Gestão de Updates - Parte 4 - Instalando a role de Software Update Point no SCCM

  • Article

Após a instalação do WSUS, chegamos ao momento de instalar a role de SUP (Software Update Point), essa role será a responsável por integrar o SCCM com o WSUS para disponibilização de updates.

Importante! Lembre-se de sempre ter todos os servidores atualizados para evitar problemas no processo de instalação.

A instalação é sempre feita do site SCCM, do topo para baixo, sendo assim em um ambiente com CAS e primários, você realiza a instalação do SUP primeiramente no CAS e depois nos primários. Isso porque o somente o WSUS no CAS vai fazer o sync com o Microsoft Catalog na internet, os primários vão realizar o sync no WSUS do CAS, isso é configurado automaticamente pelo SCCM, e não é necessária nenhuma configuração para tal.

Clientes suportados
Local - SUP e Site Server no mesmo servidor, tendo suporte a até 25 mil clientes.
Remoto - Sup em servidor diferente do Site Server, com suporte a 150 mil clientes.

 

Instalando o SUP

No console, vá em Administration -> Site Configuration -> Server and Site System Roles. Selecione o servidor da qual a role será instalada.

Na Ribbon, com o servidor selecionado, clique em “Add Site System Roles”

Em General, clique em Next.

 
Em Proxy, informe o endereço, porta e usuário de acesso ao proxy, caso necessário. Clique em Next.

 
Em System Role Selection, marque a role que deseja instalar, no nosso caso será Software Update Point. Next.

 
Em Software Update Point, informe as portas que o WSUS está utilizando, se o mesmo está em HTTPS e se os clients vão se conectar a partir da intranet ou internet.

 
Em Proxy and Account Settings, informe em quais momentos utilizar o proxy. Caso não tenha proxy, deixe como padrão. Clique em Next.

 
Syncronization Source, deixe como padrão, o SCCM vai reconhecer que é um Top Site e vai configurar para fazer o sync na internet, já no caso dos primários, o SCCM vai marcar a segunda opção de utilizar Upstream e adicionar o endereço do WSUS do CAS, somente valide as informções e Next.

 
Syncronization Schedule nessa tela informe quando o WSUS vai se conectar no Catalog, o padrão é uma vez por semana, pode ser mantida essa configuração.

 
Supersedence Rules, são regras de quanto expirar um KB aposentado, imediatamente ou em alguns meses.

 
Em Classifications, escolha quais tipos de updates deseja receber informações e implementar.

 
Em Products, marque os produtos da qual irá disponibilizar updates, como recomendação, marque as versões de Windows Workstation, Windows Server e Office que estão em uso no ambiente.

 
Languages, informe os idiomas dos updates, na maioria dos casos, vai precisar somente de portugues e inglês. Clique em Next.

 
Em Summary, clique em Next.

 
Em Completion, clique em Close.

Troubleshooting

É possível acompanhar a instalação da role de SUP via log: "Program Files\Microsoft Configuration Manager\Logs\SUPSetup.log"

Após a instalação são criados 3 componentes.

SMS_WSUS_SYNC_MANAGER - Wsyncmgr.log
Responsável por iniciar o sync do WSUS e monitorar o mesmo.

SMS_WSUS_CONTROL_MANAGER - WSUSCtrl.log
Monitora se o WSUS está acessível e saudável, se seus requisitos estão em ordem e se as configurações de proxy estão corretas. Esse componente está presente somente no Top Site.

SMS_WSUS_CONFIGURATION_MANAGER - WCM.log
Monitora se o WSUS está acessível e saudável, se seus requisitos estão em ordem, também faz o sincronismo das configurações do SUP, como categorias, produtos, etc, do SCCM para o WSUS.

 

Problemas comuns

  • WSUSCtrl.log e/ou WCM.log apontando erro de conexão ao WSUS.

Isso geralmente ocorre por duas razões, servidor do WSUS parado e página do WSUS no IIS indisponível, seja por motivo de falha no IIS, serviço do IIS ou até mesmo Firewall. Lembrando que no Windows Server 2012 em diante o WSUS é acessado via porta 8530 HTTP e 8531 HTTPS.

  • Versão não suportada

A versão mínima do WSUS para a instalação do SUP é WSUS 3.0 SP2 + KB2720211 + KB2734608.
Caso a versão seja inferior, o mesmo não será instalado apresentando erro no SUPSetup.log

  • Performance

No início da implementação do WSUS podem ocorrer falhas no processo de Scan de alguns clientes, alguns eventos 503 no IIS, informando que o serviço está ocupado, devido grande utilização, para contornar esses efeitos iniciais, algumas configurações podem ser feitas no Application Pool do WSUS, conforme link:
https://blogs.msdn.microsoft.com/the_secure_infrastructure_guy/2015/09/02/windows-server-2012-r2-wsus-issue-clients-cause-the-wsus-app-pool-to-become-unresponsive-with-http-503/

Em agosto de 2017, foi identificada um problema de performance no WSUS, devido grande quantidade de metadados em alguns updates do Windows 10 1607, para corrigir essa falha, foram disponibilizados os seguintes KBs:

WSUS 3.0 SP2 - KB4039929
WSUS2012 - KB4039873
WSUS 2012 R2 - KB4039871
WSUS 2016 - KB4039396

Link de referência: https://blogs.technet.microsoft.com/askcore/2017/08/18/high-cpuhigh-memory-in-wsus-following-update-tuesdays/

 

Na próxima semana vamos configurar as políticas de cliente para que utilizem o SCCM, além de realizar o primeiro deployment de updates.

Abraços.

Conteúdo editado e publicado por: Richard Juhasz
Microsoft PFE
Configuration Manager