軟體更新維護

  • 發行項

適用於:Configuration Manager (目前的分支)

您可以從軟體更新點元件屬性,從 Configuration Manager 主控台排程和執行 WSUS 清除工作。 當您第一次選取執行 WSUS 清除工作時,它會在下一個軟體更新同步處理之後執行。

排程和執行 WSUS 清除作業

執行下列步驟來排程 WSUS 清除作業:

  1. 在 Configuration Manager 主控台中,流覽至 [系統管理>概觀>] [月臺設定>網站]

  2. 選取您Configuration Manager階層頂端的月臺。

  3. 按一下 [設定] 群組中的 [設定月臺元件],然後按一下 [軟體更新點] 以開啟 [軟體更新點元件內容]。

  4. 檢閱 取代行為。 視需要修改行為。

    取代行為螢幕擷取畫面

  5. 按一下 [ 取代規則] 索引 標籤,選取 [ 執行 WSUS 清除精靈]。 在 1806 版中,此選項會在同步處理之後重新命名為執行 WSUS 清除

  6. 如果您執行的是版本 1806) ,請按一下 [ 確定 (按一下 [ 關閉 ]。

1802 版和更早版本中的 WSUS 清除行為

在Configuration Manager 1806 版之前,WSUS 清除選項會執行下列專案:

  • 僅限頂層月臺 WSUS 伺服器上 WSUS 清除精靈的 [ 過期更新 ] 選項。

    WSUS 過期更新清除螢幕擷取畫面

  • Configuration Manager資料庫中的軟體更新設定專案每七天進行一次清除,並從主控台移除不需要的更新。

    • 如果目前已部署過期的更新,則此清除不會從Configuration Manager主控台中移除這些更新。

最上層 WSUS 資料庫和環境中的所有其他 WSUS 資料庫仍需要額外的維護。 如需詳細資訊和指示,請參閱 Microsoft WSUS 和 Configuration Manager SUP 維護的完整指南部落格文章。

從 1806 版開始的 WSUS 清除行為

從 1806 版開始,WSUS 清除選項會在每次同步處理之後發生,並執行下列清除專案:

  • CAS 和主要月臺上 WSUS 伺服器的 [ 過期更新 ] 選項。
    • 次要月臺的 WSUS 伺服器不會針對過期的更新執行 WSUS 清除。
  • Configuration Manager會從其資料庫建置已取代的更新清單。 此清單是以軟體更新點元件屬性中的取代行為為基礎。
    • 符合取代行為準則的更新設定專案已在 Configuration Manager 主控台中過期。
    • CAS 和主要月臺的 WSUS 會拒絕更新,但次要月臺則不會拒絕更新。
  • Configuration Manager資料庫中的軟體更新設定專案每七天進行一次清除,並從主控台移除不需要的更新。
    • 如果目前已部署過期的更新,則此清除不會從Configuration Manager主控台中移除這些更新。

注意事項

「取代更新到期前要等候的月份」是以取代更新的建立日期為基礎。 例如,如果您針對此設定使用 2 個月,則在 WSUS 中已取代的更新將會遭到拒絕,並在取代更新 2 個月時于Configuration Manager中過期。

所有 WSUS 維護都必須在次要月臺 WSUS 資料庫上手動執行。 下列 WSUS 伺服器清除精靈 選項不會在 CAS 和主要月臺上執行:

從 1810 版開始的 WSUS 清除行為

從 1810 版開始,您可以在軟體更新點元件屬性中,分別指定功能更新的取代規則與非功能更新。 WSUS 清除選項會在每次同步處理之後發生,並執行下列清除專案:

  • CAS、主要和次要月臺上 WSUS 伺服器的 [ 過期更新 ] 選項。
  • Configuration Manager會從其資料庫建置已取代的更新清單。 此清單是以軟體更新點元件屬性中的取代行為為基礎。
    • 符合取代行為準則的更新設定專案已在 Configuration Manager 主控台中過期。
    • CAS、主要和次要月臺的 WSUS 會拒絕更新。
  • Configuration Manager資料庫中的軟體更新設定專案每七天進行一次清除,並從主控台移除不需要的更新。
    • 如果目前已部署過期的更新,則此清除不會從Configuration Manager主控台中移除這些更新。

注意事項

「取代更新到期前要等候的月份」是以取代更新的建立日期為基礎。 例如,如果您針對此設定使用 2 個月,則在 WSUS 中已取代的更新將會遭到拒絕,並在取代更新 2 個月時于Configuration Manager中過期。

下列 WSUS 伺服器清除精靈 選項不會在 CAS、主要和次要月臺上執行:

從 1906 版開始的 WSUS 清除

您有額外的 WSUS 維護工作,Configuration Manager執行以維護狀況良好的軟體更新點。 除了拒絕 WSUS 中的過期更新之外,Configuration Manager還可以將非叢集索引新增至 WSUS 資料庫,並從 WSUS 資料庫中移除過時的更新。 WSUS 維護會在每次同步處理之後發生。

根據取代規則拒絕 WSUS 中的過期更新

拒絕 WSUS 中的更新可藉由從傳送給用戶端的目錄中移除這些更新來改善效能。 拒絕Configuration Manager標示為已取代的更新,會進一步將目錄最小化並改善效能。

  1. 在 Configuration Manager 主控台中,流覽至 [系統管理>概觀>] [月臺設定>網站]
  2. 選取您Configuration Manager階層頂端的月臺。
  3. 按一下 [設定] 群組中的 [設定 月臺元件 ],然後按一下 [ 軟體更新點 ] 以開啟 [軟體更新點元件內容]。
  4. 在 [ WSUS 維護] 索引 標籤 中,選取 [根據取代規則拒絕 WSUS 中的過期更新]

將非叢集索引新增至 WSUS 資料庫,以改善 WSUS 清除效能

新增非叢集索引可改善Configuration Manager的 WSUS 清除效能。

  1. 在 Configuration Manager 主控台中,流覽至 [系統管理>概觀>] [月臺設定>網站]
  2. 選取您Configuration Manager階層頂端的月臺。
  3. 按一下 [設定] 群組中的 [設定 月臺元件 ],然後按一下 [ 軟體更新點 ] 以開啟 [軟體更新點元件內容]。
  4. 在 [ WSUS 維護] 索引 標籤中,選取 [ 將非叢集索引新增至 WSUS 資料庫]
  5. 在Configuration Manager使用的每個 SUSDB 上,索引會新增至下列資料表:
    • tbLocalizedPropertyForRevision
    • tbRevisionSupersedesUpdate

SQL Server建立索引的許可權

當 WSUS 資料庫位於遠端SQL Server時,您可能需要在 SQL Server 中新增許可權以建立索引。 用來連線到 WSUS 資料庫並建立索引的帳戶可能會有所不同。 如果您在軟體更新點屬性中指定 WSUS 伺服器線上帳戶,請確定線上帳戶具有SQL Server許可權。 如果您未指定 WSUS 伺服器線上帳戶,則月臺伺服器的電腦帳戶需要SQL Server許可權。

  • 建立索引需要 ALTER 資料表或檢視表的許可權。 帳戶必須是固定伺服器角色或 和 db_owner 固定資料庫角色 db_ddladmin 的成員 sysadmin 。 如需建立 和索引和許可權的詳細資訊,請 參閱 CREATE INDEX (Transact-SQL)
  • 伺服器 CONNECT SQL 許可權必須授與帳戶。 For more information, see GRANT Server Permissions (Transact-SQL).

注意事項

  • 如果 WSUS 資料庫位於使用非預設埠的遠端SQL Server,則可能不會新增索引。 您可以使用此案例的SQL Server 組態管理員來建立伺服器別名。 新增別名並Configuration Manager可以連線到 WSUS 資料庫之後,就會新增索引。
  • 如果軟體更新點位於月臺伺服器的遠端,且使用Windows 內部資料庫,則不會新增索引。

從 WSUS 資料庫移除過時的更新

過時的更新是 WSUS 資料庫中未使用的更新和更新修訂。 一般而言,一旦更新不再位於Microsoft更新目錄中,而且其他更新不需要作為必要條件或相依性,就會將更新視為過時。

  1. 在 Configuration Manager 主控台中,流覽至 [系統管理>概觀>] [月臺設定>網站]
  2. 選取您Configuration Manager階層頂端的月臺。
  3. 按一下 [設定] 群組中的 [設定 月臺元件 ],然後按一下 [ 軟體更新點 ] 以開啟 [軟體更新點元件內容]。
  4. 在 [ WSUS 維護] 索引 標籤中,選 取 [從 WSUS 資料庫移除過時的更新]
    • 在停止之前,已過時的更新移除最多可執行 30 分鐘。 它會在下一次同步處理之後再次啟動。

SQL Server移除過時更新的許可權

當 WSUS 資料庫位於遠端SQL Server時,月臺伺服器的電腦帳戶需要下列SQL Server許可權:

注意事項

如果軟體更新點位於月臺伺服器的遠端,且使用Windows 內部資料庫,則不會移除過時的更新。

WSUS 清除精靈

從 1906 版開始,不會在 CAS、主要和次要月臺上執行下列 WSUS 伺服器清除精 靈選項:

已知問題

請試想下列案例:

  • 您使用 Configuration Manager 1906 版或更新版本
  • 您有使用 Windows 內部資料庫 的遠端軟體更新點
  • 在 [ 軟體更新點元件屬性] 中,[ WSUS 維護 ] 索引標籤下方有下列任何選取的選項:
    • 將非叢集索引新增至 WSUS 資料庫
    • 從 WSUS 資料庫移除過時的更新

在此案例中,Configuration Manager無法使用Windows 內部資料庫執行遠端軟體更新點的上述 WSUS 維護工作。 發生此問題的原因是Windows 內部資料庫不允許遠端連線。 您會在 WSyncMgr.log 月臺伺服器上的 中看到下列錯誤:

Indexing Failed. Could not connect to SUSDB.
SqlException thrown while connect to SUSDB in Server: <SUP.CONTOSO.COM>. Error Message: A network-related or instance-specific error occurred while establishing a connection to SQL Server. The server was not found or was not accessible. Verify that the instance name is correct and that SQL Server is configured to allow remote connections. (provider: Named Pipes Provider, error: 40 - Could not open a connection to SQL Server)
...
Could not Delete Obselete Updates because ConfigManager could not connect to SUSDB: A network-related or instance-specific error occurred while establishing a connection to SQL Server. The server was not found or was not accessible. Verify that the instance name is correct and that SQL Server is configured to allow remote connections. (provider: Named Pipes Provider, error: 40 - Could not open a connection to SQL Server) UpdateServer: <SUP.CONTOSO.COM>

若要解決此問題,您可以使用Windows 內部資料庫將遠端軟體更新點的 WSUS 維護自動化。 如需詳細資訊和詳細步驟,請參閱 Microsoft WSUS 和 Configuration Manager SUP 維護的完整指南

更新清除記錄專案

您可以檢閱下列專案的 wsyncmgr.log 來確認此清除:

  • 當您看到此記錄專案時,WSUS 中已取代更新的拒絕已完成: Cleanup processed <number> total updates and declined <number>
  • 當您看到此專案時,WSUS 清除正在啟動: Calling WSUS Cleanup.
  • 當您看到此專案時,即會完成過期更新的 WSUS 清除: Successfully completed WSUS Cleanup.
  • 當您看到此專案時,會開始清除Configuration Manager過期的更新設定專案:Deleting old expired updates...
  • 當您看到此專案時,Configuration Manager已過期的更新設定專案清除已完成:Deleted <number> expired updates total