Рекомендации по обновлению программного обеспечения в Configuration Manager
Относится к Configuration Manager (Current Branch)
В этой статье содержатся рекомендации по обновлению программного обеспечения в Configuration Manager. Сведения сортируются по рекомендациям для начальной установки и текущих операций.
Рекомендации по установке
При установке обновлений программного обеспечения в Configuration Manager используйте следующие рекомендации.
Использование общей базы данных WSUS для точек обновления программного обеспечения
При установке нескольких точек обновления программного обеспечения на первичном сайте используйте одну и ту же базу данных WSUS для каждой точки обновления программного обеспечения в одном лесу Active Directory. Если вы используете одну и ту же базу данных, это значительно снижает, но не полностью устраняет влияние на производительность клиента и сети, которое может возникнуть при переключении клиентов на новую точку обновления программного обеспечения. Разностное сканирование по-прежнему происходит, когда клиент переключается на новую точку обновления программного обеспечения, которая совместно использует базу данных со старой точкой обновления программного обеспечения, но сканирование гораздо меньше, чем если бы сервер WSUS имеет собственную базу данных. Дополнительные сведения о переключении точек обновления программного обеспечения см. в разделе Переключение точек обновления программного обеспечения.
Важно!
Кроме того, совместно использовать локальные папки содержимого WSUS при использовании общей базы данных WSUS для точек обновления программного обеспечения.
Дополнительные сведения о совместном использовании базы данных WSUS см. в следующих записях блога:
Если Configuration Manager и WSUS используют одну и ту же SQL Server, настройте один для использования именованного экземпляра, а другой — для экземпляра по умолчанию.
Если базы данных Configuration Manager и WSUS совместно используют один и тот же экземпляр SQL Server, определить использование ресурсов между двумя приложениями будет сложно. Используйте разные экземпляры SQL Server для Configuration Manager и WSUS. Эта конфигурация упрощает устранение и диагностику проблем с использованием ресурсов, которые могут возникнуть для каждого приложения.
Укажите параметр "Локальное хранение обновлений"
При установке WSUS выберите параметр Хранить обновления локально. Этот параметр заставляет WSUS скачивать условия лицензии, связанные с обновлениями программного обеспечения. Он скачивает условия в процессе синхронизации и сохраняет их на локальном жестком диске для сервера WSUS. Если этот параметр не выбран, клиентские компьютеры могут завершить проверку соответствия на наличие обновлений программного обеспечения с условиями лицензии. Компонент диспетчера синхронизации WSUS точки обновления программного обеспечения проверяет, включен ли этот параметр по умолчанию каждые 60 минут.
Настройка точек обновления программного обеспечения для использования TLS/SSL
Настройка серверов Windows Server Update Services (WSUS) и соответствующих точек обновления программного обеспечения для использования TLS/SSL может снизить способность потенциального злоумышленника удаленно компрометировать клиент и повышать привилегии. Чтобы обеспечить наличие наилучших протоколов безопасности, настоятельно рекомендуется использовать протокол TLS/SSL для защиты инфраструктуры обновлений программного обеспечения. Дополнительные сведения см. в руководстве Настройка точки обновления программного обеспечения для использования TLS/SSL с PKI-сертификатом.
Рекомендации по эксплуатации
При использовании обновлений программного обеспечения используйте следующие рекомендации.
Ограничение обновлений программного обеспечения до 1000 в одном развертывании обновлений программного обеспечения
Ограничьте количество обновлений программного обеспечения до 1000 в каждом развертывании обновлений программного обеспечения. При создании правила автоматического развертывания убедитесь, что указанные условия не приводят к более чем 1000 обновлениям программного обеспечения. Если вы развертываете обновления программного обеспечения вручную, не выбирайте более 1000 обновлений.
Создание новой группы обновлений программного обеспечения при каждом запуске ADR для "Вторник исправлений" и для общих развертываний
В развертывании существует ограничение в 1000 обновлений программного обеспечения. При создании правила автоматического развертывания (ADR) вы указываете, следует ли использовать существующую группу обновлений или создавать новую группу обновлений при каждом запуске правила. Если в ADR заданы критерии, которые приводят к нескольким обновлениям программного обеспечения, и правило выполняется по регулярному расписанию, создайте новую группу обновлений программного обеспечения при каждом запуске правила. Это не позволяет развертыванию превысить ограничение в 1000 обновлений программного обеспечения на развертывание.
Использование существующей группы обновлений программного обеспечения для adr для обновлений определений Endpoint Protection
При использовании ADR для частого развертывания обновлений определений Endpoint Protection всегда используйте существующую группу обновлений программного обеспечения. В противном случае ADR потенциально создает сотни групп обновлений программного обеспечения с течением времени. Издатели обновлений определений обычно устанавливают срок действия обновлений определений, когда они заменяются четырьмя более новыми обновлениями. Таким образом, группа обновлений программного обеспечения, созданная ADR, никогда не содержит более четырех обновлений определений для издателя: одно активное и три замененных.
См. также
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по