准备部署 Windows
在规划阶段完成活动后,你应该能够做好部署 Windows 客户端的环境和流程的准备。 规划阶段提供了以下有用项:
现在,你已准备好开始在环境中进行实际更改,以便准备好进行部署。
准备基础结构和环境
- 为Configuration Manager部署站点服务器更新。
- 更新非 Microsoft 安全工具,例如安全代理或服务器。
- 更新非 Microsoft 管理工具,例如数据丢失防护代理。
基础结构可能包含许多不同的组件和工具。 你需要确保你的环境不受问题的影响,因为你对基础结构的各个部分进行了更改。 请按照下列步骤进行操作:
查看在计划中标识的所有基础结构更改。 请务必了解需要进行的更改,并详细说明如何实现这些更改。 此过程可防止以后出现问题。
验证更改。 验证基础结构组件和工具的更改,以帮助了解更改如何影响生产环境。
实现更改。 验证更改后,可以在更广泛的基础结构中实施更改。
还应查看组织环境的配置,并概述如何实现之前在计划阶段确定的任何必要更改以支持更新。 请考虑需要针对当前支持环境的各种设置和策略执行的操作。 例如:
实施新的安全指南草案。 新版本的 Windows 可以包含可提高环境安全性的新功能。 安全团队需要对与安全相关的配置进行适当的更改。
更新安全基线。 安全团队了解相关的安全基线,并且必须努力确保所有基线都符合他们必须遵守的任何指南。
但是,配置将包含许多不同的设置和策略。 仅在必要时应用更改以及获得明显改进的地方,这一点很重要。 否则,你的环境可能会遇到减缓更新过程的问题。 你希望确保环境不会因所做的更改而受到不利影响。 例如:
查看新的安全设置。 安全团队查看新的安全设置,了解如何最好地设置这些设置以方便更新,并调查它们可能对你的环境产生的潜在影响。
查看安全基线中的更改。 安全团队还会审查所有必要的安全基线,以确保可以实施更改,并确保环境保持合规。
实现并验证安全设置和基线更改。 然后,安全团队将实施所有安全设置和基线,并解决任何潜在的未决问题。
准备应用程序和设备
你之前已决定要在即将到来的试点部署阶段使用哪些验证方法来验证应用。 现在是确保单个设备准备就绪并能够毫无困难地安装下一个更新的好时机。
确保更新可用
在设备上启用更新服务。 确保每台设备都运行Windows 更新所依赖的所有服务。 有时,用户甚至恶意软件可以禁用Windows 更新正常运行所需的服务。 请确保以下服务正在运行:
- 后台智能传输服务
- 后台任务基础结构服务
- 如果将此功能用于更新部署) , (BranchCache
- 如果使用Configuration Manager部署更新) ,ConfigMgr任务序列代理 (
- 加密服务
- DCOM 服务器进程启动器
- 设备安装
- 传递优化
- 设备设置管理器
- 许可证管理器
- Microsoft 帐户登录助手
- Microsoft 软件卷影复制提供程序
- 远程过程调用 (RPC)
- 远程过程调用 (RPC) 定位符
- RPC 终结点映射器
- 服务控制管理器
- 任务计划程序
- 令牌代理
- 更新 Orchestrator 服务
- 卷影复制服务
- Windows 自动更新服务
- Windows 备份
- Windows Defender 防火墙
- Windows Management Instrumentation
- Windows 管理服务
- Windows 模块安装程序
- Windows 推送通知
- Windows 安全中心服务
- Windows 时间服务
- Windows 更新
- Windows 更新医疗服务
可以使用 Services.msc、PowerShell 脚本或其他方法手动检查这些服务。
网络配置
确保设备可以通过防火墙访问必要的 Windows 更新终结点。 例如,对于 Windows 10 版本 2004,以下协议必须能够访问各自这些终结点:
| 协议 | 终结点 URL |
|---|---|
| TLS 1.2 | *.prod.do.dsp.mp.microsoft.com |
| HTTP | emdl.ws.microsoft.com |
| HTTP | *.dl.delivery.mp.microsoft.com |
| HTTP | *.windowsupdate.com |
| HTTPS | *.delivery.mp.microsoft.com |
| TLS 1.2 | *.update.microsoft.com |
| TLS 1.2 | tsfe.trafficshaping.dsp.mp.microsoft.com |
注意
请务必不要对指定 HTTP 的终结点使用 HTTPS,反之亦然。 连接将失败。
特定终结点可能因 Windows 版本而异。 例如,可以参阅 Windows 10 2004 企业版连接终结点。 旁边的目录提供了有关其他 Windows 客户端版本的类似文章。
优化下载带宽
为对等网络共享或 Microsoft 连接缓存设置 传递优化 。
解决运行不正常的设备
在调查设备总体的过程中,你可能会发现存在系统问题的设备,这些问题可能会干扰更新安装。 现在是解决这些问题的时候了。
磁盘空间不足: 质量更新至少需要 2 GB 才能成功安装。 功能更新需要 8 GB 到 15 GB,具体取决于配置。 在 Windows 10 版本 1903 及更高版本 (和Windows 11) 上,可以主动使用“保留存储”功能 (来擦除和加载、重新生成和新建) 以避免磁盘空间耗尽。 如果发现一组磁盘空间不足的设备,通常可以通过清理日志文件并在必要时要求用户清理数据来解决此问题。 一个很好的开始是删除以下文件:
- C:\Windows\temp
- C:\Windows\cbstemp (,但可能需要此文件来调查更新失败)
- C:\Windows\WindowsUpdate.log (,但此文件对于调查更新失败)
- C:\Windows.Old (这些文件应在 10 天后自动清理,或者可能会在磁盘空间受限时请求设备用户提供尽快清理的权限)
还可以创建并运行脚本,以在具有管理权限的设备上执行其他清理操作,或使用组策略设置。
通过运行 C:\Windows\sytem32\wsreset.exe 清理 Windows 应用商店缓存。
使用 Dism.exe /online /Cleanup-Image /StartComponentCleanup 优化客户端计算机上的 WinSxS 文件夹。
通过运行 Compact.exe /CompactOS:always 来压缩操作系统。
删除用户不需要的 Windows 按需功能。 有关详细信息,请参阅 按需功能。
将 Windows 已知文件夹移动到 OneDrive。 有关详细信息,请参阅使用组策略控制OneDrive 同步设置。
清理“软件分发”文件夹。 尝试将以下命令部署为批处理文件,以在设备上运行,以重置 Windows 汇报的下载状态:
net stop wuauserv net stop cryptSvc net stop bits net stop msiserver ren C:\Windows\SoftwareDistribution C:\Windows\SoftwareDistribution.old net start wuauserv net start cryptSvc net start bits net start msiserver应用程序和驱动程序更新: 过期的应用或驱动程序软件可能会阻止设备成功更新。 为解决问题的任何应用程序或驱动程序版本部署供应商 () 的任何更新。
腐败: 在极少数情况下,出现重复安装错误的设备可能会损坏,从而阻止系统应用新的更新。 可能需要从其他源修复 Component-Based Store。 可以使用 系统文件检查器修复问题。
准备功能
在计划阶段,你确定了向环境添加新功能时需要实现的特定基础结构和配置更改。 现在,可以继续实现计划阶段中定义的这些更改。 需要完成以下更高级别的任务才能获得这些新功能:
通过实现更改在整个环境中启用功能。 例如,在 Active Directory 中实现相关 ADMX 模板的更新。 新的 Windows 版本附带了用于更新 ADMX 模板的新策略。
验证新更改,以了解它们如何影响更广泛的环境。
修正通过验证确定的任何潜在问题。
准备用户
用户经常觉得他们被迫随机更新设备。 他们通常不完全了解为什么需要更新,并且不知道何时会提前将更新应用到其设备。 最好确保清楚传达即将发布的更新并发出足够的警告。
可以使用各种措施来实现此目标,例如:
- 发送有关更新以及如何将其部署到整个组织的概述电子邮件。
- 向用户发送有关更新的个性化电子邮件,其中包含特定详细信息。
- 为因业务需求而需要在当前版本上保留更长时间的员工设置选择退出截止时间。
- 提供在用户方便时自愿更新的功能。
- 通知用户必须在所有设备上安装更新的安装日期。
反馈
即将推出:在整个 2024 年,我们将逐步取消以“GitHub 问题”作为内容的反馈机制,并将其替换为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈