Configuration Manager中的軟體更新簡介
適用於:Configuration Manager (目前的分支)
Configuration Manager中的軟體更新提供一組工具和資源,可協助管理追蹤軟體更新以及將軟體更新套用至企業中用戶端電腦的複雜工作。 需要有效的軟體更新管理程式,才能維持作業效率、克服安全性問題,以及維護網路基礎結構的穩定性。 不過,由於技術性質的改變,以及新安全性威脅的持續外觀,有效的軟體更新管理需要一致且持續注意。
如需示範如何在環境中部署軟體更新的範例案例,請參閱 部署安全性軟體更新的範例案例。
軟體更新同步處理
Configuration Manager中的軟體更新同步處理會連線到 Microsoft Update 以擷取軟體更新中繼資料。 最上層月臺 (管理中心網站或獨立主要月臺) 依排程或從 Configuration Manager 主控台手動啟動同步處理時,與 Microsoft Update 進行同步處理。 當Configuration Manager在最上層月臺完成軟體更新同步處理時,軟體更新會在子月臺上啟動,如果有的話。 在每個主要月臺或次要月臺完成同步處理時,會建立全月臺原則,為用戶端電腦提供軟體更新點的位置。
注意事項
預設會在用戶端設定中啟用軟體更新。 不過,如果您將 [ 在用戶端上啟用軟體更新] 用戶端設定設為 [否 ] 以停用集合或預設設定中的軟體更新,則不會將軟體更新點的位置傳送給相關聯的用戶端。 如需詳細資訊,請參閱 軟體更新用戶端設定。
用戶端收到原則之後,用戶端會開始掃描軟體更新合規性,並將資訊寫入 Windows Management Instrumentation (WMI) 。 合規性資訊接著會傳送至管理點,然後將資訊傳送至月臺伺服器。 如需合規性評估的詳細資訊,請參閱本主題中的 軟體更新合規性評估 一節。
您可以在主要月臺安裝多個軟體更新點。 您安裝的第一個軟體更新點會設定為同步處理來源。 這會從Microsoft更新或不在您Configuration Manager階層中的 WSUS 伺服器進行同步處理。 月臺上的其他軟體更新點會使用第一個軟體更新點作為同步處理來源。
注意事項
當最上層月臺的軟體更新同步處理常式完成時,軟體更新中繼資料會使用資料庫複寫複寫複寫至子月臺。 當您將Configuration Manager主控台連線到子月臺時,Configuration Manager會顯示軟體更新中繼資料。 不過,在月臺安裝並設定軟體更新點之前,用戶端不會掃描軟體更新合規性、用戶端不會向Configuration Manager報告合規性資訊,而且您無法成功部署軟體更新。
最上層月臺上的同步處理
頂層月臺的軟體更新同步處理常式會從擷取Microsoft更新符合您在軟體更新點元件屬性中指定之準則的軟體更新中繼資料。 您只能在最上層月臺設定準則。
注意事項
您可以指定不在Configuration Manager階層中的現有 WSUS 伺服器,而不是Microsoft 更新做為同步處理來源。
下列清單說明最上層月臺上同步處理常式的基本步驟:
軟體更新同步處理隨即開始。
WSUS 同步處理管理員會將要求傳送至軟體更新點上執行的 WSUS,以開始與 Microsoft Update 同步處理。
軟體更新中繼資料會從 Microsoft Update 同步處理,而且任何變更都會插入或更新至 WSUS 資料庫中。
當 WSUS 完成同步處理時,WSUS Synchronization Manager 會將軟體更新中繼資料從 WSUS 資料庫同步至Configuration Manager資料庫,並在月臺資料庫中插入或更新上次同步處理之後的任何變更。 軟體更新中繼資料會以設定專案的方式儲存在月臺資料庫中。
軟體更新設定專案會使用資料庫複寫傳送至子月臺。
當同步處理成功完成時,WSUS 同步處理管理員會建立狀態訊息 6702。
WSUS 同步處理管理員會將同步處理要求傳送至所有子月臺。
WSUS 同步處理管理員會一次將一個要求傳送至月臺上其他軟體更新點上執行的 WSUS。 其他軟體更新點上的 WSUS 伺服器會設定為月臺預設軟體更新點上執行之 WSUS 的複本。
子主要和次要月臺上的同步處理
在頂層月臺的軟體更新同步處理常式期間,軟體更新設定專案會使用資料庫複寫複寫複寫至子月臺。 在程式結束時,最上層月臺會將同步處理要求傳送至子月臺,而子月臺會啟動 WSUS 同步處理。 下列清單提供子主要月臺或次要月臺上同步處理常式的基本步驟:
WSUS 同步處理管理員會收到來自最上層月臺的同步處理要求。
軟體更新同步處理隨即開始。
WSUS 同步處理管理員會向軟體更新點上執行的 WSUS 提出要求,以開始同步處理。
在子月臺上的軟體更新點上執行的 WSUS 會同步處理父月臺上軟體更新點上執行之 WSUS 的軟體更新中繼資料。
當同步處理成功完成時,WSUS 同步處理管理員會建立狀態訊息 6702。
WSUS 同步處理管理員會從主要月臺將同步處理要求傳送至任何子次要月臺。 次要月臺會啟動軟體更新與父主要月臺的同步處理。 次要月臺會設定為在父月臺上執行之 WSUS 的複本。
WSUS 同步處理管理員會一次將一個要求傳送至月臺上其他軟體更新點上執行的 WSUS。 其他軟體更新點上的 WSUS 伺服器會設定為月臺預設軟體更新點上執行之 WSUS 的複本。
軟體更新合規性評估
將軟體更新部署到Configuration Manager中的用戶端電腦之前,請先在用戶端電腦上開始掃描軟體更新合規性。 針對每個軟體更新,系統會建立狀態訊息,其中包含更新的合規性狀態。 狀態訊息會大量傳送至管理點,然後傳送至月臺伺服器,其中的合規性狀態會插入月臺資料庫。 軟體更新的合規性狀態會顯示在 Configuration Manager 主控台中。 您可以在需要更新的電腦上部署和安裝軟體更新。 下列各節提供合規性狀態的相關資訊,並說明掃描軟體更新合規性的程式。
軟體更新合規性狀態
下列列出並描述軟體更新Configuration Manager主控台中顯示的每個合規性狀態。
Required
指定用戶端電腦上適用且需要軟體更新。 當軟體更新狀態為 [必要] 時,下列任一條件都可能成立:
軟體更新未部署至用戶端電腦。
軟體更新已安裝在用戶端電腦上。 不過,最新的狀態訊息尚未插入月臺伺服器上的資料庫。 用戶端電腦會在安裝完成後重新掃描更新。 用戶端將更新的狀態傳送至管理點,然後將更新的狀態轉送至月臺伺服器之前,可能會延遲最多兩分鐘。
軟體更新已安裝在用戶端電腦上。 不過,軟體更新安裝需要在更新完成之前重新開機電腦。
軟體更新已部署至用戶端電腦,但尚未安裝。
非必要
指定軟體更新不適用於用戶端電腦。 因此,不需要軟體更新。
Installed
指定軟體更新適用于用戶端電腦,且用戶端電腦已安裝軟體更新。
Unknown
指定月臺伺服器未收到來自用戶端電腦的狀態訊息,通常是因為下列其中一項:
用戶端電腦未成功掃描軟體更新合規性。
掃描在用戶端電腦上成功完成。 不過,狀態訊息尚未在月臺伺服器上處理,可能是因為狀態訊息待辦專案。
掃描在用戶端電腦上成功完成,但尚未從子月臺接收到狀態訊息。
掃描已在用戶端電腦上成功完成,但狀態訊息檔已在某些方面損毀,無法處理。
掃描軟體更新合規性程式
安裝並同步處理軟體更新點時,會建立全月臺的電腦原則,通知用戶端電腦已啟用Configuration Manager月臺的軟體更新。 當用戶端收到機器原則時,合規性評估掃描會排定在接下來的兩小時內隨機啟動。 當掃描開始時,軟體更新用戶端代理程式程式會清除掃描歷程記錄、提交要求以尋找應用於掃描的 WSUS 伺服器,並使用 WSUS 伺服器位置更新本機群組原則。
注意事項
以網際網路為基礎的用戶端必須使用 SSL 連線到 WSUS 伺服器。
掃描要求會傳遞至Windows Update代理程式 (WUA) 。 WUA 接著會連線到本機原則中所列的 WSUS 伺服器位置、擷取已在 WSUS 伺服器上同步處理的軟體更新中繼資料,並掃描用戶端電腦的更新。 軟體更新用戶端代理程式程式會偵測到合規性掃描已完成,並且會為上次掃描之後在合規性狀態中變更的每個軟體更新建立狀態訊息。 狀態訊息會每隔 15 分鐘大量傳送至管理點。 管理點接著會將狀態訊息轉送至月臺伺服器,其中狀態訊息會插入月臺伺服器資料庫。
初始掃描軟體更新合規性之後,掃描會在設定的掃描排程開始。 不過,如果用戶端已在存留時間 (TTL) 值所指示的時間範圍中掃描軟體更新合規性,用戶端就會使用儲存在本機的軟體更新中繼資料。 當上次掃描在 TTL 之外時,用戶端必須連線到軟體更新點上執行的 WSUS,並更新儲存在用戶端上的軟體更新中繼資料。
包括掃描排程,軟體更新合規性的掃描可以透過下列方式開始:
軟體更新掃描排程:軟體更新合規性的掃描會從軟體更新用戶端代理程式設定中設定的掃描排程開始。 如需如何設定軟體更新用戶端設定的詳細資訊,請參閱軟體更新用戶端設定。
Configuration Manager屬性動作:使用者可以在用戶端電腦上 [Configuration Manager屬性] 對話方塊的 [動作] 索引標籤上,啟動 [軟體更新掃描週期] 或 [軟體更新部署評估週期] 動作。
部署重新評估排程:軟體更新合規性的部署評估和掃描會從設定的部署重新評估排程開始,這是在 [軟體更新用戶端代理程式] 設定中設定。 如需軟體更新用戶端設定的詳細資訊,請參閱軟體更新用戶端設定。
下載更新檔案之前:當用戶端電腦收到新必要部署的指派原則時,軟體更新用戶端代理程式會將軟體更新檔案下載到本機用戶端快取。 下載軟體更新檔案之前,用戶端代理程式會開始掃描,以確認軟體更新仍為必要。
在安裝軟體更新之前:在安裝軟體更新之前,軟體更新用戶端代理程式會啟動掃描,以確認軟體更新仍為必要專案。
軟體更新安裝之後:軟體更新安裝完成之後,軟體更新用戶端代理程式會啟動掃描,以確認不再需要軟體更新,並建立新的狀態訊息,指出已安裝軟體更新。 安裝完成但需要重新開機時,狀態訊息會指出用戶端電腦正在等待重新開機。
系統重新開機之後:當用戶端電腦等待系統重新開機以完成軟體更新安裝時,軟體更新用戶端代理程式會在重新開機之後開始掃描,以確認不再需要軟體更新,並建立狀態訊息,指出已安裝軟體更新。
存留時間值
掃描軟體更新合規性所需的軟體更新中繼資料會儲存在本機用戶端電腦上,而且根據預設,與最多 24 小時有關。 此值稱為存留時間 (TTL) 。
掃描軟體更新合規性類型
用戶端會使用線上或離線掃描以及強制或非強制掃描來掃描軟體更新合規性,視軟體更新合規性掃描的方式而定。 下列描述啟動掃描的方法是線上或離線,以及掃描是強制還是非強制掃描。
軟體更新掃描排程 (非強制線上掃描)
在設定的掃描排程中,用戶端會連線到軟體更新點上執行的 WSUS,以擷取只有上次掃描在 TTL 外部時才擷取軟體更新中繼資料。
軟體更新掃描週期或軟體更新部署評估週期 (強制線上掃描)
用戶端電腦一律會連線到軟體更新點上執行的 WSUS,以在用戶端電腦掃描軟體更新合規性之前擷取軟體更新中繼資料。 掃描完成之後,會重設 TTL 計數器。 例如,如果 TTL 為 24 小時,則在使用者開始掃描軟體更新合規性之後,TTL 會重設為 24 小時。
非強制線上掃描 (部署重新評估排程)
在設定的部署重新評估排程中,用戶端會連線到軟體更新點上執行的 WSUS,以擷取只有上次掃描在 TTL 外部時才擷取軟體更新中繼資料。
下載非強制線上掃描 (更新檔案之前)
用戶端必須先連線到軟體更新點上執行的 WSUS,才能下載必要部署中的更新檔案,以擷取只有上次掃描在 TTL 外部時才擷取軟體更新中繼資料。
在安裝軟體更新之前 (非強制線上掃描)
在用戶端在必要部署中安裝軟體更新之前,用戶端會連線到軟體更新點上執行的 WSUS,以擷取只有上次掃描在 TTL 外部時才擷取軟體更新中繼資料。
在軟體更新安裝 (強制離線掃描之後)
安裝軟體更新之後,軟體更新用戶端代理程式會使用本機中繼資料來啟動掃描。 用戶端永遠不會連線到軟體更新點上執行的 WSUS,以擷取軟體更新中繼資料。
系統重新開機之後 (強制離線掃描)
安裝軟體更新並重新啟動電腦之後,軟體更新用戶端代理程式會使用本機中繼資料來啟動掃描。 用戶端永遠不會連線到軟體更新點上執行的 WSUS,以擷取軟體更新中繼資料。
軟體更新部署套件
軟體更新部署套件是用來將軟體更新下載到網路共用資料夾的車輛,並將軟體更新來源檔案複製到月臺伺服器上的內容庫,以及部署中定義的發佈點上的內容庫。 藉由使用 [下載更新精靈],您可以下載軟體更新,並將其新增至部署套件,然後再進行部署。 此精靈可讓您在發佈點上布建軟體更新,並在將軟體更新部署至用戶端之前,確認部署程式的這個部分是否成功。
當您使用 [部署軟體更新精靈] 部署下載的軟體更新時,部署會自動使用包含軟體更新的部署套件。 部署尚未下載的軟體更新時,您必須在 [部署軟體更新精靈] 中指定新的或現有的部署套件,並在精靈完成時下載軟體更新。
重要事項
您必須手動建立部署套件來源檔案的共用網路資料夾,才能在精靈中指定它。 每個部署套件都必須使用不同的共用網路資料夾。
重要事項
SMS 提供者電腦帳戶和實際下載軟體更新的系統管理使用者都需要套件來源的 寫 入許可權。 限制對套件來源的存取,以降低攻擊者竄改套件來源中的軟體更新來源檔案的風險。
建立新的部署套件時,內容版本會在下載任何軟體更新之前設定為 1。 使用套件下載軟體更新檔案時,內容版本會遞增為 2。 因此,所有新的部署套件都是從內容版本 2 開始。 每當部署套件中的內容變更時,內容版本就會遞增 1。 如需詳細資訊,請參閱 內容管理的基本概念。
無論部署套件為何,用戶端都會使用任何可用軟體更新的發佈點,在部署中安裝軟體更新。 即使已刪除使用中部署的部署套件,只要每個更新都下載到至少一個其他部署套件,而且可以在可從用戶端存取的發佈點上使用,用戶端仍然可以在部署中安裝軟體更新。 刪除包含軟體更新的最後一個部署套件時,用戶端電腦無法擷取軟體更新,直到更新再次下載到部署套件為止。 當更新檔案不在任何部署套件中時,Configuration Manager主控台中會以紅色箭頭顯示軟體更新。 如果部署包含此條件中的任何更新,則會顯示雙紅色箭號。
軟體更新部署工作流程
在您的環境中部署軟體更新有兩個主要案例:手動部署和自動部署。 一般而言,您會手動部署軟體更新以建立用戶端電腦的基準,然後使用自動部署來管理用戶端上的軟體更新。 下列各節提供軟體更新手動和自動部署的工作流程摘要。
手動部署軟體更新
手動部署軟體更新是在Configuration Manager主控台中選取軟體更新,並手動啟動部署程式的程式。 您通常會使用此部署方法,在建立自動部署規則以管理進行中的每月軟體更新部署,以及部署超出範圍軟體更新需求之前,先取得具有必要軟體更新的用戶端電腦。 下列清單提供手動部署軟體更新的一般工作流程:
篩選使用特定需求的軟體更新。 例如,您可以提供準則來擷取超過 50 部用戶端電腦上所需的所有安全性或重大軟體更新。
建立包含軟體更新的軟體更新群組。
下載軟體更新群組中軟體更新的內容。
手動部署軟體更新群組。
軟體更新的自動部署
自動軟體更新部署的設定方式是使用自動部署規則 (ADR) 。 您通常會針對每月軟體更新使用此部署方法, (通常稱為「週二修補程式) ,以及用於管理定義更新。 當規則執行時,軟體更新會從軟體更新群組中移除 (如果使用現有的群組) ,則符合指定準則的軟體更新 (例如,) 上周發行的所有安全性軟體更新都會新增至軟體更新群組,軟體更新的內容檔案會下載並複製到發佈點、 和 軟體更新會部署到目標集合中的用戶端電腦。 下列清單提供自動部署軟體更新的一般工作流程:
建立指定部署設定的 ADR,如下所示:
目標集合
決定是否要針對目標集合中的用戶端電腦啟用軟體更新合規性的部署或報告
軟體更新準則
評估和部署排程
使用者體驗
下載屬性
軟體更新會新增至軟體更新群組。
如果已指定,軟體更新群組會部署到目標集合中的用戶端電腦。
您必須決定要在環境中使用的部署策略。 例如,您可以建立 ADR 並以測試用戶端的集合為目標。 確認軟體更新已安裝在測試群組之後,您可以將新的部署新增至規則,或將現有部署中的集合變更為包含一組較大用戶端的目標集合。 ADR 所建立的軟體更新物件是互動式的。
使用 ADR 部署的軟體更新會自動部署到新增至目標集合的新用戶端。
新增至軟體更新群組的新軟體更新會自動部署到目標集合中的用戶端。
您可以隨時啟用或停用 ADR 的部署。
建立 ADR 之後,您可以將其他部署新增至規則。 這可協助您管理將不同更新部署至不同集合的複雜度。 每個新部署都有完整的功能和部署監視體驗,以及您新增的每個新部署:
使用 ADR 第一次執行時所建立的相同更新群組和套件
可以指定不同的集合
支援唯一的部署屬性,包括:
啟用時間
期限
顯示或隱藏使用者體驗
分隔此部署的警示
軟體更新部署程式
部署軟體更新或執行自動部署規則並部署軟體更新之後,會將部署指派原則新增至月臺的電腦原則。 軟體更新會從下載位置、網際網路或網路共用資料夾下載到套件來源。 軟體更新會從套件來源複製到月臺伺服器上的內容庫,然後複製到發佈點上的內容庫。
當部署目標集合中的用戶端電腦收到電腦原則時,軟體更新用戶端代理程式會啟動評估掃描。 用戶端代理程式會在部署的 [軟體 可用時間 ] 設定中,將必要軟體更新的內容從發佈點下載到本機用戶端快取,然後再安裝軟體更新。 選擇性部署中的軟體更新 (在使用者手動啟動安裝之前,不會下載沒有安裝期限) 的部署。
設定的期限通過時,軟體更新用戶端代理程式會執行掃描,以確認軟體更新仍為必要。 然後,它會檢查用戶端電腦上的本機快取,以確認軟體更新來源檔案仍然可用。 最後,用戶端會安裝軟體更新。 如果內容已從用戶端快取中刪除,以騰出空間供另一個部署使用,用戶端會將軟體更新從發佈點重新下載至用戶端快取。 無論設定的用戶端快取大小上限為何,軟體更新一律會下載到用戶端快取。 安裝完成時,用戶端代理程式會確認不再需要軟體更新,然後將狀態訊息傳送至管理點,以指出軟體更新現在已安裝在用戶端上。
必要的系統重新開機
根據預設,當用戶端電腦上安裝來自必要部署的軟體更新,而且需要系統重新開機才能完成安裝時,系統會重新開機。 針對在期限之前安裝的軟體更新,自動系統重新開機會延後到期限,除非電腦因為其他原因而重新開機。 伺服器和工作站可以隱藏系統重新開機。 這些設定是在 [部署軟體更新精靈] 或 [建立自動更新規則精靈] 的 [使用者體驗] 頁面中設定。
部署重新評估週期
根據預設,用戶端電腦會每隔 7 天啟動一次部署重新評估週期。 在此評估週期期間,用戶端電腦會掃描先前部署和安裝的軟體更新。 如果遺漏任何軟體更新,則會從本機快取重新安裝軟體更新。 如果本機快取中不再提供軟體更新,則會從發佈點下載,然後安裝。 您可以在月臺用戶端設定的 [軟體更新] 頁面上設定重新評估排程。
支援使用寫入篩選器的 Windows 內嵌裝置
當您將軟體更新部署到已啟用寫入篩選器的 Windows Embedded 裝置時,您可以指定是否要在部署期間停用裝置上的寫入篩選器,然後在部署之後重新開機裝置。 如果未停用寫入篩選器,則會將軟體部署到暫時重迭,而且除非另一個部署強制保存變更,否則在裝置重新開機時將不再安裝軟體。
注意事項
當您將軟體更新部署至 Windows Embedded 裝置時,請確定裝置是已設定維護期間之集合的成員。 這可讓您管理何時停用和啟用寫入篩選器,以及裝置重新開機時。
控制寫入篩選行為的使用者體驗設定是名為 [ 在期限或維護期間認可變更] 的核取方塊, (需要重新開機) 。
如需Configuration Manager如何管理使用寫入篩選器之內嵌裝置的詳細資訊,請參閱規劃將用戶端部署至 Windows Embedded 裝置。
在 Configuration Manager 中擴充軟體更新
使用 System Center 更新 Publisher 管理無法從 Microsoft Update 取得的軟體更新。 將軟體更新發佈至補救伺服器並同步處理Configuration Manager中的軟體更新之後,您可以將軟體更新部署到Configuration Manager用戶端。 如需更新發行者的詳細資訊,請參閱 更新 Publisher 2011。