar um ponto de atualização de software em outra floresta, você deve primeiro instalar e configurar um servidor do WSUS na floresta. Depois, inicie o assistente para adicionar um servidor do site do Configuration Manager com a função de sistema de sites do ponto de atualização de software. No assistente, defina as seguintes configurações para se conectar com êxito ao WSUS na floresta não confiável:

(20)

Usar um servidor do WSUS existente como a origem de sincronização no site de nível superior Usar um servidor do WSUS existente como a origem de sincronização no site de nível superior

Ponto de atualização de software configurado para usar um NLB Ponto de atualização de software configurado para usar um NLB

Ponto de atualização de software em um site secundário Ponto de atualização de software em um site secundário

Planejar a instalação do ponto de atualização de software

Requisitos para o ponto de atualização de software Requisitos para o ponto de atualização de software

Especifique a conta de Conexão do Servidor do WSUS a ser usada para se conectar ao servidor do WSUS. Por exemplo, você tem um site primário na floresta A com dois pontos de atualização de software (SUP01 e SUP02). Além disso, para o mesmo site primário, você tem dois pontos de atualização de software (SUP03 e SUP04) na floresta B. Quando a mudança ocorre nesse exemplo, os pontos de atualização de software da mesma floresta como cliente são priorizados primeiro.

Normalmente, o site de nível superior na sua hierarquia é configurado para sincronizar metadados de atualizações de software com o Microsoft Update. Quando a política de segurança corporativa não permite acesso à Internet do site de nível superior, você pode configurar a origem da sincronização do site de nível superior para usar um servidor do WSUS existente que não esteja em sua hierarquia do Configuration Manager. Por exemplo, você pode ter um servidor do WSUS instalado no rede de perímetro com acesso à Internet, mas o site de nível superior não pode. Você pode configurar o servidor do WSUS no rede de perímetro como origem de sincronização para metadados de atualizações de software. Você precisa verificar se o servidor do WSUS no DMZ sincroniza atualizações de software que atendem aos critérios necessários em sua hierarquia do Configuration Manager. Caso contrário, o site de nível superior pode não sincronizar as atualizações de software que você espera. Ao instalar o ponto de atualização de software, configure uma conta de conexão do WSUS com acesso ao servidor do WSUS no rede de perímetro e confirme se o firewall permite tráfego para as portas apropriadas. Para obter mais informações, veja as portas usadas pelo ponto de atualização de software para a origem de sincronização.

Provavelmente, a mudança de ponto de atualização de software lidará com suas necessidades de tolerância a falhas. Por padrão, o Configuration Manager não dá suporte à configuração de pontos de atualização de software como clusters de NLB. Antes da versão 1702 do Configuration Manager, era possível usar o SDK do Configuration Manager para configurar até quatro pontos de atualização de software em um cluster de NLB. No entanto, a partir do Configuration Manager versão 1702, não há suporte para os pontos de atualização de software como clusters NLB, e as atualizações para o Configuration Manager versão 1702 serão bloqueadas se essa configuração for detectada. Para obter mais informações sobre o cmdlet Set-CMSoftwareUpdatePoint do PowerShell, consulte Set-CMSoftwareUpdatePoint.

O ponto de atualização de software é opcional em um site secundário. Quando você instala um ponto de atualização de software em um site secundário, o banco de dados do WSUS é configurado como uma réplica do ponto de atualização de software padrão no site primário pai. Você pode instalar apenas um ponto de atualização de software em um site secundário. Os dispositivos atribuídos a um site secundário são configurados para usar um ponto de atualização de software no site pai quando um ponto de atualização de software não está instalado no site secundário. Geralmente, você instalará um ponto de atualização de software em um site secundário quando houver largura de banda de rede limitada entre os dispositivos atribuídos ao site secundário e os pontos de atualização de software no site primário pai, ou quando o ponto de atualização de software se aproximar do limite de capacidade. Após a instalação e configuração de um ponto de atualização de software com êxito no site secundário, uma política de todo o site será atualizada para computadores cliente atribuídos ao site, e eles começarão a usar o novo ponto de atualização de software.

Para criar uma função de sistema de sites no ponto de atualização de software no Configuration Manager, existem vários requisitos que você deve levar em consideração dependendo de sua infraestrutura do Configuration Manager. Quando você configura o ponto de atualização de software para se comunicar usando SSL, esta sessão é especificamente importante para revisão, pois você deve seguir etapas adicionais para os pontos de atualização de software na hierarquia que funcionará corretamente. Esta seção fornece informações sobre as etapas que você deve seguir para planejar e preparar com êxito a instalação do ponto de atualização de software.

(21)

Planejar a instalação do WSUS Planejar a instalação do WSUS

Configurar o WSUS para usar um site personalizado Configurar o WSUS para usar um site personalizado

Usar uma infraestrutura existente do WSUS Usar uma infraestrutura existente do WSUS

A função de sistema de sites do ponto de atualização de software deve ser instalada em um sistema de sites que atenda aos requisitos mínimos do WSUS e às configurações com suporte para sistemas de sites do Configuration Manager.

Para obter mais informações sobre os requisitos mínimos da função de servidor do WSUS no Windows Server 2012, consulte Avaliar considerações e requisitos de sistema na biblioteca de documentação do Windows Server 2012.

Para obter mais informações sobre as configurações com suporte para sistemas de sites do Configuration Manager, consulte Pré-requisitos de site e sistema de sites.

As atualizações de software requerem que uma versão com suporte do WSUS esteja instalada em todos os servidores do sistema de site que você configura para a função do sistema de site do ponto de atualização de software. Além disso, quando você não instalar o ponto de atualização de software no servidor do site, deverá instalar o Console de Administração do WSUS computador do servidor do site se ainda não estiver instalado. Isso permite que o servidor do site se comunique com o WSUS executado no ponto de atualização de software. Quando usa o WSUS no Windows Server 2012, você precisa configurar permissões adicionais para permitir que o Configuration Manager do WSUS no Configuration Manager se conecte ao WSUS, a fim de executar

verificações de integridade periódicas. Escolha uma das opções a seguir para configurar as permissões: Adicione a conta SYSTEM ao grupo Administradores do WSUS

Adicione a conta NT AUTHORITY\SYSTEM como um usuário para o banco de dados do WSUS (SUSDB) e configure um mínimo de associação de função do banco de dados do serviço Web

Para obter mais informações sobre como instalar o WSUS no Windows Server 2012, consulte Install the WSUS Server Role (Instalar a função de servidor do WSUS) na biblioteca de documentação do Windows Server Update Services 2012.

Quando você instalar mais de um ponto de atualização de software em um site primário, use o mesmo banco de dados do WSUS para cada ponto de atualização de software na mesma floresta do Active Directory. Se você compartilhar o mesmo banco de dados, ele atenuará significativamente, mas não eliminará completamente o impacto de desempenho à rede e ao cliente que você pode experimentar quando os clientes mudam para um novo ponto de atualização de software. Uma verificação delta ainda ocorre quando um cliente muda para a um novo ponto de atualização de software que compartilha um banco de dados com o ponto de atualização de software antigo, mas a verificação é bem menor do que seria se o servidor do WSUS tivesse o próprio banco de dados.

Ao instalar o WSUS, você tem a opção de usar o site padrão do IIS ou criar um site do WSUS personalizado. Crie um site personalizado para o WSUS de forma que o IIS hospede os serviços do WSUS em um site virtual

dedicado, em vez de compartilhar o mesmo site usado por outros sistemas de sites do Configuration Manager ou outros aplicativos. Isso é especialmente verdadeiro quando você instala a função do sistema de site do ponto de atualização de software no servidor do site. Ao executar o WSUS no Windows Server 2012 ou Windows Server 2016, o WSUS é configurado por padrão para usar a porta 8530 para HTTP e a porta 8531 para HTTPS. É necessário especificar essas configurações de porta para criar o ponto de atualização de software no site.

Você pode selecionar um servidor do WSUS que estava ativo no seu ambiente antes da instalação do

Configuration Manager como um ponto de atualização de software. Quando o ponto de atualização de software for configurado, você deve especificar as configurações de sincronização. O Configuration Manager se conecta ao servidor do WSUS que é executado no servidor do ponto de atualização de software e configura o WSUS com as mesmas configurações. Se você tiver sincronizado o WSUS antes de ter configurado como um ponto de

(22)

Configurar o WSUS como um ser vidor de réplica Configurar o WSUS como um ser vidor de réplica

Decidir se o WSUS deve ser configurado para usar SSL Decidir se o WSUS deve ser configurado para usar SSL

Configurar firewalls Configurar firewalls

sincronização do ponto de atualização de software, os metadados de atualizações de software para os produtos e as classificações são sincronizados para todos os metadados de atualizações no banco de dados do WSUS, independentemente das configurações de sincronização feitas para o ponto de atualização de software. Isso pode resultar em metadados de atualizações de software inesperados no banco de dados do site. Você experimentará o mesmo comportamento ao adicionar produtos ou classificações diretamente no console de administração do WSUS, e logo em seguida iniciar a sincronização. A cada hora, por padrão, o Configuration Manager se conecta ao WSUS no ponto de atualização de software e redefine as configurações que foram modificadas fora do

Configuration Manager. As atualizações de software que não atenderem aos produtos e às classificações

especificadas nas configurações de sincronização serão ajustadas para expirar e depois serão removidas do banco de dados do site.

Quando um servidor do WSUS for configurado como um ponto de atualização de software, você não poderá mais usá-lo como um servidor autônomo do WSUS. Se você precisar de um servidor do WSUS autônomo separado que não seja gerenciado pelo Configuration Manager, deverá configurá-lo em um servidor diferente.

Quando você cria uma função de sistema de ponto de atualização de software em um servidor do site primário, não pode usar um servidor do WSUS que está configurado como uma réplica. Quando o servidor do WSUS é configurado como uma réplica, o Configuration Manager não configura o servidor do WSUS e a sincronização do WSUS também falha. Quando um ponto de atualização de software é criado em um site secundário, o

Configuration Manager configura o WSUS para ser um servidor de réplica do WSUS que é executado no ponto de atualização de software no site primário pai. O primeiro ponto de atualização de software instalado em um site primário é o ponto de atualização de software padrão. Pontos de atualização de software adicionais no site são configurados como réplicas do ponto de atualização de software padrão.

Você pode usar o protocolo SSL para ajudar a proteger o WSUS que é executado no ponto de atualização de software. O WSUS usa o SSL para autenticar computadores cliente e servidores de WSUS downstream para o servidor do WSUS. Além disso, o WSUS usa SSL para criptografar metadados de atualização de software. Quando você opta por proteger o WSUS com SSL, deve preparar o servidor do WSUS antes de instalar o ponto de atualização de software.

Quando você instala e configura o ponto de atualização de software, deve selecionar a configuração Habilitar comunicações SSL para o servidor do WSUS . Caso contrário, o Configuration Manager configurará o WSUS para não usar SSL. Quando você habilita o SSL para o WSUS executado em um ponto de atualização de software, o WSUS executado no ponto de atualização de software de quaisquer sites filhos também deve ser configurado para usar SSL.

Atualizações de software em um site de administração central do Configuration Manager se comunicam com o WSUS que é executado no ponto de atualização de software que, por sua vez, se comunica com a origem da sincronização para sincronizar metadados de atualizações de software. Pontos de atualização de software em um site filho comunicam-se com o ponto de atualização de software no site pai. Quando há mais de um ponto de atualização de software em um site primário, os pontos de atualização de software adicionais devem se comunicar com o primeiro ponto de atualização de software instalado no site, que é o ponto de atualização de software padrão.

O firewall pode precisar ser configurado para aceitar as portas HTTP ou HTTPS usadas pelo WSUS nos seguintes cenários: quando há um firewall corporativo entre o ponto de atualização de software do Configuration Manager e a Internet; quando há um ponto de atualização de software e sua origem de sincronização upstream ou quando há pontos de atualização de software adicionais. A conexão com o Microsoft Update é sempre configurada para usar a porta 80 para HTTP e a porta 443 para HTTPS. Você pode usar uma porta personalizada para a conexão do WSUS que é executado no ponto de atualização de software em um site filho e o WSUS que é executado no ponto de atualização de software no site pai. Quando sua política de segurança não permitir a conexão, é necessário usar o método de sincronização de exportação e importação. Para obter mais informações, consulte a seção Origem da

Entender e explorar Introdução às atualizações de software Ícones usados para as atualizações de software Planejamento e design Planejar atualizações

Table of Contents

Table of Contents