neste post falarei sobre as etapas para instalar e configurar o WSUS (Windows Server Update Services) no Windows Server 2019. Este guia deverá ajudá-lo se decidir instalar e configurar o WSUS a partir do zero.no passado, publiquei vários posts em WSUS. Isso inclui a instalação do WSUS e a configuração do WSUS. Além disso, também publiquei um post no WSUS troubleshooting., Desde então, tenho usado o Gerenciador de configuração e nunca me dei ao trabalho de focar em WSUS.
Há alguns dias um colega meu contactou-me e perguntou se eu podia publicar um post sobre a criação de WSUS no Windows Server 2019. A empresa onde ele trabalha usa apenas WSUS para implantar as atualizações para computadores. Então ele estava à procura de um guia que possa ajudá-lo a configurar e configurar WSUS do zero.
então eu decidi publicar este guia que é exclusivamente para administradores que desejam instalar e configurar WSUS para gerenciar atualizações em sua configuração., Vou também cobrir algumas noções básicas do WSUS que respondem a perguntas básicas e a importância do WSUS.
faz muito tempo que eu realmente configuro qualquer coisa em WSUS. Isso é porque no momento em que você começa a usar o SCCM para implantar atualizações, você esquece o console WSUS.
escolhi o Windows Server 2019 para instalar e configurar o WSUS. Depois do servidor 2012 R2 acredito que o servidor 2019 é uma versão estável. Eu odeio Windows Server 2016 porque eu passei muito tempo em resolver problemas de atualização do windows., Para mim, a queixa mais importante é que as atualizações apenas não instalar corretamente no servidor 2016.
conteúdo
quais são as actualizações do Windows
vamos começar com algumas noções básicas. Quando você instala um sistema operacional ou imagem de uma máquina, você sempre garante que ele é remendado com as últimas atualizações. Não apenas o sistema operacional, mas quase todos os softwares que usamos precisam ser constantemente atualizados.
as atualizações do Windows são liberadas para corrigir bugs, corrigir problemas de segurança no sistema operacional e adicionar novos recursos ao sistema operacional., As atualizações do Windows dependem do serviço de atualização do Windows, que é definido para começar automaticamente por padrão.
Windows Update service downloads and installs recommended and important updates automatically.
Microsoft updates pode ser classificada em categorias seguintes :-
- Atualizações Críticas
- Atualizações de Segurança
- Atualizações de Definição
- Drivers
- pacotes Cumulativos de atualizações
- Service Packs
- Ferramentas
- Característica de Pacotes
- Actualizações
Se você migrou do Windows 7 para o Windows 10, você vai notar a grande quantidade de novas opções em Windows Update., Você tem algumas opções legais, tais como pausar as atualizações por 7 dias, mudar horas ativas para a instalação de atualizações. Além disso, existem muitas opções úteis sob Opções Avançadas. Quando tiveres tempo, vai em frente e explora-os a todos.
Introdução aos Serviços de actualização do servidor do Windows
Serviços de actualização do servidor do Windows (WSUS) permite aos administradores implantar as últimas actualizações do produto da Microsoft. O WSUS é um papel do servidor do Windows Server e quando o instala, pode gerenciar e implantar as atualizações de forma eficiente.,
uma das tarefas mais importantes dos administradores de sistema é manter os computadores cliente e servidor atualizados com os últimos patches de software e atualizações de segurança. Sem o WSUS seria muito difícil gerenciar a implantação de atualizações.
Quando você tem um único servidor WSUS em sua configuração, as atualizações são baixadas diretamente a partir da atualização Microsoft. No entanto, se instalar vários servidores WSUS, poderá configurar o servidor WSUS para actuar como uma fonte de actualização que também é conhecida como um servidor upstream.,
ao invés de deixar vários computadores baixar atualizações diretamente da internet, você pode configurar o servidor WSUS e apontar os clientes para baixar todas as atualizações de um servidor WSUS. Com isso você economiza a largura de banda da Internet e também acelera o processo de atualização do Windows.
Eu posso falar muito sobre WSUS, mas vamos começar com a instalação WSUS.
WSUS Lab Setup
First of all let me cover about WSUS lab setup. Eu acredito que a melhor maneira de dominar WSUS é instalá-lo e configurá-lo em seu teste ou laboratório configuração primeiro. Você pode então começar a trabalhar nele e tentar várias coisas.,
I have created some virtual machines in my lab. Let me give you a list of machines and the OS info.
| Server Name | Operating System | Roles |
| CORPAD.PRAJWAL.LOCAL | Windows Server 2019 Datacenter | Active Directory, DNS, DHCP |
| CORPWSUS.PRAJWAL.,LOCAL | Windows Server 2019 Datacenter | WSUS |
| CORPWIN10ENT.PRAJWAL.LOCAL | Windows 10 Enterprise | None |
| CORPWIN10PRO.PRAJWAL.LOCAL | Windows 10 Pro | None |
And if I had to show my setup in the form of a network diagram, this is how it’s going to look.,
WSUS System Requirements
Quando você decidiu implementar WSUS em sua configuração, você deve primeiro olhar para os requisitos WSUS. Para planejar sua implantação WSUS Eu recomendo a leitura deste artigo da Microsoft. Abrange todas as informações necessárias aos requisitos das USP, cenários de implantação, considerações de desempenho, etc.
esta publicação cobre o procedimento para instalar Serviços de actualização do servidor do Windows usando o Windows Internal Database (WID).,
WSUS Firewall Ports/Exceptions
quando configurar o servidor WSUS, é importante que o servidor se conecte à Microsoft update para baixar atualizações. Se houver um firewall corporativo entre WSUS e a Internet, você pode ter que configurar esse firewall para garantir que WSUS pode obter atualizações.
para obter atualizações da Microsoft Update, o servidor WSUS usa a porta 443 para o protocolo HTTPS., Você deve permitir o acesso à Internet a partir do WSUS para a seguinte lista de URLs :-
Instalar a Função do WSUS no Windows Server 2019
Os passos para instalar o Windows Server Update Services (WSUS) Função no Windows Server 2019 incluem:
- inicie sessão no Windows 2019 servidor em que pretende instalar a função de servidor WSUS usando uma conta que seja membro do grupo Administradores Local.
- no Gestor do servidor, carregue em Gerir e carregue em Adicionar Funções e funcionalidades.
- na página Antes de iniciar, Clique em Seguinte.,
- na página seleccionar o tipo de instalação, seleccione a opção de instalação baseada em funções ou baseada em funcionalidades. Carregue Em Seguinte.
Na página Seleção de Servidor, verifique o nome do servidor e clique em Avançar.,
Funções de Servidor do Windows Server Update Services
Sobre as funções de Servidor página, selecione a função “Windows Server Update Services”. Você deve ver Adicionar recursos que são necessários para a caixa de Serviços de atualização do servidor do Windows. Carregue em Adicionar Funcionalidades e, em seguida, carregue em Seguinte.,
Na página Selecionar recursos, deixe as opções padrão e clique em Avançar.
na página de Serviços de actualização do servidor do Windows, carregue em Seguinte.
WSUS Database Type – Role Services
você deve selecionar role services / Database type to install for Windows Server Update services. Selecione conectividade WID e serviços WSUS. Carregue Em Seguinte.,
o WSUS Localização de Conteúdo
Especificar uma localização de conteúdo para armazenar as atualizações. Eu recomendaria armazenar as atualizações em outra unidade e não em seu C: drive. O tamanho desta pasta pode crescer eventualmente e você não quer que esta pasta resida em C: drive. Assim, Escolha uma unidade separada ou armazene as atualizações no servidor remoto.clique em Seguinte.,
Sobre a Função de Servidor Web (IIS), clique em Seguinte.
os Serviços de papel para instalar o servidor web (IIS) são seleccionados automaticamente. Não mude nada aqui e clique em Seguinte.
uma confirmação final antes de instalar WSUS. Reveja as configurações e clique em Instalar.
Uma vez que a instalação WSUS esteja completa, carregue em lançar tarefas pós-instalação.,
Aguarde até que a mensagem de Configuração concluída com êxito. Clique Em Fechar.
Configurar o Windows Server Update Services (WSUS)
Depois de instalar o WSUS, você pode configurar o WSUS server usando o WSUS assistente de configuração do Servidor., Esta é uma configuração única em que você irá configurar algumas opções WSUS importantes.
Se não vir um assistente de configuração do servidor de WSUS ou se o ignorou por engano, não se preocupe. Você pode lançá-lo abrindo a consola WSUS > opções > WSUS Assistente de configuração do servidor.Nota-Antes de começar a configurar o WSUS, alguns pontos importantes.
- garanta que a firewall do servidor permite aos clientes aceder ao servidor WSUS. Se os clientes tiverem problemas de conexão com o servidor WSUS, as atualizações não serão baixadas do servidor.,
- o WSUS transfere as actualizações do servidor upstream, que é a actualização da Microsoft no nosso caso. Assim, certifique-se que o firewall permite que o servidor WSUS se conecte à atualização da Microsoft.
- No caso de existir um servidor ‘proxy’ na sua configuração, deverá introduzir as credenciais do servidor ‘proxy’ enquanto configura o WSUS. Tê-los à mão como eles são necessários.
na página Antes de iniciar, Clique em Seguinte.
Clique em Avançar.,
escolha WSUS Upstream Server
esta é uma secção importante onde você seleciona o servidor upstream. Tens duas opções.
- sincronizar a partir da actualização da Microsoft-Se seleccionar esta opção irá obter as actualizações da actualização da Microsoft.
- sincronizar a partir de outro servidor de Serviços de actualização do servidor do Windows-seleccione esta opção se quiser que este servidor de WSUS baixe as actualizações do servidor de WSUS já existente. Deve indicar o nome do servidor e o número do Porto (8530) por omissão., Se você estiver selecionando a opção de usar SSL durante a sincronização de atualizações, certifique-se de que o servidor WSUS upstream também está configurado para suportar SSL.
Uma vez que este será o meu único servidor de WSUS, vou seleccionar sincronizar a partir da actualização da Microsoft. Carregue Em Seguinte.
Servidor Proxy
Especificar as informações do servidor Proxy, se você tem um. Se esta opção estiver seleccionada, certifique-se que indica o nome e o número do servidor ‘proxy’., Além disso, especifique as credenciais para se conectar ao servidor proxy. Se quiser activar a autenticação básica para o utilizador que se liga ao servidor ‘proxy’, carregue em permitir a Autenticação Básica (senha em texto claro).clique em Seguinte.
na página de ligação ao servidor a montante, carregue no botão Iniciar a ligação.
Depois de concluído, clique em Avançar.,
escolha as línguas para actualizações
na página Escolher As Línguas, tem a opção de seleccionar as línguas das actualizações. Se você optar por baixar atualizações em todos os idiomas, você encontrará atualizações com todos os idiomas na consola WSUS.
no entanto, se você optar por obter atualizações apenas para línguas específicas, selecione Baixar atualizações apenas nestas línguas. Seleccione os idiomas para os quais deseja actualizações.clique em Seguinte.,
Produtos
Esta é a página onde você marque os produtos para o qual você deseja que as atualizações. Um produto é uma edição específica de um sistema operacional ou aplicação.
da lista de produtos você pode selecionar produtos individuais ou famílias de produtos para os quais você quer que seu servidor sincronize atualizações. Neste caso, vou selecionar Windows Server 2019 e Windows 10 1903 como produtos.clique em Seguinte.,
Escolha Classificações de Atualização
No início do post eu listei os tipos de atualizações. Na página de classificações escolher, Selecione as classificações necessárias. Selecionei atualizações críticas, atualizações de segurança e rolamentos de atualização.clique em Seguinte.,
Configurar o WSUS Agenda de Sincronização
Você deve decidir como você deseja executar o WSUS sincronização. A página Configurar sincronizar escalonamento permite-lhe seleccionar se deseja efectuar a sincronização manualmente ou automaticamente.
Se escolher sincronizar manualmente, deverá iniciar manualmente o processo de sincronização a partir da consola de Administração WSUS. Com esta opção seleccionada, terá de efectuar manualmente a sincronização de cada vez., Portanto, não Selecione esta opção se você estiver configurando o WSUS em produção.
Se escolher Sincronizar automaticamente, o servidor de WSUS irá sincronizar-se em intervalos definidos. Você pode definir a hora da primeira sincronização. Em seguida, definir o número de sincronizações por dia. A partir da drop-down você pode escolher o valor entre 1-24.clique em Seguinte.
Clique em Iniciar sincronização inicial. Carregue Em Seguinte.,
Finalmente, na última página, clique em Concluir. Isto completa os passos para configurar o WSUS.
Configurar Definições de Política de Grupo para o WSUS
Depois de instalar e configurar o WSUS, a próxima tarefa importante é configurar definições de política de grupo para atualizações automáticas. Os novos clientes ainda não sabem sobre o novo servidor WSUS que você acabou de configurar., Usando a Política de grupo, você pode apontar as máquinas do seu cliente para um novo servidor WSUS.
num ambiente de directório activo, poderá usar a Política de grupos para indicar o servidor de WSUS. A configuração da Política de grupo será usada para obter atualizações automáticas dos Serviços de atualização do servidor do Windows (WSUS).
Você pode criar a Política de grupo e aplicá-la a nível de domínio. Ou você pode criar e aplicar o GPO a um OU específico (contendo seus computadores).
embora existam muitas opções de Política de atualização do Windows, eu vou configurar algumas delas., Para uma lista de todas as configurações de política de atualização do windows, leia este Artigo da Microsoft.
configurar as Actualizações Automáticas WSUS
para configurar as actualizações automáticas da Política de grupos para WSUS
- abra a consola de gestão de Políticas de grupo e abra um GPO existente ou crie um novo.
- Navegue até Configuração do Computador > Diretivas > Modelos Administrativos > Componentes do Windows > Windows Update.
- duplo-click configurar as Actualizações Automáticas e activá-las.,
sob configurar a actualização automática, seleccione a opção desejada. No Dia da instalação do escalonamento, seleccione o dia em que deseja que as actualizações sejam instaladas. Define a hora de instalação agendada.
No caso de seleccionar download Automático e agende as atualizações de instalar, você tem algumas opções para limitar a frequência de actualização. Se tiver configurado a configuração, carregue em Aplicar e OK.,
Especificar Microsoft para a Intranet Local do Serviço de Atualização
A próxima configuração que você deve configurar é especificar um Microsoft para a intranet local do serviço de atualização. A idéia por trás disso é garantir que os computadores clientes contactem o servidor intranet especificado em vez de baixar atualizações da internet. A menos que você configure esta definição de política, os computadores clientes não saberiam sobre o servidor de intranet.
para activar a Política, carregue em Activar., Indique o serviço de actualização intranet e o servidor de estatísticas intranet. Clique em Aplicar e OK.
No computador cliente, verifique o conjunto de políticas resultante para confirmar se o WSUS, GPO é aplicado.
pode também verificar a localização do serviço de actualização intranet nos computadores clientes que utilizam o registo. No computador do cliente, open Registry Editor e ir para HKLM\SOFTWARE\Políticas\Microsoft\Windows\WindowsUpdate.,
verifique os valores do WUServer e do WUStatusServer e confirme se os valores correspondem aos valores fornecidos no WSUS GPO.
Configurar o WSUS grupos de computadores
Através da criação de grupos de computador você pode primeiro teste, e as atualizações alvo de computadores específicos. Quando você abrir a consola WSUS, você vai encontrar dois grupos de computador padrão-todos os computadores e computadores não classificados.,
pode criar grupos de computadores personalizados para gerir as actualizações na sua organização. De acordo com a Microsoft, você deve criar pelo menos um grupo de computador no console WSUS. Teste atualizações antes de implementá-las para outros computadores em sua organização.
para criar um novo grupo de computadores na consola WSUS
na consola de Administração WSUS, sob Serviços de atualização, expanda o servidor WSUS. Expandir os computadores, clicar com o botão direito em todos os computadores e, em seguida, clicar em Adicionar grupo de computador.
na janela Adicionar um grupo de computadores, indique o nome do novo grupo e depois carregue em Adicionar.,
Clique em Todos os Computadores e você deve ver uma lista de computadores. Selecione os computadores, clique com o botão direito e clique em mudar a adesão.
na caixa de Adesão ao grupo de computadores Set, seleccione o novo grupo que acabou de criar. clicar.,
Clique em novo grupo e você deve encontrar esses computadores.
aprovar e implantar atualizações em WSUS
Uma vez que você tenha um grupo de teste de computador criado, sua próxima tarefa para implantar as atualizações para o grupo de teste. Para isso, você deve primeiro aprovar e implantar atualizações WSUS.
para aprovar as atualizações em WSUS
- lance a consola de Administração WSUS, clique em atualizações > todas as atualizações.,
- na secção todas as actualizações, seleccione as actualizações que deseja aprovar para a instalação no seu grupo de testes.
- carregue com o botão direito nas actualizações e carregue em Approve.
acima de tudo na janela de actualizações Approve, seleccione o seu grupo de teste e carregue em baixo. Carregue em aprovado para instalar. Você também definiu um prazo para instalar as atualizações. clicar.
a janela de progresso da aprovação aparece, o que mostra o progresso das tarefas que afectam a aprovação da actualização., Quando o processo de aprovação estiver completo, clique em Fechar.
configurar as regras de aprovação automática em WSUS
Se não quiser aprovar manualmente as actualizações, poderá configurar a regra de aprovação automática nos Serviços de actualização do servidor do Windows.
para configurar as aprovações automáticas em WSUS
- lançar a consola de Administração WSUS, expandir o servidor WSUS e, em seguida, clicar em Opções.em Opções, clique em aprovações automáticas.
- deverá encontrar a regra de aprovação automática por omissão e, se o desejar, poderá editá-la e usá-la.,
- para criar uma nova regra de aprovação, carregue em Nova Regra.
assinale a opção Quando uma actualização estiver numa classificação específica. Selecione as classificações. Você também pode aprovar a atualização para grupos de computadores. Eu vou selecionar o Windows 10 como esse é o meu grupo de teste de computador. Finalmente, você pode definir um prazo para a aprovação de atualização e especificar o nome da regra de aprovação automática.
Depois de configurar a regra, carregue em OK.
na janela de aprovações automáticas, poderá encontrar a regra que acabou de criar., Se você deseja executar esta regra, clique em Executar Regra.
WSUS Reports
a última secção que quero cobrir são os relatórios WSUS. Se carregar em Relatórios na consola do WSUS, irá mostrar a lista de relatórios. O WSUS vem com vários relatórios para ajudá-lo a encontrar o estado de implantação das atualizações, relatórios de sincronização e relatórios de computadores.
- relatórios de actualização-inclui o resumo do estado das actualizações, o estado detalhado e tabular, o estado tabular das actualizações aprovadas.,relatórios informáticos-Resumo do Estado do computador, estado detalhado, Estado Tabular e estado tabular do computador para actualizações aprovadas.relatórios de sincronização-mostra os resultados da última sincronização.