Planowanie aktualizacji oprogramowania w programie Configuration Manager
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Przed użyciem aktualizacji oprogramowania w środowisku produkcyjnym programu Configuration Manager ważne jest, aby przejść przez proces planowania. Posiadanie dobrego planu dla infrastruktury punktu aktualizacji oprogramowania jest kluczem do pomyślnej implementacji aktualizacji oprogramowania. Aby uzyskać informacje na temat planowania pojemności aktualizacji oprogramowania, zobacz Rozmiar i numery skalowania.
Określanie infrastruktury punktu aktualizacji oprogramowania
Ta sekcja zawiera następujące podtematy:
- Lista punktów aktualizacji oprogramowania
- Przełączanie punktu aktualizacji oprogramowania
- Ręczne przełączanie klientów do nowego punktu aktualizacji oprogramowania
- Punkty aktualizacji oprogramowania w niezaufanym lesie
- Użyj istniejącego serwera WSUS jako źródła synchronizacji w lokacji najwyższego poziomu
- Punkt aktualizacji oprogramowania w lokacji dodatkowej
- Planowanie klientów internetowych
- Planowanie zawartości aktualizacji oprogramowania
- Planowanie aktualizacji innych firm
Centralna lokacja administracyjna i wszystkie podrzędne lokacje główne muszą mieć punkt aktualizacji oprogramowania. Podczas planowania infrastruktury punktu aktualizacji oprogramowania określ następujące zależności:
- Gdzie zainstalować punkt aktualizacji oprogramowania dla lokacji
- Które witryny wymagają punktu aktualizacji oprogramowania, który akceptuje komunikację od klientów internetowych
- Czy potrzebujesz punktu aktualizacji oprogramowania w lokacjach dodatkowych
Ważna
Aby uzyskać więcej informacji na temat wewnętrznych i zewnętrznych zależności wymaganych do aktualizacji oprogramowania, zobacz Wymagania wstępne dotyczące aktualizacji oprogramowania.
Dodaj wiele punktów aktualizacji oprogramowania w lokacji głównej programu Configuration Manager, aby zapewnić odporność na uszkodzenia. Projekt trybu failover punktu aktualizacji oprogramowania różni się od czystego modelu losowego używanego w projekcie punktów zarządzania. W przeciwieństwie do projektowania punktów zarządzania, w projekcie punktu aktualizacji oprogramowania istnieją koszty wydajności klienta i sieci, gdy klienci przełączają się do nowego punktu aktualizacji oprogramowania. Gdy klient przełącza się na nowy serwer WSUS w celu skanowania w poszukiwaniu aktualizacji oprogramowania, w rezultacie zwiększa się rozmiar wykazu oraz skojarzone wymagania dotyczące wydajności po stronie klienta i sieci. W związku z tym klient zachowuje koligację z ostatnim punktem aktualizacji oprogramowania, z którego został pomyślnie zeskanowany.
Pierwszym punktem aktualizacji oprogramowania instalowanym w lokacji głównej jest źródło synchronizacji dla wszystkich dodatkowych punktów aktualizacji oprogramowania dodanych w lokacji głównej. Po dodaniu punktów aktualizacji oprogramowania i rozpoczęciu synchronizacji wyświetl stan punktów aktualizacji oprogramowania i źródło synchronizacji z węzła Stan synchronizacji punktu aktualizacji oprogramowania w obszarze roboczym Monitorowanie .
W przypadku awarii punktu aktualizacji oprogramowania skonfigurowanego jako źródło synchronizacji lokacji należy ręcznie usunąć rolę, która nie powiodła się. Następnie wybierz nowy punkt aktualizacji oprogramowania, który będzie używany jako źródło synchronizacji. Aby uzyskać więcej informacji, zobacz Usuwanie roli systemu lokacji.
Lista punktów aktualizacji oprogramowania
Program Configuration Manager udostępnia klientowi listę punktów aktualizacji oprogramowania w następujących scenariuszach:
Nowy klient otrzymuje zasady włączania aktualizacji oprogramowania
Klient nie może skontaktować się z przypisanym punktem aktualizacji oprogramowania i musi przełączyć się na inny
Klient losowo wybiera punkt aktualizacji oprogramowania z listy. Określa priorytet punktów aktualizacji oprogramowania w tym samym lesie. Program Configuration Manager udostępnia klientom inną listę w zależności od typu klienta:
Klienci intranetowi: odbierz listę punktów aktualizacji oprogramowania, które można skonfigurować tak, aby zezwalać na połączenia tylko z intranetu, lub listę punktów aktualizacji oprogramowania, które zezwalają na połączenia internetowe i intranetowe.
Klienci internetowi: odbierz listę punktów aktualizacji oprogramowania skonfigurowanych tak, aby zezwalać na połączenia tylko z Internetu, lub listę punktów aktualizacji oprogramowania, które zezwalają na połączenia internetowe i intranetowe.
Przełączanie punktu aktualizacji oprogramowania
Uwaga
Klienci używają grup granic do znalezienia nowego punktu aktualizacji oprogramowania. Jeśli ich bieżący punkt aktualizacji oprogramowania nie jest już dostępny, używają również grup granic do powrotu i znalezienia nowego. Dodaj poszczególne punkty aktualizacji oprogramowania do różnych grup granic, aby kontrolować serwery, które klient może znaleźć. Aby uzyskać więcej informacji, zobacz Punkty aktualizacji oprogramowania.
Jeśli masz wiele punktów aktualizacji oprogramowania w lokacji, a jeden kończy się niepowodzeniem lub staje się niedostępny, klienci będą łączyć się z innym punktem aktualizacji oprogramowania. Dzięki temu nowemu serwerowi klienci nadal skanują najnowsze aktualizacje oprogramowania. Gdy klientowi po raz pierwszy przypisano punkt aktualizacji oprogramowania, pozostaje on przypisany do tego punktu aktualizacji oprogramowania, chyba że skanowanie nie powiedzie się.
Skanowanie w poszukiwaniu aktualizacji oprogramowania może zakończyć się niepowodzeniem z wieloma różnymi kodami błędów ponawiania i nie ponawiania prób. Gdy skanowanie zakończy się niepowodzeniem z kodem błędu ponawiania próby, klient uruchamia proces ponawiania próby skanowania pod kątem aktualizacji oprogramowania w punkcie aktualizacji oprogramowania. Warunki wysokiego poziomu, które powodują ponawianie kodu błędu, są zazwyczaj spowodowane tym, że serwer WSUS jest niedostępny lub jest tymczasowo przeciążony. Gdy klient nie może przeskanować w poszukiwaniu aktualizacji oprogramowania, używa następującego procesu:
Klient skanuje w poszukiwaniu aktualizacji oprogramowania:
- W zaplanowanym czasie
- Po ręcznym uruchomieniu z panelu sterowania na kliencie
- Po ręcznym uruchomieniu z konsoli programu Configuration Manager za pośrednictwem akcji powiadomień klienta
- Po uruchomieniu z poziomu metody zestawu SDK programu Configuration Manager
Jeśli skanowanie zakończy się niepowodzeniem, klient czeka 30 minut na ponowienie próby skanowania. Używa tego samego punktu aktualizacji oprogramowania.
Klient ponawia próbę co najmniej cztery razy co 30 minut. Po czwartej awarii i po odczekaniu dodatkowych dwóch minut klient przechodzi do następnego punktu aktualizacji oprogramowania na swojej liście.
Klient powtarza ten proces z nowym punktem aktualizacji oprogramowania. Po pomyślnym skanowaniu klient będzie nadal łączyć się z nowym punktem aktualizacji oprogramowania.
Poniższa lista zawiera dodatkowe informacje, które należy wziąć pod uwagę w przypadku scenariuszy ponawiania i przełączania punktu aktualizacji oprogramowania:
Jeśli klient jest odłączony od intranetu i nie może przeprowadzić skanowania pod kątem aktualizacji oprogramowania, nie przełącza się do innego punktu aktualizacji oprogramowania. Ten błąd jest oczekiwany, ponieważ klient nie może nawiązać połączenia z siecią wewnętrzną lub punktem aktualizacji oprogramowania, który zezwala na połączenia z intranetu. Klient programu Configuration Manager określa dostępność intranetowego punktu aktualizacji oprogramowania.
Jeśli zarządzasz klientami w Internecie i skonfigurowano wiele punktów aktualizacji oprogramowania w celu akceptowania komunikacji z klientami w Internecie, proces przełączania jest zgodny ze standardowym procesem ponawiania opisanym wcześniej.
Jeśli proces skanowania rozpoczyna się, ale klient jest wyłączony przed zakończeniem skanowania, nie jest on uznawany za błąd skanowania i nie jest liczony jako jedna z czterech ponownych prób.
Gdy program Configuration Manager otrzyma dowolny z następujących kodów błędów agenta usługi Windows Update, klient ponawia próbę nawiązania połączenia:
2149842970, 2147954429, 2149859352, 2149859362, 2149859338, 2149859344, 2147954430, 2147747475, 2149842974, 2149859342, 2149859372, 2149859341, 2149904388, 2149859371, 2149859367, 2149859366, 2149859364, 2149859363, 2149859361, 2149859360, 2149859359, 2149859358, 2149859357, 2149859356, 2149859354, 2149859353, 2149859350, 2149859349, 2149859340, 2149859339, 2149859332, 2149859333, 2149859334, 2149859337, 2149859336, 2149859335
Aby wyszukać znaczenie kodu błędu, przekonwertuj kod błędu dziesiętnego na szesnastkowy, a następnie wyszukaj wartość szesnastkową w witrynie, takiej jak witryna typu Wiki Agent usługi Windows Update — kody błędów. Na przykład kod błędu dziesiętnego 2149842970 to szesnastkowa wartość 8024001A, co oznacza, WU_E_POLICY_NOT_SET wartość zasad nie została ustawiona.
Ręczne przełączanie klientów do nowego punktu aktualizacji oprogramowania
Przełącz klientów programu Configuration Manager do nowego punktu aktualizacji oprogramowania w przypadku problemów z aktywnym punktem aktualizacji oprogramowania. Ta zmiana ma miejsce tylko wtedy, gdy klient otrzymuje wiele punktów aktualizacji oprogramowania z punktu zarządzania.
Ważna
Po przełączeniu urządzeń do korzystania z nowego serwera urządzenia używają rezerwy w celu znalezienia nowego serwera. Klienci przełączają się do nowego punktu aktualizacji oprogramowania podczas następnego cyklu skanowania aktualizacji oprogramowania.
Przed rozpoczęciem tej zmiany przejrzyj konfiguracje grupy granic, aby upewnić się, że punkty aktualizacji oprogramowania znajdują się w odpowiednich grupach granic. Aby uzyskać więcej informacji, zobacz Punkty aktualizacji oprogramowania.
Przełączenie do nowego punktu aktualizacji oprogramowania powoduje wygenerowanie dodatkowego ruchu sieciowego. Ilość ruchu zależy od ustawień konfiguracji programu WSUS, na przykład zsynchronizowanych klasyfikacji i produktów lub użycia udostępnionej bazy danych programu WSUS. Jeśli planujesz przełączać wiele urządzeń, rozważ to podczas okien konserwacji. Ten czas zmniejsza wpływ na sieć, gdy klienci skanują za pomocą nowego punktu aktualizacji oprogramowania.
Proces przełączania punktów aktualizacji oprogramowania
Uruchom tę zmianę w kolekcji urządzeń. Po wyzwoleniu klienci poszukają innego punktu aktualizacji oprogramowania podczas następnego skanowania.
W konsoli programu Configuration Manager przejdź do obszaru roboczego Zasoby i zgodność , a następnie wybierz węzeł Kolekcje urządzeń .
Wybierz kolekcję docelową. Na karcie Narzędzia główne wstążki w grupie Kolekcja wybierz pozycję Powiadomienie klienta, a następnie wybierz pozycję Przełącz do następnego punktu aktualizacji oprogramowania.
Punkty aktualizacji oprogramowania w niezaufanym lesie
Utwórz co najmniej jeden punkt aktualizacji oprogramowania w lokacji, aby obsługiwać klientów w niezaufanym lesie. Aby dodać punkt aktualizacji oprogramowania w innym lesie, najpierw zainstaluj i skonfiguruj serwer WSUS w tym lesie. Następnie uruchom kreatora, aby dodać serwer lokacji programu Configuration Manager z rolą systemu lokacji punktu aktualizacji oprogramowania. W kreatorze skonfiguruj następujące ustawienia, aby pomyślnie nawiązać połączenie z usługą WSUS w niezaufanym lesie:
Określ konto instalacji systemu lokacji , które może uzyskiwać dostęp do serwera WSUS w niezaufanym lesie.
Określ konto połączenia serwera WSUS , aby nawiązać połączenie z serwerem WSUS.
Na przykład masz lokację główną w lesie A z dwoma punktami aktualizacji oprogramowania (SUP01 i SUP02). W tej samej lokacji głównej istnieją również dwa punkty aktualizacji oprogramowania (SUP03 i SUP04) w lesie B. Podczas przełączania się do następnego punktu aktualizacji oprogramowania klienci ustalają priorytety serwerów z tego samego lasu.
Użyj istniejącego serwera WSUS jako źródła synchronizacji w lokacji najwyższego poziomu
Zazwyczaj lokacja najwyższego poziomu w hierarchii jest skonfigurowana do synchronizowania metadanych aktualizacji oprogramowania z usługą Microsoft Update. Jeśli zasady zabezpieczeń organizacji nie zezwalają lokacji najwyższego poziomu na dostęp do Internetu, skonfiguruj źródło synchronizacji lokacji najwyższego poziomu tak, aby korzystała z istniejącego serwera WSUS. Ten serwer WSUS nie znajduje się w hierarchii programu Configuration Manager. Na przykład masz serwer WSUS w sieci połączonej z Internetem (DMZ), ale lokacja najwyższego poziomu znajduje się w sieci wewnętrznej bez dostępu do Internetu. Skonfiguruj serwer WSUS w obszarze DMZ jako źródło synchronizacji metadanych aktualizacji oprogramowania. Skonfiguruj serwer WSUS w obszarze DMZ, aby synchronizować aktualizacje oprogramowania z tymi samymi kryteriami, których potrzebujesz w programie Configuration Manager. W przeciwnym razie lokacja najwyższego poziomu może nie synchronizować oczekiwanych aktualizacji oprogramowania. Podczas instalowania punktu aktualizacji oprogramowania skonfiguruj konto połączenia serwera WSUS. To konto wymaga dostępu do serwera WSUS w DMZ. Upewnij się również, że zapora zezwala na ruch dla odpowiednich portów. Aby uzyskać więcej informacji, zobacz porty używane przez punkt aktualizacji oprogramowania do źródła synchronizacji.
Punkt aktualizacji oprogramowania w lokacji dodatkowej
Punkt aktualizacji oprogramowania jest opcjonalny w lokacji dodatkowej. Zainstaluj tylko jeden punkt aktualizacji oprogramowania w lokacji dodatkowej. Jeśli punkt aktualizacji oprogramowania nie jest zainstalowany w lokacji dodatkowej, urządzenia w granicach lokacji dodatkowej używają punktu aktualizacji oprogramowania w przypisanej lokacji głównej. Zazwyczaj punkt aktualizacji oprogramowania jest instalowany w lokacji dodatkowej w przypadku ograniczonej przepustowości sieci między urządzeniami w lokacji dodatkowej a punktami aktualizacji oprogramowania w nadrzędnej lokacji głównej. Można również użyć tej konfiguracji, gdy punkt aktualizacji oprogramowania w lokacji głównej zbliża się do limitu pojemności. Po pomyślnym zainstalowaniu i skonfigurowaniu punktu aktualizacji oprogramowania w lokacji dodatkowej zasady dla całej lokacji zostaną zaktualizowane dla klientów i zaczną korzystać z nowego punktu aktualizacji oprogramowania.
Planowanie klientów internetowych
Jeśli musisz zarządzać urządzeniami, które wędrują z sieci do Internetu, opracuj plan zarządzania aktualizacjami oprogramowania na tych urządzeniach. Program Configuration Manager obsługuje kilka technologii w tym scenariuszu. Użyj jednej lub kombinacji w razie potrzeby, aby spełnić wymagania organizacji.
Brama zarządzania chmurą
Utwórz bramę zarządzania chmurą na platformie Microsoft Azure i włącz co najmniej jeden lokalny punkt aktualizacji oprogramowania, aby zezwolić na ruch z klientów internetowych. Gdy klienci wędrują do Internetu, nadal skanują punkty aktualizacji oprogramowania. Wszyscy klienci internetowi zawsze pobierają zawartość z usługi Microsoft Update w chmurze.
Aby uzyskać więcej informacji, zobacz Omówienie bramy zarządzania chmurą i Konfigurowanie grup granic.
Uwaga
Począwszy od wersji 2203, można ustawić klientów, aby preferować skanowanie pod kątem punktu aktualizacji oprogramowania bramy zarządzania chmurą (CMG) za pośrednictwem lokalnego serwera SUP. To zachowanie jest kontrolowane przez opcję Preferuj źródło oparte na chmurze w stosunku do lokalnego źródła w grupie granic. Aby zmniejszyć wpływ tej zmiany na wydajność, istniejący klienci nie przełączają automatycznie sup na chmurowy sup. Klient pozostanie przypisany do bieżącego sup, chyba że jego bieżący SUP nie powiedzie się lub klient zostanie ręcznie przełączony na nowy SUP.
Internetowe zarządzanie klientami
Umieść punkt aktualizacji oprogramowania w sieci internetowej i włącz go, aby zezwalał na ruch z klientów internetowych. Gdy klienci wędrują do Internetu, przełączają się do tego punktu aktualizacji oprogramowania w celu skanowania. Wszyscy klienci internetowi zawsze pobierają zawartość z usługi Microsoft Update w chmurze.
Aby uzyskać więcej informacji na temat zalet i wad internetowego zarządzania klientami, zobacz Zarządzanie klientami w Internecie.
Windows Update dla firm
Usługa Windows Update dla firm umożliwia aktualizowanie urządzeń z systemem Windows 10 lub nowszym przy użyciu najnowszych aktualizacji jakości i funkcji. Te urządzenia łączą się bezpośrednio z usługą w chmurze Windows Update. Program Configuration Manager może rozróżniać komputery z systemem Windows, które używają usług WUfB i WSUS do pobierania aktualizacji oprogramowania.
Aby uzyskać więcej informacji, zobacz Integracja z usługą Windows Update dla firm.
Planowanie zawartości aktualizacji oprogramowania
Klienci muszą pobrać pliki zawartości dla aktualizacji oprogramowania, aby je zainstalować. Program Configuration Manager udostępnia kilka technologii do obsługi zarządzania tą zawartością i dostarczania jej. Możesz też skonfigurować wdrożenia aktualizacji oprogramowania, aby umożliwić klientom pobieranie zawartości bezpośrednio z usługi Microsoft Update w chmurze lub wymagać od klientów jej pobierania.
Uwaga
Od 28 marca 2023 r. lokalne urządzenia z systemem Windows 11 w wersji 22H2 będą otrzymywać aktualizacje jakości za pośrednictwem ujednoliconej platformy aktualizacji (UUP). Usługa UUP lokalnie współdziała z usługami WSUS i Microsoft Configuration Manager. Aktualizacje jakości UUP nadal są zbiorcze i obejmują wszystkie wydane poprawki dotyczące jakości i zabezpieczeń systemu Windows. Lokalne zarządzanie aktualizacjami za pomocą ujednoliconej platformy aktualizacji (UUP) wymaga dodatkowych 10 GB miejsca na wersję systemu Windows i architekturę procesora dla każdej wersji. Aby uzyskać więcej informacji, zobacz sekcję Zagadnienia dotyczące UUP .
Pobieranie i rozpowszechnianie zawartości
Domyślnie proces zarządzania aktualizacjami oprogramowania w programie Configuration Manager używa wbudowanych funkcji zarządzania zawartością. Funkcje te obejmują scentralizowaną bibliotekę zawartości magazynu pojedynczego wystąpienia oraz rozproszony projekt roli systemu lokacji punktu dystrybucji. Te funkcje są używane podczas pobierania i dystrybucji pakietów wdrażania aktualizacji oprogramowania.
Aby uzyskać więcej informacji, zobacz Pobieranie aktualizacji oprogramowania.
Zarządzanie plikami instalacji ekspresowych dla systemu Windows 10 lub nowszego
Program Configuration Manager obsługuje korzystanie z plików instalacji ekspresowej dla aktualizacji systemu Windows. Pliki usługi Express Update i technologie pomocnicze, takie jak optymalizacja dostarczania, mogą pomóc zmniejszyć wpływ pobierania dużych plików zawartości na klientów w sieci.
Aby uzyskać więcej informacji, zobacz Optymalizowanie dostarczania aktualizacji systemu Windows.
Klienci pobierają zawartość z Internetu
Podczas wdrażania aktualizacji oprogramowania na klientach skonfiguruj wdrożenie dla klientów w celu pobrania zawartości z usługi Microsoft Update w chmurze. Gdy klienci nie mogą pobierać zawartości z innego źródła zawartości, nadal mogą pobierać zawartość z Internetu.
Podczas wdrażania aktualizacji oprogramowania nie trzeba tworzyć pakietu wdrożeniowego. Po wybraniu opcji Brak pakietu wdrażania klienci nadal mogą pobierać zawartość ze źródeł lokalnych, jeśli jest dostępna, ale zazwyczaj pobierać ją z usługi Microsoft Update.
Klienci internetowi zawsze pobierają zawartość z usługi Microsoft Update w chmurze. Nie dystrybuuj pakietów wdrażania aktualizacji oprogramowania do bramy zarządzania chmurą (CMG) z obsługą zawartości.
Planowanie aktualizacji innych firm
Program Configuration Manager integruje się z usługą WSUS, która natywnie obsługuje aktualizacje oprogramowania opublikowane przez firmę Microsoft. Większość klientów korzysta z innych aplikacji innych firm, które również wymagają aktualizacji. Istnieje kilka opcji, które należy rozważyć, aby aplikacje innych firm były aktualne.
Zastępowanie aplikacji do aktualizacji
Użyj relacji zastępowania z funkcją zarządzania aplikacjami w programie Configuration Manager, aby uaktualnić lub zastąpić istniejące aplikacje. Po zastąpieniu aplikacji określ nowy typ wdrożenia, aby zastąpić typ wdrożenia zastąpionej aplikacji. Zdecyduj również, czy uaktualnić lub odinstalować zastąpioną aplikację przed zainstalowaniem zastąpionej aplikacji.
Aby uzyskać więcej informacji, zobacz Poprawianie i zastępowanie aplikacji.
Aktualizacje oprogramowania innych firm
Możesz użyć węzła Katalogi aktualizacji oprogramowania innej firmy w konsoli programu Configuration Manager, aby subskrybować katalogi innych firm, publikować ich aktualizacje w punkcie aktualizacji oprogramowania, a następnie wdrażać je na klientach.
Aby uzyskać więcej informacji, zobacz Aktualizacje oprogramowania innych firm.
System Center Updates Publisher
System Center Updates Publisher (SCUP) to autonomiczne narzędzie, które umożliwia niezależnym wydawcom oprogramowania lub deweloperom aplikacji biznesowych zarządzanie aktualizacjami niestandardowymi. Te aktualizacje obejmują te z zależnościami, takie jak sterowniki i pakiety aktualizacji. SCUP może być również używany w przypadku katalogów aktualizacji innych firm, które nie są dostępne bezpośrednio w konsoli programu .
Aby uzyskać więcej informacji, zobacz Program System Center Updates Publisher.
Planowanie instalacji punktu aktualizacji oprogramowania
Ta sekcja zawiera następujące podtematy:
- Wymagania dotyczące punktu aktualizacji oprogramowania
- Planowanie instalacji programu WSUS
- Konfigurowanie zapór
Ta sekcja zawiera informacje o krokach, które należy wykonać, aby pomyślnie zaplanować i przygotować się do instalacji punktu aktualizacji oprogramowania. Przed utworzeniem roli systemu lokacji dla punktu aktualizacji oprogramowania w programie Configuration Manager należy wziąć pod uwagę kilka wymagań. Określone wymagania zależą od infrastruktury programu Configuration Manager. Podczas konfigurowania punktu aktualizacji oprogramowania do komunikacji przy użyciu protokołu HTTPS ta sekcja jest szczególnie ważna do przejrzenia. Serwery z obsługą protokołu HTTPS wymagają dodatkowych kroków, aby działały prawidłowo.
Wymagania dotyczące punktu aktualizacji oprogramowania
Zainstaluj rolę punktu aktualizacji oprogramowania w systemie lokacji, który spełnia minimalne wymagania dotyczące programu WSUS i obsługiwane konfiguracje systemów lokacji programu Configuration Manager.
Aby uzyskać więcej informacji na temat minimalnych wymagań dotyczących roli serwera WSUS w systemie Windows Server, zobacz Zagadnienia i wymagania systemowe.
Aby uzyskać więcej informacji na temat obsługiwanych konfiguracji systemów lokacji programu Configuration Manager, zobacz Wymagania wstępne dotyczące lokacji i systemu lokacji.
Planowanie instalacji programu WSUS
Zainstaluj obsługiwaną wersję programu WSUS na wszystkich serwerach systemu lokacji skonfigurowanych dla roli punktu aktualizacji oprogramowania. Jeśli punkt aktualizacji oprogramowania nie zostanie zainstalowany na serwerze lokacji, zainstaluj konsolę administracyjną programu WSUS na serwerze lokacji. Ten składnik umożliwia serwerowi lokacji komunikowanie się z programem WSUS uruchomionym w punkcie aktualizacji oprogramowania.
Jeśli używasz programu WSUS w systemie Windows Server 2012 lub nowszym, skonfiguruj dodatkowe uprawnienia, aby umożliwić składnikowi programu WSUS Configuration Manager w programie Configuration Manager łączenie się z usługą WSUS. Ten składnik przeprowadza okresowe kontrole kondycji. Wybierz jedną z następujących opcji, aby skonfigurować wymagane uprawnienie:
Dodawanie konta SYSTEM do grupy Administratorzy programu WSUS
Dodaj konto NT AUTHORITY\SYSTEM jako użytkownika bazy danych programu WSUS (SUSDB). Skonfiguruj co najmniej członkostwo roli bazy danych usługi internetowej.
Aby uzyskać więcej informacji na temat sposobu instalowania programu WSUS w systemie Windows Server, zobacz Instalowanie roli serwera WSUS.
Podczas instalowania więcej niż jednego punktu aktualizacji oprogramowania w lokacji głównej użyj tej samej bazy danych programu WSUS dla każdego punktu aktualizacji oprogramowania w tym samym lesie usługi Active Directory. Udostępnianie tej samej bazy danych zwiększa wydajność, gdy klienci przełączają się do nowego punktu aktualizacji oprogramowania. Aby uzyskać więcej informacji, zobacz Używanie udostępnionej bazy danych programu WSUS dla punktów aktualizacji oprogramowania.
Konfigurowanie ścieżki katalogu zawartości programu WSUS
Podczas instalowania programu WSUS musisz podać ścieżkę katalogu zawartości. Katalog zawartości programu WSUS jest używany głównie do przechowywania plików postanowień licencyjnych dotyczących oprogramowania firmy Microsoft wymaganych przez klientów podczas skanowania. Configuration Manager Katalog zawartości programu WSUS nie powinien nakładać się na katalog źródła zawartości dla pakietów wdrażania oprogramowania programu Configuration Manager. Nakładanie się katalogu zawartości programu WSUS i źródła pakietu programu Configuration Manager spowoduje usunięcie nieprawidłowych plików z katalogu zawartości programu WSUS.
Konfigurowanie programu WSUS do korzystania z niestandardowej witryny internetowej
Podczas instalowania programu WSUS możesz użyć istniejącej domyślnej witryny internetowej usług IIS lub utworzyć niestandardową witrynę internetową programu WSUS. Utwórz niestandardową witrynę internetową dla programu WSUS, aby usługi IIS hostują usługi WSUS w dedykowanej wirtualnej witrynie internetowej. W przeciwnym razie współużytkuje ona tę samą witrynę internetową, która jest używana przez inne systemy lokacji lub aplikacje programu Configuration Manager. Ta konfiguracja jest szczególnie konieczna podczas instalowania roli punktu aktualizacji oprogramowania na serwerze lokacji. Po uruchomieniu programu WSUS w systemie Windows Server 2012 lub nowszym program WSUS jest domyślnie skonfigurowany do używania portu 8530 dla protokołu HTTP i portu 8531 dla protokołu HTTPS. Określ te porty podczas tworzenia punktu aktualizacji oprogramowania w lokacji.
Konfigurowanie programu WSUS jako serwera repliki
Po dodaniu roli punktu aktualizacji oprogramowania na serwerze lokacji głównej nie można użyć serwera WSUS skonfigurowanego jako replika. Gdy serwer WSUS jest skonfigurowany jako replika, program Configuration Manager nie może skonfigurować serwera WSUS, a synchronizacja programu WSUS zakończy się niepowodzeniem. Pierwszym punktem aktualizacji oprogramowania instalowanym w lokacji głównej jest domyślny punkt aktualizacji oprogramowania. Dodatkowe punkty aktualizacji oprogramowania w lokacji są konfigurowane jako repliki domyślnego punktu aktualizacji oprogramowania.
Zdecyduj, czy skonfigurować usługę WSUS do korzystania z protokołu SSL
Zdecydowanie zalecane jest użycie protokołu SSL do zabezpieczenia punktu aktualizacji oprogramowania. Program WSUS używa protokołu SSL do uwierzytelniania komputerów klienckich i podrzędnych serwerów WSUS na serwerze WSUS. Program WSUS używa również protokołu SSL do szyfrowania metadanych aktualizacji oprogramowania. Jeśli zdecydujesz się zabezpieczyć program WSUS przy użyciu protokołu SSL, przygotuj serwer WSUS przed zainstalowaniem punktu aktualizacji oprogramowania.
Podczas instalowania i konfigurowania punktu aktualizacji oprogramowania wybierz opcję Włącz komunikację SSL dla serwera WSUS. W przeciwnym razie program Configuration Manager konfiguruje usługę WSUS, aby nie używać protokołu SSL. Po włączeniu protokołu SSL w punkcie aktualizacji oprogramowania skonfiguruj również wszystkie punkty aktualizacji oprogramowania w lokacjach podrzędnych, aby korzystały z protokołu SSL. Aby uzyskać więcej informacji, zobacz samouczek Konfigurowanie punktu aktualizacji oprogramowania w celu używania protokołu TLS/SSL z certyfikatem PKI.
Uwaga
Aby upewnić się, że istnieją najlepsze protokoły zabezpieczeń, zdecydowanie zalecamy użycie protokołu TLS/SSL w celu zabezpieczenia infrastruktury aktualizacji oprogramowania. Począwszy od aktualizacji zbiorczej z września 2020 r., serwery WSUS oparte na protokole HTTP będą domyślnie bezpieczne. Klient skanujący aktualizacje pod kątem usług WSUS opartych na protokole HTTP nie będzie już mógł domyślnie korzystać z serwera proxy użytkownika. Jeśli nadal potrzebujesz serwera proxy użytkownika pomimo kompromisów w zakresie zabezpieczeń, dostępne jest nowe ustawienie klienta aktualizacji oprogramowania , aby zezwolić na te połączenia. Aby uzyskać więcej informacji o zmianach dotyczących skanowania programu WSUS, zobacz Zmiany z września 2020 r. w celu zwiększenia bezpieczeństwa urządzeń z systemem Windows skanujących program WSUS.
Konfigurowanie zapór
Punkt aktualizacji oprogramowania w centralnej lokacji administracyjnej programu Configuration Manager komunikuje się z programem WSUS w punkcie aktualizacji oprogramowania. Program WSUS komunikuje się ze źródłem synchronizacji w celu synchronizowania metadanych aktualizacji oprogramowania. Punkty aktualizacji oprogramowania w lokacji podrzędnej komunikują się z punktem aktualizacji oprogramowania w lokacji nadrzędnej. Jeśli w lokacji głównej znajduje się więcej niż jeden punkt aktualizacji oprogramowania, dodatkowe punkty aktualizacji oprogramowania komunikują się z domyślnym punktem aktualizacji oprogramowania. Rola domyślna to pierwszy punkt aktualizacji oprogramowania zainstalowany w lokacji.
Może być konieczne skonfigurowanie zapory tak, aby zezwalała na ruch HTTP lub HTTPS używany przez usługę WSUS w następujących scenariuszach:
- Między punktem aktualizacji oprogramowania a Internetem
- Między punktem aktualizacji oprogramowania a jego nadrzędnym źródłem synchronizacji
- Między dodatkowymi punktami aktualizacji oprogramowania
Połączenie z usługą Microsoft Update jest zawsze skonfigurowane do używania portu 80 dla protokołu HTTP i portu 443 dla protokołu HTTPS. Użyj portu niestandardowego dla połączenia z programu WSUS w punkcie aktualizacji oprogramowania w lokacji podrzędnej do usługi WSUS w punkcie aktualizacji oprogramowania w lokacji nadrzędnej. Gdy zasady zabezpieczeń nie zezwalają na połączenie, użyj metody synchronizacji eksportu i importu. Aby uzyskać więcej informacji, zobacz sekcję Źródło synchronizacji w tym artykule. Aby uzyskać więcej informacji na temat portów używanych przez program WSUS, zobacz How to determine the port settings used by WSUS in Configuration Manager (Jak określić ustawienia portów używane przez program WSUS w programie Configuration Manager).
Ograniczanie dostępu do określonych domen
Jeśli Organizacja ogranicza komunikację sieciową z Internetem przy użyciu zapory lub urządzenia proxy, musisz zezwolić aktywnemu punktowi aktualizacji oprogramowania na dostęp do internetowych punktów końcowych. Następnie usługi WSUS i aktualizacje automatyczne mogą komunikować się z usługą w chmurze Microsoft Update.
Aby uzyskać więcej informacji, zobacz Wymagania dotyczące dostępu do Internetu.
Planowanie ustawień synchronizacji
Ta sekcja zawiera następujące podtematy:
- Źródło synchronizacji
- Harmonogram synchronizacji
- Aktualizowanie klasyfikacji
- Produkty
- Reguły zastępowania
- Języki
- Maksymalny czas wykonywania
Synchronizacja aktualizacji oprogramowania w programie Configuration Manager pobiera metadane aktualizacji oprogramowania na podstawie skonfigurowanych kryteriów. Lokacja najwyższego poziomu w hierarchii synchronizuje aktualizacje oprogramowania z usługi Microsoft Update. Istnieje możliwość skonfigurowania punktu aktualizacji oprogramowania w lokacji najwyższego poziomu w celu synchronizacji z istniejącym serwerem WSUS, a nie w hierarchii programu Configuration Manager. Podrzędne lokacje główne synchronizują metadane aktualizacji oprogramowania z punktu aktualizacji oprogramowania w centralnej lokacji administracyjnej. Przed zainstalowaniem i skonfigurowaniem punktu aktualizacji oprogramowania użyj tej sekcji, aby zaplanować ustawienia synchronizacji.
Źródło synchronizacji
Ustawienia źródła synchronizacji punktu aktualizacji oprogramowania określają lokalizację, w której punkt aktualizacji oprogramowania pobiera metadane aktualizacji oprogramowania. Określa również, czy proces synchronizacji tworzy zdarzenia raportowania programu WSUS.
Źródło synchronizacji: domyślnie punkt aktualizacji oprogramowania w lokacji najwyższego poziomu konfiguruje źródło synchronizacji dla usługi Microsoft Update. Istnieje możliwość zsynchronizowania lokacji najwyższego poziomu z istniejącym serwerem WSUS. Punkt aktualizacji oprogramowania w podrzędnej lokacji głównej konfiguruje źródło synchronizacji jako punkt aktualizacji oprogramowania w centralnej lokacji administracyjnej.
Pierwszy punkt aktualizacji oprogramowania instalowany w lokacji głównej, który jest domyślnym punktem aktualizacji oprogramowania, jest synchronizowany z centralną lokacją administracyjną. Dodatkowe punkty aktualizacji oprogramowania w lokacji głównej są synchronizowane z domyślnym punktem aktualizacji oprogramowania w lokacji głównej.
Gdy punkt aktualizacji oprogramowania jest odłączony od usługi Microsoft Update lub nadrzędnego serwera aktualizacji, skonfiguruj źródło synchronizacji, aby nie synchronizować ze skonfigurowanym źródłem synchronizacji. Zamiast tego skonfiguruj go do synchronizowania aktualizacji oprogramowania za pomocą funkcji eksportu i importu narzędzia WSUSUtil . Aby uzyskać więcej informacji, zobacz Synchronizowanie aktualizacji oprogramowania z odłączonym punktem aktualizacji oprogramowania.
Zdarzenia raportowania WSUS: Agent usługi Windows Update na komputerach klienckich może tworzyć komunikaty zdarzeń na potrzeby raportowania usług WSUS. Te zdarzenia nie są używane przez program Configuration Manager. W związku z tym opcja Nie twórz zdarzeń raportowania programu WSUS jest wybrana domyślnie. Gdy te zdarzenia nie zostaną utworzone, jedynym momentem, w którym klient powinien nawiązać połączenie z serwerem WSUS, jest podczas oceny aktualizacji oprogramowania i skanowania zgodności. Jeśli te zdarzenia są potrzebne do raportowania poza programem Configuration Manager, zmodyfikuj to ustawienie, aby utworzyć zdarzenia raportowania programu WSUS.
Ważna
Jeśli udostępniasz bazę danych programu WSUS (SUSDB) w wielu punktach aktualizacji oprogramowania lokacji najwyższego poziomu, upewnij się, że każdy z tych serwerów WSUS spełnia wymagania dotyczące dostępu do Internetu w przypadku aktualizacji oprogramowania. Po udostępnieniu bazy danych lokacji najwyższego poziomu program Configuration Manager może wybrać dowolny z tych serwerów WSUS do synchronizacji z usługą Microsoft Update.
Harmonogram synchronizacji
Skonfiguruj harmonogram synchronizacji tylko w punkcie aktualizacji oprogramowania w lokacji najwyższego poziomu w hierarchii programu Configuration Manager. Podczas konfigurowania harmonogramu synchronizacji punkt aktualizacji oprogramowania jest synchronizowany ze źródłem synchronizacji o określonej dacie i godzinie. Harmonogram niestandardowy umożliwia synchronizowanie aktualizacji oprogramowania w celu zoptymalizowania pod kątem środowiska. Należy wziąć pod uwagę wymagania dotyczące wydajności serwera usług WSUS, serwera lokacji i sieci. Na przykład 2:00 raz w tygodniu. Możesz też ręcznie rozpocząć synchronizację w lokacji najwyższego poziomu przy użyciu akcji Aktualizacje oprogramowania synchronizacji z węzłów Wszystkie aktualizacje oprogramowania lub grupy aktualizacji oprogramowania w konsoli programu Configuration Manager.
Porada
Zaplanuj uruchamianie synchronizacji aktualizacji oprogramowania przy użyciu czasu odpowiedniego dla danego środowiska. Jednym z typowych scenariuszy jest ustawienie harmonogramu synchronizacji, który ma być uruchamiany wkrótce po regularnym wydaniu aktualizacji oprogramowania firmy Microsoft w drugi wtorek każdego miesiąca. Ten dzień jest zwykle określany jako Patch Tuesday. Jeśli używasz programu Configuration Manager do dostarczania aktualizacji definicji i aparatu programu Endpoint Protection i windows Defender, rozważ ustawienie harmonogramu synchronizacji, aby był uruchamiany codziennie.
Po pomyślnej synchronizacji punktu aktualizacji oprogramowania wysyła żądanie synchronizacji do lokacji podrzędnych. Jeśli masz dodatkowe punkty aktualizacji oprogramowania w lokacji głównej, wysyła żądanie synchronizacji do każdego punktu aktualizacji oprogramowania. Ten proces jest powtarzany w każdej lokacji w hierarchii.
Aktualizowanie klasyfikacji
Każda aktualizacja oprogramowania jest definiowana przy użyciu klasyfikacji aktualizacji, która ułatwia organizowanie różnych typów aktualizacji. Podczas procesu synchronizacji lokacja synchronizuje metadane dla określonych klasyfikacji.
Program Configuration Manager obsługuje synchronizację następujących klasyfikacji aktualizacji:
Aktualizacje krytyczne: szeroko wydana aktualizacja określonego problemu, która rozwiązuje krytyczną usterkę niezwiązaną z zabezpieczeniami.
Aktualizacje definicji: aktualizacja wirusów lub innych plików definicji.
Pakiety funkcji: nowe funkcje produktów, które są dystrybuowane poza wydaniem produktu i zwykle są uwzględniane w następnej pełnej wersji produktu.
Aktualizacje zabezpieczeń: szeroko wydana aktualizacja dotycząca problemu związanego z zabezpieczeniami specyficznego dla produktu.
Dodatki Service Pack: skumulowany zestaw poprawek stosowanych do systemu operacyjnego lub aplikacji. Te poprawki obejmują aktualizacje zabezpieczeń, aktualizacje krytyczne i aktualizacje oprogramowania.
Narzędzia: narzędzie lub funkcja, która pomaga wykonać co najmniej jedno zadanie.
Pakiety zbiorcze aktualizacji: skumulowany zestaw poprawek spakowanych razem w celu łatwego wdrożenia. Te poprawki obejmują aktualizacje zabezpieczeń, aktualizacje krytyczne i aktualizacje oprogramowania. Pakiet zbiorczy aktualizacji zwykle dotyczy określonego obszaru, takiego jak zabezpieczenia lub składnik produktu.
Aktualizacje: aktualizacja aktualnie zainstalowanej aplikacji lub pliku.
Uaktualnienia: aktualizacja funkcji do nowej wersji systemu Windows.
Skonfiguruj ustawienia klasyfikacji aktualizacji tylko w lokacji najwyższego poziomu. Ustawienia klasyfikacji aktualizacji nie są konfigurowane w punkcie aktualizacji oprogramowania w lokacjach podrzędnych, ponieważ metadane aktualizacji oprogramowania są replikowane z lokacji najwyższego poziomu. Po wybraniu klasyfikacji aktualizacji należy pamiętać o większej ilości wybranych klasyfikacji, tym dłużej trwa synchronizowanie metadanych aktualizacji oprogramowania.
Ostrzeżenie
Najlepszym rozwiązaniem jest wyczyść wszystkie klasyfikacje przed synchronizacją po raz pierwszy. Po początkowej synchronizacji wybierz żądane klasyfikacje, a następnie ponownie uruchom synchronizację.
Produkty
Metadane każdej aktualizacji oprogramowania definiują co najmniej jeden produkt, dla którego ma zastosowanie aktualizacja. Produkt to określona wersja systemu operacyjnego lub aplikacji. Przykładem produktu jest system Microsoft Windows 10. Rodzina produktów to podstawowy system operacyjny lub aplikacja, z której pochodzą poszczególne produkty. Przykładem rodziny produktów jest system Microsoft Windows, którego członkami są systemy Windows 10 i Windows Server 2016. Wybierz rodzinę produktów lub poszczególne produkty z rodziny produktów.
Jeśli aktualizacje oprogramowania mają zastosowanie do wielu produktów, a co najmniej jeden z produktów jest wybrany do synchronizacji, wszystkie produkty są wyświetlane w konsoli programu Configuration Manager, nawet jeśli niektóre produkty nie zostały wybrane. Na przykład wybierasz tylko produkt systemu Windows Server 2012. Jeśli aktualizacja oprogramowania ma zastosowanie do systemów Windows Server 2012 i Windows Server 2012 Datacenter Edition, oba produkty znajdują się w bazie danych lokacji.
Skonfiguruj ustawienia produktu tylko w lokacji najwyższego poziomu. Ustawienia produktu nie są konfigurowane w punkcie aktualizacji oprogramowania dla lokacji podrzędnych, ponieważ metadane aktualizacji oprogramowania są replikowane z lokacji najwyższego poziomu. Tym więcej wybranych produktów, tym dłużej trwa synchronizowanie metadanych aktualizacji oprogramowania.
Ważna
Program Configuration Manager przechowuje listę produktów i rodzin produktów wybranych podczas pierwszej instalacji punktu aktualizacji oprogramowania. Produkty i rodziny produktów wydane po wydaniu programu Configuration Manager mogą nie być dostępne do wybrania do momentu ukończenia synchronizacji. Proces synchronizacji aktualizuje listę dostępnych produktów i rodzin produktów, z których można wybrać. Wyczyść wszystkie produkty przed zsynchronizowanie aktualizacji oprogramowania po raz pierwszy. Po początkowej synchronizacji wybierz żądane produkty, a następnie ponownie uruchom synchronizację.
Reguły zastępowania
Zazwyczaj aktualizacja oprogramowania zastępująca inną aktualizację oprogramowania wykonuje co najmniej jedną z następujących akcji:
Ulepsza, ulepsza lub aktualizuje poprawkę, która została udostępniona przez co najmniej jedną wydaną aktualizację.
Poprawia wydajność zastąpionego pakietu plików aktualizacji, który jest instalowany na klientach, jeśli aktualizacja została zatwierdzona do instalacji. Na przykład zastąpiona aktualizacja może zawierać pliki, które nie są już istotne dla poprawki lub systemów operacyjnych obsługiwanych przez nową aktualizację. Te pliki nie są uwzględniane w zastępującym się pakiecie plików aktualizacji.
Aktualizuje nowsze wersje produktu. Innymi słowy, aktualizuje wersje, które nie mają już zastosowania do starszych wersji lub konfiguracji produktu. Aktualizacje mogą również zastępować inne aktualizacje, jeśli wprowadzono modyfikacje w celu rozszerzenia obsługi języka. Na przykład późniejsza poprawka aktualizacji produktu dla aplikacji platformy Microsoft 365 może usunąć obsługę starszego systemu operacyjnego, ale może dodać dodatkową obsługę nowych języków w początkowej wersji aktualizacji.
We właściwościach punktu aktualizacji oprogramowania określ, że zastąpione aktualizacje oprogramowania natychmiast wygasły. To ustawienie uniemożliwia ich dołączanie do nowych wdrożeń. Flaguje również istniejące wdrożenia, aby wskazać, że zawierają co najmniej jedną wygasłą aktualizację oprogramowania. Możesz też określić okres przed wygaśnięciem zastępowanych aktualizacji oprogramowania. Ta akcja umożliwia kontynuowanie ich wdrażania.
Rozważ następujące scenariusze, w których może być konieczne wdrożenie zastąpionej aktualizacji oprogramowania:
Zastępująca aktualizacja oprogramowania obsługuje tylko nowsze wersje systemu operacyjnego. Na niektórych komputerach klienckich działają wcześniejsze wersje systemu operacyjnego.
Zastępująca aktualizacja oprogramowania ma bardziej ograniczone zastosowanie niż zastępowana przez nią aktualizacja oprogramowania. To zachowanie spowodowałoby, że nie będzie ono nieodpowiednie dla niektórych klientów.
Jeśli zastępująca aktualizacja oprogramowania nie została zatwierdzona do wdrożenia w środowisku produkcyjnym.
Program Configuration Manager może automatycznie wygasać zastąpione aktualizacje zgodnie z wybranym harmonogramem. Można określić zachowanie reguł zastępowania dla aktualizacji funkcji oddzielnie od aktualizacji niezwiązanych z funkcjami. Ustawieniem domyślnym jest odczekanie 3 miesięcy przed wygaśnięciem zastąpionej aktualizacji. Ustawieniem domyślnym 3 miesięcy jest zapewnienie czasu na sprawdzenie, czy aktualizacja nie jest już potrzebna dla żadnego z komputerów klienckich. Zaleca się, aby nie zakładać, że zastąpione aktualizacje powinny zostać natychmiast wygasłe na rzecz nowej, zastępującej aktualizację. Listę aktualizacji oprogramowania zastępujących aktualizację oprogramowania można wyświetlić na karcie Informacje o zastępowaniu we właściwościach aktualizacji oprogramowania.
Języki
Ustawienia języka punktu aktualizacji oprogramowania umożliwiają konfigurowanie:
- Języki, dla których są synchronizowane szczegóły podsumowania (metadane aktualizacji oprogramowania) dla aktualizacji oprogramowania
- Języki plików aktualizacji oprogramowania pobierane na potrzeby aktualizacji oprogramowania
Plik aktualizacji oprogramowania
Skonfiguruj języki dla ustawienia pliku aktualizacji oprogramowania we właściwościach punktu aktualizacji oprogramowania. To ustawienie udostępnia języki domyślne, które są dostępne podczas pobierania aktualizacji oprogramowania w witrynie. Zmodyfikuj języki, które są domyślnie wybierane przy każdym pobieraniu lub wdrażaniu aktualizacji oprogramowania. Podczas procesu pobierania pliki aktualizacji oprogramowania dla skonfigurowanych języków są pobierane do lokalizacji źródłowej pakietu wdrożeniowego, jeśli pliki aktualizacji oprogramowania są dostępne w wybranym języku. Następnie są one kopiowane do biblioteki zawartości na serwerze lokacji. Następnie są one dystrybuowane do punktów dystrybucji skonfigurowanych dla pakietu.
Skonfiguruj ustawienia języka plików aktualizacji oprogramowania przy użyciu języków najczęściej używanych w danym środowisku. Na przykład klienci w witrynie używają głównie języka angielskiego i japońskiego dla systemu Windows lub aplikacji. Istnieje kilka innych języków, które są używane w witrynie. Wybierz tylko angielski i japoński w kolumnie Plik aktualizacji oprogramowania podczas pobierania lub wdrażania aktualizacji oprogramowania. Ta akcja umożliwia użycie ustawień domyślnych na stronie Wybór języka kreatorów wdrażania i pobierania. Ta akcja uniemożliwia również pobieranie niepotrzebnych plików aktualizacji. Skonfiguruj to ustawienie w każdym punkcie aktualizacji oprogramowania w hierarchii programu Configuration Manager.
Szczegóły podsumowania
Podczas procesu synchronizacji informacje o szczegółach podsumowania (metadane aktualizacji oprogramowania) są aktualizowane dla aktualizacji oprogramowania w określonych językach. Metadane zawierają informacje o aktualizacji oprogramowania, na przykład:
- Name (Nazwa)
- Opis
- Produkty obsługiwane przez aktualizację
- Klasyfikacja aktualizacji
- Identyfikator artykułu
- Adres URL pobierania
- Reguły stosowania
Skonfiguruj ustawienia szczegółów podsumowania tylko w lokacji najwyższego poziomu. Szczegóły podsumowania nie są konfigurowane w punkcie aktualizacji oprogramowania w lokacjach podrzędnych, ponieważ metadane aktualizacji oprogramowania są replikowane z centralnej lokacji administracyjnej przy użyciu replikacji opartej na plikach. Po wybraniu języków szczegółów podsumowania wybierz tylko języki potrzebne w danym środowisku. Tym więcej wybranych języków, tym dłużej trwa synchronizowanie metadanych aktualizacji oprogramowania. Program Configuration Manager wyświetla metadane aktualizacji oprogramowania w ustawieniach regionalnych systemu operacyjnego, w którym działa konsola programu Configuration Manager. Jeśli zlokalizowane właściwości aktualizacji oprogramowania nie są dostępne w ustawieniach regionalnych tego systemu operacyjnego, informacje o aktualizacjach oprogramowania są wyświetlane w języku angielskim.
Ważna
Wybierz wszystkie języki szczegółów podsumowania, których potrzebujesz. Gdy punkt aktualizacji oprogramowania w lokacji najwyższego poziomu synchronizuje się ze źródłem synchronizacji, wybrane języki szczegółów podsumowania określają metadane aktualizacji oprogramowania, które pobiera. Jeśli zmodyfikujesz języki szczegółów podsumowania po co najmniej jednym uruchomieniu synchronizacji, pobiera on metadane aktualizacji oprogramowania dla zmodyfikowanych języków szczegółów podsumowania tylko dla nowych lub zaktualizowanych aktualizacji oprogramowania. Aktualizacje oprogramowania, które zostały już zsynchronizowane, nie są aktualizowane przy użyciu nowych metadanych dla zmodyfikowanych języków, chyba że nastąpi zmiana aktualizacji oprogramowania w źródle synchronizacji.
Maksymalny czas wykonywania
Możesz określić maksymalny czas, przez jaki instalacja aktualizacji oprogramowania ma zostać ukończona. Maksymalny czas wykonywania można określić dla następujących elementów:
Maksymalny czas wykonywania aktualizacji funkcji systemu Windows (w minutach)
-
Aktualizacje funkcji — aktualizacja, która znajduje się w jednej z tych trzech klasyfikacji:
- Uaktualnienia
- Pakiety zbiorcze aktualizacji
- Dodatki Service Pack
-
Aktualizacje funkcji — aktualizacja, która znajduje się w jednej z tych trzech klasyfikacji:
Maksymalny czas wykonywania aktualizacji usługi Office 365 i aktualizacji bez funkcji dla systemu Windows (w minutach)
-
Aktualizacje niezwiązane z funkcjami — aktualizacja, która nie jest uaktualnieniem funkcji i której produkt jest wymieniony jako jeden z następujących:
- Windows 11
- Windows 10 (wszystkie wersje)
- Windows Server 2012 R2
- System Windows Server 2016
- Windows Server 2019
- Usługa Office 365
-
Aktualizacje niezwiązane z funkcjami — aktualizacja, która nie jest uaktualnieniem funkcji i której produkt jest wymieniony jako jeden z następujących:
Maksymalny czas wykonywania wszystkich innych aktualizacji oprogramowania spoza tych kategorii, takich jak aktualizacje innych firm (w minutach): domyślny maksymalny czas wykonywania tych aktualizacji zależy od tego, kiedy aktualizacja została po raz pierwszy zsynchronizowana ze środowiskiem i wersją programu Configuration Manager. Użyj poniższego koszyka, aby określić maksymalną wartość środowiska uruchomieniowego dla tych aktualizacji:
2203 lub nowszy 2103, 2107 lub 2111 2010 Maksymalny czas wykonywania wszystkich innych aktualizacji oprogramowania można dostosowywać. Wartość domyślna to 60 minut. 60 min 10 minut Ważna
- To ustawienie zmienia tylko maksymalne środowisko uruchomieniowe dla nowych aktualizacji, które są synchronizowane w programie SUP. Nie zmienia on czasu wykonywania istniejących aktualizacji zsynchronizowanych przed zmodyfikowaniem czasu wykonywania. Jeśli na przykład
Update 1
po raz pierwszy zsynchronizowane ze środowiskiem 2111, maksymalny czas wykonywania to 60 minut. Następnie uaktualniasz środowisko do wersji 2203 i ustawiasz maksymalny czas wykonywania na 30 minut.Update 1
zachowuje 60-minutowe środowisko uruchomieniowe. Jednak gdy nowa aktualizacja ,Update 2
zsynchronizuje się, otrzymuje nowy 30-minutowy czas wykonywania. - Jeśli musisz ręcznie zmienić maksymalny czas wykonywania aktualizacji, możesz skonfigurować dla niej ustawienia aktualizacji oprogramowania .
- To ustawienie zmienia tylko maksymalne środowisko uruchomieniowe dla nowych aktualizacji, które są synchronizowane w programie SUP. Nie zmienia on czasu wykonywania istniejących aktualizacji zsynchronizowanych przed zmodyfikowaniem czasu wykonywania. Jeśli na przykład
Planowanie okna obsługi aktualizacji oprogramowania
Dodaj okno obsługi dedykowane dla instalacji aktualizacji oprogramowania. Ta akcja umożliwia skonfigurowanie ogólnego okna obsługi i innego okna obsługi aktualizacji oprogramowania. Podczas konfigurowania ogólnego okna obsługi i okna obsługi aktualizacji oprogramowania klienci instalują aktualizacje oprogramowania tylko w oknie obsługi aktualizacji oprogramowania.
To zachowanie można zmienić i zezwolić na instalowanie aktualizacji oprogramowania podczas ogólnego okna obsługi. Aby uzyskać więcej informacji na temat tego ustawienia klienta, zobacz Ustawienia klienta aktualizacji oprogramowania.
Aby uzyskać więcej informacji na temat okien obsługi, zobacz Jak używać okien obsługi.
Opcje ponownego uruchamiania dla klientów z systemem Windows 10 po instalacji aktualizacji oprogramowania
Gdy aktualizacja oprogramowania wymagająca ponownego uruchomienia jest wdrażana i instalowana przy użyciu programu Configuration Manager, klient planuje oczekujące ponowne uruchomienie i wyświetla okno dialogowe ponownego uruchamiania.
W przypadku oczekiwania na ponowne uruchomienie aktualizacji oprogramowania programu Configuration Manager opcja Aktualizacji i ponownego uruchamiania oraz aktualizacji i zamykania jest dostępna na komputerach z systemem Windows 10 w opcjach zasilania systemu Windows. Po użyciu jednej z tych opcji okno dialogowe ponownego uruchamiania nie jest wyświetlane po ponownym uruchomieniu komputera. W pewnych okolicznościach system operacyjny może usunąć oczekujące opcje ponownego uruchomienia. Może się tak zdarzyć, jeśli funkcja szybkiego uruchamiania w systemie Windows 10 jest włączona. Aby uzyskać więcej informacji, zobacz Aktualizacje mogą nie być instalowane z szybkim uruchamianiem w systemie Windows 10.
Ocena aktualizacji oprogramowania po aktualizacji stosu obsługi
Począwszy od wersji 2002, program Configuration Manager wykrywa, czy aktualizacja stosu obsługi (SSU) jest częścią instalacji wielu aktualizacji. Po wykryciu jednostki SSU jest ona zainstalowana jako pierwsza. Po zainstalowaniu jednostki SSU zostanie uruchomiony cykl oceny aktualizacji oprogramowania w celu zainstalowania pozostałych aktualizacji. Ta zmiana umożliwia zainstalowanie zależnej aktualizacji zbiorczej po aktualizacji stosu obsługi. Urządzenie nie musi być uruchamiane ponownie między instalacjami i nie trzeba tworzyć dodatkowego okna obsługi. Jednostki SSU są instalowane najpierw tylko w przypadku instalacji inicjowanych przez użytkownika. Jeśli na przykład użytkownik inicjuje instalację wielu aktualizacji z Centrum oprogramowania, usługa SSU może nie zostać zainstalowana jako pierwsza. Instalacja jednostek SSU najpierw nie jest dostępna dla systemów operacyjnych Windows Server w przypadku korzystania z programu Configuration Manager w wersji 2002. Ta funkcja została dodana w programie Configuration Manager w wersji 2006 dla systemów operacyjnych Windows Server.
Jeśli aktualizacje inne niż Windows, takie jak pakiet Office lub aktualizacje innych firm, są w tym samym terminie i wymagają ponownego uruchomienia po instalacji, aktualizacje zbiorcze mogą nie zostać zainstalowane bezpośrednio po jednostce SSU, ponieważ komputer wymagał ponownego uruchomienia przed ponownym wykonaniem pełnego skanowania. Można to osiągnąć, wybierając pole wyboru Jeśli jakakolwiek aktualizacja w tym wdrożeniu wymaga ponownego uruchomienia systemu, uruchom cykl oceny wdrożenia aktualizacji po ponownym uruchomieniu w ustawieniach wdrożenia.
Następne kroki
Po zaplanowaniu aktualizacji oprogramowania zobacz Przygotowywanie do zarządzania aktualizacjami oprogramowania.
Aby uzyskać więcej informacji na temat zarządzania systemem Windows jako usługą, zobacz Podstawy programu Configuration Manager jako usługi i Windows jako usługi.