• Artigo

System Center

Novas ferramentas para o gerenciamento de atualizações de software

Steve Rachui

 

Visão geral:

  • O método antigo de gerenciamento de atualizações
  • O novo processo no SCCM 2007
  • Configuração personalizada e flexibilidade
  • Agendamento de atualizações com ajuste preciso

O gerenciamento de atualizações de software foi introduzido inicialmente no SMS (Systems Management Server) 2.0, com as ferramentas de verificação de segurança e de atualizações do Office. Essas ferramentas já passaram por várias revisões: a ferramenta

estendida de inventário de atualizações de segurança foi revisada para dar suporte à verificação de produtos adicionais; a Inventory Tool for Microsoft® Updates, para combinar as ferramentas de segurança e do Office em um único produto; e a Inventory Tool for Dell Updates. A Custom Updates Publish Tool também foi introduzida para dar suporte à aplicação de patches em produtos de terceiros. A ITMU (Inventory Tool for Microsoft Updates) já passou por três revisões. Cada uma dessas ferramentas conta com catálogos próprios, com uma infra-estrutura de verificação e com requisitos e desafios específicos. Com o tempo, os catálogos desses sistemas se tornaram muito grandes. Na verdade, tão grandes que as atualizações mais antigas foram removidas e substituídas pelas mais novas, devido a restrições de tamanho.

Com a variedade de opções existentes, implantar atualizações com essas ferramentas poderia representar um desafio. Existia a clara necessidade de simplificar o processo. A próxima versão do SMS — o SCCM (System Center Configuration Manager) 2007 — faz grandes progressos nesse sentido. No SCCM, o mecanismo de atualizações de software foi criado de forma a garantir melhores resultados finais. Com uma abordagem totalmente diferente para as operações de gerenciamento de atualizações, os catálogos e mecanismos de verificação antigos agora são coisa do passado. O status de atualização, que historicamente tem sido reportado via inventário de hardware, usa um novo mecanismo — a mensagem de estado — para garantir melhor determinação da conformidade, e também imposição das atualizações em cada cliente. Acredito que você perceberá que a nova abordagem para o gerenciamento de atualizações no SCCM 2007 representa um aperfeiçoamento significativo.

O SCCM 2007 traz dois novos componentes que abordarei antes de nos aprofundarmos na funcionalidade de gerenciamento de atualizações.

SUP (ponto de atualização de software) Como já mencionei, não existem mais catálogos no SCCM. Em vez disso, o SCCM funciona diretamente com um servidor WSUS (Windows Server® Update Services) dedicado, que atua como um SUP (ponto de atualização de software), fornecendo downloads de metadados e verificação de clientes. No SCCM, os recursos de entrega de binários de atualização do WSUS são desabilitados para permitir o foco no processo de verificação. Com esse ajuste, o WSUS é dimensionado para realizar a verificação de até 25 mil clientes por SUP em um servidor dedicado. O SCCM permite também configurar o SUP nos bastidores de um cluster de NLB (balanceamento de carga de rede) para obter maior disponibilidade e escala, habilitando até quatro SUPs para um total de 100 mil possíveis clientes por site primário.

CIs (itens de configuração) O item de configuração é uma nova abordagem usada no SCCM para definir configurações específicas que devem existir nos sistemas de destino. O gerenciamento de atualizações do SCCM agora usa essa infra-estrutura. Não se deve mais pensar nas atualizações em termos de distribuição normal de software — embora ainda existam semelhanças. Em vez disso, as atualizações residem em seu próprio nó no console do administrador e usam um mecanismo exclusivo de CIs. No lado do cliente, as atualizações são baixadas de forma seletiva e armazenadas localmente.

Configurando o gerenciamento de atualizações

A configuração do gerenciamento de atualizações recai sobre três áreas gerais — habilitar o agente cliente, configurar o SUP e configurar as atualizações para distribuição.

O agente cliente do SCCM (conforme mostrado na Figura 1) é semelhante a outros agentes clientes e é configurado no mesmo nó do console administrativo. A página de propriedades do nó Software Updates Client Agents (Agentes Clientes de Atualizações de Software) é onde os administradores habilitam esse agente e definem as configurações de instalação de atualizações e reavaliação de implantação. A configuração para habilitar o Agente Cliente de Atualizações de Software tem efeito sobre todo o site, ou seja, todos os clientes do SCCM atribuídos ao site onde a função estiver ativada terão a função habilitada. Caso alguns sistemas em um ambiente não devam ter essa função habilitada, é possível substituir a configuração para todo o site por uma configuração por sistema, usando as configurações locais de substituição de políticas.

Figura 1 Propriedades do agente cliente

Figura 1** Propriedades do agente cliente **

Essas configurações permitem também que o administrador especifique como lidar com os prazos de atualização. Suponha, por exemplo, que você tem quatro atualizações com instalação pendente. Uma delas (atualização A) tem um dia a mais de prazo em relação às outras três. Mas suponha que seja preferível instalar as quatro atualizações ao mesmo tempo — até mesmo aquelas que cujo prazo ainda não venceu. A opção "Enforce all mandatory deployments" (Impor todas as implantações obrigatórias) na guia permite configurar essa opção. Além disso, as configurações permitem que os administradores especifiquem a supressão de todas as notificações e indicações visíveis do processo de atualização. Essas opções são mostradas na Figura 1.

As configurações na guia Deployment Re-evaluation (Reavaliação de Implantação) permitem aos administradores agendar quando as implantações serão reavaliadas. Os clientes do SCCM serão avaliados de acordo com esse agendamento para verificar se as atualizações instaladas anteriormente ainda são necessárias e, se estiverem ausentes, reinstalá-las.

Configurando o SUP

Como já foi mencionado, o SUP é o componente responsável pelo download de todas as informações disponíveis sobre atualizações em uma agenda, e pela interação direta com os clientes do SCCM para realizar verificações de conformidade com base em seu banco de dados de atualizações. Antes que um SUP possa ser configurado, é preciso que um servidor WSUS 3.0 ou superior esteja instalado, pois o processo do SUP na verdade não instala o WSUS — ele apenas configura o WSUS para uso com o SCCM. Além disso, o Console do Administrador do WSUS precisa ser instalado no servidor do site para habilitar a conectividade com o servidor WSUS. Quando o SCCM assume o controle do servidor WSUS para a função de SUP, o servidor WSUS passa a ser dedicado ao SCCM e só pode ser usado pelos clientes do SCCM.

O SUP é uma nova função de sistema de site presente no SCCM. Para iniciar a configuração, navegue até o nó dos sistemas de site no console do administrador e adicione um novo sistema de site. A próxima etapa consiste em selecionar Software Update Point (Ponto de Atualização de Software) e prosseguir no assistente, que coletará as seguintes informações:

  • Configuração de proxy
  • Informações sobre porta e SSL
  • Como o SUP deve sincronizar as atualizações — a partir do Microsoft Update, por meio de um SUP upstream ou manualmente
  • Agenda de sincronização
  • Classificações relevantes das atualizações, como atualizações críticas, drivers, atualizações de segurança, pacotes cumulativos de atualizações e assim por diante
  • Produtos com atualizações disponíveis — Windows®, Exchange, SQL Server™ e assim por diante (mostrados na Figura 2)
  • Idioma

Figura 2 Configurações de produtos no assistente de função do site

Figura 2** Configurações de produtos no assistente de função do site **(Clique na imagem para aumentar a exibição)

Quando o assistente for concluído, o SUP será instalado e as configurações internas serão ajustadas para dar suporte aos requisitos do SCCM. Convém confirmar se a instalação foi bem-sucedida, examinando o SUPSetup.log localizado na pasta de logs onde o SCCM foi instalado.

Quando o SUP estiver instalado, será preciso realizar a sincronização para fazer com que o SUP recupere atualizações e armazene-as no banco de dados do SUP e do SCCM. A sincronização pode ser executada manualmente ou segundo uma agenda configurada ao executar o assistente de instalação do SUP. A sincronização manual de atualizações pode ser inicializada a qualquer momento e convém garantir que aconteça após a primeira instalação do SUP. A Figura 3 mostra como fazer isso.

Figura 3 Execução manual da sincronização

Figura 3** Execução manual da sincronização **(Clique na imagem para aumentar a exibição)

O processo de sincronização tem duas etapas. Primeiro, o servidor SUP (WSUS) é configurado para corresponder às configurações do SCCM e as atualizações configuradas são sincronizadas com o servidor SUP (WSUS) propriamente dito. Quando a primeira etapa é concluída, as informações sobre atualizações no SUP (WSUS) são sincronizadas com o banco de dados do SCCM e disponibilizadas para a implantação de atualizações. Essa segunda etapa cria os CIs necessários (um para cada atualização de software) no banco de dados do SCCM e pode ser demorada. A sincronização inicial pode levar várias horas. É possível analisar o processo de sincronização no log WSyncMgr. Uma parte dele é mostrada nas Figuras 4 e 5. A Figura 4, especificamente, mostra o processo de sincronização solicitando que o servidor SUP (WSUS) atualize sua lista de atualizações a partir do Microsoft Update. A Figura 5 mostra o início do processo para sincronizar o inventário do SUP com o banco de dados do SCCM.

Figura 4 Sincronização da lista de atualizações

Figura 4** Sincronização da lista de atualizações **(Clique na imagem para aumentar a exibição)

Figura 5 Sincronização das atualizações como CIs no banco de dados do SCCM

Figura 5** Sincronização das atualizações como CIs no banco de dados do SCCM **(Clique na imagem para aumentar a exibição)

Quando um servidor WSUS é configurado como um SUP, qualquer tarefa de administração necessária pode ser realizada via console do administrador do SCCM. Se forem feitas alterações de configuração diretamente no servidor WSUS, o SCCM poderá ser prejudicado. Além disso, essas configurações serão redefinidas de hora em hora, quando o SCCM verificar o SUP para garantir que as configurações estão corretas.

Em uma hierarquia com várias camadas, é preciso ter pelo menos um SUP em cada site primário onde as atualizações de software serão implantadas. Esses SUPs trabalharão juntos em uma hierarquia e apenas um SUP, geralmente o de posição mais alta na hierarquia, fará a sincronização com o Microsoft Updates. Os demais SUPs farão a sincronização com um parceiro de replicação de SUP upstream configurado.

Configurando a implantação de atualizações

Quando o agente cliente estiver configurado e o SUP, configurado e sincronizado, você estará pronto para preparar uma implantação real. Primeiro, vamos analisar os vários nós da interface do usuário do administrador do SCCM. Basicamente, há cinco nós principais relevantes — Update Repository (Repositório de Atualizações), Update Lists (Listas de Atualizações), Deployment Templates (Modelos de Implantação), Deployment Management (Gerenciamento de Implantação) e Deployment Packages (Pacotes de Implantação).

O Update Repository é onde todas as atualizações sincronizadas são armazenadas e ficam disponíveis para implantação. É possível implantar atualizações selecionando uma ou mais e iniciando o assistente Deploy Software Updates (Implantar Atualizações de Software), que realiza duas tarefas: configurar o modelo de implantação (ou selecionar um já existente) e configurar a implantação propriamente dita. Abordarei esse processo um pouco mais adiante. A lista de atualizações pode ficar bem grande. Por isso, as pastas de pesquisa, um novo recurso do SCCM 2007, podem ajudar muito na localização de atualizações relevantes com base em 28 critérios relacionados a atualizações, inclusive gravidade, classificação, produto, data de lançamento e precedência.

As listas de atualizações permitem que os administradores criem um conjunto fixo de atualizações a serem gerenciadas. Podem ser usadas para relatórios de conformidade, criação de implantações e delegação de administração. Uma vez criadas, essas listas são replicadas por toda a hierarquia para reutilização nos sites filhos — da mesma forma que pacotes e anúncios. As listas de atualizações não se vinculam a nenhuma implantação específica quando replicadas; são apenas listas de atualizações. Quando a lista é concluída e replicada, as atualizações nela contidas podem ser implantadas como uma unidade. Para isso, basta selecionar a lista e optar por implantar as atualizações.

Modelos de implantação

Os modelos de implantação contêm configurações comuns (como informações de agenda e coleção de destino) usadas durante a implantação das atualizações de software. Esses modelos foram desenvolvidos para diminuir o tempo necessário para administrar a implantação das atualizações. É possível criar modelos para lidar com diversas condições de implantação em um ambiente. Eles podem ser usados no assistente de implantação, com a simples seleção do modelo adequado. As configurações preenchidas previamente pelo modelo de implantação incluem a coleção de destino, configurações de prazo de atualização (conforme mostrado na Figura 6), configurações de reinicialização e janelas de manutenção. Quando há um grande número de atualizações em uma implantação, o desempenho do sistema de destino pode ser afetado pela simultaneidade dos prazos de atualização. Observe também que as configurações no modelo são aplicadas à implantação quando ela é criada. Essas configurações permanecem em vigor na implantação, a menos que sejam modificadas manualmente na própria implementação. É importante lembrar-se de que a simples modificação posterior das configurações do modelo não fará com que essas configurações modificadas sejam alteradas nas implantações existentes que utilizam o modelo modificado.

Figura 6 Definição de agendas de implantação no assistente

Figura 6** Definição de agendas de implantação no assistente **(Clique na imagem para aumentar a exibição)

As opções na Figura 6 podem ser configuradas ao executar o assistente de modelo de implantação ou o assistente para implantar atualizações de software (se um novo modelo for criado). Observe que a configuração de duração na tela está definida como 0. O valor padrão dessa configuração é de duas semanas. Se essa configuração for definida com um valor diferente de 0, haverá, antes da implantação das atualizações, um atraso no cliente correspondente à extensão desse valor. No período entre a disponibilização da implantação e a imposição do prazo configurado, a atualização ficará disponível para instalação manual pelos usuários finais, como uma instalação agendada que pode ser realizada antes do prazo. No prazo estabelecido, a atualização será imposta e instalada. Se você se deparar com atrasos na implantação de atualizações, verifique se essa configuração está definida corretamente de acordo com as suas necessidades.

Gerenciamento de implantação

Depois que uma implantação de atualizações de software é configurada, ela pode ser acessada no nó Deployment Management. Observe que uma implantação de software configurada não é igual a um pacote de implantação. As configurações relacionadas à implantação, assim como as atualizações incluídas nela, podem ser exibidas e manipuladas nesse nó, mas não o pacote propriamente dito. Essas configurações de implantação refletem as configurações advindas do assistente de atualizações de software, e também aquelas herdadas do modelo escolhido.

Pacotes de implantação

Os pacotes de implantação se assemelham a pacotes SMS padrão, pois definem as especificidades da atualização — diretório de origem, ponto de distribuição e assim por diante. Os pacotes de implantação são independentes da implantação propriamente dita usada para distribuir as atualizações; são, essencialmente, um local de armazenamento para as atualizações. Se mais de um pacote de implantação contiver as atualizações necessárias a uma implantação, os agentes do SCCM determinarão o melhor local onde recuperar a atualização, podendo usar qualquer pacote de implantação disponível que a contenha.

O assistente Deploy Software Updates é usado para implantar atualizações no SCCM. Esse assistente pode ser usado com atualizações individuais ou com listas de atualizações. A Figura 7 mostra como iniciá-lo.

Figura 7 Como iniciar o assistente Deploy Software Updates

Figura 7** Como iniciar o assistente Deploy Software Updates **(Clique na imagem para aumentar a exibição)

O assistente prossegue solicitando um nome para a implantação, perguntando se você deseja utilizar as configurações do modelo existente ou de um novo modelo (se for escolhido um novo modelo, o assistente solicitará as configurações de modelo descritas anteriormente), solicitando as configurações do pacote de implantação (existentes ou novas), as configurações do ponto de distribuição, as opções de localização para download, os idiomas de atualização a serem baixados e informações sobre a agenda de implantação.

Quando a configuração for concluída, a política será atualizada para notificar os clientes sobre as atualizações programadas, e as atualizações serão instaladas nos sistemas clientes. Os processos nos clientes são bastante diferentes das versões anteriores e estão além do escopo definido para este artigo. No entanto, uma diferença fundamental é que as verificações de atualizações não são mais realizadas localmente, pois o SUP realiza todas elas. Contudo, os detalhes de conformidade das atualizações são armazenados no repositório local do WMI (Windows Management Instrumentation), de forma semelhante às versões anteriores.

Ao contrário das versões anteriores, o inventário de hardware não é mais usado para enviar o status de atualização para o servidor do site. Em vez disso, as mensagens de estado (um tipo novo e simplificado de mensagem de status) são enviadas para o servidor do site via ponto de gerenciamento. Essas mensagens fornecem dados sobre cada cliente gerenciado, para verificações de conformidade e para controlar o progresso das implantações. Há vários novos relatórios no SCCM para o gerenciamento de atualizações de software, inclusive conformidade geral por máquina para todas as atualizações implantadas em cada cliente; estado de imposição da implantação por cliente; e relatórios de erro dos clientes para verificações e implantações, fornecendo uma lista classificada por pilhas com os principais problemas a serem resolvidos.

Além da tradicional imposição agendada/obrigatória das implantações de atualizações, o SCCM permite instalar atualizações aprovadas antes do prazo, em uma agenda muito semelhante à existente no Automatic Updates. Esse acréscimo bastante útil contribuirá para aumentar o número de sistemas em conformidade antes do prazo de implantação.

Se você tem interesse em atualizações personalizadas, o SCCM também as permite. A ferramenta de publicação de atualizações personalizadas do SMS 2003 R2 foi modificada para uso com o SCCM 2007 como System Center Updates Publisher. Assim, qualquer atualização personalizada pode ser implantada da mesma forma já descrita.

Há várias alterações no gerenciamento de atualizações no SCCM. Mas, sob o ponto de vista do administrador, os novos recursos devem ser mais fáceis de usar e representam um aperfeiçoamento bem-vindo em relação às versões anteriores. Embora algumas alterações conceituais possam ser desafiadoras a princípio para os usuários acostumados com o SMS 2003, definitivamente vale a pena investir na nova abordagem. Aproveite!

Steve Rachuié engenheiro de escalonamento de suporte de gerenciamento no grupo de serviços de suporte a produtos da Microsoft. Ele trabalha no SMS desde a versão 1.2. Entre em contato com Steve pelo email steverac@microsoft.com.

© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..