Partilhar via


Plano para atualizações de software no Gestor de Configuração

Aplica-se a: Configuration Manager (ramo atual)

Antes de utilizar atualizações de software num ambiente de produção do Gestor de Configuração, é importante que passe pelo processo de planeamento. Ter um bom plano para a infraestrutura de ponto de atualização de software é fundamental para uma implementação bem sucedida de atualizações de software. Para obter informações sobre o planeamento da capacidade para atualizações de software, consulte números de tamanho e escala.

Determine a infraestrutura de ponto de atualização de software

Esta secção inclui os seguintes subtópicos:

O site da administração central e todos os sites primários para crianças devem ter um ponto de atualização de software. Ao planear a infraestrutura de ponto de atualização de software, determine as seguintes dependências:

  • Onde instalar o ponto de atualização do software para o site
  • Quais sites requerem um ponto de atualização de software que aceita a comunicação de clientes baseados na Internet
  • Se precisa de um ponto de atualização de software em sites secundários

Importante

Para obter mais informações sobre as dependências internas e externas necessárias para atualizações de software, consulte Pré-requisitos para atualizações de software.

Adicione vários pontos de atualização de software num site primário do Gestor de Configuração para fornecer tolerância a falhas. O design de failover do ponto de atualização do software é diferente do modelo de aleatoriedade puro que é usado no design para pontos de gestão. Ao contrário do que existe no design de pontos de gestão, existem custos de desempenho do cliente e da rede no design do ponto de atualização de software quando os clientes mudam para um novo ponto de atualização de software. Quando o cliente muda para um novo servidor WSUS para analisar a existência de atualizações de software, o resultado é um aumento do tamanho do catálogo e exigências associadas do lado do cliente e a nível do desempenho da rede. Portanto, o cliente preserva a afinidade com o último ponto de atualização de software a partir do qual digitalizou com sucesso.

O primeiro ponto de atualização de software que instalar num site principal é a origem de sincronização para todos os pontos de atualização de software adicionais que adicionar no site primário. Depois de adicionar pontos de atualização de software e iniciar a sincronização, veja o estado dos pontos de atualização do software e a fonte de sincronização do nó de Estado de Sincronização de Pontos de Atualização de Software no espaço de trabalho de Monitorização.

Quando há uma falha no ponto de atualização do software configurado como fonte de sincronização do site, remova manualmente a função falhada. Em seguida, selecione um novo ponto de atualização de software para usar como fonte de sincronização. Para obter mais informações, consulte Remover uma função do sistema do site.

Lista de pontos de atualização de software

O Gestor de Configuração fornece ao cliente uma lista de pontos de atualização de software nos seguintes cenários:

  • Um novo cliente recebe a política para ativar atualizações de software

  • Um cliente não pode entrar em contato com o ponto de atualização de software atribuído e precisa mudar para outro

O cliente seleciona aleatoriamente um ponto de atualização de software da lista. Dá prioridade aos pontos de atualização de software na mesma floresta. O Gestor de Configuração fornece aos clientes uma lista diferente, dependendo do tipo de cliente:

  • Clientes baseados em intranet : Receba uma lista de pontos de atualização de software que pode configurar para permitir ligações apenas a partir da intranet, ou uma lista de pontos de atualização de software que permitem ligações de clientes de internet e intranet.

  • Clientes baseados na Internet: Receba uma lista de pontos de atualização de software que configura para permitir ligações apenas a partir da internet, ou uma lista de pontos de atualização de software que permitem ligações de clientes de internet e intranet.

Comutação de ponto de atualização de software

Nota

Os clientes usam grupos de fronteira para encontrar um novo ponto de atualização de software. Se o seu atual ponto de atualização de software já não estiver acessível, eles também usam grupos de fronteira para recuar e encontrar um novo. Adicione pontos de atualização de software individuais a diferentes grupos de fronteira para controlar quais servidores um cliente pode encontrar. Para obter mais informações, consulte os pontos de atualização do Software.

Se tiver vários pontos de atualização de software num site, e um falhar ou ficar indisponível, os clientes ligar-se-ão a um ponto de atualização de software diferente. Com este novo servidor, os clientes continuam a pesquisar as mais recentes atualizações de software. Quando um cliente é atribuído pela primeira vez a um ponto de atualização de software, permanece atribuído a esse ponto de atualização de software, a menos que não verifique.

A análise da existência de atualizações de software pode falhar com uma série de diferentes códigos de erro de repetições e não repetições. Quando a análise falha com um código de erro de repetição, o cliente inicia um processo de repetição para procurar as atualizações de software no ponto de atualização de software. As condições de alto nível que resultam num código de erro de repetição são normalmente causadas porque o servidor WSUS está indisponível ou porque está temporariamente sobrecarregado. Quando o cliente não procura atualizações de software, utiliza o seguinte processo:

  1. O cliente procura atualizações de software:

    • Na hora prevista
    • Quando é executado manualmente a partir do painel de controlo do cliente
    • Quando é executado manualmente a partir da consola Do Gestor de Configuração através de uma ação de notificação do cliente
    • Quando é executado a partir de um método SDK do Gestor de Configuração
  2. Se a tomografia falhar, o cliente espera 30 minutos para voltar a tentar a tomografia. Usa o mesmo ponto de atualização de software.

  3. O cliente retrição um mínimo de quatro vezes a cada 30 minutos. Após a quarta falha, e depois de esperar mais dois minutos, o cliente passa para o próximo ponto de atualização de software na sua lista.

  4. O cliente repete este processo com o novo ponto de atualização de software. Após uma verificação bem sucedida, o cliente continua a ligar-se ao novo ponto de atualização de software.

A lista a seguir fornece informações adicionais a considerar para os cenários de retenção e comutação do ponto de atualização do software:

  • Se um cliente estiver desligado da intranet e não procurar atualizações de software, não muda para outro ponto de atualização de software. Esta falha é esperada, porque o cliente não consegue chegar à rede interna ou a um ponto de atualização de software que permite ligações a partir da intranet. O cliente Do Gestor de Configuração determina a disponibilidade do ponto de atualização do software intranet.

  • Se estiver a gerir clientes na internet e tiver configurado vários pontos de atualização de software para aceitar a comunicação dos clientes na internet, o processo de comutação segue o processo de relembramento padrão anteriormente descrito.

  • Se o processo de digitalização começar, mas o cliente for desligado antes do exame terminar, não é considerado uma falha de digitalização e não conta como uma das quatro recauchutagens.

Quando o Gestor de Configuração recebe qualquer um dos seguintes códigos de erro de Windows de atualização do Agente, o cliente retira a ligação:

2149842970, 2147954429, 2149859352, 2149859362, 2149859338, 2149859344, 2147954430, 2147747475, 2149842974, 2149859342, 2149859372, 2149859341, 2149904388, 2149859371, 2149859367, 2149859366, 2149859364, 2149859363, 2149859361, 2149859360, 2149859359, 2149859358, 2149859357, 2149859356, 2149859354, 2149859353, 2149859350, 2149859349, 2149859340, 2149859339, 2149859332, 2149859333, 2149859334, 2149859337, 2149859336, 2149859335

To look up the meaning of an error code, convert the decimal error code to hexadecimal, and then search for the hexadecimal value on a site such as the Windows Update Agent - Error Codes Wiki.‭ For example, the decimal error code 2149842970 is hexadecimal 8024001A‬, which means WU_E_POLICY_NOT_SET A policy value was not set.

Mude manualmente os clientes para um novo ponto de atualização de software

Altere os clientes do Gestor de Configuração para um novo ponto de atualização de software quando há problemas com o ponto de atualização do software ativo. Esta alteração só acontece quando um cliente recebe vários pontos de atualização de software a partir de um ponto de gestão.

Importante

Quando troca de dispositivos para utilizar um novo servidor, os dispositivos utilizam o retorno para encontrar o novo servidor. Os clientes mudam para o novo ponto de atualização de software durante o seu próximo ciclo de verificação de atualizações de software.

Antes de iniciar esta alteração, reveja as configurações do grupo de limites para se certificar de que os pontos de atualização do seu software estão nos grupos de fronteira corretos. Para obter mais informações, consulte os pontos de atualização do Software.

Mudar para um novo ponto de atualização de software gera tráfego adicional de rede. A quantidade de tráfego depende das definições de configuração da WSUS, por exemplo, das classificações e produtos sincronizados ou da utilização de uma base de dados WSUS partilhada. Se pretender trocar vários dispositivos, considere fazê-lo durante as janelas de manutenção. Este tempo reduz o impacto na sua rede quando os clientes digitalizam com o novo ponto de atualização de software.

Processo para mudar pontos de atualização de software

Inicie esta alteração numa coleção de dispositivos. Uma vez acionados, os clientes procuram outro ponto de atualização de software na próxima digitalização.

  1. Na consola 'Gestor de Configuração', vá ao espaço de trabalho Ativos e Conformidade e selecione o nó de Recolhas de Dispositivos.

  2. Selecione a coleção de alvos. No separador 'Casa' da fita, no grupo Coleção, clique em 'Notificação do Cliente' e, em seguida, clique em Switch para o próximo Ponto de Atualização de Software.

Pontos de atualização de software numa floresta não fidedigna

Crie um ou mais pontos de atualização de software num site para apoiar os clientes numa floresta não fidedqui nem fidedatura. Para adicionar um ponto de atualização de software em outra floresta, instale e configuure primeiro um servidor WSUS nessa floresta. Em seguida, inicie o assistente para adicionar um servidor de site do Gestor de Configuração com a função do sistema de site de atualização de ponto de atualização do software. No assistente, configure as seguintes definições para ligar com êxito ao WSUS na floresta não fidedigna:

  • Especifique uma conta de Instalação do Sistema de Sítio que possa aceder ao servidor WSUS na floresta não fidedíssquica.

  • Especifique uma conta de ligação ao servidor WSUS para ligar ao servidor WSUS.

Por exemplo, dispõe de um site principal na floresta A com pontos de atualização de software (SUP01 e SUP02). Para o mesmo site primário, você também tem dois pontos de atualização de software (SUP03 e SUP04) na floresta B. Ao mudar para o próximo ponto de atualização de software, os clientes priorizam os servidores a partir da mesma floresta.

Utilize um servidor WSUS existente como fonte de sincronização no site de nível superior

Normalmente, o site de nível superior na sua hierarquia está configurado para sincronizar metadados de atualizações de software com o Microsoft Update. Quando a sua política de segurança organizacional não permite que o site de nível superior aceda à internet, configuure a fonte de sincronização para que o site de nível superior utilize um servidor WSUS existente. Este servidor WSUS não está na hierarquia do Gestor de Configuração. Por exemplo, tem um servidor WSUS numa rede ligada à Internet (DMZ), mas o seu site de nível superior está numa rede interna sem acesso à Internet. Configure o servidor WSUS no DMZ como fonte de sincronização para atualizações de metadados de software. Configure o servidor WSUS no DMZ para sincronizar atualizações de software com os mesmos critérios que precisa no Gestor de Configuração. Caso contrário, o site de nível superior poderá não sincronizar as atualizações de software que espera. Quando instalar o ponto de atualização do software, configuure uma conta de ligação ao servidor WSUS. Esta conta precisa de acesso ao servidor WSUS na DMZ. Confirme também que a firewall permite o tráfego para as portas apropriadas. Para obter mais informações, consulte as portas utilizadas pela atualização do software para a fonte de sincronização.

Ponto de atualização de software em um site secundário

O ponto de atualização de software é opcional num site secundário. Instale apenas um ponto de atualização de software num site secundário. Quando um ponto de atualização de software não é instalado no site secundário, os dispositivos dentro dos limites de um site secundário usam um ponto de atualização de software no seu site primário designado. Normalmente, instala-se um ponto de atualização de software num site secundário quando há uma largura de banda de rede limitada entre os dispositivos no site secundário e os pontos de atualização do software no local principal dos pais. Também pode utilizar esta configuração quando o ponto de atualização do software no local principal se aproximar do limite de capacidade. Depois de instalar e configurar com sucesso um ponto de atualização de software no site secundário, uma política em todo o site é atualizada para os clientes, e eles começam a usar o novo ponto de atualização de software.

Plano para clientes baseados na Internet

Quando precisar de gerir dispositivos que circulam fora da sua rede para a internet, desenvolva um plano para gerir atualizações de software nestes dispositivos. O Gestor de Configuração suporta várias tecnologias para este cenário. Use uma ou uma combinação como necessário para satisfazer os requisitos da sua organização.

Gateway de gestão da cloud

Crie uma porta de entrada de gestão de nuvem em Microsoft Azure e permita pelo menos um ponto de atualização de software no local para permitir o tráfego de clientes baseados na Internet. À medida que os clientes circulam pela internet, continuam a pesquisar contra os seus pontos de atualização de software. Todos os clientes baseados na Internet obtêm sempre conteúdo do serviço de cloud microsoft Update.

Para obter mais informações, consulte a visão geral dos grupos de porta de entrada de gestão de nuvens e de configuração.

Gestão de clientes baseada na Internet

Coloque um ponto de atualização de software numa rede virada para a Internet e permita-lhe permitir o tráfego de clientes baseados na Internet. À medida que os clientes vagueiam pela internet, mudam para este ponto de atualização de software para digitalização. Todos os clientes baseados na Internet obtêm sempre conteúdo do serviço de cloud microsoft Update.

Para obter mais informações sobre as vantagens e desvantagens da gestão de clientes baseados na Internet, consulte Gerir os clientes na internet.

Windows Update para Empresas

Windows A atualização para negócios permite manter Windows 10 dispositivos sempre atualizados com as mais recentes atualizações de qualidade e funcionalidade. Estes dispositivos ligam-se diretamente ao serviço de cloud Windows Update. O Gestor de Configuração pode diferenciar entre computadores Windows 10 que utilizam WUfB e WSUS para obter atualizações de software.

Para mais informações, consulte Integração com Windows Atualização para Negócios.

Plan software update content

Os clientes precisam de descarregar os ficheiros de conteúdo para atualizações de software para os instalar. O Gestor de Configuração fornece várias tecnologias para apoiar a gestão e entrega deste conteúdo. Ou configurar implementações de atualização de software para permitir ou exigir que os clientes obtenham conteúdo diretamente a partir do serviço de cloud microsoft Update.

Descarregar e distribuir conteúdo

Por predefinição, o processo de gestão da atualização de software no Gestor de Configuração utiliza as funcionalidades de gestão de conteúdos incorporados. Estas funcionalidades incluem a biblioteca centralizada de conteúdo de loja de instância única e o design distribuído da função do sistema do site de pontos de distribuição. Utiliza estas funcionalidades quando descarrega e distribui pacotes de implementação de atualização de software.

Para obter mais informações, consulte as atualizações de software de Descarregamento.

Gerir ficheiros de instalação expresso para Windows 10

O Gestor de Configuração suporta a utilização de ficheiros de instalação expresso para atualizações Windows 10. Os ficheiros de atualização expresso e tecnologias de suporte como a Otimização de Entrega podem ajudar a reduzir o impacto na rede de grandes ficheiros de conteúdo a descarregar para os clientes.

Para obter mais informações, consulte a otimização Windows 10 a entrega de atualização.

Os clientes descarregam conteúdo a partir da internet

Quando implementar atualizações de software para os clientes, configuure a implementação para os clientes descarregarem conteúdo a partir do serviço de cloud microsoft Update. Quando os clientes não conseguem descarregar conteúdo de outra fonte de conteúdo, ainda podem descarregar o conteúdo a partir da internet.

Não é preciso criar um pacote de implementação ao implementar atualizações de software. Quando seleciona a opção pacote De implementação, os clientes ainda podem descarregar conteúdo de fontes locais se estiverem disponíveis, mas normalmente descarreguar a partir do serviço Microsoft Update.

Os clientes baseados na Internet descarregam sempre os conteúdos do serviço de cloud microsoft Update. Não distribua pacotes de implementação de atualização de software para um gateway de gestão de nuvem ativado por conteúdos (CMG).

Plano para atualizações de terceiros

O Gestor de Configuração integra-se com o WSUS, que suporta de forma nativa atualizações de software publicadas pela Microsoft. A maioria dos clientes usa outras aplicações de terceiros que também precisam de atualizações. Existem várias opções a considerar para manter as aplicações de terceiros atualizadas.

Supersede aplicações para atualizar

Utilize uma relação de supersedência com a funcionalidade de gestão de aplicações no Gestor de Configuração para atualizar ou substituir as aplicações existentes. Quando substituir uma aplicação, especifique um novo tipo de implementação para substituir o tipo de implantação da aplicação substituida. Decida também se deve atualizar ou desinstalar a aplicação em substituição antes da instalação da aplicação de substituição.

Para obter mais informações, consulte revise e substituir as aplicações.

Atualizações de software de terceiros

Pode utilizar o nó de Catálogos de Atualização de Software de Terceiros na consola Do Gestor de Configuração para subscrever catálogos de terceiros, publicar as suas atualizações no ponto de atualização do software e, em seguida, implantá-los para os clientes.

Para obter mais informações, consulte atualizações de software de terceiros.

System Center Updates Publisher

System Center Atualizações Publisher (SCUP) é uma ferramenta autónoma que permite que fornecedores de software independentes ou desenvolvedores de aplicações de linha de negócios gerem atualizações personalizadas. Estas atualizações incluem aquelas com dependências, como motoristas e pacotes de atualizações. O SCUP também pode ser utilizado para catálogos de atualizações de terceiros que não estão disponíveis diretamente na consola.

Para mais informações, consulte Publisher de Atualizações System Center.

Plano para instalação de ponto de atualização de software

Esta secção inclui os seguintes subtópicos:

Esta secção fornece informações sobre os passos a tomar para planear com sucesso e preparar-se para a instalação do ponto de atualização do software. Antes de criar uma função de sistema de site para o ponto de atualização de software no Gestor de Configuração, existem vários requisitos a considerar. Os requisitos específicos dependem da sua infraestrutura de Gestor de Configuração. Quando configura o ponto de atualização do software para comunicar utilizando HTTPS, esta secção é especialmente importante para ser revista. Os servidores ativados pelo HTTPS requerem medidas adicionais para funcionar corretamente.

Requisitos do ponto de atualização de software

Instale a função de ponto de atualização do software num sistema de site que satisfaça os requisitos mínimos para o WSUS e as configurações suportadas para sistemas de site do Gestor de Configuração.

Planear a instalação do WSUS

Instale uma versão suportada do WSUS em todos os servidores do sistema de sites que configura para a função de ponto de atualização do software. Quando não instalar o ponto de atualização do software no servidor do site, instale a Consola de Administração WSUS no servidor do site. Este componente permite que o servidor do site comunique com o WSUS que funciona no ponto de atualização do software.

Quando utilizar o WSUS no Windows Server 2012 ou posterior, configure permissões adicionais para permitir que o componente do Gestor de Configuração WSUS no Gestor de Configuração se conecte ao WSUS. Este componente realiza controlos periódicos de saúde. Escolha uma das seguintes opções para configurar a permissão necessária:

  • Adicionar a conta SYSTEM ao grupo Administradores WSUS

  • Adicione a conta NT AUTHORITY\SYSTEM como utilizador da base de dados WSUS (SUSDB). Configure um mínimo da subscrição da função de base de dados webService.

Para obter mais informações sobre como instalar o WSUS no Windows Server, consulte instalar a Função do Servidor WSUS.

Se instalar mais do que um ponto de atualização de software num site primário, utilize a mesma base de dados do WSUS para cada ponto de atualização de software localizado na mesma floresta do Active Directory. Partilhar a mesma base de dados melhora o desempenho quando os clientes mudam para um novo ponto de atualização de software. Para obter mais informações, consulte uma base de dados WSUS partilhada para obter pontos de atualização de software.

Configurar o caminho do diretório de conteúdos da WSUS

Quando instalar o WSUS, terá de fornecer um caminho de diretório de conteúdos. O diretório de conteúdos WSUS é usado principalmente para armazenar os ficheiros Microsoft Software License Terms necessários pelos clientes durante a digitalização. O Gestor de Configuração O diretório de conteúdos da WSUS não deve sobrepor-se ao seu diretório de fonte de conteúdo para pacotes de implementação de software do Gestor de Configuração. Sobrepor-se ao diretório de conteúdos da WSUS e à fonte de pacote do Gestor de Configuração resultará na remoção de ficheiros incorretos do diretório de conteúdos da WSUS.

Configure a WSUS para usar um website personalizado

Quando instala o WSUS, pode optar por utilizar o Web site predefinido existente do IIS ou criar um Web site personalizado do WSUS. Crie um website personalizado para a WSUS para que o IIS acolhia os serviços WSUS num website virtual dedicado. Caso contrário, partilha o mesmo website que é utilizado pelos outros sistemas ou aplicações do Gestor de Configuração. Esta configuração é especialmente necessária quando instala a função de ponto de atualização do software no servidor do site. Quando executar o WSUS em Windows Server 2012 ou posterior, o WSUS é configurado por defeito para utilizar a porta 8530 para HTTP e a porta 8531 para HTTPS. Especifique estas portas quando criar o ponto de atualização do software num site.

Configurar o WSUS como servidor de réplica

Quando adiciona a função de ponto de atualização do software num servidor de site primário, não pode utilizar um servidor WSUS configurado como uma réplica. Quando o servidor WSUS é configurado como uma réplica, o Gestor de Configuração não consegue configurar o servidor WSUS e a sincronização da WSUS falha. O primeiro ponto de atualização de software que instalar num site primário será o ponto de atualização de software predefinido. Os pontos de atualização de software adicionais no site serão configurados como réplicas do ponto de atualização de software predefinido.

Decidir se pretende configurar o WSUS para utilizar SSL

A utilização do protocolo SSL para ajudar a proteger o ponto de atualização do software é altamente recomendada. O WSUS utiliza SSL para autenticar computadores cliente e servidores WSUS a jusante para o servidor WSUS. O WSUS também utiliza SSL para encriptar os metadados de atualização de software. Quando optar por fixar o WSUS com sSL, prepare o servidor WSUS antes de instalar o ponto de atualização do software.

Quando instalar e configurar o ponto de atualização do software, selecione a opção para Ativar as comunicações SSL para o Servidor WSUS. Caso contrário, o Gestor de Configuração configura a WSUS para não utilizar o SSL. Quando ativar o SSL num ponto de atualização de software, também configura quaisquer pontos de atualização de software em sites infantis para utilizar o SSL. Para obter mais informações, consulte o ponto de atualização de software configurar um ponto de atualização de software para utilizar o TLS/SSL com um tutorial de certificado PKI.

Nota

Para garantir que os melhores protocolos de segurança estão em vigor, recomendamos vivamente que utilize o protocolo TLS/SSL para ajudar a proteger a sua infraestrutura de atualização de software. A partir da atualização cumulativa de setembro de 2020, os servidores WSUS baseados em HTTP estarão seguros por padrão. Um cliente que procure atualizações contra uma WSUS baseada em HTTP deixará de ser autorizado a alavancar um representante do utilizador por padrão. Se ainda necessitar de um representante do utilizador apesar das compensações de segurança, está disponível uma nova definição de cliente de atualizações de software para permitir estas ligações. Para obter mais informações sobre as alterações à varredura da WSUS, consulte as alterações de setembro de 2020 para melhorar a segurança dos dispositivos Windows que estão a digitalizar a WSUS.

Configure firewalls

O ponto de atualização do software num site de administração central do Gestor de Configuração comunica com a WSUS no ponto de atualização do software. A WSUS comunica com a fonte de sincronização para sincronizar os metadados de software. Os pontos de atualização do software num site infantil comunicam com o ponto de atualização do software no site principal. Quando há mais de um ponto de atualização de software num site primário, os pontos de atualização de software adicionais comunicam com o ponto de atualização do software padrão. A função predefinida é o primeiro ponto de atualização de software instalado no site.

Poderá ser necessário configurar a firewall para permitir o tráfego HTTP ou HTTPS que a WSUS utiliza nos seguintes cenários:

  • Entre o ponto de atualização de software e a internet
  • Entre um ponto de atualização de software e a sua fonte de sincronização a montante
  • Entre pontos de atualização de software adicionais

A ligação ao Microsoft Update é sempre configurada para utilizar a porta 80 para HTTP e a porta 443 para HTTPS. Utilize uma porta personalizada para a ligação da WSUS no ponto de atualização do software num site infantil para a WSUS no ponto de atualização do software no site principal. Quando a sua política de segurança não permitir a ligação, utilize o método de sincronização de exportação e importação. Para mais informações, consulte a secção De Sincronização Fonte deste artigo. Para obter mais informações sobre as portas que a WSUS utiliza, consulte como determinar as definições de porta utilizadas pela WSUS no Gestor de Configurações.

Restringir o acesso a domínios específicos

Se a sua organização restringir a comunicação de rede com a internet utilizando um dispositivo de firewall ou proxy, tem de permitir que o ponto de atualização de software ativo aceda aos pontos finais da Internet. Em seguida, wSUS e Atualizações Automáticas podem comunicar com o serviço de nuvem Microsoft Update.

Para mais informações, consulte os requisitos de acesso à Internet.

Planear as definições de sincronização

Esta secção inclui os seguintes subtópicos:

O software atualiza a sincronização no Gestor de Configuração descarrega os metadados de atualizações de software com base em critérios que configura. O site de alto nível da sua hierarquia sincroniza as atualizações de software a partir do Microsoft Update. Tem a opção de configurar o ponto de atualização do software no site de nível superior para sincronizar com um servidor WSUS existente, e não na hierarquia do Gestor de Configuração. Os sites subordinados principais sincronizam os metadados de atualizações de software a partir do ponto de atualização de software no site de administração central. Antes de instalar e configurar um ponto de atualização de software, utilize esta secção para planear as definições de sincronização.

Origem de sincronização

As definições de fonte de sincronização para o ponto de atualização do software especificam a localização para onde o ponto de atualização do software recupera metadados de atualização de software. Também especifica se o processo de sincronização cria eventos de reporte da WSUS.

  • Fonte de sincronização: Por padrão, o ponto de atualização do software no site de nível superior configura a fonte de sincronização para o Microsoft Update. Tem a opção de sincronizar o site de nível superior com um servidor WSUS existente. O ponto de atualização do software num site primário para crianças configura a fonte de sincronização como ponto de atualização do software no site da administração central.

    • O primeiro ponto de atualização de software que instalar num site primário, que é o ponto de atualização de software predefinido, sincroniza com o site de administração central. Os pontos de atualização de software adicionais no site primário sincronizam-se com o ponto de atualização de software predefinido no site primário.

    • Quando um ponto de atualização de software é desligado do Microsoft Update ou do servidor de atualização a montante, configurar a fonte de sincronização para não sincronizar com uma fonte de sincronização configurada. Em vez disso, configuure-a para utilizar a função de exportação e importação da ferramenta WSUSUtil para sincronizar atualizações de software. Para obter mais informações, veja Sincronizar atualizações de software a partir de um ponto de atualização de software desligado.

  • Eventos de reporte da WSUS: O agente de atualização Windows nos computadores clientes pode criar mensagens de evento para relatórios WSUS. Estes eventos não são usados pelo Gestor de Configuração. Assim, a opção, Não criar eventos de reporte WSUS, é selecionada por padrão. Quando estes eventos não são criados, a única altura em que o cliente deve ligar-se ao servidor WSUS é durante a avaliação da atualização do software e as verificações de conformidade. Se estes eventos forem necessários para reportar fora do Gestor de Configuração, modifique esta definição para criar eventos de reporte WSUS.

Importante

Se estiver a partilhar a base de dados WSUS (SUSDB) em vários pontos de atualização de software para o site de nível superior, certifique-se de que cada um desses servidores WSUS cumpre os requisitos de acesso à Internet para atualizações de software. Quando a base de dados é partilhada no site de nível superior, o Gestor de Configurações pode selecionar qualquer um desses servidores WSUS para sincronizar com o Microsoft Update.

Agenda de sincronização

Configure o calendário de sincronização apenas no ponto de atualização do software no site de nível superior na hierarquia do Gestor de Configuração. Quando configura a agenda de sincronização, o ponto de atualização de software sincroniza-se com a origem de sincronização à data e à hora que especificar. O horário personalizado permite sincronizar atualizações de software para otimizar o seu ambiente. Considere as exigências de desempenho do servidor WSUS, servidor de site e rede. Por exemplo, 2:00 da manhã uma vez por semana. Em alternativa, inicie manualmente a sincronização no site de nível superior utilizando a ação de Atualizações de Software de Sincronização a partir dos nós de Todas as Atualizações de Software ou Grupos de Atualização de Software na consola Do Gestor de Configuração.

Dica

Agende a sincronização de atualizações de software para executar utilizando um tempo apropriado para o seu ambiente. Um cenário comum é definir o calendário de sincronização a ser executado pouco depois do lançamento regular da atualização de software da Microsoft na segunda terça-feira de cada mês. Este dia é tipicamente referido como Patch Tuesday. Se utilizar o Gestor de Configuração para fornecer a definição de Endpoint Protection e Windows Defender e atualizações do motor, considere definir o calendário de sincronização para ser executado diariamente.

Após o ponto de atualização do software sincronizar com sucesso, envia um pedido de sincronização para sites infantis. Se tiver pontos de atualização de software adicionais num site primário, envia um pedido de sincronização para cada ponto de atualização de software. Este processo é repetido em todos os locais da hierarquia.

Atualizar classificações

Cada atualização de software é definida com uma classificação de atualização que ajuda a organizar os diferentes tipos de atualizações. Durante o processo de sincronização, o site sincroniza os metadados para as classificações especificadas.

O Gestor de Configuração suporta a sincronização das seguintes classificações de atualização:

  • Atualizações Críticas: Uma atualização amplamente lançada para um problema específico que aborda um erro crítico e não relacionado com a segurança.

  • Atualizações de Definição: Uma atualização para ficheiros de vírus ou outra definição.

  • Pacotes de recursos: Novas funcionalidades do produto que são distribuídas fora de uma versão do produto e são normalmente incluídas no próximo lançamento completo do produto.

  • Atualizações de Segurança: Uma atualização amplamente lançada para um problema específico do produto, relacionado com a segurança.

  • Pacotes de serviço : Um conjunto cumulativo de hotfixes que é aplicado a um SISTEMA ou aplicação. Estes hotfixs incluem atualizações de segurança, atualizações críticas e atualizações de software.

  • Ferramentas: Um utilitário ou funcionalidade que ajuda a completar uma ou mais tarefas.

  • Atualização Rollups: Um conjunto cumulativo de hotfixes que é embalado em conjunto para uma fácil implementação. Estes hotfixs incluem atualizações de segurança, atualizações críticas e atualizações de software. Um rollup de atualizações resolve geralmente uma área específica, tal como segurança ou um componente de produto.

  • Atualizações: Uma atualização para uma aplicação ou ficheiro que está atualmente instalado.

  • Upgrades: Uma atualização de funcionalidades para uma nova versão de Windows 10.

Configure as definições de classificação da atualização apenas no site de nível superior. As definições de classificação da atualização não estão configuradas no ponto de atualização do software em sites infantis, porque o software atualiza metadados é replicado a partir do site de nível superior. Quando selecionar as classificações de atualização, esteja ciente de que quanto mais classificações selecionar, mais tempo demorar a sincronizar os metadados de atualizações de software.

Aviso

Como uma boa prática, limpe todas as classificações antes de sincronizar pela primeira vez. Após a sincronização inicial, selecione as classificações desejadas e, em seguida, repercuta a sincronização.

Produtos

Os metadados de cada atualização de software definem um ou mais produtos para os quais a atualização é aplicável. Um produto é uma edição específica de um SO ou aplicação. Um exemplo de um produto é o Microsoft Windows 10. Uma família de produtos é a base de SO ou aplicação a partir da qual os produtos individuais são derivados. Um exemplo de uma família de produtos é o Microsoft Windows, dos quais Windows 10 e Windows Server 2016 são membros. Selecione uma família de produtos ou produtos individuais dentro de uma família de produtos.

Quando as atualizações de software são aplicáveis a vários produtos, e pelo menos um dos produtos é selecionado para sincronização, todos os produtos aparecem na consola Do Gestor de Configuração, mesmo que alguns produtos não tenham sido selecionados. Por exemplo, selecione apenas o produto Windows Server 2012. Se uma atualização de software se aplicar à Windows Server 2012 e Windows Server 2012 Datacenter Edition, ambos os produtos estão na base de dados do site.

Configure as definições do produto apenas no local de nível superior. As definições do produto não estão configuradas no ponto de atualização do software para sites infantis porque os metadados de atualização de software são replicados a partir do site de nível superior. Quanto mais produtos selecionar, mais tempo demora a sincronizar os metadados do software.

Importante

O Gestor de Configuração armazena uma lista de produtos e famílias de produtos que escolhe quando instala pela primeira vez o ponto de atualização do software. Os produtos e famílias de produtos que são lançados após o lançamento do Configuration Manager podem não estar disponíveis para selecionar até completar a sincronização. O processo de sincronização atualiza a lista de produtos disponíveis e famílias de produtos de onde pode escolher. Limpe todos os produtos antes de sincronizar as atualizações de software pela primeira vez. Após a sincronização inicial, selecione os produtos pretendidos e, em seguida, repercuta a sincronização.

Regras de supersedência

Normalmente, uma atualização de software que substitui outra atualização de software executa uma ou mais das seguintes ações:

  • Melhora ou atualiza a correção que foi fornecida por uma ou mais atualizações publicadas anteriormente.

  • Melhora a eficiência do pacote de ficheiros de atualização substituído, que é instalado nos clientes se a atualização for aprovada para instalação. Por exemplo, a atualização supereducada pode conter ficheiros que já não são relevantes para a correção ou para os sistemas operativos que são suportados pela nova atualização. Esses ficheiros não estão incluídos no pacote de ficheiros de substituição da atualização.

  • Atualiza as versões mais recentes de um produto. Por outras palavras, atualiza versões que já não são aplicáveis a versões ou configurações antigas de um produto. As atualizações também podem substituir outras atualizações se tiverem sido efetuadas modificações para expandir o suporte de idiomas. Por exemplo, uma revisão posterior de uma atualização do produto para Microsoft 365 Apps pode remover o suporte para um SISTEMA mais antigo, mas pode adicionar suporte adicional para novas línguas no lançamento inicial da atualização.

Nas propriedades do ponto de atualização do software, especifique que as atualizações de software substituídos estão imediatamente expiradas. Esta definição impede que sejam incluídas em novas implementações. Também sinaliza as implementações existentes para indicar que contêm uma ou mais atualizações de software expiradas. Ou especifique um período de tempo antes de expirarem as atualizações de software substituídos. Esta ação permite-lhe continuar a implantá-los.

Considere os seguintes cenários em que poderá ser necessário implementar uma atualização de software substituída:

  • Uma atualização de software de substituição suporta apenas versões mais recentes de um SISTEMA. Alguns dos computadores do seu cliente executam versões anteriores do SISTEMA.

  • Uma atualização de software de substituição tem uma aplicabilidade mais restrita do que a atualização de software que substitui. Este comportamento tornaria isto inapropriado para alguns clientes.

  • Se uma atualização de software de substituição não foi aprovada para implantação no seu ambiente de produção.

O Gestor de Configuração pode expirar automaticamente atualizações supersed com base num horário que escolher. Pode especificar o comportamento das regras de supersedência para atualizações de funcionalidades separadamente das atualizações não-funcionalidades. A definição predefinida é esperar 3 meses antes de expirar uma atualização superediou. O padrão de 3 meses é dar-lhe tempo para verificar se a atualização já não é necessária por nenhum dos computadores do seu cliente. Recomenda-se que não assuma que as atualizações superadas devem ser imediatamente expiradas a favor da nova atualização de substituição. Pode visualizar uma lista das atualizações de software que substituem a atualização de software no separador Informações de Substituição nas propriedades de atualização de software.

Idiomas

As definições de idioma para o ponto de atualização do software permitem configurar:

  • Os idiomas para os quais os detalhes do resumo (metadados de atualizações de software) são sincronizados para atualizações de software
  • Os idiomas de ficheiros de atualização de software que são descarregados para atualizações de software

Ficheiro de atualização de software

Configure os idiomas para a definição de ficheiro de atualização de software nas propriedades para o ponto de atualização do software. Esta definição fornece os idiomas predefinidos que estão disponíveis quando descarrega atualizações de software num site. Modifique os idiomas que são selecionados por padrão cada vez que as atualizações do software são descarregadas ou implementadas. Durante o processo de transferência, os ficheiros de atualização de software dos idiomas configurados são transferidos para a localização da origem do pacote de implementação se os ficheiros de atualização de software estiverem disponíveis no idioma selecionado. Em seguida, são copiados para a biblioteca de conteúdos no servidor do site. Depois são distribuídos pelos pontos de distribuição que estão configurados para o pacote.

Configure as definições de idioma de ficheiros de atualização de software com os idiomas mais utilizados no seu ambiente. Por exemplo, os clientes no seu site usam principalmente inglês e japonês para Windows ou aplicações. Existem poucas outras línguas que são usadas no site. Selecione apenas inglês e japonês na coluna De ficheiro de atualização de software quando descarregar ou implementar a atualização do software. Esta ação permite-lhe utilizar as definições predefinitivas na página de Seleção de Idiomas dos assistentes de implementação e descarregamento. Esta ação também impede que ficheiros de atualização não sejam descarregados. Configure esta definição em cada ponto de atualização de software na hierarquia do Gestor de Configuração.

Detalhes de resumo

Durante o processo de sincronização, as informações dos detalhes de resumo (metadados de atualizações de software) são atualizadas para as atualizações de software nos idiomas especificados. Os metadados fornecem informações sobre a atualização do software, por exemplo:

  • Nome
  • Descrição
  • Produtos que a atualização suporta
  • Classificação de atualização
  • ID do artigo
  • Download URL
  • Regras de aplicabilidade

Configure as definições de detalhes de resumo apenas no site de nível superior. Os detalhes do resumo não são configurados no ponto de atualização do software em sites infantis porque o software atualiza metadados é replicado a partir do site da administração central usando a replicação baseada em ficheiros. Ao selecionar os idiomas de detalhes de resumo, selecione apenas os idiomas de que necessita no seu ambiente. Quanto mais idiomas forem selecionados, mais tempo demorará a sincronização dos metadados de atualizações de software. O Gestor de Configuração exibe os metadados de atualização do software no local do SISTEMA em que a consola Do Gestor de Configuração funciona. Se as propriedades localizadas para as atualizações de software não estiverem disponíveis no local deste SISTEMA, o software atualiza as informações em inglês.

Importante

Selecione todos os detalhes de resumo dos idiomas de que necessita. Quando o ponto de atualização do software no site de nível superior sincroniza com a fonte de sincronização, os dados resumidos selecionados determinam os metadados de atualização do software que recupera. Se modificar os dados resumidos após a sincronização ter sido desotado pelo menos uma vez, recupera os metadados de atualização de software para os dados resumidos modificados apenas para atualizações de software novas ou atualizadas. As atualizações de software que já foram sincronizadas não são atualizadas com novos metadados para os idiomas modificados, a menos que haja uma alteração na atualização de software na fonte de sincronização.

Tempo máximo de execução

(Introduzido na versão 1906)

Pode especificar o tempo máximo que uma instalação de atualização de software tem de completar. Pode especificar o tempo máximo de execução para o seguinte:

  • Tempo máximo de funcionação para atualizações de funcionalidades Windows (minutos)

    • Atualizações de funcionalidades - Uma atualização que está numa destas três classificações:
      • Atualizações
      • Update rollups
      • Service packs
  • Tempo máximo de funcionação para atualizações de Office 365 e atualizações não-funcionalidades para Windows (minutos)

    • Atualizações não-funcionalidades - Uma atualização que não é uma atualização de funcionalidades e cujo produto está listado como um dos seguintes:
      • Windows 10 (todas as versões)
      • Windows Server 2012
      • Windows Server 2012 R2
      • Windows Server 2016
      • Windows Server 2019
      • Office 365
  • Todas as outras atualizações fora destas categorias, tais como atualizações de terceiros, recebem um tempo de execução máximo de 10 minutos por defeito. Estas definições apenas alteram o tempo máximo de funcionação para novas atualizações que são sincronizadas a partir do Microsoft Update. Não altera o tempo de funcionamento das atualizações existentes ou não-funcionalidades.

    Nota

    A partir do Gestor de Configuração 2103, o tempo de execução máximo predefinido para todas as outras atualizações fora destas categorias, como atualizações de terceiros, é de 60 minutos em vez de 10 minutos. O novo tempo máximo de funcionação só será aplicado a novas atualizações que sejam sincronizadas a partir do Microsoft Update. Não altera o tempo de funcionamento das atualizações existentes.

  • Se precisar de alterar o tempo máximo de funcionamento de uma atualização, pode configurar as definições de atualização de software para a atualização.

Plano para uma janela de manutenção de atualizações de software

Adicione uma janela de manutenção dedicada à instalação de atualizações de software. Esta ação permite configurar uma janela de manutenção geral e uma janela de manutenção diferente para atualizações de software. Ao configurar uma janela de manutenção geral e uma janela de manutenção de software, os clientes instalam atualizações de software apenas durante a janela de manutenção das atualizações de software.

Pode alterar este comportamento e permitir a instalação de atualizações de software durante uma janela de manutenção geral. Para obter mais informações sobre esta definição de cliente, consulte as definições do cliente de atualizações de software.

Para obter mais informações sobre janelas de manutenção, consulte Como utilizar janelas de manutenção.

Reinicie as opções para clientes Windows 10 após a instalação de atualização de software

Quando uma atualização de software que requer um reinício é implantada e instalada através do Gestor de Configuração, o cliente agenda um reinício pendente e exibe uma caixa de diálogo de reinício.

Quando há um reinício pendente para uma atualização de software do Gestor de Configuração, a opção de Atualizar e Reiniciar e Atualizar e Desligar está disponível em computadores Windows 10 nas opções de potência Windows. Depois de utilizar uma destas opções, o diálogo de reinício não aparece após o reinício do computador. Em certas circunstâncias, o sistema operativo pode remover as opções de reinício pendentes. Isto pode acontecer se a funcionalidade Fast Startup em Windows 10 estiver ativada. Para obter mais informações, consulte Updates pode não ser instalado com Fast Startup em Windows 10.

Avalie as atualizações de software após uma atualização de pilha de serviço

A partir da versão 2002, o Gestor de Configuração deteta se uma atualização da pilha de serviços (SSU) faz parte de uma instalação para várias atualizações. Quando uma SSU é detetada, é instalada primeiro. Após a instalação da SSU, um ciclo de avaliação de atualização de software funciona para instalar as restantes atualizações. Esta alteração permite instalar uma atualização cumulativa dependente após a atualização da pilha de manutenção. O dispositivo não precisa de reiniciar entre instalações e não é necessário criar uma janela de manutenção adicional. As SSUs são instaladas primeiro apenas para instalações iniciadas por não utilizadores. Por exemplo, se um utilizador iniciar uma instalação para várias atualizações a partir do Software Center, a SSU pode não ser instalada primeiro. A instalação de SSUs em primeiro lugar não está disponível para Windows sistemas operativos Do Servidor quando utilizar a versão 2002 do Gestor de Configuração. Esta funcionalidade foi adicionada na versão 2006 do Configuration Manager para Windows sistemas operativos Server.

Passos seguintes

Assim que planear atualizações de software, consulte Prepare-se para a gestão de atualizações de software.

Para obter mais informações sobre a gestão de Windows como serviço, consulte os Fundamentos do Gestor de Configuração como um serviço e Windows como um serviço.