Implantar atualizações do cliente Windows usando o Windows Server Update Services (WSUS)
Procurando informações de consumidor? Consulte Windows Update: perguntas frequentes
WSUS é uma função do Windows Server disponível nos sistemas operacionais Windows Server. Ele fornece um único hub para atualizações do Windows em uma organização. O WSUS permite que as empresas não apenas adiem atualizações, mas também as aprovem seletivamente, escolham quando forem entregues e determinem quais dispositivos individuais ou grupos de dispositivos as recebem. O WSUS fornece controle adicional sobre Windows Update for Business, mas não fornece todas as opções de agendamento e flexibilidade de implantação que Microsoft Configuration Manager fornece.
Quando você escolhe o WSUS como sua origem para atualizações do Windows, usa Política de Grupo para apontar dispositivos cliente windows para o servidor WSUS para suas atualizações. A partir daí, as atualizações são baixadas periodicamente no servidor WSUS e gerenciadas, aprovadas e implantadas por meio do console de administração do WSUS ou da Política de Grupo, simplificando o gerenciamento de atualizações para empresas. Se você estiver usando o WSUS no momento para gerenciar atualizações do Windows em seu ambiente, poderá continuar a fazê-lo em Windows 11.
Requisitos para a manutenção do cliente windows com o WSUS
Para poder usar o WSUS para gerenciar e implantar atualizações de recursos do Windows, você deve usar uma versão WSUS com suporte:
- WSUS 10.0.14393 (função em Windows Server 2016)
- WSUS 10.0.17763 (função no Windows Server 2019)
- WSUS 6.2 e 6.3 (função em Windows Server 2012 e Windows Server 2012 R2)
- KB 3095113 e 3159706 KB (ou uma atualização equivalente) devem ser instalados no WSUS 6.2 e 6.3.
Importante
Os 3095113 do KB e os 3159706 de KB estão incluídos no Rollup de Qualidade Mensal de Segurança a partir de julho de 2017. Isso significa que você pode não ver 3095113 KB e 3159706 KB como atualizações instaladas, pois elas podem ter sido instaladas com uma rollup. No entanto, se você precisar de uma dessas atualizações, recomendamos instalar um Rollup de Qualidade Mensal de Segurança lançado após outubro de 2017 , pois elas contêm uma atualização adicional do WSUS para diminuir a utilização de memória no serviço de teia de clientes do WSUS. Se você tiver sincronizado uma dessas atualizações antes da distribuição de qualidade mensal de segurança, poderá ter problemas. Para se recuperar disso, confira Como excluir atualizações no WSUS.
Escalabilidade do WSUS
Para usar o WSUS para gerenciar todas as atualizações do Windows, algumas organizações talvez precisem acessar o WSUS em uma rede de perímetro ou podem ter algum outro cenário complexo. O WSUS é altamente escalonável e configurável para organizações de qualquer tamanho ou layout de site. Para obter informações específicas sobre o dimensionamento do WSUS, incluindo upstream e configuração de servidor downstream, filiais, balanceamento de carga WSUS e outros cenários complexos, consulte Implantar Windows Server Update Services.
Configurar as atualizações automáticas e atualizar o local do serviço
Ao usar o WSUS para gerenciar atualizações em dispositivos cliente Windows, comece configurando as definições de Política de Grupo Configurar Atualizações Automáticas e Local do Serviço de Atualização na Intranet da Microsoft para seu ambiente. Isso força os clientes afetados a contatar o servidor WSUS para que ele possa gerenciá-los. O processo a seguir descreve como especificar essas configurações e implantá-las em todos os dispositivos do domínio.
Para definir as configurações de Política de Grupo Configurar Atualizações Automáticas e Local do Serviço de Atualização na Intranet da Microsoft para seu ambiente
Abra Política de Grupo Console de Gerenciamento (gpmc.msc).
Expanda Forest\Domains\Your_Domain.
Clique com o botão direito do mouse em Your_Domain e selecione Criar um GPO neste domínio e Vincule-o aqui.
Observação
Neste exemplo, as configurações de Política de Grupo Configurar Atualizações Automáticas e Local do Serviço de Atualização na Intranet da Microsoft são especificadas para todo o domínio. Isso não é um requisito; você pode direciona essas configurações a qualquer grupo de segurança usando a Filtragem de Segurança ou uma UO específica.
Na caixa de diálogo Novo GPO, nomeie o novo GPO WSUS – Atualizações Automático e Local de Serviço de Atualização da Intranet.
Clique com o botão direito do mouse no GPO do WSUS – Atualizações Automático e Local do Serviço de Atualização da Intranet e selecione Editar.
No Editor de Gerenciamento de Política de Grupo, vá até Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Windows Update.
Clique com o botão direito do mouse na configuração Configurar Atualizações automática e selecioneEditar.
Na caixa de diálogo Configurar Atualizações Automáticas, selecione Habilitar.
Em Opções, na lista Configurar atualização automática, selecione3 – Baixar e notificar automaticamente para instalação e selecione OK.
Importante
Use Regedit.exe para marcar que a seguinte chave não esteja habilitada, pois ela pode quebrar a conectividade da Windows Store: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotConnectToWindowsUpdateInternetLocations
Observação
Há outras três configurações para o download automático de atualizações e datas e horários de instalação. Isso é simplesmente a opção que este exemplo usa. Para obter mais exemplos de como controlar as atualizações automáticas e outras políticas relacionadas, consulte Configurar atualizações automáticas usando a Política de Grupo.
Clique com o botão direito do mouse na configuração Especificar local de serviço de atualização da Microsoft intranet e selecione Editar.
Na caixa de diálogo Especificar o local do serviço de atualização na intranet da Microsoft, selecione Habilitar.
Em Opções, no Defina o serviço de atualização da intranet para detectar atualizações e Defina as opções do servidor de estatísticas de intranet , digite
http://Your_WSUS_Server_FQDN:PortNumber
e selecione OK.Observação
A URL
http://CONTOSO-WSUS1.contoso.com:8530
na imagem a seguir é apenas um exemplo. Em seu ambiente, certifique-se de usar o nome do servidor e o número da porta para sua instância do WSUS.Observação
A porta HTTP padrão para o WSUS é 8530, e a porta HTTPS padrão é 8531. (As outras opções são 80 e 443; nenhuma outra porta tem suporte.)
Como os clientes do Windows atualizarem suas políticas de computador (a atualização da Política de Grupo padrão é definida em 90 minutos e quando o computador é reiniciado), computadores começarão a aparecer no WSUS. Agora que os clientes estão se comunicando com o servidor WSUS, crie grupos de computadores que se alinhem com seus anéis de implantação.
Criar grupos de computadores no Console de Administração do WSUS
Observação
Os procedimentos a seguir usam os grupos da Tabela 1 nos anéis de implantação build para atualizações de cliente do Windows como exemplos.
Você pode usar grupos de computadores para direcionar um subconjunto de dispositivos que tenham atualizações específicas de qualidade e recursos. Esses grupos representam seus anéis de implantação, como controlado pelo WSUS. Você pode preencher os grupos manualmente usando o Console de Administração do WSUS ou automaticamente por meio da Política de Grupo. Independentemente do método escolhido, você deve primeiro criar os grupos no Console de Administração do WSUS.
Para criar grupos de computadores no Console de Administração do WSUS
Abra o Console de Administração do WSUS.
Vá para Server_Name\Computadores\Todos os Computadores e selecione Adicionar Grupo de Computadores.
Digite Ring 2 Usuários de Negócios Piloto para o nome e selecione Adicionar.
Repita essas etapas para os grupos Anel 3 – Grande Parte da TI e Anel 4 – Grande Parte dos Usuários Comerciais. Quando você terminar, deve haver três grupos de anel de implantação.
Agora que os grupos foram criados, adicione os computadores aos grupos de computadores que se alinham com os anéis de implantação desejados. Você pode fazer isso por meio da Política de Grupo ou manualmente usando o Console de Administração do WSUS.
Usar o Console de Administração do WSUS para preencher anéis de implantação
Adicionar computadores a grupos de computadores no Console de Administração do WSUS é simples, mas pode demorar muito mais do que gerenciar a associação ao grupo por meio da Política de Grupo, especialmente se você tiver muitos computadores para adicionar. A adição de computadores a grupos de computadores no Console de Administração do WSUS é chamada de direcionamento no lado do servidor.
Neste exemplo, você adiciona computadores a grupos de computadores de duas maneiras diferentes: atribuindo manualmente computadores não atribuídos e procurando por vários computadores.
Atribuir manualmente computadores não atribuídos a grupos
Quando novos computadores se comunicam com o WSUS, eles aparecem no grupo Computadores Não Atribuídos. Nele, você pode usar o procedimento a seguir para adicionar computadores aos seus grupos corretos. Para estes exemplos, você deve usar dois computadores Windows 10 (WIN10-PC1 e WIN10-PC2) para adicionar aos grupos de computadores.
Para atribuir computadores manualmente
No Console de Administração do WSUS, acesse Nome_Servidor\Computadores\Todos os Computadores\Computadores Não Atribuídos.
Aqui, você pode ver os novos computadores que receberam o GPO criado na seção anterior e começaram a se comunicar com o WSUS. Este exemplo tem apenas dois computadores; dependendo de quão amplamente você implantou sua política, você provavelmente terá muitos computadores aqui.
Selecione ambos os computadores, clique com o botão direito do mouse na seleção e selecione Alterar Associação.
Na caixa de diálogo Definir Associação de Grupo de Computadores , selecione o anel de implantação Ring 2 Pilot Business Users e selecione OK.
Como eles foram atribuídos a um grupo, os computadores não estão mais no grupo Computadores Não Atribuídos. Se você selecionar o grupo de computadores Ring 2 Pilot Business Users , verá os dois computadores lá.
Procurar por vários computadores para adicionar a grupos
Outra maneira de adicionar vários computadores a um anel de implantação no Console de Administração do WSUS é usar o recurso de pesquisa.
Para procurar por vários computadores
No Console de Administração do WSUS, acesse Server_Name\Computadores\Todos os Computadores, clique com o botão direito do mouse em Todos os Computadores e selecione Pesquisar.
Na caixa de pesquisa, digite WIN10.
Nos resultados da pesquisa, selecione os computadores, clique com o botão direito do mouse na seleção e selecione Alterar Associação.
Selecione o anel de implantação de TI Do Anel 3 Amplo e selecione OK.
Agora você pode ver esses computadores no grupo de computadores Anel 3 – Grande Parte da TI.
Usar a Política de Grupo para preencher anéis de implantação
O Console de Administração do WSUS fornece uma interface amigável da qual você pode gerenciar atualizações de qualidade e recursos do Windows 10. No entanto, quando você precisa adicionar muitos computadores seus anéis de implantação do WSUS corretos, pode ser demorado fazer isso manualmente no Console de Administração do WSUS. Nesses casos, considere usar a Política de Grupo para direcionar os computadores corretos, adicionando-os automaticamente ao anel de implantação do WSUS correto com base em um grupo de segurança do Active Directory. Esse processo é chamado de direcionamento no lado do cliente. Antes de habilitar o direcionamento no lado do cliente na Política de Grupo, você deve configurar o WSUS para aceitar a atribuição do computador da Política de Grupo.
Para configurar o WSUS para permitir o direcionamento no lado do cliente da Política de Grupo
Abra o Console de Administração do WSUS e vá para Server_Name\Options e selecione Computadores.
Na caixa de diálogo Computadores, selecione Usar Política de Grupo ou configurações de registro em computadores e selecione OK.
Observação
Essa opção é exclusivamente um caso em que uma escolha exclui a outra. Ao habilitar o WSUS usar a Política de Grupo para atribuição de grupo, você não pode mais adicionar manualmente computadores por meio do Console de Administração do WSUS até alterar a opção novamente.
Agora que o WSUS está pronto para o direcionamento no lado do cliente, conclua as seguintes etapas para usar a Política de Grupo para configurar o direcionamento no lado do cliente:
Para configurar o direcionamento no lado do cliente
Dica
Ao usar o direcionamento no lado do cliente, considere dar aos grupos de segurança os mesmos nomes de seus anéis de implantação. Isso simplifica o processo de criação de políticas e ajuda a garantir que você não adicione computadores aos anéis incorretos.
Abra Política de Grupo Console de Gerenciamento (gpmc.msc).
Expanda Forest\Domains\Your_Domain.
Clique com o botão direito do mouse em Your_Domain e selecione Criar um GPO neste domínio e Vincule-o aqui.
Na caixa de diálogo Novo GPO, digiteWSUS – Destino do Cliente – Toque 4 Usuários de Empresas Amplas para o nome do novo GPO.
Clique com o botão direito do mouse no WSUS – Destino do Cliente – toque em 4 GPO de Usuários de Empresas Amplas e selecione Editar.
No Editor de Gerenciamento de Política de Grupo, vá até Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows\Windows Update.
Clique com o botão direito do mouse em Habilitar o direcionamento do lado do cliente e selecione Editar.
Na caixa de diálogo Habilitar destino do lado do cliente, selecione Habilitar.
Na caixa Nome do grupo de destino para este computador, digite Anel 4 – Grande Parte dos Usuários Comerciais. Esse é o nome do anel de implantação no WSUS ao qual esses computadores serão adicionados.
Aviso
O nome do grupo de destino deve corresponder ao nome do grupo do computador.
- Feche o Editor de Gerenciamento de Política de Grupo.
Agora você está pronto para implantar esse GPO no grupo de segurança do computador correto para o anel de implantação Ring 4 Broad Business Users .
Para definir o escopo do GPO para um grupo
No GPMC, selecione a política WSUS – Destino do Cliente – Toque em 4 Usuários de Empresas Amplas .
Selecione a guia Escopo .
Em Filtragem de Segurança, remova o grupo de segurança padrão USUÁRIOS AUTENTICADOS e adicione o grupo Anel 4 – Grande Parte dos Usuários Comerciais.
Na próxima vez que os clientes do grupo de segurança Ring 4 Broad Business Users receberem sua política de computador e entrarem em contato com o WSUS, eles serão adicionados ao anel de implantação Ring 4 Broad Business Users .
Aprovar e implantar atualizações de recursos automaticamente
Para clientes que devem ter suas atualizações de recursos aprovadas assim que estiverem disponíveis, você pode configurar regras de Aprovação Automática no WSUS.
Observação
O WSUS respeita o branch de manutenção do dispositivo cliente. Se você aprovar uma atualização de recurso enquanto ela ainda estiver em um branch, como o Insider Preview, o WSUS instalará a atualização apenas em dispositivos que estão nesse branch de manutenção. Quando a Microsoft liberar o build para o Canal de Disponibilidade Geral, os dispositivos nele serão instalados. Windows Update configurações de branch for Business não se aplicam a atualizações de recursos por meio do WSUS.
Para configurar uma regra de Aprovação Automática para atualizações de recursos do cliente Windows e aprová-las para o anel de implantação de TI do Ring 3 Broad Este exemplo usa Windows 10, mas o processo é o mesmo para Windows 11.
No Console de Administração do WSUS, acesse Atualizar Serviços\Server_Name\Opções e selecione Aprovações Automáticas.
Na guia Regras de Atualização , selecione Nova Regra.
Na caixa de diálogo Adicionar Regra, marque as caixas de seleção Quando uma atualização está em uma classificação específica, Quando uma atualização está em um produto específico e Definir um prazo final para a aprovação.
Na área Editar as propriedades, selecione qualquer classificação. Desmarque tudo, exceto Atualizações, e selecione OK.
Na área Editar as propriedades, selecione o link de qualquer produto . Desmarque todas as caixas de marcar, exceto Windows 10 e selecione OK.
O Windows 10 está em Todos os Produtos\Microsoft\Windows.
Na área Editar as propriedades , selecione o link todos os computadores . Desmarque todas as caixas marcar grupo de computadores, exceto Ring 3 Broad IT e selecione OK.
Deixe o prazo definido para 7 dias após a aprovação às 03:00.
Na Etapa 3: especifique uma caixa de nome, digiteWindows 10 Atualizar a aprovação automática para a TI ampla do Anel 3 e selecione OK.
Na caixa de diálogo Aprovações Automáticas , selecione OK.
Observação
O WSUS não honra nenhuma configuração de adiamento de mês/semana/dia existente. Dito isto, se você estiver usando Windows Update for Business para um computador para o qual o WSUS também está gerenciando atualizações, quando o WSUS aprovar a atualização, ele será instalado no computador, independentemente de você ter configurado Política de Grupo aguardar.
Agora, sempre que as atualizações de recursos de cliente do Windows forem publicadas no WSUS, elas serão aprovadas automaticamente para o anel de implantação de TI do Ring 3 Broad com um prazo de instalação de 1 semana.
Aviso
A regra de aprovação automática é executada após a sincronização. Isso significa que a próxima atualização para cada versão do cliente do Windows será aprovada. Se você selecionar Executar Regra, todas as atualizações possíveis que atendem aos critérios serão aprovadas, potencialmente incluindo atualizações mais antigas que você realmente não deseja -- o que pode ser um problema quando os tamanhos de download são muito grandes.
Aprovar e implantar atualizações de recursos manualmente
Você também pode aprovar atualizações manualmente e definir prazos para instalação no Console de Administração do WSUS. Talvez seja melhor aprovar regras de atualização manualmente depois que sua implantação piloto for atualizada.
Para simplificar o processo de aprovação manual, comece criando uma exibição de atualização de software que contém apenas atualizações de Windows 10 (neste exemplo). O processo é o mesmo para atualizações de Windows 11.
Observação
Se você aprovar mais de uma atualização de recurso para um computador, um erro poderá resultar com o cliente. Aprovar apenas uma atualização de recurso por computador.
Para aprovar e implantar atualizações de recursos manualmente
No Console de Administração do WSUS, acesse Atualizar Serviços\Server_Name\Atualizações. No painel Ação , selecione Nova Exibição de Atualização.
Na caixa de diálogo Adicionar Modo de Exibição de Atualização, selecione As atualizações estão em uma classificação específica e As atualizações são para um produto específico.
Em Etapa 2: Editar as propriedades, selecione qualquer classificação. Desmarque todas as caixas de marcar, exceto Atualizações, e selecione OK.
Em Etapa 2: Editar as propriedades, selecione qualquer produto. Desmarque todas as caixas de marcar, exceto Windows 10 e selecione OK.
O Windows 10 está em Todos os Produtos\Microsoft\Windows.
Na Etapa 3: especifique uma caixa de nome, digiteTodos os Windows 10 Atualizações e selecione OK.
Agora que você tem a exibição Todos os Windows 10 Atualizações, conclua as seguintes etapas para aprovar manualmente uma atualização para o anel de implantação do Ring 4 Broad Business Users:
No Console de Administração do WSUS, acesse Atualizar Serviços\Server_Name\Atualizações\Todos os Windows 10 Atualizações.
Clique com o botão direito do mouse na atualização de recursos que você deseja implantar e selecione Aprovar.
Na caixa de diálogo Aprovar Atualizações, na lista Anel 4 – Grande Parte dos Usuários Comerciais, selecione Aprovado para Instalação.
Na caixa de diálogo Aprovar Atualizações, na lista Ring 4 Broad Business Users, selecione Deadline, select One Week e, em seguida, selecione OK.
Se a caixa de diálogo Termos de Licença de Software da Microsoft for aberta, selecione Aceitar.
Se a implantação for bem-sucedida, você deverá receber um relatório de progresso bem-sucedido.
Na caixa de diálogo Progresso de Aprovação , selecione Fechar.