Delinear as opções de implantação de servidor do Windows Server Update Services
Antes de instalar e configurar servidores do WSUS (Windows Server Update Services), você precisa considerar como implantar o WSUS em seu ambiente. As implementações do WSUS variam de acordo com o tamanho e a configuração, dependendo do ambiente de rede e de como você deseja gerenciar as atualizações. Você pode ter apenas um servidor do WSUS para toda a organização, vários servidores do WSUS atuando de modo independente ou vários servidores do WSUS conectados uns aos outros em uma hierarquia.
Um único servidor WSUS
A implementação mais básica do WSUS usa apenas um servidor do WSUS dentro de sua rede. Esse servidor se conecta ao Microsoft Update e baixa atualizações por meio do firewall. O servidor do WSUS usa a porta 8530 para comunicação HTTP e a porta 8531 para HTTPS, em vez dos valores padrão 80 e 443, respectivamente. Você precisa garantir que o firewall tenha as regras necessárias para permitir que o servidor se conecte ao Microsoft Update. Esse cenário básico é normalmente usado para redes pequenas com apenas um local físico.
Vários servidores do WSUS
Se seu ambiente for composto por vários locais físicos isolados, talvez seja necessário implementar um servidor do WSUS em cada local. Nesse cenário, cada servidor do WSUS tem uma conexão própria com a Internet para baixar atualizações do Microsoft Update.
Embora essa seja uma opção válida, ela requer um esforço administrativo substancialmente maior, especialmente à medida que o número de locais físicos aumenta, porque você precisa gerenciar cada servidor individual do WSUS de modo independente. Você precisa baixar atualizações para cada servidor separadamente, aprovar atualizações em cada servidor individualmente e gerenciar clientes do WSUS para que eles recebam atualizações do servidor do WSUS correto.
Servidores individuais do WSUS funcionam bem para organizações que têm um pequeno número de locais físicos, em que cada local físico tem a própria equipe de gerenciamento de TI. Você também pode usar esse cenário para apenas um local físico que tenha muitos clientes para ser gerenciado por apenas um servidor do WSUS, colocando vários servidores do WSUS em um cluster de NLB (Balanceamento de Carga de Rede).
Servidores do WSUS desconectados
Um servidor do WSUS desconectado é um servidor que não se conecta ao Microsoft Update pela Internet ou que não recebe as próprias atualizações de nenhum outro servidor na rede. Em vez disso, esse servidor recebe as próprias atualizações por meio de mídia removível, geradas em outro servidor do WSUS.
Um servidor do WSUS desconectado é mais comum em ambientes de rede isolados e sem acesso à Internet, como em alguns ambientes de alta segurança. Você pode usar um servidor do WSUS em um local diferente para sincronizar com o Microsoft Update, exportar as atualizações para mídia portátil e, em seguida, transportar a mídia portátil para o local remoto a ser importado para o servidor do WSUS desconectado.
Hierarquias de servidores do WSUS
Todos os cenários que discutimos até agora lidam com um servidor do WSUS gerenciado de modo independente que se conecta diretamente ao Microsoft Update ou recebe as próprias atualizações de maneira desconectada. No entanto, em organizações maiores com vários locais físicos, talvez você queira ter a capacidade de sincronizar com o Microsoft Update em um servidor. Talvez você também queira fazer push das atualizações para servidores em vários locais pela rede e aprovar atualizações de apenas um local.
As hierarquias de servidor do WSUS permitem que você:
Baixe atualizações para servidores mais próximos de clientes, como servidores em filiais.
Baixe as atualizações uma vez em apenas um servidor e replique as atualizações pela rede para outros servidores.
Separe servidores do WSUS com base no idioma usado pelos clientes deles.
Dimensione servidores do WSUS para uma organização grande que tem mais computadores cliente do que apenas um servidor do WSUS seria capaz de gerenciar.
Em uma hierarquia de servidores do WSUS, há dois tipos de servidores:
Servidores upstream. Os servidores upstream se conectam diretamente ao Microsoft Update para recuperar atualizações ou são desconectados e recebem atualizações usando mídia portátil.
Servidores downstream. Os servidores downstream recebem atualizações de um servidor upstream do WSUS.
Você pode configurar servidores downstream em um de dois modos:
Modo autônomo. O modo autônomo, ou administração distribuída, permite que um servidor downstream receba atualizações de um servidor upstream, mas permite que os administradores mantenham a administração das atualizações localmente. Nesse cenário, o servidor downstream mantém um conjunto próprio de grupos de computadores e as atualizações podem ser aprovadas independentemente das configurações de aprovação nos servidores upstream. Isso permite que um grupo diferente de administradores gerencie atualizações em seus locais próprios e use apenas o servidor upstream como uma fonte de atualizações que podem ser baixadas.
Modo de réplica. O modo de réplica, ou administração centralizada, permite que um servidor downstream receba atualizações, informações de associação de grupo de computadores e aprovações de um servidor upstream. Nesse cenário, um grupo de administradores pode gerenciar atualizações para toda a organização. Além disso, os servidores downstream podem ser colocados em diferentes escritórios físicos e receber todas as atualizações e dados de gerenciamento de um servidor upstream.
Você pode ter várias camadas em sua hierarquia do WSUS. Você pode configurar alguns servidores downstream para usar o modo autônomo e pode, simultaneamente, usar o modo de réplica para configurar outros servidores. Por exemplo, você pode ter apenas um servidor upstream conectado ao Microsoft Update, baixando atualizações para toda a sua organização. Você pode ter dois outros servidores downstream no modo autônomo, um que gerencia atualizações para todos os computadores que executam software em inglês e outro para todos os computadores que executam software em espanhol. Por fim, você pode ter outro conjunto de servidores downstream recebendo as atualizações deles dos servidores do WSUS de camada intermediária configurados no modo de réplica. Esses são os servidores dos quais os clientes realmente recebem as atualizações, mas todo o gerenciamento é feito na camada intermediária.
[OBSERVAÇÃO] Você pode configurar servidores downstream para baixar os metadados de informações de atualização de um servidor upstream, mas para que eles baixem as atualizações por conta própria do Microsoft Update. Essa é uma configuração comum quando os servidores downstream têm boa conectividade com a Internet e você deseja reduzir o tráfego de WAN.