Table of contents
TOC
Recolher sumário
Expandir sumário

Etapa 2: Configurar o WSUS

Corey Plett|Última Atualização: 05/12/2016
|
1 Colaborador

Aplica-se a: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Depois de instalar a função de servidor do WSUS no servidor, você precisa configurá-lo adequadamente. Esta lista de verificação summarises as etapas envolvidas na realização a configuração inicial do seu servidor WSUS.

TarefaDescrição
2.1. Configurar conexões de redeConfigure a rede de cluster usando o Assistente de configuração de rede.
2.2. Configurar o WSUS, usando o Assistente de configuração do WSUSUse o Assistente de configuração do WSUS para executar a configuração básica do WSUS.
2.3. Definir grupos de computadores do WSUSCrie grupos de computador no console de administração do WSUS para gerenciar atualizações em sua organização.
2.4. Configurar atualizações de clienteEspecifica como e quando as atualizações automáticas são aplicadas a computadores cliente.
2.5. Seguro WSUS com o protocolo SSLConfigure o protocolo Secure Sockets Layer (SSL) para ajudar a proteger o Windows Server Update Services (WSUS).

2.1. Configurar conexões de rede

Antes de começar o processo de configuração, certifique-se de que você saiba as respostas para as seguintes perguntas:

  1. O firewall do servidor está configurado para permitir que os clientes acessem o servidor?

  2. Este computador pode se conectar ao servidor upstream (por exemplo, o servidor é designado para baixar atualizações do Microsoft Update)?

  3. Você tem o nome do servidor proxy e as credenciais do usuário para o servidor proxy, se você precisar deles?

Por padrão, o WSUS é configurado para usar o Microsoft Update como o local de onde obter atualizações. Se você tiver um servidor proxy na rede, você pode configurar o WSUS para usar o servidor proxy. Se houver um firewall corporativo entre WSUS e a Internet, você terá que configurar o firewall para garantir que o WSUS pode obter atualizações.

Dica

Embora a conectividade com a Internet é necessária para baixar atualizações do Microsoft Update, WSUS oferece a capacidade de importar atualizações nas redes que não estejam conectados à Internet.

Quando você tem as respostas para essas perguntas, pode começar a configurar as seguintes configurações de rede do WSUS:

  • Atualizações especificar a maneira como este servidor Obtenha atualizações (do Microsoft Update ou de outro servidor WSUS).

  • Proxy se você identificou que WSUS precisa usar um servidor proxy para ter acesso à Internet, você precisa definir as configurações de proxy no servidor do WSUS.

  • Firewall se você identificou que WSUS é protegido por um firewall corporativo, há algumas etapas adicionais que devem ser feitas no dispositivo de borda para permitir o tráfego WSUS corretamente.

2.1.1. Conexão do servidor WSUS com a Internet

Se houver um firewall corporativo entre WSUS e a Internet, você terá que configurar o firewall para garantir o QUE WSUS pode obter atualizações. Para obter atualizações do Microsoft Update, o servidor do WSUS usa a porta 443 protocolo HTTPS. Embora a maioria dos firewalls corporativos permite esse tipo de tráfego, há algumas empresas que restringem o acesso à Internet dos servidores de conclusão políticas de segurança da empresa. Se sua empresa restringe o acesso, você precisa obter autorização para permitir acesso à Internet do WSUS para a lista de URLs a seguir:

Importante

Para um cenário em que o WSUS está falhando obter atualizações devido a configurações de firewall, consulte 885819 do artigo na Base de Conhecimento Microsoft.

A seção a seguir descreve como configurar um firewall corporativo que é posicionado entre WSUS e a Internet. Como o WSUS inicia todo o tráfego de rede, você ele não é necessário configurar o Firewall do Windows no servidor do WSUS. Embora a conexão entre o Microsoft Update e do WSUS requer portas 80 e 443 para ser aberto, você pode configurar vários servidores WSUS para sincronizar com uma porta personalizada.

2.1.2. Conexão entre servidores WSUS

Servidores WSUS de upstream e downstream sincronizará na porta configurada pelo administrador do WSUS. Por padrão, estas portas são configuradas da seguinte forma:

  • No WSUS 3.2 e versões anteriores, a porta 80 para HTTP e 443 para HTTPS

  • No WSUS 6.2 e versões posteriores (pelo menos Windows Server 2012), porta 8530 para HTTP e 8531 para HTTPS são usados

O firewall no servidor do WSUS deve ser configurado para permitir o tráfego de entrada nessas portas.

2.1.3. Conexão entre clientes (agente do Windows Update) e servidores WSUS

As interfaces e portas de escuta são configuradas nos sites IIS para o WSUS e em todas as configurações de política de grupo usadas para configurar computadores cliente. As portas padrão são as mesmas especificado na seção anterior conexão entre servidores WSUS, e o firewall no servidor do WSUS também deve ser configurado para permitir o tráfego de entrada nessas portas.

Configurar o servidor proxy

Se a rede corporativa usar servidores proxy, os servidores proxy devem dar suporte a protocolos HTTP e SSL e usam autenticação básica ou Windows. Esses requisitos podem ser atendidos usando uma das seguintes configurações:

  1. Um único servidor proxy que dá suporte a dois canais de protocolo. Nesse caso, defina um canal para usar HTTP e o outro canal use HTTPS.

    Observação

    Você pode configurar o servidor de um proxy que manipula os dois protocolos para o WSUS durante a instalação de software de servidor do WSUS.

  2. Servidores de proxy dois, cada qual dá suporte a um único protocolo. Nesse caso, um servidor proxy é configurado para usar HTTP e o outro servidor proxy está configurado para usar HTTPS.

Para configurar dois servidores proxy, cada uma delas manipulará um protocolo para o WSUS, use o procedimento a seguir:

Configurar o WSUS para usar dois servidores proxy

  1. Fazer logon no computador em que é como o servidor WSUS, usando uma conta que seja um membro do grupo Administradores local.

  2. Instale a função de servidor do WSUS. Durante o Assistente de configuração do WSUS (discutida na próxima seção) não especifique um servidor proxy.

  3. Abra um prompt de comando (Cmd.exe) como administrador. Para abrir um prompt de comando como administrador, acesse iniciar. Em Iniciar pesquisa, tipo prompt de comando. Na parte superior do menu Iniciar, clique com botão direito prompt de comandoe clique em executar como administrador. Se o User Account Control caixa de diálogo aparece, digite as credenciais apropriadas (se solicitado), confirme se a ação exibida é a desejada e clique em continuar.

  4. Na janela do prompt de comando, vá para o C:\Program Files\Update Services\Tools folder. Digite o seguinte comando:

    WSUSUTIL ConfigureSSlproxy [< proxy_server proxy_port >]-habilitar, onde:

    1. Proxy_Server é o nome do servidor proxy que dá suporte a HTTPS.

    2. proxy_port é o número de porta do servidor proxy.

  5. Feche a janela de prompt de comando.

Para adicionar o servidor proxy que usa o protocolo HTTP para a configuração do WSUS, use o procedimento a seguir:

Para adicionar um servidor proxy que usa o protocolo HTTP

  1. Abra o Console de administração do WSUS.

  2. No painel esquerdo, expanda o nome do servidor e, em seguida, clique em opções.

  3. No opções painel, clique em origem de atualização e o servidor de atualizaçãoe, em seguida, clique no servidor Proxy guia.

  4. Use as seguintes opções para modificar a configuração do servidor proxy existente:

    Para alterar ou adicionar um servidor proxy para a configuração do WSUS
    1. Marque a caixa de seleção para usar um servidor proxy ao sincronizar.

    2. No nome do servidor Proxy texto, digite o nome do servidor proxy.

    3. No número de porta do Proxy texto, digite o número da porta do servidor proxy. O número da porta padrão é 80.

    4. O servidor proxy FF requer que você use uma conta de usuário específica, selecione o usar as credenciais do usuário para se conectar ao servidor proxy caixa de seleção. Digite o nome do usuário necessária, domínio e senha nas caixas de texto correspondente.

    5. Se o servidor proxy oferece suporte à autenticação básica, selecione o permitir autenticação básica (a senha é enviada em texto não criptografado) caixa de seleção.

    6. Clique em OK.

    Para remover um servidor proxy da configuração do WSUS
    1. Para remover um servidor proxy da configuração do WSUS, desmarque a caixa de seleção para usar um servidor proxy ao sincronizar.

    2. Clique em OK.

2.2. Configurar o WSUS, usando o Assistente de configuração do WSUS

Este procedimento pressupõe que você está usando o Assistente de configuração do WSUS, que aparece na primeira vez que você iniciar o Console de gerenciamento do WSUS. Neste tópico, você aprenderá a executar essas configurações usando o opções página:

Para configurar o WSUS

  1. No painel de navegação Gerenciador do servidor, clique em painel, clique em ferramentase clique em Windows Server Update Services.

    Observação

    Se o concluir a instalação do WSUS caixa de diálogo aparece, clique em executar. No concluir a instalação do WSUS caixa de diálogo, clique em fechar quando a instalação é concluída com êxito.

  2. Abre o Assistente do Windows Server Update Services. Sobre o antes de começar página, examine as informações e, em seguida, clique em próxima.

  3. Leia as instruções sobre o participe do programa de melhoria do Microsoft Update página e avaliar se quiser participar. Se você quiser participar do programa. Manter a seleção padrão, ou desmarque a caixa de seleção e, em seguida, clique em próxima.

  4. Sobre o servidor Upstream que escolher página, há duas opções:

    1. Sincronizar as atualizações com o Microsoft Update

    2. Sincronizar a partir de outro servidor Windows Server Update Services

      • Se você optar por sincronizar a partir de outro servidor WSUS, especifique o nome do servidor e a porta na qual esse servidor se comunicar com o servidor upstream.

      • Para usar SSL, selecione o usar SSL ao sincronizar informações de atualização caixa de seleção. Os servidores usarão a porta 443 para sincronização. (Certifique-se de que esse servidor e o servidor upstream que dê suporte a SSL).

      • Se este é um servidor de réplica, selecione o se trata de uma réplica do servidor upstream caixa de seleção.

  5. Depois de selecionar as opções adequadas para sua implantação, clique em próxima para prosseguir.

  6. Sobre o especificar o servidor Proxy página, selecione o usar um servidor proxy ao sincronizar caixa de seleção e, em seguida, digite o nome do servidor proxy e porta número (porta 80 por padrão) nas caixas correspondentes.

    Importante

    Você deve concluir essa etapa se você identificou que WSUS precisa de um servidor proxy para ter acesso à Internet.

  7. Se você deseja se conectar ao servidor proxy usando credenciais de usuário específico, selecione o usar as credenciais do usuário para se conectar ao servidor proxy caixa de seleção e digite o nome de usuário, o domínio e a senha do usuário nas caixas correspondentes. Se você quiser habilitar a autenticação básica para o usuário que está se conectando ao servidor proxy, selecione o permitir autenticação básica (a senha é enviada em texto não criptografado) caixa de seleção.

  8. Clique em próxima. Sobre o conectar ao servidor Upstream página, clique em comece conectando-se.

  9. Quando se conecta, clique em próxima para prosseguir.

  10. Sobre o escolher idiomas página, você tem a opção de selecionar os idiomas em que o WSUS receberão atualizações - todos os idiomas ou um subconjunto dos idiomas. Selecionar um subconjunto dos idiomas economizará espaço em disco, mas é IMPORTANTE escolher todos os idiomas que são necessárias para todos os clientes desse servidor WSUS. Se você optar por obter atualizações apenas para idiomas específicos, selecione baixar atualizações nos seguintes idiomase, em seguida, selecione os idiomas para os quais deseja que as atualizações; Caso contrário, deixe a seleção padrão.

    Aviso

    Se você selecionar a opção baixar atualizações nos seguintes idiomase esse servidor tem um servidor WSUS downstream conectado a ela, essa opção forçará o servidor downstream também usar somente os idiomas selecionados.

  11. Depois de selecionar as opções de idioma adequado para a implantação, clique em próxima para continuar.

  12. O escolher produtos página permite que você especificar os produtos para os quais deseja que as atualizações. Selecione as categorias de produtos, como Windows ou produtos específicos, como o Windows Server 2008. Selecionando uma categoria de produtos seleciona todos os produtos dessa categoria.

  13. Selecione as opções de produto apropriada para a implantação e, em seguida, clique em próxima.

  14. Sobre o escolher classificações página, selecione as classificações de atualização que você deseja obter. Escolha todas as classificações ou um subconjunto deles e, em seguida, clique em próxima.

  15. O definir cronograma de sincronização página permite que você optar por executar a sincronização manualmente ou automaticamente.

    • Se você escolher sincronizar manualmente, você deve iniciar o processo de sincronização do Console de administração do WSUS.

    • Se você escolher sincronizar automaticamente, o servidor WSUS sincronizará em intervalos definidos.

    Defina o tempo para o primeira sincronizaçãoe, em seguida, especifique o número de sincronizações por dia que você deseja que esse servidor para executar. Por exemplo, se você especificar que deve ser quatro sincronizações por dia, a partir às 3:00, sincronizações ocorrerá às 3:00, 9:00:00, 15:00:00 e 9:00.

  16. Depois de selecionar as opções de sincronização adequada para sua implantação, clique em próxima para continuar.

  17. Sobre o concluído página, você tem a opção de iniciar a sincronização agora, selecionando o começar a sincronização inicial caixa de seleção. Se você não selecionar essa opção, você precisa usar o Console de gerenciamento do WSUS para executar a sincronização inicial. Clique em próxima caso você queira ler mais sobre configurações adicionais, ou você podem clicar em concluir para concluir este assistente e concluir a configuração inicial do WSUS.

  18. Depois de clicar em concluir, aparece o Console de gerenciamento do WSUS.

Agora que você executou a configuração básica do WSUS, leia as seções a seguir para obter mais detalhes sobre como alterar as configurações usando o Console de gerenciamento do WSUS.

2.3. Definir grupos de computadores do WSUS

Grupos de computador são uma parte IMPORTANTE de implantações do Windows Server Update Services (WSUS). Grupos de computador permitem que você teste e direcionar atualizações para computadores específicos. Há dois grupos de computador padrão: todos os computadores e computadores não atribuídos. Por padrão, quando cada computador cliente primeiro contata o servidor WSUS, o servidor adiciona esse computador cliente para ambos esses grupos.

Você pode criar quantos grupos personalizados computador conforme você precisa gerenciar atualizações em sua organização. Como prática recomendada, crie pelo menos um grupo de computadores para testar as atualizações antes de implantá-los em outros computadores em sua organização.

Use o procedimento a seguir para criar um novo grupo e atribuir um computador a esse grupo:

Para criar um grupo de computadores

  1. No Console de administração do WSUS, sob Update Services, expanda o servidor WSUS, expanda computadores, clique com botão direito todos os computadorese clique em Adicionar computador grupo.

  2. No Adicionar computador grupo na caixa nome, especifique o nome do novo grupo e, em seguida, clique adicionar.

  3. Clique em computadorese, em seguida, selecione os computadores que você deseja atribuir a esse novo grupo.

  4. Clique com botão direito os nomes de computador que você selecionou na etapa anterior e, em seguida, clique em alterar a associação ao grupo.

  5. No definir membros do grupo de computador caixa de diálogo, selecione o teste de grupo que você criou e clique em OK.

2.4. Configurar atualizações de cliente

Instalação do WSUS configura automaticamente IIS para distribuir a versão mais recente das atualizações automáticas para cada computador cliente que contata o servidor do WSUS. A melhor maneira de configurar as atualizações automáticas depende do ambiente de rede.

  • Em um ambiente que usa o serviço de diretório do active directory, você pode usar um existente baseada em domínio política objeto grupo (GPO) ou criar um novo GPO.

  • Em um ambiente sem o active directory, use o editor de política de Grupo Local para configurar as atualizações automáticas e aponte os computadores cliente para o servidor do WSUS.

Importante

Os procedimentos a seguir pressupõem que sua rede seja executado no active directory. Além disso, estes procedimentos pressupõem que você esteja familiarizado com a política de grupo e usá-lo para gerenciar a rede.

Use os procedimentos a seguir para configurar as atualizações automáticas para computadores cliente:

Configurar as atualizações automáticas na política de grupo

Se você tiver definido o backup do active directory em sua rede, você pode configurar um ou vários computadores simultaneamente incluí-los em um objeto de política de grupo (GPO) e, em seguida, configurando a esse GPO com as configurações do WSUS. Recomendamos que você crie um novo GPO que contém apenas as configurações do WSUS.

Vincule esse GPO WSUS a um contêiner do active directory que seja adequado para seu ambiente. Em um ambiente simple, você pode vincular um único GPO do WSUS no domínio. Em um ambiente mais complexo, você pode vincular vários GPOs do WSUS para várias unidades organizacionais (UOs), que permitem aplicar diferentes configurações de política do WSUS para diferentes tipos de computadores.

Para habilitar o WSUS por meio de um GPO de domínio
  1. No grupo política Management Console (GPMC), navegue até o GPO no qual você deseja configurar o WSUS e clique em editar.

  2. No GPMC, expanda computador configuração, expanda políticas, expanda modelos administrativos, expanda componentes do Windowse clique em Windows Update.

  3. No painel de detalhes, clique duas vezes em configurar atualizações automáticas. O configurar atualizações automáticas abre de política.

  4. Clique em Enablede, em seguida, selecione uma das opções a seguir no configurar a atualização automática configuração:

    • Avisar para download e de instalar qualquer. Esta opção notifica um usuário administrativo logon antes de baixar e instalar as atualizações.

    • Download automático e notificação para instalação. Essa opção começa automaticamente o download de atualizações e notifica um usuário administrativo logon antes de instalar as atualizações. Por padrão, essa opção é selecionada.

    • Download automático das atualizações e agendar a instalação. Essa opção começa automaticamente o download de atualizações e, em seguida, instala as atualizações no dia e hora em que você especificar.

    • Permitir que o administrador local escolher a configuração. Essa opção vamos administradores locais usar atualizações automáticas no painel de controle para selecionar uma opção de configuração. Por exemplo, eles podem escolher um tempo de instalação agendado. Os administradores locais não é possível desabilitar as atualizações automáticas.

  5. Selecione habilitar o direcionamento do lado do cliente, selecione Enablede, em seguida, digite o nome do grupo WSUS computador ao qual você deseja adicionar este computador no nome do grupo de destino para esse computador caixa.

    Observação

    Habilitar o direcionamento do lado do cliente permite que os computadores cliente adicionam-se a grupos de computadores de destino no servidor do WSUS, quando as atualizações automáticas é redirecionada para um servidor WSUS. Se o status for definido como habilitado, este computador se identificará como um membro de um grupo específico de computador quando ele envia informações para o servidor WSUS, que usa para determinar quais atualizações são implantadas no computador. Essa configuração indica ao servidor WSUS grupo ao qual o computador cliente usará. Você deve criar o grupo no servidor do WSUS e adicionar computadores membro do domínio para esse grupo.

  6. Clique em OK para fechar o habilitar o direcionamento do lado do cliente política e retornar ao painel de detalhes do Windows Update.

  7. Clique em OK para fechar o configurar atualizações automáticas política e retornar ao painel de detalhes do Windows Update.

  8. No Windows Update painel de detalhes, clique duas vezes em especificar o local do serviço de atualização da intranet Microsoft.

  9. Clique em Enablede em seguida, o servidor no definir o serviço de atualização da intranet para detectar atualizações e configurar o servidor de estatísticas da intranet caixas de texto, digite a mesma URL do servidor WSUS. Por exemplo, digite http://servername nas duas caixas (onde nomedoservidor é o nome do servidor do WSUS).

    Aviso

    Certifique-se de especificar a porta que vai ser usado quando você digitar o endereço da intranet do servidor WSUS. Por padrão WSUS usará porta 8530 para HTTP e 8531 para HTTPS. Por exemplo, se você estiver usando HTTP, digite http://servername:8530.

  10. Clique em OK.

Depois que você configura um computador cliente, ele pode levar alguns minutos antes que o computador apareça no computadores página no Console de administração do WSUS. Para computadores cliente que estejam configurados com um objeto de política de grupo baseada em domínio, pode levar cerca de 20 minutos para política de grupo para aplicar as novas configurações de política para o computador cliente. Por padrão, as atualizações de política de grupo em segundo plano a cada 90 minutos, com um deslocamento aleatório de 0 a 30 minutos. Se você quiser atualizar a política de grupo mais cedo, você pode abrir uma janela de prompt de comando no computador cliente e digite gpupdate//force.

Para computadores cliente que estão configurados usando o editor de política de Grupo Local, o GPO é aplicado imediatamente e a atualização leva cerca de 20 minutos. Se você começar a detecção manualmente, você não precisa aguardar 20 minutos para que o computador cliente entrar em contato com o WSUS.

Como aguardando a detecção na tela inicial pode ser um processo demorado, você pode usar o procedimento a seguir para iniciar a detecção imediatamente.

Para iniciar a detecção do WSUS
  1. No computador cliente, abra uma janela de prompt de comando com privilégios elevados.

  2. Digite wuauclt.exe /detectnow, e pressione ENTER.

2.5. Seguro WSUS com o protocolo SSL

Você pode usar o protocolo Secure Sockets Layer (SSL) para ajudar a proteger a implantação do WSUS. WSUS usa SSL para autenticar os computadores cliente e servidores WSUS downstream ao servidor WSUS. WSUS também usa SSL para criptografar metadados de atualização.

Importante

Clientes e servidores downstream que estão configurados para usar Transport Layer Security (TLS) ou HTTPS também devem ser configurados para usar um nome de domínio totalmente qualificado (FQDN) para seus servidores WSUS upstream.

WSUS usa SSL para metadados apenas, não para arquivos de atualização. Isso é da mesma forma que o Microsoft Update distribui atualizações. Microsoft reduz o risco de enviar arquivos de atualização por um canal não criptografado assinando cada atualização. Além disso, um hash é calculado e enviado juntamente com os metadados para cada atualização. Quando uma atualização é carregada, o WSUS verifica a assinatura digital e hash. Se a atualização foi alterada, ele não está instalado.

Limitações das implantações de SSL do WSUS

Quando você usar SSL para proteger uma implantação do WSUS, você deve considerar as seguintes limitações:

  1. Usando SSL aumenta a carga de trabalho do servidor. Você deve esperar uma perda de 10% de desempenho devido ao custo de criptografar todos os metadados enviados pela rede.

  2. Se você usar o WSUS com um banco de dados do SQL Server remoto, a conexão entre o servidor WSUS e o servidor de banco de dados não esteja protegida pelo SSL. Se a conexão de banco de dados deve ser protegida, considere as seguintes recomendações:

  • Mova o banco de dados do WSUS no servidor do WSUS.

  • Mova o servidor de banco de dados remoto e o servidor WSUS para uma rede privada.

  • Implante o protocolo IPSec (IPsec) para ajudar a proteger o tráfego de rede. Para obter mais informações sobre IPsec, consulte criando e usando diretivas de IPsec.

Configurar SSL no servidor do WSUS

WSUS requer duas portas para SSL: uma porta que usa HTTPS para enviar metadados criptografados e uma porta que usa HTTP para enviar atualizações. Quando você configura o WSUS para usar SSL, considere o seguinte:

  • Você não pode configurar o site inteiro do WSUS para exigir SSL porque todo o tráfego para o site do WSUS precisaria ser criptografado. WSUS criptografa apenas metadados de atualização. Se um computador tenta recuperar arquivos de atualização na porta HTTPS, a transferência falhará.

    Você deve exigir SSL para as seguintes raízes virtuais apenas:

    • SimpleAuthWebService

    • DSSAuthWebService

    • ServerSyncWebService

    • APIremoting30

    • ClientWebService

    Você não deve exigir SSL para as seguintes raízes virtuais:

    • Conteúdo

    • Inventário

    • ReportingWebService

    • SelfUpdate

  • O certificado de autoridade de certificação (CA) deve ser importado para o repositório de autoridade de certificação raiz confiáveis do computador local ou a loja de autoridade de certificação raiz confiável do Windows Server Update Service em servidores WSUS de downstream. Se o certificado for importado somente para o usuário Local CA de raiz confiáveis armazenar, o servidor WSUS downstream não será autenticado no servidor upstream.

    Para obter mais informações sobre como usar certificados SSL no IIS, consulte exigem Secure Sockets Layer (IIS 7).

  • Você deve importar o certificado para todos os computadores que irá se comunicar com o servidor do WSUS. Isso inclui todos os computadores cliente, downstream servidores e computadores que executam o Console de administração do WSUS. O certificado deve ser importado para o repositório de autoridade de certificação raiz confiáveis do computador local ou para o repositório de autoridade de certificação raiz confiável do Windows Server Update Service.

  • Você pode usar qualquer porta para SSL. No entanto, a porta que você configurou para SSL também determina a porta na qual o WSUS usa para enviar o tráfego HTTP claro. Considere os exemplos a seguir:

    • Se você usar a porta padrão do setor de 443 para tráfego HTTPS, o WSUS usa a porta padrão 80 do setor para o tráfego HTTP claro.

    • Se você usar qualquer porta que não seja 443 para tráfego HTTPS, o WSUS enviará limpar o tráfego HTTP na porta numericamente vem antes da portabilidade para HTTPS. Por exemplo, se você usar porta 8531 para HTTPS, o WSUS usará porta 8530 para HTTP.

  • Você deve reinicializar ClientServicingProxy se o nome do servidor, SSL configuração ou porta número são alteradas.

Para configurar SSL no servidor WSUS raiz
  1. Faça logon no servidor WSUS usando uma conta que seja um membro do grupo Administradores do WSUS ou ao grupo local Administradores.

  2. Vá para iniciar, tipo CMD, clique com botão direito prompt de comandoe clique em executar como administrador.

  3. Navegue até o % ProgramFiles %\Update Services\Tools\ pasta.

  4. Na janela do prompt de comando, digite o seguinte comando:

    WSUSUTIL configuresslcertificateName

    onde:

    certificateName é o nome DNS do servidor do WSUS.

Configurar SSL em computadores cliente

Quando você configura SSL em computadores cliente, você deve considerar os seguintes problemas:

  • Você deve incluir uma URL para uma porta segura no servidor do WSUS. Porque você não pode exigir SSL no servidor, a única maneira de garantir que os computadores cliente podem usar um canal de segurança é usando uma URL que especifica o HTTPS. Se você usar qualquer porta que não seja 443 para SSL, você deve incluir essa porta na URL também.

  • O certificado em um computador cliente deve ser importado para o repositório de autoridade de certificação raiz confiáveis do computador Local ou a loja de CA raiz de confiável do serviço de atualização automática. Se o certificado for importado somente Store de autoridade de certificação raiz confiável do usuário Local, as atualizações automáticas falhará autenticação de servidor.

  • Os computadores cliente devem confiar no certificado que você associar ao servidor WSUS. Dependendo do tipo de certificado que é usado, você terá que configurar um serviço para permitir que os computadores cliente confiar no certificado que é vinculado ao servidor do WSUS.

Configurar SSL para servidores WSUS de downstream

As seguintes instruções configurar um servidor downstream para sincronizar com um servidor upstream que usa SSL.

Para sincronizar um servidor de downstream a um servidor upstream que usa SSL
  1. Logon no computador usando uma conta de usuário que seja um membro do grupo local Administradores ou do grupo Administradores do WSUS.

  2. Clique em iniciar, clique em todos os programas, clique em ferramentas administrativase clique em Windows Server Update Services.

  3. No painel direito, expanda o nome do servidor.

  4. Clique em opçõese clique em origem de atualização e o servidor Proxy.

  5. Sobre o atualização origem página, selecione sincronizar de outro servidor Windows Server Update Services.

  6. Digite o nome do servidor upstream no nome do servidor caixa de texto. Digite o número da porta que o servidor usa para conexões SSL para o número da porta caixa de texto.

  7. Selecione o usar SSL ao sincronizar informações de atualização caixa de seleção e, em seguida, clique em OK.

Recursos adicionais de SSL

As etapas necessárias para configurar uma autoridade de certificação, associar o certificado para o site do WSUS e estabelecer uma relação de confiança entre os computadores cliente e o certificado está além do escopo deste guia. Para obter mais informações e para obter instruções sobre como instalar certificados e configurar nesse ambiente, consulte os seguintes tópicos:

2.6. Concluir a configuração do IIS

Por padrão, o acesso de leitura anônimo é habilitado para o padrão e todos os novos sites IIS. Alguns aplicativos, especialmente o Windows SharePoint Services, poderão remover o acesso anônimo. Se isso tiver ocorrido, você deve reabilitar o acesso de leitura anônimo antes de poder instalar e operar WSUS com êxito.

Para habilitar o acesso anônimo de leitura, siga as etapas para a versão do IIS aplicável:

  1. Habilitar a autenticação anônima (IIS 7), conforme documentado no guia de operações do IIS 7.

  2. Habilitando a autenticação anônima (IIS 6.0), conforme documentado no guia de operações do IIS 6.0.

2.7. Configurar um certificado de assinatura

WSUS tem a capacidade de publicar pacotes de atualização personalizada para atualizar os produtos da Microsoft e não são da Microsoft. O WSUS pode entrar automaticamente esses pacotes de atualização personalizada para você com um certificado Authenticode. Para habilitar a assinatura de atualização personalizada, você deve instalar um certificado no servidor WSUS de assinatura de pacote. Há várias considerações associadas com a assinatura de atualização personalizada.

  1. Distribuição de certificado. A chave privada deve ser instalada no servidor do WSUS e a chave pública deve ser explicitamente instalada no repositório de certificados confiáveis em todos os computadores cliente e servidores que devem receber atualizações assinados personalizado.

  2. Expiração. Quando o certificado auto-assinado expira ou se aproxima expiração, o WSUS registrará eventos no log de eventos.

  3. Atualizações/revogação de certificados. Se você quiser atualizar ou revogar um certificado (isto é, depois de descobrir que ela expirou), o WSUS não oferecida nenhuma funcionalidade para permitir isso. Realizar isso transformados em uma tarefa manual que era muito difícil fazer manualmente ou automatizar com êxito.

© 2017 Microsoft