7 – Continuação – Configurar grupos de computadores WSUS e Configurar atualizações do cliente
Olá! Estou de volta dando continuidade à série de artigos sobre o WSUS. Já escrevi seis artigos sobre como implantar um servidor WSUS seguindo as boas práticas recomendadas pela Microsoft. Já demonstrei até como instalar e configurar um servidor WSUS em uma versão Windows Server Core.
Quando escrevi os seis artigos, utilizei o Windows Server 2016. Hoje vou configurar o restante em um servidor com sistema operacional Windows Server 2019. Isso não traz nenhuma grande mudança. A documentação oficial que estou seguindo neste artigo também se refere a configuração do WSUS Windows Server 2016. Em ambos os sistemas operacionais, a configuração é a mesma.
Se você quiser implantar o WSUS em sua organização, recomendo que leia todos os artigos abaixo:
Primeiro – O que é WSUS – Planejando sua implantação.
Segundo – Continuação, planejando sua implantação.
Terceiro – Continuação, planejando sua implantação.
Quarto – Continuação, planejando sua implantação.
Quinto – Continuação – Instalação da Função WSUS.
Passo a passo
Agora é a hora de continuar a saga para configurar o WSUS. Vamos aprender a criar os grupos de computadores no WSUS para gerenciar as atualizações e configurar o recebimento das atualizações pelos clientes. Isso significa que, na prática, vamos configurar a GPO relacionada ao WSUS e aplicá-la aos computadores clientes ou servidores da rede.
Configurar grupos de computadores do WSUS
Os grupos de computadores são uma parte IMPORTANTE das implantações do WSUS (Windows Server Update Services). Os grupos de computadores permitem testar e direcionar atualizações para computadores específicos. Há dois grupos de computadores padrão: Todos os computadores e Computadores não atribuídos. Por padrão, quando cada computador cliente contrata pela primeira vez o servidor do WSUS, esse computador cliente é adicionado a ambos os grupos.
Você pode criar quantos grupos de computadores personalizados forem necessários para gerenciar atualizações em sua organização. Recomendo que crie pelo menos um grupo de computadores para testar as atualizações antes de implantá-las em outros computadores.
Use o procedimento a seguir para criar um novo grupo e atribuir a ele um computador:
Para criar um grupo de computadores
1. No Console de Administração do WSUS, em Update Services, expanda o servidor do WSUS, expanda Computadores, clique com o botão direito do mouse em Todos os computadores e clique em Adicionar grupo de computadores.
2. Na caixa de diálogo Adicionar grupo de computadores, em Nome, especifique o nome do novo grupo e clique em Adicionar.
3. Clique em Computadores e escolha os computadores que quer atribuir a esse novo grupo.
4. Clique com o botão direito do mouse nos nomes dos computadores escolhidos na etapa anterior e clique em Alterar associação.
5. Na caixa de diálogo Definir associação a um grupo de computadores, escolha o grupo de teste que você criou e clique em OK.
Observação: Esta configuração será demonstrada em vídeo.
Configurar atualizações do cliente
A instalação do WSUS configura automaticamente o IIS para distribuir a versão mais recente das Atualizações Automáticas a cada computador cliente que contata o servidor do WSUS. A melhor maneira de configurar as Atualizações Automáticas varia de acordo com o ambiente de rede.
- Em um ambiente que usa o serviço de diretório Active Directory, você pode usar um GPO (Objeto de Política de Grupo) baseado em domínio existente ou criar uma nova GPO.
- Em um ambiente sem Active Directory, use o Editor de Política de Grupo Local para configurar as Atualizações Automáticas e aponte os computadores clientes para o servidor do WSUS.
Observação: Os procedimentos a seguir pressupõem que a rede execute o Active Directory. Esses procedimentos também pressupõem que você tem familiaridade com Política de Grupo e a usa para gerenciar a rede.
São muitas as configurações de GPO que podemos configurar em seu ambiente para que os computadores recebam atualizações do servidor WSUS. Todas as configurações estão explicadas neste link aqui. Recomendo que leia o documento. Só assim você vai compreender o que cada GPO do WSUS faz em seu ambiente de rede. Cada organização tem a sua particularidade. Configure as GPOs do WSUS de acordo com seu ambiente, atendendo as necessidades de sua organização.
Configurar Atualizações Automáticas na Política de Grupo
Se você tiver configurado o Active Directory na rede, poderá configurar um ou vários computadores simultaneamente, incluindo-os em uma GPO (Objeto de Política de Grupo) e configurando essa GPO com as definições do WSUS. É recomendável criar uma nova GPO que contenha somente as definições do WSUS.
Vincule essa GPO do WSUS a um contêiner do Active Directory que seja apropriado para o seu ambiente. Em um ambiente simples, você pode vincular uma única GPO do WSUS ao domínio. Em um ambiente mais complexo, você pode vincular vários GPOs do WSUS a várias OUs (Unidades Organizacionais). Elas permitirão aplicar diferentes definições de política do WSUS a diferentes tipos de computadores ou servidores.
Para habilitar o WSUS por meio de um GPO de domínio
1. No GPMC (Console de Gerenciamento de Política de Grupo), navegue até o GPO em que deseja configurar o WSUS e clique em Editar.
2. No GPMC, expanda Configuração do Computador, expanda Políticas, expanda Modelos Administrativos, expanda Componentes do Windows e clique em Windows Update.
3. No painel de detalhes, clique duas vezes em Configurar Atualizações Automáticas. A política Configurar Atualizações Automáticas é aberta.
4. Clique em Habilitado e selecione uma das opções a seguir na definição Configurar atualização automática:
- Avisar antes de baixar e instalar qualquer atualização. Esta opção notifica um usuário administrativo conectado antes de baixar e instalar as atualizações.
- Baixar automaticamente e notificar antes de instalar. Esta opção começa automaticamente a baixar as atualizações e notifica um usuário administrativo conectado antes de instalá-las. Por padrão, essa opção é selecionada.
- Baixar automaticamente e agendar a instalação. Esta opção começa automaticamente a baixar as atualizações e as instala no dia e hora que você especificar.
- Permitir que o administrador local escolha a configuração. Esta opção permite que administradores locais usem as Atualizações Automáticas do Painel de Controle para escolher uma opção de configuração. Por exemplo, eles podem optar por agendar uma instalação. Os administradores locais não podem desabilitar as Atualizações Automáticas.
5. Selecione Habilitar destino do lado do cliente, selecione Habilitado e digite o nome do grupo de computadores do WSUS ao qual você deseja adicionar este computador na caixa Nome do grupo de destino para este computador.
Observação: Habilitar destino do lado do cliente permite que os computadores clientes se adicionem aos grupos de computadores de destino no servidor do WSUS quando as Atualizações Automáticas são redirecionadas para um servidor do WSUS. Se o status for definido como Habilitado, este computador se identifica como um membro de um determinado grupo de computadores quando envia informações para o servidor do WSUS. Assim, ele determina quais atualizações estão implantadas no computador. Essa configuração indica ao servidor do WSUS qual grupo o computador cliente usará. Você deve criar o grupo no servidor do WSUS e adicionar computadores membros do domínio ao grupo.
6. Clique em OK para fechar a política Habilitar destino do lado do cliente e retornar ao painel de detalhes do Windows Update.
7. Clique em OK para fechar a política Configurar Atualizações Automáticas e retornar ao painel de detalhes do Windows Update.
8. No painel de detalhes do Windows Update, clique duas vezes em Especificar o local do serviço de atualização na intranet da Microsoft.
9. Clique em Habilitado. No servidor nas caixas de texto Definir o serviço intranet de atualização para detectar atualizações e Definir o servidor de estatísticas da intranet, digite:
Exemplo: Se o seu servidor WSUS tem o seguinte hostname (nome) WSUS, seu domínio é gabrielluiz.local e a porta utilizada será a 8530, digite: http://WSUS.gabrielluiz.local:8530 em ambas as caixas.
Observação: Ao digitar o endereço da intranet do servidor do WSUS, verifique se especificou qual porta será usada. Por padrão, o WSUS usará a porta 8530 para HTTP e 8531 para HTTPS. Por exemplo, se você estiver usando HTTP, deverá digitar http://nomedoservidor:8530.
10. Clique em OK.
Depois de configurar um computador cliente, leva algum tempo até que o computador apareça na página Computadores no Console de Administração do WSUS. Para computadores clientes que estão configurados com um Objeto de Política de Grupo baseado em domínio, pode levar cerca de 20 minutos para que a Política de Grupo aplique as novas definições de política ao computador cliente. Por padrão, a Política de Grupo é atualizada em segundo plano a cada 90 minutos, com um deslocamento aleatório de 0 a 30 minutos.
Para atualizar uma Política de Grupo com antecedência, abra uma janela do prompt de comando no computador cliente e digite gpupdate /force.
Para computadores cliente configurados usando o Editor de Política de Grupo Local, o GPO é aplicado imediatamente e a atualização leva cerca de 20 minutos. Se você quiser começar a detecção manualmente, não precisa aguardar 20 minutos para que o computador cliente contate o WSUS.
A espera para que a detecção comece pode ser um processo demorado. É possível usar o seguinte procedimento para iniciá-la imediatamente.
Observação: Esta configuração será demonstrada em vídeo.
Para iniciar uma detecção do WSUS imediatamente
1. No computador cliente, abra uma janela Prompt de comando com privilégios elevados.
2. Digite wuauclt.exe /detectnow e pressione ENTER.
Observação: Esta configuração será demonstrada em vídeo.
Vídeo
No vídeo, será demonstrado de forma como configurar grupos de computadores WSUS e configurar atualizações do cliente. O processo de configuração dos clientes e servidor WSUS também inclui as configurações da Política de Grupo (GPO) e configurações que devem ser executadas no servidor WSUS, o que também será demonstrado no vídeo.
Referência
Há 10 anos atuo na área de TI focado em suporte e administração de infraestrutura, especializado em plataformas Microsoft. Tenho grande experiência em troubleshooting, implantação, configuração e administração de funções e recursos de tecnologia Microsoft. Formado em Redes de Computadores pela faculdade Estácio de Sá de Belo Horizonte.
Comecei a compartilhar o meu conhecimento no ano de 2012, fazendo artigos e vídeos para o meu Blog. Em 2017 comecei a escrever artigos para o portal Cooperati, em 2020 fui premiado como Microsoft MVP, na categoria Cloud and Datacenter Management.
Sou apaixonado em compartilhar o meu conhecimento. Meu lema é: O conhecimento só é válido quando compartilhado.
Amigo…
Minhas estações não buscam as atualizações por nada, e todos foram encontrados no meu servidor WSUS.
O que posso estar fazendo?
Boa tarde. Muito obrigado por prestigiar o nosso trabalho. Agora vamos a sua dúvida. Você já aprovou a atualizações? Você criou grupos de atualizações e criou a GPO de atualização corretamente?
Bom dia!
Sim, aprovei atualizações, criei 2 grupos (Win7 e Win10, para as maquinas com o OS respectivos), criei a politica de grupo. Nas estações alterei a politica para apontar até meu server (http://serverwsus.local:8530), o servidor encontra as maquinas, falta o mais importante que é os terminais baixarem as atualizações.
Bom dia.
Faça o seguinte em uma estação de trabalho. Execute o navegador é coloque o seguinte endereço: http://serverwsus.local:8530/selfupdate/wuident.cab
Verifica se baixa o arquivo.
Consegui realizar o download pela estação que está no grupo WIN7, baixou o arquivo wuident.cab, abri ele com o winrar e dentro tem um txt com o nome de wuident.txt. Você que que te passe o conteudo do txt?
Aproveitando, agradeço e muito sua ajuda, achei que não ia vera a pergunta na pagina rsrsrs.
Dentro do txt tem a seguinte URL
[SusClientUpdate]
ServerUrlEx=”http://ds.download.windowsupdate.com/v11/3/windowsupdate”
Se realizou o download é porque está funcionando, deve estar faltando algum detalhe, me chamma no Telegram 3199329-2129, vou fazer uma verificação do seu ambiente WSUS junto com você.
Ei Gabriel, boa noite!
Eu já tenho um WSUS, estou trocando de tecnologia de Hyper-V para Vmware, eu gostaria de migrar meu WSUS.
Para realizar esta ação basta eu implementar um novo e copiar os arquivos para o novo HD ?
[…] Se quiser saber mais sobre como implantar e configurar um servidor WSUS (Windows Server Update Services) em sua organização, eu escrevi uma série de artigos sobre ele, iniciando pelo planejamento até a sua implantação, todos os artigos podem ser acessados neste link aqui. […]