Configurar as definições do Windows Update para a Gestão de Atualizações da Automatização do Azure

  • Artigo

A Gestão de Atualizações da Automatização do Azure depende do cliente do Windows Update para transferir e instalar atualizações do Windows. Existem definições específicas que o cliente do Windows Update utiliza quando se liga ao Windows Server Update Services (WSUS) ou ao Windows Update. Muitas destas definições podem ser geridas da seguinte forma:

  • Editor de Políticas de Grupo Local
  • Política de Grupo
  • PowerShell
  • Editar diretamente o Registo

A Gestão de Atualizações respeita muitas das definições especificadas para controlar o cliente do Windows Update. Se utilizar definições para permitir atualizações que não sejam do Windows, a Gestão de Atualizações também irá gerir essas atualizações. Se quiser ativar a transferência de atualizações antes de ocorrer a implementação de uma atualização, a implementação pode ser mais rápida, mais eficiente e terá menos probabilidade de exceder a janela de manutenção.

Para obter outras recomendações sobre como configurar o WSUS em sua assinatura do Azure e manter suas máquinas virtuais do Windows atualizadas com segurança, consulte Planejar sua implantação para atualizar máquinas virtuais do Windows no Azure usando o WSUS.

Atualizações pré-download

Para configurar o download automático de atualizações sem instalá-las automaticamente, você pode usar a Diretiva de Grupo para definir a configuração de Atualizações Automáticas. Há dois valores recomendados dependendo da versão do sistema operacional:

  • Windows Server 2016 e posterior, definido como um valor de 7.
  • Windows Server 2012 R2 e anteriores, definido como um valor de 3.

Essa configuração permite downloads das atualizações necessárias em segundo plano e notifica que as atualizações estão prontas para serem instaladas. Dessa forma, o Gerenciamento de Atualizações permanece no controle das agendas, mas permite o download de atualizações fora da janela de manutenção do Gerenciamento de Atualizações. Saiba mais. Esse comportamento evita Maintenance window exceeded erros no Gerenciamento de Atualizações.

Você pode habilitar essa configuração no PowerShell:

$WUSettings = (New-Object -com "Microsoft.Update.AutoUpdate").Settings
$WUSettings.NotificationLevel = <3 or 7>
$WUSettings.Save()

Definir configurações de reinicialização

As chaves do Registro listadas em Configurando Atualizações Automáticas editando as chaves do Registro e do Registro usadas para gerenciar a reinicialização podem fazer com que suas máquinas sejam reinicializadas, mesmo que você especifique Nunca Reinicializar nas configurações de Implantação de Atualização. Configure essas chaves do Registro para melhor se adequar ao seu ambiente.

Habilitar atualizações para outros produtos da Microsoft

Por padrão, o cliente do Windows Update está configurado para fornecer atualizações somente para o Windows. Se você habilitar a configuração Fornecer-me atualizações para outros produtos da Microsoft quando eu atualizar o Windows, também receberá atualizações para outros produtos, incluindo patches de segurança para o Microsoft SQL Server e outros softwares da Microsoft. Você pode configurar essa opção se tiver baixado e copiado os arquivos de modelo administrativo mais recentes disponíveis para o Windows 2016 e posterior.

Se você tiver máquinas executando o Windows Server 2012 R2, não poderá definir essa configuração por meio da Diretiva de Grupo. Execute o seguinte comando do PowerShell nestas máquinas:

$ServiceManager = (New-Object -com "Microsoft.Update.ServiceManager")
$ServiceManager.Services
$ServiceID = "7971f918-a847-4430-9279-4a52d1efe18d"
$ServiceManager.AddService2($ServiceId,7,"")

Fazer definições de configuração do WSUS

A Gestão de Atualizações suporta as definições do WSUS. Saiba mais. Você pode especificar fontes para verificar e baixar atualizações usando as instruções em Especificar local do serviço Microsoft Update na intranet. Por padrão, o cliente do Windows Update está configurado para baixar atualizações do Windows Update. Quando especifica um servidor WSUS como origem para as suas máquinas, se as atualizações não forem aprovadas no WSUS, a implementação da atualização falhará.

Para restringir as máquinas ao serviço de atualização interno, defina Não se conectar a nenhum local da Internet do Windows Update.

Próximos passos

Agende uma implantação de atualização seguindo as instruções em Gerenciar atualizações e patches para suas VMs.