準備部署 Windows

發行項
03/20/2024
適用於:

✅ Windows 11, ✅ Windows 10

在規劃階段中完成活動之後，您應該能夠準備環境和部署 Windows 用戶端的程式。規劃階段會為您留下下列實用專案：

清楚瞭解必要的人員及其角色，以及評等應用程式整備程度的準則
測試和驗證應用程式的計劃
部署基礎結構和作業整備定義的評估
定義您想要使用之通道的部署計劃

現在您已準備好開始實際在環境中進行變更，以準備部署。

準備基礎結構和環境

部署 Configuration Manager 的月臺伺服器更新。
更新非 Microsoft 安全性工具，例如安全性代理程式或伺服器。
更新非 Microsoft 管理工具，例如數據外洩防護代理程式。

您的基礎結構可能包含許多不同的元件和工具。您必須確保您的環境不會受到問題影響，因為您對基礎結構的各個部分所做的變更。請依照下列步驟執行：

檢閱您在計劃中識別的所有基礎結構變更。請務必瞭解需要進行的變更，並詳細說明如何實作這些變更。此程式可防止稍後發生問題。
驗證您的變更。您會驗證基礎結構元件和工具的變更，以協助您瞭解變更對生產環境有何影響。
實作變更。一旦驗證變更之後，您就可以跨更廣泛的基礎結構實作變更。

您也應該查看組織的環境設定，並概述如何實作先前在計劃階段中識別的任何必要變更，以支援更新。請考慮您需要針對目前為環境提供基礎的各種設定和原則執行的動作。例如：

實作新的草稿安全性指引。新版本的 Windows 可以包含可改善環境安全性的新功能。您的安全性小組會想要對安全性相關設定進行適當的變更。
更新安全性基準。安全性小組瞭解相關的安全性基準，而且必須努力確保所有基準都符合他們必須遵守的任何指引。

不過，您的組態將包含許多不同的設定和原則。請務必只在必要時套用變更，以及在何處獲得明顯改善。否則，您的環境可能會遇到導致更新程式變慢的問題。您想要確保您的環境不會因為所做的變更而受到負面影響。例如：

檢閱新的安全性設定。您的安全性小組會檢閱新的安全性設定，以瞭解如何最好地設定它們來加速更新，以及調查它們可能對您的環境造成的潛在影響。
檢閱安全性基準以取得變更。安全性小組也會檢閱所有必要的安全性基準，以確保可以實作變更，並確保您的環境符合規範。
實作及驗證安全性設定和基準變更。接著，您的安全性小組會實作所有安全性設定和基準，以解決任何潛在的未解決問題。

準備應用程式和裝置

您先前已決定要在即將推出的試驗部署階段中使用哪些驗證方法來驗證應用程式。現在是確保個別裝置已就緒，且能夠安裝下一個更新的好時機，且不需困難。

確定有可用的更新

在裝置上啟用更新服務。確定每個裝置都執行 Windows Update依賴的所有服務。有時候，使用者或甚至惡意代碼可能會停用 Windows Update 必須正常運作的服務。請確定下列服務正在執行：

背景智慧型手機傳送服務
背景工作基礎結構服務
BranchCache (如果您將此功能用於更新部署)
如果您使用 Configuration Manager 來部署更新，請 ConfigMgr 工作順序代理程式 ()
密碼編譯服務
DCOM 伺服器進程啟動器
裝置安裝
傳遞最佳化
裝置安裝管理員
許可證管理員
Microsoft 帳戶登入小幫手
Microsoft 軟體陰影複製提供者
遠程過程調用 (RPC)
遠程過程調用 (RPC) 定位器
RPC 端點對應程式
服務控制管理員
工作排程器
權杖代理人
更新 Orchestrator 服務
磁碟區陰影複製服務
Windows 自動更新服務
Windows 備份
Windows Defender 防火牆
Windows Management Instrumentation
Windows Management Service
Windows 模組安裝程式
Windows 推播通知
Windows 安全性服務
Windows Time 服務
Windows Update
Windows Update 服務

您可以使用 Services.msc，或使用 PowerShell 腳本或其他方法，手動檢查這些服務。

網路設定

確定裝置可透過防火牆達到必要的 Windows Update 網站端點。例如，在 Windows 10 版本 2004 中，下列通訊協定必須能夠達到這些個別端點：

通訊協定	端點 URL
TLS 1.2	`*.prod.do.dsp.mp.microsoft.com`
HTTP	`emdl.ws.microsoft.com`
HTTP	`*.dl.delivery.mp.microsoft.com`
HTTP	`*.windowsupdate.com`
HTTPS	`*.delivery.mp.microsoft.com`
TLS 1.2	`*.update.microsoft.com`
TLS 1.2	`tsfe.trafficshaping.dsp.mp.microsoft.com`

注意

請務必不要針對指定 HTTP 的那些端點使用 HTTPS，反之亦然。連線將會失敗。

特定端點可能會因 Windows 版本而異。請參閱，例如 Windows 10 2004 企業版連線端點。其他 Windows 用戶端版本類似的文章可在附近的目錄中找到。

優化下載頻寬

設定對等網路共用或 Microsoft 連線快取的傳遞優化。

解決狀況不良的裝置

在調查裝置母體擴展的過程中，您可能會發現有系統性問題可能會干擾更新安裝的裝置。現在是修正這些問題的時間。

磁碟空間不足： 品質更新至少需要 2 GB 才能成功安裝。視設定而定，功能更新需要 8 GB 到 15 GB。在 Windows 10 1903 版和更新版本 (和 Windows 11) 您可以主動使用「保留的記憶體」功能 (來抹除和載入、重建和新組建) ，以避免磁碟空間不足。如果您發現一組裝置沒有足夠的磁碟空間，通常可以清除記錄檔並要求用戶視需要清除數據來解決問題。一個不錯的起點是刪除下列檔案：
- C：\Windows\temp
- C：\Windows\cbstemp (雖然可能需要此檔案才能調查更新失敗)
- C：\Windows\WindowsUpdate.log (雖然可能需要此檔案才能調查更新失敗)
- C：\Windows.Old (這些檔案應該會在 10 天后自動清除，或可能會要求裝置使用者在受限於磁碟空間時更快清除的許可權)

您也可以建立和執行文稿，以使用系統管理許可權在裝置上執行其他清除動作，或使用群組原則設定。

執行 C:\Windows\sytem32\wsreset.exe 來清除 Windows 市集快取。
使用 Dism.exe /online /Cleanup-Image /StartComponentCleanup，將用戶端電腦上的 WinSxS 資料夾優化。
執行 /CompactOS：alwaysCompact.exe 來壓縮操作系統。
拿掉使用者不需要的 Windows 功能隨選。如需詳細資訊，請參閱功能隨選。
將 Windows 已知資料夾移至 OneDrive。如需詳細資訊，請參閱使用群組原則來控制 OneDrive 同步處理設定。

清除 [軟體發佈] 資料夾。請嘗試將這些命令部署為批次處理檔，以在裝置上執行，以重設 Windows 匯報的下載狀態：

net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver
ren C:\Windows\SoftwareDistribution C:\Windows\SoftwareDistribution.old
net start wuauserv
net start cryptSvc
net start bits
net start msiserver

應用程式和驅動程式更新： 過期的應用程式或驅動程式軟體可能會防止裝置成功更新。針對任何有問題的應用程式或驅動程式版本，部署廠商 () 的任何更新，以解決問題。
腐敗： 在罕見的情況下，發生重複安裝錯誤的裝置可能會損毀，而導致系統無法套用新的更新。您可能必須從另一個來源修復 Component-Based Store。您可以修正系統檔案檢查程序的問題。

準備功能

在計劃階段中，您決定了需要實作才能將新功能新增至環境的特定基礎結構和組態變更。現在您可以繼續實作計劃階段中定義的變更。您必須完成這些較高層級的工作，才能取得這些新功能：

藉由實作變更來啟用整個環境的功能。例如，在 Active Directory 中實作相關 ADMX 範本的更新。新的 Windows 版本隨附您用來更新 ADMX 範本的新原則。
驗證新的變更，以了解它們如何影響更廣泛的環境。
補救已透過驗證識別的任何潛在問題。

準備使用者

使用者通常會覺得他們被迫隨機更新其裝置。他們通常無法完全瞭解需要更新的原因，也不知道何時會事先將更新套用至其裝置。最好確保即將推出的更新能清楚傳達，並提供適當的警告。

您可以採用各種量值來達成此目標，例如：

傳送有關更新的概觀電子郵件，以及如何將更新部署到整個組織。
傳送個人化電子郵件給具有特定詳細數據的更新相關使用者。
針對因業務需求而需要保留在目前版本上一段時間的員工，設定退出期限。
提供在使用者方便時主動更新的能力。
通知使用者在所有裝置上安裝更新的必要安裝日期。