Preparar a implementação do Windows

Depois de ter trabalhado nas atividades na fase de planeamento, deve estar numa boa posição para preparar o seu ambiente e processo para implementar o cliente Windows. A fase de planeamento deixou-o com estes itens úteis:

Agora, está pronto para começar a fazer alterações no seu ambiente para se preparar para a implementação.

Preparar a infraestrutura e o ambiente

  • Implementar atualizações do servidor do site para o Configuration Manager.
  • Atualize ferramentas de segurança não Microsoft, como agentes de segurança ou servidores.
  • Atualize ferramentas de gestão que não sejam da Microsoft, como agentes de prevenção de perda de dados.

Provavelmente, a sua infraestrutura inclui vários componentes e ferramentas diferentes. Tem de garantir que o seu ambiente não é afetado por problemas devido às alterações que efetua às várias partes da infraestrutura. Siga estas etapas:

  1. Reveja todas as alterações de infraestrutura que identificou no seu plano. É importante compreender as alterações que têm de ser efetuadas e detalhar como implementá-las. Este processo evita problemas mais tarde.

  2. Valide as alterações. Valida as alterações dos componentes e ferramentas da sua infraestrutura para o ajudar a compreender como as alterações podem afetar o seu ambiente de produção.

  3. Implemente as alterações. Depois de validadas as alterações, pode implementar as alterações na infraestrutura mais ampla.

Também deve analisar a configuração do ambiente da sua organização e descrever como irá implementar as alterações necessárias identificadas anteriormente na fase do plano para suportar a atualização. Considere o que precisa de fazer para as várias definições e políticas que atualmente sustentam o ambiente. Por exemplo:

  • Implementar novas orientações de segurança de rascunho. As novas versões do Windows podem incluir novas funcionalidades que melhoram a segurança do seu ambiente. As suas equipas de segurança vão querer fazer as alterações adequadas às configurações relacionadas com a segurança.

  • Atualizar linhas de base de segurança. As equipas de segurança compreendem as linhas de base de segurança relevantes e terão de trabalhar para garantir que todas as linhas de base se enquadram em qualquer orientação que tenham de seguir.

No entanto, a configuração será composta por muitas definições e políticas diferentes. É importante aplicar apenas as alterações sempre que forem necessárias e onde obter uma melhoria clara. Caso contrário, o seu ambiente poderá enfrentar problemas que atrasam o processo de atualização. Quer garantir que o seu ambiente não é afetado negativamente devido às alterações efetuadas. Por exemplo:

  1. Reveja as novas definições de segurança. A sua equipa de segurança revê as novas definições de segurança para compreender como podem ser definidas melhor para facilitar a atualização e para investigar também os potenciais efeitos que podem ter no seu ambiente.

  2. Reveja as linhas de base de segurança para ver se há alterações. As equipas de segurança também analisam todas as linhas de base de segurança necessárias, para garantir que as alterações podem ser implementadas e garantir que o seu ambiente permanece em conformidade.

  3. Implemente e valide as definições de segurança e as alterações da linha de base. Em seguida, as suas equipas de segurança implementarão todas as definições e linhas de base de segurança, tendo resolvido eventuais problemas pendentes.

Preparar aplicações e dispositivos

Decidiu anteriormente quais os métodos de validação que pretende utilizar para validar as aplicações na próxima fase de implementação piloto. Agora é uma boa altura para garantir que os dispositivos individuais estão prontos e que conseguem instalar a próxima atualização sem dificuldades.

Certifique-se de que as atualizações estão disponíveis

Ative os serviços de atualização nos dispositivos. Certifique-se de que todos os dispositivos estão a executar todos os serviços em que o Windows Update depende. Por vezes, os utilizadores ou até mesmo software maligno podem desativar os serviços de que o Windows Update necessita para funcionar corretamente. Certifique-se de que os seguintes serviços estão em execução:

  • Serviço de Transferência Inteligente em Segundo Plano
  • Serviço de Infraestrutura de Tarefas em Segundo Plano
  • BranchCache (se utilizar esta funcionalidade para a implementação de atualizações)
  • Agente de Sequência de Tarefas do ConfigMgr (se utilizar o Configuration Manager para implementar atualizações)
  • Serviços Criptográficos
  • Iniciador de Processos do Servidor DCOM
  • Instalação do Dispositivo
  • Otimização de Entrega
  • Gestor de Configuração de Dispositivos
  • Gestor de Licenças
  • Assistente de Início de Sessão da Conta Microsoft
  • Fornecedor de Cópia Sombra de Software Microsoft
  • Chamada de Procedimento Remoto (RPC)
  • Localizador de Chamada de Procedimento Remoto (RPC)
  • Mapeador de Pontos Finais RPC
  • Service Control Manager
  • Agendador de Tarefas
  • Token Broker
  • Atualizar o Serviço orchestrator
  • Serviço de cópia de sombra de volume
  • Serviço de Atualização Automática do Windows
  • Backup do Windows
  • Windows Defender Firewall
  • Instrumentação de Gerenciamento do Windows
  • Serviço de Gestão do Windows
  • Instalador de Módulos do Windows
  • Notificação Push do Windows
  • Serviço de Segurança do Windows
  • Serviço Horário do Windows
  • Windows Update
  • Serviço Médico do Windows Update

Pode verificar estes serviços manualmente com Services.msc ou com scripts do PowerShell ou outros métodos.

Configuração de rede

Certifique-se de que os dispositivos possam alcançar os pontos de extremidade necessários do Windows Update através do firewall. Por exemplo, para o Windows 10, versão 2004, os seguintes protocolos devem ser capazes de alcançar estes respectivos pontos de extremidade:

Protocolo URL do ponto de extremidade
TLS 1.2 *.prod.do.dsp.mp.microsoft.com
HTTP *.dl.delivery.mp.microsoft.com
HTTP *.windowsupdate.com
HTTPS *.delivery.mp.microsoft.com
TLS 1.2 *.update.microsoft.com
TLS 1.2 tsfe.trafficshaping.dsp.mp.microsoft.com

Observação

Certifique-se de não usar HTTPS para aqueles pontos de extremidade que especificam HTTP, e vice-versa. A conexão irá falhar.

Os pontos finais específicos podem variar entre versões do Windows. Veja, por exemplo, Pontos de extremidade de conexão do Windows 10 2004 Enterprise. Artigos semelhantes para outras versões do cliente Windows estão disponíveis no índice de conteúdo próximo.

Otimizar a largura de banda de transferência

Configure a Otimização da Entrega para partilha de rede ponto a ponto ou Cache Ligada da Microsoft.

Resolver dispositivos em mau estado de funcionamento

No decurso do inquérito à população do dispositivo, poderá encontrar dispositivos com problemas sistémicos que possam interferir com a instalação da atualização. Chegou a altura de corrigir esses problemas.

  • Pouco espaço em disco: As atualizações de qualidade requerem um mínimo de 2 GB para instalar com êxito. As atualizações de funcionalidades requerem entre 8 GB e 15 GB, consoante a configuração. No Windows 10, versão 1903 e posterior (e Windows 11), pode utilizar proativamente a funcionalidade de "armazenamento reservado" (para apagar e carregar, reconstruir e novas compilações) para evitar ficar sem espaço em disco. Se encontrar um grupo de dispositivos que não têm espaço em disco suficiente, muitas vezes pode resolver o problema ao limpar ficheiros de registo e pedir aos utilizadores que limpem os dados, se necessário. Um bom ponto de partida é eliminar os seguintes ficheiros:

    • C:\Windows\temp
    • C:\Windows\cbstemp (embora este ficheiro possa ser necessário para investigar falhas de atualização)
    • C:\Windows\WindowsUpdate.log (embora este ficheiro possa ser necessário para investigar falhas de atualização)
    • C:\Windows.Old (estes ficheiros devem ser limpos automaticamente após 10 dias ou podem pedir permissão ao utilizador do dispositivo para limpar mais cedo quando estiverem restritos para espaço em disco)

Também pode criar e executar scripts para efetuar ações de limpeza adicionais em dispositivos, com direitos administrativos ou utilizar as definições da Política de Grupo.

  • Limpe a Cache da Loja Windows ao executar C:\Windows\sytem32\wsreset.exe.

  • Otimize a pasta WinSxS no computador cliente com Dism.exe /online /Cleanup-Image /StartComponentCleanup.

  • Compacte o sistema operativo ao executar Compact.exe /CompactOS:always.

  • Remova as Funcionalidades do Windows a Pedido de que o utilizador não precisa. Para obter mais informações, consulte Funcionalidades a Pedido.

  • Mover Pastas Conhecidas do Windows para o OneDrive. Para obter mais informações, consulte Utilizar a Política de Grupo para controlar as definições de sincronização do OneDrive.

  • Limpe a pasta Distribuição de Software. Experimente implementar estes comandos como um ficheiro batch para executar em dispositivos para repor o estado de transferência do Windows Updates:

    net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver
ren C:\Windows\SoftwareDistribution C:\Windows\SoftwareDistribution.old
net start wuauserv
net start cryptSvc
net start bits
net start msiserver

  • Atualizações de aplicações e controladores: O software de controlador ou aplicação desatualizado pode impedir que os dispositivos sejam atualizados com êxito. Implemente quaisquer atualizações dos fornecedores para quaisquer versões problemáticas de aplicações ou controladores para resolver problemas.

  • Danos: Em circunstâncias raras, um dispositivo com erros de instalação repetidos pode estar danificado de uma forma que impeça o sistema de aplicar uma nova atualização. Poderá ter de reparar a Loja Component-Based a partir de outra origem. Pode corrigir o problema com o Verificador de Ficheiros do Sistema.

Capacidade de preparação

Na fase de plano, determinou as alterações específicas de infraestrutura e configuração que precisavam de ser implementadas para adicionar novas capacidades ao ambiente. Agora, pode avançar para a implementação dessas alterações definidas na fase do plano. Tem de concluir estas tarefas de nível superior para obter essas novas capacidades:

  • Ative as capacidades em todo o ambiente ao implementar as alterações. Por exemplo, implemente atualizações para modelos ADMX relevantes no Active Directory. As novas versões do Windows vêm com novas políticas que utiliza para atualizar modelos ADMX.

  • Valide novas alterações para compreender como afetam o ambiente mais vasto.

  • Remediar eventuais problemas que tenham sido identificados através da validação.

Preparar utilizadores

Muitas vezes, os utilizadores sentem que são forçados a atualizar os seus dispositivos aleatoriamente. Muitas vezes, não compreendem completamente por que motivo é necessária uma atualização e não sabem quando as atualizações seriam aplicadas aos respetivos dispositivos com antecedência. É melhor garantir que as atualizações futuras são comunicadas de forma clara e com um aviso adequado.

Pode utilizar várias medidas para atingir este objetivo, por exemplo:

  • Envie um e-mail de descrição geral sobre a atualização e como será implementada em toda a organização.
  • Envie e-mails personalizados aos utilizadores sobre a atualização com detalhes específicos.
  • Defina um prazo de opt-out para os colaboradores que precisam de permanecer na versão atual por um pouco mais de tempo, devido a uma necessidade empresarial.
  • Forneça a capacidade de atualizar voluntariamente por conveniência dos utilizadores.
  • Informe os utilizadores de uma data de instalação obrigatória quando a atualização será instalada em todos os dispositivos.