Instalar e configurar um ponto de atualização de software

Aplica-se a: Gerenciador de Configurações (branch atual)

Importante

Antes de instalar a SUP (função de sistema de site de ponto de atualização de software), você deve verificar se o servidor atende às dependências necessárias e determina a infraestrutura de ponto de atualização de software no site. Para obter mais informações sobre como planejar atualizações de software e determinar sua infraestrutura de ponto de atualização de software, consulte Planejar atualizações de software.

O ponto de atualização de software é necessário no site de administração central e nos sites primários para habilitar a avaliação de conformidade das atualizações de software e implantar atualizações de software nos clientes. O ponto de atualização de software é opcional em sites secundários. A função do sistema de site de ponto de atualização de software deve ser criada em um servidor que tenha o WSUS instalado. O ponto de atualização de software interage com os serviços do WSUS para configurar as configurações de atualização de software e solicitar a sincronização dos metadados de atualizações de software. Quando você tiver uma hierarquia Configuration Manager, instale e configure o ponto de atualização de software no site de administração central primeiro, depois em sites primários filho e, opcionalmente, em sites secundários. Quando você tiver um site primário autônomo, não um site de administração central, instale e configure o ponto de atualização de software no site primário primeiro e, opcionalmente, em sites secundários. Algumas configurações só estão disponíveis quando você configura o ponto de atualização de software em um site de nível superior. Há opções diferentes que você deve considerar dependendo de onde instalou o ponto de atualização de software.

Importante

  • Você pode instalar mais de um ponto de atualização de software em um site. O primeiro ponto de atualização de software instalado é configurado como a fonte de sincronização, que sincroniza as atualizações do Microsoft Update ou da fonte de sincronização upstream. Os outros pontos de atualização de software no site são configurados como réplicas do primeiro ponto de atualização de software. Portanto, algumas configurações não estão disponíveis depois que você instala e configura o ponto de atualização de software inicial.
  • Não há suporte para instalar a função do sistema de site de ponto de atualização de software em um servidor que foi configurado e usado como um servidor WSUS autônomo ou usando um ponto de atualização de software para gerenciar diretamente clientes WSUS. Os servidores WSUS existentes só têm suporte como fontes de sincronização upstream para o ponto de atualização de software ativo. Confira Sincronizar de um local de fonte de dados upstream

Você pode adicionar a função de sistema de site de ponto de atualização de software a um servidor de sistema de site existente ou criar um novo. Na página Seleção de Função do Sistema do Assistente criar servidor do sistema de sites ou adicionar assistente de funções do sistema de sites, dependendo se você adicionar a função do sistema de site a um servidor de site novo ou existente, selecione Ponto de atualização de software e configure as configurações do ponto de atualização de software no assistente. As configurações são diferentes dependendo da versão de Configuration Manager que você usa. Para obter mais informações sobre como instalar funções do sistema de sites, consulte Instalar funções do sistema de sites.

Use as seções a seguir para obter informações sobre as configurações de ponto de atualização de software em um site.

Definições do servidor proxy

Você pode configurar as configurações do servidor proxy em diferentes páginas do Assistente Criar Servidor do Sistema de Site ou Adicionar Funções do Sistema de Site, dependendo da versão de Configuration Manager que você usa.

  • Você deve configurar o servidor proxy e especificar quando usar o servidor proxy para atualizações de software. Defina as seguinte configurações:

    • Configure as configurações do servidor proxy na página Proxy do assistente ou na guia Proxy em Propriedades do sistema de sites. As configurações do servidor proxy são específicas do sistema de sites, o que significa que todas as funções do sistema de site usam as configurações do servidor proxy especificadas.

    • Especifique se deve usar o servidor proxy quando Configuration Manager sincroniza as atualizações de software e quando ele baixa conteúdo usando uma regra de implantação automática. Configure as configurações do servidor proxy de ponto de atualização de software na página Configurações de Proxy e Conta do assistente ou na guia Configurações de Proxy e Conta em Propriedades do ponto de atualização de software.

    • O Use um proxy ao baixar conteúdo usando a configuração de regras de implantação automática está disponível, mas ele não é usado para um ponto de atualização de software em um site secundário. Somente o ponto de atualização de software no site de administração central e no site primário baixa conteúdo da página Microsoft Atualização.

    • Por padrão, a conta do Sistema Local para o servidor no qual uma regra de implantação automática foi criada é usada para se conectar à Internet e baixar atualizações de software quando as regras de implantação automáticas forem executadas. Quando essa conta não tem acesso à Internet, as atualizações de software não são baixadas e a seguinte entrada é registrada em ruleengine.log: falha ao baixar a atualização da Internet. Erro = 12007. Configure as credenciais para se conectar ao servidor proxy quando a conta do Sistema Local não tiver acesso à Internet.

Configurações do WSUS

Você deve configurar as configurações do WSUS em páginas diferentes do Assistente Criar Servidor do Sistema de Site ou Adicionar Assistente de Funções do Sistema de Site, dependendo da versão de Configuration Manager que você usa e, em alguns casos, apenas nas propriedades para o ponto de atualização de software, também conhecido como Propriedades do Componente do Ponto de Atualização de Software. Use as informações nas seções a seguir para configurar as configurações do WSUS.

Importante

Para garantir que os melhores protocolos de segurança estejam em vigor, é altamente recomendável usar o protocolo TLS/SSL para ajudar a proteger sua infraestrutura de atualização de software. A partir da atualização cumulativa de setembro de 2020, os servidores WSUS baseados em HTTP estarão seguros por padrão. Um cliente que verifica atualizações em um WSUS baseado em HTTP não terá mais permissão para aproveitar um proxy de usuário por padrão. Se você ainda precisar de um proxy de usuário, apesar das compensações de segurança, uma nova configuração de cliente de atualizações de software estará disponível para permitir essas conexões. Para obter mais informações sobre as alterações para a verificação do WSUS, confira alterações de setembro de 2020 para melhorar a segurança dos dispositivos Windows que verificam o WSUS.

Configurações da porta WSUS

Você deve configurar as configurações da porta WSUS na página Ponto de Atualização de Software do assistente ou nas propriedades do ponto de atualização de software. Use o procedimento a seguir para determinar as configurações de porta usadas pelo WSUS:

Determinar as configurações de porta usadas no IIS

  1. No servidor WSUS, abra o Gerenciador dos Serviços de Informações da Internet (IIS).
  2. Expanda Sites, selecione o site de Administração do WSUS e selecione Associações no painel Ações . Na caixa de diálogo Associações de Site , os valores de porta HTTP e HTTPS são exibidos na coluna Porta .

Configurar as comunicações SSL para o WSUS

Para garantir que os melhores protocolos de segurança estejam em vigor, é altamente recomendável usar o protocolo TLS/SSL para ajudar a proteger sua infraestrutura de atualização de software. Você pode configurar a comunicação SSL na página Ponto de Atualização de Software do assistente ou na guia Geral nas propriedades do ponto de atualização de software. Antes de selecionar, a opção de Exigir comunicação SSL com o servidor WSUS para seu SUP, verifique se você habilitou a comunicação SSL nos servidores WSUS.

Para obter mais informações sobre como usar o SSL, confira Decidir se deseja configurar o WSUS para usar o SSL e configurar um ponto de atualização de software para usar o TLS/SSL com um certificado PKI.

Permitir tráfego de gateway de gerenciamento de nuvem

Você pode habilitar um ponto de atualização de software para aceitar a comunicação de clientes na Internet por meio de um CMG (gateway de gerenciamento de nuvem). Para obter mais informações sobre essa configuração, consulte Configurar funções voltadas para o cliente para tráfego CMG.

Ajustar a velocidade de download para usar a largura de banda de rede não utilizada (Windows LEDBAT)

(Introduzido na versão 2203)

A partir de Configuration Manager versão 2203, você pode habilitar o LEDBAT (Transporte em Segundo Plano de Atraso Extra) do Windows Low Extra para seus pontos de atualização de software que executam Windows Server 2016 ou posterior. O LEDBAT ajusta as velocidades de download durante as verificações do cliente em relação ao WSUS para ajudar a controlar o congestionamento da rede.

Se um sistema de site tiver o ponto de distribuição e as funções de ponto de atualização de software, você poderá configurar o LEDBAT de forma independente nas funções. Por exemplo, se você habilitar apenas o LEDBAT na função de ponto de distribuição, a função de ponto de atualização de software não herdará a mesma configuração.

Para usar o LEDBAT para seus SUPs que executam Windows Server 2016 ou posteriores, habilite a velocidade de ajuste para usar a largura de banda de rede não utilizada (Windows LEDBAT) de um dos seguintes locais:

  • Na página Ponto de Atualização de Software do assistente de ponto de atualização de software de instalação
  • Na guia Geral das propriedades do ponto de atualização de software

Para obter mais informações gerais sobre o LEDBAT do Windows, confira Conceitos fundamentais para o gerenciamento de conteúdo.

Conta de conexão do servidor do WSUS

Você pode configurar uma conta a ser usada pelo servidor do site quando ela se conecta ao WSUS que é executado no ponto de atualização de software. Quando você não configura essa conta, o Configuration Manager usa a conta de computador do servidor do site para se conectar ao WSUS. Configure a Conta de Conexão do Servidor do WSUS na página Configurações de Proxy e Conta do assistente ou na guia Configurações de Proxy e Conta em Propriedades do ponto de atualização de software. Você pode configurar a conta em diferentes locais do assistente, dependendo da versão de Configuration Manager que você usa.

Para obter mais informações sobre Configuration Manager contas, consulte Contas usadas.

Fonte de sincronização

Você pode configurar a fonte de sincronização upstream para sincronização de atualizações de software na página Fonte de Sincronização do assistente ou na guia Configurações de Sincronização nas Propriedades do Componente do Ponto de Atualização de Software. Suas opções para a fonte de sincronização variam dependendo do site.

Use a tabela a seguir para as opções disponíveis ao configurar o ponto de atualização de software em um site.

Site Opções de origem de sincronização disponíveis
- Site de administração central
- Site primário autônomo
- Sincronizar do site do Microsoft Update
- Sincronizar de um local de fonte de dados upstream
- Não sincronizar de Microsoft Fonte de dados de atualização ou upstream
- Pontos adicionais de atualização de software em um site
- Site primário filho
- Site secundário
- Sincronizar de um local de fonte de dados upstream

A lista a seguir fornece mais informações sobre cada opção que você pode usar como a fonte de sincronização:

  • Sincronizar de Microsoft Atualização: use essa configuração para sincronizar metadados de atualizações de software do Microsoft Update. O site de administração central deve ter acesso à Internet; caso contrário, a sincronização falhará. Essa configuração só está disponível quando você configura o ponto de atualização de software no site de nível superior.

    • Quando há um firewall entre o ponto de atualização de software e a Internet, o firewall pode precisar ser configurado para aceitar as portas HTTP e HTTPS usadas para o site do WSUS. Você também pode optar por restringir o acesso no firewall a domínios limitados. Para obter mais informações sobre como planejar um firewall que dá suporte a atualizações de software, consulte Configurar firewalls.

    • Se você estiver compartilhando o banco de dados WSUS, esteja ciente de que Configuration Manager escolhe aleatoriamente o ponto de atualização de software entre os servidores WSUS de front-end. Verifique se os requisitos de acesso à Internet são atendidos para cada um dos servidores WSUS. Se os requisitos de acesso à Internet não forem atendidos, as falhas de sincronização poderão ocorrer. Você pode ver diferentes pontos de atualização de software na sincronização de sites de nível superior com Microsoft.

  • Sincronizar de um local de fonte de dados upstream: use essa configuração para sincronizar metadados de atualizações de software da fonte de sincronização upstream. Os sites primários filho e sites secundários são configurados automaticamente para usar a URL do site pai para essa configuração. Você tem a opção de sincronizar atualizações de software de um servidor WSUS existente. Especifique uma URL, como https://WSUSServer:8531, em que 8531 é a porta usada para se conectar ao servidor WSUS.

  • Não sincronize do Microsoft Atualização ou fonte de dados upstream: use essa configuração para sincronizar manualmente as atualizações de software quando o ponto de atualização de software no site de nível superior for desconectado da Internet. Para obter mais informações, consulte Sincronizar atualizações de software de um ponto de atualização de software desconectado.

Você também pode configurar se deseja criar eventos de relatório do WSUS na página Fonte de Sincronização do assistente ou na guia Configurações de Sincronização em Propriedades do Componente do Ponto de Atualização de Software. Configuration Manager não usa esses eventos; portanto, você normalmente escolherá a configuração padrão Não crie eventos de relatório WSUS.

Programação de sincronização

Configure o agendamento de sincronização na página Agendamento de Sincronização do assistente ou nas Propriedades do Componente do Ponto de Atualização de Software. Essa configuração é configurada apenas no ponto de atualização de software no site de nível superior.

Se você habilitar a agenda, poderá configurar um agendamento de sincronização simples ou personalizado recorrente. Quando você configura uma agenda simples, a hora de início é baseada na hora local do computador que executa o console Configuration Manager no momento em que você cria a agenda. Quando você configura a hora de início de uma agenda personalizada, ela se baseia na hora local do computador que executa o console Configuration Manager.

Dica

  • Agendar a sincronização de atualizações de software a ser executada usando um período de tempo apropriado para seu ambiente. Um cenário típico é definir o agendamento de sincronização de atualizações de software para ser executado logo após o Microsoft versão de atualização de segurança regular na segunda terça-feira de cada mês, que é comumente conhecida como Patch Tuesday. Outro cenário típico é definir o agendamento de sincronização de atualizações de software para ser executado diariamente quando você usa atualizações de software para fornecer a definição de Proteção de Ponto de Extremidade e atualizações do mecanismo.
  • Quando você optar por não habilitar a sincronização de atualizações de software em um agendamento, você pode sincronizar manualmente as atualizações de software do nó All Software Atualizações ou Grupos de Atualização de Software no workspace da Biblioteca de Software. Para obter mais informações, confira sincronizar atualizações de software.

Regras de substituição

Configure as configurações de supersedência na página Regras de Supersedência do assistente ou na guia Regras de Supersedência nas Propriedades do Componente do Ponto de Atualização de Software. Você pode configurar as regras de supersedência apenas no site de nível superior. Você também pode especificar o comportamento de regras de supersedência para atualizações de recursos separadamente de atualizações não-recurso.

Observação

A página Regras de Supersedência do assistente só está disponível quando você configura o primeiro ponto de atualização de software no site. Esta página não é exibida quando você instala pontos adicionais de atualização de software.

Nesta página, você pode especificar quando as atualizações de software substituídas expirarem em Configuration Manager, o que as impede de serem incluídas em novas implantações e sinaliza as implantações existentes para indicar que as atualizações de software substituídas contêm uma ou mais atualizações de software expiradas. Você pode especificar um período de tempo antes que as atualizações de software substituídas sejam expiradas, o que permite que você continue a implantá-las. Para obter mais informações, consulte Regras de supersedência.

A configuração padrão é aguardar três meses antes de expirar uma atualização substituída. O padrão de três meses é dar-lhe tempo para verificar se a atualização não é mais necessária por nenhum dos computadores cliente. É recomendável que você não assuma que as atualizações substituídas devem ter expirado imediatamente em favor da nova atualização substituída. Você pode exibir uma lista das atualizações de software que substituem a atualização de software na guia Informações de Supersedência nas propriedades de atualização de software.

Manutenção do WSUS

Configuration Manager pode executar automaticamente as tarefas de manutenção WSUS mais comuns para você. Para obter mais informações sobre essas tarefas, consulte Manutenção de atualizações de software.

Tempo máximo de execução

Você pode especificar o tempo máximo que uma instalação de atualização de software precisa ser concluída. Você pode especificar o tempo máximo de execução para o seguinte:

  • Tempo máximo de execução para atualizações de recursos do Windows (minutos)

    • Atualizações de recursos – Uma atualização que está em uma dessas três classificações:
      • Upgrades
      • Pacotes cumulativos de atualizações
      • Service packs
  • Tempo máximo de execução para atualizações de Office 365 e atualizações não de recursos para Windows (minutos)

    • Atualizações sem recursos – Uma atualização que não é uma atualização de recurso e cujo produto está listado como um dos seguintes:
      • Windows 11
      • Windows 10 (todas as versões)
      • Windows Server 2012 R2
      • Windows Server 2016
      • Windows Server 2019
      • Office 365
  • Tempo máximo de execução para todas as outras atualizações de software fora dessas categorias, como atualizações de terceiros (minutos): o tempo de execução máximo padrão dessas atualizações varia dependendo de quando a atualização foi sincronizada pela primeira vez no ambiente e na versão Configuration Manager. Use o carrinho abaixo para determinar o valor máximo do runtime para estas atualizações:

    2203 ou posterior 2103, 2107 ou 2111 2010
    O tempo máximo de execução para todas as outras atualizações de software é personalizável. O padrão é 60 minutos. 60 minutos 10 minutos

    Importante

    • Essa configuração altera apenas o tempo de execução máximo para novas atualizações sincronizadas pelo SUP. Ele não altera o tempo de execução em atualizações existentes sincronizadas antes da modificação do tempo de execução. Por exemplo, se Update 1 foi sincronizado pela primeira vez em um ambiente 2111, o tempo máximo de execução será de 60 minutos. Em seguida, você atualiza o ambiente para a versão 2203 e define o tempo máximo de execução como 30 minutos. Update 1 mantém o tempo de execução de 60 minutos. No entanto, quando uma nova atualização, Update 2, sincroniza, ela recebe o novo tempo de execução de 30 minutos.
    • Se você precisar alterar o tempo máximo de execução de uma atualização manualmente, poderá configurar as configurações de atualização de software para ela.

Classificações

Configure as configurações de classificações na página Classificações do assistente ou na guia Classificações em Propriedades do Componente do Ponto de Atualização de Software. Para obter mais informações sobre classificações de atualização de software, consulte Classificações de atualização.

Dica

  • A página Classificações do assistente só está disponível quando você configura o primeiro ponto de atualização de software no site. Esta página não é exibida quando você instala pontos adicionais de atualização de software.
  • Ao instalar pela primeira vez o ponto de atualização de software no site de nível superior, desmarque todas as classificações de atualizações de software. Depois que o software inicial atualizar a sincronização, configure as classificações de uma lista atualizada e reinicie a sincronização. Essa configuração é configurada apenas no ponto de atualização de software no site de nível superior.

Produtos

Configure as configurações do produto na página Produtos do assistente ou na guia Produtos nas Propriedades do Componente do Ponto de Atualização de Software.

Dica

  • A página Produtos do assistente só está disponível quando você configura o primeiro ponto de atualização de software no site. Esta página não é exibida quando você instala pontos adicionais de atualização de software.
  • Ao instalar pela primeira vez o ponto de atualização de software no site de nível superior, desmarque todos os produtos. Depois que o software inicial atualizar a sincronização, configure os produtos de uma lista atualizada e inicie novamente a sincronização. Essa configuração é configurada apenas no ponto de atualização de software no site de nível superior.

Idiomas

Configure as configurações de idioma na página Idiomas do assistente ou na guia Idiomas nas Propriedades do Componente do Ponto de Atualização de Software. Especifique os idiomas para os quais você deseja sincronizar arquivos de atualização de software e detalhes de resumo. A configuração arquivo de atualização de software é configurada em cada ponto de atualização de software na hierarquia Configuration Manager. As configurações de Detalhes de Resumo são configuradas apenas no ponto de atualização de software de nível superior. Para obter mais informações, consulte Idiomas.

Observação

A página Idiomas do assistente só está disponível quando você instala o ponto de atualização de software no site de administração central. Você pode configurar os idiomas de Arquivo de Atualização de Software em sites filho na guia Idiomas em Propriedades do Componente do Ponto de Atualização de Software.

Atualizações de terceiros

Você pode habilitar atualizações de terceiros para clientes Configuration Manager. Quando você Habilitar atualizações de software de terceiros nas propriedades do componente SUP, o SUP baixará o certificado de assinatura usado pelo WSUS para atualizações de terceiros. Essa opção não está disponível durante a instalação do ponto de atualização de software e deve ser configurada após a instalação do SUP. Para habilitar as configurações do cliente para atualizações de terceiros, consulte o artigo Sobre as configurações do cliente .

Próximas etapas

Você instalou o ponto de atualização de software começando no site mais alto da hierarquia Configuration Manager. Repita os procedimentos neste artigo para instalar o ponto de atualização de software em sites filho.

Depois de instalar os pontos de atualização de software, vá para sincronizar as atualizações de software.