Plánování aktualizací softwaru v Configuration Manager

  • Článek

Platí pro: Configuration Manager (Current Branch)

Před použitím aktualizací softwaru v Configuration Manager produkčním prostředí je důležité, abyste prošli procesem plánování. Dobrý plán pro infrastrukturu bodu aktualizace softwaru je klíčem k úspěšné implementaci aktualizací softwaru. Informace o plánování kapacity pro aktualizace softwaru najdete v tématu Čísla velikosti a škálování.

Určení infrastruktury bodu aktualizace softwaru

Tato část obsahuje následující dílčí témata:

Lokalita centrální správy a všechny podřízené primární lokality musí mít bod aktualizace softwaru. Při plánování infrastruktury bodu aktualizace softwaru určete následující závislosti:

  • Kam nainstalovat bod aktualizace softwaru pro lokalitu
  • Které lokality vyžadují bod aktualizace softwaru, který přijímá komunikaci od internetových klientů
  • Jestli potřebujete bod aktualizace softwaru v sekundárních lokalitách

Důležité

Další informace o interních a externích závislostech vyžadovaných pro aktualizace softwaru najdete v tématu Požadavky na aktualizace softwaru.

Pokud chcete zajistit odolnost proti chybám, přidejte do Configuration Manager primární lokalitě několik bodů aktualizace softwaru. Návrh převzetí služeb při selhání bodu aktualizace softwaru se liší od modelu čistě randomizace, který se používá v návrhu bodů správy. Na rozdíl od návrhu bodů správy jsou náklady na výkon klienta a sítě v návrhu bodu aktualizace softwaru, když klienti přejdou na nový bod aktualizace softwaru. Když klient přepne na nový server WSUS, aby hledal aktualizace softwaru, výsledkem je zvýšení velikosti katalogu a souvisejících požadavků na výkon na straně klienta a sítě. Klient proto zachovává spřažení s posledním bodem aktualizace softwaru, ze kterého byl úspěšně zkontrolován.

První bod aktualizace softwaru, který nainstalujete do primární lokality, je zdrojem synchronizace pro všechny další body aktualizace softwaru, které přidáte v primární lokalitě. Po přidání bodů aktualizace softwaru a spuštění synchronizace zobrazte stav bodů aktualizace softwaru a zdroje synchronizace z uzlu Stav synchronizace bodu aktualizace softwaru v pracovním prostoru Monitorování .

Pokud dojde k selhání bodu aktualizace softwaru nakonfigurovaného jako zdroj synchronizace pro lokalitu, ručně odeberte roli, která selhala. Pak vyberte nový bod aktualizace softwaru, který se použije jako zdroj synchronizace. Další informace najdete v tématu Odebrání role systému lokality.

Seznam bodů aktualizace softwaru

Configuration Manager klientovi poskytne seznam bodů aktualizace softwaru v následujících scénářích:

  • Nový klient obdrží zásadu pro povolení aktualizací softwaru.

  • Klient nemůže kontaktovat svůj přiřazený bod aktualizace softwaru a musí přepnout na jiný

Klient náhodně vybere bod aktualizace softwaru ze seznamu. Určuje prioritu bodů aktualizace softwaru ve stejné doménové struktuře. Configuration Manager poskytuje klientům jiný seznam v závislosti na typu klienta:

  • Intranetoví klienti: Získejte seznam bodů aktualizace softwaru, které můžete nakonfigurovat tak, aby umožňovaly připojení pouze z intranetu, nebo seznam bodů aktualizace softwaru, které umožňují připojení internetových a intranetových klientů.

  • Internetoví klienti: Získejte seznam bodů aktualizace softwaru, které nakonfigurujete tak, aby umožňovaly připojení pouze z internetu, nebo seznam bodů aktualizace softwaru, které umožňují připojení internetových a intranetových klientů.

Přepínání bodů aktualizace softwaru

Poznámka

Klienti používají skupiny hranic k vyhledání nového bodu aktualizace softwaru. Pokud jejich aktuální bod aktualizace softwaru už není přístupný, použijí také skupiny hranic k vrácení zpět a vyhledání nového bodu. Přidejte jednotlivé body aktualizace softwaru do různých skupin hranic, abyste mohli určit, které servery může klient najít. Další informace najdete v tématu Body aktualizace softwaru.

Pokud máte v lokalitě více bodů aktualizace softwaru a jeden z nich selže nebo přestane být dostupný, klienti se připojí k jinému bodu aktualizace softwaru. Díky tomuto novému serveru budou klienti dál vyhledávat nejnovější aktualizace softwaru. Když je klientovi poprvé přiřazen bod aktualizace softwaru, zůstane přiřazen k ho bodu aktualizace softwaru, pokud se mu nepodaří zkontrolovat.

Kontrola aktualizací softwaru může selhat s řadou různých kódů chyb opakování a opakování. Pokud kontrola selže s kódem chyby opakování, klient spustí proces opakování, který vyhledá aktualizace softwaru v bodě aktualizace softwaru. Podmínky vysoké úrovně, které mají za následek kód chyby opakování, jsou obvykle proto, že server WSUS není k dispozici nebo je dočasně přetížen. Pokud se klientovi nepodaří vyhledat aktualizace softwaru, použije následující postup:

  1. Klient vyhledá aktualizace softwaru:

    • V naplánovaném čase
    • Při ručním spuštění z ovládacího panelu na klientovi
    • Při ručním spuštění z konzoly Configuration Manager prostřednictvím akce oznámení klienta
    • Při spuštění z metody sady Configuration Manager SDK

  2. Pokud kontrola selže, klient počká 30 minut na opakování kontroly. Používá stejný bod aktualizace softwaru.

  3. Klient se opakuje minimálně čtyřikrát každých 30 minut. Po čtvrtém selhání a čekání dalších dvou minut se klient přesune do dalšího bodu aktualizace softwaru v seznamu.

  4. Klient tento proces opakuje s novým bodem aktualizace softwaru. Po úspěšné kontrole se klient nadále připojuje k novému bodu aktualizace softwaru.

Následující seznam obsahuje další informace, které je potřeba zvážit při opakování bodu aktualizace softwaru a scénářích přepínání:

  • Pokud je klient odpojený od intranetu a nepodaří se vyhledat aktualizace softwaru, nepřepne do jiného bodu aktualizace softwaru. Toto selhání se očekává, protože klient se nemůže spojit s interní sítí nebo bodem aktualizace softwaru, který umožňuje připojení z intranetu. Klient Configuration Manager určuje dostupnost intranetového bodu aktualizace softwaru.

  • Pokud spravujete klienty na internetu a nakonfigurujete několik bodů aktualizace softwaru tak, aby přijímaly komunikaci od klientů na internetu, proces přepínání se řídí standardním procesem opakování, který jsme popsali dříve.

  • Pokud se proces kontroly spustí, ale klient je před dokončením kontroly vypnutý, nepovažuje se to za selhání kontroly a nezapočítá se do jednoho ze čtyř opakování.

Když Configuration Manager obdrží některý z následujících kódů chyb agenta služba Windows Update, klient připojení opakuje:

2149842970, 2147954429, 2149859352, 2149859362, 2149859338, 2149859344, 2147954430, 2147747475, 2149842974, 2149859342, 2149859372, 2149859341, 2149904388, 2149859371, 2149859367, 2149859366, 2149859364, 2149859363, 2149859361, 2149859360, 2149859359, 2149859358, 2149859357, 2149859356, 2149859354, 2149859353, 2149859350, 2149859349, 2149859340, 2149859339, 2149859332, 2149859333, 2149859334, 2149859337, 2149859336, 2149859335

Pokud chcete vyhledat význam kódu chyby, převeďte desetinný kód chyby na šestnáctkový a pak vyhledejte šestnáctkovou hodnotu na webu, například na wikiwebu služba Windows Update Agent – Kódy chyb. Například kód desetinné chyby 2149842970 je šestnáctkový 8024001A, což znamená, WU_E_POLICY_NOT_SET hodnota zásady nebyla nastavena.

Ruční přepnutí klientů do nového bodu aktualizace softwaru

Pokud dojde k problémům s aktivním bodem aktualizace softwaru, přepněte Configuration Manager klienty na nový bod aktualizace softwaru. K této změně dojde pouze v případě, že klient obdrží více bodů aktualizace softwaru z bodu správy.

Důležité

Když zařízení přepnete tak, aby používala nový server, použijí náhradní zařízení k vyhledání nového serveru. Klienti přepnou na nový bod aktualizace softwaru během dalšího cyklu kontroly aktualizací softwaru.

Než začnete s touto změnou, zkontrolujte konfigurace skupin hranic a ujistěte se, že body aktualizace softwaru jsou ve správných skupinách hranic. Další informace najdete v tématu Body aktualizace softwaru.

Přepnutí na nový bod aktualizace softwaru vygeneruje další síťový provoz. Objem provozu závisí na nastavení konfigurace služby WSUS, například na synchronizovaných klasifikacích a produktech nebo na použití sdílené databáze WSUS. Pokud máte v úmyslu přepnout více zařízení, zvažte to během období údržby. Toto načasování snižuje dopad na vaši síť, když klienti prohledávají nový bod aktualizace softwaru.

Proces přepnutí bodů aktualizace softwaru

Spusťte tuto změnu v kolekci zařízení. Po aktivaci hledají klienti při další kontrole jiný bod aktualizace softwaru.

  1. V konzole Configuration Manager přejděte do pracovního prostoru Prostředky a kompatibilita a vyberte uzel Kolekce zařízení.

  2. Vyberte cílovou kolekci. Na pásu karet na kartě Domů ve skupině Kolekce vyberte Oznámení klienta a pak vyberte Přepnout na další bod aktualizace softwaru.

Body aktualizace softwaru v nedůvěryhodné doménové struktuře

Vytvořte jeden nebo více bodů aktualizace softwaru v lokalitě pro podporu klientů v nedůvěryhodné doménové struktuře. Pokud chcete přidat bod aktualizace softwaru v jiné doménové struktuře, nejprve nainstalujte a nakonfigurujte server WSUS v této doménové struktuře. Potom spusťte průvodce a přidejte Configuration Manager server lokality s rolí systému lokality bodu aktualizace softwaru. V průvodci nakonfigurujte následující nastavení pro úspěšné připojení ke službě WSUS v nedůvěryhodné doménové struktuře:

  • Zadejte účet instalace systému lokality , který má přístup k serveru WSUS v nedůvěryhodné doménové struktuře.

  • Zadejte účet připojení serveru WSUS pro připojení k serveru WSUS.

Máte například primární lokalitu v doménové struktuře A se dvěma body aktualizace softwaru (SUP01 a SUP02). Pro stejnou primární lokalitu máte také dva body aktualizace softwaru (SUP03 a SUP04) v doménové struktuře B. Při přepnutí na další bod aktualizace softwaru klienti upřednostňují servery ze stejné doménové struktury.

Použití existujícího serveru WSUS jako zdroje synchronizace v lokalitě nejvyšší úrovně

Lokalita nejvyšší úrovně ve vaší hierarchii je obvykle nakonfigurovaná tak, aby synchronizovala metadata aktualizací softwaru se službou Microsoft Update. Pokud zásady zabezpečení organizace neumožňují lokalitě nejvyšší úrovně přístup k internetu, nakonfigurujte zdroj synchronizace pro lokalitu nejvyšší úrovně tak, aby používal existující server WSUS. Tento server WSUS není ve vaší Configuration Manager hierarchii. Máte například server WSUS v síti připojené k internetu (DMZ), ale vaše lokalita nejvyšší úrovně je v interní síti bez přístupu k internetu. Nakonfigurujte server WSUS v DMZ jako zdroj synchronizace pro metadata aktualizací softwaru. Nakonfigurujte server WSUS v DMZ tak, aby synchronizoval aktualizace softwaru se stejnými kritérii, která potřebujete v Configuration Manager. Jinak nemusí lokalita nejvyšší úrovně synchronizovat aktualizace softwaru, které očekáváte. Při instalaci bodu aktualizace softwaru nakonfigurujte účet připojení serveru WSUS. Tento účet potřebuje přístup k serveru WSUS v DMZ. Ověřte také, že brána firewall povoluje provoz pro příslušné porty. Další informace najdete v tématu porty používané bodem aktualizace softwaru pro zdroj synchronizace.

Bod aktualizace softwaru v sekundární lokalitě

Bod aktualizace softwaru je v sekundární lokalitě volitelný. Nainstalujte pouze jeden bod aktualizace softwaru v sekundární lokalitě. Pokud v sekundární lokalitě není nainstalovaný bod aktualizace softwaru, zařízení v rámci hranic sekundární lokality používají bod aktualizace softwaru v přiřazené primární lokalitě. Bod aktualizace softwaru se obvykle instaluje v sekundární lokalitě, když je mezi zařízeními v sekundární lokalitě a body aktualizace softwaru v nadřazené primární lokalitě omezená šířka pásma sítě. Tuto konfiguraci můžete použít také v případě, že se bod aktualizace softwaru v primární lokalitě blíží limitu kapacity. Po úspěšné instalaci a konfiguraci bodu aktualizace softwaru v sekundární lokalitě se pro klienty aktualizují zásady pro celou lokalitu a začnou používat nový bod aktualizace softwaru.

Plánování internetových klientů

Pokud potřebujete spravovat zařízení, která se přetahují z vaší sítě na internet, vytvořte plán správy aktualizací softwaru na těchto zařízeních. Configuration Manager pro tento scénář podporuje několik technologií. Použijte jednu nebo jednu kombinaci podle potřeby, abyste splnili požadavky vaší organizace.

Brána pro správu cloudu

Vytvořte bránu pro správu cloudu v Microsoft Azure a povolte aspoň jeden místní bod aktualizace softwaru, který povolí provoz z internetových klientů. Když se klienti posouvají na internet, budou dál prohledávat body aktualizace softwaru. Všichni internetoví klienti vždy získají obsah z cloudové služby Microsoft Update.

Další informace najdete v tématech Přehled brány pro správu cloudu a Konfigurace skupin hranic.

Poznámka

Od verze 2203 můžete nastavit klienty tak, aby upřednostňovali kontrolu proti bodu aktualizace softwaru (SUP) brány pro správu cloudu (CMG) před místním SUP. Toto chování je řízeno možností Preferovat cloudový zdroj před místním zdrojem ve skupině hranic. Aby se snížil dopad této změny na výkon, stávající klienti automaticky nepřepínají sup na cloudový SUP. Klient zůstane přiřazený ke svému aktuálnímu SUP, pokud jeho aktuální SUP selže nebo pokud klient není ručně přepne na nový SUP.

Správa internetových klientů

Umístěte bod aktualizace softwaru do internetové sítě a povolte mu provoz z internetových klientů. Když se klienti přepínají na internet, přepnou se na tento bod aktualizace softwaru ke kontrole. Všichni internetoví klienti vždy získají obsah z cloudové služby Microsoft Update.

Další informace o výhodách a nevýhodách internetové správy klientů najdete v tématu Správa klientů na internetu.

služba Windows Update pro firmy

služba Windows Update pro firmy umožňuje udržovat zařízení Windows 10 nebo novější vždy aktuální s nejnovějšími aktualizacemi kvality a funkcí. Tato zařízení se připojují přímo ke cloudové službě služba Windows Update. Configuration Manager může rozlišovat mezi počítači s Windows, které k získání aktualizací softwaru používají WUfB a WSUS.

Další informace najdete v tématu Integrace s služba Windows Update pro firmy.

Plánování obsahu aktualizace softwaru

Klienti si musí stáhnout soubory obsahu pro aktualizace softwaru, aby je mohli nainstalovat. Configuration Manager poskytuje několik technologií pro podporu správy a doručování tohoto obsahu. Nebo nakonfigurujte nasazení aktualizací softwaru tak, aby klienti mohli získávat obsah přímo z cloudové služby Microsoft Update nebo je od klientů vyžadovali.

Poznámka

Od 28. března 2023 budou místní zařízení Windows 11 verze 22H2 dostávat aktualizace kvality prostřednictvím platformy UUP (Unified Update Platform). Místní UUP spolupracuje se službami WSUS a Microsoft Configuration Manager. Aktualizace pro zvýšení kvality UUP jsou i nadále kumulativní a zahrnují všechny vydané opravy kvality a zabezpečení Windows. Místní správa aktualizací s platformou Unified Update Platform (UUP) vyžaduje dalších 10 GB místa pro každou verzi Windows a architekturu procesoru pro každou verzi. Další informace najdete v části Důležité informace o UUP .

Stažení a distribuce obsahu

Ve výchozím nastavení proces správy aktualizací softwaru v Configuration Manager používá integrované funkce správy obsahu. Mezi tyto funkce patří centralizovaná knihovna obsahu úložiště s jednou instancí a distribuovaný návrh role systému lokality distribučního bodu. Tyto funkce se používají při stahování a distribuci balíčků pro nasazení aktualizací softwaru.

Další informace najdete v tématu Stažení aktualizací softwaru.

Správa souborů expresní instalace pro Windows 10 nebo novější

Configuration Manager podporuje použití souborů expresní instalace pro aktualizace Windows. Soubory expresní aktualizace a podpůrné technologie, jako je optimalizace doručení, můžou pomoct snížit dopad stahování velkých souborů obsahu do klientů na síť.

Další informace najdete v tématu Optimalizace doručování aktualizací Windows.

Klienti stahujou obsah z internetu

Při nasazování aktualizací softwaru do klientů nakonfigurujte nasazení, aby klienti stáhli obsah z cloudové služby Microsoft Update. I když klienti nemůžou stahovat obsah z jiného zdroje obsahu, můžou si ho přesto stáhnout z internetu.

Při nasazování aktualizací softwaru nemusíte vytvářet balíček pro nasazení. Když vyberete možnost Žádný balíček nasazení , klienti můžou stále stahovat obsah z místních zdrojů, pokud jsou k dispozici, ale obvykle je stahovat ze služby Microsoft Update.

Internetoví klienti vždy stahujou obsah z cloudové služby Microsoft Update. Nedistribuujte balíčky pro nasazení aktualizací softwaru do brány pro správu cloudu s podporou obsahu (CMG).

Plánování aktualizací třetích stran

Configuration Manager se integruje se službou WSUS, která nativně podporuje aktualizace softwaru publikované Microsoftem. Většina zákazníků používá jiné aplikace třetích stran, které také potřebují aktualizace. Existuje několik možností, jak udržovat aplikace třetích stran v aktualizovaném stavu.

Nahrazení aplikací, které se mají aktualizovat

K upgradu nebo nahrazení existujících aplikací použijte vztah nahrazování s funkcí správy aplikací v Configuration Manager. Při nahrazování aplikace zadejte nový typ nasazení, který nahradí typ nasazení nahrazené aplikace. Před instalací nahrazující aplikace se také rozhodněte, jestli chcete nahrazovanou aplikaci upgradovat nebo odinstalovat.

Další informace najdete v tématu Revize a nahrazování aplikací.

Aktualizace softwaru třetích stran

Pomocí uzlu Katalogy aktualizací softwaru třetích stran v konzole Configuration Manager můžete přihlásit k odběru katalogů třetích stran, publikovat jejich aktualizace do bodu aktualizace softwaru a pak je nasadit do klientů.

Další informace najdete v tématu Aktualizace softwaru třetích stran.

System Center Aktualizace Publisher

System Center Aktualizace Publisher (SCUP) je samostatný nástroj, který umožňuje nezávislým vydavatelům softwaru nebo vývojářům obchodních aplikací spravovat vlastní aktualizace. Tyto aktualizace zahrnují ty se závislostmi, jako jsou ovladače a sady aktualizací. SCUP je také možné použít pro katalogy aktualizací třetích stran, které nejsou k dispozici přímo v konzole.

Další informace najdete v tématu System Center Aktualizace Publisher.

Plánování instalace bodu aktualizace softwaru

Tato část obsahuje následující dílčí témata:

Tato část obsahuje informace o krocích, které je třeba provést při úspěšném naplánování a přípravě na instalaci bodu aktualizace softwaru. Než vytvoříte roli systému lokality pro bod aktualizace softwaru v Configuration Manager, je potřeba zvážit několik požadavků. Konkrétní požadavky závisí na infrastruktuře Configuration Manager. Pokud nakonfigurujete bod aktualizace softwaru tak, aby komunikovali pomocí protokolu HTTPS, je tato část obzvláště důležitá. Servery s podporou HTTPS vyžadují další kroky, aby správně fungovaly.

Požadavky na bod aktualizace softwaru

Nainstalujte roli bodu aktualizace softwaru do systému lokality, který splňuje minimální požadavky na službu WSUS a podporované konfigurace pro systémy lokality Configuration Manager.

Plánování instalace služby WSUS

Nainstalujte podporovanou verzi služby WSUS na všechny servery systému lokality, které nakonfigurujete pro roli bodu aktualizace softwaru. Pokud na server lokality nenainstalujete bod aktualizace softwaru, nainstalujte na server lokality konzolu pro správu služby WSUS. Tato komponenta umožňuje serveru lokality komunikovat se službou WSUS, která běží v bodě aktualizace softwaru.

Pokud používáte službu WSUS v Windows Server 2012 nebo novějším, nakonfigurujte další oprávnění, aby se Configuration Manager komponentě WSUS v Configuration Manager mohla připojit ke službě WSUS. Tato komponenta provádí pravidelné kontroly stavu. Zvolte jednu z následujících možností a nakonfigurujte požadovaná oprávnění:

  • Přidání účtu SYSTEM do skupiny Správci služby WSUS

  • Přidejte účet NT AUTHORITY\SYSTEM jako uživatele pro databázi WSUS (SUSDB). Nakonfigurujte minimálně členství v roli databáze webové služby.

Další informace o instalaci služby WSUS na Windows Server najdete v tématu Instalace role serveru WSUS.

Při instalaci více než jednoho bodu aktualizace softwaru v primární lokalitě použijte stejnou databázi WSUS pro každý bod aktualizace softwaru ve stejné doménové struktuře služby Active Directory. Sdílení stejné databáze zlepšuje výkon při přechodu klientů na nový bod aktualizace softwaru. Další informace najdete v tématu Použití sdílené databáze WSUS pro body aktualizace softwaru.

Konfigurace cesty k adresáři obsahu SLUŽBY WSUS

Při instalaci služby WSUS budete muset zadat cestu k adresáři obsahu. Adresář obsahu služby WSUS se primárně používá k ukládání souborů licenčních podmínek pro software společnosti Microsoft, které klienti potřebují při kontrole. Configuration Manager Adresář obsahu wsus by se neměl překrývat s adresářem zdroje obsahu pro Configuration Manager balíčky pro nasazení softwaru. Překrytí adresáře obsahu služby WSUS a zdroje balíčku Configuration Manager způsobí odebrání nesprávných souborů z adresáře obsahu služby WSUS.

Konfigurace služby WSUS pro použití vlastního webu

Při instalaci služby WSUS máte možnost použít existující výchozí web služby IIS nebo vytvořit vlastní web WSUS. Vytvořte vlastní web pro službu WSUS, aby služba IIS hostuje služby WSUS na vyhrazeném virtuálním webu. V opačném případě sdílí stejný web, který používají ostatní Configuration Manager systémy lokality nebo aplikace. Tato konfigurace je nezbytná zejména při instalaci role bodu aktualizace softwaru na server lokality. Když službu WSUS spustíte v Windows Server 2012 nebo novějším, služba WSUS je ve výchozím nastavení nakonfigurovaná tak, aby používala port 8530 pro protokol HTTP a port 8531 pro PROTOKOL HTTPS. Tyto porty zadejte při vytváření bodu aktualizace softwaru v lokalitě.

Konfigurace služby WSUS jako serveru repliky

Když přidáte roli bodu aktualizace softwaru na serveru primární lokality, nemůžete použít server WSUS, který je nakonfigurovaný jako replika. Když je server WSUS nakonfigurovaný jako replika, Configuration Manager server WSUS nenakonfiguruje a synchronizace wsus selže. Prvním bodem aktualizace softwaru, který nainstalujete v primární lokalitě, je výchozí bod aktualizace softwaru. Další body aktualizace softwaru v lokalitě jsou nakonfigurované jako repliky výchozího bodu aktualizace softwaru.

Rozhodněte se, jestli se má služba WSUS nakonfigurovat tak, aby používala SSL.

Důrazně doporučujeme použít k zabezpečení bodu aktualizace softwaru protokol SSL. Služba WSUS používá protokol SSL k ověřování klientských počítačů a podřízených serverů WSUS na serveru WSUS. Služba WSUS také používá protokol SSL k šifrování metadat aktualizací softwaru. Pokud se rozhodnete zabezpečit službu WSUS pomocí protokolu SSL, připravte server WSUS před instalací bodu aktualizace softwaru.

Při instalaci a konfiguraci bodu aktualizace softwaru vyberte možnost Povolit komunikaci SSL pro server WSUS. V opačném případě Configuration Manager nakonfiguruje službu WSUS tak, aby nepoužíla protokol SSL. Když povolíte protokol SSL v bodě aktualizace softwaru, nakonfigurujte také všechny body aktualizace softwaru v podřízených lokalitách tak, aby používaly protokol SSL. Další informace najdete v kurzu Konfigurace bodu aktualizace softwaru pro použití protokolu TLS/SSL s certifikátem PKI.

Poznámka

Pokud chcete zajistit, aby byly zavedeny nejlepší protokoly zabezpečení, důrazně doporučujeme použít protokol TLS/SSL k zabezpečení infrastruktury aktualizací softwaru. Od kumulativní aktualizace ze září 2020 budou servery WSUS založené na protokolu HTTP ve výchozím nastavení zabezpečené. Klient, který hledá aktualizace pro službu WSUS založenou na protokolu HTTP, už ve výchozím nastavení nebude moct využívat uživatelský proxy server. Pokud i přes kompromisy zabezpečení stále potřebujete uživatelský proxy server, je k dispozici nové nastavení klienta aktualizací softwaru , které tato připojení povolí. Další informace o změnách pro kontrolu služby WSUS najdete v tématu Změny ze září 2020, které zlepšují zabezpečení zařízení s Windows, která kontroluje WSUS.

Konfigurace bran firewall

Bod aktualizace softwaru v lokalitě Configuration Manager centrální správy komunikuje se službou WSUS v bodě aktualizace softwaru. Služba WSUS komunikuje se zdrojem synchronizace a synchronizuje metadata aktualizací softwaru. Body aktualizace softwaru v podřízené lokalitě komunikují s bodem aktualizace softwaru v nadřazené lokalitě. Pokud je v primární lokalitě více než jeden bod aktualizace softwaru, další body aktualizace softwaru komunikují s výchozím bodem aktualizace softwaru. Výchozí role je první bod aktualizace softwaru, který je nainstalovaný v lokalitě.

Možná budete muset nakonfigurovat bránu firewall tak, aby umožňovala provoz HTTP nebo HTTPS, který služba WSUS používá v následujících scénářích:

  • Mezi bodem aktualizace softwaru a internetem
  • Mezi bodem aktualizace softwaru a jeho nadřazeným zdrojem synchronizace
  • Mezi dalšími body aktualizace softwaru

Připojení ke službě Microsoft Update je vždy nakonfigurované tak, aby používalo port 80 pro PROTOKOL HTTP a port 443 pro PROTOKOL HTTPS. Použijte vlastní port pro připojení ze služby WSUS v bodě aktualizace softwaru v podřízené lokalitě ke službě WSUS v bodě aktualizace softwaru v nadřazené lokalitě. Pokud zásady zabezpečení nepovolí připojení, použijte metodu synchronizace exportu a importu. Další informace najdete v části Zdroj synchronizace v tomto článku. Další informace o portech, které služba WSUS používá, najdete v tématu Určení nastavení portů používaných službou WSUS v Configuration Manager.

Omezení přístupu na konkrétní domény

Pokud vaše organizace omezuje síťovou komunikaci s internetem pomocí brány firewall nebo proxy zařízení, musíte aktivnímu bodu aktualizace softwaru povolit přístup ke koncovým bodům internetu. Služby WSUS a Automatické Aktualizace pak můžou komunikovat s cloudovou službou Microsoft Update.

Další informace najdete v tématu Požadavky na přístup k internetu.

Plánování nastavení synchronizace

Tato část obsahuje následující dílčí témata:

Synchronizace aktualizací softwaru v Configuration Manager stáhne metadata aktualizací softwaru na základě nakonfigurovaných kritérií. Lokalita nejvyšší úrovně ve vaší hierarchii synchronizuje aktualizace softwaru ze služby Microsoft Update. Máte možnost nakonfigurovat bod aktualizace softwaru v lokalitě nejvyšší úrovně tak, aby se synchronizoval s existujícím serverem WSUS, nikoli v hierarchii Configuration Manager. Podřízené primární lokality synchronizují metadata aktualizací softwaru z bodu aktualizace softwaru v lokalitě centrální správy. Před instalací a konfigurací bodu aktualizace softwaru použijte tuto část k naplánování nastavení synchronizace.

Zdroj synchronizace

Nastavení zdroje synchronizace pro bod aktualizace softwaru určuje umístění, kam bod aktualizace softwaru načítá metadata aktualizací softwaru. Určuje také, jestli proces synchronizace vytváří události generování sestav služby WSUS.

  • Zdroj synchronizace: Ve výchozím nastavení bod aktualizace softwaru v lokalitě nejvyšší úrovně konfiguruje zdroj synchronizace pro službu Microsoft Update. Máte možnost synchronizovat lokalitu nejvyšší úrovně s existujícím serverem WSUS. Bod aktualizace softwaru v podřízené primární lokalitě nakonfiguruje zdroj synchronizace jako bod aktualizace softwaru v lokalitě centrální správy.

    • První bod aktualizace softwaru, který nainstalujete v primární lokalitě, což je výchozí bod aktualizace softwaru, se synchronizuje s lokalitou centrální správy. Další body aktualizace softwaru v primární lokalitě se synchronizují s výchozím bodem aktualizace softwaru v primární lokalitě.

    • Pokud je bod aktualizace softwaru odpojen od služby Microsoft Update nebo od nadřazeného serveru aktualizací, nakonfigurujte zdroj synchronizace tak, aby se nesynchronizuje s nakonfigurovaným zdrojem synchronizace. Místo toho ho nakonfigurujte tak, aby k synchronizaci aktualizací softwaru používal funkci exportu a importu nástroje WSUSUtil . Další informace najdete v tématu Synchronizace aktualizací softwaru z odpojeného bodu aktualizace softwaru.

  • Události generování sestav SLUŽBY WSUS: Agent služba Windows Update na klientských počítačích může vytvářet zprávy událostí pro vytváření sestav služby WSUS. Tyto události nepoužívají Configuration Manager. Proto je ve výchozím nastavení vybraná možnost Nevytvovát události generování sestav služby WSUS. Pokud se tyto události nevytvořily, měl by se klient připojit k serveru WSUS pouze během vyhodnocení aktualizací softwaru a kontrol dodržování předpisů. Pokud jsou tyto události potřeba pro vytváření sestav mimo Configuration Manager, upravte toto nastavení tak, aby se vytvářely události generování sestav služby WSUS.

Důležité

Pokud sdílíte databázi WSUS (SUSDB) mezi několika body aktualizace softwaru pro lokalitu nejvyšší úrovně, ujistěte se, že každý z těchto serverů WSUS splňuje požadavky na přístup k internetu pro aktualizace softwaru. Když se databáze sdílí v lokalitě nejvyšší úrovně, Configuration Manager může vybrat kterýkoli z těchto serverů WSUS, který se má synchronizovat se službou Microsoft Update.

Plán synchronizace

Plán synchronizace nakonfigurujte pouze v bodě aktualizace softwaru v lokalitě nejvyšší úrovně v hierarchii Configuration Manager. Při konfiguraci plánu synchronizace se bod aktualizace softwaru synchronizuje se zdrojem synchronizace k zadanému datu a času. Vlastní plán umožňuje synchronizovat aktualizace softwaru za účelem optimalizace pro vaše prostředí. Vezměte v úvahu požadavky na výkon serveru WSUS, serveru lokality a sítě. Například 2:00 jednou týdně. Případně můžete synchronizaci lokality nejvyšší úrovně spustit ručně pomocí akce Aktualizace Synchronizační software z uzlů Všechny softwarové Aktualizace nebo Skupiny aktualizací softwaru v konzole Configuration Manager.

Tip

Naplánujte spuštění synchronizace aktualizací softwaru pomocí času, který je vhodný pro vaše prostředí. Jedním z běžných scénářů je nastavit plán synchronizace tak, aby běžel krátce po pravidelném vydání aktualizace softwaru microsoftem každé druhé úterý v měsíci. Tento den se obvykle označuje jako Patch Tuesday. Pokud k doručování aktualizací definic a Windows Defender definic a modulu používáte Configuration Manager, zvažte nastavení plánu synchronizace tak, aby běžel každý den.

Jakmile se bod aktualizace softwaru úspěšně synchronizuje, odešle požadavek na synchronizaci do podřízených lokalit. Pokud máte v primární lokalitě další body aktualizace softwaru, odešle se žádost o synchronizaci do každého bodu aktualizace softwaru. Tento proces se opakuje v každé lokalitě v hierarchii.

Klasifikace aktualizací

Každá aktualizace softwaru je definována pomocí klasifikace aktualizací, která pomáhá uspořádat různé typy aktualizací. Během procesu synchronizace synchronizuje lokalita metadata pro zadané klasifikace.

Configuration Manager podporuje synchronizaci následujících klasifikací aktualizací:

  • Kritická Aktualizace: Široce vydaná aktualizace pro konkrétní problém, která řeší kritickou chybu nesouvisenou se zabezpečením.

  • Aktualizace definice: Aktualizace souborů virů nebo jiných definičních souborů.

  • Balíčky funkcí: Nové funkce produktu, které se distribuují mimo vydání produktu a jsou obvykle součástí příští úplné verze produktu.

  • Aktualizace zabezpečení: Široce vydaná aktualizace pro konkrétní produkt a problém související se zabezpečením.

  • Aktualizace Service Pack: Kumulativní sada oprav hotfix, která je použita pro operační systém nebo aplikaci. Tyto opravy hotfix zahrnují aktualizace zabezpečení, důležité aktualizace a aktualizace softwaru.

  • Nástroje: Nástroj nebo funkce, které pomáhají dokončit jednu nebo více úloh.

  • Kumulativní aktualizace: Kumulativní sada oprav hotfix, která je zabalena společně pro snadné nasazení. Tyto opravy hotfix zahrnují aktualizace zabezpečení, důležité aktualizace a aktualizace softwaru. Kumulativní aktualizace obecně řeší konkrétní oblast, například zabezpečení nebo součást produktu.

  • Aktualizace: Aktualizace aktuálně nainstalované aplikace nebo souboru.

  • Upgrady: Aktualizace funkcí na novou verzi Windows.

Nakonfigurujte nastavení klasifikace aktualizací pouze v lokalitě nejvyšší úrovně. Nastavení klasifikace aktualizací nejsou nakonfigurovaná v bodě aktualizace softwaru v podřízených lokalitách, protože metadata aktualizací softwaru se replikují z lokality nejvyšší úrovně. Když vyberete klasifikace aktualizací, mějte na paměti, že čím více klasifikací vyberete, tím déle bude synchronizace metadat aktualizací softwaru trvat.

Upozornění

Osvědčeným postupem je před první synchronizací vymazat všechny klasifikace. Po počáteční synchronizaci vyberte požadované klasifikace a spusťte synchronizaci znovu.

Produkty

Metadata pro každou aktualizaci softwaru definují jeden nebo více produktů, pro které je aktualizace použitelná. Produkt je konkrétní edice operačního systému nebo aplikace. Příkladem produktu je Microsoft Windows 10. Produktová řada je základní operační systém nebo aplikace, ze které jsou jednotlivé produkty odvozeny. Příkladem produktové řady je Microsoft Windows, jehož členy jsou Windows 10 a Windows Server 2016. Vyberte produktovou řadu nebo jednotlivé produkty v rámci produktové řady.

Pokud jsou aktualizace softwaru použitelné pro více produktů a k synchronizaci je vybraný alespoň jeden z těchto produktů, zobrazí se v konzole Configuration Manager všechny produkty, i když některé produkty nebyly vybrané. Například vyberete jenom Windows Server 2012 produkt. Pokud se aktualizace softwaru vztahuje na Windows Server 2012 a Windows Server 2012 Datacenter Edition, jsou oba produkty v databázi lokality.

Nakonfigurujte nastavení produktu pouze v lokalitě nejvyšší úrovně. Nastavení produktu nejsou nakonfigurovaná v bodě aktualizace softwaru pro podřízené lokality, protože metadata aktualizací softwaru se replikují z lokality nejvyšší úrovně. Čím více produktů vyberete, tím déle trvá synchronizace metadat aktualizací softwaru.

Důležité

Configuration Manager ukládá seznam produktů a řad produktů, ze kterých si vyberete při první instalaci bodu aktualizace softwaru. Produkty a řady produktů, které jsou vydány po vydání Configuration Manager, nemusí být k dispozici pro výběr, dokud nedokončíte synchronizaci. Proces synchronizace aktualizuje seznam dostupných produktů a produktových řad, ze kterých si můžete vybrat. Před první synchronizací aktualizací softwaru vymažte všechny produkty. Po počáteční synchronizaci vyberte požadované produkty a spusťte synchronizaci znovu.

Pravidla nahrazování

Aktualizace softwaru, která nahrazuje jinou aktualizaci softwaru, obvykle provede jednu nebo více z následujících akcí:

  • Vylepšuje, vylepšuje nebo aktualizuje opravu poskytovanou jednou nebo více dříve vydanými aktualizacemi.

  • Zlepšuje efektivitu nahrazeného balíčku souborů aktualizací, který se nainstaluje na klienty, pokud je aktualizace schválena pro instalaci. Nahrazená aktualizace může například obsahovat soubory, které už nejsou relevantní pro opravu nebo pro operační systémy podporované novou aktualizací. Tyto soubory nejsou součástí balíčku nahrazujících souborů aktualizace.

  • Aktualizace novější verze produktu. Jinými slovy aktualizuje verze, které už nejsou použitelné pro starší verze nebo konfigurace produktu. Aktualizace mohou také nahradit jiné aktualizace, pokud byly provedeny změny za účelem rozšíření podpory jazyků. Například pozdější revize aktualizace produktu pro Microsoft 365 Apps může odebrat podporu staršího operačního systému, ale v počáteční verzi aktualizace může přidat další podporu pro nové jazyky.

Ve vlastnostech bodu aktualizace softwaru určete, že platnost nahrazených aktualizací softwaru okamžitě vyprší. Toto nastavení zabraňuje jejich zahrnutí do nových nasazení. Také označí stávající nasazení příznakem, že obsahují jednu nebo více aktualizací softwaru, jejichž platnost vypršela. Nebo zadejte dobu, po které vyprší platnost nahrazených aktualizací softwaru. Tato akce vám umožní pokračovat v jejich nasazení.

Vezměte v úvahu následující scénáře, ve kterých možná budete muset nasadit nahrazenou aktualizaci softwaru:

  • Nadlimitující aktualizace softwaru podporuje pouze novější verze operačního systému. Na některých klientských počítačích běží starší verze operačního systému.

  • Nahrazující aktualizace softwaru má omezenější použitelnost než aktualizace softwaru, která nahrazuje. Toto chování by pro některé klienty bylo nevhodné.

  • Pokud se pro nasazení v produkčním prostředí neschválila nadlimitní aktualizace softwaru.

Configuration Manager může automaticky vypršet platnost nahrazených aktualizací na základě vámi zvoleného plánu. Chování pravidel nahrazení pro aktualizace funkcí můžete určit odděleně od aktualizací, které nejsou součástí. Výchozí nastavení je počkat 3 měsíce před vypršením platnosti nahrazené aktualizace. Výchozí 3 měsíce je poskytnout vám čas na ověření, že aktualizace už není potřeba pro žádný z vašich klientských počítačů. Doporučujeme nepředpokládat, že by nahrazované aktualizace měly okamžitě vypršeny ve prospěch nové, nahrazující aktualizace. Seznam aktualizací softwaru, které nahrazují aktualizaci softwaru, můžete zobrazit na kartě Informace o nahrazení ve vlastnostech aktualizace softwaru.

Jazyky

Nastavení jazyka pro bod aktualizace softwaru umožňuje konfigurovat:

  • Jazyky, pro které se synchronizují souhrnné podrobnosti (metadata aktualizací softwaru) pro aktualizace softwaru
  • Jazyky souborů aktualizací softwaru, které se stahují pro aktualizace softwaru

Soubor aktualizace softwaru

Nakonfigurujte jazyky pro nastavení Soubor aktualizace softwaru ve vlastnostech bodu aktualizace softwaru. Toto nastavení poskytuje výchozí jazyky, které jsou k dispozici při stahování aktualizací softwaru v lokalitě. Upravte jazyky vybrané ve výchozím nastavení při každém stažení nebo nasazení aktualizací softwaru. Během procesu stahování se soubory aktualizace softwaru pro nakonfigurované jazyky stáhnou do zdrojového umístění balíčku nasazení, pokud jsou soubory aktualizace softwaru dostupné ve vybraném jazyce. Potom se zkopírují do knihovny obsahu na serveru lokality. Pak se distribuují do distribučních bodů, které jsou pro balíček nakonfigurované.

Nakonfigurujte nastavení jazyka souborů aktualizace softwaru pomocí jazyků, které se ve vašem prostředí nejčastěji používají. Například klienti ve vaší lokalitě používají pro Windows nebo aplikace převážně angličtinu a japonštinu. Na webu se používá několik dalších jazyků. Při stahování nebo nasazení aktualizace softwaru vyberte ve sloupci Soubor aktualizace softwaru jenom angličtinu a japonštinu. Tato akce umožňuje použít výchozí nastavení na stránce Výběr jazyka v průvodcích nasazením a stažením. Tato akce také zabrání stažení nepotřebných souborů aktualizací. Toto nastavení nakonfigurujte v každém bodě aktualizace softwaru v hierarchii Configuration Manager.

Souhrnné podrobnosti

Během procesu synchronizace se souhrnné podrobné informace (metadata aktualizací softwaru) aktualizují pro aktualizace softwaru v jazycích, které zadáte. Metadata poskytují informace o aktualizaci softwaru, například:

  • Name (Název)
  • Popis
  • Produkty, které aktualizace podporuje
  • Klasifikace aktualizací
  • ID článku
  • Adresa URL pro stažení
  • Pravidla použitelnosti

Nastavení souhrnných podrobností nakonfigurujte pouze na webu nejvyšší úrovně. Souhrnné podrobnosti nejsou nakonfigurovány v bodě aktualizace softwaru v podřízených lokalitách, protože metadata aktualizací softwaru se replikují z lokality centrální správy pomocí replikace na základě souborů. Když vyberete jazyky souhrnných podrobností, vyberte jenom ty jazyky, které potřebujete ve svém prostředí. Čím více jazyků vyberete, tím déle bude synchronizace metadat aktualizací softwaru trvat. Configuration Manager zobrazí metadata aktualizací softwaru v národním prostředí operačního systému, ve kterém běží konzola Configuration Manager. Pokud lokalizované vlastnosti aktualizací softwaru nejsou k dispozici v národním prostředí tohoto operačního systému, zobrazí se informace o aktualizacích softwaru v angličtině.

Důležité

Vyberte všechny jazyky souhrnných podrobností, které potřebujete. Když se bod aktualizace softwaru v lokalitě nejvyšší úrovně synchronizuje se zdrojem synchronizace, vybrané jazyky souhrnných podrobností určují metadata aktualizací softwaru, která načte. Pokud upravíte jazyky souhrnných podrobností po spuštění synchronizace alespoň jednou, načte metadata aktualizací softwaru pro jazyky upravených souhrnných podrobností pouze pro nové nebo aktualizované aktualizace softwaru. Aktualizace softwaru, které už byly synchronizovány, se neaktualizují novými metadaty pro upravené jazyky, pokud nedojde ke změně aktualizace softwaru ve zdroji synchronizace.

Maximální doba běhu

Můžete zadat maximální dobu, po kterou se má instalace aktualizace softwaru dokončit. Maximální dobu běhu můžete zadat pro následující:

  • Maximální doba běhu pro aktualizace funkcí Windows (minuty)

    • Aktualizace funkcí – aktualizace, která je v jedné z těchto tří klasifikací:
      • Upgrady
      • Kumulativní aktualizace
      • Aktualizace Service Pack

  • Maximální doba běhu aktualizací Office 365 a aktualizací bez funkcí pro Windows (minuty)

    • Aktualizace bez funkcí – aktualizace, která není upgradem funkcí a jejíž produkt je uvedený jako jeden z následujících:
      • Windows 11
      • Windows 10 (všechny verze)
      • Windows Server 2012 R2
      • Windows Server 2016
      • Windows Server 2019
      • Office 365

  • Maximální doba běhu všech ostatních aktualizací softwaru mimo tyto kategorie, jako jsou aktualizace třetích stran (minuty): Výchozí maximální doba běhu těchto aktualizací se liší v závislosti na tom, kdy se aktualizace poprvé synchronizovala s prostředím a Configuration Manager verze. Pomocí následujícího košíku určete maximální hodnotu modulu runtime pro tyto aktualizace:

    2203 nebo novější 2103, 2107 nebo 2111 2010
    Maximální doba běhu pro všechny ostatní aktualizace softwaru je přizpůsobitelná. Výchozí hodnota je 60 minut. 60 minut 10 minut

    Důležité

    • Toto nastavení změní pouze maximální modul runtime pro nové aktualizace, které jsou synchronizovány pomocí SUP. Nezmění dobu spuštění u existujících aktualizací, které se synchronizovaly před změnou doby spuštění. Pokud Update 1 jste například poprvé synchronizovali do prostředí 2111, je maximální doba běhu 60 minut. Pak upgradujete prostředí na verzi 2203 a nastavíte maximální dobu běhu na 30 minut. Update 1 zachová 60minutovou dobu běhu. Když se ale nová aktualizace Update 2, synchronizuje v, je jí přidělena nová 30minutová doba spuštění.
    • Pokud potřebujete maximální dobu běhu aktualizace změnit ručně, můžete pro ni nakonfigurovat nastavení aktualizací softwaru .

Plánování časového období údržby aktualizací softwaru

Přidejte časové období údržby vyhrazené pro instalaci aktualizací softwaru. Tato akce umožňuje nakonfigurovat obecné časové období údržby a jiné časové období údržby pro aktualizace softwaru. Při konfiguraci obecného časového období údržby i časového období údržby aktualizací softwaru nainstalují klienti aktualizace softwaru pouze během časového období údržby aktualizací softwaru.

Toto chování můžete změnit a povolit instalaci aktualizací softwaru během časového období obecné údržby. Další informace o tomto nastavení klienta najdete v tématu Nastavení klienta aktualizace softwaru.

Další informace o časových obdobích údržby najdete v tématu Použití časových období údržby.

Možnosti restartování pro klienty Windows 10 po instalaci aktualizace softwaru

Pokud je aktualizace softwaru, která vyžaduje restartování, nasazena a nainstalována pomocí Configuration Manager, klient naplánuje čekající restartování a zobrazí dialogové okno restartování.

Pokud Configuration Manager aktualizace softwaru čeká na restartování, je možnost Aktualizovat a Restartovat a Aktualizovat a Vypnout dostupná na Windows 10 počítačích v možnostech napájení Windows. Po použití některé z těchto možností se po restartování počítače nezobrazí dialogové okno restartování. Za určitých okolností může operační systém odebrat možnosti čekajícího restartování. K tomu může dojít, pokud je v Windows 10 povolená funkce Rychlé spuštění. Další informace najdete v tématu Aktualizace nemusí být nainstalován s rychlým spuštěním v Windows 10.

Vyhodnocení aktualizací softwaru po servisní aktualizaci zásobníku

Od verze 2002 Configuration Manager zjistí, jestli je servisní aktualizace SSU součástí instalace více aktualizací. Když zjistíte SSU, nainstaluje se jako první. Po instalaci aktualizace SSU se spustí cyklus vyhodnocení aktualizací softwaru, který nainstaluje zbývající aktualizace. Tato změna umožňuje instalaci závislé kumulativní aktualizace po servisní aktualizaci zásobníku. Zařízení se nemusí restartovat mezi instalacemi a nemusíte vytvářet další časové období údržby. Aktualizace SSU se nainstalují jako první pouze pro instalace, které nejsou zahájené uživatelem. Pokud například uživatel zahájí instalaci více aktualizací z Centra softwaru, nemusí být aktualizace SSU nainstalovaná jako první. Při použití Configuration Manager verze 2002 není instalace SSU jako první dostupná pro operační systémy Windows Server. Tato funkce byla přidána v Configuration Manager verzi 2006 pro operační systémy Windows Server.

Další kroky

Jakmile plánujete aktualizace softwaru, přečtěte si téma Příprava na správu aktualizací softwaru.

Další informace o správě Windows jako služby najdete v tématech Základy Configuration Manager jako služby a Windows jako služby.