4 – Continuação, planejando sua implantação do WSUS

No terceiro artigo da série sobre WSUS, terminamos o artigo falando sobre Prioridade dos Prazos.

Se você perdeu o primeiro, segundo e terceiro artigo da série sobre WSUS, clique nos links abaixo para rever cada um dos artigos publicados anteriormente:

Vamos continuar falando sobre o planejamento da implantação do WSUS.

Nota: Para assimilar todo conteúdo e importante que você leia todos os artigos da série WSUS.

Planeje as considerações de desempenho do WSUS

Existem algumas áreas que você deve planejar cuidadosamente antes de implantar o WSUS para que você possa ter um desempenho otimizado. As principais áreas são:

• Configuração de rede
• Download diferido
• Filtros
• Instalação
• Implementações de grande atualização
• Serviço de transferência inteligente de fundo (BITS)

Configuração de rede

Para otimizar o desempenho em redes WSUS, considere as seguintes sugestões:
Configure as redes WSUS em uma topologia hub-and-spoke em vez de em uma topologia hierárquica.
Use a ordenação de máscara de rede de DNS para computadores clientes em roaming e configure computadores cliente de roaming para obter atualizações do servidor WSUS local.

Download diferido

Você pode aprovar atualizações e baixar os metadados de atualização antes de baixar os arquivos de atualização, esse método é chamado de downloads diferidos. Quando você adia downloads, uma atualização é baixada somente após a aprovação. Recomendamos que você aferir downloads porque otimiza a largura de banda da rede e o espaço em disco.

Em uma hierarquia de servidores WSUS, o WSUS configura automaticamente todos os servidores downstream para usar a configuração de download diferido do servidor WSUS raiz. Você pode alterar esta configuração padrão. Por exemplo, você pode configurar um servidor upstream para executar sincronizações completas e imediatas e, em seguida, configurar um servidor downstream para adiar os downloads.

Se você implantar uma hierarquia de servidores WSUS conectados, recomendamos que você não anule profundamente os servidores. Se você habilitar downloads diferidos e um servidor downstream solicita uma atualização que não seja aprovada no servidor upstream, o pedido do servidor downstream força um download no servidor upstream. O servidor downstream, em seguida, baixa a atualização em uma sincronização subsequente. Em uma hierarquia profunda dos servidores WSUS, podem ocorrer atrasos à medida que as atualizações são solicitadas, baixadas e passadas pela hierarquia do servidor. Por padrão, os downloads diferidos são ativados quando você armazena atualizações localmente. Você pode alterar esta opção manualmente.

Filtros

O WSUS permite que você filtre atualizações de atualização por idioma, produto e classificação. Em uma hierarquia de servidores WSUS, o WSUS define automaticamente todos os servidores downstream para usar as opções de filtragem de atualização que são selecionadas no servidor raiz WSUS. Você pode reconfigurar servidores de download para receber apenas um subconjunto dos idiomas.

Por padrão, os produtos a serem atualizados são o Windows e o Office, e as classificações padrão são atualizações críticas, atualizações de segurança e atualizações de definições. Para economizar largura de banda e espaço em disco, recomendamos que você limite idiomas para aqueles que você realmente usa.

Instalação

As atualizações normalmente consistem em novas versões de arquivos que já existem no computador que está sendo atualizado. Em um nível binário, esses arquivos existentes podem não diferir muito das versões atualizadas. O recurso de arquivos de instalação rápida identifica os bytes exatos entre as versões, cria e distribui atualizações de apenas essas diferenças e, em seguida, mescla o arquivo existente juntamente com os bytes atualizados.

Às vezes, esse recurso é chamado de “entrega delta” porque ele baixa apenas o delta (diferença) entre duas versões de um arquivo. Os arquivos de instalação expressa são maiores que as atualizações que são distribuídas aos computadores clientes porque o arquivo de instalação expressa contém todas as versões possíveis de cada arquivo que deve ser atualizado.

Você pode usar arquivos de instalação expressos para limitar a largura de banda que é consumida na rede local, porque o WSUS transmite apenas o delta aplicável a uma versão específica de um componente atualizado. No entanto, isto vem ao custo da largura de banda adicional entre o servidor WSUS, todos os servidores WSUS upstream e Microsoft Update e requer espaço adicional em disco local. Por padrão, o WSUS não usa arquivos de instalação expressa.

Nem todas as atualizações são bons candidatos para distribuição, usando arquivos de instalação expressa. Se você selecionar esta opção, você obtém arquivos de instalação expressa para todas as atualizações. Se você não armazenar atualizações localmente, o Windows Update Agent decidirá se deseja baixar os arquivos de instalação expressa ou as distribuições de atualização completa.

Implantação de atualização grande

Quando você implanta grandes atualizações (como service packs), você pode evitar saturar a rede usando as seguintes práticas:

• Utilize o controle de serviço de transferência inteligente de fundo (BITS). As limitações de largura de banda BITS podem ser controladas pelo horário do dia, mas elas se aplicam a todas as aplicações que estão usando BITS. Para saber como controlar a aceleração do BITS, consulte Diretivas de grupo (Conteúdo em Inglês)

• Utilize o controle de Internet Information Services (IIS) para limitar a aceleração para um ou mais serviços da Web.

• Use grupos de computadores para controlar o lançamento. Um computador cliente se identifica como um membro de um grupo específico de computadores quando envia informações para o servidor WSUS. O servidor WSUS usa essas informações para determinar quais atualizações devem ser implantadas neste computador. Você pode configurar vários grupos de computadores e, sequencialmente, aprovar grandes downloads do service pack para um subconjunto desses grupos.

Serviço inteligente de transferência de fundo

O WSUS usa o protocolo do Serviço de Transferência Inteligente em Segundo Plano (BITS) para todas as suas tarefas de transferência de arquivos. Isso inclui downloads para computadores clientes e sincronizações de servidor. O BITS permite que os programas baixem arquivos usando a largura de banda adicional. O BITS mantém transferências de arquivos através de desconexões de rede e reinícios do computador. Para obter mais informações, consulte: Serviço de transferência inteligente de fundo. (Conteúdo em Inglês)

Planejar configurações de atualizações automáticas

Você pode especificar um prazo para aprovar atualizações no servidor WSUS. O prazo impede que os computadores clientes instalem a atualização em um horário específico, mas há várias situações diferentes, dependendo se o prazo expirou, se há outras atualizações na fila para o computador para instalar e se a atualização (Ou outra atualização na fila) requer uma reinicialização.

Por padrão, as Atualizações Automáticas pesquisam o servidor WSUS para atualizações aprovadas a cada 22 horas menos um deslocamento aleatório. Se novas atualizações precisam ser instaladas, elas são baixadas. O tempo entre cada ciclo de detecção pode ser manipulado de 1 a 22 horas.

Você pode manipular as opções de notificação da seguinte maneira:

• Se as Atualizações Automáticas estiverem configuradas para notificar o usuário das atualizações que estão prontas para serem instaladas, a notificação é enviada para o Registro do Sistema e para a área de notificação do computador cliente.

• Quando um usuário com credenciais apropriadas clica no ícone da área de notificação, as Atualizações Automáticas exibem as atualizações disponíveis para instalar. O usuário deve clicar em Instalar para iniciar a instalação. Uma mensagem aparece se a atualização exige que o computador seja reiniciado para completar a atualização. Se um reinício for solicitado, as Atualizações automáticas não podem detectar atualizações adicionais até o computador ser reiniciado.

Se as Atualizações Automáticas estiverem configuradas para instalar atualizações em uma programação definida, as atualizações aplicáveis serão baixadas e marcadas como prontas para instalar. Atualizações automáticas notifica usuários que possuem credenciais apropriadas usando um ícone de área de notificação e um evento é logado no log do sistema.

No dia e na hora programados, as Atualizações Automáticas instalam a atualização e reinicia o computador (se necessário), mesmo que nenhum administrador local esteja logado. Se um administrador local tiver logado e o computador precisar de reiniciar, as Atualizações Automáticas exibem um aviso e uma contagem regressiva para reiniciar. Caso contrário, a instalação ocorre em segundo plano.

Se o computador deve ser reiniciado e qualquer usuário estiver logado, é exibida uma caixa de diálogo de contagem semelhante, que avisa o usuário sobre o reinício iminente. Você pode manipular o reinício do computador com a Diretiva de Grupo.

Depois que as novas atualizações forem baixadas, as Atualizações Automáticas pesquisam o servidor WSUS para a lista de pacotes aprovados para confirmar que os pacotes que baixou ainda são válidos e aprovados. Isso significa que, se um administrador do WSUS remover atualizações da lista de atualizações aprovadas enquanto as Atualizações Automáticas estão baixando atualizações, apenas as atualizações ainda aprovadas estão realmente instaladas.

Vamos dar uma pause agora, assimilar todo conteúdo apresentados.

Prepare-se que o próximo artigo da série continuaremos sobre a implantação do WSUS.

Fonte: Conteúdo apresentado neste artigo foi uma pesquisa no Youtube em diversos vídeos publicados lá, como também vários trechos do artigo foram retirados do documento oficial da Microsoft Docs e traduzido para o português.