分享方式:


規劃 Configuration Manager 中的軟體更新

適用於:Configuration Manager (目前的分支)

在 Configuration Manager 生產環境中使用軟體更新之前,請務必先完成規劃程式。 擁有軟體更新點基礎結構的良好計劃,是成功實作軟體更新的關鍵。 如需軟體更新容量規劃的相關信息,請參閱 大小和調整編號

判斷軟體更新點基礎結構

本節包含下列子主題:

管理中心網站和所有子主要月臺都必須有軟體更新點。 當您規劃軟體更新點基礎結構時,請判斷下列相依性:

  • 月臺的軟體更新點安裝位置
  • 哪些月臺需要可接受來自因特網型用戶端通訊的軟體更新點
  • 您是否需要次要月臺的軟體更新點

重要事項

如需軟體更新所需之內部和外部相依性的詳細資訊,請參閱 軟體更新的必要條件

在 Configuration Manager 主要月臺新增多個軟體更新點,以提供容錯功能。 軟體更新點的故障轉移設計與管理點設計中使用的純隨機化模型不同。 不同於管理點的設計,當用戶端切換至新的軟體更新點時,軟體更新點設計中會有用戶端和網路效能成本。 當用戶端切換至新的 WSUS 伺服器以掃描軟體更新時,結果就是目錄大小增加,以及相關聯的用戶端和網路效能需求。 因此,用戶端會與成功掃描的最後一個軟體更新點保持親和性。

您在主要站臺上安裝的第一個軟體更新點是您在主要月臺新增之所有其他軟體更新點的同步處理來源。 新增軟體更新點並開始同步處理之後,請從 [監視] 工作區的 [軟體更新點同步處理狀態] 節點檢視軟體更新點和同步處理來源的狀態。

當設定為月臺同步處理來源的軟體更新點失敗時,請手動移除失敗的角色。 然後選取新的軟體更新點作為同步處理來源。 如需詳細資訊,請 參閱移除月臺系統角色

軟體更新點清單

在下列案例中,Configuration Manager 會為用戶端提供軟體更新點清單:

  • 新的用戶端會收到啟用軟體更新的原則

  • 客戶端無法連絡其指派的軟體更新點,且需要切換至另一個更新點

用戶端會從清單中隨機選取軟體更新點。 它會優先處理相同樹系中的軟體更新點。 Configuration Manager 會根據用戶端的類型,為用戶端提供不同的清單:

  • 內部網路型客戶端:接收軟體更新點清單,您可以設定為只允許來自內部網路的連線,或允許因特網和內部網路用戶端連線的軟體更新點清單。

  • 以因特網為基礎的客戶端:接收您設定為只允許來自因特網連線的軟體更新點清單,或允許因特網和內部網路用戶端連線的軟體更新點清單。

軟體更新點切換

注意事項

用戶端會使用界限群組來尋找新的軟體更新點。 如果無法再存取其目前的軟體更新點,他們也會使用界限群組來進行後援並尋找新的更新點。 將個別軟體更新點新增至不同的界限群組,以控制用戶端可以找到的伺服器。 如需詳細資訊,請參閱 軟體更新點

如果您的月臺有多個軟體更新點,且其中一個失敗或無法使用,用戶端將會連線到不同的軟體更新點。 使用這個新的伺服器時,用戶端會繼續掃描最新的軟體更新。 當用戶端第一次獲指派軟體更新點時,除非無法掃描,否則會持續指派給該軟體更新點。

軟體更新掃描可能會失敗,並出現一些不同的重試和非重試錯誤碼。 當掃描失敗並出現重試錯誤碼時,用戶端會開始重試程式,以掃描軟體更新點上的軟體更新。 導致重試錯誤碼的高階條件通常是因為 WSUS 伺服器無法使用或因為暫時多載。 當客戶端無法掃描軟體更新時,它會使用下列程式:

  1. 用戶端會掃描軟體更新:

    • 在其排程時間
    • 從用戶端上的控制面板手動執行時
    • 透過用戶端通知動作從 Configuration Manager 控制台手動執行時
    • 從 Configuration Manager SDK 方法執行時
  2. 如果掃描失敗,用戶端會等候 30 分鐘來重試掃描。 它會使用相同的軟體更新點。

  3. 用戶端至少每隔 30 分鐘重試四次。 在第四次失敗之後,在等候兩分鐘后,用戶端會移至其清單中的下一個軟體更新點。

  4. 用戶端會使用新的軟體更新點重複此程式。 掃描成功之後,用戶端會繼續連線到新的軟體更新點。

下列清單提供軟體更新點重試和切換案例的其他考慮資訊:

  • 如果客戶端與內部網路中斷連線,且無法掃描軟體更新,則不會切換至另一個軟體更新點。 這是預期的失敗,因為客戶端無法連線到內部網路或允許來自內部網路連線的軟體更新點。 Configuration Manager 用戶端會決定內部網路軟體更新點的可用性。

  • 如果您要管理因特網上的用戶端,並已設定多個軟體更新點以接受來自因特網上客戶端的通訊,則切換程式會遵循先前所述的標準重試程式。

  • 如果掃描程序啟動,但客戶端在掃描完成之前已關閉,則不會被視為掃描失敗,也不會算為四次重試的其中一次。

當 Configuration Manager 收到下列任何 Windows Update 代理程序錯誤碼時,用戶端會重試連線:

2149842970, 2147954429, 2149859352, 2149859362, 2149859338, 2149859344, 2147954430, 2147747475, 2149842974, 2149859342, 2149859372, 2149859341, 2149904388, 2149859371, 2149859367, 2149859366, 2149859364, 2149859363, 2149859361, 2149859360, 2149859359, 2149859358, 2149859357, 2149859356, 2149859354, 2149859353, 2149859350, 2149859349, 2149859340, 2149859339, 2149859332, 2149859333, 2149859334, 2149859337, 2149859336, 2149859335

若要查閱錯誤碼的意義,請將十進位錯誤碼轉換成十六進位,然後在 Windows Update 代理程式 - 錯誤碼 Wiki 等網站上搜尋十六進位值。 例如,十進位錯誤碼2149842970為十六進位 8024001A,這表示WU_E_POLICY_NOT_SET未設定原則值。

手動將用戶端切換至新的軟體更新點

當作用中軟體更新點發生問題時,將 Configuration Manager 用戶端切換至新的軟體更新點。 只有在用戶端從管理點收到多個軟體更新點時,才會發生這項變更。

重要事項

當您切換裝置以使用新的伺服器時,裝置會使用後援來尋找該新伺服器。 用戶端會在下一個軟體更新掃描週期期間切換到新的軟體更新點。

開始這項變更之前,請先檢閱界限群組組態,以確定您的軟體更新點位於正確的界限群組中。 如需詳細資訊,請參閱 軟體更新點

切換至新的軟體更新點會產生額外的網路流量。 流量量取決於您的 WSUS 組態設定,例如同步處理的分類和產品,或共用 WSUS 資料庫的使用。 如果您打算切換多個裝置,請考慮在維護期間進行。 當用戶端使用新的軟體更新點進行掃描時,此時間可減少對您網路的影響。

切換軟體更新點的程式

在裝置集合上啟動這項變更。 觸發之後,用戶端會在下次掃描時尋找另一個軟體更新點。

  1. 在 Configuration Manager 控制台中,移至 [ 資產與相容性 ] 工作區,然後選取 [ 裝置集合] 節點。

  2. 選取目標集合。 在功能區的 [ 常用] 索引卷標上,選取 [集合 ] 群組中的 [ 用戶端通知],然後選取 [ 切換至下一個軟體更新點]

不受信任樹系中的軟體更新點

在月臺建立一或多個軟體更新點,以支援不受信任樹系中的用戶端。 若要在另一個樹系中新增軟體更新點,請先在該樹系中安裝和設定 WSUS 伺服器。 然後啟動精靈,以新增具有軟體更新點站台系統角色的 Configuration Manager 月台伺服器。 在精靈中,設定下列設定以成功連線到不受信任樹系中的 WSUS:

  • 指定可存取不受信任樹系中 WSUS 伺服器的 月臺系統安裝帳戶

  • 指定要連線到 WSUS 伺服器的 WSUS 伺服器連線帳戶

例如,您在樹系 A 中有一個主要月臺, (SUP01 和 SUP02) 兩個軟體更新點。 針對相同的主要月臺,您在樹系 B 中也有兩個軟體更新點 (SUP03 和 SUP04) 。切換到下一個軟體更新點時,用戶端會優先處理來自相同樹系的伺服器。

使用現有的 WSUS 伺服器作為頂層月臺的同步處理來源

一般而言,階層中的最上層月臺會設定為與 Microsoft Update 同步處理軟體更新元數據。 當您的組織安全策略不允許最上層網站存取因特網時,請將最上層月臺的同步處理來源設定為使用現有的 WSUS 伺服器。 此 WSUS 伺服器不在您的 Configuration Manager 階層中。 例如,您在連線到因特網的網路中有 WSUS 伺服器 (DMZ) ,但您的最上層月臺位於沒有因特網存取的內部網路中。 將 DMZ 中的 WSUS 伺服器設定為軟體更新元數據的同步處理來源。 在 DMZ 中設定 WSUS 伺服器,以使用您在 Configuration Manager 中所需的相同準則來同步處理軟體更新。 否則,最上層網站可能不會同步處理您預期的軟體更新。 當您安裝軟體更新點時,請設定 WSUS 伺服器連線帳戶。 此帳戶需要存取 DMZ 中的 WSUS 伺服器。 也請確認防火牆允許適當埠的流量。 如需詳細資訊,請參閱 軟體更新點用於同步處理來源的埠

次要站臺上的軟體更新點

軟體更新點在次要站臺上是選擇性的。 在次要站臺上只安裝一個軟體更新點。 當軟體更新點未安裝在次要月臺時,次要月臺界限內的裝置會在其指派的主要站臺上使用軟體更新點。 當次要站台中的裝置與父主要站臺上的軟體更新點之間的網路頻寬有限時,您通常會在次要站臺上安裝軟體更新點。 當主要月臺的軟體更新點接近容量限制時,您也可以使用此設定。 在次要月臺成功安裝和設定軟體更新點之後,就會更新用戶端的全站台原則,並開始使用新的軟體更新點。

規劃以因特網為基礎的用戶端

當您需要管理從網路漫遊到因特網的裝置時,請開發如何管理這些裝置上軟體更新的計劃。 Configuration Manager 支援此案例的數種技術。 視需要使用一或多個組合,以符合組織的需求。

雲端管理閘道

在 Azure Microsoft 中建立雲端管理閘道,並啟用至少一個內部部署軟體更新點,以允許來自因特網型用戶端的流量。 當用戶端漫遊到因特網時,他們會繼續掃描您的軟體更新點。 所有以因特網為基礎的用戶端一律會從Microsoft更新雲端服務取得內容。

如需詳細資訊,請參閱 雲端管理網關概觀 和設定 界限群組

注意事項

從 2203 版開始,您可以將用戶端設定為偏好掃描雲端管理閘道, (CMG) 軟體更新點, (SUP) 而非內部部署 SUP。 此行為是由界限群組中的 [ 偏好雲端式來源而非內部部署來源 ] 選項所控制。 為了降低這項變更對效能的影響,現有的用戶端不會自動 將其 SUP 切換 至雲端式 SUP。 除非用戶端目前的 SUP 失敗或用戶端以手動方式切換至新的 SUP,否則用戶端會保持指派給其目前的 SUP。

以因特網為基礎的用戶端管理

將軟體更新點放在因特網對向網路中,並讓它允許來自因特網型用戶端的流量。 當用戶端漫遊到因特網時,他們會切換到此軟體更新點進行掃描。 所有以因特網為基礎的用戶端一律會從Microsoft更新雲端服務取得內容。

如需因特網型用戶端管理優缺點的詳細資訊,請參閱 管理因特網上的用戶端

商務用 Windows Update

商務用 Windows Update 可讓您使用最新的品質和功能更新,讓 Windows 10 或更新版本的裝置保持在最新狀態。 這些裝置會直接連線到 Windows Update 雲端服務。 Configuration Manager 可以區分使用 WUfB 和 WSUS 取得軟體更新的 Windows 計算機。

如需詳細資訊,請參閱 與商務用 Windows Update 整合

規劃軟體更新內容

用戶端必須下載軟體更新的內容檔案,才能加以安裝。 Configuration Manager 提供數種技術來支援此內容的管理和傳遞。 或設定軟體更新部署,以允許或要求用戶端直接從 Microsoft Update 雲端服務取得內容。

注意事項

從 2023 年 3 月 28 日開始,內部部署 Windows 11 版本 22H2 裝置會透過整合更新平臺 (UUP) 接收品質更新。 UUP 內部部署與 WSUS 和 Microsoft Configuration Manager 互通。 UUP 品質更新會持續累積,並包含所有已發行的 Windows 品質和安全性修正。 使用整合更新平臺 (UUP) 的內部部署更新管理,每個 Windows 版本和處理器架構每個版本都需要額外的 10 GB 空間。 如需詳細資訊,請參閱 UUP 考慮一 節。

下載併發佈內容

根據預設,Configuration Manager 中的軟體更新管理程式會使用內建的內容管理功能。 這些功能包括集中式、單一實例存放區內容庫,以及發佈點站台系統角色的分散式設計。 當您下載併發佈軟體更新部署套件時,會使用這些功能。

如需詳細資訊,請 參閱下載軟體更新

管理 Windows 10 或更新版本的快速安裝檔案

Configuration Manager 支援針對 Windows 更新使用快速安裝檔案。 快速更新檔案和支持技術,例如「傳遞優化」,可協助減少大型內容檔案下載至用戶端的網路影響。

如需詳細資訊,請參閱 優化 Windows 更新傳遞

用戶端從因特網下載內容

當您將軟體更新部署至用戶端時,請設定部署,讓用戶端從Microsoft更新雲端服務下載內容。 當客戶端無法從另一個內容來源下載內容時,他們仍然可以從因特網下載內容。

部署軟體更新時,您不需要建立部署套件。 當您選取 [ 沒有部署套件 ] 選項時,如果可使用,用戶端仍然可以從本機來源下載內容,但通常會從 Microsoft Update 服務下載。

以因特網為基礎的用戶端一律會從Microsoft更新雲端服務下載內容。 請勿將軟體更新部署套件發佈至啟用內容的雲端管理網關 (CMG) 。

規劃第三方更新

Configuration Manager 與 WSUS 整合,WSUS 原生支援由 Microsoft 發佈的軟體更新。 大部分的客戶都會使用其他也需要更新的第三方應用程式。 有數個選項可考慮讓第三方應用程式保持在最新狀態。

取代要更新的應用程式

使用 Configuration Manager 中應用程式管理功能的取代關聯性來升級或取代現有的應用程式。 當您取代應用程式時,請指定新的部署類型來取代已取代應用程式的部署類型。 同時決定在安裝取代的應用程式之前,是否要升級或卸載已取代的應用程式。

如需詳細資訊,請參閱 修改和取代應用程式

第三方軟體更新

您可以使用 Configuration Manager 控制台中 的第三方軟體更新類別目錄 節點來訂閱第三方目錄、將其更新發佈至您的軟體更新點,然後將其部署至用戶端。

如需詳細資訊,請參閱 第三方軟體更新

系統中心更新發行者

System Center Updates Publisher (SCUP) 是獨立的工具,可讓獨立軟體發行者或企業營運應用程式開發人員管理自定義更新。 這些更新包括具有相依性的更新,例如驅動程式和更新套件組合。 SCUP 也可用於無法直接在控制台中使用的第三方更新目錄。

如需詳細資訊,請參閱 System Center Updates Publisher

規劃軟體更新點安裝

本節包含下列子主題:

本節提供成功規劃和準備軟體更新點安裝所採取之步驟的相關信息。 在 Configuration Manager 中建立軟體更新點的站台系統角色之前,有幾個需求需要考慮。 特定需求取決於您的 Configuration Manager 基礎結構。 當您設定軟體更新點以使用 HTTPS 進行通訊時,本節特別需要檢閱。 啟用 HTTPS 的伺服器需要額外的步驟才能正常運作。

軟體更新點的需求

在符合 WSUS 最低需求的站台系統上安裝軟體更新點角色,以及 Configuration Manager 月台系統支持的設定。

規劃 WSUS 安裝

在您為軟體更新點角色設定的所有站台系統伺服器上安裝支援的 WSUS 版本。 當您未在月臺伺服器上安裝軟體更新點時,請在月臺伺服器上安裝 WSUS 管理主控台。 此元件可讓月臺伺服器與軟體更新點上執行的 WSUS 通訊。

當您在 Windows Server 2012 或更新版本上使用 WSUS 時,請設定其他許可權,以允許 Configuration Manager 中的 WSUS Configuration Manager 元件連線到 WSUS。 此元件會執行定期的健康情況檢查。 選擇下列其中一個選項來設定必要的權限:

  • SYSTEM 帳戶新增至 WSUS 系統管理員 群組

  • NT AUTHORITY\SYSTEM 帳戶新增為 WSUS 資料庫 (SUSDB) 的使用者。 設定最低的 webService 資料庫角色成員資格。

如需如何在 Windows Server 上安裝 WSUS 的詳細資訊,請參閱 安裝 WSUS 伺服器角色

當您在主要月臺安裝多個軟體更新點時,請針對相同 Active Directory 樹系中的每個軟體更新點使用相同的 WSUS 資料庫。 共用相同的資料庫可改善用戶端切換至新軟體更新點時的效能。 如需詳細資訊,請 參閱針對軟體更新點使用共用 WSUS 資料庫

設定 WSUS 內容目錄路徑

當您安裝 WSUS 時,您必須提供內容目錄路徑。 WSUS 內容目錄主要用於儲存用戶端在掃描期間所需的Microsoft軟體授權條款檔案。 Configuration Manager WSUS 內容目錄不應與 Configuration Manager 軟體部署套件的內容來源目錄重疊。 重疊 WSUS 內容目錄和 Configuration Manager 套件來源會導致從 WSUS 內容目錄中移除不正確的檔案。

設定 WSUS 以使用自訂網站

當您安裝 WSUS 時,可以選擇使用現有的 IIS 預設網站,或建立自訂 WSUS 網站。 建立 WSUS 的自定義網站,讓 IIS 在專用虛擬網站中裝載 WSUS 服務。 否則,它會共用其他 Configuration Manager 月台系統或應用程式所使用的相同網站。 當您在月臺伺服器上安裝軟體更新點角色時,特別需要此設定。 當您在 Windows Server 2012 或更新版本中執行 WSUS 時,預設會將 WSUS 設定為針對 HTTP 使用埠 8530,針對 HTTPS 設定為埠 8531。 當您在月臺建立軟體更新點時,請指定這些埠。

將 WSUS 設定為複本伺服器

當您在主要站台伺服器上新增軟體更新點角色時,您無法使用設定為複本的 WSUS 伺服器。 當 WSUS 伺服器設定為複本時,Configuration Manager 無法設定 WSUS 伺服器,且 WSUS 同步處理失敗。 您在主要站臺安裝的第一個軟體更新點是預設軟體更新點。 站臺上的其他軟體更新點會設定為預設軟體更新點的複本。

決定是否要設定 WSUS 以使用 SSL

強烈建議使用 SSL 通訊協議來協助保護軟體更新點。 WSUS 會使用 SSL 向 WSUS 伺服器驗證用戶端電腦和下游 WSUS 伺服器。 WSUS 也會使用 SSL 來加密軟體更新元數據。 當您選擇使用 SSL 保護 WSUS 時,請先準備 WSUS 伺服器,再安裝軟體更新點。

當您安裝並設定軟體更新點時,請選取 [ 啟用 WSUS 伺服器的 SSL 通訊] 選項。 否則,Configuration Manager 會設定 WSUS 不要使用 SSL。 當您在軟體更新點上啟用 SSL 時,也請將子站臺上的任何軟體更新點設定為使用 SSL。 如需詳細資訊, 請參閱設定軟體更新點以搭配 PKI 憑證使用 TLS/SSL 教學課程

注意事項

為了確保已備妥最佳的安全性通訊協定,強烈建議您使用 TLS/SSL 通訊協議來協助保護軟體更新基礎結構。 從 2020 年 9 月的累積更新開始,根據預設,HTTP 型 WSUS 伺服器將會受到保護。 預設不會再允許用戶端針對 HTTP 型 WSUS 掃描更新以利用使用者 Proxy。 如果您在安全性取捨的情況下仍然需要使用者 Proxy,則可以使用新的 軟體更新用戶端設定 來允許這些連線。 如需掃描 WSUS 變更的詳細資訊,請參閱 2020 年 9 月變更,以改善 Windows 裝置掃描 WSUS 的安全性。

設定防火牆

Configuration Manager 管理中心網站上的軟體更新點會與軟體更新點上的 WSUS 通訊。 WSUS 會與同步處理來源通訊,以同步處理軟體更新元數據。 子站臺上的軟體更新點會與父站臺上的軟體更新點通訊。 當主要月臺有多個軟體更新點時,其他軟體更新點會與默認軟體更新點通訊。 預設角色是站臺上安裝的第一個軟體更新點。

您可能需要設定防火牆,以允許 WSUS 在下列案例中使用的 HTTP 或 HTTPS 流量:

  • 在軟體更新點與因特網之間
  • 在軟體更新點與其上游同步處理來源之間
  • 在其他軟體更新點之間

與 Microsoft Update 的連線一律設定為使用 HTTP 的埠 80 和 HTTPS 的埠 443。 使用自定義埠,從子月台軟體更新點上的 WSUS 連線到父月台軟體更新點上的 WSUS。 當您的安全策略不允許連線時,請使用導出和匯入同步處理方法。 For more information, see the Synchronization source section in this article. 如需 WSUS 所使用埠的詳細資訊,請參閱 How to determine the port settings by WSUS in Configuration Manager

限制對特定網域的存取

如果您的組織使用防火牆或 Proxy 裝置來限制與因特網的網路通訊,您必須允許作用中的軟體更新點存取因特網端點。 然後 WSUS 和自動更新可以與Microsoft更新雲端服務通訊。

如需詳細資訊,請參閱 因特網存取需求

規劃同步處理設定

本節包含下列子主題:

Configuration Manager 中的軟體更新同步處理會根據您設定的準則下載軟體更新元數據。 階層中的頂層月臺會同步處理來自 Microsoft Update 的軟體更新。 您可以選擇將頂層站臺上的軟體更新點設定為與現有的 WSUS 伺服器同步,而不是在 Configuration Manager 階層中。 子主要月臺會從管理中心網站上的軟體更新點同步處理軟體更新元數據。 安裝和設定軟體更新點之前,請使用本節來規劃同步處理設定。

同步處理來源

軟體更新點的同步處理來源設定會指定軟體更新點擷取軟體更新元數據的位置。 它也會指定同步處理程式是否建立 WSUS 報告事件。

  • 同步處理來源:根據預設,頂層月臺的軟體更新點會設定 Microsoft Update 的同步處理來源。 您可以選擇同步處理頂層月臺與現有的 WSUS 伺服器。 子主要站臺上的軟體更新點會將同步處理來源設定為管理中心網站上的軟體更新點。

    • 您安裝在主要月臺的第一個軟體更新點,也就是默認軟體更新點,會與管理中心網站同步。 主要站臺上的其他軟體更新點會與主要站臺上的預設軟體更新點同步。

    • 當軟體更新點與 Microsoft Update 或上游更新伺服器中斷連線時,請將同步處理來源設定為不要與已設定的同步處理來源同步處理。 請改為將它設定為使用 WSUSUtil 工具的匯出和匯入函式來同步處理軟體更新。 如需詳細資訊,請 參閱從中斷連線的軟體更新點同步處理軟體更新

  • WSUS 報告事件: 用戶端電腦上的 Windows Update 代理程式可以建立 WSUS 報告的事件訊息。 Configuration Manager 不會使用這些事件。 因此,預設會選取 [ 不要建立 WSUS 報告事件] 選項。 未建立這些事件時,客戶端應該連線到 WSUS 伺服器的唯一時間是在軟體更新評估和合規性掃描期間。 如果需要這些事件才能在 Configuration Manager 外部報告,請修改此設定以建立 WSUS 報告事件。

重要事項

如果您要在頂層月臺的多個軟體更新點之間共用 WSUS 資料庫 (SUSDB) ,請確定每個 WSUS 伺服器都符合軟體更新的因特 網存取需求 。 當資料庫共用最上層月臺時,Configuration Manager 可以選取其中任何一部 WSUS 伺服器來與 Microsoft Update 同步。

同步處理排程

僅在 Configuration Manager 階層中頂層站臺上的軟體更新點設定同步處理排程。 當您設定同步處理排程時,軟體更新點會在您指定的日期和時間與同步處理來源同步。 自定義排程可讓您同步處理軟體更新,以針對您的環境進行優化。 請考慮 WSUS 伺服器、站台伺服器和網路的效能需求。 例如,每周 2:00 AM 一次。 或者,使用 Configuration Manager 控制台中 [所有軟體更新] 或 [軟體更新群組] 節點的 [同步處理軟體更新] 動作,在頂層月臺上手動啟動同步處理。

提示

使用適合您環境的時間,排程要執行的軟體更新同步處理。 其中一個常見案例是將同步處理排程設定為在每個月的第二個星期二Microsoft一般軟體更新發行之後,立即執行。 這一天通常稱為 「週二修補程式」。 如果您使用 Configuration Manager 來傳遞 Endpoint Protection 和 Windows Defender 定義和引擎更新,請考慮將同步處理排程設定為每日執行。

成功同步處理軟體更新點之後,它會將同步處理要求傳送至子月臺。 如果您在主要月臺有其他軟體更新點,它會將同步處理要求傳送至每個軟體更新點。 此程式會在階層中的每個站臺上重複。

更新分類

每個軟體更新都會使用更新分類來定義,以協助組織不同類型的更新。 在同步處理程序期間,月臺會同步處理指定分類的元數據。

Configuration Manager 支援同步處理下列更新分類:

  • 重大更新:針對特定問題廣泛發行的更新,可解決重大且與安全性無關的錯誤。

  • 定義更新:病毒或其他定義檔案的更新。

  • 功能套件:在產品版本之外散發的新產品功能,通常包含在下一個完整產品版本中。

  • 安全性更新:廣泛發行的更新,適用於產品特定的安全性相關問題。

  • Service Pack:套用至 OS 或應用程式的一組累計 Hotfix。 這些 Hotfix 包括安全性更新、重大更新和軟體更新。

  • 工具:有助於完成一或多個工作的公用程式或功能。

  • 更新匯總:一組累積的 Hotfix,封裝在一起以方便部署。 這些 Hotfix 包括安全性更新、重大更新和軟體更新。 更新匯總通常會解決特定區域,例如安全性或產品元件。

  • 更新:目前已安裝之應用程式或檔案的更新。

  • 升級:新版 Windows 的功能更新。

只在最上層站臺上設定更新分類設定。 不會在子網站上的軟體更新點上設定更新分類設定,因為軟體更新元數據是從最上層月臺復寫。 當您選取更新分類時,請注意您選取的分類越多,同步處理軟體更新元數據所需的時間就越長。

警告

最佳做法是先清除所有分類,再進行第一次同步處理。 初始同步處理之後,選取所需的分類,然後重新執行同步處理。

產品

每個軟體更新的元數據都會定義一或多個適用更新的產品。 產品是操作系統或應用程式的特定版本。 產品的範例是Microsoft Windows 10。 產品系列是衍生個別產品的基底OS或應用程式。 產品系列的範例是Microsoft Windows,其中 Windows 10 和 Windows Server 2016 是成員。 選取產品系列或產品系列內的個別產品。

當軟體更新適用於多個產品,且至少選取其中一個產品進行同步處理時,即使未選取某些產品,所有產品也會出現在 Configuration Manager 控制台中。 例如,您只選取 Windows Server 2012 產品。 如果軟體更新適用於 Windows Server 2012 和 Windows Server 2012 Datacenter Edition,這兩項產品都會在月台資料庫中。

只在最上層網站上設定產品設定。 不會在子月臺的軟體更新點上設定產品設定,因為軟體更新元數據是從最上層網站復寫的。 您選取的產品越多,同步處理軟體更新元數據所需的時間就越長。

重要事項

Configuration Manager 會儲存您第一次安裝軟體更新點時所選擇的產品和產品系列清單。 在您完成同步處理之前,可能無法選取 Configuration Manager 發行后發行的產品和產品系列。 同步處理程式會更新您可以從中選擇的可用產品和產品系列清單。 第一次同步處理軟體更新之前,請先清除所有產品。 初始同步處理之後,選取所需的產品,然後重新執行同步處理。

取代規則

一般而言,取代另一個軟體更新的軟體更新會執行下列一或多個動作:

  • 增強、改善或更新一或多個先前發行的更新所提供的修正程式。

  • 改善已取代更新檔案套件的效率,如果更新已核准安裝,則會安裝在用戶端上。 例如,已取代的更新可能包含不再與修正程式或新更新所支援的操作系統相關的檔案。 這些檔案不會包含在更新的取代檔案套件中。

  • 更新較新版本的產品。 換句話說,它會更新不再適用於舊版或產品設定的版本。 如果為了擴充語言支援而進行修改,更新也可以取代其他更新。 例如,較新的 Microsoft 365 Apps 產品更新修訂可能會移除舊版 OS 的支援,但可能會在初始更新版本中新增新語言的其他支援。

在軟體更新點的屬性中,指定已取代的軟體更新會立即過期。 此設定可防止新部署中包含這些設定。 它也會標示現有的部署,以指出它們包含一或多個過期的軟體更新。 或指定已取代軟體更新過期之前的一段時間。 此動作可讓您繼續部署它們。

請考慮下列您可能需要部署已取代軟體更新的案例:

  • 取代的軟體更新僅支援較新版本的OS。 有些客戶端電腦會執行舊版作業系統。

  • 取代的軟體更新比它取代的軟體更新更具限制的適用性。 此行為會讓某些客戶端不適當。

  • 如果已取代的軟體更新未核准在生產環境中部署。

Configuration Manager 可以根據您選擇 的排程,自動讓已取代的更新過期 。 您可以另外指定 功能更新非功能更新的取代規則行為。 默認設定是等候 3 個月,再過期已取代的更新。 3 個月的預設值是讓您有時間確認任何用戶端電腦不再需要更新。 建議您不要假設已取代的更新應該立即過期,而改用新的取代更新。 您可以在軟體更新屬性的 [取代 資訊 ] 索引標籤上,顯示取代軟體更新的軟體更新清單。

語言

軟體更新點的語言設定可讓您進行下列設定:

  • 軟體更新) (軟體更新元數據的摘要詳細數據同步處理的語言
  • 針對軟體更新下載的軟體更新檔案語言

軟體更新檔案

在軟體更新點的屬性中設定 軟體更新檔案 設定的語言。 此設定提供當您在月臺下載軟體更新時可用的預設語言。 修改每次下載或部署軟體更新時預設選取的語言。 在下載程序期間,如果軟體更新檔案以選取的語言提供,則會將所設定語言的軟體更新檔案下載到部署套件來源位置。 接下來,它們會複製到月臺伺服器上的內容庫。 然後,它們會散發到為套件設定的發佈點。

使用您環境中最常使用的語言來設定軟體更新文件語言設定。 例如,您網站中的用戶端大多使用英文和日文來處理 Windows 或應用程式。 站臺上使用一些其他語言。 當您下載或部署軟體更新時,請在 [ 軟體更新檔案] 資料行中只選取英文和日文。 此動作可讓您在部署和下載精靈的 [ 語言選 取] 頁面上使用預設設定。 此動作也會防止下載不需要的更新檔案。 在 Configuration Manager 階層中的每個軟體更新點設定此設定。

摘要詳細資料

在同步處理程式期間,會針對您指定的語言,更新軟體更新) (軟體更新元數據的摘要詳細數據資訊。 元數據提供軟體更新的相關信息,例如:

  • 名稱
  • 描述
  • 更新支援的產品
  • 更新分類
  • 文章標識碼
  • 下載 URL
  • 適用性規則

僅在最上層網站上設定摘要詳細數據設定。 未在子網站上的軟體更新點上設定摘要詳細數據,因為軟體更新元數據是使用檔案型復寫從管理中心網站複寫。 當您選取摘要詳細數據語言時,請只選取您環境中所需的語言。 您選取的語言越多,同步處理軟體更新元數據所需的時間就越長。 Configuration Manager 會在 Configuration Manager 控制台執行所在的 OS 地區設定中顯示軟體更新元數據。 如果此 OS 的地區設定中無法使用軟體更新的當地語系化屬性,則軟體更新資訊會以英文顯示。

重要事項

選取您需要的所有摘要詳細數據語言。 當頂層月臺的軟體更新點與同步處理來源同步時,選取的摘要詳細數據語言會決定它所擷取的軟體更新元數據。 如果您在同步處理執行至少一次之後修改摘要詳細數據語言,則只會針對新的或更新的軟體更新,擷取已修改摘要詳細數據語言的軟體更新元數據。 除非同步處理來源上的軟體更新有所變更,否則已同步處理的軟體更新不會以已修改語言的新元數據進行更新。

運行時間上限

您可以指定軟體更新安裝必須完成的時間上限。 您可以指定下列項目的執行時間上限:

  • Windows 功能更新的運行時間上限 (分鐘)

    • 功能更新 - 下列三個分類之一的更新:
      • 升級
      • 更新彙總套件
      • Service Pack
  • Windows 365 更新和非功能更新的運行時間上限 (分鐘)

    • 非功能更新 - 不是功能升級的更新,其產品列為下列其中一項:
      • Windows 11
      • Windows 10 (所有版本)
      • Windows Server 2012 R2
      • Windows Server 2016
      • Windows Server 2019
      • Office 365
  • 這些類別以外的所有其他軟體更新運行時間上限,例如第三方更新 (分鐘) :這些更新的預設運行時間上限會根據第一次同步至環境的更新和 Configuration Manager 版本而有所不同。 使用下列購物車來判斷這些更新的最大運行時間值:

    2203 或更新版本 2103、2107 或 2111 2010
    您可以自訂所有其他軟體更新的運行時間上限。 預設值為 60 分鐘。 60 分鐘 10 分鐘

    重要事項

    • 此設定只會變更 SUP 在 中同步處理之新更新的最大運行時間。 它不會在修改運行時間之前同步處理的現有更新上變更運行時間。 例如,如果 Update 1 第一次同步至 2111 環境,則運行時間上限為 60 分鐘。 然後將環境升級至 2203 版,並將運行時間上限設定為 30 分鐘。 Update 1 會保留 60 分鐘的運行時間。 不過,當新的更新 Update 2同步處理時,會提供新的 30 分鐘運行時間。
    • 如果您需要手動變更更新的運行時間上限,您可以為它設定 軟體更新設定

規劃軟體更新維護期間

新增專用於軟體更新安裝的維護期間。 此動作可讓您設定軟體更新的一般維護期間和不同的維護期間。 當您同時設定一般維護期間和軟體更新維護期間時,用戶端只會在軟體更新維護期間安裝軟體更新。

您可以變更此行為,並允許在一般維護期間安裝軟體更新。 如需此用戶端設定的詳細資訊,請參閱 軟體更新用戶端設定

如需維護期間的詳細資訊,請參閱 如何使用維護時段

安裝軟體更新之後,重新啟動 Windows 10 客戶端的選項

使用 Configuration Manager 部署並安裝需要重新啟動的軟體更新時,用戶端會排程暫止的重新啟動,並顯示重新啟動對話方塊。

當 Configuration Manager 軟體更新有擱置重新啟動時,Windows 電源選項中的 Windows 10 計算機上可以使用 [ 更新] 和 [重新啟動 ] 和 [ 更新與關機 ] 選項。 使用其中一個選項之後,重新啟動對話方塊不會在電腦重新啟動之後顯示。 在某些情況下,操作系統可能會移除擱置中的重新啟動選項。 如果已啟用 Windows 10 中的快速啟動功能,就會發生這種情況。 如需詳細資訊,請參閱 Windows 10 中的快速啟動可能未安裝更新

在服務堆疊更新之後評估軟體更新

從 2002 版開始,Configuration Manager 會偵測服務堆疊更新 (SSU) 是否為多個更新安裝的一部分。 偵測到 SSU 時,會先安裝它。 安裝 SSU 之後,會執行軟體更新評估週期來安裝其餘更新。 這項變更允許在服務堆疊更新之後安裝相依累積更新。 裝置不需要在安裝之間重新啟動,而且您不需要建立額外的維護期間。 SSU 只會先針對非使用者起始的安裝進行安裝。 例如,如果使用者從軟體中心起始多個更新的安裝,則可能不會先安裝 SSU。 使用 Configuration Manager 2002 版時,Windows Server 操作系統無法先安裝 SSU。 此功能已在適用於 Windows Server 作業系統的 Configuration Manager 2006 版中新增。

如果您在相同的期限中有 Office 或第三方更新等非 Windows 更新,而且它們需要在安裝後重新啟動,則累積更新可能不會在 SSU 之後立即安裝,因為計算機需要重新啟動,才能再次執行完整掃描。 若 此部署中有任何更新需要系統重新啟動,請在部署設定中選取 [重新啟動後執行更新部署評估週期 ] 複選框,即可達成此目的。

後續步驟

規劃軟體更新之後,請參閱 準備軟體更新管理

如需管理 Windows 即服務的詳細資訊,請參閱 Configuration Manager 即服務的基本概念和 Windows 即服務