Partilhar via

Instale e configuize um ponto de atualização de software

  • Artigo

Aplica-se a: Configuration Manager (ramo atual)

Importante

Antes de instalar a função do sistema de site de atualização de software (SUP), deve verificar se o servidor cumpre as dependências exigidas e determina a infraestrutura de ponto de atualização de software no site. Para obter mais informações sobre como planear atualizações de software e determinar a infraestrutura de ponto de atualização de software, consulte Plano para atualizações de software.

O ponto de atualização do software é necessário no site da administração central e nos sites primários para permitir a avaliação da conformidade das atualizações de software e implementar atualizações de software para os clientes. O ponto de atualização de software é opcional em site secundários. A função do sistema de sites do ponto de atualização de software tem de ser criada num servidor com o WSUS instalado. O ponto de atualização de software interage com os serviços WSUS para configurar as definições de atualização de software e para solicitar a sincronização de metadados de atualizações de software. Quando tiver uma hierarquia do Gestor de Configuração, instale e configuure o ponto de atualização do software no site da administração central primeiro, depois em sites primários para crianças e, em seguida, opcionalmente, em sites secundários. Quando tiver um site primário autónomo, não um site de administração central, comece por instalar e configurar o ponto de atualização de software no site primário e, depois, como opção, em sites secundários. Algumas definições só estão disponíveis quando configura o ponto de atualização de software num site de nível superior. Existem diferentes opções que tem de considerar dependendo de onde instalou o ponto de atualização de software.

Importante

  • Pode instalar mais do que um ponto de atualização de software num site. O primeiro ponto de atualização de software que instala é configurado como a origem de sincronização, que sincroniza as atualizações do Microsoft Update ou da origem de sincronização a montante. Os outros pontos de atualização de software no site são configurados como réplicas do primeiro ponto de atualização de software. Por conseguinte, algumas definições não estão disponíveis depois de instalar e configurar o ponto de atualização de software inicial.
  • Não é suportado para instalar a função do sistema de site de atualização de software num servidor que foi configurado e utilizado como um servidor WSUS autónomo ou utilizando um ponto de atualização de software para gerir diretamente os clientes da WSUS. Os servidores WSUS existentes são suportados apenas como fontes de sincronização a montante para o ponto de atualização de software ativo. Ver Sincronizar a partir de uma localização de fonte de dados a montante

Pode adicionar a função do sistema de sites do ponto de atualização de software a um servidor de sistema de sites existente ou pode criar uma nova. Na página de Seleção de Funções do Sistema do Assistente do Servidor do Sistema de Criação ou Assistente de Funções do Sistema de Sítios, dependendo se adiciona a função do sistema de site a um servidor de site novo ou existente, selecione o ponto de atualização do Software e, em seguida, configurar as definições de ponto de atualização do software no assistente. As definições são diferentes dependendo da versão do Gestor de Configuração que utiliza. Para obter mais informações sobre como instalar as funções do sistema do site, consulte as funções do sistema do site .

Utilize as secções seguintes para obter informações sobre as definições do ponto de atualização de software num site.

Definições do servidor proxy

Pode configurar as definições do servidor proxy em diferentes páginas do Assistente do Servidor do Sistema de Servidor de Conjuntos de Configuração ou adicionar o Assistente de Funções do Sistema de Sítios, dependendo da versão do Gestor de Configuração que utiliza.

  • Tem de configurar o servidor proxy e, em seguida, especificar quando utilizar o servidor proxy para atualizações de software. Configure as seguintes definições:

    • Configure as definições do servidor proxy na página Proxy do assistente ou no separador Proxy em Propriedades do sistema de sites. As definições do servidor proxy são específicas do sistema de sites, o que significa que todas as funções do sistema de site utilizam as definições do servidor proxy que especifica.

    • Especificar se deve utilizar o servidor proxy quando o Gestor de Configuração sincroniza as atualizações do software e quando descarrega o conteúdo utilizando uma regra de implementação automática. Configure as definições do servidor proxy do ponto de atualização de software na página Definições de Proxy e de Conta do assistente ou no separador Definições de Proxy e de Conta em Propriedades do ponto de atualização de software.

    • A definição Utilizar um servidor proxy quando transferir conteúdo usando regras de implementação automática está disponível, mas não é utilizada para um ponto de atualização de software num site secundário. Apenas o ponto de atualização de software no site de administração central e site primário transfere conteúdo a partir da página do Microsoft Update.

    • Por predefinição, a conta Sistema Local para o servidor onde foi criada uma regra de implementação automática serve para ligar à Internet e transferir atualizações de software quando são executadas as regras de implementação automática. Quando esta conta não tem acesso à Internet, as atualizações de software não são transferidas e a entrada seguinte é registada em ruleengine.log: Não foi possível transferir a atualização a partir da Internet. Erro = 12007. Configure as credenciais para ligar ao servidor proxy quando a conta do Sistema Local não tem acesso à Internet.

Definições de WSUS

Tem de configurar as definições do WSUS em diferentes páginas do Assistente do Servidor do Sistema de Servidor de Sítios ou do Assistente de Funções do Sistema de Serviço do Site, dependendo da versão do Gestor de Configuração que utiliza e, em alguns casos, apenas nas propriedades do ponto de atualização do software, também conhecido como Propriedades componentes do ponto de atualização do software. Utilize as informações nas secções seguintes para configurar as definições de WSUS.

Importante

Para garantir que os melhores protocolos de segurança estão em vigor, recomendamos vivamente que utilize o protocolo TLS/SSL para ajudar a proteger a sua infraestrutura de atualização de software. A partir da atualização cumulativa de setembro de 2020, os servidores WSUS baseados em HTTP estarão seguros por padrão. Um cliente que procure atualizações contra uma WSUS baseada em HTTP deixará de ser autorizado a alavancar um representante do utilizador por padrão. Se ainda necessitar de um representante do utilizador apesar das compensações de segurança, está disponível uma nova definição de cliente de atualizações de software para permitir estas ligações. Para obter mais informações sobre as alterações à varredura da WSUS, consulte as alterações de setembro de 2020 para melhorar a segurança dos dispositivos Windows que estão a digitalizar a WSUS.

Definições da porta WSUS

Tem de configurar as definições da porta WSUS na página Ponto de Atualização de Software do assistente ou nas propriedades do ponto de atualização de software. Utilize o procedimento seguinte para determinar as definições de porta utilizadas pelo WSUS.

Para determinar as definições de porta utilizadas no IIS

  1. No servidor WSUS, abra o Gestor de Serviços de Informação Internet (IIS).

  2. Expanda Web Sites, clique com o botão direito do rato no Web site do servidor WSUS e, em seguida, clique em Editar Enlaces. Na caixa de diálogo Enlaces de Site, os valores das portas HTTP e HTTPS são apresentados na coluna Porta .

Configurar comunicações SSL para WSUS

Para garantir que os melhores protocolos de segurança estão em vigor, recomendamos vivamente que utilize o protocolo TLS/SSL para ajudar a proteger a sua infraestrutura de atualização de software. Pode configurar a comunicação SSL na página Geral do assistente ou no separador Geral nas propriedades do ponto de atualização de software.

Para obter mais informações sobre como utilizar o SSL, consulte se configurar a WSUS para utilizar o SSL e configurar um ponto de atualização de software para utilizar o TLS/SSL com um certificado PKI.

Permitir tráfego de gateway de gestão de nuvens

Pode ativar um ponto de atualização de software para aceitar a comunicação de clientes na internet através de um gateway de gestão de nuvem (CMG). Para obter mais informações sobre esta definição, consulte configurar funções voltadas para o cliente para o tráfego CMG.

Conta de Ligação ao Servidor WSUS

Pode configurar uma conta para ser utilizada pelo servidor de sites quando estabelece ligação com o WSUS que é executado no ponto de atualização de software. Quando não configura esta conta, o Gestor de Configuração utiliza a conta de computador para o servidor do site ligar-se ao WSUS. Configure a Conta de Ligação ao Servidor WSUS na página Definições de Proxy e de Conta do assistente ou no separador Definições de Proxy e de Conta em Propriedades do ponto de atualização de software. Pode configurar a conta em diferentes locais do assistente, dependendo da versão do Gestor de Configuração que utiliza.

Para obter mais informações sobre as contas do Gestor de Configuração, consulte contas utilizadas.

Origem de sincronização

Pode configurar a fonte de sincronização a montante para a sincronização de atualizações de software na página Fonte de Sincronização do assistente ou no separador Sync Definições em Propriedades componentes do ponto de atualização de software. As opções de origem de sincronização disponíveis variam consoante o site.

Utilize a seguinte tabela para obter as opções disponíveis para configurar o ponto de atualização de software num Web site.

Site Opções de origem de sincronização disponíveis
- Site de administração central
- Site primário autónomo		 - Sincronizar a partir do site do Microsoft Update
- Sincronizar a partir de uma localização de origem de dados a montante
- Não sincronizar a partir do Microsoft Update nem da origem de dados a montante
- Pontos de atualização de software adicionais num site
- Site primário subordinado
- Site secundário		 - Sincronizar a partir de uma localização de origem de dados a montante

A seguinte lista contém mais informações sobre cada uma das opções que pode utilizar como origem de sincronização:

  • Sincronizar a partir do Microsoft Update: utilize esta definição para sincronizar os metadados de atualizações de software a partir do Microsoft Update. O site de administração central necessita de ter acesso à Internet, caso contrário a sincronização irá falhar. Esta definição apenas está disponível se configurar o ponto de atualização de software no site de nível superior.

    • Quando há uma firewall entre o ponto de atualização do software e a Internet, a firewall pode precisar de ser configurada para aceitar as portas HTTP e HTTPS que são utilizadas para o web site da WSUS. Também pode optar por restringir o acesso a domínios limitados na firewall. Para obter mais informações sobre como planear a utilização de uma firewall que suporte atualizações de software, veja Configurar firewalls.

    • Se estiver a partilhar a base de dados WSUS, esteja ciente de que o Gestor de Configuração escolhe aleatoriamente o ponto de atualização do software entre os servidores WSUS front-end. Certifique-se de que os requisitos de acesso à Internet são cumpridos para cada um dos servidores WSUS. Se os requisitos de acesso à Internet não forem cumpridos, então podem ocorrer falhas de sincronização. Pode ver diferentes pontos de atualização de software no site de alto nível sincronizado com a Microsoft.

  • Sincronizar a partir de uma localização de fonte de dados a montante: Utilize esta definição para sincronizar os metadados de software a partir da fonte de sincronização a montante. Os sites primários subordinados e sites secundários são automaticamente configurados para utilizar o URL do site principal para esta definição. Pode optar por sincronizar as atualizações de software a partir de um servidor WSUS existente. Especifique um URL, https://WSUSServer:8531 como, por exemplo, onde 8531 é a porta que é usada para ligar ao servidor WSUS.

  • Não sincronizar a partir do Microsoft Update nem da origem de dados a montante: utilize esta definição para sincronizar manualmente as atualizações de software quando o ponto de atualização de software no site de nível superior estiver desligado da Internet. Para obter mais informações, veja Sincronizar atualizações de software a partir de um ponto de atualização de software desligado.

Também pode configurar se cria eventos de reporte WSUS na página Fonte de Sincronização do assistente ou no separador Sync Definições em Propriedades componentes de ponto de atualização de software. O Gestor de Configuração não utiliza estes eventos; portanto, normalmente escolherá a definição predefinitiva Não crie eventos de reporte WSUS.

Agenda de sincronização

Configure o agendamento da sincronização na página Agendamento da Sincronização do assistente ou nas Propriedades do Componente do Ponto de Atualização de Software. Esta definição só é configurada no ponto de atualização de software do site de nível superior.

Se ativar a agenda, poderá configurar uma agenda de sincronização periódica simples ou personalizada. Quando configura uma programação simples, a hora de início baseia-se na hora local para o computador que executa a consola Do Gestor de Configuração no momento em que cria o horário. Quando configura a hora de início de um horário personalizado, baseia-se na hora local para o computador que executa a consola Do Gestor de Configuração.

Dica

Agende a sincronização de atualizações de software para ser executada num período de tempo que seja adequado ao seu ambiente. Um cenário de típico é a definição da agenda de sincronização de atualizações de software para iniciar a execução poucos instantes após a edição de atualização de segurança regular da Microsoft, na segunda terça-feira de cada mês, vulgarmente designada Patch Terça. Outro cenário típico possível consiste em definir a agenda de sincronização de atualizações de software para ser executada diariamente, caso sejam utilizadas atualizações de software para a entrega de atualizações de definições e de motor do Endpoint Protection.

Nota

Se optar por não ativar a sincronização de atualizações de software com base num agendamento, poderá sincronizar manualmente as atualizações de software a partir do nó Todas as Atualizações de Software ou Grupos de Atualização de Software na área de trabalho Biblioteca de Software. Para obter mais informações, consulte sincronizar atualizações de software.

Regras de substituição

Configure as definições de substituição na página Regras de Substituição do assistente ou no separador Regras de Substituição das Propriedades do Componente do Ponto de Atualização de Software. Apenas pode configurar as regras de substituição no site de nível superior. Também pode especificar o comportamento das regras de supersedência para atualizações de funcionalidades separadamente das atualizações não-funcionalidades.

Nesta página, pode especificar quando as atualizações de software superedadas são expiradas no Gestor de Configuração, o que impede que sejam incluídas em novas implementações e sinaliza as implementações existentes para indicar que as atualizações de software substituído contêm uma ou mais atualizações de software expiradas. Pode especificar um período de tempo antes de expirarem as atualizações de software substituídos, o que lhe permite continuar a implantá-las. Para mais informações, consulte Supersedence rules.

A definição predefinida é esperar 3 meses antes de expirar uma atualização superediou. O padrão de 3 meses é dar-lhe tempo para verificar se a atualização já não é necessária por nenhum dos computadores do seu cliente. Recomenda-se que não assuma que as atualizações superadas devem ser imediatamente expiradas a favor da nova atualização de substituição. Pode visualizar uma lista das atualizações de software que substituem a atualização de software no separador Informações de Substituição nas propriedades de atualização de software.

Nota

A página Regras de Substituição do assistente apenas estará disponível se configurar o primeiro ponto de atualização de software no site. Esta página não é apresentada quando instala pontos de atualização de software adicionais.

Classificações

Configure as definições de classificações na página classificações do assistente ou no separador Classificações em Propriedades componentes de ponto de atualização de software. Para obter mais informações sobre as classificações das atualizações de software, veja Classificações de atualizações.

Nota

A página Classificações do assistente apenas estará disponível se configurar o primeiro ponto de atualização de software no site. Esta página não é apresentada quando instala pontos de atualização de software adicionais.

Dica

Quando instalar o ponto de atualização de software no site de nível superior pela primeira vez, desmarque todas as classificações de atualizações de software. Após a sincronização inicial de atualizações de software, configure as classificações a partir de uma lista atualizada e, em seguida, reinicie o processo de sincronização. Esta definição só é configurada no ponto de atualização de software do site de nível superior.

Produtos

Configure as definições do produto na página produtos do assistente ou no separador Produtos em Propriedades componentes de ponto de atualização de software.

Nota

A página Produtos do assistente apenas estará disponível se configurar o primeiro ponto de atualização de software no site. Esta página não é apresentada quando instala pontos de atualização de software adicionais.

Dica

Quando instalar o ponto de atualização de software no site de nível superior pela primeira vez, desmarque todos os produtos. Após a sincronização inicial de atualizações de software, configure os produtos a partir de uma lista atualizada e, em seguida, reinicie a sincronização. Esta definição só é configurada no ponto de atualização de software do site de nível superior.

Idiomas

Configure as definições de idioma na página idiomas do assistente ou no separador idiomas nas propriedades componentes do ponto de atualização de software. Especifique os idiomas e detalhes de resumo que pretende incluir nos ficheiros de sincronização da atualização de software. A definição de Ficheiro de Atualização de Software está configurada em cada ponto de atualização de software na hierarquia do Gestor de Configuração. As definições de Detalhes do Resumo apenas são configuradas no ponto de atualização de software de nível superior. Para obter mais informações, veja Idiomas.

Nota

A página Idiomas do assistente apenas estará disponível se instalar o ponto de atualização de software no site de administração central. Pode configurar os idiomas do Ficheiro de Atualização do Software em sites subordinados a partir do separador Idiomas das Propriedades do Componente do Ponto de Atualização de Software.

Atualizações de terceiros

A partir da versão 1802 do Gestor de Configuração, pode ativar atualizações de terceiros para clientes Do Gestor de Configuração. Quando ativar atualizações de software de terceiros nas propriedades do componente SUP, o SUP descarregará o certificado de assinatura utilizado pela WSUS para atualizações de terceiros. Esta opção não está disponível durante a instalação do ponto de atualização do software, e deve ser configurada após a instalação do SUP. Para ativar as definições do cliente para atualizações de terceiros, consulte o artigo sobre definições de clientes.

Passos seguintes

Instalou o ponto de atualização do software a partir do site mais alto da hierarquia do Gestor de Configuração. Repita os procedimentos neste artigo para instalar o ponto de atualização do software em sites infantis.

Assim que tiver os pontos de atualização do software instalados, vá sincronizar atualizações de software.