使用 Configuration Manager 管理 Windows 即服务

适用于: Configuration Manager(current branch)

在 Configuration Manager 中,可以将 Windows 的状态视为环境中的服务。 创建维护计划以形成部署圈,并在发布新版本时使 Windows 系统保持最新状态。 还可以在 Windows 客户端即将终止对内部版本的支持时查看警报。

有关 Windows 服务选项的详细信息,请参阅 Windows 即服务概述

先决条件

  • 对于 Configuration Manager 版本 2203 或更高版本,必须安装 WebView2 控制台扩展 。 如果需要,请选择控制台右上角的通知钟以安装扩展。

  • Windows 计算机必须将 Configuration Manager 软件更新与 Windows Server Update Services (WSUS) 配合使用进行软件更新管理。 当计算机使用适用于企业的 Windows 更新或 Windows 预览体验成员时,不会在 Windows 服务计划中对其进行评估。 有关详细信息,请参阅 与适用于企业的 Windows 更新集成

  • 使用支持的 WSUS 版本:

    • WSUS 10.0.14393 (Windows Server 2016) (2023-02 累积更新或更高版本的累积更新)
    • Windows Server 2019) (中的 WSUS 10.0.17763 (角色需要 Configuration Manager 1810 或更高版本) (2023-02 累积更新或更高版本的累积更新)
    • WSUS 10.0.20348 (Windows Server 2022) (2023-02 累积更新或更高版本的累积更新)
  • 启用检测信号发现。 Windows 维护仪表板显示的数据来自发现。 有关详细信息,请参阅 配置检测信号发现

    提示

    以下 Windows 通道和内部版本信息被发现并存储在以下属性中:

    • 操作系统就绪情况分支:指定 Windows 通道。

      • 不要延迟升级 () 0 :半年频道 - 目标
      • 延迟升级 (1) :半年频道
      • LTSB (2) :长期服务通道 (LTSC)
    • 操作系统内部版本:指定操作系统内部版本。 例如, 10.0.18362 对于 Windows 10 版本 1903 或 10.0.19041 Windows 10 版本 2004。

  • 联机持久 连接模式配置服务连接点。 当站点处于脱机模式时,在获取 Configuration Manager 服务更新之前,不会在仪表板中看到数据更新。 有关详细信息,请参阅 关于服务连接点

  • 配置和同步软件更新。 在 Configuration Manager 控制台中提供任何 Windows 功能升级之前,请选择“ 升级” 分类并同步软件更新。 有关详细信息,请参阅 准备软件更新管理

  • 验证以下客户端设置的配置,确保它们适合你的环境:

版本 2103 或更高版本中的 Windows 服务仪表板

(在版本 2103) 中引入

从版本 2103 开始, Windows 服务 仪表板已简化,使其更具相关性。 服务计划和 Windows 10 环信息已从仪表板中删除。 为所选 集合显示以下图表:

功能更新版本:显示 Windows 主要版本的分布情况。 此图表以前称为 Windows 10 使用情况

质量更新版本:此图表显示设备中 Windows 的前五个修订版。

Windows 10 最新功能更新 (2111) 中添加:此图表显示安装了 Windows 10 最新功能更新的设备数。

Windows 11 最新功能更新 (添加到 2111) :此图表显示安装了 Windows 11 最新功能更新的设备数。

最新功能更新 (版本 2103 和 2107) :此图表显示安装了最新功能更新的设备数。

收集错误:此磁贴显示失败并显示指定错误代码的设备数。 有关详细信息,请参阅 分析 SetupDiag 错误

错误时间线:显示所选集合在一段时间内出现每个错误的热门错误和设备数。

Configuration Manager 中 Windows 服务仪表板的屏幕截图。

重要

  • Configuration Manager 版本 2103 和 2107 中的 Windows 服务 仪表板包括具有最新版本 Windows 10 的 Windows 11 设备。 它们不区分 Windows 11 的版本。

  • Windows 服务仪表板中显示的信息是出于方便起见,仅供公司内部使用。 不应仅依赖此信息来确认更新符合性。 请务必验证提供给你的信息的准确性。 有关 Windows 版本的详细信息,请参阅 产品生命周期仪表板

版本 2010 及更低版本中的 Windows 10 维护仪表板

Windows 10 维护仪表板提供有关环境中的 Windows 10 计算机、维护计划和符合性信息的信息。 Windows 10 服务仪表板中的数据依赖于服务连接点。 仪表板具有以下磁贴:

  • Windows 10 使用情况:提供 Windows 10 公共内部版本的细分。 Windows 预览体验成员版本列为 “其他”,以及网站尚不知道的任何内部版本。 服务连接点下载通知其 Windows 版本的元数据,然后将此数据与发现数据进行比较。

  • Windows 10 通道:按通道和就绪状态提供 Windows 10 的细分。 LTSC 段包括所有 LTSC 版本。

  • 创建服务计划:提供创建服务计划的快速方法。 指定名称、集合、部署包和就绪状态。 它仅按大小显示前 10 个集合,首先显示最小的集合,以及最近修改的前 10 个部署包。 它使用其他设置的默认值。 选择 “高级设置” 以启动“创建服务计划”向导,可在其中配置所有服务计划设置。

  • 过期:显示 Windows 10 内部版本上超过其服务结束的设备百分比。 Configuration Manager 确定服务连接点下载的元数据中的百分比,并将其与发现数据进行比较。 服务结束的生成不再接收每月累积更新,其中包括安全更新。 将此类别中的计算机升级到最新版本。 Configuration Manager 向上舍入到下一个整数。 例如,如果你有 10,000 台计算机,并且只有一台在过期的内部版本中,磁贴将显示 1%

  • 即将到期:显示在其服务结束后四个月内的生成中的计算机的百分比。 否则,它类似于 “已过期” 磁贴。

  • 警报:显示任何活动警报。

  • 服务计划监视:显示已创建的维护计划以及每个计划的符合性图表。 此磁贴可快速概述服务计划部署的当前状态。 如果较早的部署圈符合合规性预期,则可以选择以后的服务计划 (部署环) 。 选择“ 立即部署 ”,而不是等待服务计划规则自动触发。

  • 收集错误:从版本 2010 开始,此磁贴显示失败并显示指定错误代码的设备数。 可以将磁贴的范围限定为特定的集合。 有关详细信息,请参阅 分析 SetupDiag 错误

有关 Windows 10 版本的详细信息,请参阅 产品生命周期仪表板

重要

Windows 10 维护仪表板中显示的信息是出于方便起见,仅供公司内部使用。 不应仅依赖此信息来确认更新符合性。 请务必验证提供给你的信息的准确性。

钻取所需更新

可以钻取合规性统计信息,以查看哪些设备需要特定的 Windows 功能更新。 若要查看设备列表,需要有权查看更新和设备所属的集合。

  1. 在 Configuration Manager 控制台中,转到 “软件库 ”工作区,展开“ Windows 服务”,然后选择“ 所有 Windows 功能更新” 节点。

  2. 选择至少一台设备所需的任何更新。

  3. 查看“ 摘要 ”选项卡,在“ 统计信息”下找到饼图。

  4. 若要向下钻取到设备列表,请选择饼图旁边的“ 查看必需 ”。 此操作会将你带到 “设备”下的临时节点。 在这里,可以看到需要更新的设备。 还可以对节点执行操作,例如从列表中创建新集合。

服务计划工作流

Configuration Manager 中的 Windows 服务计划非常类似于软件更新的自动部署规则。 使用 Configuration Manager 评估的以下条件创建服务计划:

  • 升级分类:仅评估 升级 分类中的更新。

  • 就绪状态:服务计划中定义的就绪状态与升级的就绪状态进行比较。 当服务连接点检查更新时,将检索升级的元数据。

  • 时间延迟:为 Microsoft发布新升级后要等待多少天,然后再 在维护服务计划中的环境中部署,指定的天数。 如果当前日期晚于发布日期加上配置的天数,Configuration Manager 将评估是否在部署中包含升级。

    当升级满足条件时,服务计划会将升级添加到部署包,将包分发到分发点,并将升级部署到集合。 它根据你在维护服务计划中配置的设置执行这些操作。 使用 Windows 服务仪表板上的 “服务计划监视 ”磁贴监视部署。 有关详细信息,请参阅 监视软件更新

注意

Windows 10 版本 1903 及更高版本 已添加到Microsoft更新作为其自己的产品,而不是像早期版本一样成为 Windows 10 产品的一部分。 此更改导致你执行许多手动步骤,以确保客户端看到这些更新。 我们帮助减少了在 Configuration Manager 版本 1906 中为新产品执行的手动步骤数。 有关详细信息,请参阅 为 Windows 10 版本配置产品

Windows 维护计划

部署 Windows 时,可以创建一个或多个维护计划。 这些计划定义了环境中所需的部署圈。 然后在 Windows 服务仪表板中监视它们。 服务计划仅使用 升级 软件更新分类,而不使用 Windows 的累积更新。 对于累积更新,请继续使用软件更新工作流。 使用维护计划的最终用户体验与软件更新相同,包括在维护服务计划中配置的设置。

注意

可以使用任务序列为每个 Windows 版本部署升级,但需要执行更多手动操作。 需要将更新的源文件作为 OS 升级包导入,然后创建任务序列并将其部署到相应的计算机集。 但是,任务序列提供了其他自定义选项,例如部署前和部署后操作。

可以从 Windows 维护仪表板创建基本维护计划。 指定名称、集合、部署包和就绪状态后,Configuration Manager 会使用其他设置的默认值创建服务计划。 还可以启动“创建维护服务计划”向导来配置所有设置。

使用“创建维护服务计划”向导创建维护服务计划

  1. 在 Configuration Manager 控制台中,转到 “软件库 ”工作区,展开“ Windows 服务”,然后选择“ 服务计划 ”节点。

  2. 在功能区的“ 开始 ”选项卡上的“ 创建 ”组中,选择“ 创建服务计划”。

  3. 在“创建服务计划向导”的“ 常规 ”页上,配置以下设置:

    • 名称:指定服务计划的名称。 名称必须是唯一的,有助于描述服务计划的目标,并从 Configuration Manager 站点中的其他人中识别它。 名称不能包含以下字符:小于 () < 、大于 (>) 或与 (&) 。

    • 说明:(可选)指定服务计划的说明。 该说明可提供服务计划的概述。 你可能会注意到任何其他相关信息,这些信息有助于在 Configuration Manager 站点中识别和区分计划。 说明字段是可选的,限制为 256 个字符。

  4. 在“ 服务计划 ”页上,指定 “目标集合”。 集合的成员接收服务计划定义的 Windows 升级。

    重要

    部署高风险部署(例如服务计划)时, “选择集合” 窗口仅显示满足部署验证设置的自定义集合。 在站点属性中配置这些设置。

    高风险部署始终仅限于自定义集合、创建的集合和内置的 “未知计算机” 集合。 创建高风险部署时,无法选择内置集合,例如 “所有系统”。 取消选中“ 隐藏成员计数大于网站最小大小配置”的集合 ,以查看包含小于配置的最大大小的客户端的所有自定义集合。 有关详细信息,请参阅 用于管理高风险部署的设置

    部署验证设置基于集合的当前成员身份。 部署服务计划后,不会针对高风险部署设置重新评估集合成员身份。

  5. 在“ 部署圈 ”页上,配置以下设置:

    • 选择以下选项之一以指定此服务计划应应用的 Windows 就绪状态:

      • 半年频道 (定向) :在此服务模型中,功能更新Microsoft发布后立即可用。

      • 半年频道:此服务频道通常用于广泛部署。 半年频道中的 Windows 10 客户端在以后接收与目标频道中的设备相同的 Windows 10 版本。

        有关服务通道以及最适合的选项的详细信息,请参阅 维护通道

    • 在 Microsoft 发布新升级后要等待多少天才能在环境中部署:如果当前日期晚于发布日期加上为此设置配置的天数,Configuration Manager 将评估是否在部署中包含升级。

  6. 在“ 升级 ”页上,配置搜索条件以筛选升级以添加服务计划。 它仅向关联的部署添加符合指定条件的升级。 以下属性筛选器可用:

    • 体系结构

    • 语言

    • 产品类别

    • 必需

      重要

      设置值为 的>=1“必需”字段。 使用此条件可确保只向服务计划添加适用的更新。

    • 已取代

    • 标题

    若要查看符合指定条件的升级,请选择“ 预览”。

  7. 在“ 部署计划 ”页上,配置以下设置:

    • 计划评估:指定 Configuration Manager 评估可用时间和安装截止时间的方式。 它可以使用 UTC 或运行 Configuration Manager 控制台的计算机的本地时间。

      注意

      选择本地时间时,它将使用运行 Configuration Manager 控制台的计算机上的当前时间。 如果随后为“软件可用时间”或“安装截止时间”选择“尽快”,它将使用当前本地时间来评估升级何时可用或客户端何时安装升级。 如果客户端位于不同的时区,则当客户端的时间达到评估时间时,将发生这些操作。

    • 软件可用时间:选择以下设置之一以指定客户端何时可以升级:

      • 尽快:立即向客户端提供升级。 使用此设置创建部署时,Configuration Manager 会更新客户端策略。 在下一个客户端策略轮询周期中,客户端会注意到部署,并可以安装升级。 此设置是默认设置,在可用时间最常见。

      • 特定时间:使升级在服务计划创建部署后的特定时间段可供客户端使用。 使用此设置创建部署时,Configuration Manager 会更新客户端策略。 在下一个客户端策略轮询周期中,客户端会意识到部署。 在此指定的日期和时间之后,升级才可安装。 如果要在客户端看到部署前几天创建部署,请使用此设置。

    • 安装截止时间:选择以下设置之一以指定何时要求客户端安装升级:

      • 尽快:立即自动安装升级。 客户端获取此部署后,立即开始升级。

      • 特定时间:在维护服务计划创建部署后的特定时间段自动安装升级。 Configuration Manager 通过将配置 的特定时间间隔 添加到 软件可用时间来确定安装升级的截止时间。 此设置是默认设置,在安装截止时间中最常见。 默认情况下为 7 天。 换句话说,默认情况下,客户端在下一次策略刷新时接收升级部署,并在需要之前有一周的时间。

        注意

        实际安装截止时间是显示的截止时间间隔加上随机时间,最长为 2 小时。 这种随机化可减少集合中同时安装升级的所有客户端的潜在影响。

      • 根据用户首选项延迟此部署的强制实施,最长为客户端上定义的宽限期:选择此选项可遵循 在部署截止时间 (小时后强制实施的宽限期,) 客户端设置

  8. “用户体验 ”页上,配置以下设置:

    • 用户通知:指定是否在可用时间在客户端上的软件中心显示升级通知。 默认情况下,它设置为 “在软件中心和所有通知中隐藏”。

    • 截止时间行为:指定截止时间之后和任何维护时段之外的行为。 默认情况下,不会安装升级,并且系统不会在窗口外重启。 有关维护时段的详细信息,请参阅 如何使用维护时段

    • 设备重启行为:指定在 Windows 安装升级后是否禁止重启。 默认情况下,设备在升级后重启。

    • Windows Embedded 设备的写入筛选器处理:将升级部署到使用写入筛选器的 Windows Embedded 设备时,请配置何时以及如何提交更改。 将升级部署到 Windows Embedded 设备时,请确保设备是具有已配置维护时段的集合的成员。

    • 重启时的软件更新部署重新评估行为:若要在重启后强制另一个更新部署评估周期,请选择选项: 如果此部署中的任何更新需要系统重启,请在重启后运行更新部署评估周期

  9. 在“ 部署包 ”页上,首先选择以下选项之一:

    • 选择部署包:选择“ 浏览 ”,为此升级内容选择现有部署包。

    • 无部署包:客户端从对等方或Microsoft云下载内容。

    • 创建新的部署包 并配置以下附加设置:

      1. 名称:指定部署包的名称。 此名称必须唯一,并描述包内容。 限制为 50 个字符。

      2. 说明:(可选)指定提供有关部署包的其他信息的说明。 说明限制为 127 个字符。

      3. 包源:指定源文件的位置。 键入源位置的网络路径。 例如:\\server\sharename\path。 还可以选择“ 浏览 ”以查找网络位置。

        • 在继续执行向导的下一页之前,请为部署包源文件创建共享文件夹。

        • 指定的位置不能由其他软件部署包使用。

        • SMS 提供程序计算机帐户和运行向导以下载软件更新的用户都必须对下载位置具有 写入 NTFS 权限。 若要降低攻击者篡改源文件的风险,请限制对下载位置的访问。

        • Configuration Manager 创建部署包后,可以在部署包属性中更改包源位置。 在更改它之前,请将内容从原始包源复制到新位置。

      4. 发送优先级:指定部署包的发送优先级。 Configuration Manager 在将包发送到分发点时使用发送优先级。 它按优先级顺序发送包:高、中或低。 如果包具有相同的优先级,则站点会按照创建包的顺序发送它们。 如果没有积压工作,包将立即处理。

      5. 启用二进制差异复制。 有关详细信息,请参阅 二进制差异复制

  10. 如果创建了新的部署包,接下来将看到 “分发点 ”页。 指定托管升级内容的分发点或分发点组。 有关分发点的详细信息,请参阅 配置分发点

  11. 如果选择了现有部署包,接下来将看到 “下载位置 ”页。 选择下列选项之一:

    • 从 Internet 下载软件更新:站点服务器从 Internet 下载升级内容。 此设置为默认设置。

    • 从本地网络上的位置下载软件更新:从本地目录或共享文件夹下载升级内容。 当运行向导的计算机无法访问 Internet 时,此设置非常有用。 任何可访问 Internet 的计算机都可以初步下载升级内容。

  12. 如果选择了现有部署包,还将看到 “语言选择 ”页。 仅当所选语言可用时,网站才会下载升级内容。 默认情况下,向导选择你在软件更新点属性中配置的语言。

  13. “摘要 ”页上,查看设置。 选择“ 下一步 ”以创建维护服务计划并完成向导。

完成向导后,站点将首次运行服务计划。

修改服务计划

从 Windows 维护仪表板创建基本维护计划后,或者需要更改现有维护计划的设置后,请转到维护服务计划的属性。

注意

可以在向导中不可用的服务计划的属性中配置设置。 向导对以下方面使用默认设置:下载设置、部署设置和警报。

  1. 在 Configuration Manager 控制台中,转到 “软件库 ”工作区,展开“ Windows 服务”,然后选择“ 维护计划 ”节点。 然后选择要修改的服务计划。

  2. 在功能区的“ 开始 ”选项卡上,选择“ 属性”。

以下设置在向导中未配置的服务计划属性中可用:

部署设置

  • 使用 LAN 唤醒唤醒为所需部署唤醒客户端:在部署截止时间启用 LAN 唤醒。 站点将向计算机发送唤醒数据包进行部署。 默认情况下,此设置未启用。

    警告

    在使用此选项之前,请为 LAN 唤醒配置计算机和网络。

  • 详细信息级别:指定客户端发送到站点的状态消息的详细信息级别。

下载设置

  • 指定客户端在连接到慢速网络或使用回退内容位置时是下载并安装升级。

  • 指定当内容在首选分发点上不可用时,是否让客户端下载并从回退分发点安装升级。

  • 指定是否让客户端从 Microsoft 更新下载内容(如果分发点上不可用)。

    重要

    请勿将此设置用于 Windows 服务更新。 Configuration Manager 无法从 Microsoft 更新下载 Windows 服务更新。

  • 指定在客户端使用按流量计费的 Internet 连接时是否允许在安装截止时间之后下载。

警报

配置 Configuration Manager 和 System Center Operations Manager 如何为此部署生成警报。

可以从“软件库”工作区中的“软件更新”节点查看最近的警报。

分析 SetupDiag 错误

随着 Windows 10 版本 2004 的发布,Windows 安装程序附带 了 SetupDiag 诊断工具。 如果升级出现问题,SetupDiag 会自动运行以确定失败的原因。

从版本 2010 开始,Configuration Manager 通过 Windows 服务收集和汇总功能更新部署中的 SetupDiag 结果。

Configuration Manager 控制台的“软件库”工作区中的 Windows 服务仪表板包含“集合错误”磁贴。 每个条形图显示失败并显示指定错误代码的设备数。 有关详细信息,请参阅 Windows 升级错误代码

Windows 服务仪表板中的“收集错误”磁贴。

每个条形图显示失败并显示指定错误代码的设备数。 有关详细信息,请参阅 Windows 升级错误代码

后续步骤

有关详细信息,请参阅 Configuration Manager 即服务和 Windows 即服务的基础知识