Esta matéria foi escrita a quatro mãos. Quem produziu o roteiro detalhado e testou em suas minúcias o WSUS foi ANDRÉ GOMES PACHECO , que trabalha comigo. Ele estudou a fundo o assunto, montou uma plataforma de teste e destrinchou no detalhe as partes desta super útil ferramenta. Eu palpitei um bocado e participei dos […]
Esta matéria foi escrita a quatro mãos. Quem produziu o roteiro detalhado e testou em suas minúcias o WSUS foi ANDRÉ GOMES PACHECO , que trabalha comigo. Ele estudou a fundo o assunto, montou uma plataforma de teste e destrinchou no detalhe as partes desta super útil ferramenta. Eu palpitei um bocado e participei dos testes e agreguei a minha visão do assunto.
OCENÁRIO
A ferramenta não é nova. A Microsoft oferece gratuitamente há mais de 2 anos. Meu espanto é ver um número imenso de empresas que ainda ignoram a existência do WSUS – Windows Server Update Services. Pelo menos 5 em 10 administradores de rede que conheço a desconhecem, e 2 em 10 a utilizam de fato. Vamos descrever o problema. A empresa tem um bom link com a Internet. Certa quantidade de máquinas, 30, por exemplo. Um belo dia fica disponível uma atualização crítica do Windows, seja ele 2000, XP, Vista, Windows Server 2000/2003, etc. Vamos supor que esta atualização tenha um tamanho razoável, algo como 50 Mbytes. Faça uma conta rápida. Serão transferidos 1.5 Gbytes, a mesma atualização de 50 Mbytespara os 30 PCs. Em um link de 1 Mbps funcionando a plena carga, isso consumiria 100% da banda da Internet por quase 4 horas. Na prática isso não acontece, pois a demanda dos usuários é dividida com as atualizações. Mas resultaria em um dia inteiro de acesso muuuuuuito ruim à Internet. Excesso de tráfego!
Este cenário foi “desenhado” para uma empresa com 30 PCs. Imagine agora se fossem 100, 200 ou 500 PCs!!! Um caos completo por vários dias. Ok eu exagerei um pouco. São raras a atualizações de 50 Mbytes e nem todos os PCs fazem o download das atualizações críticas automaticamente (mas certamente deveriam ser configurados assim). Mas mesmo em um cenário mais leve, o aumento do número e máquinas torna uma simples renovação das vacinas do Windows Defender um pesadelo. Não daria para um computador somente fazer o download das atualizações e os outros computadores pegarem pela rede local? Claro que dá! O Symantec Antivirus (ou SAV-a versão corporativa do Norton) faz isso há anos com suas vacinas. Para isso a Microsoft criou o WSUS.
[singlepic id=7457 w=320 h=240 float=]
A página da Microsoft que tem um compêndio detalhado sobre o WSUS é e vale a pena ser visitada pelos interessados como complemento a esta coluna.
Segue abaixo um roteiro detalhado para quem quiser testar por si só o WSUS. Pensei em dividir este roteiro em várias partes para não ficar grande demais. Mas mudei de idéia. Resolvi postar de uma só vez, pois para as pessoas que se interessam, poderão ver de uma só vez o roteiro.
A versão 3.0 é a mais atual e tem bem mais recursos, mas só roda em Windows Server 2003. Caso alguém queira testar, pode obter o próprio Windows Server 2003 em uma versão de testes, que funciona por 120 dias em .
Em nossos testes utilizamos máquinas virtuais VMware. Poderíamos ter usado o VirtualPC da Microsoft que também tem versão gratuita. Outra alternativa interessante é baixar do site da Microsoft um arquivo VHD (Virtual Hard Disk de Virtual PC) com um Windows 2003 Server já instalado para começar os testes.
O WSUS 3.0 (Microsoft Windows Server Update Services 3.0) permite que os administradores da rede, consigam fazer as atualizações de praticamente todos os produtos Microsoft, que tem instalado os seguintes sistemas operacionais :
• Windows 2000 Professional com Service Pack 4
• Windows XP com Service Pack 2
• Windows Vista
• Windows Defender
• Windows 2000 Server com Service Pack 4
• Windows Small Business Server 2003
• Windows Server 2003.
E ainda, o WSUS 3.0, também suporta atualização para os seguintes produtos;
• Microsoft Office 2002/XP/2003/2007
• Microsoft Exchange 2000/2003/2007/2007 Anti-spam
• Firewall Client for ISA Server
• ISA Server 2004/2006
• Compute Cluster Pack
• Max
• Microsoft Core XML Services
• Microsoft System Center Data Protection Manager
• Data Protection Manager 2006
• Forefront Client Security
• SQL Server 2000 com Service Pack 4
• SQL Server Feature Pack
• SQL Server 2005
• Systems Management Server 2003
• Visual Studio 2005
• Windows Live Mail Desktop
• Windows Live Toolbar
• Zune software
Para fazer o download do WSUS 3.0, entre no link abaixo e salve no seu computador.
Antes de executar a instalação do WSUS 3.0, devem ser instalados alguns programas que são pré requisitos necessários :
• Microsoft Internet Information Services (IIS) 6.0
• Microsoft .NET Framework 1.1 Service Pack 1 for Windows Server 2003
• Microsoft Report Viewer 2005 Redistributable
• Microsoft Management Console 3.0
Instalando o WSUS 3.0
1. Execute o arquivo WSUS3Setupx86.exe. Ao abrir a janela de instalação, clique em Next.
2. Na janela Installation Mode Selection , existe duas opções de instalação;
[singlepic id=7458 w=320 h=240 float=]
•
Esta opção é para instalar o WSUS 3.0 Server sobre este servidor.
• Administration Console only se você quer instalar somente a console de administração.
Utilizaremos a primeira opção, selecione Full Server installation including Administration Console e clique em Next. . Desta forma o banco de dados de atualizações e as ferramentas de administração serão instalados. Poder-se-ia somente administrar um WSUS instalado em outra máquina.
3. Na tela License Agreement. Selecione a opção I accept the terms of the License Agreement e clique em Next.
4. Na tela Select Update Source :
[singlepic id=7459 w=320 h=240 float=]
Deixe marcado
5. Em Database Options :
[singlepic id=7460 w=320 h=240 float=]
Selecione o software usado para gerenciar o banco de dados WSUS. Por default, o Setup do Windows Internal Database que é um MSDE (Microsoft Database Engine). Se você não pretende usar o Windows Internal Database , você deve fornecer uma instância do SQL Server para o WSUS usar, clicando em Using an existing database server on this computer e digitando o nome da instância na caixa de texto, e deve aparecer como , onde serverName é o nome do servidor e instanceName é o nome da instância do SQL. Vamos utilizar o default do WSUS e clique em Next.
6. Na tela Web Site Selection :
[singlepic id=7461 w=320 h=240 float=]
Especifique o site a ser usado pelo Use the existing IIS Default Web site (recommended) .
7. Na tela Ready to Install Windows Server Update Services 3.0:
[singlepic id=7462 w=320 h=240 float=]
Verifique as configurações e clique no botão
8. Clique em Finish para concluir a instalação.
[singlepic id=7463 w=320 h=240 float=]
Ao clicar em
Configurando o WSUS 3.0
O produto já está corretamente instalado. Agora falta configurá-lo para realizar todas as atualizações que forem desejadas.
Se houver um firewall corporativo entre o WSUS e a Internet , talvez seja necessário configurar o firewall para garantir que o WSUS possa obter as atualizações. Para obter as atualizações do Microsoft Update, o servidor do WSUS usa a porta 80 para o protocolo HTTP e a porta 443 para o protocolo HTTPS. Essas opções não são configuráveis.
Se a empresa não permitir que essas portas e esses protocolos fiquem abertas para todos os endereços, você pode restringir o acesso apenas aos seguintes domínios para que o WSUS e o Automatic Updates se comuniquem com o Microsoft Update: :
• http://windowsupdate.microsoft.com
• http://*.windowsupdate.microsoft.com
• https://*.windowsupdate.microsoft.com
• http://*.update.microsoft.com
• https://*.update.microsoft.com
• http://*.windowsupdate.com
• http://download.windowsupdate.com
• http://download.microsoft.com
• http://*.download.windowsupdate.com
• http://wustat.windows.com
• http://ntservicepack.microsoft.com
As etapas de configuração do firewall acima se destinam a um firewall corporativo instalado entre o WSUS e a Internet. Como o WSUS inicia todo o seu tráfego de rede, não é necessário configurar o Firewall do Windows no servidor do WSUS.
1. Na tela Before you Begin :
[singlepic id=7464 w=320 h=240 float=]
Clique em Next.
2. Na tela
[singlepic id=7467 w=320 h=240 float=]
Você pode ajudar a Microsoft a melhorar o próximo produto do WSUS, deixe marcado a opção Yes, I would like to join the Microsoft Update Improvement Program e clique em Next.
3. Na tela
[singlepic id=7468 w=320 h=240 float=]
Você configura se o WSUS irá sincronizar com Microsoft Update ou com outro WSUS Server. Se você escolher sincronizar com outro WSUS Server, você precisará especificar o nome do servidor e a porta, no qual este servidor se comunicará com o servidor upstream. Como esse é o primeiro WSUS Server iremos escolher a opção
4. Na tela Specify Proxy Server :
[singlepic id=7469 w=320 h=240 float=]
Selecione o check box , e digite o nome do servidor Proxy e número da porta (a porta 80 é default) nas caixas correspondentes somente se você usa servidores Proxy . Grandes empresas costuma ter proxies corporativos servindo a várias localidades, assim se otimiza ainda mais o tráfego de bytes na sua rede. Caso o seu servidor WSUS tenha acesso direto para a Internet sem a necessidade de passar por um servidor Proxy você pode pular os passos abaixo e seguir com o assistente.
5. Na tela Connect to Upstream Server:
[singlepic id=7470 w=320 h=240 float=]
Clique no botãopara salvar as informações do servidor de Proxy e fazer o download do servidor upstream. Após o download ter sido concluído com sucesso, clique em Next.
Stop Connecting estará disponível. Se existir qualquer problema com a conexão, clique no botão Stop Connecting , resolva o problema, e restart a conexão.
6. Na tela Choose Languages:
[singlepic id=7471 w=320 h=240 float=]
Permite você fazer o download de todas as linguagens ou de um subconjunto de linguagens. Selecione somente as linguagens que corresponde aos seus clientes WSUS para economizar espaço em disco no servidor WSUS. Selecione as linguagens desejadas e Next.
7. Na tela
[singlepic id=7472 w=320 h=240 float=]
Permite você especificar os produtos para os quais você deseja distribuir as atualizações. Você pode selecionar os produtos por categorias, como por exemplo, , ou por um produto específico, como por exemplo,
. Selecione todos os produtos que você pretende distribuir as atualizações e Next.
8. Na tela Choose Classifications :
[singlepic id=7473 w=320 h=240 float=]
Permite você escolher a classificação das atualizações que você deseja obter. Você pode escolher todas as classificações ou um subconjunto delas, como as críticas, drivers, de segurança, etc. Selecione as opções desejas e Next.
9. Na tela
[singlepic id=7474 w=320 h=240 float=]
Permite você configurar a sincronização para ocorrer de forma manual ou automática. Se você escolher a sincronização manual sobre este servidor, você terá que iniciar o processo de sincronização através da console de administração do WSUS toda vez que você desejar consultar opara verificar se existem novas atualizações disponíveis. Se você escolher a sincronização automática, o WSUS irá sincronizar no intervalo especificado. No campo
você define o horário que irá ocorrer à primeira sincronização. No campo Synchoronization per day você define quantas vezes por dia a sincronização irá ocorrer. Por exemplo, se você especificar que devem ocorrer quatro sincronizações por dia, sendo que a primeira sincronização ocorrerá às 3:00 AM, as sincronizações irão ocorrer às 3:00 AM, 9:00 AM, 3:00 PM, 9:00 PM. Selecione as opções desejas e Next.
10. Após você ter completado todos os passos de configuração acima, na tela Finished :
[singlepic id=7465 w=320 h=240 float=]
Você pode executar a console de administração do WSUS deixando o check boxselecionado e você pode iniciar a primeira sincronização deixando o check box Begin initial synchronization selecionado. Selecione as opções desejadas e Next.
Agora relaxe e espere. Esta primeira sincronização pode demorar horas e horas, eventualmente dias (!!) se você escolheu muitos produtos, idiomas e tipos de atualização.
11. Na tela What´s Next :
[singlepic id=7466 w=320 h=240 float=]
Estes tópicos finais devem ser explorados para integrar o servidor WSUS em seu ambiente. Clique no botão
Abaixo segue um exemplo da tela de administração do WSUS com suas dezenas de opções, controles, e monitoração, etc. É muito interessante a opção que permite ao administrador receber as atualizações e aprovar/liberar somente aquelas que já foram homologadas para que os usuários as recebam.
[singlepic id=7457 w=320 h=240 float=]
Esta parte final é muito importante! Falta agora configurar o lado CLIENTE , ou seja, as estações para realizarem os downloads das atualizações a partir do servidor WSUS no lugar de buscarem no site da Microsoft.Há dois cenários diferentes
1) Rede usando Active Directory (AD)
Essencialmente o que deve ser feito é criar uma Group Policy para isso. Quando se usa o Active Directory é muito mais fácil, pois o administrador do AD, já familiarizado com políticas globais poderá basta criar uma mais política, que afeta todos os computadores do domínio e modifica o local de acesso do Windows Update para todos eles. Isso pode ser feito ao criar um GRUPO DE USUÁRIOS no AD. Uma das abas de propriedades do grupo são as suas POLICIES, que podem ser definidas.
2) Rede sem Active Directory (AD)
Quando não se usa o AD deve ser criada uma Group Policy Local . Isso só é prático em redes pequenas, caso contrário, uma a uma, todas as máquinas deveriam ser configuradas manualmente. Mas afinal, para isso mesmo que existe o Active Directory, consolidar estas políticas todas.
Abaixo segue um roteiro abreviado de como configurar uma Group Policy LOCAL (para computador em rede que não tem AD). Se a rede tiver AD utilize a ferramenta de administração de políticas do AD.
Suponhamos que você esteja usando o Windows XP: vá em:
Iniciar -> Executar e digite “gpedit.msc” , irá abrir a tela Diretivas de Grupo.
Depois expanda: Configurações do computador -> Modelos Administrativos -> Componentes do Windows -> Windows Update, conforme figura abaixo.
[singlepic id=7454 w=320 h=240 float=]
Veja que há mais de uma dúzia de políticas ligadas às atualizações. A que mais nos interessa neste momento é a que está em destaque
[singlepic id=7456 w=320 h=240 float=]
Mais um exemplo interessante é a possibilidade de ajustar os parâmetros de atualização como horário, se vai só baixar ou instalar automaticamente, via políticas :
[singlepic id=7455 w=320 h=240 float=]
Esta coluna passou há muito do tamanho recomendado. Não vou entrar em mais detalhes. Fica aberta a discussão para a troca de experiências dos leitores, dos curiosos e interessados e depoimentos daqueles que têm larga experiência com o WSUS e quiserem chamar a atenção para algum ponto da coluna ou sugerir algo diferente.
Agradeço muito ao André Gomes Pacheco por sua ajuda e espero contar com a colaboração dele em futuras novas coluna
PS: O processo de instalação do WSUS feito neste artigo se apoiou em um tutorial de autoria de Luciano de Lima que foi usado como roteiro para fazer funcionar a ferramenta.
