Einführung in Softwareupdates in Configuration Manager
Gilt für: Configuration Manager (Current Branch)
Softwareupdates in Configuration Manager bietet eine Reihe von Tools und Ressourcen, mit denen sie die komplexe Aufgabe der Nachverfolgung und Anwendung von Softwareupdates auf Clientcomputern im Unternehmen bewältigen können. Ein effektiver Softwareupdateverwaltungsprozess ist erforderlich, um die betriebliche Effizienz zu gewährleisten, Sicherheitsprobleme zu überwinden und die Stabilität der Netzwerkinfrastruktur aufrechtzuerhalten. Aufgrund der sich verändernden Technologie und des kontinuierlichen Auftretens neuer Sicherheitsbedrohungen erfordert ein effektives Softwareupdate-Management jedoch eine konsistente und kontinuierliche Aufmerksamkeit.
Ein Beispielszenario, das zeigt, wie Sie Softwareupdates in Ihrer Umgebung bereitstellen können, finden Sie unter Beispielszenario zum Bereitstellen von Sicherheitssoftwareupdates.
Softwareupdatesynchronisierung
Die Synchronisierung von Softwareupdates in Configuration Manager stellt eine Verbindung mit Microsoft Update her, um Metadaten für Softwareupdates abzurufen. Der Standort der obersten Ebene (Standort der zentralen Verwaltung oder eigenständiger primärer Standort) wird nach einem Zeitplan oder beim manuellen Starten der Synchronisierung über die Configuration Manager-Konsole mit Microsoft Update synchronisiert. Wenn Configuration Manager die Softwareupdatesynchronisierung am Standort der obersten Ebene abgeschlossen hat, beginnt die Softwareupdatesynchronisierung an untergeordneten Standorten, sofern vorhanden. Wenn die Synchronisierung an jedem primären oder sekundären Standort abgeschlossen ist, wird eine standortweite Richtlinie erstellt, die Clientcomputern den Speicherort der Softwareupdatepunkte bereitstellt.
Hinweis
Softwareupdates sind in den Clienteinstellungen standardmäßig aktiviert. Wenn Sie jedoch die Clienteinstellung Softwareupdates auf Clients aktivieren auf Nein festlegen, um Softwareupdates für eine Sammlung oder in den Standardeinstellungen zu deaktivieren, wird der Speicherort für Softwareupdatepunkte nicht an zugeordnete Clients gesendet. Weitere Informationen finden Sie unter Clienteinstellungen für Softwareupdates.
Nachdem der Client die Richtlinie erhalten hat, startet der Client eine Überprüfung auf Kompatibilität mit Softwareupdates und schreibt die Informationen in die Windows-Verwaltungsinstrumentation (WMI). Die Konformitätsinformationen werden dann an den Verwaltungspunkt gesendet, der die Informationen dann an den Standortserver sendet. Weitere Informationen zur Konformitätsbewertung finden Sie im Abschnitt Bewertung der Konformität von Softwareupdates in diesem Thema.
Sie können mehrere Softwareupdatepunkte an einem primären Standort installieren. Der erste Softwareupdatepunkt, den Sie installieren, wird als Synchronisierungsquelle konfiguriert. Dies wird von Microsoft Update oder einem WSUS-Server synchronisiert, der sich nicht in Ihrer Configuration Manager-Hierarchie befindet. Die anderen Softwareupdatepunkte am Standort verwenden den ersten Softwareupdatepunkt als Synchronisierungsquelle.
Hinweis
Wenn die Softwareupdatesynchronisierung am Standort der obersten Ebene abgeschlossen ist, werden die Softwareupdatemetadaten mithilfe der Datenbankreplikation an untergeordnete Standorte repliziert. Wenn Sie eine Configuration Manager-Konsole mit dem untergeordneten Standort verbinden, zeigt Configuration Manager die Metadaten für Softwareupdates an. Bis Sie jedoch einen Softwareupdatepunkt am Standort installieren und konfigurieren, suchen Clients nicht nach Softwareupdatekonformität, Clients melden keine Konformitätsinformationen an Configuration Manager, und Sie können keine Softwareupdates erfolgreich bereitstellen.
Synchronisierung am Standort der obersten Ebene
Der Synchronisierungsprozess für Softwareupdates am Standort der obersten Ebene ruft aus Microsoft Aktualisieren Sie die Softwareupdatemetadaten, die die Kriterien erfüllen, die Sie unter Eigenschaften der Softwareupdatepunktkomponente angeben. Sie konfigurieren die Kriterien nur am Standort der obersten Ebene.
Hinweis
Sie können anstelle von Microsoft Aktualisierungen als Synchronisierungsquelle einen vorhandenen WSUS-Server angeben, der sich nicht in der Configuration Manager Hierarchie befindet.
In der folgenden Liste werden die grundlegenden Schritte für den Synchronisierungsprozess am Standort der obersten Ebene beschrieben:
Die Synchronisierung von Softwareupdates wird gestartet.
Der WSUS-Synchronisierungs-Manager sendet eine Anforderung an WSUS, die auf dem Softwareupdatepunkt ausgeführt wird, um die Synchronisierung mit Microsoft Update zu starten.
Die Metadaten für Softwareupdates werden von Microsoft Update synchronisiert, und alle Änderungen werden in die WSUS-Datenbank eingefügt oder aktualisiert.
Wenn WSUS die Synchronisierung abgeschlossen hat, synchronisiert WSUS-Synchronisierungs-Manager die Softwareupdatemetadaten aus der WSUS-Datenbank mit der Configuration Manager Datenbank, und alle Änderungen nach der letzten Synchronisierung werden in die Standortdatenbank eingefügt oder aktualisiert. Die Metadaten für Softwareupdates werden in der Standortdatenbank als Konfigurationselement gespeichert.
Die Konfigurationselemente für Softwareupdates werden mithilfe der Datenbankreplikation an untergeordnete Standorte gesendet.
Wenn die Synchronisierung erfolgreich abgeschlossen wurde, erstellt WSUS-Synchronisierungs-Manager die Statusmeldung 6702.
Der WSUS-Synchronisierungs-Manager sendet eine Synchronisierungsanforderung an alle untergeordneten Standorte.
Der WSUS-Synchronisierungs-Manager sendet eine Anforderung einzeln an WSUS, die auf anderen Softwareupdatepunkten am Standort ausgeführt wird. Die WSUS-Server auf den anderen Softwareupdatepunkten sind als Replikate von WSUS konfiguriert, die auf dem Standardsoftwareupdatepunkt am Standort ausgeführt werden.
Synchronisierung an untergeordneten primären und sekundären Standorten
Während der Softwareupdatesynchronisierung am Standort der obersten Ebene werden die Konfigurationselemente für Softwareupdates mithilfe der Datenbankreplikation an untergeordnete Standorte repliziert. Am Ende des Prozesses sendet der Standort der obersten Ebene eine Synchronisierungsanforderung an den untergeordneten Standort, und der untergeordnete Standort startet die WSUS-Synchronisierung. Die folgende Liste enthält die grundlegenden Schritte für den Synchronisierungsprozess an einem untergeordneten primären oder sekundären Standort:
Der WSUS-Synchronisierungs-Manager empfängt eine Synchronisierungsanforderung vom Standort der obersten Ebene.
Die Synchronisierung von Softwareupdates wird gestartet.
Der WSUS-Synchronisierungs-Manager sendet eine Anforderung an WSUS, die auf dem Softwareupdatepunkt ausgeführt wird, um die Synchronisierung zu starten.
WSUS, das auf dem Softwareupdatepunkt am untergeordneten Standort ausgeführt wird, synchronisiert Softwareupdatemetadaten von WSUS, die auf dem Softwareupdatepunkt am übergeordneten Standort ausgeführt werden.
Wenn die Synchronisierung erfolgreich abgeschlossen wurde, erstellt WSUS-Synchronisierungs-Manager die Statusmeldung 6702.
Von einem primären Standort sendet der WSUS-Synchronisierungs-Manager eine Synchronisierungsanforderung an alle untergeordneten sekundären Standorte. Der sekundäre Standort startet die Softwareupdatesynchronisierung mit dem übergeordneten primären Standort. Der sekundäre Standort wird als Replikat von WSUS konfiguriert, das am übergeordneten Standort ausgeführt wird.
Der WSUS-Synchronisierungs-Manager sendet eine Anforderung einzeln an WSUS, die auf anderen Softwareupdatepunkten am Standort ausgeführt wird. Die WSUS-Server auf den anderen Softwareupdatepunkten sind als Replikate von WSUS konfiguriert, die auf dem Standardsoftwareupdatepunkt am Standort ausgeführt werden.
Bewertung der Softwareupdatekonformität
Bevor Sie Softwareupdates auf Clientcomputern in Configuration Manager bereitstellen, starten Sie eine Überprüfung auf Kompatibilität mit Softwareupdates auf Clientcomputern. Für jedes Softwareupdate wird eine Statusmeldung erstellt, die den Konformitätsstatus für das Update enthält. Die Statusmeldungen werden in einem Massenvorgang an den Verwaltungspunkt und dann an den Standortserver gesendet, wo der Konformitätszustand in die Standortdatenbank eingefügt wird. Der Konformitätsstatus für Softwareupdates wird in der Configuration Manager-Konsole angezeigt. Sie können Softwareupdates auf Computern bereitstellen und installieren, auf denen die Updates erforderlich sind. Die folgenden Abschnitte enthalten Informationen zu den Konformitätszuständen und beschreiben den Prozess für die Überprüfung auf Konformität mit Softwareupdates.
Kompatibilitätszustände für Softwareupdates
Im Folgenden werden die einzelnen Konformitätszustände aufgelistet und beschrieben, die in der Configuration Manager-Konsole für Softwareupdates angezeigt werden.
Erforderlich
Gibt an, dass das Softwareupdate auf dem Clientcomputer anwendbar und erforderlich ist. Eine der folgenden Bedingungen kann erfüllt sein, wenn der Softwareupdatestatus Erforderlich ist:
Das Softwareupdate wurde nicht auf dem Clientcomputer bereitgestellt.
Das Softwareupdate wurde auf dem Clientcomputer installiert. Die neueste Statusmeldung wurde jedoch noch nicht in die Datenbank auf dem Standortserver eingefügt. Der Clientcomputer sucht nach Abschluss der Installation erneut nach dem Update. Es kann eine Verzögerung von bis zu zwei Minuten geben, bevor der Client den aktualisierten Zustand an den Verwaltungspunkt sendet, der dann den aktualisierten Zustand an den Standortserver weiterleitet.
Das Softwareupdate wurde auf dem Clientcomputer installiert. Die Installation von Softwareupdates erfordert jedoch einen Neustart des Computers, bevor das Update abgeschlossen ist.
Das Softwareupdate wurde auf dem Clientcomputer bereitgestellt, aber noch nicht installiert.
Nicht erforderlich
Gibt an, dass das Softwareupdate nicht auf den Clientcomputer anwendbar ist. Daher ist das Softwareupdate nicht erforderlich.
Installed
Gibt an, dass das Softwareupdate auf dem Clientcomputer anwendbar ist und dass das Softwareupdate auf dem Clientcomputer bereits installiert ist.
Unknown
Gibt an, dass der Standortserver keine Statusmeldung vom Clientcomputer empfangen hat, in der Regel aufgrund einer der folgenden:
Der Clientcomputer hat nicht erfolgreich die Kompatibilität von Softwareupdates überprüft.
Die Überprüfung wurde auf dem Clientcomputer erfolgreich abgeschlossen. Die Statusmeldung wurde jedoch noch nicht auf dem Standortserver verarbeitet, möglicherweise aufgrund eines Zustandsmeldungsbacklogs.
Die Überprüfung wurde auf dem Clientcomputer erfolgreich abgeschlossen, aber die Statusmeldung wurde nicht vom untergeordneten Standort empfangen.
Die Überprüfung wurde erfolgreich auf dem Clientcomputer abgeschlossen, aber die Statusmeldungsdatei war in irgendeiner Weise beschädigt und konnte nicht verarbeitet werden.
Überprüfen des Konformitätsprozesses für Softwareupdates
Wenn der Softwareupdatepunkt installiert und synchronisiert wird, wird eine standortweite Computerrichtlinie erstellt, die Clientcomputer darüber informiert, dass Configuration Manager Softwareupdates für den Standort aktiviert wurden. Wenn ein Client die Computerrichtlinie empfängt, wird eine Konformitätsbewertungsüberprüfung geplant, die innerhalb der nächsten zwei Stunden nach dem Zufallsprinzip gestartet wird. Wenn die Überprüfung gestartet wird, löscht ein Software Aktualisierungen Client-Agent-Prozess den Überprüfungsverlauf, sendet eine Anforderung, um den WSUS-Server zu finden, der für die Überprüfung verwendet werden soll, und aktualisiert die lokale Gruppenrichtlinie mit dem WSUS-Serverspeicherort.
Hinweis
Internetbasierte Clients müssen über SSL eine Verbindung mit dem WSUS-Server herstellen.
Eine Scananforderung wird an den Windows Update-Agent (WUA) übergeben. Der WUA stellt dann eine Verbindung mit dem WSUS-Serverspeicherort her, der in der lokalen Richtlinie aufgeführt ist, ruft die Metadaten für Softwareupdates ab, die auf dem WSUS-Server synchronisiert wurden, und überprüft den Clientcomputer auf die Updates. Ein Software Aktualisierungen Client-Agent-Prozess erkennt, dass die Überprüfung auf Konformität abgeschlossen ist, und erstellt Zustandsmeldungen für jedes Softwareupdate, das sich nach der letzten Überprüfung im Konformitätszustand geändert hat. Die Zustandsmeldungen werden alle 15 Minuten per Massenvorgang an den Verwaltungspunkt gesendet. Der Verwaltungspunkt leitet dann die Zustandsmeldungen an den Standortserver weiter, wo die Zustandsmeldungen in die Standortserverdatenbank eingefügt werden.
Nach der ersten Überprüfung auf Softwareupdatekonformität wird die Überprüfung nach dem konfigurierten Überprüfungszeitplan gestartet. Wenn der Client jedoch die Konformität von Softwareupdates in dem durch den Gültigkeitsdauerwert (TTL) angegebenen Zeitraum überprüft hat, verwendet der Client die metadaten für Softwareupdates, die lokal gespeichert sind. Wenn die letzte Überprüfung außerhalb der Gültigkeitsdauer liegt, muss der Client eine Verbindung mit WSUS herstellen, die auf dem Softwareupdatepunkt ausgeführt wird, und die auf dem Client gespeicherten Softwareupdatemetadaten aktualisieren.
Einschließlich des Überprüfungszeitplans kann die Überprüfung auf Softwareupdatekonformität auf folgende Weise beginnen:
Überprüfungszeitplan für Softwareupdates: Die Überprüfung auf Konformität mit Softwareupdates beginnt mit dem konfigurierten Überprüfungszeitplan, der in den Einstellungen des Software-Aktualisierungen-Client-Agents konfiguriert ist. Weitere Informationen zum Konfigurieren der Clienteinstellungen für Software Aktualisierungen finden Sie unter Clienteinstellungen für Softwareupdates.
aktion Configuration Manager Eigenschaften: Der Benutzer kann die Aktion Software Aktualisierungen Scanzyklus oder Software Aktualisierungen Bereitstellungsauswertungszyklus auf der Registerkarte Aktion im Dialogfeld Configuration Manager Eigenschaften auf der Registerkarte starten. den Clientcomputer.
Zeitplan für die erneute Auswertung der Bereitstellung: Die Bereitstellungsauswertung und überprüfung auf Softwareupdatekonformität beginnt mit dem konfigurierten Zeitplan für die erneute Auswertung der Bereitstellung, der in den Einstellungen des Software-Aktualisierungen-Client-Agents konfiguriert ist. Weitere Informationen zu den Clienteinstellungen für Software Aktualisierungen finden Sie unter Clienteinstellungen für Softwareupdates.
Vor dem Herunterladen von Updatedateien: Wenn ein Clientcomputer eine Zuweisungsrichtlinie für eine neue erforderliche Bereitstellung erhält, lädt der Software Aktualisierungen Client-Agent die Softwareupdatedateien in den lokalen Clientcache herunter. Vor dem Herunterladen der Softwareupdatedateien startet der Client-Agent eine Überprüfung, um zu überprüfen, ob das Softwareupdate weiterhin erforderlich ist.
Vor der Installation von Softwareupdates: Unmittelbar vor der Installation des Softwareupdates startet der Software Aktualisierungen Client-Agent eine Überprüfung, um zu überprüfen, ob die Softwareupdates weiterhin erforderlich sind.
Nach der Installation von Softwareupdates: Unmittelbar nach Abschluss einer Softwareupdateinstallation startet der Software Aktualisierungen Client-Agent eine Überprüfung, um zu überprüfen, ob die Softwareupdates nicht mehr erforderlich sind, und erstellt eine neue Statusmeldung, die angibt, dass das Softwareupdate installiert ist. Wenn die Installation abgeschlossen ist, aber ein Neustart erforderlich ist, gibt die Statusmeldung an, dass der Clientcomputer einen Neustart aussteht.
Nach dem Systemneustart: Wenn ein Clientcomputer einen Systemneustart aussteht, damit die Softwareupdateinstallation abgeschlossen ist, startet der Software Aktualisierungen Client-Agent nach dem Neustart eine Überprüfung, um zu überprüfen, ob das Softwareupdate nicht mehr erforderlich ist, und erstellt eine Statusmeldung, die angibt, dass das Softwareupdate installiert ist.
Gültigkeitsdauer
Die Metadaten für Softwareupdates, die für die Überprüfung auf Konformität mit Softwareupdates erforderlich sind, werden auf dem lokalen Clientcomputer gespeichert und sind standardmäßig bis zu 24 Stunden lang relevant. Dieser Wert wird als Gültigkeitsdauer (Time to Live, TTL) bezeichnet.
Suchen nach Kompatibilitätstypen für Softwareupdates
Der Client überprüft die Konformität von Softwareupdates mithilfe einer Online- oder Offlineüberprüfung und einer erzwungenen oder nicht erzwungenen Überprüfung, je nachdem, wie die Überprüfung auf Softwareupdatekonformität gestartet wird. Im Folgenden wird beschrieben, welche Methoden zum Starten der Überprüfung online oder offline sind und ob die Überprüfung erzwungen oder nicht erzwungen wird.
Zeitplan für die Überprüfung von Softwareupdates (nicht erzwungene Onlineüberprüfung)
Nach dem konfigurierten Überprüfungszeitplan stellt der Client eine Verbindung mit WSUS her, die auf dem Softwareupdatepunkt ausgeführt wird, um die Softwareupdatemetadaten nur abzurufen, wenn die letzte Überprüfung außerhalb der Gültigkeitsdauer lag.
Software Aktualisierungen Scanzyklus oder Software Aktualisierungen Bereitstellungsauswertungszyklus (erzwungene Onlineüberprüfung)
Der Clientcomputer stellt immer eine Verbindung mit WSUS her, die auf dem Softwareupdatepunkt ausgeführt wird, um die Metadaten für Softwareupdates abzurufen, bevor der Clientcomputer nach Kompatibilität mit Softwareupdates sucht. Nach Abschluss der Überprüfung wird der Gültigkeitsdauerzähler zurückgesetzt. Wenn die Gültigkeitsdauer beispielsweise 24 Stunden beträgt, wird die Gültigkeitsdauer auf 24 Stunden zurückgesetzt, nachdem ein Benutzer eine Überprüfung auf Softwareupdatekonformität gestartet hat.
Zeitplan für die erneute Auswertung der Bereitstellung (nicht erzwungene Onlineüberprüfung)
Nach dem konfigurierten Zeitplan für die erneute Auswertung der Bereitstellung stellt der Client eine Verbindung mit WSUS her, die auf dem Softwareupdatepunkt ausgeführt wird, um die Softwareupdatemetadaten nur abzurufen, wenn die letzte Überprüfung außerhalb der Gültigkeitsdauer lag.
Vor dem Herunterladen von Updatedateien (nicht erzwungene Onlineüberprüfung)
Bevor der Client Updatedateien in erforderlichen Bereitstellungen herunterladen kann, stellt der Client eine Verbindung mit WSUS her, die auf dem Softwareupdatepunkt ausgeführt wird, um die Softwareupdatemetadaten nur abzurufen, wenn die letzte Überprüfung außerhalb der Gültigkeitsdauer lag.
Vor der Installation von Softwareupdates (nicht erzwungene Onlineüberprüfung)
Bevor der Client Softwareupdates in erforderlichen Bereitstellungen installiert, stellt der Client eine Verbindung mit WSUS her, die auf dem Softwareupdatepunkt ausgeführt wird, um die Metadaten für Softwareupdates nur abzurufen, wenn die letzte Überprüfung außerhalb der Gültigkeitsdauer lag.
Nach der Installation von Softwareupdates (erzwungene Offlineüberprüfung)
Nachdem ein Softwareupdate installiert wurde, startet der Software Aktualisierungen Client-Agent eine Überprüfung mithilfe der lokalen Metadaten. Der Client stellt nie eine Verbindung mit WSUS her, die auf dem Softwareupdatepunkt ausgeführt wird, um Metadaten für Softwareupdates abzurufen.
Nach dem Neustart des Systems (erzwungene Offlineüberprüfung)
Nachdem ein Softwareupdate installiert und der Computer neu gestartet wurde, startet der Software Aktualisierungen Client-Agent eine Überprüfung mithilfe der lokalen Metadaten. Der Client stellt nie eine Verbindung mit WSUS her, die auf dem Softwareupdatepunkt ausgeführt wird, um Metadaten für Softwareupdates abzurufen.
Softwareupdatebereitstellungspakete
Ein Softwareupdatebereitstellungspaket ist das Fahrzeug, mit dem Softwareupdates in einen freigegebenen Netzwerkordner heruntergeladen und die Quelldateien für Softwareupdates in die Inhaltsbibliothek auf Standortservern und verteilungspunkten kopiert werden, die in der Bereitstellung definiert sind. Mithilfe des Assistenten zum Herunterladen von Aktualisierungen können Sie Softwareupdates herunterladen und vor der Bereitstellung zu Bereitstellungspaketen hinzufügen. Mit diesem Assistenten können Sie Softwareupdates auf Verteilungspunkten bereitstellen und überprüfen, ob dieser Teil des Bereitstellungsprozesses erfolgreich ist, bevor Sie die Softwareupdates auf Clients bereitstellen.
Wenn Sie heruntergeladene Softwareupdates mithilfe des Assistenten zum Bereitstellen von Software Aktualisierungen bereitstellen, verwendet die Bereitstellung automatisch das Bereitstellungspaket, das die Softwareupdates enthält. Wenn nicht heruntergeladene Softwareupdates bereitgestellt werden, müssen Sie im Assistenten zum Bereitstellen von Software Aktualisierungen ein neues oder vorhandenes Bereitstellungspaket angeben, und die Softwareupdates werden heruntergeladen, wenn der Assistent abgeschlossen ist.
Wichtig
Sie müssen den freigegebenen Netzwerkordner für die Quelldateien des Bereitstellungspakets manuell erstellen, bevor Sie ihn im Assistenten angeben. Jedes Bereitstellungspaket muss einen anderen freigegebenen Netzwerkordner verwenden.
Wichtig
Das SMS-Anbieter-Computerkonto und der Administrator, der die Softwareupdates tatsächlich herunterlädt, benötigen Schreibberechtigungen für die Paketquelle. Beschränken Sie den Zugriff auf die Paketquelle, um das Risiko zu verringern, dass ein Angreifer die Quelldateien für Softwareupdates in der Paketquelle manipuliert.
Wenn ein neues Bereitstellungspaket erstellt wird, wird die Inhaltsversion auf 1 festgelegt, bevor Softwareupdates heruntergeladen werden. Wenn die Softwareupdatedateien mithilfe des Pakets heruntergeladen werden, wird die Inhaltsversion auf 2 erhöht. Daher beginnen alle neuen Bereitstellungspakete mit der Inhaltsversion 2. Jedes Mal, wenn sich der Inhalt in einem Bereitstellungspaket ändert, wird die Inhaltsversion um 1 erhöht. Weitere Informationen finden Sie unter Grundlegende Konzepte für die Inhaltsverwaltung.
Clients installieren Softwareupdates in einer Bereitstellung mithilfe eines beliebigen Verteilungspunkts, auf dem die Softwareupdates verfügbar sind, unabhängig vom Bereitstellungspaket. Auch wenn ein Bereitstellungspaket für eine aktive Bereitstellung gelöscht wird, können Clients die Softwareupdates weiterhin in der Bereitstellung installieren, solange jedes Update in mindestens ein anderes Bereitstellungspaket heruntergeladen wurde und auf einem Verteilungspunkt verfügbar ist, auf den vom Client aus zugegriffen werden kann. Wenn das letzte Bereitstellungspaket, das ein Softwareupdate enthält, gelöscht wird, können Clientcomputer das Softwareupdate erst abrufen, wenn das Update erneut in ein Bereitstellungspaket heruntergeladen wird. Softwareupdates werden mit einem roten Pfeil in der Configuration Manager-Konsole angezeigt, wenn die Updatedateien in keinem Bereitstellungspaket enthalten sind. Bereitstellungen werden mit einem doppelten roten Pfeil angezeigt, wenn sie Updates in dieser Bedingung enthalten.
Workflows zur Bereitstellung von Softwareupdates
Es gibt zwei Hauptszenarien für die Bereitstellung von Softwareupdates in Ihrer Umgebung: manuelle Bereitstellung und automatische Bereitstellung. In der Regel stellen Sie Softwareupdates manuell bereit, um eine Baseline für Clientcomputer zu erstellen, und dann verwalten Sie Softwareupdates auf Clients mithilfe der automatischen Bereitstellung. Die folgenden Abschnitte enthalten eine Zusammenfassung für den Workflow für die manuelle und automatische Bereitstellung von Softwareupdates.
Manuelle Bereitstellung von Softwareupdates
Die manuelle Bereitstellung von Softwareupdates ist der Prozess der Auswahl von Softwareupdates in der Configuration Manager-Konsole und das manuelle Starten des Bereitstellungsprozesses. Sie verwenden diese Bereitstellungsmethode in der Regel, um die Clientcomputer mit den erforderlichen Softwareupdates auf dem neuesten Stand zu halten, bevor Sie automatische Bereitstellungsregeln erstellen, die laufende monatliche Softwareupdatebereitstellungen verwalten, und out-of-band-Softwareupdateanforderungen bereitstellen. Die folgende Liste enthält den allgemeinen Workflow für die manuelle Bereitstellung von Softwareupdates:
Filtern Sie nach Softwareupdates, die bestimmte Anforderungen erfüllen. Sie können beispielsweise Kriterien angeben, die alle sicherheitsrelevanten oder kritischen Softwareupdates abrufen, die auf mehr als 50 Clientcomputern erforderlich sind.
Erstellen Sie eine Softwareupdategruppe, die die Softwareupdates enthält.
Laden Sie den Inhalt für die Softwareupdates in der Softwareupdategruppe herunter.
Stellen Sie die Softwareupdategruppe manuell bereit.
Automatische Bereitstellung von Softwareupdates
Die Bereitstellung automatischer Softwareupdates wird mithilfe einer automatischen Bereitstellungsregel (ADR) konfiguriert. In der Regel verwenden Sie diese Bereitstellungsmethode für Ihre monatlichen Softwareupdates (allgemein bekannt als Patch Tuesday) und für die Verwaltung von Definitionsupdates. Wenn die Regel ausgeführt wird, werden Softwareupdates aus der Softwareupdategruppe entfernt (wenn eine vorhandene Gruppe verwendet wird), die Softwareupdates, die einem angegebenen Kriterium entsprechen (z. B. alle in der letzten Woche veröffentlichten Sicherheitsupdates), einer Softwareupdategruppe hinzugefügt, und die Inhaltsdateien für die Softwareupdates werden heruntergeladen und auf Verteilungspunkte kopiert. und die Softwareupdates werden auf Clientcomputern in der Zielsammlung bereitgestellt. Die folgende Liste enthält den allgemeinen Workflow für die automatische Bereitstellung von Softwareupdates:
Erstellen Sie eine ADR, die Bereitstellungseinstellungen wie die folgenden angibt:
Zielsammlung
Entscheiden Sie, ob die Bereitstellung oder der Bericht zur Kompatibilität von Softwareupdates für die Clientcomputer in der Zielsammlung aktiviert werden soll.
Kriterien für Softwareupdates
Auswertungs- und Bereitstellungszeitpläne
Verwendung durch den Benutzer
Eigenschaften herunterladen
Die Softwareupdates werden einer Softwareupdategruppe hinzugefügt.
Die Softwareupdategruppe wird auf den Clientcomputern in der Zielsammlung bereitgestellt, sofern sie angegeben ist.
Sie müssen bestimmen, welche Bereitstellungsstrategie in Ihrer Umgebung verwendet werden soll. Sie können z. B. die ADR erstellen und eine Sammlung von Testclients als Ziel verwenden. Nachdem Sie überprüft haben, ob die Softwareupdates in der Testgruppe installiert sind, können Sie der Regel eine neue Bereitstellung hinzufügen oder die Sammlung in der vorhandenen Bereitstellung in eine Zielsammlung ändern, die eine größere Gruppe von Clients enthält. Die softwareupdate-Objekte, die von den ADRs erstellt werden, sind interaktiv.
Softwareupdates, die mithilfe einer ADR bereitgestellt wurden, werden automatisch auf neuen Clients bereitgestellt, die der Zielsammlung hinzugefügt wurden.
Neue Softwareupdates, die einer Softwareupdategruppe hinzugefügt wurden, werden automatisch für die Clients in der Zielsammlung bereitgestellt.
Sie können Bereitstellungen jederzeit für die ADR aktivieren oder deaktivieren.
Nachdem Sie eine ADR erstellt haben, können Sie der Regel zusätzliche Bereitstellungen hinzufügen. Dies kann Ihnen helfen, die Komplexität der Bereitstellung verschiedener Updates für verschiedene Sammlungen zu verwalten. Jede neue Bereitstellung verfügt über den gesamten Funktionsumfang und die Überwachungsfunktionen der Bereitstellung sowie über jede neue Bereitstellung, die Sie hinzufügen:
Verwendet die gleiche Updategruppe und dasselbe Paket, die bei der ersten Ausführung des ADR erstellt werden.
Kann eine andere Sammlung angeben
Unterstützt eindeutige Bereitstellungseigenschaften, einschließlich:
Aktivierungszeit
Stichtag
Ein- oder Ausblenden der Endbenutzererfahrung
Separate Warnungen für diese Bereitstellung
Softwareupdatebereitstellungsprozess
Nachdem Sie Softwareupdates oder eine automatische Bereitstellungsregel ausgeführt und Softwareupdates bereitgestellt haben, wird der Computerrichtlinie für den Standort eine Bereitstellungszuweisungsrichtlinie hinzugefügt. Die Softwareupdates werden vom Downloadspeicherort, dem Internet oder dem freigegebenen Netzwerkordner in die Paketquelle heruntergeladen. Die Softwareupdates werden aus der Paketquelle in die Inhaltsbibliothek auf dem Standortserver kopiert und dann in die Inhaltsbibliothek auf dem Verteilungspunkt kopiert.
Wenn ein Clientcomputer in der Zielsammlung für die Bereitstellung die Computerrichtlinie empfängt, startet der Softwareupdateclient-Agent eine Auswertungsüberprüfung. Der Client-Agent lädt den Inhalt für erforderliche Softwareupdates von einem Verteilungspunkt in den lokalen Clientcache herunter, und die Softwareupdates können dann installiert werden. Die Softwareupdates in optionalen Bereitstellungen (Bereitstellungen ohne Installationsstichtag) werden erst heruntergeladen, wenn ein Benutzer die Installation manuell startet.
Wenn der konfigurierte Stichtag abgelaufen ist, führt der Software Aktualisierungen-Client-Agent eine Überprüfung durch, um zu überprüfen, ob die Softwareupdates weiterhin erforderlich sind. Anschließend wird der lokale Cache auf dem Clientcomputer überprüft, um sicherzustellen, dass die Quelldateien des Softwareupdates noch verfügbar sind. Schließlich installiert der Client die Softwareupdates. Wenn der Inhalt aus dem Clientcache gelöscht wurde, um Platz für eine andere Bereitstellung zu schaffen, lädt der Client die Softwareupdates erneut vom Verteilungspunkt in den Clientcache herunter. Softwareupdates werden unabhängig von der konfigurierten maximalen Clientcachegröße immer in den Clientcache heruntergeladen. Nach Abschluss der Installation überprüft der Client-Agent, ob die Softwareupdates nicht mehr erforderlich sind, und sendet dann eine Statusmeldung an den Verwaltungspunkt, um anzugeben, dass die Softwareupdates jetzt auf dem Client installiert sind.
Erforderlicher Systemneustart
Wenn Softwareupdates aus einer erforderlichen Bereitstellung auf einem Clientcomputer installiert werden und ein Systemneustart erforderlich ist, um die Installation abzuschließen, wird der Systemneustart standardmäßig gestartet. Bei Softwareupdates, die vor dem Stichtag installiert wurden, wird der automatische Systemneustart bis zum Stichtag verschoben, es sei denn, der Computer wird zuvor aus einem anderen Grund neu gestartet. Der Systemneustart kann für Server und Arbeitsstationen unterdrückt werden. Diese Einstellungen werden auf der Seite Benutzerfreundlichkeit des Assistenten zum Bereitstellen von Software Aktualisierungen oder des Assistenten zum Erstellen automatischer Aktualisierungen-Regeln konfiguriert.
Erneute Auswertungszyklus für die Bereitstellung
Standardmäßig starten Clientcomputer alle 7 Tage einen Erneutbewertungszyklus für die Bereitstellung. Während dieses Auswertungszyklus sucht der Clientcomputer nach Softwareupdates, die zuvor bereitgestellt und installiert wurden. Wenn Softwareupdates fehlen, werden die Softwareupdates aus dem lokalen Cache neu installiert. Wenn ein Softwareupdate nicht mehr im lokalen Cache verfügbar ist, wird es von einem Verteilungspunkt heruntergeladen und dann installiert. Sie können den Zeitplan für die erneute Auswertung auf der Seite Software Aktualisierungen in den Clienteinstellungen für den Standort konfigurieren.
Unterstützung für eingebettete Windows-Geräte, die Schreibfilter verwenden
Wenn Sie Softwareupdates auf Windows Embedded-Geräten bereitstellen, die schreibfilterfähig sind, können Sie angeben, ob der Schreibfilter auf dem Gerät während der Bereitstellung deaktiviert und das Gerät nach der Bereitstellung neu gestartet werden soll. Wenn der Schreibfilter nicht deaktiviert ist, wird die Software in einer temporären Überlagerung bereitgestellt, und die Software wird nicht mehr installiert, wenn das Gerät neu gestartet wird, es sei denn, eine andere Bereitstellung erzwingt das Beibehalten von Änderungen.
Hinweis
Wenn Sie ein Softwareupdate auf einem Windows Embedded-Gerät bereitstellen, stellen Sie sicher, dass das Gerät Mitglied einer Sammlung ist, die über ein konfiguriertes Wartungsfenster verfügt. Dadurch können Sie verwalten, wann der Schreibfilter deaktiviert und aktiviert ist und wann das Gerät neu gestartet wird.
Die Benutzerfreundlichkeitseinstellung, die das Schreibfilterverhalten steuert, ist ein Kontrollkästchen namens Commit changes at deadline or during a maintenance windows (requires restarts) (Commit changes at deadline or during a maintenance windows (requires restarts).
Weitere Informationen dazu, wie Configuration Manager eingebettete Geräte verwaltet, die Schreibfilter verwenden, finden Sie unter Planen der Clientbereitstellung auf Windows Embedded-Geräten.
Erweitern von Softwareupdates in Configuration Manager
Verwenden Sie System Center Aktualisierungen Publisher, um Softwareupdates zu verwalten, die nicht über Microsoft Update verfügbar sind. Nachdem Sie die Softwareupdates auf dem Updateserver veröffentlicht und die Softwareupdates in Configuration Manager synchronisiert haben, können Sie die Softwareupdates auf Configuration Manager Clients bereitstellen. Weitere Informationen zu Aktualisierungen Publisher finden Sie unter Aktualisierungen Publisher 2011.