Procedure consigliate per gli aggiornamenti software in Configuration Manager
Si applica a: Configuration Manager (Current Branch)
Questo articolo include le procedure consigliate per gli aggiornamenti software in Configuration Manager. Le informazioni vengono ordinate in procedure consigliate per l'installazione iniziale e per le operazioni in corso.
Procedure consigliate per l'installazione
Usare le procedure consigliate seguenti quando si installano gli aggiornamenti software in Configuration Manager.
Usare un database WSUS condiviso per i punti di aggiornamento software
Quando si installano più punti di aggiornamento software in un sito primario, usare lo stesso database WSUS per ogni punto di aggiornamento software nella stessa foresta di Active Directory. Se si condivide lo stesso database, riduce significativamente, ma non elimina completamente, l'impatto sulle prestazioni del client e della rete che potrebbe verificarsi quando i client passano a un nuovo punto di aggiornamento software. Un'analisi differenziale si verifica ancora quando un client passa a un nuovo punto di aggiornamento software che condivide un database con il punto di aggiornamento software precedente, ma l'analisi è molto più piccola di quanto sarebbe se il server WSUS disponesse di un proprio database. Per altre informazioni sul cambio del punto di aggiornamento software, vedere Cambio del punto di aggiornamento software.
Importante
Condividere anche le cartelle di contenuto WSUS locali quando si usa un database WSUS condiviso per i punti di aggiornamento software.
Per altre informazioni sulla condivisione del database WSUS, vedere i post di blog seguenti:
Quando Configuration Manager e WSUS usano lo stesso SQL Server, configurare uno per l'uso di un'istanza denominata e l'altro per l'uso dell'istanza predefinita
Quando i database Configuration Manager e WSUS condividono la stessa istanza di SQL Server, non è possibile determinare facilmente l'utilizzo delle risorse tra le due applicazioni. Usare istanze di SQL Server diverse per Configuration Manager e WSUS. Questa configurazione semplifica la risoluzione dei problemi di utilizzo delle risorse che potrebbero verificarsi per ogni applicazione e diagnosticarli.
Specificare l'impostazione "Store updates localmente"
Quando si installa WSUS, selezionare l'impostazione Archivia gli aggiornamenti in locale. Questa impostazione fa sì che WSUS scarichi le condizioni di licenza associate agli aggiornamenti software. Scarica i termini durante il processo di sincronizzazione e li archivia nel disco rigido locale per il server WSUS. Se non si seleziona questa impostazione, i computer client potrebbero non riuscire a eseguire le analisi di conformità per gli aggiornamenti software con condizioni di licenza. Il componente Gestione sincronizzazione WSUS del punto di aggiornamento software verifica che questa impostazione sia abilitata ogni 60 minuti, per impostazione predefinita.
Configurare i punti di aggiornamento software per l'uso di TLS/SSL
La configurazione dei server Windows Server Update Services (WSUS) e dei relativi punti di aggiornamento software corrispondenti per l'uso di TLS/SSL può ridurre la capacità di un potenziale utente malintenzionato di compromettere in remoto un client ed elevare i privilegi. Per assicurarsi che siano presenti i protocolli di sicurezza migliori, è consigliabile usare il protocollo TLS/SSL per proteggere l'infrastruttura di aggiornamento software. Per altre informazioni, vedere l'esercitazione Configurare un punto di aggiornamento software per l'uso di TLS/SSL con un certificato PKI.
Procedure consigliate operative
Quando si usano gli aggiornamenti software, usare le procedure consigliate seguenti:
Limitare gli aggiornamenti software a 1000 in una singola distribuzione di aggiornamenti software
Limitare il numero di aggiornamenti software a 1000 in ogni distribuzione di aggiornamenti software. Quando si crea una regola di distribuzione automatica, verificare che i criteri specificati non comportino più di 1000 aggiornamenti software. Se si distribuiscono manualmente gli aggiornamenti software, non selezionare più di 1000 aggiornamenti.
Creare un nuovo gruppo di aggiornamenti software ogni volta che viene eseguito un adr per "Patch Tuesday" e per le distribuzioni generali
Esiste un limite di 1000 aggiornamenti software in una distribuzione. Quando si crea una regola di distribuzione automatica, si specifica se usare un gruppo di aggiornamenti esistente o creare un nuovo gruppo di aggiornamento ogni volta che viene eseguita la regola. Se si specificano criteri in una richiesta active directory che generano più aggiornamenti software e la regola viene eseguita in base a una pianificazione ricorrente, creare un nuovo gruppo di aggiornamenti software ogni volta che viene eseguita la regola. Questo comportamento impedisce alla distribuzione di superare il limite di 1000 aggiornamenti software per ogni distribuzione.
Usare un gruppo di aggiornamenti software esistente per adr per gli aggiornamenti delle definizioni di Endpoint Protection
Quando si usa un adr per distribuire gli aggiornamenti delle definizioni di Endpoint Protection in modo frequente, usare sempre un gruppo di aggiornamenti software esistente. In caso contrario, ad ADR potrebbero essere creati centinaia di gruppi di aggiornamenti software nel corso del tempo. I server di pubblicazione degli aggiornamenti delle definizioni in genere impostano gli aggiornamenti delle definizioni in modo che scadano quando vengono sostituiti da quattro aggiornamenti più recenti. Di conseguenza, il gruppo di aggiornamenti software creato da ADR non contiene mai più di quattro aggiornamenti delle definizioni per il server di pubblicazione: uno attivo e tre sostituiti.