設定 Azure Update Manager 的 Windows Update 設定
Azure Update Manager 依賴 Windows Update 用戶端 來下載及安裝 Windows 更新。 連線至 Windows Server Update Services (WSUS) 或 Windows Update 時,Windows Update 用戶端會使用特定設定。 其中許多設定都可以由下列方式管理:
- 本機群組原則編輯器
- 群組原則
- PowerShell
- 直接編輯登錄
更新管理員會遵守許多指定用來控制 Windows Update 客戶端的設定。 如果您使用設定來啟用非 Windows 更新,更新管理員也會管理這些更新。 如果您想要啟用在進行更新部署之前先下載更新的功能,更新部署可能較為快速、較有效率,且較不會超出維護期間。
如需在 Azure 訂用帳戶中設定 WSUS 以及保護 Windows 虛擬機最新狀態的其他建議,請檢閱 規劃部署以使用 WSUS 更新 Azure 中的 Windows 虛擬機。
下載前更新
若要設定自動下載更新而不自動安裝更新,您可以使用組策略將自動 更新 設定為 3。 此設定可讓您在背景下載必要的更新,並通知您更新已準備好安裝。 如此一來,更新管理員仍可控制排程,但允許在維護期間外下載更新。 此行為可防止 Maintenance window exceeded
更新管理員中的錯誤。
您可以在 PowerShell 中開啟此設定:
$WUSettings = (New-Object -com "Microsoft.Update.AutoUpdate").Settings
$WUSettings.NotificationLevel = 3
$WUSettings.Save()
設定重新啟動設定
藉由編輯用來管理重新啟動的登錄和登錄機碼,以設定自動 更新 中列出的登錄機碼,即使您在更新部署設定中指定 [永遠重新啟動] 也會導致您的計算機重新啟動。 設定這些登錄機碼以最符合您的環境。
啟用其他 Microsoft 產品的更新
根據預設,Windows Update 用戶端會設定為只提供 Windows 作業系統的更新。 在 Windows Update 中,選取 [ 在線檢查 Windows 更新]。 它會檢查其他 Microsoft 產品的更新,以在更新 Windows 以接收其他 Microsoft 產品的更新時,啟用其他 Microsoft 產品的更新,包括 Microsoft SQL Server 和其他 Microsoft 軟體的安全性修補程式。
使用下列其中一個選項來執行大規模設定變更:
針對設定為依排程從 Update Manager 修補的伺服器(其 VM Patch 設定 設定為 AutomaticByPlatform = Azure-Orchestrated),以及針對在早於伺服器 2016 的操作系統上執行的所有 Windows Server,請在您想要變更的伺服器上執行下列 PowerShell 腳本。
$ServiceManager = (New-Object -com "Microsoft.Update.ServiceManager") $ServiceManager.Services $ServiceID = "7971f918-a847-4430-9279-4a52d1efe18d" $ServiceManager.AddService2($ServiceId,7,"")
對於執行 Server 2016 或更新版本且未使用更新管理員排程修補的伺服器(已將 VM Patch 設定 設定為 AutomaticByOS = Azure-Orchestrated),您可以使用組策略來下載並使用最新的組策略 管理員 範本檔案來控制此狀況。
設定 Microsoft 更新的 Windows 伺服器
Windows 伺服器上的 Windows Update 用戶端可以從下列任一 Microsoft 裝載的修補程式存放庫取得其修補程式:
- Windows Update - 裝載作業系統修補程式。
- Microsoft Update - 裝載作業系統和其他 Microsoft 修補程式。 例如 MS Office、SQL Server 等等。
注意
針對修補程式的應用程式,您可以在安裝時選擇更新用戶端,或稍後使用組策略,或直接編輯登錄。 若要取得非作業系統 Microsoft 修補程式或只安裝 OS 修補程式,建議您變更修補程式存放庫,因為這是操作系統設定,而不是您可以在 Azure Update Manager 內設定的選項。
編輯登錄
如果使用 Azure 更新管理員在您的電腦上設定排程修補,用戶端上的自動更新會停用。 若要編輯登錄並設定設定,請參閱 Windows 上的第一方更新。
在 Azure Update Manager 上使用組策略進行修補
如果您的機器已使用 Azure Update Manager 進行修補,並在用戶端上啟用自動更新,您可以使用組策略完全控制。 若要使用組策略進行修補,請遵循下列步驟:
進行 WSUS 組態設定
更新管理員支援 WSUS 設定。 您可以使用指定內部網路 Microsoft Update 服務位置中的指示,指定掃描和下載更新的來源。 根據預設,Windows Update 用戶端會設定為從 Windows Update 下載更新。 當您將 WSUS 伺服器指定為機器的來源時,如果 WSUS 中未核准更新,更新部署就會失敗。
若要將機器限制為內部更新服務,請參閱 不要連線到任何 Windows Update 因特網位置。
下一步
依照部署更新中的 指示來設定更新部署。