Configuration Manager中的软件更新简介

适用于: Configuration Manager(current branch)

Configuration Manager 中的软件更新提供了一组工具和资源,可帮助管理跟踪软件更新并将其应用到企业中的客户端计算机的复杂任务。 有效的软件更新管理过程对于保持运营效率、克服安全问题和维护网络基础结构的稳定性是必需的。 但是,由于技术性质的不断变化和新安全威胁的不断出现,有效的软件更新管理需要一致和持续的关注。

有关演示如何在环境中部署软件更新的示例方案,请参阅 部署安全软件更新的示例方案

软件更新同步

Configuration Manager中的软件更新同步连接到Microsoft更新以检索软件更新元数据。 顶级站点 (管理中心站点或独立主站点) 按计划或从 Configuration Manager 控制台手动启动同步时与 Microsoft Update 同步。 当Configuration Manager在顶级站点上完成软件更新同步时,软件更新同步将从子站点(如果存在)开始。 在每个主站点或辅助站点上完成同步后,将创建站点范围的策略,该策略向客户端计算机提供软件更新点的位置。

注意

默认情况下,在客户端设置中启用软件更新。 但是,如果将 “在客户端上启用软件更新” 客户端设置设置为 “否 ”以在集合或默认设置中禁用软件更新,则软件更新点的位置不会发送到关联的客户端。 有关详细信息,请参阅 软件更新客户端设置

客户端收到策略后,客户端开始扫描软件更新符合性,并将信息写入 Windows Management Instrumentation (WMI) 。 然后,将符合性信息发送到管理点,然后管理点将信息发送到站点服务器。 有关合规性评估的详细信息,请参阅本主题中的 软件更新合规性评估 部分。

可以在主站点上安装多个软件更新点。 安装的第一个软件更新点配置为同步源。 这会从不在 Configuration Manager 层次结构中的 Microsoft Update 或 WSUS 服务器进行同步。 站点上的其他软件更新点使用第一个软件更新点作为同步源。

注意

在顶级站点完成软件更新同步过程时,软件更新元数据将使用数据库复制复制到子站点。 将Configuration Manager控制台连接到子站点时,Configuration Manager显示软件更新元数据。 但是,在站点上安装并配置软件更新点之前,客户端不会扫描软件更新符合性,客户端不会向Configuration Manager报告符合性信息,也无法成功部署软件更新。

顶级站点上的同步

顶级站点上的软件更新同步过程从Microsoft更新符合软件更新点组件属性中指定的条件的软件更新元数据。 只能在顶级站点上配置条件。

注意

可以指定不在Configuration Manager层次结构中的现有 WSUS 服务器,而不是Microsoft 汇报作为同步源。

以下列表介绍了顶级站点上同步过程的基本步骤:

  1. 软件更新同步开始。

  2. WSUS 同步管理器向软件更新点上运行的 WSUS 发送请求,以开始与 Microsoft Update 同步。

  3. 软件更新元数据从 Microsoft 更新同步,任何更改都插入或更新到 WSUS 数据库中。

  4. WSUS 完成同步后,WSUS 同步管理器会将软件更新元数据从 WSUS 数据库同步到 Configuration Manager 数据库,并在站点数据库中插入或更新上次同步后的任何更改。 软件更新元数据作为配置项存储在站点数据库中。

  5. 软件更新配置项通过使用数据库复制发送到子站点。

  6. 同步成功完成后,WSUS 同步管理器会创建状态消息 6702。

  7. WSUS 同步管理器向所有子站点发送同步请求。

  8. WSUS 同步管理器一次向站点上其他软件更新点上运行的 WSUS 发送一个请求。 其他软件更新点上的 WSUS 服务器配置为在站点的默认软件更新点上运行的 WSUS 副本。

子主站点和辅助站点上的同步

在顶级站点上的软件更新同步过程中,软件更新配置项将使用数据库复制复制到子站点。 在进程结束时,顶级站点向子站点发送同步请求,子站点将启动 WSUS 同步。 以下列表提供了子主站点或辅助站点上的同步过程的基本步骤:

  1. WSUS 同步管理器从顶级站点接收同步请求。

  2. 软件更新同步开始。

  3. WSUS 同步管理器向软件更新点上运行的 WSUS 发出启动同步的请求。

  4. 在子站点上的软件更新点上运行的 WSUS 会从父站点上的软件更新点上运行的 WSUS 同步软件更新元数据。

  5. 同步成功完成后,WSUS 同步管理器会创建状态消息 6702。

  6. WSUS 同步管理器从主站点向任何子辅助站点发送同步请求。 辅助站点启动与父主站点的软件更新同步。 辅助站点配置为在父站点上运行的 WSUS 的副本。

  7. WSUS 同步管理器一次向站点上其他软件更新点上运行的 WSUS 发送一个请求。 其他软件更新点上的 WSUS 服务器配置为在站点的默认软件更新点上运行的 WSUS 副本。

软件更新符合性评估

在 Configuration Manager 中将软件更新部署到客户端计算机之前,请开始扫描客户端计算机上的软件更新符合性。 对于每个软件更新,都会创建一条包含更新符合性状态的状态消息。 状态消息会批量发送到管理点,然后发送到站点服务器,其中的符合性状态将插入站点数据库中。 软件更新的符合性状态显示在Configuration Manager控制台中。 可以在需要更新的计算机上部署和安装软件更新。 以下部分提供有关符合性状态的信息,并介绍了扫描软件更新符合性的过程。

软件更新符合性状态

下面列出了并描述了软件更新Configuration Manager控制台中显示的每个符合性状态。

  • 必需

    指定软件更新在客户端计算机上适用且必需。 当软件更新状态为“ 必需”时,以下任何条件都可能为 true:

    • 软件更新未部署到客户端计算机。

    • 软件更新已安装在客户端计算机上。 但是,最新的状态消息尚未插入站点服务器上的数据库。 安装完成后,客户端计算机会重新扫描更新。 在客户端将更新的状态发送到管理点,然后将更新的状态转发到站点服务器之前,可能会有长达两分钟的延迟。

    • 软件更新已安装在客户端计算机上。 但是,软件更新安装需要在完成更新之前重启计算机。

    • 软件更新已部署到客户端计算机,但尚未安装。

  • 不需要

    指定软件更新不适用于客户端计算机。 因此,不需要软件更新。

  • Installed

    指定软件更新适用于客户端计算机,并且客户端计算机已安装软件更新。

  • Unknown

    指定站点服务器未收到来自客户端计算机的状态消息,通常是因为以下原因之一:

    • 客户端计算机未成功扫描软件更新符合性。

    • 扫描在客户端计算机上成功完成。 但是,状态消息尚未在站点服务器上进行处理,可能是因为状态消息积压。

    • 扫描在客户端计算机上成功完成,但尚未从子站点收到状态消息。

    • 扫描在客户端计算机上成功完成,但状态消息文件以某种方式损坏,无法处理。

扫描软件更新符合性过程

安装并同步软件更新点时,将创建站点范围的计算机策略,通知客户端计算机为站点启用了Configuration Manager软件更新。 当客户端收到计算机策略时,将计划在接下来的两小时内随机启动合规性评估扫描。 扫描开始时,软件汇报客户端代理进程会清除扫描历史记录,提交请求以查找应用于扫描的 WSUS 服务器,并使用 WSUS 服务器位置更新本地组策略。

注意

基于 Internet 的客户端必须使用 SSL 连接到 WSUS 服务器。

扫描请求将传递到 Windows 更新 代理 (WUA) 。 然后,WUA 连接到本地策略中列出的 WSUS 服务器位置,检索已在 WSUS 服务器上同步的软件更新元数据,并扫描客户端计算机上的更新。 软件汇报客户端代理进程检测到符合性扫描已完成,并为上次扫描后在符合性状态中更改的每个软件更新创建状态消息。 状态消息每 15 分钟批量发送到管理点。 然后,管理点将状态消息转发到站点服务器,其中状态消息将插入站点服务器数据库。

初始扫描软件更新符合性后,将按照配置的扫描计划启动扫描。 但是,如果客户端在生存时间 (TTL) 值指示的时间范围内扫描了软件更新符合性,则客户端将使用本地存储的软件更新元数据。 当最后一次扫描不在 TTL 之外时,客户端必须连接到在软件更新点上运行的 WSUS,并更新存储在客户端上的软件更新元数据。

包括扫描计划,软件更新符合性扫描可以通过以下方式启动:

  • 软件更新扫描计划:软件更新符合性扫描从在软件汇报客户端代理设置中配置的已配置的扫描计划开始。 有关如何配置软件汇报客户端设置的详细信息,请参阅软件更新客户端设置

  • Configuration Manager属性操作:用户可以在客户端计算机Configuration Manager属性对话框中的“操作”选项卡上启动“软件汇报扫描周期”或“软件汇报部署评估周期”操作。

  • 部署重新评估计划:软件更新符合性的部署评估和扫描从在软件汇报客户端代理设置中配置的部署重新评估计划开始。 有关软件汇报客户端设置的详细信息,请参阅软件更新客户端设置

  • 下载更新文件之前:当客户端计算机收到新的所需部署的分配策略时,软件汇报客户端代理会将软件更新文件下载到本地客户端缓存。 在下载软件更新文件之前,客户端代理会启动扫描以验证软件更新是否仍是必需的。

  • 在软件更新安装之前:在软件更新安装之前,软件汇报客户端代理会开始扫描以验证是否仍需要软件更新。

  • 软件更新安装后:软件更新安装完成后,软件汇报客户端代理将开始扫描以验证是否不再需要软件更新,并创建一条指示已安装软件更新的新状态消息。 安装完成后,但需要重启时,状态消息指示客户端计算机正在等待重启。

  • 系统重启后:当客户端计算机等待系统重启以完成软件更新安装时,软件汇报客户端代理会在重启后启动扫描,以验证软件更新是否不再需要,并创建一条状态消息,指出已安装软件更新。

生存时间值

扫描软件更新符合性所需的软件更新元数据存储在本地客户端计算机上,默认情况下,最多 24 小时相关。 此值称为生存时间 (TTL) 。

扫描软件更新符合性类型

客户端使用联机或脱机扫描以及强制或非强制扫描来扫描软件更新符合性,具体取决于软件更新符合性扫描的启动方式。 下面介绍了启动扫描的联机或脱机方法,以及扫描是强制的还是非强制的。

  • 软件更新扫描计划 (非强制联机扫描)

    按照配置的扫描计划,客户端连接到在软件更新点上运行的 WSUS,以便仅当最后一次扫描不在 TTL 之外时才检索软件更新元数据。

  • 软件汇报扫描周期软件汇报部署评估周期 (强制联机扫描)

    客户端计算机始终连接到在软件更新点上运行的 WSUS,以在客户端计算机扫描软件更新符合性之前检索软件更新元数据。 扫描完成后,将重置 TTL 计数器。 例如,如果 TTL 为 24 小时,则当用户开始扫描软件更新符合性后,TTL 将重置为 24 小时。

  • 部署重新评估计划 (非强制联机扫描)

    按照配置的部署重新评估计划,客户端连接到在软件更新点上运行的 WSUS,以便仅当最后一次扫描不在 TTL 之外时才检索软件更新元数据。

  • 在下载更新文件之前 , (非强制联机扫描)

    在客户端可以下载所需部署中的更新文件之前,客户端将连接到软件更新点上运行的 WSUS,以便仅在上次扫描超出 TTL 时检索软件更新元数据。

  • 在软件更新安装之前 , (非强制联机扫描)

    在客户端在所需部署中安装软件更新之前,客户端将连接到软件更新点上运行的 WSUS,以便仅在上次扫描超出 TTL 时检索软件更新元数据。

  • 安装软件更新后 (强制脱机扫描)

    安装软件更新后,软件汇报客户端代理使用本地元数据启动扫描。 客户端永远不会连接到软件更新点上运行的 WSUS 来检索软件更新元数据。

  • 系统重启后 (强制脱机扫描)

    安装软件更新并重启计算机后,软件汇报客户端代理使用本地元数据启动扫描。 客户端永远不会连接到软件更新点上运行的 WSUS 来检索软件更新元数据。

软件更新部署包

软件更新部署包是用于将软件更新下载到网络共享文件夹的工具,并将软件更新源文件复制到部署中定义的站点服务器和分发点上的内容库。 使用下载汇报向导,可以先下载软件更新,再将其添加到部署包。 此向导允许你在分发点上预配软件更新,并在将软件更新部署到客户端之前验证部署过程的这一部分是否成功。

使用“部署软件汇报向导”部署下载的软件更新时,部署会自动使用包含软件更新的部署包。 部署尚未下载的软件更新时,必须在“部署软件汇报向导”中指定新的或现有的部署包,并在向导完成后下载软件更新。

重要

必须先手动为部署包源文件创建共享网络文件夹,然后才能在向导中指定它。 每个部署包必须使用不同的共享网络文件夹。

重要

SMS 提供程序计算机帐户和实际下载软件更新的管理用户都需要包源的 写入 权限。 限制对包源的访问,以降低攻击者篡改包源中的软件更新源文件的风险。

创建新的部署包时,在下载任何软件更新之前,内容版本设置为 1。 使用包下载软件更新文件时,内容版本将递增为 2。 因此,所有新的部署包都从内容版本 2 开始。 每次部署包中的内容更改时,内容版本都会递增 1。 有关详细信息,请参阅 内容管理的基本概念

客户端通过使用具有可用软件更新的任何分发点在部署中安装软件更新,而不考虑部署包。 即使删除了活动部署的部署包,客户端仍然可以在部署中安装软件更新,前提是每个更新已下载到至少一个其他部署包,并且可从客户端访问的分发点上可用。 删除包含软件更新的最后一个部署包时,客户端计算机无法检索软件更新,直到将更新再次下载到部署包。 当更新文件不在任何部署包中时,软件更新将在 Configuration Manager 控制台中以红色箭头显示。 如果部署包含此条件中的任何更新,则会显示红色双箭头。

软件更新部署工作流

在环境中部署软件更新主要有两种方案:手动部署和自动部署。 通常,手动部署软件更新以创建客户端计算机的基线,然后使用自动部署来管理客户端上的软件更新。 以下部分提供了软件更新手动部署和自动部署工作流的摘要。

手动部署软件更新

手动部署软件更新是在Configuration Manager控制台中选择软件更新并手动启动部署过程的过程。 在创建自动部署规则(用于管理正在进行的每月软件更新部署)和部署带外软件更新要求之前,通常使用此部署方法使客户端计算机具有所需的软件更新的最新状态。 以下列表提供了手动部署软件更新的常规工作流:

  1. 筛选使用特定要求的软件更新。 例如,可以提供检索 50 台以上客户端计算机上所需的所有安全或关键软件更新的条件。

  2. 创建包含软件更新的软件更新组。

  3. 在软件更新组中下载软件更新的内容。

  4. 手动部署软件更新组。

软件更新的自动部署

使用自动部署规则 (ADR) 配置自动软件更新部署。 通常将此部署方法用于每月软件更新 (通常称为星期二补丁) 以及管理定义更新。 规则运行时,软件更新将从软件更新组中删除 (如果使用现有组) ,则满足指定条件的软件更新 (例如,上周发布的所有安全软件更新) 添加到软件更新组,软件更新的内容文件将下载并复制到分发点, 和 软件更新将部署到目标集合中的客户端计算机。 以下列表提供了自动部署软件更新的常规工作流:

  1. 创建指定部署设置的 ADR,如下所示:

    • 目标集合

    • 决定是启用部署还是报告目标集合中客户端计算机的软件更新符合性

    • 软件更新条件

    • 评估和部署计划

    • 用户体验

    • 下载属性

  2. 软件更新将添加到软件更新组。

  3. 软件更新组将部署到目标集合中的客户端计算机(如果已指定)。

    必须确定要在环境中使用的部署策略。 例如,可以创建 ADR 并面向测试客户端的集合。 验证是否已在测试组上安装软件更新后,可以向规则添加新部署,或者将现有部署中的集合更改为包含较大客户端集的目标集合。 由 ADR 创建的软件更新对象是交互式的。

  • 使用 ADR 部署的软件更新会自动部署到添加到目标集合的新客户端。

  • 添加到软件更新组的新软件更新会自动部署到目标集合中的客户端。

  • 可以随时为 ADR 启用或禁用部署。

    创建 ADR 后,可以向规则添加其他部署。 这有助于管理将不同更新部署到不同集合的复杂性。 每个新部署都具有完整的功能和部署监视体验,以及添加的每个新部署:

  • 使用 ADR 首次运行时创建的相同更新组和包

  • 可以指定不同的集合

  • 支持唯一的部署属性,包括:

    • 激活时间

    • 截止时间

    • 显示或隐藏最终用户体验

    • 此部署的单独警报

软件更新部署过程

部署软件更新后,或者当自动部署规则运行并部署软件更新时,部署分配策略将添加到站点的计算机策略中。 软件更新将从下载位置、Internet 或网络共享文件夹下载到包源。 软件更新从包源复制到站点服务器上的内容库,然后复制到分发点上的内容库。

当部署的目标集合中的客户端计算机收到计算机策略时,软件更新客户端代理将启动评估扫描。 客户端代理在部署的“ 软件可用时间 ”设置处将所需软件更新的内容从分发点下载到本地客户端缓存,然后即可安装软件更新。 在用户手动启动安装之前,不会下载可选部署 (没有安装截止时间) 的部署中的软件更新。

当配置的截止时间过后,软件汇报客户端代理将执行扫描以验证是否仍需要软件更新。 然后,它会检查客户端计算机上的本地缓存,以验证软件更新源文件是否仍然可用。 最后,客户端安装软件更新。 如果内容已从客户端缓存中删除,以便为另一个部署腾出空间,则客户端会将软件更新从分发点重新下载到客户端缓存。 无论配置的最大客户端缓存大小如何,软件更新始终下载到客户端缓存。 安装完成后,客户端代理会验证不再需要软件更新,然后向管理点发送状态消息,指示软件更新现在已安装在客户端上。

所需的系统重启

默认情况下,如果客户端计算机上安装了所需部署中的软件更新,并且需要重启系统才能完成安装,则会启动系统重启。 对于在截止时间之前安装的软件更新,系统自动重启将推迟到截止时间,除非由于某种其他原因在截止时间之前重启了计算机。 服务器和工作站可以取消系统重启。 这些设置在“部署软件汇报向导”或“创建自动汇报规则向导”的“用户体验”页中配置。

部署重新评估周期

默认情况下,客户端计算机每 7 天启动一次部署重新评估周期。 在此评估周期中,客户端计算机会扫描以前部署和安装的软件更新。 如果缺少任何软件更新,将从本地缓存重新安装软件更新。 如果软件更新在本地缓存中不再可用,则会从分发点下载并安装。 可以在站点的客户端设置中的“软件汇报”页上配置重新评估计划。

支持使用写入筛选器的 Windows 嵌入式设备

将软件更新部署到启用了写入筛选器的 Windows Embedded 设备时,可以指定是否在部署期间禁用设备上的写入筛选器,然后在部署后重启设备。 如果未禁用写入筛选器,则软件将部署到临时覆盖,并且软件在设备重启时将不再安装,除非其他部署强制保留更改。

注意

将软件更新部署到 Windows Embedded 设备时,请确保设备是具有配置维护时段的集合的成员。 这允许你管理何时禁用和启用写入筛选器,以及设备重启时间。

控制写入筛选器行为的用户体验设置是名为“ 在截止时间或在维护时段内提交更改”的复选框, (需要重启)

有关Configuration Manager如何管理使用写入筛选器的嵌入式设备的详细信息,请参阅规划到 Windows Embedded 设备的客户端部署

在 Configuration Manager 中扩展软件更新

使用 System Center 汇报 Publisher 管理 Microsoft Update 中不可用的软件更新。 将软件更新发布到更新服务器并在 Configuration Manager 中同步软件更新后,可以将软件更新部署到Configuration Manager客户端。 有关 汇报 Publisher 的详细信息,请参阅 汇报 Publisher 2011

后续步骤

规划软件更新