Planear atualizações de software no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Antes de implementar atualizações de software num ambiente de produção do System Center 2012 Configuration Manager, terá de planear primeiro esta implementação. Utilize as seguintes secções neste tópico para planear as atualizações de software na hierarquia do seu Gestor de configuração:

Pode utilizar as seguintes recomendações como uma linha base que pode ajudá-lo a determinar as informações para o planeamento da capacidade de atualizações de software que é adequado para a sua organização. Os requisitos de capacidade em si podem variar das recomendações que estão listadas neste tópico, consoante os seguintes critérios: o seu ambiente de rede específico, o hardware que utiliza para alojar o sistema de sites do ponto de atualização de software, o número de clientes que estão instalados e as funções do sistema de sites que estão instaladas no servidor.

O número de clientes suportados depende da versão do Windows Server Update Services (WSUS) que é executada no ponto de atualização de software, além de depender também da possibilidade de o sistema de sites do ponto de atualização de software coexistir com uma outra função do sistema de sites.

  • O ponto de atualização de software consegue suportar até 25.000 clientes1 quando o WSUS 3.0 Service Pack 2 (SP2) é executado no computador do ponto de atualização de software e o ponto de atualização de software coexiste com uma outra função do sistema de sites.

  • O ponto de atualização de software consegue suportar até 100.000 clientes2 quando o WSUS 3.0 SP2 é executado no computador do ponto de atualização de software e o ponto de atualização de software não coexiste com uma outra função do sistema de sites.

1para suportar mais de 25.000 clientes, o ponto de atualização de software pode ser configurado para utilizar o Balanceamento de Carga na Rede (NLB).

2para suportar até 100.000 clientes, o ponto de atualização de software deve satisfazer o WSUS. Para mais informações, consulte Determinar Necessidades de Capacidade do WSUS.

Utilize as seguintes informações de capacidade para planear os objetos de atualizações de software.

  • Limite de 1000 atualizações de software numa implementação

    Tem de limitar o número de atualizações de software a 1000 para cada implementação de atualização de software. Quando cria uma regra de implementação automática, especifique um critério que limita o número de atualizações de software que são devolvidas. A regra de implementação automática falha quando os critérios que especificar devolverem mais de 1000 atualizações de software. Pode verificar o estado da regra de implementação automática no nó Regras de Implementação Automática na consola do Gestor de configuração. Ao implementar manualmente atualizações de software, não selecione mais de 1000 atualizações para implementar.

O site de administração central e todos os sites subordinados principais têm de ter um ponto de atualização de software onde irá implementar atualizações de software. Quando planear a infraestrutura do ponto de atualização de software, é necessário determinar as seguintes dependências: onde instalar o ponto de atualização de software para o site; que sites necessitam de um ponto de atualização de software que aceite comunicação de clientes baseados na Internet; se irá configurar o ponto de atualização de software como um cluster de NLB e se necessita de um ponto de atualização de software num site secundário. Utilize as secções seguintes para determinar a infraestrutura do ponto de atualização de software.

System_CAPS_importantImportante

Para informações sobre as dependências internas e externas que são necessárias para as atualizações de software, consulte Pré-requisitos para Atualizações de Software no Configuration Manager.

System_CAPS_importantImportante

As informações nesta secção aplicam-se apenas ao Gestor de configuração SP1 e ao System Center 2012 R2 Configuration Manager.

A partir do Gestor de configuração SP1, é possível adicionar vários pontos de atualização de software num site principal do Gestor de configuração. A capacidade para ter vários pontos de atualização de software num site fornece tolerância a falhas, sem requerer a complexidade do NLB. No entanto, a ativação pós-falha que recebe com vários pontos de atualização de software não é tão sólida quanto o NLB para o balanceamento de carga puro sendo, ao invés disso, concebida para a tolerância a falhas. Além disso, a conceção de ativação pós-falha do ponto de atualização de software é diferente do modelo de aleatoriedade puro que é utilizado na conceção para pontos de gestão. Ao contrário do que sucede na conceção de pontos de gestão, nos pontos de atualização de software existem custos de desempenho para o cliente e para a rede que estão associados a uma mudança para um novo ponto de atualização de software. Quando o cliente muda para um novo servidor WSUS para analisar a existência de atualizações de software, o resultado é um aumento do tamanho do catálogo e exigências associadas do lado do cliente e a nível do desempenho da rede. Por conseguinte, o cliente preserva a afinidade com o último ponto de atualização de software para o qual foi analisado com êxito.

O primeiro ponto de atualização de software que instalar num site principal é a origem de sincronização para todos os pontos de atualização de software adicionais que adicionar no site primário. Depois de adicionar os seus pontos de atualização de software e iniciar a sincronização das atualizações de software, pode ver o estado dos pontos de atualização de software e da origem de sincronização no nó Estado de Sincronização do Ponto de Atualização de Software da área de trabalho Monitorização.

Quando um ponto de atualização de software falha e esse ponto de atualização de software está configurado como a origem de sincronização para os outros pontos de atualização de software no site, terá de remover manualmente o ponto de atualização de software em falha e selecionar um novo ponto de atualização de software para utilizar como a origem de sincronização. Para mais informações sobre como remover um ponto de atualização de software, consulte a secção Remover a função de sistema de sites de ponto de atualização de software no tópico Configurar Atualizações de Software no Configuration Manager.

O Gestor de configuração fornece ao cliente uma lista de pontos de atualização de software nos seguintes cenários: quando um novo cliente recebe a política para ativar atualizações de software ou quando um cliente não consegue contactar o respetivo ponto de atualização de software e tem de mudar para um outro ponto de atualização de software. O cliente seleciona aleatoriamente um ponto de atualização de software na lista e dá prioridade aos pontos de atualização de software situados na mesma floresta. O Gestor de configuração fornece aos clientes uma lista diferente, dependendo do tipo de cliente.

  • Clientes baseados na intranet: Receba uma lista dos pontos de atualização de software que pode configurar para permitir ligações apenas a partir da intranet, ou uma lista de pontos de atualização de software que permitem ligações do cliente à Internet e intranet.

  • Clientes baseados na Internet: Receba uma lista dos pontos de atualização de software que pode configurar para permitir ligações apenas a partir da Internet, ou uma lista de pontos de atualização de software que permitem ligações do cliente à Internet e intranet.

Caso tenha vários pontos de atualização de software num site e um deles falhar ou ficar indisponível, os clientes ligar-se-ão a um ponto de atualização de software diferente e continuarão a analisar a presença das mais recentes atualizações de software. Quando um cliente for atribuído pela primeira vez a um ponto de atualização de software, o mesmo manter-se-á atribuído a esse ponto de atualização de software, exceto se não conseguir analisar a presença de atualizações de software nesse ponto de atualização de software.

System_CAPS_noteNota

Se dispuser de um ponto de atualização de software ativo (SUP01) num site do Gestor de configuração sem service packs, atualize o site para Gestor de configuração SP1 e, em seguida, adicione um segundo ponto de atualização de software (SUP02). Como resultado, os clientes existentes apenas mudarão para SUP02 na sequência uma falha da análise. Todos os novos clientes serão atribuídos aleatoriamente a SUP01 ou SUP02 após a atualização do site para o Gestor de configuração SP1.

A análise da existência de atualizações de software pode falhar com uma série de diferentes códigos de erro de repetições e não repetições. Quando a análise falha com um código de erro de repetição, o cliente inicia um processo de repetição para procurar as atualizações de software no ponto de atualização de software. As condições de alto nível que resultam num código de erro de repetição são normalmente causadas porque o servidor WSUS está indisponível ou porque está temporariamente sobrecarregado. O cliente utiliza o seguinte processo quando falha na análise de atualizações de software:

  1. O cliente analisa a existência de atualizações de software à hora agendada ou quando é iniciado através do painel de controlo no cliente, ou utilizando o SDK. Se a análise falhar, o cliente aguarda 30 minutos para repetir a análise e utiliza o mesmo ponto de atualização de software.

  2. O cliente tenta novamente um mínimo de quatro vezes em intervalos de 30 minutos. Após a quarta falha, e depois de aguardar dois minutos adicionais, o cliente desloca-se para o ponto de atualização de software seguinte na lista de pontos de atualização de software.

  3. Depois de uma análise com êxito, o cliente irá continuar a ligar-se ao ponto de atualização de software.

A lista seguinte fornece informações adicionais que pode considerar para os cenários de repetição e mudança do ponto de atualização de software:

  • Se um cliente está desligado da intranet da empresa e não consegue analisar a presença de atualizações de software, esse cliente não muda para outro ponto de atualização de software. Esta é uma falha esperada, porque o cliente não consegue aceder à rede da empresa ou ao ponto de atualização de software que permite a ligação da intranet. O cliente de Gestor de configuração determina a disponibilidade do ponto de atualização de software de intranet.

  • Se a gestão de clientes baseada na Internet estiver ativada e existirem vários pontos de atualização de software que estão configurados para aceitarem comunicação de clientes na Internet, o processo de mudança seguirá o processo de repetição padrão que é descrito no cenário anterior.

  • Se o processo de análise tiver sido iniciado mas o cliente for desligado da corrente antes de a análise estar concluída, tal não é considerada uma falha da análise e não conta como uma das quatro tentativas de repetição.

Pode criar um ou mais pontos de atualização de software num site para suportar clientes numa floresta que não considera fidedigna. Para adicionar um ponto de atualização de software noutra floresta, tem primeiro de instalar e configurar um servidor WSUS na floresta. Em seguida, inicie o assistente para adicionar um servidor de sites do Gestor de configuração com a função de sistema de sites de ponto de atualização de software. No assistente, configure as seguintes definições para ligar com êxito ao WSUS na floresta não fidedigna:

  • Especifique uma conta de Instalação do Sistema de Sites que pode aceder ao servidor WSUS na floresta.

  • Especifique a conta de Ligação ao Servidor WSUS para utilizar para ligar ao servidor WSUS.

Por exemplo, dispõe de um site principal na floresta A com pontos de atualização de software (SUP01 e SUP02). Do mesmo modo, para o mesmo site principal, dispõe de dois pontos de atualização de software (SUP03 e SUP04) na floresta B. Quando a mudança ocorre neste exemplo, é atribuída prioridade aos pontos de atualização de software da mesma floresta que o cliente.

Normalmente, o site de nível superior na sua hierarquia está configurado para sincronizar metadados de atualizações de software com o Microsoft Update. Quando a sua política de segurança empresarial não permite o acesso à Internet a partir do site de nível superior, pode configurar a origem de sincronização para o site de nível superior utilizar um servidor WSUS existente que não faça parte da hierarquia do Gestor de configuração. Por exemplo, pode ter um servidor WSUS instalado no seu DMZ com acesso à Internet, mas o site de nível superior não. Pode configurar o servidor WSUS no DMZ como origem de sincronização para os metadados de atualizações de software. Tem de garantir que o servidor WSUS no DMZ sincroniza atualizações de software que cumprem os critérios de que precisa na hierarquia do Gestor de configuração. Caso contrário, o site de nível superior poderá não sincronizar as atualizações de software que espera. Ao instalar o ponto de atualização de software, configure uma conta de ligação ao WSUS com acesso ao servidor WSUS no DMZ e confirme se a firewall permite tráfego para as portas adequadas. Para mais informações sobre as portas que são utilizadas pelo ponto de atualização de software para a origem de sincronização, consulte a secção Ponto de Atualização de Software -- > Servidor WSUS a Montante no tópico Referência Técnica para Portas Utilizadas no Configuration Manager.

A partir do Gestor de configuração SP1, a mudança de ponto de atualização de software resolverá provavelmente as necessidades dos utilizadores em matéria de tolerância de falhas. No entanto, o NLB é mais robusto do que a ativação pós-falha de pontos de atualização de software para balanceamento de carga puro, além de que o NLB permite aumentar a fiabilidade e o desempenho de rede. Apesar de não existir qualquer opção na consola do Gestor de configuração para configurar o ponto de atualização de software para utilizar o NLB, pode optar por configurar o NLB utilizando o cmdlet Set-CMSoftwareUpdatePoint do PowerShell. Para mais informações sobre o cmdlet Set-CMSoftwareUpdatePoint PowerShell, consulte o tópico Set-CMSoftwareUpdatePoint na Referência de Cmdlets do System Center 2012 Configuration Manager SP1.

System_CAPS_noteNota

Antes de atualizar do Gestor de configuração sem pacote de serviço para o Gestor de configuração SP1, necessita de remover o NLB do ponto de atualização de software ativo. Uma vez concluída a atualização, poderá optar por reconfigurar o NLB utilizando o Windows PowerShell.

O ponto de atualização de software é opcional num site secundário. Quando instala um ponto de atualização de software num site secundário, a base de dados de WSUS é configurada como uma réplica do ponto de atualização de software predefinido no site primário principal. Apenas pode instalar um ponto de atualização de software num site secundário. Os dispositivos atribuídos a um site secundário são configurados para utilizar um ponto de atualização de software no site principal quando não existe um ponto de atualização de software instalado no site secundário. Normalmente, deverá instalar um ponto de atualização de software num site secundário nos casos em que existam limitações de largura de banda de rede entre os dispositivos que estão atribuídos ao site secundário e os pontos de atualização de software do site primário principal, bem como quando o ponto de atualização de software está prestes a atingir o limite de capacidade. Após a instalação e configuração de um ponto de atualização de software com êxito no site secundário, é atualizada para todo o site uma política para os computadores cliente que estejam atribuídos ao site, passando estes a utilizar o novo ponto de atualização de software.

System_CAPS_importantImportante

As informações deste tópico aplicam-se exclusivamente ao Gestor de configuração sem service packs.

Utilize as secções seguintes para determinar a infraestrutura de ponto de atualização de software do Gestor de configuração sem pacote de serviço.

System_CAPS_noteNota

Para mais informações sobre como instalar um ponto de atualização de software numa floresta não fidedigna, consulte a secção Planeamento de Comunicações entre Florestas no Configuration Manager do tópico Planear a comunicações no Configuration Manager.

O site de administração central e todos os sites primários subordinados da hierarquia do Gestor de configuração necessitam de um ponto de atualização de software ativo para suportarem implementações de atualizações de software em computadores cliente. O ponto de atualização de software ativo de um site primário utiliza o site de administração central como origem de sincronização. O ponto de atualização de software comunica com os WSUS para configurar as definições e sincronizar as atualizações de software. Pode configurar o ponto de atualização de software ativo para apenas aceitar comunicações de clientes na intranet ou para aceitar comunicações de clientes na intranet e na Internet. Se o ponto de atualização de software ativo não estiver configurado para aceitar comunicações de clientes na Internet, poderá optar por criar um ponto de atualização de software baseado na Internet num sistema de sites remoto. Pode adicionar a função de site de atualização de software a um site secundário, embora os computadores cliente no site secundário possam aceder diretamente ao ponto de atualização de software ativo no site primário principal.

O ponto de atualização de software baseado na Internet aceita comunicações de computadores cliente na Internet. Apenas é possível criar o ponto de atualização de software baseado na Internet se o ponto de atualização de software ativo não estiver configurado para aceitar comunicações de computadores cliente na Internet. É necessário instalar o ponto de atualização de software baseado na Internet num sistema de sites que seja remoto relativamente ao servidor do site, que esteja localizado numa rede de perímetro e que esteja acessível aos computadores cliente baseados na Internet. Por predefinição, o ponto de atualização de software baseado na Internet efetua a sincronização com o ponto de atualização de software ativo no mesmo site. Quando o ponto de atualização de software baseado na Internet estiver desligado do ponto de atualização de software ativo, poderá efetuar manualmente a sincronização das atualizações de software utilizando o processo de exportação e importação. Para obter mais informações, consulte a secção Origem de Sincronização neste tópico.

O NLB pode aumentar a fiabilidade e o desempenho de uma rede. Pode configurar vários servidores WSUS que partilhem um único cluster de ativação pós-falha do SQL Server e, em seguida, configurar um ponto de atualização de software para utilizar o NLB. Se configurar o sistema de sites de ponto de atualização de software ativo num cluster de NLB, a capacidade do cliente não aumentará necessariamente, mas poderá disponibilizar maior disponibilidade ao ponto de atualização de software. Antes de configurar o ponto de atualização de software para utilizar um cluster de NLB, necessita de concluir vários passos de configuração. Para mais informações, consulte Como Configurar um Ponto de Atualização de Software para Utilizar o Cluster de Balanceamento de Carga na Rede (NLB).

O ponto de atualização de software é opcional num site secundário. Quando instala um ponto de atualização de software num site secundário, a base de dados WSUS é configurada como uma réplica, em vez de uma instância autónoma de WSUS que é utilizada quando instala o ponto de atualização de software num site primário ou num site de administração central.

Os dispositivos atribuídos a um site secundário são configurados para utilizar o ponto de atualização de software ativo no site principal, desde que não exista um ponto de atualização de software configurado no site secundário. Normalmente, deverá instalar um ponto de atualização de software num site secundário sempre que existirem limitações de largura de banda entre os dispositivos que estão atribuídos ao site secundário e os pontos de atualização de software no site primário principal, ou quando o ponto de atualização de software estiver prestes a atingir o limite de capacidade. Após a instalação e configuração de um ponto de atualização de software com êxito no site secundário, é atualizada para todo o site uma política para os computadores cliente que estejam atribuídos ao site, passando estes a utilizar o novo ponto de atualização de software.

Ao atualizar um Gestor de configuração existente sem pacote de serviço para o Gestor de configuração SP1, pondere os seguintes aspetos:

  • Antes de atualizar do Gestor de configuração sem service pack para o Gestor de configuração SP1, tem de remover o NLB do ponto de atualização de software ativo. Uma vez concluída a atualização, poderá optar por reconfigurar o NLB utilizando o Windows PowerShell. Para mais informações sobre como mudar de ponto de atualização de software, consulte a secção Mudança do Ponto de Atualização de Software neste tópico.

  • Se dispuser de um ponto de atualização de software ativo baseado na Internet num Gestor de configuração sem pacote de serviço e posteriormente atualizar o site para o Gestor de configuração SP1, o ponto de atualização de software ativo baseado na Internet será atualizado para um ponto de atualização de software na lista dos pontos de atualização de software que apenas permitem ligações de clientes na Internet.

  • Se dispuser de um ponto de atualização de software ativo (SUP01) num site do Gestor de configuração sem service packs, atualize o site para Gestor de configuração SP1 e, em seguida, adicione um segundo ponto de atualização de software (SUP02). Por conseguinte, os clientes existentes serão automaticamente atribuídos ao SUP01. Os clientes apenas mudarão para o SUP02 em caso de falha de pesquisa. Após atualizar o site, todos os novos clientes serão aleatoriamente atribuídos ao SUP01 ou SUP02. Para mais informações sobre a lista de pontos de atualização de software, consulte a secção Lista de Pontos de Atualização de Software neste tópico.

Antes de criar uma função de sistema de sites de ponto de atualização de software no Gestor de configuração, deverá ponderar vários requisitos, consoante a sua infraestrutura do Gestor de configuração. Se configurar o ponto de atualização de software para comunicar utilizando SSL, é particularmente importante que leia esta secção devido aos passos adicionais que têm de ser tomados para que os pontos de atualização de software da hierarquia funcionem corretamente. Esta secção contém informações sobre os passos que deverá executar para planear e preparar a instalação de um ponto de atualização de software com êxito.

A função de sistema de sites de ponto de atualização de software tem de ser instalada num sistema de sites que cumpra os requisitos mínimos do WSUS e as configurações suportadas dos sistemas de sites do Gestor de configuração.

  1. Para mais informações sobre os requisitos mínimos do WSUS 3.0 SP2, consulte Confirmar os requisitos de instalação do WSUS 3.0 SP2 na biblioteca de documentação do Windows Server Update Services 3.0 SP2.

  2. Para mais informações sobre os requisitos mínimos da função de servidor do WSUS no Windows Server 2012, consulte o Passo 1: Preparar a sua Implementação do WSUS na biblioteca de documentação do Windows Server 2012.

  3. Para mais informações sobre as configurações suportadas para sistemas de sites do Gestor de configuração, consulte a secção no tópico .c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq

As atualizações de software necessitam que esteja instalada uma versão suportada do WSUS em todos os servidores de sistemas de sites que estejam configurados para a função de sistema de sites de ponto de atualização de software. Além disso, se não instalar o ponto de atualização de software no servidor do site, necessitará de instalar a Consola de Administração do WSUS no computador do servidor do site, caso ainda não esteja instalada. Tal permitirá ao servidor do site comunicar com o WSUS que está a ser executado no ponto de atualização de software.

Se utilizar o WSUS no Windows Server 2012, necessitará de configurar permissões adicionais para permitir que o WSUS Configuration Manager do Gestor de configuração estabeleça a ligação ao WSUS para efetuar as verificações periódicas de integridade. Escolha uma das seguintes opções para configurar as permissões:

  • Adicionar a conta SYSTEM ao grupo Administradores WSUS

  • Adicionar a conta NT AUTHORITY\SYSTEM como utilizador da base de dados WSUS (SUSDB) e configurar uma associação mínima à função de base de dados webService

Para mais informações sobre como instalar o WSUS 3.0 SP2, consulte Instalar o Servidor WSUS ou a Consola de Administração na biblioteca de documentação do Windows Server Update Services 3.0 SP2.

Para mais informações sobre como instalar o WSUS no Windows Server 2012, consulte Instalar a Função de Servidor WSUS na biblioteca de documentação do Windows Server 2012.

Para o System Center 2012 Configuration Manager SP1 e posterior:

Se instalar mais do que um ponto de atualização de software num site primário, utilize a mesma base de dados do WSUS para cada ponto de atualização de software localizado na mesma floresta do Active Directory. A partilha da mesma base de dados reduzirá significativamente, embora não elimine completamente o impacto ao nível do cliente e do desempenho de rede que poderá ocorrer quando os clientes mudarem para um novo ponto de atualização de software. A análise de diferenças continuará a ser executada quando um cliente mudar para um novo ponto de atualização de software que partilhe uma base de dados com o ponto de atualização de software antigo, embora a análise seja muito mais rápida do que seria se o WSUS tivesse uma base de dados própria.

Quando instala o WSUS, pode optar por utilizar o Web site predefinido existente do IIS ou criar um Web site personalizado do WSUS. Crie um Web site personalizado para o WSUS de forma a que o IIS aloje os serviços do WSUS num Web site virtual dedicado, em vez de partilhar o mesmo Web site que é utilizado por outros sistemas de sites do Gestor de configuração ou outras aplicações. Este aspeto será particularmente válido caso instale a função de sistema de sites de ponto de atualização de software no servidor do site. Se executar o WSUS no Windows Server 2012 ou configurar um Web site personalizado para o WSUS 3.0 SP2, o WSUS é configurado, por predefinição, para utilizar as portas 8530 para HTTP e a porta 8531 para HTTPS. Necessitará de especificar estas definições de porta quando criar o ponto de atualização de software num site.

Pode utilizar um servidor WSUS que estava ativo no seu ambiente antes de instalar o Gestor de configuração. Quando o ponto de atualização de software estiver configurado, necessitará de especificar as definições de sincronização. O Gestor de configuração estabelece a ligação ao WSUS que está a ser executado no ponto de atualização de software e configura o servidor WSUS com as mesmas definições. Se o servidor WSUS tiver sido anteriormente sincronizado com produtos ou classificações que não tenha configurado no âmbito das definições de sincronização do ponto de atualização de software, os metadados das atualizações de software relativos aos produtos e classificações são sincronizados para todos os metadados de atualizações de software na base de dados do WSUS, independentemente das definições de sincronização do ponto de atualização de software. Por conseguinte, poderão surgir metadados de atualizações de software inesperados na base de dados do site. Irá identificar o mesmo comportamento quando adicionar produtos ou classificações diretamente na consola de Administração do WSUS e, em seguida, iniciar de imediato a sincronização. Por predefinição, o Gestor de configuração estabelece com intervalos de uma hora a ligação ao WSUS que é executado no ponto de atualização de software e repõe as definições que tenham eventualmente sido modificadas fora do Gestor de configuração.

A partir do Gestor de configuração SP1, as atualizações de software que não correspondam aos produtos e classificações especificados nas definições de sincronização serão definidas como expiradas e posteriormente removidas da base de dados do site.

Quando cria uma função de sistema de sites de ponto de atualização de software num servidor de sites primário, não poderá utilizar um servidor WSUS que esteja configurado como uma réplica. Se o servidor WSUS estiver configurado como uma réplica, o Gestor de configuração não conseguirá configurar o servidor WSUS com êxito e a sincronização do WSUS também não será concluída com êxito. Se um ponto de atualização de software for criado num site secundário, o Gestor de configuração configurará o WSUS como um servidor de réplicas do WSUS que é executado no ponto de atualização de software localizado no site primário principal. A partir do Gestor de configuração SP1, o primeiro ponto de atualização de software que instalar num site primário será o ponto de atualização de software predefinido. Os pontos de atualização de software adicionais no site serão configurados como réplicas do ponto de atualização de software predefinido.

Pode utilizar o protocolo SSL para ajudar a proteger o WSUS que é executado no ponto de atualização de software. O WSUS utiliza SSL para autenticar computadores cliente e servidores WSUS a jusante para o servidor WSUS. O WSUS também utiliza SSL para encriptar os metadados de atualização de software. Quando escolhe proteger o WSUS com SSL, tem de preparar o servidor WSUS antes de instalar o ponto de atualização de software. Para mais informações sobre como configurar o WSUS para SSL, consulte Proteger o WSUS com o Protocolo Secure Sockets Layer na biblioteca de documentação WSUS 3.0 SP2.

Quando instalar e configurar o ponto de atualização de software, terá de selecionar a definição Ativar as comunicações SSL para o Servidor WSU. Caso contrário, o Gestor de configuração irá configurar o WSUS para não utilizar SSL. Quando ativar SSL para o WSUS que é executado num ponto de atualização de software, o WSUS que é executado no ponto de atualização de software em quaisquer sites subordinados têm também de ser configurados para a utilização de SSL.

As atualizações de software num site de administração central do Gestor de configuração comunicam com o WSUS que é executado no ponto de atualização de software que, por sua vez, comunica com a origem da sincronização para sincronizar metadados de atualizações de software. Os pontos de atualização de software num site subordinado comunicam com o ponto de atualização de software no site principal. Quando existe um ponto de atualização de software remoto ativo baseado na Internet num Gestor de configuração sem nenhum Service Pack, o servidor de sites terá de comunicar com o ponto de atualização de software ativo do site, de modo a que a sincronização seja concluída com êxito. A partir do Gestor de configuração SP1, quando existe mais do que um ponto de atualização de software num site primário, os pontos adicionais de atualização de software têm de comunicar com o primeiro ponto de atualização de software que está instalado no site e que é o ponto de atualização de software predefinido.

A firewall poderá ter de ser configurada para aceitar as portas HTTP ou HTTPS que são utilizadas pelo WSUS nos seguintes cenários: quando possui uma firewall empresarial entre o ponto de atualização de software do Gestor de configuração e a Internet; quando possui um ponto de atualização de software e a respetiva origem de sincronização a montante; quando possui um ponto de atualização de software ativo baseado na Internet e o ponto de atualização de software para o Gestor de configuração sem site do service pack ou quando possui os pontos adicionais de atualização de software e o ponto de atualização de software predefinido num site do Gestor de configuração SP1. A ligação ao Microsoft Update é sempre configurada para utilizar a porta 80 para HTTP e a porta 443 para HTTPS. Pode utilizar uma porta personalizada para a ligação do WSUS que é executado no ponto de atualização de software num site subordinado ao WSUS que é executado no ponto de atualização de software no site principal. Durante a sincronização de atualizações de software, o WSUS que é executado no ponto de atualização de software baseado na Internet liga-se sempre ao WSUS que é executado no ponto de atualização de software ativo utilizando HTTPS. Quando a política de segurança não permite uma ligação HTTPS, terá de utilizar o método de sincronização de exportação e importação. Para obter mais informações, consulte a secção Origem de Sincronização neste tópico. Para mais informações sobre as portas que são utilizadas pelo WSUS, consulte Como determinar as definições de porta utilizadas pelo WSUS.

Se a sua organização não permitir que as portas e os protocolos estejam abertos a todos os endereços na firewall entre o ponto de atualização de software e a Internet, poderá restringir o acesso aos seguintes domínios, de modo a que o WSUS e as Atualizações Automáticas possam comunicar com o Microsoft Update:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • http://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://test.stats.update.microsoft.com

  • http://ntservicepack.microsoft.com

Poderá ter de adicionar os seguintes endereços à firewall que está localizada entre os dois sistemas de sites nos seguintes casos: se os sites subordinados têm um ponto de atualização de software ou se existe um ponto de atualização de software remoto ativo baseado na Internet num site:

Ponto de atualização de software no site subordinado

  • http://<FQDN para um ponto de atualização de software num site subordinado>

  • https://<FQDN para um ponto de atualização de software num site subordinado>

  • http://<FQDN para um ponto de atualização de software num site principal>

  • https://<FQDN para um ponto de atualização de software num site principal>

Ponto de atualização de software baseado na Internet

  • http://<FQDN para um ponto de atualização de software ativo num site>

  • https://<FQDN para um ponto de atualização de software ativo num site>

  • http://<FQDN para um ponto de atualização de software ativo baseado na Internet>

  • https://<FQDN para um ponto de atualização de software ativo baseado na Internet>

A sincronização de atualizações de software no Gestor de configuração corresponde ao processo de obtenção dos metadados de atualização de software com base nos critérios que configurou. O site de nível superior na sua hierarquia, o site de administração central ou o site primário autónomo sincroniza atualizações de software do Microsoft Update. A partir do Gestor de configuração SP1, poderá optar por configurar o ponto de atualização de software no site de nível superior para se sincronizar com um servidor WSUS existente, não na hierarquia do Gestor de configuração. Os sites subordinados principais sincronizam os metadados de atualizações de software a partir do ponto de atualização de software no site de administração central. Antes de instalar e configurar um ponto de atualização de software, utilize esta secção para planear as definições de sincronização.

As definições da origem de sincronização para o ponto de atualização de software especificam a localização sobre onde o ponto de atualização de software obtém metadados de atualizações de software e se os eventos de relatório WSUS são criados durante o processo de sincronização.

  • Origem de sincronização: Por predefinição, o ponto de atualização de software no site de nível superior configura a origem de sincronização para o Microsoft Update. A partir do Gestor de configuração SP1, poderá optar por sincronizar o site de nível superior com um servidor WSUS existente. O ponto de atualização de software num site subordinado principal configura a origem de sincronização bem como o ponto de atualização de software no site de administração central por predefinição.

    System_CAPS_noteNota

    Quando tiver um ponto de atualização de software remoto baseado na Internet, o servidor de atualização a montante é o ponto de atualização de software para o mesmo site.

    System_CAPS_noteNota

    A partir do Gestor de configuração SP1, o primeiro ponto de atualização de software que instalar num site primário, que é o ponto de atualização de software predefinido, sincroniza-se com o site de administração central. Os pontos de atualização de software adicionais no site primário sincronizam-se com o ponto de atualização de software predefinido no site primário.

    Quando um ponto de atualização de software é desligado do Microsoft Update ou do servidor de atualização a montante, pode configurar a origem de sincronização para não se sincronizar com uma origem de sincronização configurada mas, ao invés, utilizar a função de exportação e importação da ferramenta WSUSUtil para sincronizar as atualizações de software. Para obter mais informações, consulte a secção Sincronizar Atualizações de Software a Partir de um Ponto de Atualização de Software Desligado do tópico Configurar Atualizações de Software no Configuration Manager.

  • Eventos de relatório WSUS: O Windows Update Agent nos computadores cliente pode criar mensagens de eventos que são utilizadas para os relatórios do WSUS. Estes eventos não são utilizados por atualização de software no Gestor de configuração e, por conseguinte, a opção Não criar eventos de relatório WSUS está selecionada por predefinição. Quando estes eventos não são criados, o único momento em que o computador cliente se deve ligar ao servidor WSUS é durante a avaliação de atualização de software e análises de compatibilidade. Se estes eventos forem necessários para relatórios fora das atualizações de software no Gestor de configuração, terá de modificar esta definição para criar eventos de relatório WSUS.

Só pode configurar a agenda de sincronização no ponto de atualização de software no site de nível superior na hierarquia do Gestor de configuração. Quando configura a agenda de sincronização, o ponto de atualização de software sincroniza-se com a origem de sincronização à data e à hora que especificar. A agenda personalizada permite-lhe sincronizar atualizações de software a uma data e hora em que os pedidos do servidor WSUS, servidor de sites e rede são baixos, como às 2:00 da manhã uma vez por semana. Como alternativa, pode iniciar a sincronização no site de nível superior utilizando a ação Atualizações de Software por Sincronização a partir do nó Todas as Atualizações de Software ou Grupos de Atualizações de Software na consola do Gestor de configuração.

System_CAPS_tipSugestão

Agende a sincronização de atualizações de software para ser executada num período de tempo que seja adequado ao seu ambiente. Um cenário típico é a definição da agenda de sincronização de atualizações de software para iniciar a execução poucos instantes após a edição de atualização de segurança regular da Microsoft, na segunda terça-feira de cada mês, vulgarmente designada Patch de Terça-feira. Outro cenário típico possível consiste em definir a agenda de sincronização de atualizações de software para ser executada diariamente, caso sejam utilizadas atualizações de software para a entrega de atualizações de definições e de motor do Endpoint Protection.

Depois de o ponto de atualização de software concluir a sincronização com êxito, é enviado um pedido de sincronização aos sites subordinados. A partir do Gestor de configuração SP1, se tiver pontos adicionais de atualização de software num site principal, um pedido de sincronização é enviado a cada ponto de atualização de software. No Gestor de configuração sem Service Pack, um pedido de sincronização é enviado ao ponto de atualização de software ativo baseado na Internet, no caso de estar instalado. O processo é repetido em todos os sites na hierarquia.

Cada atualização de software é definida com uma classificação de atualização que ajuda a organizar os diferentes tipos de atualizações. Durante o processo de sincronização, serão sincronizados os metadados de atualizações de software para as classificações especificadas. O Gestor de configuração permite-lhe sincronizar atualizações de software com as seguintes classificações de atualização:

  • Atualizações Críticas: Especifica uma atualização amplamente lançada para um problema específico que corrige um erro crítico não relacionado com segurança.

  • Atualização de Definições: Especifica uma atualização para o vírus ou outros ficheiros de definição.

  • Pacotes de Funcionalidades: Especifica as novas funcionalidades do produto que são distribuídas fora de uma versão e funcionalidade do produto e que normalmente estão incluídas na próxima versão completa do produto.

  • Atualizações de Segurança: Especifica uma atualização amplamente lançada para um problema específico do produto e relacionado com a segurança.

  • Service Packs: Especifica um conjunto cumulativo de correções que são aplicadas a uma aplicação. Estas correções podem incluir atualizações de segurança, atualizações críticas, atualizações de software e assim sucessivamente.

  • Ferramentas: Especifica um utilitário ou funcionalidade que ajuda a efetuar uma ou mais tarefas.

  • Rollups de Atualizações: Especifica um conjunto cumulativo de correções que são agrupadas para facilitar a implementação. Estas correções podem incluir atualizações de segurança, atualizações críticas, atualizações e assim sucessivamente. Um rollup de atualizações resolve geralmente uma área específica, tal como segurança ou um componente de produto.

  • Atualizações: Especifica uma atualização para uma aplicação ou um ficheiro que está atualmente instalado.

As definições de classificação de atualização são configuradas apenas no site de nível superior. As definições de classificação de atualização não são configuradas no ponto de atualização de software em sites subordinados porque os metadados de atualizações de software são replicados desde o site de nível superior até sites subordinados principais. Quando selecionar as classificações de atualização, tenha em atenção que quanto mais classificações selecionar, mais tempo demorará para sincronizar os metadados de atualizações de software.

System_CAPS_warningAviso

Como procedimento recomendado, desmarque todas as classificações antes de sincronizar as atualizações de software pela primeira vez. Após a sincronização inicial, selecione as classificações nas propriedades do Componente de Ponto de Atualização de Software e, em seguida, reinicie o processo de sincronização.

Os metadados para cada atualização de software definem um ou mais produtos para os quais a atualização é aplicável. Um produto é uma edição específica de um sistema operativo ou aplicação. Um exemplo de um produto é o Microsoft Windows Server 2008. Uma família de produtos é o sistema operativo base ou a aplicação a partir da qual derivam os produtos individuais. Um exemplo de uma família de produtos é o Microsoft Windows, do qual o Microsoft Windows Server 2008 é um membro. Pode especificar uma família de produtos ou produtos individuais dentro de uma família de produtos.

Quando as atualizações de software se aplicam a vários produtos e pelo menos um dos produtos é selecionado para sincronização, todos os produtos aparecerão na consola do Gestor de configuração, mesmo se alguns produtos não foram selecionados. Por exemplo, se o Windows Server 2008 for o único sistema operativo que subscreveu, e se uma atualização de software se aplicar ao Windows Server 2008 e ao Windows Server 2008 Datacenter Edition, ambos os produtos estarão na base de dados do site.

As definições do produto são configuradas apenas no site de nível superior. As definições do produto não são configuradas no ponto de atualização de software para sites subordinados porque os metadados de atualizações de software são replicados desde o site de nível superior até sites subordinados principais. Quando selecionar produtos, tenha em atenção que quantos mais produtos selecionar, mais tempo demorará a sincronizar os metadados de atualizações de software.

System_CAPS_importantImportante

O Gestor de configuração armazena uma lista de produtos e famílias de produtos a partir das quais pode escolher quando instalar pela primeira vez o ponto de atualização de software. Os produtos e famílias de produtos que são lançados depois de o Gestor de configuração ser lançado poderão não estar disponíveis para seleção até concluir a sincronização das atualizações de software, que atualiza a lista de produtos e famílias de produtos disponíveis a partir dos quais pode escolher. Como procedimento recomendado, desmarque todos os produtos antes de sincronizar as atualizações de software pela primeira vez. Após a sincronização inicial, selecione os produtos nas propriedades do Componente de Ponto de Atualização de Software e, em seguida, reinicie o processo de sincronização.

Normalmente, uma atualização de software que substitui outra atualização de software executa uma ou mais das seguintes ações:

  • Melhora ou atualiza a correção que foi fornecida por uma ou mais atualizações publicadas anteriormente.

  • Melhora a eficiência do pacote de ficheiros de atualização substituído, que é instalado em computadores cliente se a atualização for aprovada para instalação. Por exemplo, a atualização substituída poderá conter ficheiros que já não sejam relevantes para a correção ou para os sistemas operativos que são suportados pela nova atualização, por isso esses ficheiros não estão incluídos no pacote de ficheiros de atualização de substituição.

  • Atualiza as versões mais recentes de um produto. Por outras palavras, atualiza versões que já não são aplicáveis a versões ou configurações antigas de um produto. As atualizações também podem substituir outras atualizações se tiverem sido efetuadas modificações para expandir o suporte de idiomas. Por exemplo, uma versão mais recente de uma atualização de produto do Microsoft Office poderá remover o suporte de um sistema operativo antigo, mas poderá acrescentar suporte adicional para novos idiomas na versão de atualização inicial.

Nas propriedades do ponto de atualização de software, é possível especificar que as atualizações de software substituídas expiram de imediato, o que evita que sejam incluídas nas novas implementações e sinaliza as implementações existentes para indicar que contêm uma ou mais atualizações de software expiradas. Em alternativa, pode especificar um prazo para que as atualizações de software substituídas expirem, permitindo-lhe continuar a implementá-las. Considere os seguintes cenários em que poderá ser necessário implementar uma atualização de software substituída:

  • Se a atualização de software de substituição suportar apenas as versões mais recentes de um sistema operativo e alguns dos computadores cliente tiverem versões anteriores do sistema operativo.

  • Se uma atualização de software de substituição tiver uma aplicabilidade mais restrita do que a atualização de software que substitui. Esta condição torná-la-ia inadequada para alguns computadores cliente.

  • Se não tiver sido aprovada uma atualização de software de substituição para implementação no ambiente de produção.

As definições de idioma do ponto de atualização de software permitem configurar os idiomas para os quais os detalhes de resumo (metadados de atualizações de software) estão sincronizados para atualizações de software, e os ficheiros de idioma de atualização de software que serão transferidos para as atualizações de software.

Os idiomas configurados na definição Ficheiro de atualização de software nas propriedades do ponto de atualização de software fornecem o conjunto de idiomas predefinidos que estão disponíveis quando são transferidas atualizações num site. É possível modificar os idiomas que são selecionados por predefinição sempre que as atualizações de software são transferidas ou implementadas. Durante o processo de transferência, os ficheiros de atualização de software dos idiomas configurados são transferidos para a localização da origem do pacote de implementação se os ficheiros de atualização de software estiverem disponíveis no idioma selecionado. Depois, são copiados para a biblioteca de conteúdos no servidor do site e, em seguida, para os pontos de distribuição que estão configurados para o pacote.

As definições de idioma do ficheiro de atualização de software devem ser configuradas com os idiomas que são mais utilizados no seu ambiente. Por exemplo, se os computadores cliente que estão atribuídos ao site utilizarem maioritariamente os idiomas Inglês e Japonês para o sistema operativo ou para as aplicações e raramente forem utilizados outros idiomas no site, selecione Inglês e Japonês na coluna Ficheiro de Atualização de Software quando transferir ou implementar a atualização de software e desmarque os outros idiomas. Este procedimento permite utilizar as predefinições da página Seleção de Idioma da implementação e transferir assistentes. Também evita que sejam transferidos ficheiros de atualização desnecessários. Esta definição é configurada em cada ponto de atualização de software da hierarquia do Gestor de configuração.

Durante o processo de sincronização, as informações dos detalhes de resumo (metadados de atualizações de software) são atualizadas para as atualizações de software nos idiomas especificados. Os metadados fornecem as informações sobre a atualização de software, tais como o nome, a descrição, os produtos suportados pela atualização, a classificação da atualização, o ID do artigo, o URL de transferência, as regras de aplicabilidade, etc.

As definições de detalhes de resumo são configuradas apenas no site de nível superior. Os detalhes de resumo não são configurados no ponto de atualização de software dos sites subordinados porque os dados de atualizações de software são replicados do site de administração central para esses sites através de replicação baseada em ficheiros. Ao selecionar os idiomas de detalhes de resumo, selecione apenas os idiomas de que necessita no seu ambiente. Quanto mais idiomas forem selecionados, mais tempo demorará a sincronização dos metadados de atualizações de software. O Gestor de configuração apresenta os metadados de atualizações de software no idioma do sistema operativo em que a consola do Gestor de configuração é executada. Se as propriedades localizadas das atualizações de software não estiverem disponíveis no idioma do sistema operativo, as informações das atualizações de software são apresentadas em inglês.

System_CAPS_importantImportante

É importante que selecione todos os idiomas de detalhes de resumo de que irá necessitar na hierarquia do Gestor de configuração. Quando o ponto de atualização de software no site de nível superior é sincronizado com a origem de sincronização, os idiomas de detalhes de resumo selecionados determinam os metadados de atualizações de software que são obtidos. Se modificar os idiomas de detalhes de resumo depois de a sincronização ter sido executada pelo menos uma vez, os metadados de atualizações de software para os idiomas de detalhes de resumo modificados são obtidos apenas para atualizações de software novas ou atualizadas. As atualizações de software que já foram sincronizadas não são atualizadas com novos metadados para os idiomas modificados, a menos que exista uma alteração da atualização de software na origem de sincronização.

As definições de cliente de atualizações de software no Gestor de configuração são definidas ao nível do site e configuradas com valores predefinidos. Existem definições de cliente de atualizações de software e de proteção de acesso à rede (NAP) que afetam o momento em que é analisada a compatibilidade das atualizações de software e como e quando as atualizações de software são instaladas nos computadores cliente. Existem também definições de Política de Grupo no computador cliente que poderá ser necessário configurar, dependendo do ambiente. Para mais informações sobre como configurar as definições associadas a atualizações de software, consulte a secção Passo 4: Verificar as Definições de Cliente de Atualizações de Software e as Configurações da Política de Grupo no tópico Configurar Atualizações de Software no Configuration Manager.

Depois de instalar o ponto de atualização de software, o agente de cliente de atualizações de software está ativado por predefinição e não é necessário configurar definições de cliente específicas, mas deve rever as definições para assegurar que os valores predefinidos satisfazem as suas necessidades. As atualizações de software são configuradas nas definições de cliente NAP nas Definições de Cliente da área de trabalho Administração. Para mais informações sobre como configurar as definições associadas a atualizações de software, consulte a secção Definições de cliente para atualizações de software no tópico Configurar Atualizações de Software no Configuration Manager.

System_CAPS_importantImportante

A definição Ativar atualizações de software em clientes está ativada por predefinição. Se desmarcar esta definição, o Gestor de configuração removerá as políticas de implementação existentes do cliente. Além disso, as políticas das definições NAP e de compatibilidade que dependem da definição do dispositivo de atualizações de software deixarão de funcionar.

Existem definições de Política de Grupo que são utilizadas pelo Windows Update Agent (WUA) em computadores cliente para estabelecer ligação ao WSUS que é executado no ponto de atualizações de software ativo, analisar com sucesso a compatibilidade das atualizações de software e atualizar automaticamente as atualizações de software e o WUA.

System_CAPS_warningAviso

Se tiver um objeto de Política de Grupo do Active Directory atribuído a clientes que especifique um servidor WSUS que não seja um ponto de atualização de software do Gestor de configuração, esse objeto substituirá a definição de Política de Grupo configurada pelo Gestor de configuração. Para poder avaliar a compatibilidade de atualizações de software e gerir implementações de atualização de software nestes clientes, é necessário reconfigurar a definição de Política de Grupo do Active Directory ou mover os computadores cliente para uma unidade organizacional (UO) que não tenha esta definição de Política de Grupo aplicada.

Para mais informações sobre como configurar as definições associadas a atualizações de software, consulte a secção Definições de política de grupo para atualizações de software no tópico Configurar Atualizações de Software no Configuration Manager.

O cliente do Gestor de configuração transfere o conteúdo das atualizações de software necessárias para a cache do cliente local logo após ter recebido a implementação. No entanto, o cliente transfere o conteúdo apenas depois de decorrido o Tempo disponível do software definido para a implementação. O cliente não transfere atualizações de software em implementações opcionais (implementações que não têm um prazo de instalação agendado) até que o utilizador inicie manualmente a instalação. Quando o prazo configurado expirar, o agente de cliente de atualizações de software executará uma análise para verificar se a atualização de software ainda é necessária, depois analisará a cache local do computador cliente para verificar se o ficheiro de origem da atualização de software ainda está disponível e, em seguida, instalará a atualização de software. Se o conteúdo tiver sido eliminado da cache do cliente para criar espaço para outra implementação, o cliente transfere as atualizações de software para a cache. As atualizações de software são sempre transferidas para a cache do cliente, independentemente do tamanho máximo de cache configurado no cliente. Para outras implementações, tais como aplicações ou pacotes, o cliente transfere apenas conteúdo que respeite o tamanho máximo da cache que configurou para o cliente. O conteúdo em cache não é eliminado automaticamente. Permanece na cache durante, pelo menos, um dia após o cliente ter utilizado esse conteúdo.

A partir do System Center 2012 R2 Configuration Manager, é possível adicionar uma janela de manutenção dedicada para a instalação de atualizações de software. Isto permite-lhe configurar uma janela de manutenção geral e uma janela de manutenção diferente para atualizações de software. Quando uma janela de manutenção geral e a janela de manutenção de atualizações de software estão ambas configuradas, os clientes instalam atualizações de software apenas durante a janela de manutenção de atualizações de software. Para mais informações sobre janelas de manutenção, consulte .

Mostrar: