Descrever as opções de implantação do servidor do Windows Server Update Services
Antes de instalar e configurar servidores WSUS (Windows Server Update Services), você deve considerar como implantar o WSUS em seu ambiente. As implementações do WSUS variam em tamanho e configuração, dependendo do seu ambiente de rede e de como você deseja gerenciar atualizações. Pode ter um único servidor WSUS para toda a organização, vários servidores WSUS a agir de forma independente ou vários servidores WSUS ligados entre si numa hierarquia.
Servidor WSUS único
A implementação mais básica do WSUS utiliza um único servidor WSUS dentro da sua rede. Este servidor liga-se ao Microsoft Update e transfere atualizações através da firewall. O servidor WSUS usa a porta 8530 para comunicação HTTP e a porta 8531 para HTTPS, em vez dos padrões 80 e 443, respectivamente. Você precisa verificar se o firewall tem as regras necessárias para permitir que o servidor se conecte ao Microsoft Update. Este cenário básico é comumente usado para pequenas redes com um único local físico.
Vários servidores WSUS
Se o seu ambiente for composto por vários locais físicos isolados, talvez seja necessário implementar um servidor WSUS em cada local. Nesse cenário, cada servidor WSUS tem sua própria conexão com a Internet para baixar atualizações do Microsoft Update.
Embora essa seja uma opção válida, ela requer um esforço administrativo substancialmente maior, especialmente à medida que o número de locais físicos aumenta, porque você deve gerenciar cada servidor WSUS individual de forma independente. Tem de transferir atualizações para cada servidor separadamente, aprovar atualizações em cada servidor individualmente e gerir clientes WSUS para que recebam atualizações do servidor WSUS correto.
Os servidores WSUS individuais funcionam bem para organizações que têm um pequeno número de locais físicos, onde cada local físico tem sua própria equipe de gerenciamento de TI. Você também pode usar esse cenário para um único local físico que tenha muitos clientes para um único servidor WSUS gerenciar, colocando vários servidores WSUS em um cluster NLB (Balanceamento de Carga de Rede).
Servidores WSUS desconectados
Um servidor WSUS desconectado é um servidor que não se conecta ao Microsoft Update pela Internet nem recebe suas atualizações de qualquer outro servidor na rede. Em vez disso, esse servidor recebe suas atualizações de mídia removível gerada em outro servidor WSUS.
Um servidor WSUS desconectado é mais comum em ambientes de rede isolados sem acesso à Internet, como em alguns ambientes de alta segurança. Você pode usar um servidor WSUS em um local diferente para sincronizar com o Microsoft Update, exportar as atualizações para mídia portátil e, em seguida, transportar a mídia portátil para o local remoto a ser importado para o servidor WSUS desconectado.
Hierarquias de servidores WSUS
Todos os cenários que discutimos até agora lidam com um servidor WSUS gerenciado de forma independente que se conecta diretamente ao Microsoft Update ou recebe suas atualizações de maneira desconectada. No entanto, em organizações maiores com vários locais físicos, talvez você queira ter a capacidade de sincronizar com o Microsoft Update em um servidor. Você também pode querer enviar as atualizações por push para servidores em vários locais em sua rede e aprovar atualizações de um único local.
As hierarquias do servidor WSUS permitem-lhe:
Baixe atualizações para servidores que estão mais próximos dos clientes, como servidores em filiais.
Transfira as atualizações uma vez para um único servidor e, em seguida, replique as atualizações através da rede para outros servidores.
Separe os servidores WSUS com base no idioma usado por seus clientes.
Dimensione servidores WSUS para uma grande organização que tenha mais computadores clientes do que um único servidor WSUS pode gerenciar.
Em uma hierarquia de servidor do WSUS, há dois tipos de servidores:
Servidores upstream. Os servidores upstream se conectam diretamente ao Microsoft Update para recuperar atualizações ou são desconectados e recebem atualizações usando mídia portátil.
Servidores a jusante. Os servidores downstream recebem atualizações de um servidor upstream do WSUS.
Você pode configurar servidores downstream em um dos dois modos:
Modo autónomo. O modo autônomo, ou administração distribuída, permite que um servidor downstream receba atualizações de um servidor upstream, mas permite que os administradores mantenham a administração das atualizações localmente. Nesse cenário, o servidor downstream mantém seu próprio conjunto de grupos de computadores e as atualizações podem ser aprovadas independentemente das configurações de aprovação nos servidores upstream. Isso permite que um grupo diferente de administradores gerencie atualizações em seus próprios locais e use apenas o servidor upstream como uma fonte de atualizações para download.
Modo de réplica. O modo de réplica, ou administração centralizada, permite que um servidor downstream receba atualizações, informações de associação a grupos de computadores e aprovações de um servidor upstream. Nesse cenário, um único grupo de administradores pode gerenciar atualizações para toda a organização. Além disso, os servidores downstream podem ser colocados em diferentes escritórios físicos e receber todas as atualizações e dados de gerenciamento de um servidor upstream.
Você pode ter várias camadas na hierarquia do WSUS. Você pode configurar alguns de seus servidores downstream para usar o modo autônomo, enquanto você pode usar o modo de réplica para configurar outros servidores. Por exemplo, você pode ter um único servidor upstream conectado ao Microsoft Update, baixando atualizações para toda a organização. Você pode ter dois outros servidores downstream no modo autônomo, um que gerencia atualizações para todos os computadores que executam software em inglês e outro para todos os computadores que executam software em espanhol. Finalmente, você pode ter outro conjunto de servidores downstream recebendo suas atualizações dos servidores WSUS de camada intermediária configurados no modo de réplica. Estes são os servidores reais dos quais os clientes recebem atualizações, mas todo o gerenciamento é feito na camada intermediária.
[OBSERVAÇÃO] Você pode configurar servidores downstream para baixar os metadados de informações de atualização de um servidor upstream, mas para baixar as próprias atualizações reais do Microsoft Update. Esta é uma configuração comum quando os servidores downstream têm boa conectividade com a Internet e você deseja reduzir o tráfego WAN.