Bewährte Methoden für Softwareupdates in Configuration Manager
Gilt für: Configuration Manager (Current Branch)
Dieser Artikel enthält bewährte Methoden für Softwareupdates in Configuration Manager. Die Informationen sind nach bewährten Methoden für die Erstinstallation und für den laufenden Betrieb sortiert.
Bewährte Methoden für die Installation
Verwenden Sie die folgenden bewährten Methoden, wenn Sie Softwareupdates in Configuration Manager installieren.
Verwenden einer freigegebenen WSUS-Datenbank für Softwareupdatepunkte
Wenn Sie mehr als einen Softwareupdatepunkt an einem primären Standort installieren, verwenden Sie dieselbe WSUS-Datenbank für jeden Softwareupdatepunkt in derselben Active Directory-Gesamtstruktur. Wenn Sie dieselbe Datenbank gemeinsam nutzen, werden die Auswirkungen des Clients und der Netzwerkleistung, die auftreten können, wenn Clients zu einem neuen Softwareupdatepunkt wechseln, erheblich verringert, aber nicht vollständig ausgeschlossen. Eine Deltaüberprüfung tritt weiterhin auf, wenn ein Client zu einem neuen Softwareupdatepunkt wechselt, der eine Datenbank mit dem alten Softwareupdatepunkt gemeinsam verwendet, aber die Überprüfung viel kleiner ist, als wenn der WSUS-Server über eine eigene Datenbank verfügt. Weitere Informationen zum Wechseln des Softwareupdatepunkts finden Sie unter Wechseln des Softwareupdatepunkts.
Wichtig
Geben Sie auch die lokalen WSUS-Inhaltsordner weiter, wenn Sie eine freigegebene WSUS-Datenbank für Softwareupdatepunkte verwenden.
Weitere Informationen zur Freigabe der WSUS-Datenbank finden Sie in den folgenden Blogbeiträgen:
Wenn Configuration Manager und WSUS denselben SQL Server verwenden, konfigurieren Sie eine für die Verwendung einer benannten Instanz und die andere für die Verwendung der Standardinstanz.
Wenn die Configuration Manager- und WSUS-Datenbanken dieselbe Instanz von SQL Server gemeinsam nutzen, können Sie die Ressourcennutzung zwischen den beiden Anwendungen nicht einfach ermitteln. Verwenden Sie verschiedene SQL Server instanzen für Configuration Manager und WSUS. Diese Konfiguration erleichtert die Problembehandlung und Diagnose von Ressourcennutzungsproblemen, die für jede Anwendung auftreten können.
Geben Sie die Einstellung "Updates lokal speichern" an.
Wählen Sie bei der Installation von WSUS die Einstellung Updates lokal speichern aus. Diese Einstellung bewirkt, dass WSUS die Lizenzbedingungen für Softwareupdates herunter lädt. Es lädt die Bedingungen während des Synchronisierungsprozesses herunter und speichert sie auf der lokalen Festplatte für den WSUS-Server. Wenn Sie diese Einstellung nicht auswählen, treten möglicherweise Konformitätsüberprüfungen auf Softwareupdates mit Lizenzbedingungen auf Clientcomputer fehl. Die WSUS-Synchronisierungs-Manager-Komponente des Softwareupdatepunkts überprüft, ob diese Einstellung standardmäßig alle 60 Minuten aktiviert ist.
Konfigurieren Ihrer Softwareupdatepunkte für die Verwendung von TLS/SSL
Das Konfigurieren von Windows Server Update Services -Servern (WSUS) und den entsprechenden Softwareupdatepunkten für die Verwendung von TLS/SSL kann die Fähigkeit eines potenziellen Angreifers verringern, einen Client remote zu kompromittieren und Berechtigungen zu erhöhen. Um sicherzustellen, dass die besten Sicherheitsprotokolle vorhanden sind, wird dringend empfohlen, das TLS/SSL-Protokoll zum Schutz Ihrer Softwareupdateinfrastruktur zu verwenden. Weitere Informationen finden Sie im Tutorial Konfigurieren eines Softwareupdatepunkts für die Verwendung von TLS/SSL mit einem PKI-Zertifikat.
Bewährte Methoden für den Betrieb
Verwenden Sie die folgenden bewährten Methoden, wenn Sie Softwareupdates verwenden:
Beschränken von Softwareupdates auf 1000 in einer einzelnen Softwareupdatebereitstellung
Beschränken Sie die Anzahl von Softwareupdates in jeder Softwareupdatebereitstellung auf 1000. Stellen Sie beim Erstellen einer automatischen Bereitstellungsregel sicher, dass die angegebenen Kriterien nicht zu mehr als 1000 Softwareupdates führen. Wenn Sie Softwareupdates manuell bereitstellen, wählen Sie nicht mehr als 1.000 Updates aus.
Erstellen Sie bei jeder Ausführung eines ADR für "Patch Tuesday" und für allgemeine Bereitstellungen eine neue Softwareupdategruppe.
Es gibt ein Limit von 1.000 Softwareupdates in einer Bereitstellung. Beim Erstellen einer automatischen Bereitstellungsregel (ADR) geben Sie an, ob bei jeder Ausführung der Regel eine vorhandene Updategruppe verwendet oder eine neue Updategruppe erstellt werden soll. Wenn Sie Kriterien in einer ADR angeben, die zu mehreren Softwareupdates führt, und die Regel nach einem wiederkehrenden Zeitplan ausgeführt wird, erstellen Sie bei jeder Ausführung der Regel eine neue Softwareupdategruppe. Dieses Verhalten verhindert, dass die Bereitstellung den Grenzwert von 1.000 Softwareupdates pro Bereitstellung überschreitet.
Verwenden einer vorhandenen Softwareupdategruppe für ADRs für Endpoint Protection-Definitionsupdates
Wenn Sie eine ADR verwenden, um Endpoint Protection-Definitionsupdates häufig bereitzustellen, verwenden Sie immer eine vorhandene Softwareupdategruppe. Andernfalls erstellt der ADR im Laufe der Zeit möglicherweise Hunderte von Softwareupdategruppen. Definitionsupdate-Herausgeber legen in der Regel fest, dass Definitionsupdates ablaufen, wenn sie durch vier neuere Updates ersetzt werden. Daher enthält die Softwareupdategruppe, die von der ADR erstellt wird, nie mehr als vier Definitionsupdates für den Herausgeber: eine aktive und drei ersetzt.
Siehe auch
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für