在 Configuration Manager 中規劃軟體更新

適用於:Configuration Manager (目前的分支)

在Configuration Manager生產環境中使用軟體更新之前,請務必先完成規劃程式。 擁有軟體更新點基礎結構的良好計畫,是成功實作軟體更新的關鍵。 如需軟體更新容量規劃的相關資訊,請參閱 大小和調整編號

判斷軟體更新點基礎結構

本節包含下列子主題:

管理中心網站和所有子主要月臺都必須有軟體更新點。 當您規劃軟體更新點基礎結構時,請判斷下列相依性:

  • 月臺的軟體更新點安裝位置
  • 哪些月臺需要可接受來自網際網路型用戶端通訊的軟體更新點
  • 您是否需要次要月臺的軟體更新點

重要事項

如需軟體更新所需之內部和外部相依性的詳細資訊,請參閱 軟體更新的必要條件

在Configuration Manager主要月臺新增多個軟體更新點,以提供容錯功能。 軟體更新點的容錯移轉設計與管理點設計中使用的純隨機化模型不同。 不同于管理點的設計,當用戶端切換至新的軟體更新點時,軟體更新點設計會有用戶端和網路效能成本。 當用戶端切換至新的 WSUS 伺服器以掃描軟體更新時,結果就是目錄大小增加,以及相關聯的用戶端和網路效能需求。 因此,用戶端會與成功掃描的最後一個軟體更新點保持親和性。

您在主要月臺上安裝的第一個軟體更新點是您在主要月臺新增之所有其他軟體更新點的同步處理來源。 新增軟體更新點並開始同步處理之後,請從 [監視] 工作區的[軟體更新點同步處理狀態] 節點檢視軟體更新點和同步處理來源的狀態。

當設定為網站同步處理來源的軟體更新點失敗時,請手動移除失敗的角色。 然後選取要作為同步處理來源的新軟體更新點。 如需詳細資訊,請 參閱移除月臺系統角色

軟體更新點清單

Configuration Manager在下列案例中為用戶端提供軟體更新點清單:

  • 新的用戶端會收到啟用軟體更新的原則

  • 用戶端無法連絡其指派的軟體更新點,且需要切換至另一個更新點

用戶端會從清單中隨機選取軟體更新點。 它會優先處理相同樹系中的軟體更新點。 Configuration Manager視用戶端的類型而定,為用戶端提供不同的清單:

  • 內部網路型客戶端:接收軟體更新點清單,您可以設定為只允許來自內部網路的連線,或允許網際網路和內部網路用戶端連線的軟體更新點清單。

  • 以網際網路為基礎的客戶端:接收您設定為只允許來自網際網路連線的軟體更新點清單,或允許網際網路和內部網路用戶端連線的軟體更新點清單。

軟體更新點切換

注意事項

用戶端會使用界限群組來尋找新的軟體更新點。 如果無法再存取其目前的軟體更新點,他們也會使用界限群組來進行後援並尋找新的更新點。 將個別軟體更新點新增至不同的界限群組,以控制用戶端可以找到的伺服器。 如需詳細資訊,請參閱 軟體更新點

如果您的月臺有多個軟體更新點,且其中一個失敗或無法使用,用戶端將會連線到不同的軟體更新點。 使用這個新的伺服器時,用戶端會繼續掃描最新的軟體更新。 當用戶端第一次獲指派軟體更新點時,除非無法掃描,否則會持續指派給該軟體更新點。

軟體更新掃描可能會失敗,並出現一些不同的重試和非重試錯誤碼。 當掃描失敗並出現重試錯誤碼時,用戶端會開始重試程式,以掃描軟體更新點上的軟體更新。 導致重試錯誤碼的高階條件通常是因為 WSUS 伺服器無法使用或因為暫時多載。 當用戶端無法掃描軟體更新時,它會使用下列程式:

  1. 用戶端會掃描軟體更新:

    • 在其排程時間
    • 從用戶端上的控制台手動執行時
    • 從Configuration Manager主控台透過用戶端通知動作手動執行時
    • 從 Configuration Manager SDK 方法執行時
  2. 如果掃描失敗,用戶端會等候 30 分鐘來重試掃描。 它會使用相同的軟體更新點。

  3. 用戶端至少每隔 30 分鐘重試四次。 在第四次失敗之後,在等候兩分鐘後,用戶端會移至其清單中的下一個軟體更新點。

  4. 用戶端會使用新的軟體更新點重複此程式。 掃描成功之後,用戶端會繼續連線到新的軟體更新點。

下列清單提供軟體更新點重試和切換案例的其他考慮資訊:

  • 如果用戶端與內部網路中斷連線,且無法掃描軟體更新,則不會切換至另一個軟體更新點。 這是預期的失敗,因為用戶端無法連線到內部網路或允許來自內部網路連線的軟體更新點。 Configuration Manager用戶端會決定內部網路軟體更新點的可用性。

  • 如果您在網際網路上管理用戶端,並已設定多個軟體更新點以接受來自網際網路用戶端的通訊,則切換程式會遵循先前所述的標準重試程式。

  • 如果掃描程式啟動,但用戶端在掃描完成之前已關閉,則不會被視為掃描失敗,也不會算為四次重試的其中一次。

當Configuration Manager收到下列任一Windows Update Agent 錯誤碼時,用戶端會重試連線:

2149842970, 2147954429, 2149859352, 2149859362, 2149859338, 2149859344, 2147954430, 2147747475, 2149842974, 2149859342, 2149859372, 2149859341, 2149904388, 2149859371, 2149859367, 2149859366, 2149859364, 2149859363, 2149859361, 2149859360, 2149859359, 2149859358, 2149859357, 2149859356, 2149859354, 2149859353, 2149859350, 2149859349, 2149859340, 2149859339, 2149859332, 2149859333, 2149859334, 2149859337, 2149859336, 2149859335

若要查閱錯誤碼的意義,請將十進位錯誤碼轉換成十六進位,然後在網站中搜尋十六進位值,例如Windows Update代理程式 - 錯誤碼 Wiki。 例如,十進位錯誤碼2149842970為十六進位 8024001A,這表示WU_E_POLICY_NOT_SET未設定原則值。

手動將用戶端切換至新的軟體更新點

當使用中軟體更新點發生問題時,將Configuration Manager用戶端切換至新的軟體更新點。 只有在用戶端從管理點收到多個軟體更新點時,才會發生這項變更。

重要事項

當您切換裝置以使用新的伺服器時,裝置會使用後援來尋找該新伺服器。 用戶端會在下一個軟體更新掃描週期期間切換到新的軟體更新點。

開始這項變更之前,請先檢閱界限群組組態,以確定您的軟體更新點位於正確的界限群組中。 如需詳細資訊,請參閱 軟體更新點

切換至新的軟體更新點會產生額外的網路流量。 流量量取決於您的 WSUS 組態設定,例如同步處理的分類和產品,或共用 WSUS 資料庫的使用。 如果您打算切換多個裝置,請考慮在維護期間進行。 當用戶端使用新的軟體更新點進行掃描時,此時間可減少對您網路的影響。

切換軟體更新點的程式

在裝置集合上啟動這項變更。 觸發之後,用戶端會在下一次掃描時尋找另一個軟體更新點。

  1. 在Configuration Manager主控台中,移至 [資產與相容性] 工作區,然後選取 [裝置集合]節點。

  2. 選取目標集合。 在功能區的 [ 常用] 索引標籤上,選取 [集合 ] 群組中的 [ 用戶端通知],然後選取 [ 切換至下一個軟體更新點]

不受信任樹系中的軟體更新點

在月臺建立一或多個軟體更新點,以支援不受信任樹系中的用戶端。 若要在另一個樹系中新增軟體更新點,請先在該樹系中安裝和設定 WSUS 伺服器。 然後啟動精靈,以新增具有軟體更新點月臺系統角色的Configuration Manager月臺伺服器。 在精靈中,設定下列設定以成功連線到不受信任樹系中的 WSUS:

  • 指定可存取不受信任樹系中 WSUS 伺服器的 月臺系統安裝帳戶

  • 指定要連線到 WSUS 伺服器的 WSUS 伺服器線上帳戶

例如,您在樹系 A 中有一個主要月臺, (SUP01 和 SUP02) 兩個軟體更新點。 針對相同的主要月臺,您在樹系 B 中也有兩個軟體更新點 (SUP03 和 SUP04) 。切換到下一個軟體更新點時,用戶端會優先處理來自相同樹系的伺服器。

使用現有的 WSUS 伺服器作為頂層月臺的同步處理來源

一般而言,階層中的頂層月臺會設定為與 Microsoft Update 同步處理軟體更新中繼資料。 當您的組織安全性原則不允許最上層網站存取網際網路時,請將最上層月臺的同步處理來源設定為使用現有的 WSUS 伺服器。 此 WSUS 伺服器不在您的Configuration Manager階層中。 例如,您在連線到網際網路的網路中有 WSUS 伺服器 (DMZ) ,但您的最上層月臺位於沒有網際網路存取的內部網路中。 將 DMZ 中的 WSUS 伺服器設定為軟體更新中繼資料的同步處理來源。 將 DMZ 中的 WSUS 伺服器設定為使用您在 Configuration Manager 中所需的相同準則來同步處理軟體更新。 否則,最上層網站可能不會同步處理您預期的軟體更新。 當您安裝軟體更新點時,請設定 WSUS 伺服器線上帳戶。 此帳戶需要存取 DMZ 中的 WSUS 伺服器。 也請確認防火牆允許適當埠的流量。 如需詳細資訊,請參閱 軟體更新點用於同步處理來源的埠

次要月臺上的軟體更新點

軟體更新點在次要月臺上是選擇性的。 在次要月臺上只安裝一個軟體更新點。 當軟體更新點未安裝在次要月臺時,次要月臺界限內的裝置會在其指派的主要月臺上使用軟體更新點。 當次要月臺中的裝置與父主要月臺上的軟體更新點之間的網路頻寬有限時,您通常會在次要月臺上安裝軟體更新點。 當主要月臺的軟體更新點接近容量限制時,您也可以使用此設定。 在次要月臺成功安裝和設定軟體更新點之後,就會更新用戶端的全月臺原則,並開始使用新的軟體更新點。

規劃以網際網路為基礎的用戶端

當您需要管理從網路漫遊到網際網路的裝置時,請開發如何管理這些裝置上軟體更新的計畫。 Configuration Manager支援此案例的數種技術。 視需要使用一或多個組合,以符合組織的需求。

雲端管理閘道

在 Microsoft Azure 中建立雲端管理閘道,並啟用至少一個內部部署軟體更新點,以允許來自網際網路型用戶端的流量。 當用戶端漫遊到網際網路時,他們會繼續掃描您的軟體更新點。 所有以網際網路為基礎的用戶端一律會從 Microsoft Update 雲端服務取得內容。

如需詳細資訊,請參閱 雲端管理閘道概觀 和設定 界限群組

注意事項

從 2203 版開始,您可以將用戶端設定為偏好掃描雲端管理閘道, (CMG) 軟體更新點, (SUP) 而不是內部部署 SUP。 此行為是由界限群組中的 [ 偏好雲端式來源而非內部部署來源 ] 選項所控制。 為了降低這項變更對效能的影響,現有的用戶端不會自動 將其 SUP 切換 至雲端式 SUP。 除非用戶端目前的 SUP 失敗或用戶端以手動方式切換至新的 SUP,否則用戶端會保持指派給其目前的 SUP。

以網際網路為基礎的用戶端管理

將軟體更新點放在網際網路對向網路中,並讓它允許來自網際網路型用戶端的流量。 當用戶端漫遊到網際網路時,他們會切換到此軟體更新點進行掃描。 所有以網際網路為基礎的用戶端一律會從 Microsoft Update 雲端服務取得內容。

如需網際網路型用戶端管理優缺點的詳細資訊,請參閱 管理網際網路上的用戶端

商務用 Windows Update

Windows Update可讓您使用最新的品質和功能更新,讓Windows 10或更新版本的裝置保持在最新狀態。 這些裝置會直接連線到Windows Update雲端服務。 Configuration Manager可以區分使用 WUfB 和 WSUS 取得軟體更新的 Windows 電腦。

如需詳細資訊,請參閱與商務用Windows Update整合

規劃軟體更新內容

用戶端必須下載軟體更新的內容檔案,才能加以安裝。 Configuration Manager提供數種技術來支援此內容的管理和傳遞。 或設定軟體更新部署,以允許或要求用戶端直接從 Microsoft Update 雲端服務取得內容。

注意事項

從 2023 年 3 月 28 日開始,內部部署Windows 11版本 22H2 裝置會透過整合更新平臺 (UUP) 接收品質更新。 UUP 內部部署與 WSUS 和 Microsoft Configuration Manager互通。 UUP 品質更新會持續累積,並包含所有已發行的 Windows 品質和安全性修正。 使用整合更新平臺 (UUP) 的內部部署更新管理,每個 Windows 版本和處理器架構每個版本都需要額外的 10 GB 空間。 如需詳細資訊,請參閱 UUP 考慮一 節。

下載併發布內容

根據預設,Configuration Manager中的軟體更新管理程式會使用內建的內容管理功能。 這些功能包括集中式、單一實例存放區內容庫,以及發佈點月臺系統角色的分散式設計。 當您下載併發布軟體更新部署套件時,會使用這些功能。

如需詳細資訊,請 參閱下載軟體更新

管理Windows 10或更新版本的快速安裝檔案

Configuration Manager支援針對 Windows 更新使用快速安裝檔案。 快速更新檔案和支援技術,例如「傳遞優化」,可協助減少大型內容檔案下載至用戶端的網路影響。

如需詳細資訊,請參閱 優化 Windows 更新傳遞

用戶端從網際網路下載內容

當您將軟體更新部署至用戶端時,請設定部署,讓用戶端從 Microsoft Update 雲端服務下載內容。 當用戶端無法從另一個內容來源下載內容時,他們仍然可以從網際網路下載內容。

部署軟體更新時,您不需要建立部署套件。 當您選取 [ 沒有部署套件 ] 選項時,用戶端仍然可以從本機來源下載內容,但通常會從 Microsoft Update 服務下載。

以網際網路為基礎的用戶端一律會從 Microsoft Update 雲端服務下載內容。 請勿將軟體更新部署套件發佈至啟用內容的雲端管理閘道 (CMG) 。

規劃協力廠商更新

Configuration Manager與 WSUS 整合,WSUS 原生支援 Microsoft 發佈的軟體更新。 大部分的客戶都會使用其他也需要更新的協力廠商應用程式。 有數個選項可考慮讓協力廠商應用程式保持在最新狀態。

取代要更新的應用程式

在 Configuration Manager 中使用取代關聯性與應用程式管理功能,以升級或取代現有的應用程式。 當您取代應用程式時,請指定新的部署類型來取代已取代應用程式的部署類型。 同時決定在安裝取代的應用程式之前,是否要升級或卸載已取代的應用程式。

如需詳細資訊,請參閱 修改和取代應用程式

第三方軟體更新

您可以使用 Configuration Manager 主控台中的協力廠商軟體更新類別目錄節點來訂閱協力廠商目錄、將其更新發佈至您的軟體更新點,然後將其部署至用戶端。

如需詳細資訊,請參閱 協力廠商軟體更新

系統中心更新發行者

System Center 更新 Publisher (SCUP) 是獨立的工具,可讓獨立軟體發行者或企業營運應用程式開發人員管理自訂更新。 這些更新包括具有相依性的更新,例如驅動程式和更新套件組合。 SCUP 也可用於無法直接在主控台中使用的協力廠商更新目錄。

如需詳細資訊,請參閱System Center 更新 Publisher

規劃軟體更新點安裝

本節包含下列子主題:

本節提供成功規劃和準備軟體更新點安裝所採取之步驟的相關資訊。 在 Configuration Manager 中建立軟體更新點的月臺系統角色之前,有幾個需求需要考慮。 特定需求取決於您的Configuration Manager基礎結構。 當您設定軟體更新點以使用 HTTPS 進行通訊時,本節特別需要檢閱。 啟用 HTTPS 的伺服器需要額外的步驟才能正常運作。

軟體更新點的需求

在符合 WSUS 最低需求的月臺系統上安裝軟體更新點角色,以及Configuration Manager月臺系統支援的設定。

規劃 WSUS 安裝

在您為軟體更新點角色設定的所有月臺系統伺服器上安裝支援的 WSUS 版本。 當您未在月臺伺服器上安裝軟體更新點時,請在月臺伺服器上安裝 WSUS 管理主控台。 此元件可讓月臺伺服器與軟體更新點上執行的 WSUS 通訊。

當您在 Windows Server 2012 或更新版本上使用 WSUS 時,請設定其他許可權,以允許 Configuration Manager 中的WSUS Configuration Manager元件連線到 WSUS。 此元件會執行週期性健康情況檢查。 選擇下列其中一個選項來設定必要的許可權:

  • SYSTEM 帳戶新增至 WSUS 系統管理員 群組

  • NT AUTHORITY\SYSTEM 帳戶新增為 WSUS 資料庫 (SUSDB) 的使用者。 設定最低的 webService 資料庫角色成員資格。

如需如何在 Windows Server 上安裝 WSUS 的詳細資訊,請參閱 安裝 WSUS 伺服器角色

當您在主要月臺安裝多個軟體更新點時,請針對相同 Active Directory 樹系中的每個軟體更新點使用相同的 WSUS 資料庫。 共用相同的資料庫可改善用戶端切換至新軟體更新點時的效能。 如需詳細資訊,請 參閱針對軟體更新點使用共用 WSUS 資料庫

設定 WSUS 內容目錄路徑

當您安裝 WSUS 時,您必須提供內容目錄路徑。 WSUS 內容目錄主要用於儲存用戶端在掃描期間所需的 Microsoft 軟體授權條款檔案。 Configuration Manager WSUS 內容目錄不應與Configuration Manager軟體部署套件的內容來原始目錄重迭。 重迭 WSUS 內容目錄和Configuration Manager套件來源會導致從 WSUS 內容目錄移除不正確的檔案。

設定 WSUS 以使用自訂網站

當您安裝 WSUS 時,可以選擇使用現有的 IIS 預設網站,或建立自訂 WSUS 網站。 建立 WSUS 的自訂網站,讓 IIS 在專用虛擬網站中裝載 WSUS 服務。 否則,它會共用其他Configuration Manager月臺系統或應用程式所使用的相同網站。 當您在月臺伺服器上安裝軟體更新點角色時,特別需要此設定。 當您在 Windows Server 2012 或更新版本中執行 WSUS 時,預設會將 WSUS 設定為針對 HTTP 使用埠 8530,針對 HTTPS 設定為埠 8531。 當您在月臺建立軟體更新點時,請指定這些埠。

將 WSUS 設定為複本伺服器

當您在主要月臺伺服器上新增軟體更新點角色時,您無法使用設定為複本的 WSUS 伺服器。 當 WSUS 伺服器設定為複本時,Configuration Manager無法設定 WSUS 伺服器,且 WSUS 同步處理失敗。 您在主要月臺安裝的第一個軟體更新點是預設軟體更新點。 月臺上的其他軟體更新點會設定為預設軟體更新點的複本。

決定是否要設定 WSUS 以使用 SSL

強烈建議使用 SSL 通訊協定來協助保護軟體更新點。 WSUS 會使用 SSL 向 WSUS 伺服器驗證用戶端電腦和下游 WSUS 伺服器。 WSUS 也會使用 SSL 來加密軟體更新中繼資料。 當您選擇使用 SSL 保護 WSUS 時,請先準備 WSUS 伺服器,再安裝軟體更新點。

當您安裝並設定軟體更新點時,請選取 [ 啟用 WSUS 伺服器的 SSL 通訊] 選項。 否則,Configuration Manager設定 WSUS 不要使用 SSL。 當您在軟體更新點上啟用 SSL 時,也請將子月臺上的任何軟體更新點設定為使用 SSL。 如需詳細資訊, 請參閱設定軟體更新點以搭配 PKI 憑證使用 TLS/SSL 教學課程

注意事項

為了確保已備妥最佳的安全性通訊協定,強烈建議您使用 TLS/SSL 通訊協定來協助保護軟體更新基礎結構。 從 2020 年 9 月的累積更新開始,根據預設,HTTP 型 WSUS 伺服器將會受到保護。 預設不會再允許用戶端針對 HTTP 型 WSUS 掃描更新以利用使用者 Proxy。 如果您在安全性取捨下仍需要使用者 Proxy,則可以使用新的 軟體更新用戶端設定 來允許這些連線。 如需掃描 WSUS 變更的詳細資訊,請參閱 2020 年 9 月變更,以改善 Windows 裝置掃描 WSUS 的安全性。

設定防火牆

Configuration Manager管理中心網站上的軟體更新點會與軟體更新點上的 WSUS 通訊。 WSUS 會與同步處理來源通訊,以同步處理軟體更新中繼資料。 子月臺上的軟體更新點會與父月臺上的軟體更新點通訊。 當主要月臺有多個軟體更新點時,其他軟體更新點會與預設軟體更新點通訊。 預設角色是月臺上安裝的第一個軟體更新點。

您可能需要設定防火牆,以允許 WSUS 在下列案例中使用的 HTTP 或 HTTPS 流量:

  • 在軟體更新點與網際網路之間
  • 在軟體更新點與其上游同步處理來源之間
  • 在其他軟體更新點之間

Microsoft Update 的連線一律設定為使用 HTTP 的埠 80 和 HTTPS 的埠 443。 使用自訂埠,從子月臺軟體更新點上的 WSUS 連線到父月臺軟體更新點上的 WSUS。 當您的安全性原則不允許連線時,請使用匯出和匯入同步處理方法。 For more information, see the Synchronization source section in this article. 如需 WSUS 所使用埠的詳細資訊,請參閱如何判斷 WSUS 在 Configuration Manager 中使用的埠設定

限制對特定網域的存取

如果您的組織使用防火牆或 Proxy 裝置來限制與網際網路的網路通訊,您必須允許作用中的軟體更新點存取網際網路端點。 然後,WSUS 和自動更新可以與 Microsoft Update 雲端服務通訊。

如需詳細資訊,請參閱 網際網路存取需求

規劃同步處理設定

本節包含下列子主題:

中的軟體更新同步Configuration Manager會根據您設定的準則下載軟體更新中繼資料。 階層中的頂層月臺會同步處理來自 Microsoft Update 的軟體更新。 您可以選擇將頂層月臺上的軟體更新點設定為與現有的 WSUS 伺服器同步,而不是Configuration Manager階層。 子主要月臺會從管理中心網站上的軟體更新點同步處理軟體更新中繼資料。 安裝和設定軟體更新點之前,請使用本節來規劃同步處理設定。

同步處理來源

軟體更新點的同步處理來源設定會指定軟體更新點擷取軟體更新中繼資料的位置。 它也會指定同步處理常式是否建立 WSUS 報告事件。

  • 同步處理來源:根據預設,頂層月臺的軟體更新點會設定 Microsoft Update 的同步處理來源。 您可以選擇同步處理頂層月臺與現有的 WSUS 伺服器。 子主要月臺上的軟體更新點會將同步處理來源設定為管理中心網站上的軟體更新點。

    • 您安裝在主要月臺的第一個軟體更新點,也就是預設軟體更新點,會與管理中心網站同步。 主要月臺上的其他軟體更新點會與主要月臺上的預設軟體更新點同步。

    • 當軟體更新點與 Microsoft Update 或上游補救伺服器中斷連線時,請將同步處理來源設定為不要與設定的同步處理來源進行同步處理。 請改為將它設定為使用 WSUSUtil 工具的匯出和匯入函式來同步處理軟體更新。 如需詳細資訊,請 參閱從中斷連線的軟體更新點同步處理軟體更新

  • WSUS 報告事件:用戶端電腦上的Windows Update代理程式可以建立 WSUS 報告的事件訊息。 Configuration Manager不會使用這些事件。 因此,預設會選取 [ 不要建立 WSUS 報告事件] 選項。 未建立這些事件時,用戶端應該連線到 WSUS 伺服器的唯一時間是在軟體更新評估和合規性掃描期間。 如果在Configuration Manager外部報告需要這些事件,請修改此設定以建立 WSUS 報告事件。

重要事項

如果您要在頂層月臺的多個軟體更新點之間共用 WSUS 資料庫 (SUSDB) ,請確定每個 WSUS 伺服器都符合軟體更新的因特 網存取需求 。 當資料庫共用頂層月臺時,Configuration Manager可以選取其中任何一部 WSUS 伺服器來與 Microsoft Update 同步。

同步處理排程

僅在Configuration Manager階層中頂層月臺上的軟體更新點設定同步處理排程。 當您設定同步處理排程時,軟體更新點會在您指定的日期和時間與同步處理來源同步。 自訂排程可讓您同步處理軟體更新,以針對您的環境進行優化。 請考慮 WSUS 伺服器、月臺伺服器和網路的效能需求。 例如,每週 2:00 AM 一次。 或者,使用來自 Configuration Manager 主控台中[所有軟體更新] 或 [軟體更新群組] 節點的 [同步處理軟體更新] 動作,在頂層月臺上手動啟動同步處理。

提示

使用適合您環境的時間,排程要執行的軟體更新同步處理。 其中一個常見案例是將同步處理排程設定為在每個月的第二個星期二 Microsoft 的一般軟體更新發行後立即執行。 這一天通常稱為 「週二修補程式」。 如果您使用Configuration Manager來傳遞 Endpoint Protection,並Windows Defender定義和引擎更新,請考慮將同步處理排程設定為每日執行。

成功同步處理軟體更新點之後,它會將同步處理要求傳送至子月臺。 如果您在主要月臺有其他軟體更新點,它會將同步處理要求傳送至每個軟體更新點。 此程式會在階層中的每個月臺上重複。

更新分類

每個軟體更新都會使用更新分類來定義,以協助組織不同類型的更新。 在同步處理常式期間,月臺會同步處理指定分類的中繼資料。

Configuration Manager支援同步處理下列更新分類:

  • 重大更新:針對特定問題廣泛發行的更新,可解決與安全性無關的重大錯誤。

  • 定義更新:病毒或其他定義檔案的更新。

  • 功能套件:在產品版本之外散發的新產品功能,通常包含在下一個完整產品版本中。

  • 安全性更新:廣泛發行的更新,適用于產品特定的安全性相關問題。

  • Service Pack:套用至 OS 或應用程式的一組累計 Hotfix。 這些 Hotfix 包括安全性更新、重大更新和軟體更新。

  • 工具:有助於完成一或多個工作的公用程式或功能。

  • 更新彙總套件:一組累積的 Hotfix,封裝在一起以方便部署。 這些 Hotfix 包括安全性更新、重大更新和軟體更新。 更新彙總套件通常會解決特定區域,例如安全性或產品元件。

  • 更新:目前已安裝之應用程式或檔案的更新。

  • 升級:新版 Windows 的功能更新。

只在最上層月臺上設定更新分類設定。 不會在子網站上的軟體更新點上設定更新分類設定,因為軟體更新中繼資料是從最上層月臺複寫。 當您選取更新分類時,請注意您選取的分類越多,同步處理軟體更新中繼資料所需的時間就越長。

警告

最佳做法是先清除所有分類,再進行第一次同步處理。 初始同步處理之後,選取所需的分類,然後重新執行同步處理。

產品

每個軟體更新的中繼資料都會定義一或多個適用更新的產品。 產品是作業系統或應用程式的特定版本。 產品的範例是 Microsoft Windows 10。 產品系列是衍生個別產品的基底 OS 或應用程式。 產品系列的範例是 Microsoft Windows,其中Windows 10和Windows Server 2016是成員。 選取產品系列或產品系列內的個別產品。

當軟體更新適用于多個產品,且至少選取其中一個產品進行同步處理時,即使未選取某些產品,所有產品也會出現在Configuration Manager主控台中。 例如,您只選取Windows Server 2012產品。 如果軟體更新適用于 Windows Server 2012 和 Windows Server 2012 Datacenter Edition,這兩項產品都會在月臺資料庫中。

只在最上層網站上設定產品設定。 不會在子月臺的軟體更新點上設定產品設定,因為軟體更新中繼資料是從最上層網站複寫的。 您選取的產品越多,同步處理軟體更新中繼資料所需的時間就越長。

重要事項

Configuration Manager儲存第一次安裝軟體更新點時所選擇的產品和產品系列清單。 在發行Configuration Manager之後發行的產品和產品系列,在您完成同步處理之前,可能無法選取。 同步處理常式會更新您可以從中選擇的可用產品和產品系列清單。 第一次同步處理軟體更新之前,請先清除所有產品。 初始同步處理之後,選取所需的產品,然後重新執行同步處理。

取代規則

一般而言,取代另一個軟體更新的軟體更新會執行下列一或多個動作:

  • 增強、改善或更新一或多個先前發行的更新所提供的修正程式。

  • 改善已取代更新檔案套件的效率,如果更新已核准安裝,則會安裝在用戶端上。 例如,已取代的更新可能包含不再與修正相關的檔案,或新更新所支援的作業系統。 這些檔案不會包含在更新的取代檔案套件中。

  • 更新較新版本的產品。 換句話說,它會更新不再適用于舊版或產品設定的版本。 如果為了擴充語言支援而進行修改,更新也可以取代其他更新。 例如,較新的 Microsoft 365 Apps 產品更新修訂可能會移除舊版作業系統的支援,但可能會在初始更新版本中新增新語言的其他支援。

在軟體更新點的屬性中,指定已取代的軟體更新會立即過期。 此設定可防止新部署中包含這些設定。 它也會標示現有的部署,以指出它們包含一或多個過期的軟體更新。 或指定已取代軟體更新過期之前的一段時間。 此動作可讓您繼續部署它們。

請考慮下列您可能需要部署已取代軟體更新的案例:

  • 取代的軟體更新僅支援較新版本的 OS。 有些用戶端電腦會執行舊版作業系統。

  • 取代的軟體更新比它取代的軟體更新更具限制的適用性。 此行為會讓某些用戶端不適當。

  • 如果已取代的軟體更新未核准在生產環境中部署。

Configuration Manager可以根據您選擇的排程,自動讓已取代的更新過期。 您可以另外指定 功能更新非功能更新的取代規則行為。 預設設定是等候 3 個月,再過期已取代的更新。 3 個月的預設值是讓您有時間確認任何用戶端電腦不再需要更新。 建議您不要假設已取代的更新應該立即過期,而改用新的取代更新。 您可以在軟體更新屬性的 [取代 資訊 ] 索引標籤上,顯示取代軟體更新的軟體更新清單。

語言

軟體更新點的語言設定可讓您進行下列設定:

  • 軟體更新) (軟體更新中繼資料的摘要詳細資料同步處理的語言
  • 針對軟體更新下載的軟體更新檔案語言

軟體更新檔案

在軟體更新點的屬性中設定 軟體更新檔案 設定的語言。 此設定提供當您在月臺下載軟體更新時可用的預設語言。 修改每次下載或部署軟體更新時預設選取的語言。 在下載程式期間,如果軟體更新檔案以選取的語言提供,則會將所設定語言的軟體更新檔案下載到部署套件來源位置。 接下來,它們會複製到月臺伺服器上的內容庫。 然後,它們會散發到針對套件設定的發佈點。

使用您環境中最常使用的語言來設定軟體更新檔語言設定。 例如,您網站中的用戶端大多使用英文和日文來處理 Windows 或應用程式。 月臺上使用一些其他語言。 當您下載或部署軟體更新時,請在 [ 軟體更新檔案] 資料行中只選取英文和日文。 此動作可讓您在部署和下載精靈的 [ 語言選 取] 頁面上使用預設設定。 此動作也會防止下載不需要的更新檔案。 在Configuration Manager階層中的每個軟體更新點設定此設定。

摘要詳細資料

在同步處理常式期間,會針對您指定的語言,更新軟體更新) (軟體更新中繼資料的摘要詳細資料資訊。 中繼資料提供軟體更新的相關資訊,例如:

  • 名稱
  • 描述
  • 更新支援的產品
  • 更新分類
  • 文章識別碼
  • 下載 URL
  • 適用性規則

僅在最上層網站上設定摘要詳細資料設定。 未在子網站上的軟體更新點上設定摘要詳細資料,因為軟體更新中繼資料是使用檔案型複寫從管理中心網站複寫。 當您選取摘要詳細資料語言時,請只選取您環境中所需的語言。 您選取的語言越多,同步處理軟體更新中繼資料所需的時間就越長。 Configuration Manager會在執行Configuration Manager主控台的 OS 地區設定中顯示軟體更新中繼資料。 如果此 OS 的地區設定中無法使用軟體更新的當地語系化屬性,則軟體更新資訊會以英文顯示。

重要事項

選取您需要的所有摘要詳細資料語言。 當頂層月臺的軟體更新點與同步處理來源同步時,選取的摘要詳細資料語言會決定它所擷取的軟體更新中繼資料。 如果您在同步處理執行至少一次之後修改摘要詳細資料語言,則只會針對新的或更新的軟體更新,擷取已修改摘要詳細資料語言的軟體更新中繼資料。 除非同步處理來源上的軟體更新有所變更,否則已同步處理的軟體更新不會以已修改語言的新中繼資料進行更新。

執行時間上限

您可以指定軟體更新安裝必須完成的時間上限。 您可以指定下列專案的執行時間上限:

  • Windows 功能更新的執行時間上限 (分鐘)

    • 功能更新 - 下列三個分類的其中一個更新:
      • 升級
      • 更新彙總套件
      • Service Pack
  • Windows (分鐘Office 365更新和非功能更新的執行時間上限)

    • 非功能更新 - 不是功能更新的更新,其產品列為下列其中一項:
      • Windows 11
      • Windows 10 (所有版本)
      • Windows Server 2012 R2
      • Windows Server 2016
      • Windows Server 2019
      • Office 365
  • 這些類別以外的所有其他軟體更新執行時間上限,例如協力廠商更新 (分鐘) :這些更新的預設執行時間上限會根據第一次同步至環境的更新和Configuration Manager版本而有所不同。 使用下列購物車來判斷這些更新的最大運行時間值:

    2203 或更新版本 2103、2107 或 2111 2010
    您可以自訂所有其他軟體更新的執行時間上限。 預設值為 60 分鐘。 60 分鐘 10 分鐘

    重要事項

    • 此設定只會變更 SUP 在 中同步處理之新更新的最大執行時間。 它不會在修改執行時間之前同步處理的現有更新上變更執行時間。 例如,如果 Update 1 第一次同步至 2111 環境,則執行時間上限為 60 分鐘。 然後將環境升級至 2203 版,並將執行時間上限設定為 30 分鐘。 Update 1 會保留 60 分鐘的執行時間。 不過,當新的更新 Update 2 同步處理時,會提供新的 30 分鐘執行時間。
    • 如果您需要手動變更更新的執行時間上限,您可以為它設定 軟體更新設定

規劃軟體更新維護期間

新增專用於軟體更新安裝的維護期間。 此動作可讓您設定軟體更新的一般維護期間和不同的維護期間。 當您同時設定一般維護期間和軟體更新維護期間時,用戶端只會在軟體更新維護期間安裝軟體更新。

您可以變更此行為,並允許在一般維護期間安裝軟體更新。 如需此用戶端設定的詳細資訊,請參閱 軟體更新用戶端設定

如需維護期間的詳細資訊,請參閱 如何使用維護時段

軟體更新安裝之後,重新開機Windows 10用戶端的選項

使用 Configuration Manager 部署並安裝需要重新開機的軟體更新時,用戶端會排程暫止的重新開機,並顯示重新開機對話方塊。

當Configuration Manager軟體更新擱置重新開機時,Windows 電源選項中的Windows 10電腦上可使用 [更新] 和 [重新開機] 和 [更新與關機] 選項。 使用其中一個選項之後,重新開機對話方塊不會在電腦重新開機之後顯示。 在某些情況下,作業系統可能會移除擱置中的重新開機選項。 如果已啟用 Windows 10 中的快速啟動功能,就會發生這種情況。 如需詳細資訊,請參閱更新可能無法在 Windows 10 中與快速啟動一起安裝

在服務堆疊更新之後評估軟體更新

從 2002 版開始,Configuration Manager會偵測服務堆疊更新 (SSU) 是否為多個更新安裝的一部分。 偵測到 SSU 時,會先安裝它。 安裝 SSU 之後,會執行軟體更新評估週期來安裝其餘更新。 這項變更允許在服務堆疊更新之後安裝相依累積更新。 裝置不需要在安裝之間重新開機,而且您不需要建立額外的維護期間。 SSU 只會先針對非使用者起始的安裝進行安裝。 例如,如果使用者從軟體中心起始多個更新的安裝,則可能不會先安裝 SSU。 使用 Configuration Manager 2002 版時,Windows Server 作業系統無法先安裝 SSU。 此功能已在適用于 Windows Server 作業系統的 Configuration Manager 2006 版中新增。

後續步驟

規劃軟體更新之後,請參閱 準備軟體更新管理

如需管理Windows 即服務的詳細資訊,請參閱Configuration Manager即服務和Windows 即服務的基本概念