Azure Update Manager 使用原生的 Windows Update 用戶端來管理修補。 然而,行為會因機器是 Azure 虛擬機(VM)還是支援 Azure Arc 的伺服器而有所不同。 本指南說明如何設定更新設定、Update Manager 會修改什麼,以及如何避免與群組政策發生衝突。
主要差異:Azure VMs vs. Azure Arc-enabled machines
| 特徵 / 功能 | Azure VM | Azure Arc 啟用的機器 |
|---|---|---|
| 修補檔協調流程 | 由 Azure 協調或由作業系統協調 | OS 僅負責編排 |
| 更新管理員的登錄檔變更 | 是的(Azure 編排時) | 不(更新管理員不會修改登錄檔) |
| 群組原則互動 | 可以覆寫更新管理員的設定 | 完全控制更新行為 |
| Windows Server Update Services(WSUS)支援 | 支援 | 支援 |
| 下載前支援 | 不支援 | 不支援 |
Update Manager 自動配置的內容(僅限 Azure VM )
當 Azure VM 啟用 Azure 編排修補丁時,Update Manager 可能會設定以下登錄鍵:
| 登錄路徑 | Key | 目標 |
|---|---|---|
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU |
AUOptions |
設定自動更新行為 |
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update |
RebootRequired |
追蹤重新啟動狀態 |
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Services |
ServiceID |
註冊 Microsoft Update 服務 |
這些變更僅在虛擬機器設定為 Azure 協調修補時套用AutomaticByPlatform = Azure-Orchestrated。 啟用 Azure Arc 的機器則不會受影響。
群組政策衝突
群組原則可能會覆蓋或與更新管理員的設定衝突。 這種行為對於以下情況尤其重要:
-
自動更新:如果群組政策強制執行不同
AUOptions值,更新管理員可能無法控制更新時序。 - 重啟行為:即使更新管理器設定 為永不重啟,群組原則或登錄檔金鑰仍可能觸發重啟。
- Microsoft Update 來源:群組原則可能會限制 WSUS 更新或阻擋 Microsoft Update,這可能導致更新管理員部署失敗。
如果你使用群組政策,最佳做法是確保它與 Update Manager 的預期行為一致。 避免在 「設定自動更新 」或「 登入使用者時不自動重啟」設定衝突值。
如何啟用 Microsoft Update
要接收像是 SQL Server 或 Office 等產品的更新,請使用以下指示。
Azure VMs (由 Azure 協調的修補)
執行此 PowerShell 腳本:
$ServiceManager = (New-Object -com "Microsoft.Update.ServiceManager")
$ServiceID = "7971f918-a847-4430-9279-4a52d1efe18d"
$ServiceManager.AddService2($ServiceId,7,"")
啟用 Azure Arc 的機器或作業系統編排的虛擬機
使用群組原則:
前往 電腦配置>管理範本>Windows 元件>Windows Update>管理終端使用者體驗。
打開「設定自動更新」設定。
將選項設為 啟用,然後選擇 「安裝其他 Microsoft 產品的更新 」勾選框。
WSUS 配置
更新管理器支援 WSUS。 設定方式:
- 使用群組原則來設定 WSUS 伺服器位置。
- 確保更新在 WSUS 中獲得批准,以防止更新管理員部署失敗。
- 若要限制網際網路訪問,請啟用 [不要連線到任何 Windows Update 網際網路位置]。
修補程式來源驗證
請查看這些登錄檔金鑰以確認更新來源:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Services
不支援
- 更新管理員不支援更新的預先下載。
- 若要變更修補程式來源 (例如,從 WSUS 變更為 Microsoft Update),請使用 Windows 設定或群組原則。 不要用更新管理員來設定這個設定。
相關內容
- 在設定好更新設定後,繼續使用更新管理員 部署更新 。