Etapa 2: Configurar o WSUS
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012
Após instalar a função de servidor do WSUS (Windows Server Update Services) no servidor, você precisa configurá-la corretamente. Além disso, você precisa configurar os computadores cliente para receber as respectivas atualizações do servidor do WSUS.
Este artigo descreve os seguintes procedimentos:
| Tarefa | Descrição |
|---|---|
| 2.1. Configurar as conexões de rede | Defina as configurações de firewall e proxy para permitir que o servidor faça as conexões necessárias. |
| 2.2. Configurar o WSUS usando o Assistente de Configuração do WSUS | Use o Assistente de Configuração do WSUS para executar a configuração básica do WSUS. |
| 2.3. Proteger o WSUS com o protocolo SSL | Configure o protocolo SSL para ajudar a proteger o WSUS. |
| 2.4. Configurar grupos de computadores do WSUS | Crie grupos de computadores no Console de Administração do WSUS para gerenciar atualizações em sua organização. |
| 2.5. Configurar computadores cliente para estabelecer conexões SSL com o servidor WSUS | Configurar computadores cliente para estabelecer conexões seguras com o servidor WSUS. |
| 2.6. Configurar computadores cliente para receber atualizações do servidor WSUS | Configurar computadores cliente para receber as respectivas atualizações do servidor WSUS. |
2.1. Configurar as conexões de rede
Para começar o processo de configuração, verifique se sabe as respostas às seguintes perguntas:
O firewall do servidor está configurado para permitir que clientes acessem o servidor?
Este computador pode se conectar ao servidor upstream (como aquele designado para baixar atualizações do Microsoft Update)?
Você tem o nome do servidor proxy e as credenciais do usuário referentes ao servidor proxy, se precisar desses dados?
Depois, você pode começar a definir as seguintes configurações de rede do WSUS:
Atualizações: especifique a maneira como esse servidor obterá atualizações (de Microsoft Update ou de outro servidor do WSUS).
Proxy: se você identificou que o WSUS precisa usar um servidor proxy para ter acesso à Internet, defina as configurações de proxy no servidor do WSUS.
Firewall: se você identificou que o WSUS está protegido por um firewall corporativo, precisará adotar algumas etapas adicionais no dispositivo de borda para permitir o tráfego do WSUS.
Importante
Se você tiver somente um servidor do WSUS, ele deverá ter acesso à Internet, pois precisa baixar atualizações da Microsoft. Se você tiver vários servidores do WSUS, somente um deles precisará de acesso à Internet. Os outros precisarão apenas de acesso de rede ao servidor do WSUS conectado à Internet. Os computadores cliente não precisam de acesso à Internet. Eles precisam somente de acesso de rede a um servidor do WSUS.
Dica
Se a rede estiver "desconectada" (sem nenhum acesso à Internet), você ainda poderá usar o WSUS para fornecer atualizações aos computadores cliente na rede. Essa abordagem requer usar dois servidores do WSUS. Um servidor do WSUS com acesso à Internet coleta as atualizações da Microsoft. O segundo servidor WSUS fornece atualizações para os computadores cliente na rede protegida. As atualizações são exportadas do primeiro servidor para uma mídia removível, transportadas pela lacuna de ar e importadas para o segundo servidor. Essa é uma configuração avançada que está fora do escopo deste artigo.
2.1.1. Configurar o firewall para permitir que o primeiro servidor do WSUS se conecte aos domínios da Microsoft na Internet
Se um firewall corporativo estiver entre o WSUS e a Internet, convém configurar esse firewall para garantir que o WSUS possa obter atualizações. Para obter atualizações do Microsoft Update, o servidor do WSUS usa as portas 80 e 443 para os protocolos HTTP e HTTPS. Embora a maioria dos firewalls corporativos permita esse tipo de tráfego, algumas empresas restringem o acesso à Internet proveniente dos servidores devido a políticas de segurança. Se sua empresa restringir o acesso, você precisará configurar seu firewall para permitir que o servidor do WSUS acesse domínios da Microsoft.
O primeiro servidor WSUS deverá ter acesso de saída às portas 80 e 443 nos seguintes domínios:
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
https://download.microsoft.com
http://*.download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com
http://go.microsoft.com
http://dl.delivery.mp.microsoft.com
https://dl.delivery.mp.microsoft.com
http://*.delivery.mp.microsoft.com
https://*.delivery.mp.microsoft.com
Importante
É preciso configurar seu firewall para permitir que o primeiro servidor WSUS acesse todas as URLs dentro desses domínios. Os endereços IP associados a esses domínios estão em constante mudança, sendo assim, não tente usar intervalos de endereços IP como alternativa.
Para ver um cenário em que o WSUS não consegue receber atualizações devido às configurações de firewall, confira o artigo 885819 na Base de Dados de Conhecimento Microsoft.
2.1.2. Configurar o firewall para permitir que outros servidores do WSUS se conectem ao primeiro servidor
Se você tiver vários servidores do WSUS, precisará configurar outros servidores do WSUS para acessar o primeiro servidor ("superior"). Os outros servidores WSUS receberão todas as respectivas informações de atualização do servidor superior. Essa configuração permite gerenciar toda a rede usando o Console de Administração do WSUS no servidor superior.
Os outros servidores do WSUS deverão ter acesso de saída ao servidor superior por meio de duas portas. Por padrão, elas são as portas 8530 e 8531. É possível alterar essas portas, conforme será descrito posteriormente neste artigo.
Observação
Caso a conexão de rede entre os servidores do WSUS seja lenta ou onerosa, você poderá configurar um ou mais dos outros servidores do WSUS para receber conteúdos de atualização diretamente da Microsoft. Nesse caso, somente uma pequena quantidade de dados será enviada desses servidores WSUS para o servidor superior. Para que essa configuração funcione, os outros servidores do WSUS deverão ter acesso aos mesmos domínios da Internet que o servidor superior.
Observação
Caso tenha uma organização grande, é possível usar cadeias de servidores WSUS conectados, em vez de conectar todos os outros servidores WSUS diretamente ao servidor superior. Por exemplo, é possível ter um segundo servidor do WSUS que se conecta ao servidor superior e conectar outros servidores do WSUS ao segundo servidor do WSUS.
2.1.3. Configurar servidores WSUS para usar um servidor proxy, se necessário
Se a rede corporativa usa servidores proxy, os servidores proxy precisam dar suporte aos protocolos HTTP e HTTPS. Eles também devem usar autenticação básica ou autenticação do Windows. Esses requisitos podem ser atendidos usando uma das seguintes configurações:
Um servidor proxy único que dá suporte a dois canais de protocolo. Nesse caso, defina um canal para usar HTTP e o outro canal para usar HTTPS.
Observação
Você pode configurar um servidor proxy que lida com ambos os protocolos do WSUS durante a instalação do software para servidores do WSUS.
Dois servidores proxy, cada um deles dá suporte a um único protocolo. Nesse caso, um servidor proxy é configurado para usar HTTP e o outro servidor proxy é configurado para usar HTTPS.
Para configurar o WSUS para usar dois servidores proxy
Faça logon no computador que será o servidor do WSUS usando uma conta que seja membro do grupo de Administradores Locais.
Instale a função de servidor do WSUS Durante o Assistente de Configuração do WSUS, não especifique um servidor proxy.
Abra um prompt de comando (Cmd.exe) como administrador:
- Vá até Iniciar.
- Em Iniciar pesquisa, digite Prompt de comando.
- Na parte superior do menu Iniciar, clique com o botão direito do mouse no Prompt de comando e selecione Executar como administrador.
- Se a caixa de diálogo Controle de Conta de Usuário for exibida, insira as credenciais adequadas (se solicitado), confirme se a ação exibida é o que você deseja e selecione Continuar.
Na janela do prompt de comando, vá para a pasta C:\Arquivos de Programas\Update Services\Tools. Insira o seguinte comando:
wsusutil ConfigureSSLproxy [<proxy_server proxy_port>] -enableNesse comando:
proxy_server é o nome do servidor proxy que dá suporte ao HTTPS.
proxy_port é o número da porta do servidor proxy.
Feche a janela do prompt de comando.
Para adicionar um servidor proxy à configuração do WSUS
Abra o Console de Administração do WSUS.
No painel esquerdo, expanda o nome do servidor e selecione Opções.
No painel Opções, selecione Origem da Atualização e Servidor de Atualização e selecione a guia Servidor Proxy.
Marque a caixa de seleção Utilizar um servidor proxy ao sincronizar.
Na caixa de texto Nome do servidor proxy, digite o nome do servidor proxy.
Na caixa de texto Número da porta do proxy, digite o número da porta do servidor proxy. O número da porta padrão é 80.
Se o servidor proxy exigir que você use uma conta de usuário específica, marque a caixa de seleção Usar credenciais do usuário para se conectar ao servidor proxy. Insira o nome de usuário, o domínio e a senha necessários nas caixas de texto correspondentes.
Se o servidor proxy der suporte à autenticação básica, marque a caixa de seleção Permitir autenticação básica (a senha é enviada em texto não criptografado) .
Selecione OK.
Para remover um servidor proxy da configuração do WSUS
Desmarque a caixa de seleção Utilizar um servidor proxy ao sincronizar.
Selecione OK.
2.1.4 Configurar seu firewall para permitir que os computadores cliente acessem um servidor WSUS
Todos os computadores cliente se conectarão a um dos servidores WSUS. O computador cliente deverá ter acesso de saída a duas portas no servidor WSUS. Por padrão, elas são as portas 8530 e 8531.
2.2. Configurar o WSUS usando o Assistente de Configuração do WSUS
Este procedimento pressupõe que você esteja usando o Assistente de Configuração do WSUS, que aparece na primeira vez em que você inicia o Console de Gerenciamento do WSUS. Mais adiante neste tópico, você aprenderá a executar essas configurações usando a página Opções.
Para configurar o WSUS
No painel esquerdo do Gerenciador do Servidor, selecione Painel>Ferramentas>Windows Server Update Services.
Observação
Se a caixa de diálogo Concluir a Instalação do WSUS aparecer, selecione Executar. Na caixa de diálogo Concluir a Instalação do WSUS, selecione Fechar quando a instalação for concluída com êxito.
O Assistente de Configuração do WSUS é aberto. Na página Antes de Começar, examine a informação e selecione Avançar.
Leia as instruções na página Ingressar no Programa de Aperfeiçoamento do Microsoft Update. Mantenha a seleção padrão se quiser participar do programa ou desmarque a caixa de seleção se não quiser. Em seguida, selecione Avançar.
Na página Escolher Servidor Upstream, selecione uma das duas opções: Sincronizar as atualizações com o Microsoft Update ou Sincronizar de outro servidor do Windows Server Update Services.
Se você optar por sincronizar de outro servidor do WSUS:
Especifique o nome do servidor e a porta em que ele se comunicará com o servidor upstream.
Para usar SSL, marque a caixa de seleção Usar SSL ao sincronizar informações de atualização. Os servidores usarão a porta 443 para sincronização. (Verifique se esse servidor e o servidor upstream são compatíveis com SSL.)
Se esse for um servidor de réplica, marque a caixa de seleção Esta é uma réplica do servidor upstream.
Depois de selecionar as opções para a implantação, selecione Avançar.
Na página Especificar Servidor Proxy, marque a caixa de seleção Utilizar um servidor proxy ao sincronizar. Em seguida, insira o nome do servidor proxy e o número da porta (porta 80 por padrão) nas caixas correspondentes.
Importante
Você precisa concluir essa etapa se identificou que o WSUS precisa de um servidor proxy para ter acesso à Internet.
Se quiser se conectar ao servidor proxy usando credenciais de usuário específicas, marque a caixa de seleção Usar credenciais do usuário para se conectar ao servidor proxy. Em seguida, insira o nome de usuário, o domínio e a senha do usuário nas caixas correspondentes.
Se quiser habilitar a autenticação básica para o usuário que está se conectando ao servidor proxy, marque a caixa de seleção Permitir autenticação básica (a senha é enviada em texto não criptografado) .
Selecione Avançar.
Na página Conectar ao Servidor Upstream, selecione Iniciar Conexão.
Quando o WSUS se conectar ao servidor, selecione Avançar.
Na página Escolher Idiomas, você tem a opção de escolher os idiomas em que o WSUS receberá atualizações: todos os idiomas ou um subconjunto deles. A seleção de um subconjunto de idiomas economizará espaço em disco, mas é importante escolher todos os idiomas que serão necessários para todos os clientes desse servidor do WSUS.
Se você optar por obter atualizações somente para idiomas específicos, selecione Baixar atualizações somente nestes idiomas e selecione os idiomas para os quais deseja as atualizações. Caso contrário, deixe a seleção padrão.
Aviso
Se você escolher a opção Baixar atualizações somente nestes idiomase este servidor tiver um servidor downstream do WSUS conectado a ele, essa opção forçará o servidor downstream a também usar somente os idiomas escolhidos.
Depois de selecionar as opções de idioma para a implantação, selecione Avançar.
A página Escolher Produtos permite especificar os produtos para os quais você deseja atualizações. Escolha as categorias de produtos, como Windows, ou produtos específicos, como Windows Server 2012. A seleção de uma categoria de produtos abrange todos os produtos dessa categoria.
Depois de selecionar as opções de produto para a implantação, selecione Avançar.
Na página Escolher Classificações, selecione as classificações de atualização que deseja obter. Escolha todas as classificações ou um subconjunto delas e selecione Avançar.
A página Definir Agenda de Sincronização permite que você selecione se executará a sincronização em modo manual ou automático.
Se você selecionar Sincronizar manualmente, inicie o processo de sincronização pelo Console de Administração do WSUS.
Se você selecionar Sincronizar automaticamente, o servidor do WSUS será sincronizado em intervalos definidos.
Defina o tempo para a Primeira sincronização e especifique o número de sincronizações por dia que deseja que o servidor execute. Por exemplo, se você especificar quatro sincronizações por dia, começando às 3:00, as sincronizações ocorrerão às 3:00, às 9:00, às 15:00 e às 21:00.
Depois de selecionar as opções de sincronização para a implantação, selecione Avançar.
Na página Concluído, você tem a opção de começar a sincronização imediatamente marcando a caixa de seleção Começar a sincronização inicial.
Se não selecionar essa opção, você precisará usar o Console de Gerenciamento do WSUS para executar a sincronização inicial. Selecione Avançar se quiser ler mais sobre configurações adicionais ou selecione Concluir para concluir o assistente e a configuração inicial do WSUS.
Após você selecionar Concluir, o Console de Administração do WSUS será exibido. Você usará esse console para gerenciar a rede do WSUS, conforme será descrito posteriormente.
2.3. Proteger o WSUS com o protocolo SSL
Recomendamos que você use o protocolo SSL para ajudar a proteger a rede do WSUS. O WSUS pode usar o protocolo SSL para autenticar conexões, bem como criptografar e proteger informações de atualização.
Aviso
Proteger o WSUS usando o protocolo SSL é importante para a segurança da rede. Caso o servidor do WSUS não use o protocolo SSL de modo adequado para proteger as respectivas conexões, um invasor poderá alterar informações cruciais de atualização conforme elas forem enviadas de um servidor do WSUS para outro ou para computadores cliente. Isso permitirá que o invasor instale software mal-intencionado em computadores cliente.
Importante
Os clientes e servidores downstream que estão configurados para usar a TLS (Segurança da Camada de Transporte) ou HTTPS também devem ser configurados para usar um FQDN (nome de domínio totalmente qualificado) para o servidor do WSUS upstream.
2.3.1. Habilitar o SSL/HTTPS no serviço IIS do servidor WSUS para usar o SSL/HTTPS
Para iniciar o processo, será preciso habilitar o suporte para SSL no serviço IIS do servidor WSUS. Esse esforço envolve a criação de um certificado SSL para o servidor.
As etapas necessárias para obter um certificado SSL para o servidor estão fora do escopo deste artigo e dependerão da configuração da rede. Para obter mais informações e instruções sobre como instalar certificados e configurar esse ambiente, sugerimos estes artigos:
2.3.2. Configurar o servidor Web IIS do servidor WSUS para usar o protocolo SSL em algumas conexões
O WSUS requer duas portas para estabelecer conexões com outros servidores WSUS e computadores cliente. Uma porta usa SSL/HTTPS para enviar metadados de atualização (informações cruciais sobre as atualizações). Por padrão, essa é a porta 8531. Uma segunda porta usa o HTTP para enviar conteúdos de atualização. Por padrão, essa é a porta 8530.
Importante
Não é possível configurar todo o site do WSUS para exigir o protocolo SSL. O WSUS foi projetado somente para criptografar metadados de atualização. Esse é o mesmo modo que o Windows Update distribui as atualizações.
Para evitar que um invasor adultere os conteúdos de atualização, eles são assinados usando um conjunto específico de certificados de assinatura confiáveis. Além disso, um hash de criptografia é calculado para cada conteúdo de atualização. O hash é enviado ao computador cliente por meio de uma conexão de metadados HTTPS segura, em conjunto com os outros metadados da atualização. Após baixar uma atualização, o software cliente verifica a assinatura digital e o hash do conteúdo. Se a atualização tiver sido alterada, ela não será instalada.
Recomendamos exigir somente o protocolo SSL para estas raízes virtuais do IIS:
SimpleAuthWebService
DSSAuthWebService
ServerSyncWebService
APIremoting30
ClientWebService
Não recomendamos exigir o protocolo SSL para estas raízes virtuais:
Conteúdo
Inventário
ReportingWebService
SelfUpdate
O certificado de AC (autoridade de certificação) deverá ser importado para o repositório de AC Raiz Confiável de cada servidor do WSUS para o computador local ou para o repositório de AC Raiz Confiável dos WSUS, se ele existir.
Para obter mais informações sobre como usar os certificados SSL no IIS, consulte Exigir o protocolo SSL (IIS 7).
Importante
Você deve usar o repositório de certificados do computador local. Você não pode usar um repositório de certificados do usuário.
Em geral, seria necessário configurar o IIS para usar a porta 8531 para conexões HTTPS e a porta 8530 para conexões HTTP. Se você alterar essas portas, precisará usar dois números de porta adjacentes. O número da porta usado para conexões HTTP deve ser exatamente 1 menos que o número da porta usado para conexões HTTPS.
Se o nome do servidor, a configuração de SSL ou o número da porta for alterado, você precisará reinicializar o ClientServicingProxy.
2.3.3 Configurar o WSUS para usar o certificado de assinatura SSL para as respectivas conexões de clientes
Faça logon no servidor do WSUS usando uma conta que seja membro do grupo de Administradores do WSUS ou do grupo de Administradores Locais.
Acesse Iniciar, digite CMD, clique com o botão direito do mouse no Prompt de comando e selecione Executar como administrador.
Acesse a pasta %ProgramFiles%\Update Services\Tools\.
Em uma janela do prompt de comando, digite o seguinte comando:
wsusutil configuressl _certificateName_Nesse comando, certificateName é o nome DNS do servidor do WSUS.
2.3.4 Proteger a conexão do SQL Server, se necessário
Se você usar o WSUS com um banco de dados do SQL Server remoto, a conexão entre o servidor do WSUS e o servidor de banco de dados não será protegida por SSL. Isso criará um possível vetor de ataque. Considere usar as seguintes recomendações para ajudar a proteger essa conexão:
Mova o banco de dados do WSUS para o servidor do WSUS.
Mova o servidor de banco de dados remoto e o servidor do WSUS para uma rede privada.
Implante o IPsec (Segurança de Protocolo IP) para ajudar a proteger o tráfego de rede. Para obter mais informações sobre IPsec, confira Criando e usando políticas IPSec.
2.3.5 Criar um certificado de assinatura de código para publicação local, se necessário
Além de distribuir atualizações fornecidas pela Microsoft, o WSUS também dá suporte à publicação local. A publicação local permite criar e distribuir atualizações que você projetou usando conteúdos e comportamentos próprios.
Habilitar e configurar a publicação local está fora do escopo deste documento. Para obter todos os detalhes, confira Publicação local.
Importante
A publicação local é um processo complicado e muitas vezes não é necessária. Antes de decidir habilitar a publicação local, recomendamos examinar com cuidado a documentação e considerar se você usará essa funcionalidade e de que modo.
2.4. Configurar grupos de computadores do WSUS
Os grupos de computadores são uma parte importante de como usar o WSUS de modo eficaz. Os grupos de computadores permitem testar e direcionar atualizações para computadores específicos. Há dois grupos de computadores padrão: Todos os Computadores e Computadores Não Atribuídos. Por padrão, quando cada computador cliente contata pela primeira vez o servidor do WSUS, o servidor adiciona esse computador cliente a ambos os grupos.
Você pode criar quantos grupos de computadores personalizados precisar para gerenciar atualizações em sua organização. Como prática recomendada, crie pelo menos um grupo de computadores para testar as atualizações antes de implantá-las em outros computadores de sua organização.
2.4.1 Escolher uma abordagem para atribuir computadores cliente a grupos de computadores
Há duas abordagens para atribuir computadores cliente a grupos de computadores. A abordagem adequada para sua organização dependerá do modo que você normalmente gerencia os computadores cliente.
Direcionamento do servidor: essa é a abordagem padrão. Nessa abordagem, você atribui computadores cliente a grupos de computadores usando o Console de Administração do WSUS.
Essa abordagem fornece flexibilidade para você migrar de modo rápido os computadores cliente de um grupo para outro conforme as circunstâncias mudam. No entanto, isso significa que novos computadores cliente deverão ser migrados manualmente do grupo de computadores não atribuídos para o grupo de computadores adequado.
Direcionamento do cliente: nesta abordagem, você atribui cada computador cliente a grupos de computadores usando as configurações de política definidas no computador cliente.
Essa abordagem facilita a atribuição de novos computadores cliente aos grupos apropriados. Você faz isso como parte da configuração do computador cliente para receber atualizações do servidor do WSUS. Porém, isso significa que não é possível atribuir computadores cliente a grupos de computadores nem migrar de um grupo de computadores para outro usando o Console de Administração do WSUS. Em vez disso, as políticas dos computadores cliente deverão ser alteradas.
2.4.2 Habilitar o direcionamento do cliente, se adequado
Importante
Ignore esta etapa se você pretende usar o direcionamento do servidor.
No Console de Administração do WSUS, em Update Services, expanda o servidor do WSUS e selecione opções.
Na guia Geral do painel Opções, selecione Usar Política de Grupo ou configurações do Registro em computadores.
2.4.3 Criar grupos de computadores desejados
Observação
Você precisa criar grupos de computadores usando o Console de Administração do WSUS, quer você use o direcionamento do servidor ou do cliente para adicionar computadores cliente aos grupos de computadores.
No Console de Administração do WSUS, em Update Services, expanda o servidor do WSUS, expanda Computadores, clique com o botão direito do mouse em Todos os computadores e selecione Adicionar Grupo de Computadores.
Na caixa de diálogo Adicionar Grupo de Computadores, em Nome, especifique o nome do novo grupo. Em seguida, selecioneAdicionar.
2.5. Configurar computadores cliente para estabelecer conexões SSL com o servidor WSUS
Supondo que você tenha configurado o servidor do WSUS para ajudar proteger as conexões dos computadores cliente usando o protocolo SSL, você precisará configurar os computadores cliente para confiar nessas conexões SSL.
O certificado SSL do servidor do WSUS deverá ser importado para o repositório de AC Raiz Confiável dos computadores cliente ou o repositório de AC Raiz Confiável do Serviço de Atualização Automática dos computadores cliente, se ele existir.
Importante
Você deve usar o repositório de certificados do computador local. Você não pode usar um repositório de certificados do usuário.
Os computadores cliente devem confiar no certificado que você associar ao servidor do WSUS. Dependendo do tipo de certificado usado, você precisará configurar um serviço para habilitar os computadores cliente a confiarem no certificado vinculado ao servidor do WSUS.
Se você estiver usando uma publicação local, também precisará configurar os computadores cliente para confiar no certificado de assinatura de código do servidor WSUS. Para obter instruções, confira Publicação local.
2.6. Configurar computadores cliente para receber atualizações do servidor WSUS
Por padrão, os computadores cliente recebem atualizações do Windows Update. Como alternativa, eles deverão ser configurados para receber atualizações do servidor WSUS.
Importante
Este artigo apresenta um conjunto de etapas usadas para configurar computadores cliente usando a Política de Grupo. Essas etapas são apropriadas em várias situações. No entanto, há várias outras opções disponíveis para configurar o comportamento de atualização em computadores cliente, incluindo usar o gerenciamento de dispositivo móvel. Essas opções estão documentadas em Gerenciar configurações adicionais do Windows Update.
2.6.1 Escolher o conjunto de políticas adequado para editar
Se você tiver configurado o Active Directory na rede, poderá configurar um ou vários computadores simultaneamente incluindo-os em um GPO (Objeto de Política de Grupo) e configurando esse GPO com as definições do WSUS.
É recomendável criar um novo GPO que contenha somente as definições do WSUS. Vincule esse GPO do WSUS a um contêiner do Active Directory que seja apropriado para seu ambiente.
Em um ambiente simples, você pode vincular um único GPO do WSUS ao domínio. Em um ambiente mais complexo, você pode vincular vários GPOs do WSUS a várias UOs (unidades organizacionais). Vincular GPOs a UOs permitirá que você aplique configurações de política do WSUS a diferentes tipos de computadores.
Caso não use o Active Directory na rede, você precisará configurar cada computador usando o Editor de Política de Grupo Local.
2.6.2 Editar políticas para configurar computadores cliente
Observação
Estas instruções pressupõem que você esteja usando as versões mais recentes das ferramentas de edição de política. Em versões anteriores das ferramentas, as políticas poderão estar organizadas de modo diferente.
Abra o objeto de política adequado:
- Caso esteja usando o Active Directory, abra o Console de Gerenciamento de Política de Grupo, navegue até o GPO em que deseja configurar o WSUS e selecione Editar. Em seguida, expanda Configuração do Computador e Políticas.
- Caso não esteja usando o Active Directory, abra o Editor de Política de Grupo Local. A política do computador local é exibida. Expanda Configuração do Computador.
No objeto expandido na etapa anterior, expanda as opções Modelos Administrativos, Componentes do Windows, Windows Update, depois selecione Gerenciar experiência do usuário final.
No painel de detalhes, clique duas vezes em Configurar Atualizações Automáticas. A política Configurar Atualizações Automáticas é aberta.
Clique em Habilitado, depois selecione a opção desejada na configuração Configurar atualização automática para gerenciar de que modo as Atualizações Automáticas vão baixar e instalar as atualizações aprovadas.
Recomendamos usar a configuração Download automático e agendar instalação. Isso garante que as atualizações aprovadas no WSUS serão baixadas e instaladas em tempo hábil, sem a necessidade de intervenção do usuário.
Se desejar, edite outras partes da política, conforme documentado em Gerenciar configurações adicionais do Windows Update.
Observação
A caixa de seleção Instalar atualizações de outros produtos da Microsoft não tem efeito em computadores cliente que recebem atualizações do WSUS. Os computadores cliente receberão todas as respectivas atualizações aprovadas no servidor WSUS.
Selecione OK para fechar a política Configurar Atualizações Automáticas.
Volte para o nó da árvore do Windows Update, selecione Gerenciar atualizações fornecidas por meio do Windows Server Update Service.
No painel de detalhes Gerenciar atualizações fornecidas por meio do Windows Server Update Service, clique duas vezes em Especificar o local do serviço do Microsoft Update na intranet. A política Especificar o local do serviço do Microsoft Update na intranet abrirá.
Selecione Habilitado e insira a URL do servidor WSUS nas caixas de texto Definir o serviço de atualização da intranet para detectar atualizações e Definir o servidor de estatísticas da intranet.
Aviso
Lembre-se de incluir a porta adequada na URL. Vamos supor que você configurou o servidor para usar o protocolo SSL conforme recomendado. Desse modo, especifique a porta configurada para HTTPS. Por exemplo, se você escolheu usar a porta 8531 para HTTPS e o nome de domínio do servidor é wsus.contoso.com, digite https://wsus.contoso.com:8531 nas duas caixas de texto.
Selecione OK para fechar a política Especificar o local do serviço do Microsoft Update na intranet.
Configurar o direcionamento do cliente, se adequado
Caso tenha escolhido usar o direcionamento do cliente, agora será preciso especificar o grupo de computadores adequado para os computadores cliente que você está configurando.
Observação
Essas etapas pressupõem que você acabou de concluir as etapas de edição de políticas para configurar os computadores cliente.
No painel de detalhes Gerenciar atualizações oferecidas pelo Windows Server Update Service, clique duas vezes em Habilitar direcionamento do cliente. A política Habilitar direcionamento do cliente abrirá.
Selecione Habilitado e insira o nome do grupo de computadores do WSUS ao qual deseja adicionar os computadores cliente na caixa Nome do grupo de destino para este computador.
Caso esteja executando uma versão atual do WSUS, você pode adicionar computadores cliente a vários grupos de computadores inserindo os nomes dos grupos separados por ponto e vírgula. Por exemplo, você pode inserir Contabilidade; Executivo para adicionar computadores cliente ao grupo de computadores Contabilidade e Executivo.
Selecione OK para fechar a política Habilitar direcionamento do cliente.
2.6.3 Permitir que o computador cliente se conecte ao servidor WSUS
Os computadores cliente não serão exibidos no Console de Administração do WSUS até que eles se conectem ao servidor WSUS pela primeira vez.
Aguarde até que as alterações de política entrem em vigor no computador cliente.
Se você usou um GPO baseado no Active Directory para configurar os computadores cliente, levará algum tempo para que o mecanismo de Atualização de Política de Grupo execute as alterações em um computador cliente. Se quiser acelerar esse processo, você poderá abrir uma janela do prompt de comando com privilégios elevados e inserir o comando gpupdate /force.
Se você usou o Editor de Política de Grupo Local para configurar um computador cliente individual, as alterações entrarão em vigor imediatamente.
Reinicie o computador cliente. Essa etapa garante que o software do Windows Update detecte as alterações de política no computador.
Permita que o computador cliente execute um exame em busca de atualizações. Normalmente, esse exame leva algum tempo.
Você pode acelerar o processo usando uma destas opções:
- No Windows 10 ou 11, use a página do Windows Update do aplicativo Configurações para verificar manualmente se há atualizações.
- Em versões do Windows anteriores ao Windows 10, use o ícone Windows Update no Painel de Controle para verificar manualmente se há atualizações.
- Em versões do Windows anteriores ao Windows 10, abra uma janela do prompt de comando com privilégios elevados e insira o comando wuauclt /detectnow.
2.6.4 Verificar uma conexão com êxito do computador cliente com o servidor WSUS
Se você tiver executado todas as etapas anteriores com êxito, verá estes resultados:
O computador cliente faz um exame em busca de atualizações com êxito. (Talvez ele encontre atualizações aplicáveis para baixar e instalar.)
Em cerca de 20 minutos, o computador cliente aparecerá na lista de computadores exibida no Console de Administração do WSUS com base no tipo de direcionamento:
Se você estiver usando o direcionamento do servidor, o computador cliente será exibido nos grupos de computadores Todos os Computadores e Computadores Não Atribuídos.
Se você estiver usando o direcionamento do cliente, o computador cliente será exibido no grupo de computadores Todos os Computadores e no grupo de computadores selecionado durante a configuração do computador cliente.
2.6.5 Configurar o direcionamento do servidor do computador cliente, se adequado
Se você estiver usando o direcionamento do servidor, agora poderá adicionar o computador cliente aos grupos de computadores adequados.
Localize o novo computador cliente no Console de Administração do WSUS. Ele será exibido nos grupos de computadores Todos os Computadores e Computadores Não Atribuídos da lista de computadores do servidor do WSUS.
Clique com o botão direito do mouse no computador cliente e selecione Alterar associação.
Na caixa de diálogo, selecione os grupos de computadores adequados e selecione OK.