Megosztás a következőn keresztül:


Ajánlott eljárások a Configuration Manager szoftverfrissítéseihez

A következőre vonatkozik: Configuration Manager (aktuális ág)

Ez a cikk a Configuration Manager szoftverfrissítéseivel kapcsolatos ajánlott eljárásokat tartalmazza. Az információk a kezdeti telepítés és a folyamatban lévő műveletek ajánlott eljárásaiba vannak rendezve.

Telepítési ajánlott eljárások

A szoftverfrissítések Configuration Manager való telepítésekor kövesse az alábbi ajánlott eljárásokat.

Megosztott WSUS-adatbázis használata szoftverfrissítési pontokhoz

Ha egy elsődleges helyen több szoftverfrissítési pontot telepít, használja ugyanazt a WSUS-adatbázist az ugyanazon Active Directory-erdőben található összes szoftverfrissítési ponthoz. Ha ugyanazt az adatbázist használja, az jelentősen csökkenti, de nem szünteti meg teljesen az ügyfelet és a hálózati teljesítményt, amelyet akkor tapasztalhat, amikor az ügyfelek új szoftverfrissítési pontra váltanak. A változásvizsgálat akkor is megtörténik, ha egy ügyfél egy új szoftverfrissítési pontra vált, amely megoszt egy adatbázist a régi szoftverfrissítési ponttal, de a vizsgálat sokkal kisebb, mint ha a WSUS-kiszolgáló saját adatbázissal rendelkezne. További információ a szoftverfrissítési pontok közötti váltásról: Szoftverfrissítési pontváltás.

Fontos

Akkor is ossza meg a helyi WSUS-tartalommappákat, ha megosztott WSUS-adatbázist használ a szoftverfrissítési pontokhoz.

A WSUS-adatbázis megosztásáról az alábbi blogbejegyzésekben talál további információt:

Ha a Configuration Manager és a WSUS ugyanazt a SQL Server használja, konfigurálja az egyiket nevesített példány használatára, a másikat pedig az alapértelmezett példány használatára

Ha a Configuration Manager és a WSUS-adatbázisok azonos SQL Server-példányon osztoznak, nem lehet könnyen meghatározni a két alkalmazás közötti erőforrás-használatot. Használjon különböző SQL Server példányokat a Configuration Manager és a WSUS esetében. Ezzel a konfigurációval egyszerűbben háríthatja el és diagnosztizálhatja az egyes alkalmazások erőforrás-használati problémáit.

Adja meg a "Frissítések helyi tárolása" beállítást

A WSUS telepítésekor válassza a Frissítések helyi tárolása beállítást. Ez a beállítás miatt a WSUS letölti a szoftverfrissítésekhez társított licencfeltételeket. Letölti a feltételeket a szinkronizálási folyamat során, és a WSUS-kiszolgáló helyi merevlemezén tárolja őket. Ha nem választja ki ezt a beállítást, előfordulhat, hogy az ügyfélszámítógépek nem ellenőrzik a licencfeltételekkel rendelkező szoftverfrissítéseket. A szoftverfrissítési pont WSUS Synchronization Manager összetevője ellenőrzi, hogy ez a beállítás alapértelmezés szerint 60 percenként engedélyezve van-e.

A szoftverfrissítési pontok konfigurálása A TLS/SSL használatára

Ha Windows Server Update Services (WSUS) kiszolgálókat és a hozzájuk tartozó szoftverfrissítési pontokat TLS/SSL használatára konfigurálja, azzal csökkentheti a potenciális támadók azon képességét, hogy távolról feltörjék az ügyfelet, és emeljék a jogosultságokat. Annak érdekében, hogy a legjobb biztonsági protokollok legyenek érvényben, javasoljuk, hogy a szoftverfrissítési infrastruktúra védelméhez használja a TLS/SSL protokollt. További információ: A szoftverfrissítési pont konfigurálása A TLS/SSL PKI-tanúsítvánnyal való használatához.

Ajánlott üzemeltetési eljárások

A szoftverfrissítések használatakor kövesse az alábbi ajánlott eljárásokat:

Szoftverfrissítések korlátozása 1000-ra egyetlen szoftverfrissítési telepítésben

A szoftverfrissítések számát 1000-re korlátozhatja az egyes szoftverfrissítések telepítésekor. Automatikus központi telepítési szabály létrehozásakor ellenőrizze, hogy a megadott feltételek nem eredményeznek-e 1000-nél több szoftverfrissítést. Ha manuálisan telepíti a szoftverfrissítéseket, ne válasszon 1000-nél több frissítést.

Hozzon létre egy új szoftverfrissítési csoportot minden alkalommal, amikor az ADR a "Patch Tuesday" és az általános központi telepítések esetében fut

Egy központi telepítésben legfeljebb 1000 szoftverfrissítés lehet. Automatikus központi telepítési szabály (ADR) létrehozásakor meg kell adnia, hogy egy meglévő frissítési csoportot szeretne-e használni, vagy új frissítési csoportot hoz létre a szabály minden futtatásakor. Ha olyan feltételt ad meg egy ADR-ben, amely több szoftverfrissítést eredményez, és a szabály ismétlődő ütemezés szerint fut, hozzon létre egy új szoftverfrissítési csoportot minden alkalommal, amikor a szabály fut. Ez a viselkedés megakadályozza, hogy az üzembe helyezés túllépje az üzemelő példányonkénti 1000 szoftverfrissítési korlátot.

Meglévő szoftverfrissítési csoport használata az Endpoint Protection definíciófrissítéseinek ADR-ekhez

Ha ADR használatával gyakran telepít végpontvédelmi definíciófrissítéseket, mindig használjon meglévő szoftverfrissítési csoportot. Ellenkező esetben az ADR idővel akár több száz szoftverfrissítési csoportot is létrehozhat. A definíciófrissítés közzétevői általában úgy állítják be a definíciófrissítéseket, hogy lejárjanak, amikor négy újabb frissítés felülírja őket. Ezért az ADR által létrehozott szoftverfrissítési csoport soha nem tartalmaz négynél több definíciófrissítést a közzétevőhöz: egy aktív és három felülírt definíciót.

Lásd még

Szoftverfrissítések tervezése