Planejar atualizações de software no Configuration Manager

  • Artigo

Aplica-se a: Gerenciador de Configurações (branch atual)

Antes de usar atualizações de software em um ambiente de produção Configuration Manager, é importante que você passe pelo processo de planejamento. Ter um bom plano para a infraestrutura de ponto de atualização de software é fundamental para uma implementação bem-sucedida de atualizações de software. Para obter informações sobre o planejamento de capacidade para atualizações de software, consulte Tamanho e números de escala.

Determinar a infraestrutura de ponto de atualização de software

Esta seção inclui os seguintes subtópicos:

O site de administração central e todos os sites primários filho devem ter um ponto de atualização de software. Conforme você planeja a infraestrutura de ponto de atualização de software, determine as seguintes dependências:

  • Onde instalar o ponto de atualização de software para o site
  • Quais sites exigem um ponto de atualização de software que aceita a comunicação de clientes baseados na Internet
  • Se você precisa de um ponto de atualização de software em sites secundários

Importante

Para obter mais informações sobre as dependências internas e externas necessárias para atualizações de software, consulte Pré-requisitos para atualizações de software.

Adicione vários pontos de atualização de software em um site primário Configuration Manager para fornecer tolerância a falhas. O design de failover do ponto de atualização de software é diferente do modelo de randomização pura usado no design para pontos de gerenciamento. Ao contrário do design dos pontos de gerenciamento, há custos de desempenho de cliente e rede no design do ponto de atualização de software quando os clientes mudam para um novo ponto de atualização de software. Quando o cliente muda para um novo servidor WSUS para verificar se há atualizações de software, o resultado é um aumento no tamanho do catálogo e nas demandas de desempenho de rede e do lado do cliente associadas. Portanto, o cliente preserva a afinidade com o último ponto de atualização de software do qual foi verificado com êxito.

O primeiro ponto de atualização de software que você instala em um site primário é a fonte de sincronização para todos os pontos adicionais de atualização de software que você adiciona no site primário. Depois de adicionar pontos de atualização de software e iniciar a sincronização, exiba o status dos pontos de atualização de software e a fonte de sincronização do nó Status de Sincronização de Ponto de Atualização de Software no workspace Monitoramento.

Quando houver uma falha do ponto de atualização de software configurado como a fonte de sincronização do site, remova manualmente a função com falha. Em seguida, selecione um novo ponto de atualização de software a ser usado como a fonte de sincronização. Para obter mais informações, consulte Remover uma função do sistema de site.

Lista de pontos de atualização de software

Configuration Manager fornece ao cliente uma lista de pontos de atualização de software nos seguintes cenários:

  • Um novo cliente recebe a política para habilitar atualizações de software

  • Um cliente não pode entrar em contato com o ponto de atualização de software atribuído e precisa alternar para outro

O cliente seleciona aleatoriamente um ponto de atualização de software na lista. Ele prioriza os pontos de atualização de software na mesma floresta. Configuration Manager fornece aos clientes uma lista diferente dependendo do tipo de cliente:

  • Clientes baseados em intranet: receba uma lista de pontos de atualização de software que você pode configurar para permitir conexões somente da intranet ou uma lista de pontos de atualização de software que permitem conexões de cliente de Internet e intranet.

  • Clientes baseados na Internet: receba uma lista de pontos de atualização de software que você configura para permitir conexões somente da Internet ou uma lista de pontos de atualização de software que permitem conexões de cliente de internet e intranet.

Comutação de ponto de atualização de software

Observação

Os clientes usam grupos de limites para encontrar um novo ponto de atualização de software. Se o ponto de atualização de software atual não estiver mais acessível, eles também usarão grupos de limites para fazer fallback e encontrar um novo. Adicione pontos de atualização de software individuais a diferentes grupos de limites para controlar quais servidores um cliente pode encontrar. Para obter mais informações, consulte Pontos de atualização de software.

Se você tiver vários pontos de atualização de software em um site e um falhar ou ficar indisponível, os clientes se conectarão a um ponto de atualização de software diferente. Com esse novo servidor, os clientes continuam verificando as atualizações de software mais recentes. Quando um cliente recebe pela primeira vez um ponto de atualização de software, ele permanece atribuído a esse ponto de atualização de software, a menos que ele não examine.

A verificação de atualizações de software pode falhar com vários códigos de erro de repetição e não repetição diferentes. Quando a verificação falha com um código de erro de repetição, o cliente inicia um processo de repetição para verificar as atualizações de software no ponto de atualização de software. As condições de alto nível que resultam em um código de erro de repetição normalmente são porque o servidor WSUS não está disponível ou porque está temporariamente sobrecarregado. Quando o cliente não verifica se há atualizações de software, ele usa o seguinte processo:

  1. O cliente verifica se há atualizações de software:

    • Na hora agendada
    • Quando ele é executado manualmente do painel de controle no cliente
    • Quando ele é executado manualmente do console Configuration Manager por meio de uma ação de notificação do cliente
    • Quando é executado a partir de um método SDK Configuration Manager

  2. Se a verificação falhar, o cliente aguardará 30 minutos para repetir a verificação. Ele usa o mesmo ponto de atualização de software.

  3. O cliente tenta novamente um mínimo de quatro vezes a cada 30 minutos. Após a quarta falha e depois de aguardar mais dois minutos, o cliente passa para o próximo ponto de atualização de software em sua lista.

  4. O cliente repete esse processo com o novo ponto de atualização de software. Após uma verificação bem-sucedida, o cliente continua a se conectar ao novo ponto de atualização de software.

A lista a seguir fornece informações adicionais a serem consideradas para cenários de repetição de ponto de atualização de software e comutação:

  • Se um cliente for desconectado da intranet e não verificar se há atualizações de software, ele não mudará para outro ponto de atualização de software. Essa falha é esperada, pois o cliente não pode alcançar a rede interna ou um ponto de atualização de software que permite conexões da intranet. O cliente Configuration Manager determina a disponibilidade do ponto de atualização de software intranet.

  • Se você estiver gerenciando clientes na Internet e tiver configurado vários pontos de atualização de software para aceitar a comunicação de clientes na Internet, o processo de comutação seguirá o processo de repetição padrão descrito anteriormente.

  • Se o processo de verificação for iniciado, mas o cliente estiver desativado antes da conclusão da verificação, ele não será considerado uma falha de verificação e não conta como uma das quatro tentativas.

Quando Configuration Manager recebe qualquer um dos seguintes códigos de erro Windows Update Agent, o cliente tenta novamente a conexão:

2149842970, 2147954429, 2149859352, 2149859362, 2149859338, 2149859344, 2147954430, 2147747475, 2149842974, 2149859342, 2149859372, 2149859341, 2149904388, 2149859371, 2149859367, 2149859366, 2149859364, 2149859363, 2149859361, 2149859360, 2149859359, 2149859358, 2149859357, 2149859356, 2149859354, 2149859353, 2149859350, 2149859349, 2149859340, 2149859339, 2149859332, 2149859333, 2149859334, 2149859337, 2149859336, 2149859335

Para pesquisar o significado de um código de erro, converta o código de erro decimal em hexadecimal e pesquise o valor hexadecimal em um site como o Windows Update Agent - Error Codes Wiki. Por exemplo, o código de erro decimal 2149842970 é hexadecimal 8024001A, o que significa que WU_E_POLICY_NOT_SET um valor de política não foi definido.

Alternar clientes manualmente para um novo ponto de atualização de software

Alterne Configuration Manager clientes para um novo ponto de atualização de software quando houver problemas com o ponto de atualização de software ativo. Essa alteração só acontece quando um cliente recebe vários pontos de atualização de software de um ponto de gerenciamento.

Importante

Quando você alterna dispositivos para usar um novo servidor, os dispositivos usam fallback para encontrar esse novo servidor. Os clientes mudam para o novo ponto de atualização de software durante o próximo ciclo de verificação de atualizações de software.

Antes de iniciar essa alteração, examine as configurações do grupo de limites para verificar se os pontos de atualização de software estão nos grupos de limites corretos. Para obter mais informações, consulte Pontos de atualização de software.

Mudar para um novo ponto de atualização de software gera tráfego de rede adicional. A quantidade de tráfego depende das configurações do WSUS, por exemplo, das classificações e dos produtos sincronizados ou do uso de um banco de dados WSUS compartilhado. Se você planeja alternar vários dispositivos, considere fazê-lo durante as janelas de manutenção. Esse tempo reduz o impacto em sua rede quando os clientes verificam com o novo ponto de atualização de software.

Processar para alternar pontos de atualização de software

Inicie essa alteração em uma coleção de dispositivos. Depois de disparados, os clientes procuram outro ponto de atualização de software na próxima verificação.

  1. No console Configuration Manager, acesse o workspace Ativos e Conformidade e selecione o nó Coleções de Dispositivos.

  2. Selecione a coleção de destino. Na guia Página Inicial da faixa de opções, no grupo Coleção , selecione Notificação do Cliente e selecione Alternar para o próximo Ponto de Atualização de Software.

Pontos de atualização de software em uma floresta não confiável

Crie um ou mais pontos de atualização de software em um site para dar suporte a clientes em uma floresta não confiável. Para adicionar um ponto de atualização de software em outra floresta, primeiro instale e configure um servidor WSUS nessa floresta. Em seguida, inicie o assistente para adicionar um servidor de site Configuration Manager com a função do sistema de site de ponto de atualização de software. No assistente, configure as seguintes configurações para se conectar com êxito ao WSUS na floresta não confiável:

  • Especifique uma conta de Instalação do Sistema de Site que possa acessar o servidor WSUS na floresta não confiável.

  • Especifique uma conta de conexão do servidor WSUS para se conectar ao servidor WSUS.

Por exemplo, você tem um site primário na floresta A com dois pontos de atualização de software (SUP01 e SUP02). Para o mesmo site primário, você também tem dois pontos de atualização de software (SUP03 e SUP04) na floresta B. Ao alternar para o próximo ponto de atualização de software, os clientes priorizam os servidores da mesma floresta.

Usar um servidor WSUS existente como a fonte de sincronização no site de nível superior

Normalmente, o site de nível superior em sua hierarquia é configurado para sincronizar metadados de atualizações de software com o Microsoft Update. Quando sua política de segurança organizacional não permitir que o site de nível superior acesse a Internet, configure a fonte de sincronização do site de nível superior para usar um servidor WSUS existente. Esse servidor WSUS não está em sua hierarquia de Configuration Manager. Por exemplo, você tem um servidor WSUS em uma rede conectada à Internet (DMZ), mas seu site de nível superior está em uma rede interna sem acesso à Internet. Configure o servidor WSUS no DMZ como sua fonte de sincronização para metadados de atualizações de software. Configure o servidor WSUS no DMZ para sincronizar as atualizações de software com os mesmos critérios necessários em Configuration Manager. Caso contrário, o site de nível superior pode não sincronizar as atualizações de software que você espera. Ao instalar o ponto de atualização de software, configure uma conta de conexão do servidor WSUS. Essa conta precisa de acesso ao servidor WSUS no DMZ. Confirme também que o firewall permite o tráfego para as portas apropriadas. Para obter mais informações, consulte as portas usadas pelo ponto de atualização de software para a fonte de sincronização.

Ponto de atualização de software em um site secundário

O ponto de atualização de software é opcional em um site secundário. Instale apenas um ponto de atualização de software em um site secundário. Quando um ponto de atualização de software não é instalado no site secundário, os dispositivos dentro dos limites de um site secundário usam um ponto de atualização de software em seu site primário atribuído. Normalmente, você instala um ponto de atualização de software em um site secundário quando há largura de banda de rede limitada entre os dispositivos no site secundário e os pontos de atualização de software no site primário pai. Você também pode usar essa configuração quando o ponto de atualização de software no site primário se aproxima do limite de capacidade. Depois de instalar e configurar com êxito um ponto de atualização de software no site secundário, uma política em todo o site é atualizada para clientes e eles começam a usar o novo ponto de atualização de software.

Planejar clientes baseados na Internet

Quando você precisa gerenciar dispositivos que percorrem sua rede na Internet, desenvolva um plano de como gerenciar atualizações de software nesses dispositivos. Configuration Manager dá suporte a várias tecnologias para esse cenário. Use uma ou uma combinação conforme necessário para atender aos requisitos da sua organização.

Gateway de gerenciamento de nuvem

Crie um gateway de gerenciamento de nuvem no Microsoft Azure e habilite pelo menos um ponto de atualização de software local para permitir o tráfego de clientes baseados na Internet. À medida que os clientes vagam pela Internet, eles continuam verificando seus pontos de atualização de software. Todos os clientes baseados na Internet sempre obtêm conteúdo do serviço de nuvem do Microsoft Update.

Para obter mais informações, consulte Visão geral do gateway de gerenciamento de nuvem e Configurar grupos de limites.

Observação

A partir da versão 2203, você pode definir clientes para preferir verificar em um PONTO de atualização de software (CMG) do CMG (gateway de gerenciamento de nuvem) em vez de um SUP local. Esse comportamento é controlado pela opção De origem baseada em nuvem Prefer sobre a opção de origem local no grupo de limites. Para reduzir o impacto de desempenho dessa alteração, os clientes existentes não alternam automaticamente seu SUP para um SUP baseado em nuvem. O cliente permanecerá atribuído ao SUP atual, a menos que o SUP atual falhe ou o cliente seja alternado manualmente para um novo SUP.

Gerenciamento de cliente baseado na Internet

Coloque um ponto de atualização de software em uma rede voltada para a Internet e habilite-o para permitir o tráfego de clientes baseados na Internet. À medida que os clientes vagam pela Internet, eles mudam para este ponto de atualização de software para verificação. Todos os clientes baseados na Internet sempre obtêm conteúdo do serviço de nuvem do Microsoft Update.

Para obter mais informações sobre as vantagens e desvantagens do gerenciamento de clientes baseado na Internet, consulte Gerenciar clientes na Internet.

Windows Update para Empresas

Windows Update for Business permite que você mantenha Windows 10 ou dispositivos posteriores sempre atualizados com as atualizações de recursos e qualidade mais recentes. Esses dispositivos se conectam diretamente ao serviço de nuvem Windows Update. Configuration Manager pode diferenciar entre computadores Windows que usam WUfB e WSUS para obter atualizações de software.

Para obter mais informações, consulte Integração com Windows Update for Business.

Planejar conteúdo de atualização de software

Os clientes precisam baixar os arquivos de conteúdo para atualizações de software para instalá-los. Configuration Manager fornece várias tecnologias para dar suporte ao gerenciamento e à entrega desse conteúdo. Ou configurar implantações de atualização de software para permitir ou exigir que os clientes obtenham conteúdo diretamente do serviço de nuvem do Microsoft Update.

Observação

A partir de 28 de março de 2023, Windows 11 local, os dispositivos versão 22H2 receberão atualizações de qualidade por meio da UUP (Plataforma de Atualização Unificada). O UUP no local interopera com o WSUS e o Microsoft Configuration Manager. As atualizações de qualidade da UUP continuam cumulativas e incluem todas as correções de segurança e qualidade do Windows liberadas. O gerenciamento de atualizações local com uup (Plataforma de Atualização Unificada) requer um espaço adicional de 10 GB por versão do Windows e arquitetura de processador para cada versão. Para obter mais informações, consulte a seção Considerações da UUP .

Baixar e distribuir conteúdo

Por padrão, o processo de gerenciamento de atualização de software em Configuration Manager usa os recursos internos de gerenciamento de conteúdo. Esses recursos incluem a biblioteca de conteúdo centralizada do repositório de instância única e o design distribuído da função do sistema do site do ponto de distribuição. Você usa esses recursos ao baixar e distribuir pacotes de implantação de atualização de software.

Para obter mais informações, confira Baixar atualizações de software.

Gerenciar arquivos de instalação expressa para Windows 10 ou posterior

Configuration Manager dá suporte ao uso de arquivos de instalação expressa para atualizações do Windows. Arquivos de atualização expressos e tecnologias de suporte, como a Otimização de Entrega, podem ajudar a reduzir o impacto da rede de arquivos de conteúdo grandes baixando para clientes.

Para obter mais informações, consulte Otimizar a entrega de atualizações do Windows.

Clientes baixam conteúdo da Internet

Ao implantar atualizações de software em clientes, configure a implantação para que os clientes baixem conteúdo do serviço de nuvem do Microsoft Update. Quando os clientes não conseguem baixar conteúdo de outra fonte de conteúdo, eles ainda podem baixar o conteúdo da Internet.

Você não precisa criar um pacote de implantação ao implantar atualizações de software. Quando você seleciona a opção Sem pacote de implantação , os clientes ainda podem baixar conteúdo de fontes locais se estiverem disponíveis, mas normalmente baixam no serviço Microsoft Update.

Clientes baseados na Internet sempre baixam conteúdo do serviço de nuvem do Microsoft Update. Não distribua pacotes de implantação de atualização de software para um CMG (gateway de gerenciamento de nuvem habilitado para conteúdo).

Planejar atualizações de terceiros

Configuration Manager se integra ao WSUS, que dá suporte nativo a atualizações de software publicadas pela Microsoft. A maioria dos clientes usa outros aplicativos de terceiros que também precisam de atualizações. Há várias opções a serem consideradas para manter os aplicativos de terceiros atualizados.

Substituir aplicativos para atualizar

Use uma relação de supersedência com o recurso de gerenciamento de aplicativos em Configuration Manager para atualizar ou substituir aplicativos existentes. Quando você substitui um aplicativo, especifique um novo tipo de implantação para substituir o tipo de implantação do aplicativo substituído. Decida também se deseja atualizar ou desinstalar o aplicativo substituído antes que o aplicativo de substituição seja instalado.

Para obter mais informações, consulte Revisar e substituir aplicativos.

Atualizações de software de terceiros

Você pode usar o nó Catálogos de Atualizações de Software de Terceiros no console Configuration Manager para assinar catálogos de terceiros, publicar suas atualizações no ponto de atualização de software e, em seguida, implantá-las em clientes.

Para obter mais informações, confira Atualizações de software de terceiros.

System Center Updates Publisher

O System Center Atualizações Publisher (SCUP) é uma ferramenta autônoma que permite que editores de software independentes ou desenvolvedores de aplicativos de linha de negócios gerenciem atualizações personalizadas. Essas atualizações incluem aquelas com dependências, como drivers e pacotes de atualização. O SCUP também pode ser usado para catálogos de atualizações de terceiros que não estão disponíveis diretamente no console.

Para obter mais informações, consulte System Center Atualizações Publisher.

Planejar a instalação do ponto de atualização de software

Esta seção inclui os seguintes subtópicos:

Esta seção fornece informações sobre as etapas a serem tomadas para planejar e preparar com êxito a instalação do ponto de atualização de software. Antes de criar uma função de sistema de site para o ponto de atualização de software no Configuration Manager, há vários requisitos a serem considerados. Os requisitos específicos dependem da infraestrutura de Configuration Manager. Quando você configura o ponto de atualização de software para se comunicar usando HTTPS, esta seção é especialmente importante para examinar. Os servidores habilitados para HTTPS exigem etapas adicionais para funcionar corretamente.

Requisitos para o ponto de atualização de software

Instale a função de ponto de atualização de software em um sistema de site que atenda aos requisitos mínimos do WSUS e às configurações com suporte para Configuration Manager sistemas de site.

Planejar a instalação do WSUS

Instale uma versão com suporte do WSUS em todos os servidores do sistema de site que você configurar para a função de ponto de atualização de software. Quando você não instalar o ponto de atualização de software no servidor do site, instale o Console de Administração do WSUS no servidor do site. Esse componente permite que o servidor do site se comunique com o WSUS executado no ponto de atualização de software.

Ao usar o WSUS em Windows Server 2012 ou posterior, configure permissões adicionais para permitir que o componente Configuration Manager do WSUS em Configuration Manager se conecte ao WSUS. Esse componente executa verificações periódicas de integridade. Escolha uma das seguintes opções para configurar a permissão necessária:

  • Adicionar a conta SYSTEM ao grupo administradores do WSUS

  • Adicione a conta NT AUTHORITY\SYSTEM como usuário do SUSDB (banco de dados WSUS). Configure um mínimo da associação de função de banco de dados webService.

Para obter mais informações sobre como instalar o WSUS no Windows Server, consulte Instalar a Função de Servidor do WSUS.

Ao instalar mais de um ponto de atualização de software em um site primário, use o mesmo banco de dados WSUS para cada ponto de atualização de software na mesma floresta do Active Directory. O compartilhamento do mesmo banco de dados melhora o desempenho quando os clientes mudam para um novo ponto de atualização de software. Para obter mais informações, consulte Usar um banco de dados WSUS compartilhado para pontos de atualização de software.

Configurando o caminho do diretório de conteúdo do WSUS

Ao instalar o WSUS, você precisará fornecer um caminho de diretório de conteúdo. O diretório de conteúdo do WSUS é usado principalmente para armazenar os arquivos termos de licença de software da Microsoft necessários pelos clientes durante a verificação. O Configuration Manager O diretório de conteúdo do WSUS não deve se sobrepor ao diretório de origem de conteúdo para pacotes de implantação de software Configuration Manager. Sobrepor o diretório de conteúdo do WSUS e a fonte do pacote Configuration Manager resultará na remoção de arquivos incorretos do diretório de conteúdo do WSUS.

Configurar o WSUS para usar um site personalizado

Ao instalar o WSUS, você tem a opção de usar o site padrão do IIS existente ou criar um site WSUS personalizado. Crie um site personalizado para o WSUS para que o IIS hospede os serviços do WSUS em um site virtual dedicado. Caso contrário, ele compartilha o mesmo site que é usado pelos outros Configuration Manager sistemas de sites ou aplicativos. Essa configuração é especialmente necessária quando você instala a função de ponto de atualização de software no servidor do site. Quando você executa o WSUS em Windows Server 2012 ou posterior, o WSUS é configurado por padrão para usar a porta 8530 para HTTP e a porta 8531 para HTTPS. Especifique essas portas ao criar o ponto de atualização de software em um site.

Configurar o WSUS como um servidor de réplica

Ao adicionar a função de ponto de atualização de software em um servidor de site primário, você não pode usar um servidor WSUS configurado como um réplica. Quando o servidor WSUS é configurado como um réplica, Configuration Manager falha ao configurar o servidor WSUS e a sincronização do WSUS falhar. O primeiro ponto de atualização de software instalado em um site primário é o ponto de atualização de software padrão. Pontos adicionais de atualização de software no site são configurados como réplicas do ponto de atualização de software padrão.

Decidir se deseja configurar o WSUS para usar o SSL

Usar o protocolo SSL para ajudar a proteger o ponto de atualização de software é altamente recomendado. O WSUS usa o SSL para autenticar computadores cliente e servidores WSUS downstream no servidor WSUS. O WSUS também usa o SSL para criptografar metadados de atualização de software. Quando você optar por proteger o WSUS com o SSL, prepare o servidor WSUS antes de instalar o ponto de atualização de software.

Ao instalar e configurar o ponto de atualização de software, selecione a opção Habilitar comunicações SSL para o Servidor WSUS. Caso contrário, Configuration Manager configura o WSUS para não usar o SSL. Ao habilitar o SSL em um ponto de atualização de software, configure também todos os pontos de atualização de software em sites filho para usar o SSL. Para obter mais informações, consulte o ponto Configurar uma atualização de software para usar o TLS/SSL com um tutorial de certificado PKI.

Observação

Para garantir que os melhores protocolos de segurança estejam em vigor, é altamente recomendável usar o protocolo TLS/SSL para ajudar a proteger sua infraestrutura de atualização de software. A partir da atualização cumulativa de setembro de 2020, os servidores WSUS baseados em HTTP estarão seguros por padrão. Um cliente que verifica atualizações em um WSUS baseado em HTTP não terá mais permissão para aproveitar um proxy de usuário por padrão. Se você ainda precisar de um proxy de usuário, apesar das compensações de segurança, uma nova configuração de cliente de atualizações de software estará disponível para permitir essas conexões. Para obter mais informações sobre as alterações para a verificação do WSUS, confira alterações de setembro de 2020 para melhorar a segurança dos dispositivos Windows que verificam o WSUS.

Configurar firewalls

O ponto de atualização de software em um Configuration Manager site de administração central se comunica com o WSUS no ponto de atualização de software. O WSUS se comunica com a fonte de sincronização para sincronizar metadados de atualizações de software. Os pontos de atualização de software em um site filho se comunicam com o ponto de atualização de software no site pai. Quando há mais de um ponto de atualização de software em um site primário, os pontos adicionais de atualização de software se comunicam com o ponto de atualização de software padrão. A função padrão é o primeiro ponto de atualização de software instalado no site.

Talvez seja necessário configurar o firewall para permitir o tráfego HTTP ou HTTPS que o WSUS usa nos seguintes cenários:

  • Entre o ponto de atualização de software e a Internet
  • Entre um ponto de atualização de software e sua fonte de sincronização upstream
  • Entre pontos adicionais de atualização de software

A conexão com o Microsoft Update é sempre configurada para usar a porta 80 para HTTP e a porta 443 para HTTPS. Use uma porta personalizada para a conexão do WSUS no ponto de atualização de software em um site filho para WSUS no ponto de atualização de software no site pai. Quando sua política de segurança não permitir a conexão, use o método de exportação e importação de sincronização. Para obter mais informações, confira a seção Fonte de sincronização neste artigo. Para obter mais informações sobre as portas que o WSUS usa, consulte Como determinar as configurações de porta usadas pelo WSUS em Configuration Manager.

Restringir o acesso a domínios específicos

Se sua organização restringir a comunicação de rede com a Internet usando um firewall ou dispositivo proxy, você precisará permitir que o ponto de atualização de software ativo acesse pontos de extremidade da Internet. Em seguida, O WSUS e o Atualizações Automático podem se comunicar com o serviço de nuvem do Microsoft Update.

Para obter mais informações, consulte Requisitos de acesso à Internet.

Planejar configurações de sincronização

Esta seção inclui os seguintes subtópicos:

O software atualiza a sincronização em Configuration Manager baixa os metadados de atualizações de software com base nos critérios configurados. O site de nível superior em sua hierarquia sincroniza as atualizações de software do Microsoft Update. Você tem a opção de configurar o ponto de atualização de software no site de nível superior para sincronizar com um servidor WSUS existente, não na hierarquia Configuration Manager. Os sites primários filho sincronizam metadados de atualizações de software do ponto de atualização de software no site de administração central. Antes de instalar e configurar um ponto de atualização de software, use esta seção para planejar as configurações de sincronização.

Fonte de sincronização

As configurações de origem de sincronização para o ponto de atualização de software especificam o local para onde o ponto de atualização de software recupera metadados de atualizações de software. Ele também especifica se o processo de sincronização cria eventos de relatório do WSUS.

  • Fonte de sincronização: por padrão, o ponto de atualização de software no site de nível superior configura a fonte de sincronização do Microsoft Update. Você tem a opção de sincronizar o site de nível superior com um servidor WSUS existente. O ponto de atualização de software em um site primário filho configura a fonte de sincronização como o ponto de atualização de software no site de administração central.

    • O primeiro ponto de atualização de software que você instala em um site primário, que é o ponto de atualização de software padrão, é sincronizado com o site de administração central. Pontos adicionais de atualização de software no site primário sincronizam com o ponto de atualização de software padrão no site primário.

    • Quando um ponto de atualização de software é desconectado do Microsoft Update ou do servidor de atualização upstream, configure a fonte de sincronização para não sincronizar com uma fonte de sincronização configurada. Em vez disso, configure-a para usar a função de exportação e importação da ferramenta WSUSUtil para sincronizar atualizações de software. Para obter mais informações, consulte Sincronizar atualizações de software de um ponto de atualização de software desconectado.

  • Eventos de relatório do WSUS: O Agente Windows Update em computadores cliente pode criar mensagens de evento para relatórios WSUS. Esses eventos não são usados por Configuration Manager. Assim, a opção , Não criar eventos de relatório do WSUS, é selecionada por padrão. Quando esses eventos não são criados, a única vez que o cliente deve se conectar ao servidor WSUS é durante verificações de conformidade e avaliação de atualização de software. Se esses eventos forem necessários para relatórios fora do Configuration Manager, modifique essa configuração para criar eventos de relatório do WSUS.

Importante

Se você estiver compartilhando o SUSDB (banco de dados WSUS) em vários pontos de atualização de software para o site de nível superior, verifique se cada um desses servidores WSUS atende aos requisitos de acesso à Internet para atualizações de software. Quando o banco de dados é compartilhado no site de nível superior, Configuration Manager pode selecionar qualquer um desses servidores WSUS para sincronizar com o Microsoft Update.

Programação de sincronização

Configure o agendamento de sincronização apenas no ponto de atualização de software no site de nível superior na hierarquia Configuration Manager. Quando você configura o agendamento de sincronização, o ponto de atualização de software é sincronizado com a fonte de sincronização na data e hora especificadas. A agenda personalizada permite sincronizar atualizações de software para otimizar para seu ambiente. Considere as demandas de desempenho do servidor WSUS, servidor de site e rede. Por exemplo, 2:00 da manhã uma vez por semana. Como alternativa, inicie manualmente a sincronização no site de nível superior usando a ação Atualizações software de sincronização dos nós all software Atualizações ou grupos de atualização de software no console Configuration Manager.

Dica

Agende a sincronização de atualizações de software para ser executada usando um tempo apropriado para seu ambiente. Um cenário comum é definir a agenda de sincronização a ser executada logo após a versão regular de atualização de software da Microsoft na segunda terça-feira de cada mês. Este dia é normalmente chamado de Patch Tuesday. Se você usar Configuration Manager para fornecer a Proteção do Ponto de Extremidade e Windows Defender definição e atualizações do mecanismo, considere definir a agenda de sincronização a ser executada diariamente.

Depois que o ponto de atualização de software é sincronizado com êxito, ele envia uma solicitação de sincronização para sites filho. Se você tiver pontos adicionais de atualização de software em um site primário, ele enviará uma solicitação de sincronização para cada ponto de atualização de software. Esse processo é repetido em todos os sites da hierarquia.

Atualizar classificações

Cada atualização de software é definida com uma classificação de atualização que ajuda a organizar os diferentes tipos de atualizações. Durante o processo de sincronização, o site sincroniza os metadados para as classificações especificadas.

Configuration Manager dá suporte à sincronização das seguintes classificações de atualização:

  • Atualizações crítica: uma atualização amplamente lançada para um problema específico que resolve um bug crítico, não relacionado à segurança.

  • Definição Atualizações: uma atualização para vírus ou outros arquivos de definição.

  • Pacotes de Recursos: novos recursos de produto que são distribuídos fora de uma versão do produto e normalmente são incluídos na próxima versão completa do produto.

  • Segurança Atualizações: uma atualização amplamente lançada para um problema específico do produto e relacionado à segurança.

  • Service Packs: um conjunto cumulativo de hotfixes que é aplicado a um sistema operacional ou aplicativo. Esses hotfixes incluem atualizações de segurança, atualizações críticas e atualizações de software.

  • Ferramentas: um utilitário ou recurso que ajuda a concluir uma ou mais tarefas.

  • Atualizar Rollups: um conjunto cumulativo de hotfixes que é empacotado em conjunto para uma implantação fácil. Esses hotfixes incluem atualizações de segurança, atualizações críticas e atualizações de software. Uma reversão de atualização geralmente aborda uma área específica, como segurança ou um componente do produto.

  • Atualizações: uma atualização para um aplicativo ou arquivo instalado no momento.

  • Atualizações: uma atualização de recurso para uma nova versão do Windows.

Configure as configurações de classificação de atualização apenas no site de nível superior. As configurações de classificação de atualização não estão configuradas no ponto de atualização de software em sites filho, pois os metadados de atualizações de software são replicados do site de nível superior. Quando você selecionar as classificações de atualização, esteja ciente de que quanto mais classificações você selecionar, mais tempo leva para sincronizar os metadados de atualizações de software.

Aviso

Como prática recomendada, desmarque todas as classificações antes de sincronizar pela primeira vez. Após a sincronização inicial, selecione as classificações desejadas e execute novamente a sincronização.

Produtos

Os metadados de cada atualização de software definem um ou mais produtos para os quais a atualização é aplicável. Um produto é uma edição específica de um sistema operacional ou aplicativo. Um exemplo de produto é o Microsoft Windows 10. Uma família de produtos é o sistema operacional ou aplicativo base do qual os produtos individuais são derivados. Um exemplo de uma família de produtos é o Microsoft Windows, do qual Windows 10 e Windows Server 2016 são membros. Selecione uma família de produtos ou produtos individuais em uma família de produtos.

Quando as atualizações de software são aplicáveis a vários produtos e pelo menos um dos produtos é selecionado para sincronização, todos os produtos aparecem no console Configuration Manager mesmo que alguns produtos não tenham sido selecionados. Por exemplo, você só seleciona o Windows Server 2012 produto. Se uma atualização de software se aplicar a Windows Server 2012 e Windows Server 2012 Datacenter Edition, ambos os produtos estarão no banco de dados do site.

Configure as configurações do produto apenas no site de nível superior. As configurações do produto não estão configuradas no ponto de atualização de software para sites filho porque os metadados de atualizações de software são replicados do site de nível superior. Quanto mais produtos você selecionar, mais tempo leva para sincronizar os metadados de atualizações de software.

Importante

Configuration Manager armazena uma lista de produtos e famílias de produtos que você escolhe quando instala o ponto de atualização de software pela primeira vez. Produtos e famílias de produtos que são lançados após Configuration Manager ser lançado podem não estar disponíveis para seleção até concluir a sincronização. O processo de sincronização atualiza a lista de produtos disponíveis e famílias de produtos das quais você pode escolher. Desmarque todos os produtos antes de sincronizar as atualizações de software pela primeira vez. Após a sincronização inicial, selecione os produtos desejados e execute novamente a sincronização.

Regras de substituição

Normalmente, uma atualização de software que substitui outra atualização de software faz uma ou mais das seguintes ações:

  • Aprimora, aprimora ou atualiza a correção fornecida por uma ou mais atualizações lançadas anteriormente.

  • Melhora a eficiência do pacote de arquivos de atualização substituído, que é instalado em clientes se a atualização for aprovada para instalação. Por exemplo, a atualização substituída pode conter arquivos que não são mais relevantes para a correção ou para os sistemas operacionais compatíveis com a nova atualização. Esses arquivos não estão incluídos no pacote de arquivos de substituição da atualização.

  • Atualizações versões mais recentes de um produto. Em outras palavras, ele atualiza versões que não são mais aplicáveis a versões ou configurações mais antigas de um produto. Atualizações também podem substituir outras atualizações se forem feitas modificações para expandir o suporte ao idioma. Por exemplo, uma revisão posterior de uma atualização de produto para Microsoft 365 Apps pode remover o suporte para um sistema operacional mais antigo, mas pode adicionar suporte adicional para novos idiomas na versão inicial da atualização.

Nas propriedades do ponto de atualização de software, especifique que as atualizações de software substituídas expiraram imediatamente. Essa configuração impede que eles sejam incluídos em novas implantações. Ele também sinaliza as implantações existentes para indicar que elas contêm uma ou mais atualizações de software expiradas. Ou especifique um período de tempo antes que as atualizações de software substituídas sejam expiradas. Essa ação permite que você continue a implantá-las.

Considere os seguintes cenários em que talvez seja necessário implantar uma atualização de software substituída:

  • Uma atualização de software substituída dá suporte apenas a versões mais recentes de um sistema operacional. Alguns dos computadores cliente executam versões anteriores do sistema operacional.

  • Uma atualização de software substituída tem aplicabilidade mais restrita do que a atualização de software que substitui. Esse comportamento tornaria inapropriado para alguns clientes.

  • Se uma atualização de software de substituição não foi aprovada para implantação em seu ambiente de produção.

Configuration Manager pode expirar automaticamente as atualizações substituídas com base em uma agenda escolhida. Você pode especificar o comportamento de regras de supersedência para atualizações de recursos separadamente de atualizações não-recurso. A configuração padrão é aguardar três meses antes de expirar uma atualização substituída. O padrão de três meses é dar-lhe tempo para verificar se a atualização não é mais necessária por nenhum dos computadores cliente. É recomendável que você não assuma que as atualizações substituídas devem ter expirado imediatamente em favor da nova atualização substituída. Você pode exibir uma lista das atualizações de software que substituem a atualização de software na guia Informações de Supersedência nas propriedades de atualização de software.

Idiomas

As configurações de idioma para o ponto de atualização de software permitem que você configure:

  • Os idiomas para os quais os detalhes do resumo (metadados de atualizações de software) são sincronizados para atualizações de software
  • As linguagens de arquivo de atualização de software que são baixadas para atualizações de software

Arquivo de atualização de software

Configure idiomas para a configuração de arquivo de atualização de software nas propriedades para o ponto de atualização de software. Essa configuração fornece os idiomas padrão que estão disponíveis quando você baixa atualizações de software em um site. Modifique os idiomas selecionados por padrão sempre que as atualizações de software forem baixadas ou implantadas. Durante o processo de download, os arquivos de atualização de software para os idiomas configurados serão baixados para o local de origem do pacote de implantação, se os arquivos de atualização de software estiverem disponíveis no idioma selecionado. Em seguida, eles são copiados para a biblioteca de conteúdo no servidor do site. Em seguida, eles são distribuídos para os pontos de distribuição configurados para o pacote.

Configure as configurações de linguagem de arquivo de atualização de software com os idiomas que são usados com mais frequência em seu ambiente. Por exemplo, os clientes em seu site usam principalmente inglês e japonês para Windows ou aplicativos. Há poucos outros idiomas que são usados no site. Selecione apenas inglês e japonês na coluna Arquivo de Atualização de Software ao baixar ou implantar a atualização de software. Essa ação permite que você use as configurações padrão na página Seleção de Idiomas dos assistentes de implantação e download. Essa ação também impede que arquivos de atualização desnecessários sejam baixados. Configure essa configuração em cada ponto de atualização de software na hierarquia Configuration Manager.

Detalhes do resumo

Durante o processo de sincronização, as informações de detalhes de resumo (metadados de atualizações de software) são atualizadas para atualizações de software nos idiomas especificados. Os metadados fornecem informações sobre a atualização de software, por exemplo:

  • Nome
  • Descrição
  • Produtos compatíveis com a atualização
  • Classificação de atualização
  • ID do artigo
  • Baixar URL
  • Regra de aplicabilidade

Configure as configurações de detalhes de resumo apenas no site de nível superior. Os detalhes do resumo não são configurados no ponto de atualização de software em sites filho porque os metadados de atualizações de software são replicados do site de administração central usando replicação baseada em arquivo. Ao selecionar os idiomas de detalhes do resumo, selecione apenas os idiomas necessários em seu ambiente. Quanto mais idiomas você selecionar, mais tempo leva para sincronizar os metadados de atualizações de software. Configuration Manager exibe os metadados de atualizações de software na localidade do sistema operacional no qual o console Configuration Manager é executado. Se as propriedades localizadas para as atualizações de software não estiverem disponíveis na localidade deste sistema operacional, o software atualizará as informações exibidas em inglês.

Importante

Selecione todos os idiomas de detalhes de resumo necessários. Quando o ponto de atualização de software no site de nível superior é sincronizado com a fonte de sincronização, os idiomas de detalhes de resumo selecionados determinam os metadados de atualizações de software que ele recupera. Se você modificar os idiomas de detalhes de resumo após a sincronização ser executada pelo menos uma vez, ele recuperará os metadados de atualizações de software para os idiomas de detalhes de resumo modificados apenas para atualizações de software novas ou atualizadas. As atualizações de software que já foram sincronizadas não são atualizadas com novos metadados para os idiomas modificados, a menos que haja uma alteração na atualização de software na fonte de sincronização.

Tempo máximo de execução

Você pode especificar o tempo máximo que uma instalação de atualização de software precisa ser concluída. Você pode especificar o tempo máximo de execução para o seguinte:

  • Tempo máximo de execução para atualizações de recursos do Windows (minutos)

    • Atualizações de recursos – Uma atualização que está em uma dessas três classificações:
      • Upgrades
      • Pacotes cumulativos de atualizações
      • Service packs

  • Tempo máximo de execução para atualizações de Office 365 e atualizações não de recursos para Windows (minutos)

    • Atualizações sem recursos – Uma atualização que não é uma atualização de recurso e cujo produto está listado como um dos seguintes:
      • Windows 11
      • Windows 10 (todas as versões)
      • Windows Server 2012 R2
      • Windows Server 2016
      • Windows Server 2019
      • Office 365

  • Tempo máximo de execução para todas as outras atualizações de software fora dessas categorias, como atualizações de terceiros (minutos): o tempo de execução máximo padrão dessas atualizações varia dependendo de quando a atualização foi sincronizada pela primeira vez no ambiente e na versão Configuration Manager. Use o carrinho abaixo para determinar o valor máximo do runtime para estas atualizações:

    2203 ou posterior 2103, 2107 ou 2111 2010
    O tempo máximo de execução para todas as outras atualizações de software é personalizável. O padrão é 60 minutos. 60 minutos 10 minutos

    Importante

    • Essa configuração altera apenas o tempo de execução máximo para novas atualizações sincronizadas pelo SUP. Ele não altera o tempo de execução em atualizações existentes sincronizadas antes da modificação do tempo de execução. Por exemplo, se Update 1 foi sincronizado pela primeira vez em um ambiente 2111, o tempo máximo de execução será de 60 minutos. Em seguida, você atualiza o ambiente para a versão 2203 e define o tempo máximo de execução como 30 minutos. Update 1 mantém o tempo de execução de 60 minutos. No entanto, quando uma nova atualização, Update 2, sincroniza, ela recebe o novo tempo de execução de 30 minutos.
    • Se você precisar alterar o tempo máximo de execução de uma atualização manualmente, poderá configurar as configurações de atualização de software para ela.

Planejar uma janela de manutenção de atualizações de software

Adicione uma janela de manutenção dedicada à instalação de atualizações de software. Essa ação permite configurar uma janela de manutenção geral e uma janela de manutenção diferente para atualizações de software. Quando você configura uma janela de manutenção geral e uma janela de manutenção de atualizações de software, os clientes instalam atualizações de software somente durante a janela de manutenção de atualizações de software.

Você pode alterar esse comportamento e permitir que as atualizações de software se instalem durante uma janela de manutenção geral. Para obter mais informações sobre essa configuração de cliente, consulte Configurações do cliente de atualizações de software.

Para obter mais informações sobre janelas de manutenção, consulte Como usar janelas de manutenção.

Reiniciar opções para clientes Windows 10 após a instalação da atualização de software

Quando uma atualização de software que requer uma reinicialização é implantada e instalada usando Configuration Manager, o cliente agenda uma reinicialização pendente e exibe uma caixa de diálogo de reinicialização.

Quando há uma reinicialização pendente para uma atualização de software Configuration Manager, a opção de Atualizar e Reiniciare Atualizar e Desligar está disponível em Windows 10 computadores nas opções de energia do Windows. Depois de usar uma dessas opções, a caixa de diálogo de reinicialização não é exibida após a reinicialização do computador. Em determinadas circunstâncias, o sistema operacional pode remover as opções de reinicialização pendentes. Isso pode acontecer se o recurso de Inicialização Rápida no Windows 10 estiver habilitado. Para obter mais informações, consulte Atualizações pode não ser instalado com a Inicialização Rápida no Windows 10.

Avaliar atualizações de software após uma atualização de pilha de manutenção

A partir da versão 2002, Configuration Manager detecta se uma SSU (atualização de pilha de manutenção) faz parte de uma instalação para várias atualizações. Quando uma SSU é detectada, ela é instalada primeiro. Após a instalação do SSU, um ciclo de avaliação de atualização de software é executado para instalar as atualizações restantes. Essa alteração permite que uma atualização cumulativa dependente seja instalada após a atualização da pilha de manutenção. O dispositivo não precisa ser reiniciado entre instalações e você não precisa criar uma janela de manutenção adicional. As SSUs são instaladas primeiro apenas para instalações não iniciadas pelo usuário. Por exemplo, se um usuário iniciar uma instalação para várias atualizações do Centro de Software, a SSU poderá não ser instalada primeiro. A instalação de SSUs primeiro não está disponível para sistemas operacionais windows server ao usar Configuration Manager versão 2002. Essa funcionalidade foi adicionada no Configuration Manager versão 2006 para sistemas operacionais Windows Server.

Próximas etapas

Depois de planejar atualizações de software, consulte Preparar para o gerenciamento de atualizações de software.

Para obter mais informações sobre como gerenciar Windows como serviço, consulte Fundamentos do Configuration Manager como um serviço e Windows como serviço.