Configuration Manager中软件更新的最佳做法

适用于: Configuration Manager(current branch)

本文介绍了 Configuration Manager 中的软件更新的最佳做法。 该信息将分为初始安装和持续操作的最佳做法。

安装最佳做法

在 Configuration Manager 中安装软件更新时，请使用以下最佳做法。

将共享 WSUS 数据库用于软件更新点

在主站点上安装多个软件更新点时，请对同一 Active Directory 林中的每个软件更新点使用相同的 WSUS 数据库。 如果共享同一个数据库，它会显著缓解客户端和网络性能影响，但不会完全消除客户端切换到新的软件更新点时可能会遇到的客户端和网络性能影响。 当客户端切换到与旧软件更新点共享数据库的新软件更新点时，仍会发生增量扫描，但扫描比 WSUS 服务器有自己的数据库时要小得多。 有关软件更新点切换的详细信息，请参阅 软件更新点切换。

重要

使用共享的 WSUS 数据库获取软件更新点时，还要共享本地 WSUS 内容文件夹。

有关共享 WSUS 数据库的详细信息，请参阅以下博客文章：

• 如何为Configuration Manager软件更新点实现共享 SUSDB

• 使用 Configuration Manager 时共享内容数据库的多个 WSUS 实例的注意事项。

当Configuration Manager和 WSUS 使用相同的SQL Server时，将一个配置为使用命名实例，另一个配置为使用默认实例

当Configuration Manager和 WSUS 数据库共享同一个 SQL Server 实例时，你无法轻松确定两个应用程序之间的资源使用情况。 对 Configuration Manager 和 WSUS 使用不同的SQL Server实例。 通过此配置，可以更轻松地排查和诊断每个应用程序可能发生的资源使用问题。

指定“在本地存储更新”设置

安装 WSUS 时，选择“ 在本地存储更新”设置。 此设置会导致 WSUS 下载与软件更新关联的许可条款。 它会在同步过程中下载术语，并将其存储在 WSUS 服务器的本地硬盘驱动器上。 如果未选择此设置，客户端计算机可能无法对具有许可条款的软件更新进行符合性扫描。 软件更新点的 WSUS 同步管理器 组件默认每 60 分钟验证一次是否启用此设置。

配置软件更新点以使用 TLS/SSL

将Windows Server Update Services (WSUS) 服务器及其相应的软件更新点配置为使用 TLS/SSL 可能会降低潜在攻击者远程入侵客户端和提升特权的能力。 为确保最佳安全协议到位，强烈建议使用 TLS/SSL 协议来帮助保护软件更新基础结构。 有关详细信息，请参阅 配置软件更新点以将 TLS/SSL 与 PKI 证书配合使用教程。

操作最佳做法

使用软件更新时，请遵循以下最佳做法：

在单个软件更新部署中将软件更新限制为 1000 个

在每个软件更新部署中，将软件更新的数量限制为 1000 个。 创建自动部署规则时，请验证指定的条件是否不会导致超过 1000 个软件更新。 如果手动部署软件更新，请不要选择超过 1000 个更新。

每次为“星期二补丁日”和常规部署运行 ADR 时，都创建新的软件更新组

部署中的软件更新限制为 1000 个。 (ADR) 创建自动部署规则时，可以指定每次运行该规则时是使用现有更新组还是创建新的更新组。 如果在 ADR 中指定了导致多个软件更新的条件，并且规则按定期计划运行，则每次运行规则时都会创建新的软件更新组。 此行为可防止部署超过每个部署 1000 个软件更新的限制。

将现有软件更新组用于 Endpoint Protection 定义更新的 ADR

使用 ADR 频繁部署 Endpoint Protection 定义更新时，始终使用现有软件更新组。 否则，ADR 可能会随着时间的推移创建数百个软件更新组。 定义更新发布者通常将定义更新设置为在被四个更新取代时过期。 因此，ADR 创建的软件更新组永远不会包含发布者的四个以上的定义更新：一个处于活动状态，三个被取代。

另请参阅

规划软件更新