Software-updates plannen in Configuration Manager

  • Artikel

Van toepassing op: Configuration Manager (current branch)

Voordat u software-updates in een Configuration Manager productieomgeving gebruikt, is het belangrijk dat u het planningsproces doorloopt. Een goed plan voor de infrastructuur van het software-updatepunt is essentieel voor een succesvolle implementatie van software-updates. Zie Grootte- en schaalnummers voor meer informatie over capaciteitsplanning voor software-updates.

De infrastructuur van het software-updatepunt bepalen

Deze sectie bevat de volgende subonderwerpen:

De centrale beheersite en alle onderliggende primaire sites moeten een software-updatepunt hebben. Wanneer u de infrastructuur van het software-updatepunt plant, bepaalt u de volgende afhankelijkheden:

  • Waar moet ik het software-updatepunt voor de site installeren?
  • Voor welke sites is een software-updatepunt vereist dat communicatie van internetclients accepteert
  • Of u een software-updatepunt op secundaire sites nodig hebt

Belangrijk

Zie Vereisten voor software-updates voor meer informatie over de interne en externe afhankelijkheden die vereist zijn voor software-updates.

Voeg meerdere software-updatepunten toe op een Configuration Manager primaire site om fouttolerantie te bieden. Het failover-ontwerp van het software-updatepunt verschilt van het pure randomisatiemodel dat wordt gebruikt in het ontwerp voor beheerpunten. In tegenstelling tot het ontwerp van beheerpunten zijn er kosten voor client- en netwerkprestaties in het ontwerp van het software-updatepunt wanneer clients overschakelen naar een nieuw software-updatepunt. Wanneer de client overschakelt naar een nieuwe WSUS-server om te scannen op software-updates, is het resultaat een toename van de catalogusgrootte en de bijbehorende vereisten aan clientzijde en netwerkprestaties. Daarom behoudt de client affiniteit met het laatste software-updatepunt van waaruit deze is gescand.

Het eerste software-updatepunt dat u op een primaire site installeert, is de synchronisatiebron voor alle extra software-updatepunten die u op de primaire site toevoegt. Nadat u software-updatepunten hebt toegevoegd en de synchronisatie hebt gestart, bekijkt u de status van de software-updatepunten en de synchronisatiebron vanuit het knooppunt Synchronisatiestatus van software-updatepunt in de werkruimte Bewaking .

Wanneer er een fout opgetreden is in het software-updatepunt dat is geconfigureerd als de synchronisatiebron voor de site, verwijdert u de mislukte rol handmatig. Selecteer vervolgens een nieuw software-updatepunt dat u wilt gebruiken als de synchronisatiebron. Zie Een sitesysteemrol verwijderen voor meer informatie.

Lijst met software-updatepunten

Configuration Manager biedt de client een lijst met software-updatepunten in de volgende scenario's:

  • Een nieuwe client ontvangt het beleid om software-updates in te schakelen

  • Een client kan geen contact opnemen met het toegewezen software-updatepunt en moet overschakelen naar een andere

De client selecteert willekeurig een software-updatepunt in de lijst. Er wordt prioriteit gegeven aan de software-updatepunten in hetzelfde forest. Configuration Manager biedt clients een andere lijst, afhankelijk van het type client:

  • Intranetclients: ontvang een lijst met software-updatepunten die u kunt configureren om alleen verbindingen vanaf het intranet toe te staan, of een lijst met software-updatepunten die internet- en intranetclientverbindingen toestaan.

  • Internetclients: ontvang een lijst met software-updatepunten die u configureert om verbindingen alleen vanaf internet toe te staan, of een lijst met software-updatepunten die internet- en intranetclientverbindingen toestaan.

Schakelen tussen software-updatepunten

Opmerking

Clients gebruiken grensgroepen om een nieuw software-updatepunt te vinden. Als hun huidige software-updatepunt niet meer toegankelijk is, gebruiken ze ook grensgroepen om terug te vallen en een nieuw te vinden. Voeg afzonderlijke software-updatepunten toe aan verschillende grensgroepen om te bepalen welke servers een client kan vinden. Zie Software-updatepunten voor meer informatie.

Als u meerdere software-updatepunten op een site hebt en er één uitvalt of niet meer beschikbaar is, maken clients verbinding met een ander software-updatepunt. Met deze nieuwe server blijven clients zoeken naar de nieuwste software-updates. Wanneer aan een client voor het eerst een software-updatepunt wordt toegewezen, blijft deze toegewezen aan dat software-updatepunt, tenzij het scannen mislukt.

Het scannen op software-updates kan mislukken met een aantal verschillende foutcodes voor opnieuw proberen en niet opnieuw proberen. Wanneer de scan mislukt met een foutcode voor opnieuw proberen, start de client een proces voor opnieuw proberen om te scannen op de software-updates op het software-updatepunt. De voorwaarden op hoog niveau die resulteren in een foutcode voor opnieuw proberen, zijn meestal omdat de WSUS-server niet beschikbaar is of omdat deze tijdelijk overbelast is. Wanneer de client niet kan scannen op software-updates, wordt het volgende proces gebruikt:

  1. De client scant op software-updates:

    • Op het geplande tijdstip
    • Wanneer deze handmatig wordt uitgevoerd vanuit het configuratiescherm op de client
    • Wanneer deze handmatig wordt uitgevoerd vanuit de Configuration Manager-console via een clientmeldingsactie
    • Wanneer deze wordt uitgevoerd vanaf een Configuration Manager SDK-methode

  2. Als de scan mislukt, wacht de client 30 minuten om de scan opnieuw uit te voeren. Het maakt gebruik van hetzelfde software-updatepunt.

  3. De client probeert minimaal vier keer per 30 minuten opnieuw. Na de vierde fout en nadat deze nog twee minuten heeft gewacht, gaat de client naar het volgende software-updatepunt in de lijst.

  4. De client herhaalt dit proces met het nieuwe software-updatepunt. Na een geslaagde scan blijft de client verbinding maken met het nieuwe software-updatepunt.

De volgende lijst bevat aanvullende informatie die u kunt overwegen voor scenario's voor opnieuw proberen en schakelen tussen software-updatepunten:

  • Als een client wordt losgekoppeld van het intranet en niet kan scannen op software-updates, wordt niet overgeschakeld naar een ander software-updatepunt. Deze fout wordt verwacht, omdat de client het interne netwerk of een software-updatepunt dat verbindingen vanaf het intranet toestaat, niet kan bereiken. De Configuration Manager-client bepaalt de beschikbaarheid van het intranetsoftware-updatepunt.

  • Als u clients op internet beheert en meerdere software-updatepunten hebt geconfigureerd om communicatie van clients op internet te accepteren, volgt het schakelproces het standaardproces voor opnieuw proberen dat eerder is beschreven.

  • Als het scanproces wordt gestart, maar de client is uitgeschakeld voordat de scan is voltooid, wordt dit niet beschouwd als een scanfout en wordt het niet meegeteld als een van de vier nieuwe pogingen.

Wanneer Configuration Manager een van de volgende foutcodes Windows Update Agent ontvangt, probeert de client de verbinding opnieuw:

2149842970, 2147954429, 2149859352, 2149859362, 2149859338, 2149859344, 2147954430, 2147747475, 2149842974, 2149859342, 2149859372, 2149859341, 2149904388, 2149859371, 2149859367, 2149859366, 2149859364, 2149859363, 2149859361, 2149859360, 2149859359, 2149859358, 2149859357, 2149859356, 2149859354, 2149859353, 2149859350, 2149859349, 2149859340, 2149859339, 2149859332, 2149859333, 2149859334, 2149859337, 2149859336, 2149859335

Als u de betekenis van een foutcode wilt opzoeken, converteert u de decimale foutcode naar hexadecimaal en zoekt u vervolgens naar de hexadecimale waarde op een site zoals de wiki Windows Update Agent - Foutcodes. De decimale foutcode 2149842970 is bijvoorbeeld hexadecimaal 8024001A, wat betekent dat WU_E_POLICY_NOT_SET A-beleidswaarde niet is ingesteld.

Handmatig overschakelen van clients naar een nieuw software-updatepunt

Schakel Configuration Manager clients over naar een nieuw software-updatepunt wanneer er problemen zijn met het actieve software-updatepunt. Deze wijziging vindt alleen plaats wanneer een client meerdere software-updatepunten van een beheerpunt ontvangt.

Belangrijk

Wanneer u overschakelt naar een nieuwe server, gebruiken de apparaten terugval om die nieuwe server te vinden. Clients schakelen over naar het nieuwe software-updatepunt tijdens hun volgende scancyclus voor software-updates.

Voordat u met deze wijziging begint, controleert u de configuraties van uw grensgroep om ervoor te zorgen dat uw software-updatepunten zich in de juiste grensgroepen bevinden. Zie Software-updatepunten voor meer informatie.

Overschakelen naar een nieuw software-updatepunt genereert extra netwerkverkeer. De hoeveelheid verkeer is afhankelijk van uw WSUS-configuratie-instellingen, bijvoorbeeld de gesynchroniseerde classificaties en producten, of het gebruik van een gedeelde WSUS-database. Als u van plan bent om meerdere apparaten te schakelen, kunt u dit tijdens onderhoudsvensters doen. Deze timing vermindert de impact op uw netwerk wanneer clients scannen met het nieuwe software-updatepunt.

Proces voor het schakelen tussen software-updatepunten

Start deze wijziging op een apparaatverzameling. Eenmaal geactiveerd, zoeken de clients bij de volgende scan naar een ander software-updatepunt.

  1. Ga in de Configuration Manager-console naar de werkruimte Activa en naleving en selecteer het knooppunt Apparaatverzamelingen.

  2. Selecteer de doelverzameling. Selecteer op het tabblad Start van het lint in de groep Verzameling de optie Clientmelding en selecteer vervolgens Overschakelen naar het volgende software-updatepunt.

Software-updatepunten in een niet-vertrouwd forest

Maak een of meer software-updatepunten op een site ter ondersteuning van clients in een niet-vertrouwd forest. Als u een software-updatepunt in een ander forest wilt toevoegen, installeert en configureert u eerst een WSUS-server in dat forest. Start vervolgens de wizard om een Configuration Manager-siteserver toe te voegen met de sitesysteemrol van het software-updatepunt. Configureer in de wizard de volgende instellingen om verbinding te maken met WSUS in het niet-vertrouwde forest:

  • Geef een sitesysteeminstallatieaccount op dat toegang heeft tot de WSUS-server in het niet-vertrouwde forest.

  • Geef een WSUS-serververbindingsaccount op om verbinding te maken met de WSUS-server.

U hebt bijvoorbeeld een primaire site in forest A met twee software-updatepunten (SUP01 en SUP02). Voor dezelfde primaire site hebt u ook twee software-updatepunten (SUP03 en SUP04) in forest B. Wanneer u overschakelt naar het volgende software-updatepunt, geven de clients prioriteit aan de servers uit hetzelfde forest.

Een bestaande WSUS-server gebruiken als synchronisatiebron op de site op het hoogste niveau

Normaal gesproken is de site op het hoogste niveau in uw hiërarchie geconfigureerd om metagegevens van software-updates te synchroniseren met Microsoft Update. Wanneer het beveiligingsbeleid van uw organisatie niet toestaat dat de site op het hoogste niveau toegang heeft tot internet, configureert u de synchronisatiebron voor de site op het hoogste niveau om een bestaande WSUS-server te gebruiken. Deze WSUS-server bevindt zich niet in uw Configuration Manager-hiërarchie. U hebt bijvoorbeeld een WSUS-server in een met internet verbonden netwerk (DMZ), maar uw site op het hoogste niveau bevindt zich in een intern netwerk zonder internettoegang. Configureer de WSUS-server in de DMZ als uw synchronisatiebron voor metagegevens van software-updates. Configureer de WSUS-server in de DMZ om software-updates te synchroniseren met dezelfde criteria die u nodig hebt in Configuration Manager. Anders synchroniseert de site op het hoogste niveau mogelijk niet de software-updates die u verwacht. Wanneer u het software-updatepunt installeert, configureert u een WSUS-serververbindingsaccount. Dit account heeft toegang nodig tot de WSUS-server in de DMZ. Controleer ook of de firewall verkeer toestaat voor de juiste poorten. Zie de poorten die door de software-update worden gebruikt, naar de synchronisatiebron voor meer informatie.

Software-updatepunt op een secundaire site

Het software-updatepunt is optioneel op een secundaire site. Installeer slechts één software-updatepunt op een secundaire site. Wanneer een software-updatepunt niet is geïnstalleerd op de secundaire site, gebruiken apparaten binnen de grenzen van een secundaire site een software-updatepunt op de toegewezen primaire site. Meestal installeert u een software-updatepunt op een secundaire site wanneer er beperkte netwerkbandbreedte is tussen de apparaten op de secundaire site en de software-updatepunten op de bovenliggende primaire site. U kunt deze configuratie ook gebruiken wanneer het software-updatepunt op de primaire site de capaciteitslimiet nadert. Nadat u een software-updatepunt op de secundaire site hebt geïnstalleerd en geconfigureerd, wordt een sitebreed beleid bijgewerkt voor clients en gaan ze het nieuwe software-updatepunt gebruiken.

Plannen voor internetclients

Wanneer u apparaten wilt beheren die buiten uw netwerk op internet roamen, ontwikkelt u een plan voor het beheren van software-updates op deze apparaten. Configuration Manager ondersteunt verschillende technologieën voor dit scenario. Gebruik zo nodig een of een combinatie om te voldoen aan de vereisten van uw organisatie.

Cloudbeheergateway

Maak een cloudbeheergateway in Microsoft Azure en schakel ten minste één on-premises software-updatepunt in om verkeer van internetclients toe te staan. Terwijl clients op internet roamen, blijven ze scannen op uw software-updatepunten. Alle internetclients krijgen altijd inhoud van de Microsoft Update-cloudservice.

Zie Overzicht van cloudbeheergateway en Grensgroepen configureren voor meer informatie.

Opmerking

Vanaf versie 2203 kunt u instellen dat clients liever scannen op basis van een CLOUD Management Gateway (CMG) software-updatepunt (SUP) dan op een on-premises SUP. Dit gedrag wordt bepaald door de optie Liever cloudbron dan on-premises bron in de grensgroep. Om de impact op de prestaties van deze wijziging te verminderen, schakelen bestaande clients hun SUP niet automatisch over naar een cloudgebaseerde SUP. De client blijft toegewezen aan de huidige SUP, tenzij de huidige SUP mislukt of de client handmatig wordt overgeschakeld naar een nieuwe SUP.

Clientbeheer op basis van internet

Plaats een software-updatepunt in een internetgericht netwerk en schakel dit in om verkeer van internetclients toe te staan. Wanneer clients op internet roamen, schakelen ze over naar dit software-updatepunt voor scannen. Alle internetclients krijgen altijd inhoud van de Microsoft Update-cloudservice.

Zie Clients op internet beheren voor meer informatie over de voor- en nadelen van clientbeheer via internet.

Windows Update voor Bedrijven

met Windows Update voor Bedrijven kunt u Windows 10 of nieuwere apparaten altijd up-to-date houden met de nieuwste kwaliteits- en functie-updates. Deze apparaten maken rechtstreeks verbinding met de Windows Update cloudservice. Configuration Manager kunt onderscheid maken tussen Windows-computers die gebruikmaken van WUfB en WSUS voor het ophalen van software-updates.

Zie Integratie met Windows Update voor Bedrijven voor meer informatie.

Software-update-inhoud plannen

Clients moeten de inhoudsbestanden voor software-updates downloaden om ze te kunnen installeren. Configuration Manager biedt verschillende technologieën ter ondersteuning van het beheer en de levering van deze inhoud. Of configureer software-update-implementaties om clients toe te staan of te vereisen dat ze inhoud rechtstreeks van de Microsoft Update-cloudservice ophalen.

Opmerking

Vanaf 28 maart 2023 ontvangen on-premises Windows 11, versie 22H2-apparaten kwaliteitsupdates via het Unified Update Platform (UUP). UUP on-premises werkt samen met WSUS en Microsoft Configuration Manager. UUP-kwaliteitsupdates blijven cumulatief en bevatten alle vrijgegeven kwaliteits- en beveiligingspatches van Windows. On-premises updatebeheer met Unified Update Platform (UUP) vereist 10 GB extra ruimte per Windows-versie en processorarchitectuur voor elke versie. Zie de sectie UUP-overwegingen voor meer informatie.

Inhoud downloaden en distribueren

Het software-updatebeheerproces in Configuration Manager maakt standaard gebruik van de ingebouwde functies voor inhoudsbeheer. Deze functies omvatten de gecentraliseerde opslaginhoudsbibliotheek met één exemplaar en het gedistribueerde ontwerp van de sitesysteemrol van het distributiepunt. U gebruikt deze functies wanneer u software-update-implementatiepakketten downloadt en distribueert.

Zie Software-updates downloaden voor meer informatie.

Bestanden voor snelle installatie beheren voor Windows 10 of hoger

Configuration Manager ondersteunt het gebruik van bestanden voor snelle installatie voor Windows-updates. Snelle updatebestanden en ondersteunende technologieën zoals Delivery Optimization kunnen helpen de impact van grote inhoudsbestanden die naar clients worden gedownload, te verminderen.

Zie De bezorging van Windows-updates optimaliseren voor meer informatie.

Clients downloaden inhoud van internet

Wanneer u software-updates implementeert op clients, configureert u de implementatie voor clients om inhoud te downloaden van de Microsoft Update-cloudservice. Wanneer clients geen inhoud van een andere inhoudsbron kunnen downloaden, kunnen ze de inhoud nog steeds downloaden van internet.

U hoeft geen implementatiepakket te maken bij het implementeren van software-updates. Wanneer u de optie Geen implementatiepakket selecteert, kunnen clients nog steeds inhoud downloaden van lokale bronnen, indien beschikbaar, maar meestal downloaden van de Microsoft Update-service.

Internetclients downloaden altijd inhoud van de Microsoft Update-cloudservice. Distribueer geen software-update-implementatiepakketten naar een cloudbeheergateway (CMG) met inhoud.

Plannen voor updates van derden

Configuration Manager integreert met WSUS, dat systeemeigen ondersteuning biedt voor software-updates die door Microsoft zijn gepubliceerd. De meeste klanten gebruiken andere toepassingen van derden die ook updates nodig hebben. Er zijn verschillende opties om toepassingen van derden up-to-date te houden.

Toepassingen vervangen om bij te werken

Gebruik een vervangingsrelatie met de functie voor toepassingsbeheer in Configuration Manager om bestaande toepassingen te upgraden of te vervangen. Wanneer u een toepassing vervangt, geeft u een nieuw implementatietype op om het implementatietype van de vervangen toepassing te vervangen. Bepaal ook of u de vervangen toepassing wilt upgraden of verwijderen voordat de vervangen toepassing wordt geïnstalleerd.

Zie Toepassingen herzien en vervangen voor meer informatie.

Software-updates van derden

U kunt het knooppunt Software-updatecatalogi van derden in de Configuration Manager-console gebruiken om u te abonneren op catalogi van derden, hun updates te publiceren naar uw software-updatepunt en deze vervolgens op clients te implementeren.

Zie Software-updates van derden voor meer informatie.

System Center Updates Publisher

System Center Updates Publisher (SCUP) is een zelfstandig hulpprogramma waarmee onafhankelijke software-uitgevers of ontwikkelaars van line-of-business-toepassingen aangepaste updates kunnen beheren. Deze updates omvatten updates met afhankelijkheden, zoals stuurprogramma's en updatebundels. SCUP kan ook worden gebruikt voor updatecatalogussen van derden die niet rechtstreeks beschikbaar zijn in de console.

Zie System Center Updates Publisher voor meer informatie.

Installatie van software-updatepunt plannen

Deze sectie bevat de volgende subonderwerpen:

Deze sectie bevat informatie over de stappen die moeten worden uitgevoerd om de installatie van het software-updatepunt te plannen en voor te bereiden. Voordat u een sitesysteemrol maakt voor het software-updatepunt in Configuration Manager, moet u rekening houden met verschillende vereisten. De specifieke vereisten zijn afhankelijk van uw Configuration Manager infrastructuur. Wanneer u het software-updatepunt configureert om te communiceren via HTTPS, is dit gedeelte vooral belangrijk om te controleren. Servers met HTTPS vereisen extra stappen om goed te werken.

Vereisten voor het software-updatepunt

Installeer de software-updatepuntrol op een sitesysteem dat voldoet aan de minimale vereisten voor WSUS en de ondersteunde configuraties voor Configuration Manager sitesystemen.

WSUS-installatie plannen

Installeer een ondersteunde versie van WSUS op alle sitesysteemservers die u configureert voor de software-updatepuntrol. Wanneer u het software-updatepunt niet op de siteserver installeert, installeert u de WSUS-beheerconsole op de siteserver. Met dit onderdeel kan de siteserver communiceren met WSUS die wordt uitgevoerd op het software-updatepunt.

Wanneer u WSUS op Windows Server 2012 of hoger gebruikt, configureert u aanvullende machtigingen om het WSUS-Configuration Manager-onderdeel in Configuration Manager verbinding te laten maken met WSUS. Dit onderdeel voert periodieke statuscontroles uit. Kies een van de volgende opties om de vereiste machtiging te configureren:

  • Voeg het SYSTEM-account toe aan de groep WSUS-beheerders

  • Voeg het NT AUTHORITY\SYSTEM-account toe als gebruiker voor de WSUS-database (SUSDB). Configureer minimaal het lidmaatschap van de webService-databaserol.

Zie De WSUS-serverfunctie installeren voor meer informatie over het installeren van WSUS op Windows Server.

Wanneer u meer dan één software-updatepunt op een primaire site installeert, gebruikt u dezelfde WSUS-database voor elk software-updatepunt in hetzelfde Active Directory-forest. Het delen van dezelfde database verbetert de prestaties wanneer clients overschakelen naar een nieuw software-updatepunt. Zie Een gedeelde WSUS-database gebruiken voor software-updatepunten voor meer informatie.

Het pad naar de WSUS-inhoudsmap configureren

Wanneer u WSUS installeert, moet u een pad naar de inhoudsmap opgeven. De WSUS-inhoudsmap wordt voornamelijk gebruikt voor het opslaan van de microsoft-softwarelicentievoorwaardenbestanden die clients nodig hebben tijdens het scannen. De Configuration Manager De WSUS-inhoudsmap mag niet overlappen met uw inhoudsbronmap voor Configuration Manager software-implementatiepakketten. Als u de WSUS-inhoudsmap en de Configuration Manager pakketbron overlapt, worden onjuiste bestanden verwijderd uit de WSUS-inhoudsmap.

WSUS configureren voor het gebruik van een aangepaste website

Wanneer u WSUS installeert, hebt u de optie om de bestaande standaardwebsite van IIS te gebruiken of om een aangepaste WSUS-website te maken. Maak een aangepaste website voor WSUS, zodat IIS als host fungeert voor de WSUS-services in een toegewezen virtuele website. Anders deelt het dezelfde website die wordt gebruikt door de andere Configuration Manager sitesystemen of -toepassingen. Deze configuratie is met name nodig wanneer u de software-updatepuntrol op de siteserver installeert. Wanneer u WSUS uitvoert in Windows Server 2012 of hoger, is WSUS standaard geconfigureerd voor het gebruik van poort 8530 voor HTTP en poort 8531 voor HTTPS. Geef deze poorten op wanneer u het software-updatepunt op een site maakt.

WSUS configureren als een replicaserver

Wanneer u de rol software-updatepunt op een primaire siteserver toevoegt, kunt u geen WSUS-server gebruiken die is geconfigureerd als een replica. Wanneer de WSUS-server is geconfigureerd als een replica, kan Configuration Manager de WSUS-server niet configureren en mislukt de WSUS-synchronisatie. Het eerste software-updatepunt dat u op een primaire site installeert, is het standaardsoftware-updatepunt. Aanvullende software-updatepunten op de site worden geconfigureerd als replica's van het standaardsoftware-updatepunt.

Bepalen of WSUS moet worden geconfigureerd voor het gebruik van SSL

Het gebruik van het SSL-protocol om het software-updatepunt te beveiligen, wordt ten zeerste aanbevolen. WSUS gebruikt SSL om clientcomputers en downstream WSUS-servers te verifiëren bij de WSUS-server. WSUS maakt ook gebruik van SSL om metagegevens van software-updates te versleutelen. Wanneer u wsus wilt beveiligen met SSL, bereidt u de WSUS-server voor voordat u het software-updatepunt installeert.

Wanneer u het software-updatepunt installeert en configureert, selecteert u de optie SSL-communicatie inschakelen voor de WSUS-server. Anders configureert Configuration Manager WSUS om SSL niet te gebruiken. Wanneer u SSL inschakelt op een software-updatepunt, configureert u ook eventuele software-updatepunten op onderliggende sites om SSL te gebruiken. Zie de zelfstudie Een software-updatepunt configureren voor het gebruik van TLS/SSL met een PKI-certificaat voor meer informatie.

Opmerking

Om ervoor te zorgen dat de beste beveiligingsprotocollen aanwezig zijn, raden we u ten zeerste aan om het TLS/SSL-protocol te gebruiken om uw software-update-infrastructuur te beveiligen. Vanaf de cumulatieve update van september 2020 zijn OP HTTP gebaseerde WSUS-servers standaard beveiligd. Een client die zoekt naar updates op basis van een OP HTTP gebaseerde WSUS, mag niet langer standaard gebruikmaken van een gebruikersproxy. Als u ondanks de beveiligingsproblemen nog steeds een gebruikersproxy nodig hebt, is er een nieuwe clientinstelling voor software-updates beschikbaar om deze verbindingen toe te staan. Zie Wijzigingen van september 2020 om de beveiliging te verbeteren voor Windows-apparaten die WSUS scannen voor meer informatie over de wijzigingen voor het scannen van WSUS.

Firewalls configureren

Het software-updatepunt op een Configuration Manager centrale beheersite communiceert met WSUS op het software-updatepunt. WSUS communiceert met de synchronisatiebron om metagegevens van software-updates te synchroniseren. Software-updatepunten op een onderliggende site communiceren met het software-updatepunt op de bovenliggende site. Wanneer er meer dan één software-updatepunt op een primaire site is, communiceren de extra software-updatepunten met het standaardsoftware-updatepunt. De standaardrol is het eerste software-updatepunt dat op de site wordt geïnstalleerd.

Mogelijk moet u de firewall configureren om het HTTP- of HTTPS-verkeer toe te staan dat WSUS gebruikt in de volgende scenario's:

  • Tussen het software-updatepunt en internet
  • Tussen een software-updatepunt en de bijbehorende upstream-synchronisatiebron
  • Tussen aanvullende software-updatepunten

De verbinding met Microsoft Update is altijd geconfigureerd voor het gebruik van poort 80 voor HTTP en poort 443 voor HTTPS. Gebruik een aangepaste poort voor de verbinding van WSUS op het software-updatepunt op een onderliggende site naar WSUS op het software-updatepunt op de bovenliggende site. Wanneer uw beveiligingsbeleid de verbinding niet toestaat, gebruikt u de synchronisatiemethode voor exporteren en importeren. Zie de sectie Synchronisatiebron in dit artikel voor meer informatie. Zie How to determine the port settings used by WSUS in Configuration Manager (De poortinstellingen bepalen die door WSUS worden gebruikt in Configuration Manager) voor meer informatie over de poorten die door WSUS worden gebruikt.

Toegang tot specifieke domeinen beperken

Als uw organisatie de netwerkcommunicatie met internet via een firewall of proxyapparaat beperkt, moet u het actieve software-updatepunt toegang geven tot interneteindpunten. Vervolgens kunt WSUS en Automatische Updates communiceren met de Microsoft Update-cloudservice.

Zie Vereisten voor internettoegang voor meer informatie.

Synchronisatie-instellingen plannen

Deze sectie bevat de volgende subonderwerpen:

Synchronisatie van software-updates in Configuration Manager de metagegevens van software-updates downloadt op basis van criteria die u configureert. De site op het hoogste niveau in uw hiërarchie synchroniseert software-updates van Microsoft Update. U hebt de mogelijkheid om het software-updatepunt op de site op het hoogste niveau te configureren voor synchronisatie met een bestaande WSUS-server, niet in de Configuration Manager-hiërarchie. De onderliggende primaire sites synchroniseren metagegevens van software-updates van het software-updatepunt op de centrale beheersite. Voordat u een software-updatepunt installeert en configureert, gebruikt u deze sectie om de synchronisatie-instellingen te plannen.

Synchronisatiebron

De synchronisatiebroninstellingen voor het software-updatepunt geven de locatie op waar het software-updatepunt metagegevens van software-updates ophaalt. Ook wordt aangegeven of het synchronisatieproces WSUS-rapportage-gebeurtenissen maakt.

  • Synchronisatiebron: standaard configureert het software-updatepunt op de site op het hoogste niveau de synchronisatiebron voor Microsoft Update. U kunt de site op het hoogste niveau synchroniseren met een bestaande WSUS-server. Het software-updatepunt op een onderliggende primaire site configureert de synchronisatiebron als het software-updatepunt op de centrale beheersite.

    • Het eerste software-updatepunt dat u installeert op een primaire site, het standaardsoftware-updatepunt, synchroniseert met de centrale beheersite. Aanvullende software-updatepunten op de primaire site worden gesynchroniseerd met het standaardsoftware-updatepunt op de primaire site.

    • Wanneer een software-updatepunt wordt losgekoppeld van Microsoft Update of de upstream-updateserver, configureert u de synchronisatiebron om niet te synchroniseren met een geconfigureerde synchronisatiebron. In plaats daarvan configureert u deze om de export- en importfunctie van het WSUSUtil-hulpprogramma te gebruiken om software-updates te synchroniseren. Zie Software-updates synchroniseren vanaf een niet-verbonden software-updatepunt voor meer informatie.

  • WSUS-rapportage-gebeurtenissen: De Windows Update Agent op clientcomputers kan gebeurtenisberichten maken voor WSUS-rapportage. Deze gebeurtenissen worden niet gebruikt door Configuration Manager. Daarom is de optie Geen WSUS-rapportage-gebeurtenissen maken standaard geselecteerd. Wanneer deze gebeurtenissen niet worden gemaakt, moet de client alleen verbinding maken met de WSUS-server tijdens de evaluatie van software-updates en nalevingsscans. Als deze gebeurtenissen nodig zijn voor rapportage buiten Configuration Manager, wijzigt u deze instelling om WSUS-rapportage-gebeurtenissen te maken.

Belangrijk

Als u de WSUS-database (SUSDB) deelt op meerdere software-updatepunten voor de site op het hoogste niveau, moet u ervoor zorgen dat elk van deze WSUS-servers voldoet aan de vereisten voor internettoegang voor software-updates. Wanneer de database op het hoogste niveau wordt gedeeld, kunt Configuration Manager een van deze WSUS-servers selecteren om te synchroniseren met Microsoft Update.

Synchronisatieschema

Configureer het synchronisatieschema alleen op het software-updatepunt op de site op het hoogste niveau in de Configuration Manager-hiërarchie. Wanneer u het synchronisatieschema configureert, synchroniseert het software-updatepunt met de synchronisatiebron op de datum en tijd die u hebt opgegeven. Met het aangepaste schema kunt u software-updates synchroniseren om te optimaliseren voor uw omgeving. Houd rekening met de prestatievereisten van de WSUS-server, siteserver en netwerk. Bijvoorbeeld één keer per week 2:00 uur. U kunt ook handmatig synchronisatie starten op de site op het hoogste niveau met behulp van de actie Synchronisatiesoftware Updates van de knooppunten Alle software-Updates of Software-updategroepen in de Configuration Manager-console.

Tip

Plan de synchronisatie van software-updates om uit te voeren met behulp van een tijd die geschikt is voor uw omgeving. Een veelvoorkomend scenario is het instellen van de synchronisatieplanning die kort na de reguliere software-updaterelease van Microsoft op de tweede dinsdag van elke maand wordt uitgevoerd. Deze dag wordt meestal Patch Tuesday genoemd. Als u Configuration Manager gebruikt om Endpoint Protection en Windows Defender definitie- en engine-updates te leveren, kunt u overwegen om het synchronisatieschema in te stellen om dagelijks te worden uitgevoerd.

Nadat het software-updatepunt is gesynchroniseerd, wordt er een synchronisatieaanvraag verzonden naar onderliggende sites. Als u extra software-updatepunten op een primaire site hebt, wordt er een synchronisatieaanvraag naar elk software-updatepunt verzonden. Dit proces wordt herhaald op elke site in de hiërarchie.

Classificaties bijwerken

Elke software-update wordt gedefinieerd met een updateclassificatie die helpt bij het organiseren van de verschillende soorten updates. Tijdens het synchronisatieproces synchroniseert de site de metagegevens voor de opgegeven classificaties.

Configuration Manager ondersteunt synchronisatie van de volgende updateclassificaties:

  • Kritieke Updates: een algemeen uitgebrachte update voor een specifiek probleem waarmee een kritieke, niet-beveiligingsgerelateerde bug wordt opgelost.

  • Definitie Updates: een update voor virus- of andere definitiebestanden.

  • Functiepakketten: nieuwe productfuncties die buiten een productrelease worden gedistribueerd en doorgaans worden opgenomen in de volgende volledige productrelease.

  • Beveiligings Updates: een algemeen uitgebrachte update voor een productspecifiek beveiligingsprobleem.

  • Servicepacks: een cumulatieve set hotfixes die wordt toegepast op een besturingssysteem of toepassing. Deze hotfixes omvatten beveiligingsupdates, essentiële updates en software-updates.

  • Hulpprogramma's: een hulpprogramma of functie waarmee u een of meer taken kunt voltooien.

  • Updatepakketten: een cumulatieve set hotfixes die samen is verpakt voor eenvoudige implementatie. Deze hotfixes omvatten beveiligingsupdates, essentiële updates en software-updates. Een updatepakket heeft over het algemeen betrekking op een specifiek gebied, zoals beveiliging of een productonderdeel.

  • Updates: een update van een toepassing of bestand dat momenteel is geïnstalleerd.

  • Upgrades: een onderdelenupdate naar een nieuwe versie van Windows.

Configureer de instellingen voor updateclassificatie alleen op de site op het hoogste niveau. De instellingen voor updateclassificatie zijn niet geconfigureerd op het software-updatepunt op onderliggende sites, omdat de metagegevens van de software-updates worden gerepliceerd vanaf de site op het hoogste niveau. Wanneer u de updateclassificaties selecteert, moet u er rekening mee houden dat hoe meer classificaties u selecteert, hoe langer het duurt om de metagegevens van software-updates te synchroniseren.

Waarschuwing

Het is een best practice om alle classificaties te wissen voordat u voor de eerste keer synchroniseert. Na de eerste synchronisatie selecteert u de gewenste classificaties en voert u de synchronisatie opnieuw uit.

Producten

De metagegevens voor elke software-update definiëren een of meer producten waarop de update van toepassing is. Een product is een specifieke editie van een besturingssysteem of toepassing. Een voorbeeld van een product is Microsoft Windows 10. Een productfamilie is het basisbesturingssysteem of de basistoepassing waaruit de afzonderlijke producten zijn afgeleid. Een voorbeeld van een productfamilie is Microsoft Windows, waarvan Windows 10 en Windows Server 2016 lid zijn. Selecteer een productfamilie of afzonderlijke producten binnen een productfamilie.

Wanneer software-updates van toepassing zijn op meerdere producten en ten minste één van de producten is geselecteerd voor synchronisatie, worden alle producten weergegeven in de Configuration Manager-console, zelfs als sommige producten niet zijn geselecteerd. U selecteert bijvoorbeeld alleen het Windows Server 2012 product. Als een software-update van toepassing is op Windows Server 2012 en Windows Server 2012 Datacenter Edition, bevinden beide producten zich in de sitedatabase.

Configureer de productinstellingen alleen op de site op het hoogste niveau. De productinstellingen zijn niet geconfigureerd op het software-updatepunt voor onderliggende sites, omdat de metagegevens van de software-updates worden gerepliceerd vanaf de site op het hoogste niveau. Hoe meer producten u selecteert, hoe langer het duurt om de metagegevens van software-updates te synchroniseren.

Belangrijk

Configuration Manager slaat een lijst op met producten en productfamilies waaruit u kiest wanneer u het software-updatepunt voor het eerst installeert. Producten en productfamilies die worden uitgebracht nadat Configuration Manager is uitgebracht, kunnen mogelijk pas worden geselecteerd als u de synchronisatie hebt voltooid. Tijdens het synchronisatieproces wordt de lijst met beschikbare producten en productfamilies bijgewerkt waaruit u kunt kiezen. Wis alle producten voordat u software-updates voor het eerst synchroniseert. Na de eerste synchronisatie selecteert u de gewenste producten en voert u de synchronisatie opnieuw uit.

Vervangingsregels

Een software-update die een andere software-update vervangt, voert doorgaans een of meer van de volgende acties uit:

  • Verbetert, verbetert of updatet de oplossing die werd geboden door een of meer eerder uitgebrachte updates.

  • Verbetert de efficiëntie van het vervangen updatebestandspakket, dat op clients wordt geïnstalleerd als de update is goedgekeurd voor installatie. De vervangen update kan bijvoorbeeld bestanden bevatten die niet meer relevant zijn voor de oplossing of voor de besturingssystemen die worden ondersteund door de nieuwe update. Deze bestanden zijn niet opgenomen in het vervangende bestandspakket van de update.

  • Updates nieuwere versies van een product. Met andere woorden, het werkt versies bij die niet meer van toepassing zijn op oudere versies of configuraties van een product. Updates kunt ook andere updates vervangen als er wijzigingen zijn aangebracht om taalondersteuning uit te breiden. Een latere revisie van een productupdate voor Microsoft 365-apps kan bijvoorbeeld de ondersteuning voor een ouder besturingssysteem verwijderen, maar kan extra ondersteuning toevoegen voor nieuwe talen in de eerste updaterelease.

Geef in de eigenschappen voor het software-updatepunt op dat de vervangen software-updates onmiddellijk verlopen zijn. Deze instelling voorkomt dat ze worden opgenomen in nieuwe implementaties. Ook worden de bestaande implementaties gevlagd om aan te geven dat ze een of meer verlopen software-updates bevatten. Of geef een periode op voordat de vervangen software-updates zijn verlopen. Met deze actie kunt u deze blijven implementeren.

Overweeg de volgende scenario's waarin u mogelijk een vervangen software-update moet implementeren:

  • Een vervangende software-update ondersteunt alleen nieuwere versies van een besturingssysteem. Op sommige clientcomputers worden eerdere versies van het besturingssysteem uitgevoerd.

  • Een vervangende software-update heeft beperktere toepasbaarheid dan de software-update die deze vervangt. Dit gedrag zou het ongepast maken voor sommige clients.

  • Als een vervangende software-update niet is goedgekeurd voor implementatie in uw productieomgeving.

Configuration Manager kunnen vervangen updates automatisch verlopen op basis van een schema dat u kiest. U kunt het gedrag van vervangingsregels voor functie-updates afzonderlijk van niet-functie-updates opgeven. De standaardinstelling is om 3 maanden te wachten voordat een vervangen update verloopt. De standaardinstelling van 3 maanden is om u tijd te geven om te controleren of de update niet meer nodig is voor een van uw clientcomputers. U wordt aangeraden er niet van uit te gaan dat vervangen updates onmiddellijk moeten verlopen ten gunste van de nieuwe, vervangende update. U kunt een lijst weergeven van de software-updates die de software-update vervangen op het tabblad Vervangingsgegevens in de eigenschappen van de software-update.

Talen

Met de taalinstellingen voor het software-updatepunt kunt u het volgende configureren:

  • De talen waarvoor de samenvattingsgegevens (metagegevens van software-updates) worden gesynchroniseerd voor software-updates
  • De software-updatebestandstalen die worden gedownload voor software-updates

Software-updatebestand

Configureer talen voor de instelling Software-updatebestand in de eigenschappen voor het software-updatepunt. Deze instelling biedt de standaardtalen die beschikbaar zijn wanneer u software-updates downloadt op een site. Wijzig de talen die standaard zijn geselecteerd wanneer de software-updates worden gedownload of geïmplementeerd. Tijdens het downloadproces worden de software-updatebestanden voor de geconfigureerde talen gedownload naar de bronlocatie van het implementatiepakket, als de software-updatebestanden beschikbaar zijn in de geselecteerde taal. Vervolgens worden ze gekopieerd naar de inhoudsbibliotheek op de siteserver. Vervolgens worden ze gedistribueerd naar de distributiepunten die zijn geconfigureerd voor het pakket.

Configureer de taalinstellingen voor het software-updatebestand met de talen die het vaakst worden gebruikt in uw omgeving. Clients op uw site gebruiken bijvoorbeeld voornamelijk Engels en Japans voor Windows of toepassingen. Er zijn weinig andere talen die op de site worden gebruikt. Selecteer alleen Engels en Japans in de kolom Software-updatebestand wanneer u de software-update downloadt of implementeert. Met deze actie kunt u de standaardinstellingen gebruiken op de pagina Taalselectie van de implementatie- en downloadwizards. Met deze actie voorkomt u ook dat overbodige updatebestanden worden gedownload. Configureer deze instelling op elk software-updatepunt in de Configuration Manager-hiërarchie.

Samenvattingsdetails

Tijdens het synchronisatieproces worden de informatie over de samenvattingsgegevens (metagegevens van software-updates) bijgewerkt voor software-updates in de talen die u opgeeft. De metagegevens bevatten informatie over de software-update, bijvoorbeeld:

  • Naam
  • Beschrijving
  • Producten die door de update worden ondersteund
  • Classificatie bijwerken
  • Artikel-id
  • DOWNLOAD-URL
  • Regels voor toepasselijkheid

Configureer de instellingen voor samenvattingsdetails alleen op de site op het hoogste niveau. De samenvattingsdetails zijn niet geconfigureerd op het software-updatepunt op onderliggende sites, omdat de metagegevens van software-updates worden gerepliceerd vanaf de centrale beheersite met behulp van bestandsreplicatie. Wanneer u de talen voor samenvattingsgegevens selecteert, selecteert u alleen de talen die u in uw omgeving nodig hebt. Hoe meer talen u selecteert, hoe langer het duurt om de metagegevens van software-updates te synchroniseren. Configuration Manager geeft de metagegevens van software-updates weer in de landinstelling van het besturingssysteem waarin de Configuration Manager-console wordt uitgevoerd. Als de gelokaliseerde eigenschappen voor de software-updates niet beschikbaar zijn in de landinstelling van dit besturingssysteem, wordt de informatie over software-updates weergegeven in het Engels.

Belangrijk

Selecteer alle talen voor samenvattingsgegevens die u nodig hebt. Wanneer het software-updatepunt op de site op het hoogste niveau synchroniseert met de synchronisatiebron, bepalen de geselecteerde talen voor samenvattingsgegevens de metagegevens van software-updates die worden opgehaald. Als u de talen voor samenvattingsdetails wijzigt nadat de synchronisatie ten minste één keer is uitgevoerd, worden de metagegevens van de software-updates voor de gewijzigde overzichtsdetails alleen opgehaald voor nieuwe of bijgewerkte software-updates. De software-updates die al zijn gesynchroniseerd, worden niet bijgewerkt met nieuwe metagegevens voor de gewijzigde talen, tenzij er een wijziging is in de software-update op de synchronisatiebron.

Maximale uitvoeringstijd

U kunt opgeven hoeveel tijd een software-updateinstallatie maximaal moet worden voltooid. U kunt de maximale uitvoeringstijd voor het volgende opgeven:

  • Maximale uitvoeringstijd voor Windows-onderdelenupdates (minuten)

    • Functie-updates : een update die zich in een van deze drie classificaties bevindt:
      • Upgrades
      • Updatepakketten
      • Servicepacks

  • Maximale runtime voor Office 365-updates en niet-functie-updates voor Windows (minuten)

    • Niet-functie-updates : een update die geen functie-upgrade is en waarvan het product wordt vermeld als een van de volgende:
      • Windows 11
      • Windows 10 (alle versies)
      • Windows Server 2012 R2
      • Windows Server 2016
      • Windows Server 2019
      • Office 365

  • Maximale runtime voor alle andere software-updates buiten deze categorieën, zoals updates van derden (minuten): de standaard maximale uitvoeringstijd van deze updates varieert afhankelijk van wanneer de update voor het eerst is gesynchroniseerd met de omgeving en de Configuration Manager versie. Gebruik de onderstaande winkelwagen om de maximale runtimewaarde voor deze updates te bepalen:

    2203 of hoger 2103, 2107 of 2111 2010
    De maximale runtime voor alle andere software-updates kan worden aangepast. De standaardwaarde is 60 minuten. 60 minuten 10 minuten

    Belangrijk

    • Met deze instelling wordt alleen de maximale runtime gewijzigd voor nieuwe updates die door SUP worden gesynchroniseerd. De uitvoeringstijd van bestaande updates die zijn gesynchroniseerd voordat de uitvoeringstijd werd gewijzigd, wordt niet gewijzigd. Als Update 1 bijvoorbeeld voor het eerst is gesynchroniseerd met een 2111-omgeving, is de maximale uitvoeringstijd 60 minuten. Vervolgens voert u een upgrade uit van de omgeving naar versie 2203 en stelt u de maximale uitvoeringstijd in op 30 minuten. Update 1 behoudt de runtime van 60 minuten. Wanneer een nieuwe update, Update 2, echter wordt gesynchroniseerd, krijgt deze de nieuwe uitvoeringstijd van 30 minuten.
    • Als u de maximale uitvoeringstijd van een update handmatig wilt wijzigen, kunt u de software-update-instellingen hiervoor configureren .

Een onderhoudsvenster voor software-updates plannen

Voeg een onderhoudsvenster toe voor de installatie van software-updates. Met deze actie kunt u een algemeen onderhoudsvenster en een ander onderhoudsvenster voor software-updates configureren. Wanneer u zowel een algemeen onderhoudsvenster als een onderhoudsvenster voor software-updates configureert, installeren clients software-updates alleen tijdens het onderhoudsvenster van software-updates.

U kunt dit gedrag wijzigen en toestaan dat software-updates worden geïnstalleerd tijdens een algemeen onderhoudsvenster. Zie Clientinstellingen voor software-updates voor meer informatie over deze clientinstelling.

Zie Onderhoudsvensters gebruiken voor meer informatie over onderhoudsvensters.

Opties voor opnieuw opstarten voor Windows 10-clients na installatie van software-updates

Wanneer een software-update waarvoor opnieuw moet worden opgestart, wordt geïmplementeerd en geïnstalleerd met behulp van Configuration Manager, plant de client een herstart in behandeling en wordt een dialoogvenster voor opnieuw opstarten weergegeven.

Wanneer een Configuration Manager software-update in behandeling is, is de optie voor Bijwerken en Opnieuw opstarten en Bijwerken en Afsluiten beschikbaar op Windows 10 computers in de Windows-energieopties. Nadat u een van deze opties hebt gebruikt, wordt het dialoogvenster opnieuw opstarten niet meer weergegeven nadat de computer opnieuw is opgestart. In bepaalde omstandigheden kan het besturingssysteem de opties voor opnieuw opstarten in behandeling verwijderen. Dit kan gebeuren als de functie Snel opstarten in Windows 10 is ingeschakeld. Zie Updates mogelijk niet worden geïnstalleerd met Fast Startup in Windows 10 voor meer informatie.

Software-updates evalueren na een onderhoudsstackupdate

Vanaf versie 2002 detecteert Configuration Manager of een onderhoudsstackupdate (SSU) deel uitmaakt van een installatie voor meerdere updates. Wanneer een SSU wordt gedetecteerd, wordt deze eerst geïnstalleerd. Na de installatie van de SSU wordt een evaluatiecyclus voor software-updates uitgevoerd om de resterende updates te installeren. Met deze wijziging kan een afhankelijke cumulatieve update worden geïnstalleerd na de onderhoudsstackupdate. Het apparaat hoeft niet opnieuw op te starten tussen de installaties en u hoeft geen extra onderhoudsvenster te maken. SSU's worden eerst alleen geïnstalleerd voor niet-door de gebruiker geïnitieerde installaties. Als een gebruiker bijvoorbeeld een installatie voor meerdere updates start vanuit Software Center, wordt de SSU mogelijk niet eerst geïnstalleerd. Installatie van SSU's eerst is niet beschikbaar voor Windows Server-besturingssystemen wanneer u Configuration Manager versie 2002 gebruikt. Deze functionaliteit is toegevoegd in Configuration Manager versie 2006 voor Windows Server-besturingssystemen.

Volgende stappen

Zodra u software-updates hebt gepland, raadpleegt u Voorbereiden voor software-updatesbeheer.

Zie Basisprincipes van Configuration Manager als een service en Windows als een service voor meer informatie over het beheren van Windows als een service.