rMenezes – Useful FilesTudo para o profissional de TI

Conhecendo o Windows Server Update Services (WSUS)

Rodrigo Menezes on January 7th, 2008

O Microsoft® Windows™ Server Update Services (WSUS) permite que administradores instalem as últimas atualizações dos produtos Microsoft Windows Server 2000, Windows Server 2003, e Windows XP. Usando o WSUS, administradores podem gerenciar completamente a distribuição de atualizações que são lançadas pelo serviço Microsoft Update para todos computadores de sua rede.

O WSUS provê o gerenciamento de infraestrutura consistindo no seguinte:

Microsoft Update

É o site da Microsoft que os components do WSUS conectam para baixar as atualizações dos produtos Microsoft.

Servidor Windows Server Update Services

É o componente instalado em um computador rodando Windows® 2000 Server com Service Pack 3 (SP3) ou Windows Server 2003 dentro da rede corporativa, abaixo do firewall da rede. O servidor WSUS prove as funções que administradores precisam para gerenciar e distribuir as atualizações através de uma aplicação baseada na web, que pode ser acessada pelo Internet Explorer ou qualquer computador Windows na rede corporativa. O servidor WSUS pode ser baixar os pacotes por outro servidor WSUS dentro da organização. O servidor WSUS que age como um disponibilizador de pacotes é chamado de “upstream server”. Na implementação do WSUS, pelo menos um servidor WSUS na rede deve se conectar ao site da Microsoft Update para baixar as atualizações disponíveis e suas informações. O administrador pode determinar, baseado na segurança da rede ou em alguma configuração específica, quantos outros servidores deverão se conectar ao site da Microsoft.

Atualizações Automáticas

O software cliente é instalado em um computador Windows 2000 com SP3, Windows XP e Windows Server 2003. As atualizações automáticas permitem que tanto os desktops ou os servidores da rede recebam atualizações.

Novos recursos do WSUS

O WSUS é a nova versão do já conhecido Software Update Services (SUS). Ele é feito sobre a estrutura do SUS provendo mais as seguintes funções:

•	Mais atualizações para os produtos Microsoft.
•	Habilidade de baixar automaticamente as atualizações por produto ou tipo.
•	Linguagens adicionais para suportar clientes em todo mundo.
•	Maximizar a utilização de rede utilizando a tecnologia Background Intelligent Transfer Service (BITS) 2.0. (O BITS 2.0 não é instalado pelo WSUS, e está disponível para download pelo site Windows Update.)
•	Habilidade de atualizar computadores específicos ou grupos de computadores.
•	Habilidade de verificar atualizações que cabem em cada computador antes de instalá-las (essa função roda automaticamente para atualizações críticas e de segurança).
•	Funções de instalação flexíveis.
•	Funções de relatórios.
•	Opções de banco de dados mais flexíveis.
•	Migração de dados e capacidade de importar e exportar dados.
•	Pode se criar aplicações para gerenciar o servidor com a utilização de APIs (application programming interface).

Necessidades para servidores

A lista abaixo mostra as necessidade de software para o servidor WSUS e seus clientes.

Servidores WSUS

•	Windows 2000 Server com Service Pack 3 (SP3) ou Windows Server 2003 Standard Edition, Enterprise Edition, Datacenter Edition, ou Web Edition.
•	Microsoft Internet Information Services (IIS) 5.0.
•	Microsoft Internet Explorer 6.0.

Computadores clientes do WSUS

•	Windows 2000 com SP3, Windows XP ou Windows Server 2003 Standard Edition, Enterprise Edition, Datacenter Edition, ou Web Edition.

 

Funções do serviço Windows Server Update

As seguintes funções compreendem os components do lado do servidor para a solução WSUS.

Mais atualizações

O site Microsoft Update fornece atualizações para o Microsoft Windows, Office, SQL Server, e Exchange. Mais produtos da Microsoft serão disponíveis no futuro.

Algumas atualizações especificas podem ser baixadas automaticamente

Quando um servidor WSUS baixa uma atualização disponível através do site da Microsoft ou através de um servidor WSUS upstream, ocorre um “sincronismo” entre os servidores.

Os administradores podem escolher quais atualizações podem ser baixadas durante o sincronismo, baseados nos seguintes critérios:

•	Produtos ou família de produtos (por exemplo, Microsoft Windows Server 2003 ou Microsoft Office)
•	Categorias de atualizações (por exemplo, Critical Updates e/ou Drivers)
•	Línguas (por exemplo, Inglês e Português (Brazil) somente)

Administradores podem também determiner um tempo determinado para realizar o sincronismo.

Ações determinadas automaticamente através de aprovação do administrador

Um administrador deve “aprovar” cada ação.

A aprovação de ações incluem o seguinte:

•	Instalação
•	Remoção (essa ação é possível somente se a atualização suporta a desinstalação)
•	Detecção
•	Negação

Os administradores podem configurar um tempo limite para a instalação ou remoção de atualizações.

Habilidade de determiner a aplicação da atualização antes de instalá-la

Os administratodores podem estimar quantos computadores precisam de uma atualização aprovando a ação detect-only para uma atualização. A ação “detect-only” determina, por computador, se uma atualização é apropriada. Isso permite que administradores analisem o impacto de uma atualização antes de planejar e implementar a instalação. Quando um administrador aprova a atualização por detecção, a deteção ocorre em computadores na próxima vez que os clientes se comuniquem com o servidor.

O administrador pode também criar uma ação para cada tipo de atualização para ser detectada e instalada nas máquinas. Com isso pode se criar um grupo de máquinas testes e logo que uma atualização é lançada, o servidor aprova automaticamente e instala nesse grupo teste. Com isso as aplicações da empresa podem ser testadas nessas máquinas teste antes de implementar em toda a rede.

Atualizações classificadas como Criticas ou atualizações de Segurança são automaticamente aprovadas para detecção.

Targeting

Permite que administradores implementem atualizações para computadores específicos e grupos de computadores. Isso pode ser configurado tanto pelo servidor do WSUS diretamente usando Políticas de Grupo (Group Policy) no Active Directory®, ou nos computadores clientes editando as configurações de registro.

Os seguintes exemplos mostram o que os administradores podem fazer com o targeting.

•	Instalar novas atualizações para um grupo de computadores e então validá-las antes de distribuir para o ambiente de produção.
•	Proteger computadores que rodam aplicações específicas. Por exemplo, se uma atualização crítica é incompatível com uma aplicação usada por certos computadores, o administrador pode se assegurar que o servidor não instale essas atualizações nas máquinas específicas.
•	Especificar um tempo limite para instalar uma atualização, e então configurar tempos limite para diferentes computadores ou grupos de máquinas.

Opções de Base de Dados

A base de dados do WSUS guarda as informações, eventos de atualizações nos clientes e as configurações do servidor WSUS.

Os administradores possuem as seguintes opções de base de dados para o WSUS.

•	O Microsoft SQL Server 2000 Desktop Engine (Windows) (WMSDE) database que o WSUS pode instalar durante o setup em um Windows Server 2003.
•	Uma base Microsoft® SQL Server™ 2000 existente.
•	Uma base Microsoft Data Engine 2000 (MSDE) com Service Pack 3 (SP3) ou superior já existente.

Sincronização

O WSUS permite aos administradores criarem uma infraestrutura de gerenciamento das atualizações baseada na hierarquie de servidores WSUS.

Com a sincronização, atualizações, grupos alvo, e aprovações criadas pelos administradores em um servidor WSUS central, as configurações podem ser enviadas aos outros servidores automaticamente. Isso é importante pois os clientes somente acessam o servidor local, deixando a utilização de banda ser realizada entre servidores WSUS e permitindo o gerenciamento de atualizações mesmo em links de baixa capacidade.

Relatórios

Usando os relatórios do WSUS, os administradores podem monitorar as seguintes atividades.

•	Estado das atualizações: pode ser gerado por atualização, por computador, e por grupo baseado em todos os eventos que são enviados aos clientes.
•	Estado dos computadores: o administrador pode ver o quão atualizada está uma máquina em relação as atualizações aprovadas no servidor.
•	Sumário de máquinas: os administradores podem ver ou imprimir um sumário com informações específicas de computadores incluindo software básicos e informações de hardware, atividade do WSUS e estado de atualização.
•	Sumário das atualizações: os administradores podem ver ou imprimir um sumário com informações sobre as atualizações.
•	Estado do sincronismo

Extensibilidade

É fornecido um kit de ferramentas (SDK) para que desenvolvedores criem APIs na plataforma .NET para gerenciamento do servidor.

Backup e restauração

O WSUS suporta uma série de opções para realizar o backup e restauração de suas informações, incluindo uma ferramente em linha de commando para fazer backup da base MSDE e WMSDE, NTbackup para informações de atualização, e SQL Enterprise manager para os metadados do Servidor SQL.

Cenários para implementação

O servidor WSUS é flexível o suficiente para aceitar uma grande quantidade de especificações. O serviço pode ser configurado para trabalhar especificamente com a infra-estrutura da empresa, tanto com escritórios conectados a links rápidos e lentos quanto aos escritórios sem acesso a internet ou com conexão aos servidores WSUS principais.

Nessa seção iremos explorar algumas opções de implementação para os servidores WSUS.

Servidor WSUS Simples (Empresas pequenas ou redes simples)

Em um cenário simples, administradores podem criar um servidor para rodar o WSUS dentro da rede da empresa, abaixo do firewall. O servidor se sincroniza diretamente com o site do Microsoft Update, e distribui as atualizações para os computadores clientes, como está mostrado na figura abaixo.

Servidor WSUS Simples

Vários Servidores WSUS (Empresas de Médio Porte ou redes mais Complexas)

Os seguintes cenários são condições comuns de implementação dos componentes do WSUS em empresas de médio porte ou com redes mais complexas.

Vários Servidores WSUS Independentes

Os administradores podem implementer vários servidores que são configurados para que cada servidor seja gerenciado independentemente dos outros e que todos se sincronizem com o site do Microsoft Update, como mostra a figura abaixo.

Vários Servidores WSUS Independentes

O método de implementação para esse cenário deve ser apropriado para situações onde redes diferentes (LANs) ou redes distantes (WANs) são gerenciadas por grupos diferentes de pessoas. Essa estrutura também é apropriada nos casos onde um servidor rodando o WSUS atualiza estações que rodam somente um sistema operacional (como o Windows 2000), enquanto outro servidor somente atualiza estações com outro sistema (como o Windows XP). Nessas situações, os 2 servidores não precisam ser sincronizados.

Vários Servidores WSUS Sincronizados Internamente

Administradores podem implementer uma rede com vários servidores rodando o WSUS que sincronizam suas informações através da rede da organização. Na figura abaixo, somente um servidor tem acesso a internet e faz a atualização com o site do Microsoft Update, o outro ou outros servidores recebem os pacotes e informações do servidor central WSUS. O servidor que se sincroniza com o site da internet (central) é chamado de upstream server – a fonte de onde os outros servidores se sincronizam. Quando aplicado, servidores podem ser colocados através de redes separadas geograficamente, dependendo do link entre os servidores. Com essa aplicação se concentra o tráfego de rede entre os servidores e se economiza com acesso a internet. As informações também se tornam centralizadas.

Vários Servidores WSUS Sincronizados Internamente

Servidores WSUS Desconectados (Acesso a Internet Limitado ou Restrito)

Se as políticas da corporação não permitem o acesso do escritório remoto (ou filial) Ã internet, não existe uma conexão de rede boa entra os dois escritórios ou no pior dos casos o escritório é isolado, um servidor desconectado pode ser colocado no escritório. Como ilustrado na figura abaixo, um servidor é criado com acesso a Internet e faz o papel de upstream server, esse mesmo servidor é isolado de suas réplicas. Depois de baixar as atualizações, testar e aprovar, um administrador pode exportar os dados para um CD, e então, a partir do CD, importar as atualizações para o servidor rodando WSUS. A figura abaixo mostra uma representação bem simplista da implementação, ela pode ser realizada em uma escala bem maior.

Servidores WSUS Desconectados sem Intranet ou acesso a Internet

 

O Processo de Gerenciamento de Atualizações

A implementação de atualizações do Windows deve seguir um processo bem especificado de passos. Eles são responsáveis pela implementação do serviço de atualização, replicação do cenário, download de atualizações, testes com os aplicativos da empresa para segurança dos aplicativos de negócio da empresa e implementação. Quatro fases são abordadas abaixo sobre os passos para a implementação correta de atualizações.

Os quarto passos para o processo de gerenciamento de atualizações

1. Avaliação

Os objetivos para a fase de Avaliação são:

•	Entender as ameaças potenciais para o ambiente de produção.
•	Configurar o ambiente de produção para suportar gerenciamento de atualizações em situações de rotina ou cenários de emergência.

Mesmo sendo o primeiro passo, a fase de Avaliação é essencial para o processo. Por exemplo, administradores precisam verificar quantos servidores ou estações precisam das atualizações, quais as necessidades de rede e armazenamento necessárias e qual o tempo aceitável para implementação das atualizações. Com todas informações, pode-se determiner a topologia de implementação mais eficaz. O servidor WSUS permite que se gerencie computadores clientes em um ambiente com Active Directory ou não.

2. Identificação

Os objetivos para a fase de Identificação são:

•	Descobrir novas atualizações de um jeito conveniente.
•	Determine quando as atualizações são relevantes para o ambiente de produção.
•	Determinar a prioridade das atualizações.

Para determiner se uma atualização é relevante para o ambiente de produção, os administradores podem verificar as propriedades de cada pacote. Com a opção de só detectar (detect-only) pode-se determiner quandos computadores precisam de atualizações e como a implementação irá impactar a rede.

3. Avaliação e Planejamento

Os objetivos para a fase de Avaliação e Planejamento são:

•	Testar atualizações em um ambiente separado ao da produção.
•	Determinar quando sistemas cruciais para a empresa podem ser comprometidos pelas atualizações.
•	Determinar tarefas necessaries para implementer atualizações na produção, planejar o lançamento das atualizações, e conduzir testes aceitáveis das versões.

Ao avaliar atualizações em um ambiente de teste, as funções do WSUS permitem que os administradores preparem seus sistemas e verifiquem os resultados. Isso serve para que não ocorra surpresas logo após a implementação de uma atualização e não eixste parada de sistemas.

4. Implementação

Os objetivos da fase de Implementação são:

•	Testar, aprovar, e agendar as intalações de atualizações.
•	Rever o processo de implementação depois de completado.

Verificar o ambiente de produção para garantir que ele possa suportar as atualizações antes de implementá-las. O servidor WSUS permite que os administradores recejam as propriedades de uma atualização e que façam uma varredura da rede para detectar quem precisa dela.

Durante o processo, o administrador irá definir quem recebe os pacotes por grupos de máquinas usando o Active Directory ou não, quando irão se atualizar e tem uma enorme varidade de relatórios para verificar onde as atualizações forem bem sucessidadas e onde apresentou-se problemas.

Mais informações

Acesse o Windows Server Update Services site no endereço http://go.microsoft.com/fwlink/?linkid=47374.