Teilen über


Planen von Softwareupdates in Configuration Manager

Gilt für: Configuration Manager (Current Branch)

Bevor Sie Softwareupdates in einer Configuration Manager-Produktionsumgebung verwenden, ist es wichtig, dass Sie den Planungsprozess durchlaufen. Ein guter Plan für die Softwareupdatepunktinfrastruktur ist der Schlüssel für eine erfolgreiche Implementierung von Softwareupdates. Informationen zur Kapazitätsplanung für Softwareupdates finden Sie unter Größen- und Skalierungsnummern.

Ermitteln der Softwareupdatepunktinfrastruktur

Dieser Abschnitt enthält die folgenden Unterthemen:

Der Standort der zentralen Verwaltung und alle untergeordneten primären Standorte müssen über einen Softwareupdatepunkt verfügen. Wenn Sie die Softwareupdatepunktinfrastruktur planen, bestimmen Sie die folgenden Abhängigkeiten:

  • Installieren des Softwareupdatepunkts für den Standort
  • Für welche Standorte ist ein Softwareupdatepunkt erforderlich, der die Kommunikation von internetbasierten Clients akzeptiert
  • Ob Sie einen Softwareupdatepunkt an sekundären Standorten benötigen

Wichtig

Weitere Informationen zu den internen und externen Abhängigkeiten, die für Softwareupdates erforderlich sind, finden Sie unter Voraussetzungen für Softwareupdates.

Fügen Sie mehrere Softwareupdatepunkte an einem primären Configuration Manager-Standort hinzu, um Fehlertoleranz bereitzustellen. Der Failoverentwurf des Softwareupdatepunkts unterscheidet sich vom reinen Zufallsmodell, das im Entwurf für Verwaltungspunkte verwendet wird. Im Gegensatz zum Entwurf von Verwaltungspunkten fallen beim Entwurf des Softwareupdatepunkts Kosten für die Client- und Netzwerkleistung an, wenn Clients zu einem neuen Softwareupdatepunkt wechseln. Wenn der Client zu einem neuen WSUS-Server wechselt, um nach Softwareupdates zu suchen, erhöht sich die Kataloggröße und die damit verbundenen Anforderungen an die clientseitige und Netzwerkleistung. Daher behält der Client die Affinität zum letzten Softwareupdatepunkt bei, von dem aus er erfolgreich gescannt wurde.

Der erste Softwareupdatepunkt, den Sie an einem primären Standort installieren, ist die Synchronisierungsquelle für alle zusätzlichen Softwareupdatepunkte, die Sie am primären Standort hinzufügen. Nachdem Sie Softwareupdatepunkte hinzugefügt und die Synchronisierung gestartet haben, können Sie den Status der Softwareupdatepunkte und die Synchronisierungsquelle auf dem Knoten Synchronisierungsstatus des Softwareupdatepunkts im Arbeitsbereich Überwachung anzeigen.

Wenn ein Fehler des Softwareupdatepunkts auftritt, der als Synchronisierungsquelle für den Standort konfiguriert ist, entfernen Sie die fehlerhafte Rolle manuell. Wählen Sie dann einen neuen Softwareupdatepunkt aus, der als Synchronisierungsquelle verwendet werden soll. Weitere Informationen finden Sie unter Entfernen einer Standortsystemrolle.

Softwareupdatepunktliste

Configuration Manager stellt dem Client eine Softwareupdatepunktliste in den folgenden Szenarien bereit:

  • Ein neuer Client empfängt die Richtlinie zum Aktivieren von Softwareupdates.

  • Ein Client kann den zugewiesenen Softwareupdatepunkt nicht kontaktieren und muss zu einem anderen wechseln.

Der Client wählt zufällig einen Softwareupdatepunkt aus der Liste aus. Sie priorisiert die Softwareupdatepunkte in derselben Gesamtstruktur. Configuration Manager bietet Clients je nach Clienttyp eine andere Liste:

  • Intranetbasierte Clients: Sie erhalten eine Liste von Softwareupdatepunkten, die Sie so konfigurieren können, dass nur Verbindungen aus dem Intranet zugelassen werden, oder eine Liste von Softwareupdatepunkten, die Internet- und Intranetclientverbindungen zulassen.

  • Internetbasierte Clients: Sie erhalten eine Liste von Softwareupdatepunkten, die Sie so konfigurieren, dass nur Verbindungen aus dem Internet zugelassen werden, oder eine Liste von Softwareupdatepunkten, die Internet- und Intranetclientverbindungen zulassen.

Wechseln des Softwareupdatepunkts

Hinweis

Clients verwenden Begrenzungsgruppen, um einen neuen Softwareupdatepunkt zu finden. Wenn auf den aktuellen Softwareupdatepunkt nicht mehr zugegriffen werden kann, verwenden sie auch Begrenzungsgruppen, um ein Fallback zu erstellen und einen neuen zu finden. Fügen Sie einzelne Softwareupdatepunkte zu verschiedenen Begrenzungsgruppen hinzu, um zu steuern, welche Server ein Client finden kann. Weitere Informationen finden Sie unter Softwareupdatepunkte.

Wenn an einem Standort mehrere Softwareupdatepunkte vorhanden sind und einer ausfällt oder nicht mehr verfügbar ist, stellen Clients eine Verbindung mit einem anderen Softwareupdatepunkt her. Mit diesem neuen Server suchen Clients weiterhin nach den neuesten Softwareupdates. Wenn einem Client zum ersten Mal ein Softwareupdatepunkt zugewiesen wird, bleibt er diesem Softwareupdatepunkt zugewiesen, es sei denn, er kann nicht überprüft werden.

Die Überprüfung auf Softwareupdates kann mit einer Reihe unterschiedlicher Wiederholungs- und Nichtwiesfehlercodes fehlschlagen. Wenn die Überprüfung mit einem Wiederholungsfehlercode fehlschlägt, startet der Client einen Wiederholungsvorgang, um auf dem Softwareupdatepunkt nach den Softwareupdates zu suchen. Die allgemeinen Bedingungen, die zu einem Wiederholungsfehlercode führen, liegen in der Regel daran, dass der WSUS-Server nicht verfügbar ist oder weil er vorübergehend überlastet ist. Wenn der Client nicht nach Softwareupdates sucht, wird der folgende Prozess verwendet:

  1. Der Client sucht nach Softwareupdates:

    • Zum geplanten Zeitpunkt
    • Manuelles Ausführen über die Systemsteuerung auf dem Client
    • Manuelles Ausführen über die Configuration Manager-Konsole über eine Clientbenachrichtigungsaktion
    • Wenn sie über eine Configuration Manager SDK-Methode ausgeführt wird
  2. Wenn die Überprüfung fehlschlägt, wartet der Client 30 Minuten, um die Überprüfung erneut zu versuchen. Es wird derselbe Softwareupdatepunkt verwendet.

  3. Der Client wiederholt mindestens vier mal alle 30 Minuten. Nach dem vierten Fehler und nachdem er weitere zwei Minuten gewartet hat, wechselt der Client zum nächsten Softwareupdatepunkt in seiner Liste.

  4. Der Client wiederholt diesen Vorgang mit dem neuen Softwareupdatepunkt. Nach einer erfolgreichen Überprüfung setzt der Client die Verbindung mit dem neuen Softwareupdatepunkt fort.

Die folgende Liste enthält zusätzliche Informationen, die sie bei Wiederholungs- und Wechselszenarien für Softwareupdatepunkte berücksichtigen sollten:

  • Wenn ein Client vom Intranet getrennt ist und nicht nach Softwareupdates sucht, wechselt er nicht zu einem anderen Softwareupdatepunkt. Dieser Fehler wird erwartet, da der Client das interne Netzwerk oder einen Softwareupdatepunkt, der Verbindungen aus dem Intranet zulässt, nicht erreichen kann. Der Configuration Manager-Client bestimmt die Verfügbarkeit des Intranet-Softwareupdatepunkts.

  • Wenn Sie Clients im Internet verwalten und mehrere Softwareupdatepunkte so konfiguriert haben, dass die Kommunikation von Clients im Internet akzeptiert wird, folgt der Wechselprozess dem zuvor beschriebenen Standardwiederholungsvorgang.

  • Wenn der Überprüfungsprozess gestartet wird, der Client aber vor Abschluss der Überprüfung deaktiviert wird, wird er nicht als Überprüfungsfehler betrachtet und zählt nicht als eine der vier Wiederholungen.

Wenn Configuration Manager einen der folgenden Windows Update-Agent-Fehlercodes empfängt, versucht der Client die Verbindung erneut:

2149842970, 2147954429, 2149859352, 2149859362, 2149859338, 2149859344, 2147954430, 2147747475, 2149842974, 2149859342, 2149859372, 2149859341, 2149904388, 2149859371, 2149859367, 2149859366, 2149859364, 2149859363, 2149859361, 2149859360, 2149859359, 2149859358, 2149859357, 2149859356, 2149859354, 2149859353, 2149859350, 2149859349, 2149859340, 2149859339, 2149859332, 2149859333, 2149859334, 2149859337, 2149859336, 2149859335

Um die Bedeutung eines Fehlercodes nachzuschlagen, konvertieren Sie den Dezimalfehlercode in hexadezimal, und suchen Sie dann auf einer Website wie dem Windows Update-Agent – Fehlercodes-Wiki nach dem Hexadezimalwert. Der dezimale Fehlercode 2149842970 ist z. B. hexadezimal 8024001A, was bedeutet, dass WU_E_POLICY_NOT_SET A-Richtlinienwert nicht festgelegt wurde.

Manuelles Wechseln von Clients zu einem neuen Softwareupdatepunkt

Wechseln Sie Configuration Manager-Clients zu einem neuen Softwareupdatepunkt, wenn Probleme mit dem aktiven Softwareupdatepunkt auftreten. Diese Änderung erfolgt nur, wenn ein Client mehrere Softwareupdatepunkte von einem Verwaltungspunkt empfängt.

Wichtig

Wenn Sie gerätewechseln, um einen neuen Server zu verwenden, verwenden die Geräte fallback, um diesen neuen Server zu finden. Clients wechseln während des nächsten Überprüfungszyklus für Softwareupdates zum neuen Softwareupdatepunkt.

Bevor Sie mit dieser Änderung beginnen, überprüfen Sie Ihre Begrenzungsgruppenkonfigurationen, um sicherzustellen, dass sich Ihre Softwareupdatepunkte in den richtigen Begrenzungsgruppen befinden. Weitere Informationen finden Sie unter Softwareupdatepunkte.

Wenn Sie zu einem neuen Softwareupdatepunkt wechseln, wird zusätzlicher Netzwerkdatenverkehr generiert. Die Menge des Datenverkehrs hängt von Ihren WSUS-Konfigurationseinstellungen ab, z. B. den synchronisierten Klassifizierungen und Produkten oder der Verwendung einer freigegebenen WSUS-Datenbank. Wenn Sie mehrere Geräte wechseln möchten, sollten Sie dies während der Wartungsfenster in Betracht ziehen. Dieses Timing verringert die Auswirkungen auf Ihr Netzwerk, wenn Clients mit dem neuen Softwareupdatepunkt scannen.

Prozess zum Wechseln von Softwareupdatepunkten

Starten Sie diese Änderung für eine Gerätesammlung. Nach dem Auslösen suchen die Clients bei der nächsten Überprüfung nach einem anderen Softwareupdatepunkt.

  1. Navigieren Sie in der Configuration Manager-Konsole zum Arbeitsbereich Bestand und Kompatibilität , und wählen Sie den Knoten Gerätesammlungen aus.

  2. Wählen Sie die Zielsammlung aus. Wählen Sie auf der Registerkarte Start des Menübands in der Gruppe Sammlungdie Option Clientbenachrichtigung und dann Zum nächsten Softwareupdatepunkt wechseln aus.

Softwareupdatepunkte in einer nicht vertrauenswürdigen Gesamtstruktur

Erstellen Sie einen oder mehrere Softwareupdatepunkte an einem Standort, um Clients in einer nicht vertrauenswürdigen Gesamtstruktur zu unterstützen. Um einen Softwareupdatepunkt in einer anderen Gesamtstruktur hinzuzufügen, installieren und konfigurieren Sie zunächst einen WSUS-Server in dieser Gesamtstruktur. Starten Sie dann den Assistenten, um einen Configuration Manager-Standortserver mit der Standortsystemrolle Softwareupdatepunkt hinzuzufügen. Konfigurieren Sie im Assistenten die folgenden Einstellungen für eine erfolgreiche Verbindung mit WSUS in der nicht vertrauenswürdigen Gesamtstruktur:

  • Geben Sie ein Standortsysteminstallationskonto an, das auf den WSUS-Server in der nicht vertrauenswürdigen Gesamtstruktur zugreifen kann.

  • Geben Sie ein WSUS-Serververbindungskonto an, um eine Verbindung mit dem WSUS-Server herzustellen.

Beispielsweise verfügen Sie über einen primären Standort in Gesamtstruktur A mit zwei Softwareupdatepunkten (SUP01 und SUP02). Für denselben primären Standort verfügen Sie auch über zwei Softwareupdatepunkte (SUP03 und SUP04) in Gesamtstruktur B. Beim Wechsel zum nächsten Softwareupdatepunkt priorisieren die Clients die Server aus derselben Gesamtstruktur.

Verwenden eines vorhandenen WSUS-Servers als Synchronisierungsquelle am Standort der obersten Ebene

In der Regel ist der Standort der obersten Ebene in Ihrer Hierarchie so konfiguriert, dass Metadaten für Softwareupdates mit Microsoft Update synchronisiert werden. Wenn die Sicherheitsrichtlinie Ihres Unternehmens dem Standort der obersten Ebene den Zugriff auf das Internet nicht zulässt, konfigurieren Sie die Synchronisierungsquelle für den Standort der obersten Ebene so, dass ein vorhandener WSUS-Server verwendet wird. Dieser WSUS-Server befindet sich nicht in Ihrer Configuration Manager-Hierarchie. Beispielsweise verfügen Sie über einen WSUS-Server in einem mit dem Internet verbundenen Netzwerk (DMZ), aber Ihr Standort der obersten Ebene befindet sich in einem internen Netzwerk ohne Internetzugang. Konfigurieren Sie den WSUS-Server in der DMZ als Synchronisierungsquelle für Softwareupdatemetadaten. Konfigurieren Sie den WSUS-Server in der DMZ so, dass Softwareupdates mit den gleichen Kriterien synchronisiert werden, die Sie in Configuration Manager benötigen. Andernfalls synchronisiert der Standort der obersten Ebene möglicherweise nicht die erwarteten Softwareupdates. Konfigurieren Sie beim Installieren des Softwareupdatepunkts ein WSUS-Serververbindungskonto. Dieses Konto benötigt Zugriff auf den WSUS-Server in der DMZ. Vergewissern Sie sich außerdem, dass die Firewall Datenverkehr für die entsprechenden Ports zulässt. Weitere Informationen finden Sie unter den Ports, die vom Softwareupdatepunkt zur Synchronisierungsquelle verwendet werden.

Softwareupdatepunkt an einem sekundären Standort

Der Softwareupdatepunkt ist an einem sekundären Standort optional. Installieren Sie nur einen Softwareupdatepunkt an einem sekundären Standort. Wenn am sekundären Standort kein Softwareupdatepunkt installiert ist, verwenden Geräte innerhalb der Grenzen eines sekundären Standorts einen Softwareupdatepunkt am zugewiesenen primären Standort. In der Regel installieren Sie einen Softwareupdatepunkt an einem sekundären Standort, wenn die Netzwerkbandbreite zwischen den Geräten am sekundären Standort und den Softwareupdatepunkten am übergeordneten primären Standort begrenzt ist. Sie können diese Konfiguration auch verwenden, wenn sich der Softwareupdatepunkt am primären Standort dem Kapazitätslimit nähert. Nachdem Sie erfolgreich einen Softwareupdatepunkt am sekundären Standort installiert und konfiguriert haben, wird eine standortweite Richtlinie für Clients aktualisiert, und diese beginnen, den neuen Softwareupdatepunkt zu verwenden.

Planen von internetbasierten Clients

Wenn Sie Geräte verwalten müssen, die aus Ihrem Netzwerk ins Internet übertragen werden, entwickeln Sie einen Plan zum Verwalten von Softwareupdates auf diesen Geräten. Configuration Manager unterstützt mehrere Technologien für dieses Szenario. Verwenden Sie nach Bedarf eine oder eine Kombination, um die Anforderungen Ihrer Organisation zu erfüllen.

Cloudverwaltungsgateway

Erstellen Sie ein Cloudverwaltungsgateway in Microsoft Azure, und aktivieren Sie mindestens einen lokalen Softwareupdatepunkt, um Datenverkehr von internetbasierten Clients zuzulassen. Wenn Clients über das Internet roamingn, werden sie weiterhin an Ihren Softwareupdatepunkten scannen. Alle internetbasierten Clients erhalten immer Inhalte vom Microsoft Update-Clouddienst.

Weitere Informationen finden Sie unter Übersicht über das Cloudverwaltungsgateway und Konfigurieren von Begrenzungsgruppen.

Hinweis

Ab Version 2203 können Sie Clients so festlegen, dass sie es vorziehen, die Überprüfung an einem Softwareupdatepunkt (Cloud Management Gateway, SUP) gegenüber einem lokalen SUP durchzuführen. Dieses Verhalten wird durch die Option Cloudbasierte Quelle gegenüber lokaler Quelle bevorzugen in der Begrenzungsgruppe gesteuert. Um die Auswirkungen dieser Änderung auf die Leistung zu verringern, stellen vorhandene Clients ihre SUP nicht automatisch auf ein cloudbasiertes SUP um. Der Client bleibt dem aktuellen SUP zugewiesen, es sei denn, sein aktueller SUP schlägt fehl oder der Client wird manuell auf eine neue SUP umgestellt.

Internetbasierte Clientverwaltung

Platzieren Sie einen Softwareupdatepunkt in einem Netzwerk mit Internetzugriff, und aktivieren Sie ihn, um Datenverkehr von internetbasierten Clients zuzulassen. Wenn Clients über das Internet roamingn, wechseln sie zum Scannen zu diesem Softwareupdatepunkt. Alle internetbasierten Clients erhalten immer Inhalte vom Microsoft Update-Clouddienst.

Weitere Informationen zu den Vor- und Nachteilen der internetbasierten Clientverwaltung finden Sie unter Verwalten von Clients im Internet.

Windows Update for Business

Mit Windows Update for Business können Sie Windows 10- oder höher-Geräte mit den neuesten Qualitäts- und Featureupdates immer auf dem neuesten Stand halten. Diese Geräte stellen eine direkte Verbindung mit dem Windows Update-Clouddienst her. Configuration Manager kann zwischen Windows-Computern unterscheiden, die WUfB und WSUS zum Abrufen von Softwareupdates verwenden.

Weitere Informationen finden Sie unter Integration in Windows Update for Business.

Planen von Softwareupdateinhalten

Clients müssen die Inhaltsdateien für Softwareupdates herunterladen, um sie installieren zu können. Configuration Manager bietet mehrere Technologien zur Unterstützung der Verwaltung und Bereitstellung dieser Inhalte. Oder konfigurieren Sie Softwareupdatebereitstellungen, damit Clients Inhalte direkt aus dem Microsoft Update-Clouddienst abrufen können.

Hinweis

Ab dem 28. März 2023 erhalten lokale Windows 11-Geräte, Version 22H2, Qualitätsupdates über die Unified Update Platform (UUP). UUP lokal interagiert mit WSUS und Microsoft Configuration Manager. UUP-Qualitätsupdates sind weiterhin kumulativ und enthalten alle veröffentlichten Windows-Qualitäts- und Sicherheitsfixes. Die lokale Updateverwaltung mit Unified Update Platform (UUP) erfordert pro Windows-Version und Prozessorarchitektur für jede Version zusätzlichen Speicherplatz von 10 GB. Weitere Informationen finden Sie im Abschnitt Überlegungen zu UUP .

Herunterladen und Verteilen von Inhalten

Standardmäßig verwendet der Softwareupdateverwaltungsprozess in Configuration Manager die integrierten Inhaltsverwaltungsfeatures. Zu diesen Features gehören die zentrale Speicherinhaltsbibliothek mit einer einzelnen Instanz und der verteilte Entwurf der Verteilungspunkt-Standortsystemrolle. Sie verwenden diese Features beim Herunterladen und Verteilen von Softwareupdatebereitstellungspaketen.

Weitere Informationen finden Sie unter Herunterladen von Softwareupdates.

Verwalten von Expressinstallationsdateien für Windows 10 oder höher

Configuration Manager unterstützt die Verwendung von Expressinstallationsdateien für Windows-Updates. Express-Updatedateien und unterstützende Technologien wie die Übermittlungsoptimierung können dazu beitragen, die Netzwerkauswirkungen großer Inhaltsdateien zu reduzieren, die auf Clients heruntergeladen werden.

Weitere Informationen finden Sie unter Optimieren der Bereitstellung von Windows-Updates.

Clients laden Inhalte aus dem Internet herunter

Wenn Sie Softwareupdates auf Clients bereitstellen, konfigurieren Sie die Bereitstellung für Clients zum Herunterladen von Inhalten aus dem Microsoft Update-Clouddienst. Wenn Clients keine Inhalte aus einer anderen Inhaltsquelle herunterladen können, können sie die Inhalte trotzdem aus dem Internet herunterladen.

Sie müssen beim Bereitstellen von Softwareupdates kein Bereitstellungspaket erstellen. Wenn Sie die Option Kein Bereitstellungspaket auswählen, können Clients weiterhin Inhalte aus lokalen Quellen herunterladen, sofern verfügbar, aber in der Regel aus dem Microsoft Update-Dienst herunterladen.

Internetbasierte Clients laden Inhalte immer aus dem Microsoft Update-Clouddienst herunter. Verteilen Sie keine Bereitstellungspakete für Softwareupdates an ein inhaltsfähiges Cloudverwaltungsgateway (CMG).

Planen von Drittanbieterupdates

Configuration Manager lässt sich in WSUS integrieren, das von Microsoft veröffentlichte Softwareupdates nativ unterstützt. Die meisten Kunden verwenden andere Anwendungen von Drittanbietern, die ebenfalls Updates benötigen. Es gibt mehrere Optionen, die Sie in Betracht ziehen sollten, um Anwendungen von Drittanbietern auf dem neuesten Stand zu halten.

Ersetzen von zu aktualisierenden Anwendungen

Verwenden Sie eine Ablösungsbeziehung mit dem Anwendungsverwaltungsfeature in Configuration Manager, um vorhandene Anwendungen zu aktualisieren oder zu ersetzen. Wenn Sie eine Anwendung ablösen, geben Sie einen neuen Bereitstellungstyp an, um den Bereitstellungstyp der abgelösten Anwendung zu ersetzen. Entscheiden Sie auch, ob die abgelöste Anwendung aktualisiert oder deinstalliert werden soll, bevor die ablösende Anwendung installiert wird.

Weitere Informationen finden Sie unter Überarbeiten und Ablösen von Anwendungen.

Drittanbieter-Softwareupdates

Sie können den Knoten Softwareupdatekataloge von Drittanbietern in der Configuration Manager-Konsole verwenden, um Kataloge von Drittanbietern zu abonnieren, deren Updates auf Ihrem Softwareupdatepunkt zu veröffentlichen und sie dann auf Clients bereitzustellen.

Weitere Informationen finden Sie unter Updates für Drittanbietersoftware.

Herausgeber für System Center-Updates

System Center Updates Publisher (SCUP) ist ein eigenständiges Tool, mit dem unabhängige Softwareherausgeber oder Entwickler von branchenspezifischen Anwendungen benutzerdefinierte Updates verwalten können. Zu diesen Updates gehören Solche mit Abhängigkeiten, z. B. Treiber und Updatepakete. SCUP kann auch für Updatekataloge von Drittanbietern verwendet werden, die nicht direkt in der Konsole verfügbar sind.

Weitere Informationen finden Sie unter System Center Updates Publisher.

Planen der Installation des Softwareupdatepunkts

Dieser Abschnitt enthält die folgenden Unterthemen:

Dieser Abschnitt enthält Informationen zu den Schritten, die sie ausführen müssen, um die Installation des Softwareupdatepunkts erfolgreich zu planen und vorzubereiten. Bevor Sie eine Standortsystemrolle für den Softwareupdatepunkt in Configuration Manager erstellen, müssen mehrere Anforderungen berücksichtigt werden. Die spezifischen Anforderungen hängen von Ihrer Configuration Manager-Infrastruktur ab. Wenn Sie den Softwareupdatepunkt für die Kommunikation mit HTTPS konfigurieren, ist dieser Abschnitt besonders wichtig. HTTPS-fähige Server erfordern zusätzliche Schritte, um ordnungsgemäß zu funktionieren.

Anforderungen für den Softwareupdatepunkt

Installieren Sie die Softwareupdatepunktrolle auf einem Standortsystem, das die Mindestanforderungen für WSUS und die unterstützten Konfigurationen für Configuration Manager-Standortsysteme erfüllt.

Planen der WSUS-Installation

Installieren Sie eine unterstützte Version von WSUS auf allen Standortsystemservern, die Sie für die Softwareupdatepunktrolle konfigurieren. Wenn Sie den Softwareupdatepunkt nicht auf dem Standortserver installieren, installieren Sie die WSUS-Verwaltungskonsole auf dem Standortserver. Diese Komponente ermöglicht dem Standortserver die Kommunikation mit WSUS, die auf dem Softwareupdatepunkt ausgeführt wird.

Wenn Sie WSUS unter Windows Server 2012 oder höher verwenden, konfigurieren Sie zusätzliche Berechtigungen, damit die WSUS Configuration Manager-Komponente in Configuration Manager eine Verbindung mit WSUS herstellen kann. Diese Komponente führt regelmäßige Integritätsprüfungen durch. Wählen Sie eine der folgenden Optionen aus, um die erforderliche Berechtigung zu konfigurieren:

  • Hinzufügen des SYSTEM-Kontos zur Gruppe "WSUS-Administratoren "

  • Fügen Sie das Konto NT AUTHORITY\SYSTEM als Benutzer für die WSUS-Datenbank (SUSDB) hinzu. Konfigurieren Sie mindestens die Mitgliedschaft der WebService-Datenbankrolle.

Weitere Informationen zum Installieren von WSUS unter Windows Server finden Sie unter Installieren der WSUS-Serverrolle.

Wenn Sie mehr als einen Softwareupdatepunkt an einem primären Standort installieren, verwenden Sie dieselbe WSUS-Datenbank für jeden Softwareupdatepunkt in derselben Active Directory-Gesamtstruktur. Die Gemeinsame Nutzung derselben Datenbank verbessert die Leistung, wenn Clients zu einem neuen Softwareupdatepunkt wechseln. Weitere Informationen finden Sie unter Verwenden einer freigegebenen WSUS-Datenbank für Softwareupdatepunkte.

Konfigurieren des WSUS-Inhaltsverzeichnispfads

Wenn Sie WSUS installieren, müssen Sie einen Inhaltsverzeichnispfad angeben. Das WSUS-Inhaltsverzeichnis wird hauptsächlich zum Speichern der Dateien der Microsoft-Software-Lizenzbedingungen verwendet, die clients während der Überprüfung benötigen. Configuration Manager Das WSUS-Inhaltsverzeichnis sollte sich nicht mit Ihrem Inhaltsquellverzeichnis für Configuration Manager-Softwarebereitstellungspakete überschneiden. Das Überlappen des WSUS-Inhaltsverzeichnisses und der Configuration Manager-Paketquelle führt dazu, dass falsche Dateien aus dem WSUS-Inhaltsverzeichnis entfernt werden.

Konfigurieren von WSUS für die Verwendung einer benutzerdefinierten Website

Wenn Sie WSUS installieren, haben Sie die Möglichkeit, die vorhandene IIS-Standardwebsite zu verwenden oder eine benutzerdefinierte WSUS-Website zu erstellen. Erstellen Sie eine benutzerdefinierte Website für WSUS, damit IIS die WSUS-Dienste auf einer dedizierten virtuellen Website hostet. Andernfalls wird dieselbe Website verwendet, die auch von den anderen Configuration Manager-Standortsystemen oder -Anwendungen verwendet wird. Diese Konfiguration ist besonders erforderlich, wenn Sie die Softwareupdatepunktrolle auf dem Standortserver installieren. Wenn Sie WSUS in Windows Server 2012 oder höher ausführen, ist WSUS standardmäßig für die Verwendung von Port 8530 für HTTP und Port 8531 für HTTPS konfiguriert. Geben Sie diese Ports an, wenn Sie den Softwareupdatepunkt an einem Standort erstellen.

Konfigurieren von WSUS als Replikatserver

Wenn Sie die Softwareupdatepunktrolle auf einem primären Standortserver hinzufügen, können Sie keinen WSUS-Server verwenden, der als Replikat konfiguriert ist. Wenn der WSUS-Server als Replikat konfiguriert ist, kann Configuration Manager den WSUS-Server nicht konfigurieren, und die WSUS-Synchronisierung schlägt fehl. Der erste Softwareupdatepunkt, den Sie an einem primären Standort installieren, ist der Standardsoftwareupdatepunkt. Zusätzliche Softwareupdatepunkte am Standort werden als Replikate des Standardsoftwareupdatepunkts konfiguriert.

Entscheiden, ob WSUS für die Verwendung von SSL konfiguriert werden soll

Die Verwendung des SSL-Protokolls zum Schützen des Softwareupdatepunkts wird dringend empfohlen. WSUS verwendet SSL zum Authentifizieren von Clientcomputern und nachgeschalteten WSUS-Servern beim WSUS-Server. WSUS verwendet auch SSL zum Verschlüsseln von Softwareupdatemetadaten. Wenn Sie WSUS mit SSL sichern möchten, bereiten Sie den WSUS-Server vor, bevor Sie den Softwareupdatepunkt installieren.

Wenn Sie den Softwareupdatepunkt installieren und konfigurieren, wählen Sie die Option SSL-Kommunikation für den WSUS-Server aktivieren aus. Andernfalls konfiguriert Configuration Manager WSUS so, dass SSL nicht verwendet wird. Wenn Sie SSL auf einem Softwareupdatepunkt aktivieren, konfigurieren Sie auch alle Softwareupdatepunkte an untergeordneten Standorten für die Verwendung von SSL. Weitere Informationen finden Sie im Tutorial Konfigurieren eines Softwareupdatepunkts für die Verwendung von TLS/SSL mit einem PKI-Zertifikat.

Hinweis

Um sicherzustellen, dass die besten Sicherheitsprotokolle vorhanden sind, wird dringend empfohlen, das TLS/SSL-Protokoll zum Schutz Ihrer Softwareupdateinfrastruktur zu verwenden. Ab dem kumulativen Update vom September 2020 sind HTTP-basierte WSUS-Server standardmäßig sicher. Ein Client, der nach Updates für ein HTTP-basiertes WSUS sucht, darf einen Benutzerproxy standardmäßig nicht mehr nutzen. Wenn Sie trotz der Kompromisse bei der Sicherheit weiterhin einen Benutzerproxy benötigen, ist eine neue Clienteinstellung für Softwareupdates verfügbar, um diese Verbindungen zuzulassen. Weitere Informationen zu den Änderungen für die Überprüfung von WSUS finden Sie unter Änderungen vom September 2020 zur Verbesserung der Sicherheit für Windows-Geräte, die WSUS überprüfen.

Konfigurieren von Firewalls

Der Softwareupdatepunkt an einem Configuration Manager-Standort der zentralen Verwaltung kommuniziert mit WSUS auf dem Softwareupdatepunkt. WSUS kommuniziert mit der Synchronisierungsquelle, um Metadaten für Softwareupdates zu synchronisieren. Softwareupdatepunkte an einem untergeordneten Standort kommunizieren mit dem Softwareupdatepunkt am übergeordneten Standort. Wenn an einem primären Standort mehr als ein Softwareupdatepunkt vorhanden ist, kommunizieren die zusätzlichen Softwareupdatepunkte mit dem Standardsoftwareupdatepunkt. Die Standardrolle ist der erste Softwareupdatepunkt, der am Standort installiert ist.

Möglicherweise müssen Sie die Firewall so konfigurieren, dass der HTTP- oder HTTPS-Datenverkehr zugelassen wird, den WSUS in den folgenden Szenarien verwendet:

  • Zwischen dem Softwareupdatepunkt und dem Internet
  • Zwischen einem Softwareupdatepunkt und seiner Upstreamsynchronisierungsquelle
  • Zwischen zusätzlichen Softwareupdatepunkten

Die Verbindung mit Microsoft Update ist immer für die Verwendung von Port 80 für HTTP und Port 443 für HTTPS konfiguriert. Verwenden Sie einen benutzerdefinierten Port für die Verbindung von WSUS auf dem Softwareupdatepunkt an einem untergeordneten Standort zu WSUS auf dem Softwareupdatepunkt am übergeordneten Standort. Wenn Ihre Sicherheitsrichtlinie die Verbindung nicht zulässt, verwenden Sie die Export- und Importsynchronisierungsmethode. Weitere Informationen finden Sie im Abschnitt Synchronisierungsquelle in diesem Artikel. Weitere Informationen zu den von WSUS verwendeten Ports finden Sie unter Ermitteln der von WSUS in Configuration Manager verwendeten Porteinstellungen.

Einschränken des Zugriffs auf bestimmte Domänen

Wenn Ihre Organisation die Netzwerkkommunikation mit dem Internet über eine Firewall oder ein Proxygerät einschränkt, müssen Sie dem aktiven Softwareupdatepunkt den Zugriff auf Internetendpunkte gestatten. Anschließend können WSUS und automatische Updates mit dem Microsoft Update-Clouddienst kommunizieren.

Weitere Informationen finden Sie unter Internetzugriffsanforderungen.

Planen der Synchronisierungseinstellungen

Dieser Abschnitt enthält die folgenden Unterthemen:

Die Softwareupdatesynchronisierung in Configuration Manager lädt die Metadaten für Softwareupdates basierend auf den von Ihnen konfigurierten Kriterien herunter. Der Standort der obersten Ebene in Ihrer Hierarchie synchronisiert Softwareupdates von Microsoft Update. Sie haben die Möglichkeit, den Softwareupdatepunkt am Standort der obersten Ebene so zu konfigurieren, dass er mit einem vorhandenen WSUS-Server synchronisiert wird, nicht in der Configuration Manager-Hierarchie. Die untergeordneten primären Standorte synchronisieren Softwareupdatemetadaten vom Softwareupdatepunkt am Standort der zentralen Verwaltung. Bevor Sie einen Softwareupdatepunkt installieren und konfigurieren, verwenden Sie diesen Abschnitt, um die Synchronisierungseinstellungen zu planen.

Synchronisierungsquelle

Die Einstellungen der Synchronisierungsquelle für den Softwareupdatepunkt geben den Speicherort an, an dem der Softwareupdatepunkt Softwareupdatemetadaten abruft. Außerdem wird angegeben, ob der Synchronisierungsprozess WSUS-Berichtsereignisse erstellt.

  • Synchronisierungsquelle: Standardmäßig konfiguriert der Softwareupdatepunkt am Standort der obersten Ebene die Synchronisierungsquelle für Microsoft Update. Sie haben die Möglichkeit, den Standort der obersten Ebene mit einem vorhandenen WSUS-Server zu synchronisieren. Der Softwareupdatepunkt an einem untergeordneten primären Standort konfiguriert die Synchronisierungsquelle als Softwareupdatepunkt am Standort der zentralen Verwaltung.

    • Der erste Softwareupdatepunkt, den Sie an einem primären Standort installieren( der Standardsoftwareupdatepunkt) wird mit dem Standort der zentralen Verwaltung synchronisiert. Zusätzliche Softwareupdatepunkte am primären Standort werden mit dem Standardsoftwareupdatepunkt am primären Standort synchronisiert.

    • Wenn ein Softwareupdatepunkt mit Microsoft Update oder dem Upstreamupdateserver getrennt wird, konfigurieren Sie die Synchronisierungsquelle so, dass sie nicht mit einer konfigurierten Synchronisierungsquelle synchronisiert wird. Konfigurieren Sie es stattdessen so, dass die Export- und Importfunktion des WSUSUtil-Tools zum Synchronisieren von Softwareupdates verwendet wird. Weitere Informationen finden Sie unter Synchronisieren von Softwareupdates von einem getrennten Softwareupdatepunkt.

  • WSUS-Berichtsereignisse: Der Windows Update-Agent auf Clientcomputern kann Ereignismeldungen für die WSUS-Berichterstellung erstellen. Diese Ereignisse werden von Configuration Manager nicht verwendet. Daher ist die Option Do not create WSUS reporting events (WSUS-Berichtsereignisse nicht erstellen) standardmäßig ausgewählt. Wenn diese Ereignisse nicht erstellt werden, sollte der Client nur während der Auswertung von Softwareupdates und Konformitätsüberprüfungen eine Verbindung mit dem WSUS-Server herstellen. Wenn diese Ereignisse für die Berichterstellung außerhalb von Configuration Manager erforderlich sind, ändern Sie diese Einstellung, um WSUS-Berichterstellungsereignisse zu erstellen.

Wichtig

Wenn Sie die WSUS-Datenbank (SUSDB) für mehrere Softwareupdatepunkte für den Standort der obersten Ebene freigeben, stellen Sie sicher, dass jeder dieser WSUS-Server die Internetzugriffsanforderungen für Softwareupdates erfüllt. Wenn die Datenbank am Standort der obersten Ebene freigegeben wird, kann Configuration Manager einen dieser WSUS-Server auswählen, der mit Microsoft Update synchronisiert werden soll.

Synchronisierungszeitplan

Konfigurieren Sie den Synchronisierungszeitplan nur am Softwareupdatepunkt am Standort der obersten Ebene in der Configuration Manager-Hierarchie. Wenn Sie den Synchronisierungszeitplan konfigurieren, wird der Softwareupdatepunkt mit der Synchronisierungsquelle zu dem von Ihnen angegebenen Datum und der angegebenen Uhrzeit synchronisiert. Mit dem benutzerdefinierten Zeitplan können Sie Softwareupdates synchronisieren, um sie für Ihre Umgebung zu optimieren. Berücksichtigen Sie die Leistungsanforderungen des WSUS-Servers, des Standortservers und des Netzwerks. Beispiel: 2:00 Uhr einmal pro Woche. Alternativ können Sie die Synchronisierung am Standort der obersten Ebene manuell starten, indem Sie die Aktion Softwareupdates synchronisieren auf den Knoten Alle Softwareupdates oder Softwareupdategruppen in der Configuration Manager-Konsole verwenden.

Tipp

Planen Sie die Synchronisierung von Softwareupdates so, dass sie ausgeführt wird, indem Sie einen für Ihre Umgebung geeigneten Zeitpunkt verwenden. Ein häufiges Szenario besteht darin, den Synchronisierungszeitplan so festzulegen, dass er kurz nach dem regulären Softwareupdate-Release von Microsoft am zweiten Dienstag eines jeden Monats ausgeführt wird. Dieser Tag wird in der Regel als Patch-Dienstag bezeichnet. Wenn Sie Configuration Manager zum Bereitstellen von Endpoint Protection- und Windows Defender-Definitions- und Engine-Updates verwenden, sollten Sie den Synchronisierungszeitplan für die tägliche Ausführung festlegen.

Nachdem der Softwareupdatepunkt erfolgreich synchronisiert wurde, sendet er eine Synchronisierungsanforderung an untergeordnete Standorte. Wenn Sie an einem primären Standort über zusätzliche Softwareupdatepunkte verfügen, wird eine Synchronisierungsanforderung an jeden Softwareupdatepunkt gesendet. Dieser Vorgang wird an jedem Standort in der Hierarchie wiederholt.

Aktualisieren von Klassifizierungen

Jedes Softwareupdate wird mit einer Updateklassifizierung definiert, mit der die verschiedenen Arten von Updates organisiert werden können. Während des Synchronisierungsprozesses synchronisiert der Standort die Metadaten für die angegebenen Klassifizierungen.

Configuration Manager unterstützt die Synchronisierung der folgenden Updateklassifizierungen:

  • Kritische Updates: Ein allgemein veröffentlichtes Update für ein bestimmtes Problem, das einen kritischen, nicht sicherheitsbezogenen Fehler behebt.

  • Definitionsupdates: Ein Update für Virus- oder andere Definitionsdateien.

  • Feature Packs: Neue Produktfeatures, die außerhalb eines Produktrelease verteilt werden und in der Regel in der nächsten vollständigen Produktversion enthalten sind.

  • Sicherheitsupdates: Ein allgemein veröffentlichtes Update für ein produktspezifisches, sicherheitsrelevantes Problem.

  • Service Packs: Ein kumulativer Satz von Hotfixes, der auf ein Betriebssystem oder eine Anwendung angewendet wird. Diese Hotfixes umfassen Sicherheitsupdates, kritische Updates und Softwareupdates.

  • Tools: Ein Hilfsprogramm oder Feature, mit dem sie eine oder mehrere Aufgaben ausführen können.

  • Updaterollups: Ein kumulativer Satz von Hotfixes, der für eine einfache Bereitstellung gepackt ist. Diese Hotfixes umfassen Sicherheitsupdates, kritische Updates und Softwareupdates. Ein Updaterollup betrifft im Allgemeinen einen bestimmten Bereich, z. B. sicherheit oder eine Produktkomponente.

  • Updates: Ein Update für eine Anwendung oder Datei, die derzeit installiert ist.

  • Upgrades: Ein Featureupdate auf eine neue Version von Windows.

Konfigurieren Sie die Updateklassifizierungseinstellungen nur am Standort der obersten Ebene. Die Einstellungen für die Updateklassifizierung sind auf dem Softwareupdatepunkt an untergeordneten Standorten nicht konfiguriert, da die Softwareupdatemetadaten vom Standort der obersten Ebene repliziert werden. Beachten Sie beim Auswählen der Updateklassifizierungen, je mehr Klassifizierungen Sie auswählen, desto länger dauert die Synchronisierung der Metadaten für Softwareupdates.

Warnung

Als bewährte Methode sollten Sie alle Klassifizierungen löschen, bevor Sie sie zum ersten Mal synchronisieren. Wählen Sie nach der ersten Synchronisierung die gewünschten Klassifizierungen aus, und führen Sie dann die Synchronisierung erneut aus.

Produkte

Die Metadaten für jedes Softwareupdate definieren mindestens ein Produkt, für das das Update anwendbar ist. Ein Produkt ist eine bestimmte Edition eines Betriebssystems oder einer Anwendung. Ein Beispiel für ein Produkt ist Microsoft Windows 10. Eine Produktfamilie ist das Basisbetriebssystem oder die Anwendung, von dem die einzelnen Produkte abgeleitet werden. Ein Beispiel für eine Produktfamilie ist Microsoft Windows, dem Windows 10 und Windows Server 2016 angehören. Wählen Sie eine Produktfamilie oder einzelne Produkte innerhalb einer Produktfamilie aus.

Wenn Softwareupdates für mehrere Produkte gelten und mindestens eines der Produkte für die Synchronisierung ausgewählt ist, werden alle Produkte in der Configuration Manager-Konsole angezeigt, auch wenn einige Produkte nicht ausgewählt wurden. Beispielsweise wählen Sie nur das Windows Server 2012-Produkt aus. Wenn ein Softwareupdate für Windows Server 2012 und Windows Server 2012 Datacenter Edition gilt, befinden sich beide Produkte in der Standortdatenbank.

Konfigurieren Sie die Produkteinstellungen nur am Standort der obersten Ebene. Die Produkteinstellungen werden auf dem Softwareupdatepunkt für untergeordnete Standorte nicht konfiguriert, da die Softwareupdatemetadaten vom Standort der obersten Ebene repliziert werden. Je mehr Produkte Sie auswählen, desto länger dauert es, die Metadaten für Softwareupdates zu synchronisieren.

Wichtig

Configuration Manager speichert eine Liste der Produkte und Produktfamilien, die Sie bei der ersten Installation des Softwareupdatepunkts auswählen. Produkte und Produktfamilien, die nach der Veröffentlichung von Configuration Manager veröffentlicht werden, können möglicherweise erst ausgewählt werden, wenn Sie die Synchronisierung abgeschlossen haben. Der Synchronisierungsprozess aktualisiert die Liste der verfügbaren Produkte und Produktfamilien, aus denen Sie auswählen können. Löschen Sie alle Produkte, bevor Sie Softwareupdates zum ersten Mal synchronisieren. Wählen Sie nach der ersten Synchronisierung die gewünschten Produkte aus, und führen Sie dann die Synchronisierung erneut aus.

Regeln zum Ersetzen

In der Regel führt ein Softwareupdate, das ein anderes Softwareupdate ersetzt, eine oder mehrere der folgenden Aktionen aus:

  • Verbessert, verbessert oder aktualisiert den Fix, der von einem oder mehreren zuvor veröffentlichten Updates bereitgestellt wurde.

  • Verbessert die Effizienz des abgelösten Updatedateipakets, das auf Clients installiert wird, wenn das Update für die Installation genehmigt wurde. Das abgelöste Update kann z. B. Dateien enthalten, die für den Fix oder für die Betriebssysteme, die vom neuen Update unterstützt werden, nicht mehr relevant sind. Diese Dateien sind nicht im ablösenden Dateipaket des Updates enthalten.

  • Aktualisiert neuere Versionen eines Produkts. Anders ausgedrückt: Es werden Versionen aktualisiert, die nicht mehr auf ältere Versionen oder Konfigurationen eines Produkts anwendbar sind. Updates können auch andere Updates ersetzen, wenn Änderungen vorgenommen wurden, um die Sprachunterstützung zu erweitern. Beispielsweise kann eine spätere Revision eines Produktupdates für Microsoft 365 Apps die Unterstützung für ein älteres Betriebssystem entfernen, aber es kann zusätzliche Unterstützung für neue Sprachen in der ersten Updateversion hinzugefügt werden.

Geben Sie in den Eigenschaften für den Softwareupdatepunkt an, dass die abgelösten Softwareupdates sofort abgelaufen sind. Diese Einstellung verhindert, dass sie in neue Bereitstellungen einbezogen werden. Außerdem werden die vorhandenen Bereitstellungen gekennzeichnet, um anzugeben, dass sie mindestens ein abgelaufenes Softwareupdate enthalten. Oder geben Sie einen Zeitraum an, bevor die abgelösten Softwareupdates abgelaufen sind. Mit dieser Aktion können Sie sie weiterhin bereitstellen.

Betrachten Sie die folgenden Szenarien, in denen Sie möglicherweise ein abgelöstes Softwareupdate bereitstellen müssen:

  • Ein ablösendes Softwareupdate unterstützt nur neuere Versionen eines Betriebssystems. Auf einigen Clientcomputern werden frühere Versionen des Betriebssystems ausgeführt.

  • Ein ablösendes Softwareupdate hat eine eingeschränktere Anwendbarkeit als das Softwareupdate, das es ablöst. Dieses Verhalten würde es für einige Clients ungeeignet machen.

  • Wenn ein ablösendes Softwareupdate nicht für die Bereitstellung in Ihrer Produktionsumgebung genehmigt wurde.

Configuration Manager kann abgelöste Updates basierend auf einem von Ihnen gewählten Zeitplan automatisch ablaufen . Sie können das Ablösungsregelverhalten für Featureupdates getrennt von Nicht-Featureupdates angeben. Die Standardeinstellung besteht darin, 3 Monate zu warten, bevor ein abgelöstes Update abläuft. Der Standardwert von 3 Monaten besteht darin, Ihnen Zeit zu geben, um zu überprüfen, ob das Update von ihren Clientcomputern nicht mehr benötigt wird. Es wird empfohlen, nicht davon auszugehen, dass abgelöste Updates sofort zugunsten des neuen, ablösenden Updates abgelaufen sein sollten. Sie können eine Liste der Softwareupdates anzeigen, die das Softwareupdate ersetzen, auf der Registerkarte Ablösungsinformationen in den Softwareupdateeigenschaften.

Sprachen

Mit den Spracheinstellungen für den Softwareupdatepunkt können Sie Folgendes konfigurieren:

  • Die Sprachen, für die die Zusammenfassungsdetails (Metadaten für Softwareupdates) für Softwareupdates synchronisiert werden
  • Die Sprachen der Softwareupdatedatei, die für Softwareupdates heruntergeladen werden

Softwareupdatedatei

Konfigurieren Sie Sprachen für die Einstellung Softwareupdatedatei in den Eigenschaften für den Softwareupdatepunkt. Diese Einstellung stellt die Standardsprachen bereit, die verfügbar sind, wenn Sie Softwareupdates an einem Standort herunterladen. Ändern Sie die Standardmäßig ausgewählten Sprachen bei jedem Herunterladen oder Bereitstellen der Softwareupdates. Während des Downloadvorgangs werden die Softwareupdatedateien für die konfigurierten Sprachen an den Quellspeicherort des Bereitstellungspakets heruntergeladen, wenn die Softwareupdatedateien in der ausgewählten Sprache verfügbar sind. Als Nächstes werden sie in die Inhaltsbibliothek auf dem Standortserver kopiert. Anschließend werden sie an die Verteilungspunkte verteilt, die für das Paket konfiguriert sind.

Konfigurieren Sie die Spracheinstellungen für die Softwareupdatedatei mit den Sprachen, die in Ihrer Umgebung am häufigsten verwendet werden. Clients an Ihrer Website verwenden z. B. hauptsächlich Englisch und Japanisch für Windows oder Anwendungen. Es gibt einige andere Sprachen, die am Standort verwendet werden. Wählen Sie beim Herunterladen oder Bereitstellen des Softwareupdates in der Spalte Softwareupdatedatei nur Englisch und Japanisch aus. Mit dieser Aktion können Sie die Standardeinstellungen auf der Seite Sprachauswahl des Bereitstellungs- und Download-Assistenten verwenden. Diese Aktion verhindert auch, dass nicht benötigte Updatedateien heruntergeladen werden. Konfigurieren Sie diese Einstellung an jedem Softwareupdatepunkt in der Configuration Manager-Hierarchie.

Zusammenfassungsdetails

Während des Synchronisierungsprozesses werden die Zusammenfassungsdetails (Metadaten für Softwareupdates) für Softwareupdates in den von Ihnen angegebenen Sprachen aktualisiert. Die Metadaten enthalten Informationen zum Softwareupdate, z. B.:

  • Name
  • Beschreibung
  • Produkte, die vom Update unterstützt werden
  • Updateklassifizierung
  • Artikel-ID
  • URL herunterladen
  • Anwendbarkeitsregeln

Konfigurieren Sie die Einstellungen für die Zusammenfassungsdetails nur auf der Website der obersten Ebene. Die Zusammenfassungsdetails sind auf dem Softwareupdatepunkt an untergeordneten Standorten nicht konfiguriert, da die Softwareupdatemetadaten mithilfe der dateibasierten Replikation vom Standort der zentralen Verwaltung repliziert werden. Wenn Sie die Sprachen der Zusammenfassungsdetails auswählen, wählen Sie nur die Sprachen aus, die Sie in Ihrer Umgebung benötigen. Je mehr Sprachen Sie auswählen, desto länger dauert die Synchronisierung der Softwareupdatemetadaten. Configuration Manager zeigt die Softwareupdatemetadaten im Gebietsschema des Betriebssystems an, in dem die Configuration Manager-Konsole ausgeführt wird. Wenn die lokalisierten Eigenschaften für die Softwareupdates im Gebietsschema dieses Betriebssystems nicht verfügbar sind, werden die Informationen zu Softwareupdates in englischer Sprache angezeigt.

Wichtig

Wählen Sie alle benötigten Sprachen für Zusammenfassungsdetails aus. Wenn der Softwareupdatepunkt am Standort der obersten Ebene mit der Synchronisierungsquelle synchronisiert wird, bestimmen die ausgewählten Sprachen der Zusammenfassungsdetails die abzurufenden Softwareupdatemetadaten. Wenn Sie die Sprachen der Zusammenfassungsdetails ändern, nachdem die Synchronisierung mindestens einmal ausgeführt wurde, werden die Softwareupdatemetadaten für die geänderten Zusammenfassungsdetails nur für neue oder aktualisierte Softwareupdates abgerufen. Die softwareupdates, die bereits synchronisiert wurden, werden nicht mit neuen Metadaten für die geänderten Sprachen aktualisiert, es sei denn, es gibt eine Änderung am Softwareupdate für die Synchronisierungsquelle.

Maximale Laufzeit

Sie können angeben, wie lange eine Softwareupdateinstallation maximal abgeschlossen werden kann. Sie können die maximale Laufzeit für Folgendes angeben:

  • Maximale Laufzeit für Windows-Featureupdates (Minuten)

    • Featureupdates : Ein Update, das sich in einer der folgenden drei Klassifizierungen befindet:
      • Verbesserungen
      • Updaterollups
      • Service Packs
  • Maximale Laufzeit für Office 365-Updates und Nicht-Featureupdates für Windows (Minuten)

    • Nicht-Featureupdates : Ein Update, das kein Featureupgrade ist und dessen Produkt als eines der folgenden aufgeführt ist:
      • Windows 11
      • Windows 10 (alle Versionen)
      • Windows Server 2012 R2
      • Windows Server 2016
      • Windows Server 2019
      • Office 365
  • Maximale Laufzeit für alle anderen Softwareupdates außerhalb dieser Kategorien, z. B. Updates von Drittanbietern (Minuten): Die maximale Standardlaufzeit dieser Updates hängt davon ab, wann das Update zum ersten Mal mit der Umgebung synchronisiert wurde und welche Configuration Manager-Version verwendet wird. Verwenden Sie den folgenden Warenkorb, um den maximalen Laufzeitwert für diese Updates zu bestimmen:

    2203 oder höher 2103, 2107 oder 2111 2010
    Die maximale Laufzeit für alle anderen Softwareupdates kann angepasst werden. Der Standardwert ist 60 Minuten. 60 Minuten 10 Minuten

    Wichtig

    • Diese Einstellung ändert nur die maximale Laufzeit für neue Updates, die von SUP synchronisiert werden. Die Laufzeit für vorhandene Updates, die vor der Änderung der Laufzeit synchronisiert wurden, wird dadurch nicht geändert. Wenn Update 1 beispielsweise zum ersten Mal mit einer 2111-Umgebung synchronisiert wurde, beträgt die maximale Laufzeit 60 Minuten. Anschließend aktualisieren Sie die Umgebung auf Version 2203 und legen die maximale Laufzeit auf 30 Minuten fest. Update 1 behält die Laufzeit von 60 Minuten bei. Wenn jedoch ein neues Update synchronisiert wird, Update 2erhält es die neue Laufzeit von 30 Minuten.
    • Wenn Sie die maximale Laufzeit eines Updates manuell ändern müssen, können Sie die Softwareupdateeinstellungen dafür konfigurieren .

Planen eines Wartungsfensters für Softwareupdates

Fügen Sie ein Wartungsfenster für die Installation von Softwareupdates hinzu. Mit dieser Aktion können Sie ein allgemeines Wartungsfenster und ein anderes Wartungsfenster für Softwareupdates konfigurieren. Wenn Sie sowohl ein Fenster für die allgemeine Wartung als auch ein Wartungsfenster für Softwareupdates konfigurieren, installieren Clients Softwareupdates nur während des Wartungsfensters für Softwareupdates.

Sie können dieses Verhalten ändern und die Installation von Softwareupdates während eines allgemeinen Wartungsfensters zulassen. Weitere Informationen zu dieser Clienteinstellung finden Sie unter Clienteinstellungen für Softwareupdates.

Weitere Informationen zu Wartungsfenstern finden Sie unter Verwenden von Wartungsfenstern.

Neustartoptionen für Windows 10-Clients nach der Installation von Softwareupdates

Wenn ein Softwareupdate, das einen Neustart erfordert, mithilfe von Configuration Manager bereitgestellt und installiert wird, plant der Client einen ausstehenden Neustart und zeigt ein Dialogfeld zum Neustart an.

Wenn ein Neustart für ein Configuration Manager-Softwareupdate aussteht, ist die Option Aktualisieren und neu starten und Aktualisieren und Herunterfahren auf Windows 10-Computern in den Windows-Energieoptionen verfügbar. Nachdem Sie eine dieser Optionen verwendet haben, wird das Neustartdialogfeld nach dem Neustart des Computers nicht angezeigt. Unter bestimmten Umständen kann das Betriebssystem die Optionen für ausstehende Neustarts entfernen. Dies kann passieren, wenn das Schnellstartfeature in Windows 10 aktiviert ist. Weitere Informationen finden Sie unter Updates werden möglicherweise nicht mit Schnellstart in Windows 10 installiert.

Auswerten von Softwareupdates nach einem Wartungsstapelupdate

Ab Version 2002 erkennt Configuration Manager, ob ein Wartungsstapelupdate (Servicing Stack Update, SSU) Teil einer Installation für mehrere Updates ist. Wenn eine SSU erkannt wird, wird sie zuerst installiert. Nach der Installation des SSU wird ein Evaluierungszyklus für Softwareupdates ausgeführt, um die verbleibenden Updates zu installieren. Diese Änderung ermöglicht die Installation eines abhängigen kumulativen Updates nach dem Wartungsstapelupdate. Das Gerät muss zwischen den Installationen nicht neu gestartet werden, und Sie müssen kein zusätzliches Wartungsfenster erstellen. SSUs werden zuerst nur für nicht vom Benutzer initiierte Installationen installiert. Wenn ein Benutzer beispielsweise eine Installation für mehrere Updates aus dem Softwarecenter initiiert, wird das SSU möglicherweise nicht zuerst installiert. Die Installation von SSUs ist für Windows Server-Betriebssysteme nicht verfügbar, wenn Configuration Manager Version 2002 verwendet wird. Diese Funktion wurde in Configuration Manager Version 2006 für Windows Server-Betriebssysteme hinzugefügt.

Wenn Sie Nicht-Windows-Updates wie Office- oder Drittanbieterupdates am gleichen Stichtag haben und diese nach der Installation einen Neustart erfordern, werden kumulative Updates möglicherweise nicht direkt nach der SSU installiert, da der Computer einen Neustart erforderte, bevor eine vollständige Überprüfung erneut durchgeführt wird. Dies kann erreicht werden, indem Sie in den Bereitstellungseinstellungen das Kontrollkästchen Ausführen des Auswertungszyklus der Updatebereitstellung nach dem Neustart aktivieren, wenn ein Update in dieser Bereitstellung einen Systemneustart erfordert .

Nächste Schritte

Nachdem Sie Softwareupdates geplant haben, finden Sie weitere Informationen unter Vorbereiten der Verwaltung von Softwareupdates.

Weitere Informationen zum Verwalten von Windows als Dienst finden Sie unter Grundlagen von Configuration Manager als Dienst und Windows as a Service.