none
Wsus - Funcionamento RRS feed

  • Pergunta

  • Galera tenho algumas duvidas que não encontrei a resposta em nenhum lugar.

    01 - Quero saber como o wsus busca as atualizações.Exemplo:configurei para baixar apenas atualizações do windows 7,8 e 10,nesse caso ele me mostrou algumas atualizações para aprovar,aqui começa a duvida.

    a)Essas atualizações que estão disponíveis para serem autorizadas só serão baixadas quando eu autorizar ou serão baixadas de qualquer forma?

    b)Ele já me mostra todas as atualizações possíveis para os sistemas que eu escolhi para que eu possa autorizar? 

    02 - Acabei de instalar o windows 7 em uma maquina por exemplo, e coloquei ela no wsus. Ele vai me mostrar todas as atualizações que estão faltando para a minha nova maquina pra que eu possa autorizar ou já vão estar todas baixadas em meu servidor?

    03 - Quanto de HD vocês recomendam para um servidor wsus em um ambiente com 400 maquinas?

    Desde já agradeço.

    terça-feira, 20 de junho de 2017 17:31

Respostas

  • Fabrício_Almeida

    Tudo bem amigo?

    Vamos la:

    01 - Quero saber como o wsus busca as atualizações.Exemplo:configurei para baixar apenas atualizações do windows 7,8 e 10,nesse caso ele me mostrou algumas atualizações para aprovar,aqui começa a duvida.

    a)Essas atualizações que estão disponíveis para serem autorizadas só serão baixadas quando eu autorizar ou serão baixadas de qualquer forma?

    Esta é uma configuração a ser definida por você.

    As duas opções estão disponíveis, ou seja, ou você baixa tudo para seu servidor (metadados e arquivos de instalação), ou somente baixa os metadados e somente após serem aprovados, faz download dos arquivos de instalação propriamente ditos.

    Veja a primeira opção em destaque na figura abaixo. Minha recomendação é baixar apenas metadados. E somente após aprovação dos updates, faz download dos arquivos de instalação, caso contrário seu ambiente (que é grande) vai consumir muito disco do seu servidor. Onde trabalho consome fácil 700Gb.

    b)Ele já me mostra todas as atualizações possíveis para os sistemas que eu escolhi para que eu possa autorizar? 

    Sim, mostrará as atualizações referentes as "Classificações" selecionadas, ou seja:

    (OBS: Desconsidere o destaque abaixo, peguei a imagem da internet)

    02 - Acabei de instalar o windows 7 em uma maquina por exemplo, e coloquei ela no wsus. Ele vai me mostrar todas as atualizações que estão faltando para a minha nova maquina pra que eu possa autorizar ou já vão estar todas baixadas em meu servidor?

    Sim, ele mostrará as atualizações necessárias, instaladas, não aplicáveis, etc. Contudo, seu WSUS precisa ter sido sincronizado pelo menos uma vez com a Microsoft ou servidor upstream se seu servidor for downstream (se for uma instalação nova, senão, desconsidere).

    03 - Quanto de HD vocês recomendam para um servidor wsus em um ambiente com 400 maquinas?

    Opte pela opção que recomendei, para baixar atualizações após aprovação, e assim, te recomendo um HD específico para armazenamento dos updates de pelo menos 200Gb (com sobra).

    Boas Práticas que recomendo:

    Crie grupos de computadores no WSUS para computadores de TESTE e outro grupo para computadores em ambiente de PRODUÇÃO.

    GRUPO DE TESTE = Um computador de cada departamento, assim esse grupo vai representar um terço do seu ambiente como um todo.

    Crie uma regra de aprovação automática para o grupos de TESTE, para as seguintes classificações:

    Security Updates;

    Critical Updates.

    Os updates deverão ser baixados SEMPRE as segundas terças-feiras de cada mês, e SOMENTE aplicar os updates para o grupo de TESTE na terça-feira seguinte. Neste período de uma semana, faça a relação dos updates lançados pela Microsoft, e pesquise por problemas conhecidos neste site:

    https://portal.msrc.microsoft.com/en-us/security-guidance

    Se tudo estiver ok, aplique os updates para o grupo de TESTE e aguarde uma semana para ver se tudo estará ok.

    Após esta semana, aplique os updates para o grupo de PRODUÇÃO.

    Segue abaixo a agenda que utilizo para patching:

    Se ficou dúvidas estou a disposição.

    Att, Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)


    terça-feira, 20 de junho de 2017 18:05
  • Fabrício_Almeida

    Agradeço pelo retorno.

    Sim, recomendo manter da forma que esta, assim o WSUS faz o download dos metadados (apenas informações dos updates onde serão armazenados no banco de dados do WSUS) de todos os updates. E fará o download dos arquivos de instalação (são estes que ocupam bastante espaço em disco) apenas para os updates que você aprovar.

    A opção "do not store update files locally" não deve ser marcada, ele estava destacado na imagem que enviei pois peguei a mesma da internet, me desculpe. Apenas como explicação, esta opção seria valida para um ambiente por exemplo onde seus clientes não se conectam na sua rede interna, e os mesmos poderiam receber as políticas do WSUS (uma vez conectado) e depois fará os updates direto no site da Microsoft. Este é só um exemplo de como usá-la.

    Abraços.

    Att, Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)

    terça-feira, 20 de junho de 2017 19:29
  • Fabrício_Almeida

    É o percentual de updates que a máquina possui instalado, chegará a 100 se não possuir nenhuma atualização necessária para todos os softwares avaliados no cliente pelo WSUS.

    Então se no seu caso esta o percentual como 99%, é um bom sinal, suas máquinas estão com os updates em dia.

    Para testar se existem mais updates que ainda não foram reportados ao WSUS, faça o seguinte na estação:

    wuauclt.exe /reportnow

    Atualize o status dessa máquina cliente no WSUS, e veja se aparecerá mais updates necessários.

    Abraços.

    Att, Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)


    quarta-feira, 21 de junho de 2017 20:15

Todas as Respostas

  • Fabrício_Almeida

    Tudo bem amigo?

    Vamos la:

    01 - Quero saber como o wsus busca as atualizações.Exemplo:configurei para baixar apenas atualizações do windows 7,8 e 10,nesse caso ele me mostrou algumas atualizações para aprovar,aqui começa a duvida.

    a)Essas atualizações que estão disponíveis para serem autorizadas só serão baixadas quando eu autorizar ou serão baixadas de qualquer forma?

    Esta é uma configuração a ser definida por você.

    As duas opções estão disponíveis, ou seja, ou você baixa tudo para seu servidor (metadados e arquivos de instalação), ou somente baixa os metadados e somente após serem aprovados, faz download dos arquivos de instalação propriamente ditos.

    Veja a primeira opção em destaque na figura abaixo. Minha recomendação é baixar apenas metadados. E somente após aprovação dos updates, faz download dos arquivos de instalação, caso contrário seu ambiente (que é grande) vai consumir muito disco do seu servidor. Onde trabalho consome fácil 700Gb.

    b)Ele já me mostra todas as atualizações possíveis para os sistemas que eu escolhi para que eu possa autorizar? 

    Sim, mostrará as atualizações referentes as "Classificações" selecionadas, ou seja:

    (OBS: Desconsidere o destaque abaixo, peguei a imagem da internet)

    02 - Acabei de instalar o windows 7 em uma maquina por exemplo, e coloquei ela no wsus. Ele vai me mostrar todas as atualizações que estão faltando para a minha nova maquina pra que eu possa autorizar ou já vão estar todas baixadas em meu servidor?

    Sim, ele mostrará as atualizações necessárias, instaladas, não aplicáveis, etc. Contudo, seu WSUS precisa ter sido sincronizado pelo menos uma vez com a Microsoft ou servidor upstream se seu servidor for downstream (se for uma instalação nova, senão, desconsidere).

    03 - Quanto de HD vocês recomendam para um servidor wsus em um ambiente com 400 maquinas?

    Opte pela opção que recomendei, para baixar atualizações após aprovação, e assim, te recomendo um HD específico para armazenamento dos updates de pelo menos 200Gb (com sobra).

    Boas Práticas que recomendo:

    Crie grupos de computadores no WSUS para computadores de TESTE e outro grupo para computadores em ambiente de PRODUÇÃO.

    GRUPO DE TESTE = Um computador de cada departamento, assim esse grupo vai representar um terço do seu ambiente como um todo.

    Crie uma regra de aprovação automática para o grupos de TESTE, para as seguintes classificações:

    Security Updates;

    Critical Updates.

    Os updates deverão ser baixados SEMPRE as segundas terças-feiras de cada mês, e SOMENTE aplicar os updates para o grupo de TESTE na terça-feira seguinte. Neste período de uma semana, faça a relação dos updates lançados pela Microsoft, e pesquise por problemas conhecidos neste site:

    https://portal.msrc.microsoft.com/en-us/security-guidance

    Se tudo estiver ok, aplique os updates para o grupo de TESTE e aguarde uma semana para ver se tudo estará ok.

    Após esta semana, aplique os updates para o grupo de PRODUÇÃO.

    Segue abaixo a agenda que utilizo para patching:

    Se ficou dúvidas estou a disposição.

    Att, Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)


    terça-feira, 20 de junho de 2017 18:05
  • Renan primeiramente muito obrigado pelas repostas.

    Agora no meu esta marcado na figura 01 a opção: download update files to this server only when updates approved, nesse caso ele so vai baixar as atualizações quando eu autoriza-las ,correto?Essa é a opção que vc recomenda?

    do not store update files locally;computers install from microsoft update.Se eu marcar essa atualização ele não armazena nada localmente é isso?

    terça-feira, 20 de junho de 2017 18:46
  • Fabrício_Almeida

    Agradeço pelo retorno.

    Sim, recomendo manter da forma que esta, assim o WSUS faz o download dos metadados (apenas informações dos updates onde serão armazenados no banco de dados do WSUS) de todos os updates. E fará o download dos arquivos de instalação (são estes que ocupam bastante espaço em disco) apenas para os updates que você aprovar.

    A opção "do not store update files locally" não deve ser marcada, ele estava destacado na imagem que enviei pois peguei a mesma da internet, me desculpe. Apenas como explicação, esta opção seria valida para um ambiente por exemplo onde seus clientes não se conectam na sua rede interna, e os mesmos poderiam receber as políticas do WSUS (uma vez conectado) e depois fará os updates direto no site da Microsoft. Este é só um exemplo de como usá-la.

    Abraços.

    Att, Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)

    terça-feira, 20 de junho de 2017 19:29
  • Renan so mais uma duvida,aquela porcentagem que fica nas maquinas no wsus,no meu caso so ficam 99%,elas vão chegar a 100%?O que significa?
    quarta-feira, 21 de junho de 2017 12:10
  • Fabrício_Almeida

    É o percentual de updates que a máquina possui instalado, chegará a 100 se não possuir nenhuma atualização necessária para todos os softwares avaliados no cliente pelo WSUS.

    Então se no seu caso esta o percentual como 99%, é um bom sinal, suas máquinas estão com os updates em dia.

    Para testar se existem mais updates que ainda não foram reportados ao WSUS, faça o seguinte na estação:

    wuauclt.exe /reportnow

    Atualize o status dessa máquina cliente no WSUS, e veja se aparecerá mais updates necessários.

    Abraços.

    Att, Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)


    quarta-feira, 21 de junho de 2017 20:15
  • Muito obrigado me esclareceu muito.
    quinta-feira, 22 de junho de 2017 13:23
  • Fabrício_Almeida

    Estou a disposição no que precisar.

    Abraços.

    Att, Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)

    quinta-feira, 22 de junho de 2017 18:20