Planen von Softwareupdates in Configuration Manager
Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Die Implementierung von Softwareupdates in einer System Center 2012 Configuration Manager-Produktionsumgebung muss sorgfältig geplant werden. In den folgenden Abschnitten wird erläutert, wie Sie Softwareupdates in der Configuration Manager-Hierarchie planen:
Kapazitätsplanung für den Softwareupdatepunkt
Bestimmen der Softwareupdatepunkt-Infrastruktur
Softwareupdatepunkte in Configuration Manager
Softwareupdatepunkt-Liste
Wechseln des Softwareupdatepunkts
Softwareupdatepunkte in einer nicht vertrauenswürdigen Gesamtstruktur
Verwenden eines vorhandenen WSUS-Servers als Synchronisierungsquelle am Standort der obersten Ebene
Für die Verwendung eines NLB konfigurierter Softwareupdatepunkt
Softwareupdatepunkt an sekundärem Standort
Softwareupdatepunkte in Configuration Manager ohne Service Pack
Aktiver Softwareupdatepunkt
Internetbasierter Softwareupdatepunkt
Für die Verwendung eines NLB konfigurierter aktiver Softwareupdatepunkt
Softwareupdatepunkt an sekundärem Standort
Upgrade von Configuration Manager ohne Service Pack auf Configuration Manager SP1
Planen der Installation von Softwareupdatepunkten
Anforderungen für den Softwareupdatepunkt
Planen der WSUS-Installation
Konfigurieren von Firewalls
Planen der Synchronisierungseinstellungen
Synchronisierungsquelle
Synchronisierungszeitplan
Updateklassifizierungen
Produkte
Ablösungsregeln
Sprachen
Planen der Einstellungen im Zusammenhang mit Softwareupdates
Clienteinstellungen für Softwareupdates
Einstellung des Clientcaches
Gruppenrichtlinieneinstellungen für Softwareupdates
Planung eines Wartungsfensters für Softwareupdates
Empfehlungen für die Kapazitätsplanung bei Softwareupdates
Die folgenden Empfehlungen können bei der Ermittlung der für Ihre Organisation geeigneten Informationen zur Kapazitätsplanung für Softwareupdates als Basislinie dienen. Die tatsächlichen Kapazitätsanforderungen können je nach der konkreten Netzwerkumgebung, der zum Hosten des Standortsystems für den Softwareupdatepunkt verwendeten Hardware, der Anzahl installierter Clients und der auf dem Server installierten Standortsystemrollen von den in diesem Thema aufgeführten Empfehlungen abweichen.
Kapazitätsplanung für den Softwareupdatepunkt
Die Anzahl der unterstützten Clients hängt von der WSUS-Version (Windows Server Update Services), die auf dem Softwareupdatepunkt ausgeführt wird, sowie davon ab, ob neben der Standortsystemrolle „Softwareupdatepunkt“ noch eine weitere Standortsystemrolle existiert.
Vom Softwareupdatepunkt können bis zu 25.000 Clients unterstützt werden1, wenn WSUS 3.0 Service Pack 2 (SP2) auf dem Softwareupdatepunkt-Computer ausgeführt wird und neben dem Softwareupdatepunkt noch eine weitere Standortsystemrolle existiert
Vom Softwareupdatepunkt können bis zu 100.000 Clients unterstützt werden2, wenn WSUS 3.0 SP2 auf dem Softwareupdatepunkt-Computer ausgeführt wird und neben dem Softwareupdatepunkt keine weitere Standortsystemrolle existiert
1Wenn Sie mehr als 25.000 Clients unterstützen möchten, können Sie den Softwareupdatepunkt für den Netzwerklastenausgleich (Network Load Balancing, NLB) konfigurieren.
2Die Unterstützung von bis zu 100.000 Clients ist nur gewährleistet, wenn der Softwareupdatepunkt die WSUS-Anforderungen erfüllt. Weitere Informationen finden Sie unter Determine WSUS Capacity Requirements (Bestimmen der WSUS-Kapazitätsanforderungen).
Kapazitätsplanung für Softwareupdateobjekte
Verwenden Sie die folgenden Kapazitätsinformationen zur Planung von Softwareupdateobjekten.
Limit von 1.000 Softwareupdates in einer Bereitstellung
Sie müssen die Anzahl von Softwareupdates in einer einzelnen Softwareupdatebereitstellung auf 1.000 begrenzen. Geben Sie beim Erstellen einer automatischen Bereitstellungsregel ein Kriterium an, durch das die Anzahl der zurückgegebenen Softwareupdates beschränkt wird. Bei der automatischen Bereitstellungsregel tritt ein Fehler auf, wenn mehr als 1.000 Softwareupdates mit dem von Ihnen angegebenen Kriterium übereinstimmen und somit zurückgegeben werden. Sie können den Status der automatischen Bereitstellungsregel in der Configuration Manager-Konsole im Knoten Automatische Bereitstellungsregeln überprüfen. Wenn Sie Softwareupdates manuell bereitstellen, wählen Sie höchstens 1.000 Updates zur Bereitstellung aus.
Bestimmen der Softwareupdatepunkt-Infrastruktur
Der Standort der zentralen Verwaltung und alle untergeordneten primären Standorte müssen über einen Softwareupdatepunkt verfügen, an dem Softwareupdates bereitgestellt werden Bei der Planung der Infrastruktur der Softwareupdatepunkte müssen Sie einige Abhängigkeiten bestimmen. Sie müssen bestimmen, wo der Softwareupdatepunkt des Standorts installiert werden soll, für welche Standorte ein Softwareupdatepunkt erforderlich ist, der Kommunikation von internetbasierten Clients akzeptiert, ob Sie den Softwareupdatepunkt als NLB-Cluster konfigurieren müssen und ob an einem sekundären Standort ein Softwareupdatepunkt benötigt wird. Verwenden Sie die folgenden Abschnitte, um die Infrastruktur der Softwareupdatepunkte festzulegen.
Wichtig |
---|
Informationen zu den für Softwareupdates erforderlichen internen und externen Abhängigkeiten finden Sie unter Voraussetzungen für Softwareupdates in Configuration Manager. |
Softwareupdatepunkte in Configuration Manager
Wichtig |
---|
Die Informationen in diesem Abschnitt gelten nur für Configuration Manager SP1 und System Center 2012 R2 Configuration Manager. |
Ab Configuration Manager SP1 können Sie einem primären Configuration Manager-Standort mehrere Softwareupdatepunkte hinzufügen. Durch die Möglichkeit, mehrere Softwareupdatepunkte an einem Standort zu verwenden, wird eine Fehlertoleranz ohne die mit dem Netzwerklastenausgleich verbundene Komplexität geboten. Allerdings ist das mit mehreren Softwareupdatepunkten einhergehende Failover beim reinen Lastenausgleich weniger robust als der Netzwerklastenausgleich, da bei seiner Konzeption die Fehlertoleranz im Vordergrund stand. Das Failoverdesign des Softwareupdatepunkts unterscheidet sich zudem von dem auf einer rein zufälligen Anordnung beruhenden Modell, das die Designgrundlage für Verwaltungspunkte bildet. Anders als beim Design von Verwaltungspunkten ist bei Softwareupdatepunkten der Wechsel zu einem neuen Softwareupdatepunkt mit Client- und Netzwerkleistungskosten verbunden. Durch den Wechsel des Clients zu einem neuen WSUS-Server zwecks Überprüfung auf Softwareupdates werden die Kataloggröße, die zugehörigen clientseitigen Anforderungen sowie die Anforderungen an die Netzwerkleistung gesteigert. Aus diesem Grund wird vom Client die Affinität mit dem letzten Softwareupdatepunkt aufrechterhalten, bei dem die Überprüfung erfolgreich war.
Der erste Softwareupdatepunkt, den Sie an einem primären Standort installieren, dient als Synchronisierungsquelle für alle weiteren Softwareupdatepunkte, die Sie dem primären Standort hinzufügen. Nachdem Sie die Softwareupdatepunkte hinzugefügt und die Softwareupdatesynchronisierung initiiert haben, können Sie den Status der Softwareupdatepunkte und der Synchronisierungsquelle im Arbeitsbereich Überwachung im Knoten Synchronisierungsstatus der Softwareupdatepunkte anzeigen.
Wenn bei einem Softwareupdatepunkt ein Fehler auftritt und dieser Softwareupdatepunkt als Synchronisierungsquelle der anderen Softwareupdatepunkte am Standort konfiguriert ist, müssen Sie den fehlerhaften Softwareupdatepunkt manuell entfernen und einen neuen Softwareupdatepunkt als Synchronisierungsquelle auswählen. Weitere Informationen zum Entfernen eines Softwareupdatepunkts finden Sie im Abschnitt Entfernen der Softwareupdatepunkt-Standortsystemrolle des Themas Konfigurieren von Softwareupdates im Configuration Manager.
Softwareupdatepunkt-Liste
Von Configuration Manager wird eine Softwareupdatepunkt-Liste für den Client bereitgestellt, wenn ein neuer Client die Richtlinie zur Aktivierung von Softwareupdates erhält oder wenn der Wechsel zu einem anderen Softwareupdatepunkt erforderlich ist, weil keine Verbindung zwischen dem Client und dem vorgesehenen Softwareupdatepunkt hergestellt werden kann. Vom Client wird in der Liste auf Zufallsbasis ein Softwareupdatepunkt ausgewählt. Dabei haben die Softwareupdatepunkte Priorität, die sich in der gleichen Gesamtstruktur befinden. Der Inhalt der von Configuration Manager für Clients bereitgestellten Liste hängt vom Clienttyp ab.
Intranetbasierte Clients: Diese Clients erhalten eine Liste mit Softwareupdatepunkten, die Sie so konfigurieren können, dass nur Verbindungen mit dem Intranet zulässig sind, bzw. eine Liste mit Softwareupdatepunkten, bei denen Clientverbindungen mit dem Internet und dem Intranet möglich sind.
Internetbasierte Clients: Diese Clients erhalten eine Liste mit Softwareupdatepunkten, die Sie so konfigurieren können, dass nur Verbindungen mit dem Internet zulässig sind, bzw. eine Liste mit Softwareupdatepunkten, bei denen Clientverbindungen mit dem Internet und dem Intranet möglich sind.
Wechseln des Softwareupdatepunkts
Wenn es an einem Standort mehrere Softwareupdatepunkte gibt und einer davon fehlerhaft oder nicht mehr verfügbar ist, wird von Clients eine Verbindung mit einem anderen Softwareupdatepunkt hergestellt und die Überprüfung auf die jüngsten Softwareupdates dort fortgesetzt. Die ursprüngliche Zuweisung eines Clients zu einem Softwareupdatepunkt bleibt solange bestehen, bis bei der Überprüfung dieses Softwareupdatepunkts auf Softwareupdates ein Fehler auftritt.
Hinweis |
---|
Wenn Ihnen ein aktiver Softwareupdatepunkt (SUP01) an einem Configuration Manager-Standort ohne Service Pack vorliegt, führen Sie für den Standort ein Upgrade auf Configuration Manager SP1 durch. Fügen Sie anschließend einen zweiten Softwareupdatepunkt (SUP02) hinzu. Ein Wechsel der vorhandenen Clients zu SUP02 findet daraufhin ausschließlich bei einem Überprüfungsfehler statt. Nach dem Upgrade des Standorts auf Configuration Manager SP1 werden alle neuen Clients auf Zufallsbasis entweder SUP01 oder SUP02 zugewiesen. |
Bei der Überprüfung auf Softwareupdates kann eine Reihe unterschiedlicher Wiederholungs- bzw. Nichtwiederholungsfehlercodes ausgegeben werden. Bei einem Überprüfungsfehler mit einem Wiederholungsfehlercode wird vom Client ein Wiederholungsprozess zur Überprüfung des Softwareupdatepunkts auf Softwareupdates gestartet. Ein Wiederholungsfehlercode ist in der Regel darauf zurückzuführen, dass der WSUS-Server nicht verfügbar oder vorübergehend überlastet ist. Wenn bei der Überprüfung auf Softwareupdates ein Fehler auftritt, werden folgende Vorgänge ausgeführt:
Die Überprüfung auf Softwareupdates wird vom Client zum geplanten Zeitpunkt ausgeführt. Sie kann auch über die Systemsteuerung auf dem Client oder mithilfe des SDK initiiert werden. Bei einem Überprüfungsfehler wird die Überprüfung des gleichen Softwareupdatepunkts nach einer 30-minütigen Wartezeit vom Client wiederholt.
Vom Client werden mindestens vier Wiederholungsversuche in Abständen von 30 Minuten ausgeführt. Nach dem vierten Fehler und einer weiteren Wartezeit von 2 Minuten wird zum nächsten Softwareupdatepunkt in der Softwareupdatepunkt-Liste gewechselt.
Nach einer erfolgreichen Überprüfung wird vom Client fortan eine Verbindung mit dem entsprechenden Softwareupdatepunkt hergestellt.
Die folgende Liste enthält zusätzliche Informationen, die Sie bei Wiederholungsversuchen und beim Wechseln von Softwareupdatepunkten erwägen müssen:
Wenn ein Client vom Unternehmensintranet getrennt ist und bei der Überprüfung auf Softwareupdates ein Fehler auftritt, findet kein Wechsel zu einem anderen Softwareupdatepunkt statt. Dies ist ein erwarteter Fehler, da es nicht möglich ist, eine Verbindung zwischen dem Client und dem Firmennetzwerk oder dem Softwareupdatepunkt, über den Intranetverbindungen zulässig sind, herzustellen. Die Verfügbarkeit des Softwareupdatepunkts im Intranet wird vom Configuration Manager-Client ermittelt.
Wenn die internetbasierte Clientverwaltung aktiviert ist und es mehrere Softwareupdatepunkte gibt, die dafür konfiguriert sind, Kommunikation von internetbasierten Clients zu akzeptieren, erfolgt der Wechsel nach dem im vorherigen Beispiel beschriebenen Standardwiederholungsprozess.
Wenn der Überprüfungsprozess gestartet, aber der Client vor dessen Abschluss heruntergefahren wurde, gilt dies weder als Überprüfungsfehler noch als eine der vier Wiederholungen.
Softwareupdatepunkte in einer nicht vertrauenswürdigen Gesamtstruktur
Sie können an einem Standort mindestens einen Softwareupdatepunkt zur Unterstützung von Clients in einer nicht vertrauenswürdigen Gesamtstruktur erstellen. Zum Hinzufügen eines Softwareupdatepunkts zu einer anderen Gesamtstruktur müssen Sie in dieser Gesamtstruktur zuerst einen WSUS-Server installieren und konfigurieren. Starten Sie dann den Assistenten, um einen Configuration Manager-Standortserver mit der Standortsystemrolle „Softwareupdatepunkt“ hinzuzufügen. Konfigurieren Sie im Assistenten die folgenden Einstellungen, damit eine Verbindung mit dem WSUS-Server in der nicht vertrauenswürdigen Gesamtstruktur hergestellt werden kann:
Geben Sie ein Standortsystem-Installationskonto mit Zugriff auf den WSUS-Server in der Gesamtstruktur an.
Geben Sie das Verbindungskonto für WSUS-Server an, über das die Verbindung mit dem WSUS-Server hergestellt werden soll.
Angenommen, Sie verfügen in Gesamtstruktur A über einen primären Standort mit zwei Softwareupdatepunkten (SUP01 und SUP02). Darüber hinaus verfügen Sie für denselben primären Standort über zwei Softwareupdatepunkte (SUP03 und SUP04) in Gesamtstruktur B. Wenn in diesem Beispiel der Wechsel erfolgt, haben zunächst die Softwareupdatepunkte Priorität, die sich in der gleichen Gesamtstruktur wie der Client befinden.
Verwenden eines vorhandenen WSUS-Servers als Synchronisierungsquelle am Standort der obersten Ebene
Der Standort der obersten Ebene in einer Hierarchie ist in der Regel für die Synchronisierung der Metadaten für Softwareupdates mit Microsoft Update konfiguriert. Wenn der Zugriff auf das Internet aufgrund der Sicherheitsrichtlinie Ihres Unternehmens vom Standort der obersten Ebene nicht möglich ist, können Sie einen vorhandenen WSUS-Server, der sich außerhalb der Configuration Manager-Hierarchie befindet, als Synchronisierungsquelle für den Standort der obersten Ebene konfigurieren. Angenommen, ein WSUS-Server ist im Umkreisnetzwerk installiert, das im Gegensatz zum Standort der obersten Ebene Zugriff auf das Internet hat. Sie können den WSUS-Server in dem Umkreisnetzwerk als Synchronisierungsquelle für die Metadaten für Softwareupdates konfigurieren. Sie müssen sicherstellen, dass vom WSUS-Server in dem Umkreisnetzwerk Softwareupdates synchronisiert werden, die die in der Configuration Manager-Hierarchie erforderlichen Kriterien erfüllen. Andernfalls werden vom Standort der obersten Ebene nicht die von Ihnen erwarteten Softwareupdates synchronisiert. Konfigurieren Sie beim Erstellen des Softwareupdatepunkts ein WSUS-Verbindungskonto mit Zugriff auf den WSUS-Server in dem Umkreisnetzwerk. Bestätigen Sie außerdem, dass der Datenverkehr von der Firewall über die entsprechenden Ports zugelassen wird. Weitere Informationen über die Ports, die vom Softwareupdatepunkt zur Verbindung mit der Synchronisierungsquelle verwendet werden, finden Sie im Abschnitt Softwareupdatepunkt -- > WSUS-Upstreamserver des Themas Technische Referenz für Ports in Configuration Manager.
Für die Verwendung eines NLB konfigurierter Softwareupdatepunkt
Ab Configuration Manager SP1 dürften Ihre Anforderungen an die Fehlertoleranz durch den Wechsel zu einem anderen Softwareupdatepunkt erfüllt würden. Allerdings ist der Netzwerklastenausgleich beim reinen Lastenausgleich robuster als das Softwareupdatepunkt-Failover. Durch den Netzwerklastenausgleich können zudem die Zuverlässigkeit und die Leistung eines Netzwerks gesteigert werden. In der Configuration Manager-Konsole gibt es keine Option, mit der der Softwareupdatepunkt für die Verwendung des Netzwerklastenausgleichs konfiguriert werden kann. Sie können aber den Netzwerklastenausgleich mit dem PowerShell-Cmdlet „Set-CMSoftwareUpdatePoint“ konfigurieren. Weitere Informationen zum PowerShell-Cmdlet Set-CMSoftwareUpdatePoint finden Sie im Thema Set-CMSoftwareUpdatePoint der Cmdlet-Referenz zu System Center 2012 Configuration Manager SP1.
Hinweis |
---|
Sie müssen den Netzwerklastenausgleich vom aktiven Softwareupdatepunkt entfernen, bevor Sie das Upgrade von Configuration Manager ohne Service Pack auf Configuration Manager SP1 durchführen. Nach dem Abschluss des Upgrades haben Sie die Möglichkeit, den Netzwerklastenausgleich mit Windows PowerShell erneut zu konfigurieren. |
Softwareupdatepunkt an sekundärem Standort
An sekundären Standorten ist der Softwareupdatepunkt optional. Bei der Installation eines Softwareupdatepunkts an einem sekundären Standort wird die WSUS-Datenbank als Replikat des Standard-Softwareupdatepunkts am übergeordneten primären Standort konfiguriert. An einem sekundären Standort können Sie nur einen Softwareupdatepunkt installieren. Die einem sekundären Standort zugewiesenen Geräte werden so konfiguriert, dass sie einen Softwareupdatepunkt am übergeordneten Standort verwenden, wenn am sekundären Standort kein Softwareupdatepunkt installiert ist. In der Regel installieren Sie einen Softwareupdatepunkt an einem sekundären Standort, wenn die Netzwerkbandbreite zwischen den Geräten, die dem sekundären Standort zugewiesen sind, und den Softwareupdatepunkten am übergeordneten primären Standort beschränkt ist oder wenn die Kapazität des Softwareupdatepunkts fast aufgebraucht ist. Nach der erfolgreichen Installation und Konfiguration eines Softwareupdatepunkts am sekundären Standort wird auf den Clientcomputern, die dem Standort zugewiesen sind, ein Update für eine standortweite Richtlinie durchgeführt. Der neue Softwareupdatepunkt wird danach von den Clientcomputern verwendet.
Softwareupdatepunkte in Configuration Manager ohne Service Pack
Wichtig |
---|
Die Informationen in diesem Thema gelten nur für Configuration Manager ohne Service Pack. |
Verwenden Sie die folgenden Abschnitte, um die Infrastruktur der Softwareupdatepunkte in Configuration Manager ohne Service Pack zu bestimmen.
Hinweis |
---|
Weitere Informationen zum Installieren eines Softwareupdatepunkts in einer nicht vertrauenswürdigen Gesamtstruktur finden Sie im Abschnitt Planen der Kommunikation zwischen Gesamtstrukturen im Configuration Manager des Themas Planen der Kommunikation in Configuration Manager. |
Aktiver Softwareupdatepunkt
Für den Standort der zentralen Verwaltung und alle untergeordneten primären Standorte in der Configuration Manager-Hierarchie ist ein aktiver Softwareupdatepunkt erforderlich, damit die Bereitstellung von Softwareupdates auf Clientcomputern unterstützt werden kann. Der Standort der zentralen Verwaltung wird vom aktiven Softwareupdatepunkt an einem primären Standort als Synchronisierungsquelle verwendet. Durch die Kommunikation mit WSUS werden vom Softwareupdatepunkt Einstellungen konfiguriert und Softwareupdates synchronisiert. Sie können den aktiven Softwareupdatepunkt so konfigurieren, dass Kommunikation entweder nur von Clients im Intranet oder von Clients im Intranet und im Internet akzeptiert wird. Wenn der aktive Softwareupdatepunkt nicht dafür konfiguriert ist, Kommunikation von Clients im Internet zu akzeptieren, können Sie einen internetbasierten Softwareupdatepunkt in einem Remotestandortsystem erstellen. Sie können die Standortrolle „Softwareupdate“ einem sekundären Standort hinzufügen, oder von Clientcomputern am sekundären Standort kann eine direkte Verbindung mit dem aktiven Softwareupdatepunkt am übergeordneten primären Standort hergestellt werden.
Internetbasierter Softwareupdatepunkt
Mit dem internetbasierten Softwareupdatepunkt kann Kommunikation von Clientcomputern im Internet akzeptiert werden. Sie können den internetbasierten Softwareupdatepunkt nur dann erstellen, wenn der aktive Softwareupdatepunkt nicht dafür konfiguriert ist, Kommunikation von Clientcomputern im Internet zu akzeptieren. Sie müssen den internetbasierten Softwareupdatepunkt in einem Standortsystem installieren, das sich nicht auf dem Standortserver, sondern in einem Umkreisnetzwerk befindet und für internetbasierte Clientcomputer zugänglich ist. Der internetbasierte Softwareupdatepunkt wird standardmäßig mit dem aktiven Softwareupdatepunkt am gleichen Standort synchronisiert. Wenn der internetbasierte Softwareupdatepunkt vom aktiven Softwareupdates getrennt ist, können Sie Softwareupdates mit dem Import-/Exportprozess manuell synchronisieren. Weitere Informationen finden Sie im Abschnitt Synchronisierungsquelle in diesem Thema.
Für die Verwendung eines NLB konfigurierter aktiver Softwareupdatepunkt
Mithilfe des Netzwerklastenausgleichs kann die Zuverlässigkeit und Leistung eines Netzwerks erhöht werden. Sie können mehrere WSUS-Server einrichten, von denen ein einziger SQL Server-Failovercluster gemeinsam genutzt wird, und dann einen Softwareupdatepunkt für die Verwendung von NLB konfigurieren. Durch Konfigurieren des Standortsystems für den aktiven Softwareupdatepunkt in einem NLB-Cluster wird zwar die Clientkapazität nicht notwendigerweise gesteigert, aber die Verfügbarkeit für den Softwareupdatepunkt wird möglicherweise erhöht. Sie müssen mehrere Konfigurationsschritte ausführen, bevor Sie den Softwareupdatepunkt für die Verwendung eines NLB-Clusters konfigurieren können. Weitere Informationen finden Sie unter Konfigurieren eines Softwareupdatepunkts zur Verwendung eines Netzwerklastenausgleich-Clusters (NLB).
Softwareupdatepunkt an sekundärem Standort
An sekundären Standorten ist der Softwareupdatepunkt optional. Wenn Sie einen Softwareupdatepunkt an einem sekundären Standort installieren, wird die WSUS-Datenbank nicht als autonome WSUS-Instanz, die beim Installieren des Softwareupdatepunkts an einem primären Standort oder an einem Standort der zentralen Verwaltung verwendet wird, sondern als Replikat konfiguriert.
Die einem sekundären Standort zugewiesenen Geräte werden so konfiguriert, dass sie den aktiven Softwareupdatepunkt am übergeordneten Standort verwenden, wenn am sekundären Standort kein Softwareupdatepunkt konfiguriert ist. In der Regel installieren Sie einen Softwareupdatepunkt an einem sekundären Standort, wenn die Netzwerkbandbreite zwischen den Geräten, die dem sekundären Standort zugewiesen sind, und den Softwareupdatepunkten am übergeordneten primären Standort beschränkt ist oder wenn die Kapazität des Softwareupdatepunkts fast aufgebraucht ist. Nach der erfolgreichen Installation und Konfiguration eines Softwareupdatepunkts am sekundären Standort wird auf den Clientcomputern, die dem Standort zugewiesen sind, ein Update für eine standortweite Richtlinie durchgeführt. Der neue Softwareupdatepunkt wird danach von den Clientcomputern verwendet.
Upgrade von Configuration Manager ohne Service Pack auf Configuration Manager SP1
Bei einem Upgrade von Configuration Manager ohne Service Pack auf Configuration Manager SP1 müssen Sie Folgendes erwägen:
Sie müssen den Netzwerklastenausgleich für den aktiven Softwareupdatepunkt entfernen, bevor Sie das Upgrade von Configuration Manager ohne Service Pack auf Configuration Manager SP1 durchführen. Nach dem Abschluss des Upgrades haben Sie die Möglichkeit, den Netzwerklastenausgleich mit Windows PowerShell erneut zu konfigurieren. Weitere Informationen zum Wechseln eines Softwareupdatepunkts finden Sie im Abschnitt Wechseln des Softwareupdatepunkts dieses Themas.
Wenn Ihnen ein aktiver internetbasierter Softwareupdatepunkt an einem Configuration Manager-Standort ohne Service Pack vorliegt und Sie für diesen Standort ein Upgrade auf Configuration Manager SP1 durchführen, wird der aktive internetbasierte Softwareupdatepunkt zu einem in der Softwareupdatepunkt-Liste genannten Softwareupdatepunkt aktualisiert, bei dem nur Verbindungen mit Clients im Internet möglich sind.
Wenn Ihnen ein aktiver Softwareupdatepunkt (SUP01) an einem Configuration Manager-Standort ohne Service Pack vorliegt, führen Sie für den Standort ein Upgrade auf Configuration Manager SP1 durch. Fügen Sie anschließend einen zweiten Softwareupdatepunkt (SUP02) hinzu. Die vorhandenen Clients werden daraufhin automatisch SUP01 zugewiesen. Ein Wechsel der Clients zu SUP02 findet nur bei einem Überprüfungsfehler statt. Nach dem Standortupgrade werden alle neuen Clients auf Zufallsbasis entweder SUP01 oder SUP02 zugewiesen. Weitere Informationen zur Softwareupdatepunkt-Liste finden Sie im Abschnitt Softwareupdatepunkt-Liste in diesem Thema.
Planen der Installation von Softwareupdatepunkten
Je nach der Configuration Manager-Infrastruktur müssen Sie vor dem Erstellen der Standortsystemrolle „Softwareupdatepunkt“ in Configuration Manager eine Reihe von Anforderungen sorgfältig prüfen. Wenn Sie den Softwareupdatepunkt für die SSL-Kommunikation konfigurieren, ist dieser Abschnitt besonders wichtig, da Sie zusätzliche Schritte ausführen müssen, damit die Softwareupdatepunkte in der Hierarchie ordnungsgemäß verwendet werden können. Dieser Abschnitt enthält Informationen zu den Schritten, die für die erfolgreiche Planung und Vorbereitung der Installation von Softwareupdatepunkten erforderlich sind.
Anforderungen für den Softwareupdatepunkt
Die Standortsystemrolle „Softwareupdatepunkt“ muss auf einem Standortsystem installiert werden, das die Mindestanforderungen für WSUS erfüllt und den unterstützten Konfigurationen für Configuration Manager-Standortsysteme entspricht.
Weitere Informationen zu den Mindestanforderungen für WSUS 3.0 SP2 finden Sie unter Bestätigen der WSUS 3.0 SP2-Installationsanforderungen in der Dokumentationsbibliothek zu Windows Server Update Services 3.0 SP2.
Weitere Informationen zu den Mindestanforderungen für die WSUS-Serverrolle in Windows Server 2012 finden Sie unter Schritt 1: Vorbereiten der WSUS-Bereitstellung in der Dokumentationsbibliothek zu Windows Server 2012.
Weitere Informationen zu den unterstützten Konfigurationen für Configuration Manager-Standortsysteme finden Sie im Abschnitt Anforderungen für Standortsysteme des Themas Unterstützte Konfigurationen für den Konfigurations-Manager.
Planen der WSUS-Installation
Für Softwareupdates ist es erforderlich, dass eine unterstützte Version von WSUS auf allen Standortsystemservern installiert ist, die Sie für die Standortsystemrolle „Softwareupdatepunkt“ konfigurieren. Wenn Sie den Softwareupdatepunkt nicht auf dem Standortserver installieren, müssen Sie zudem die WSUS-Verwaltungskonsole auf dem Standortservercomputer installieren, sofern sie nicht bereits installiert ist. Hierdurch wird die Kommunikation des Standortservers mit WSUS auf dem Softwareupdatepunkt ermöglicht.
Wenn Sie WSUS unter Windows Server 2012 verwenden, müssen Sie zusätzliche Berechtigungen konfigurieren. Hierdurch wird sichergestellt, dass eine Verbindung zwischen WSUS Configuration Manager in Configuration Manager und WSUS hergestellt werden kann, um regelmäßig Integritätsprüfungen auszuführen. Zum Konfigurieren der Berechtigungen stehen folgende Möglichkeiten zur Auswahl:
Fügen Sie der Gruppe WSUS-Administratoren das Konto SYSTEM hinzu.
Fügen Sie das Konto NT AUTHORITY\SYSTEM als Benutzer der WSUS-Datenbank (SUSDB) hinzu, und konfigurieren Sie mindestens die Mitgliedschaft in der Datenbankrolle „webService“.
Weitere Informationen zum Installieren von WSUS 3.0 SP2 finden Sie unter Install WSUS Server or Administration Console (Installieren des WSUS-Servers oder der Verwaltungskonsole) in der Dokumentationsbibliothek zu Windows Server Update Services 3.0 SP2.
Weitere Informationen zum Installieren von WSUS unter Windows Server 2012 finden Sie unter Install the WSUS Server Role (Installieren der WSUS-Serverrolle) in der Dokumentationsbibliothek zu Windows Server 2012.
Für System Center 2012 Configuration Manager SP1 und höher:
Wenn Sie an einem primären Standort mehrere Softwareupdatepunkte installieren, sollten Sie für jeden Softwareupdatepunkt einer Active Directory-Gesamtstruktur die gleiche WSUS-Datenbank verwenden. Durch die Nutzung der gleichen Datenbank können Sie die Auswirkungen auf die Client- und Netzwerkleistung, die sich beim Wechsel eines Clients zu einem neuen Softwareupdatepunkt ergeben können, erheblich abmildern, aber nicht vollständig beseitigen. Wenn ein Client zu einem neuen Softwareupdatepunkt wechselt, der eine Datenbank gemeinsam mit dem alten Softwareupdatepunkt nutzt, wird weiterhin eine Deltaüberprüfung ausgeführt. Diese Überprüfung ist jedoch weit weniger umfangreich als bei einem WSUS-Server mit eigener Datenbank.
Konfigurieren von WSUS für die Verwendung einer benutzerdefinierten Website
Beim Installieren von WSUS haben Sie die Möglichkeit, die vorhandene IIS-Standardwebsite zu verwenden oder eine benutzerdefinierte WSUS-Website zu erstellen. Erstellen Sie eine benutzerdefinierte Website für WSUS, damit die WSUS-Dienste von IIS in einer dedizierten virtuellen Website gehostet werden, statt die gleiche Website zu verwenden wie die übrigen Configuration Manager-Standortsysteme oder Anwendungen. Dies trifft insbesondere auf die Installation der Standortsystemrolle „Softwareupdatepunkt“ auf dem Standortserver zu. Wenn Sie WSUS unter Windows Server 2012 ausführen oder eine benutzerdefinierte Website für WSUS 3.0 SP2 konfigurieren, wird WSUS standardmäßig für die Verwendung von Port 8530 für HTTP und Port 8531 für HTTPS konfiguriert. Sie müssen diese Porteinstellungen beim Erstellen des Softwareupdatepunkts an einem Standort angeben.
Verwenden einer vorhandenen WSUS-Infrastruktur
Sie können einen WSUS-Server verwenden, der bereits vor der Installation von Configuration Manager in Ihrer Umgebung aktiv war. Beim Konfigurieren des Softwareupdatepunkts müssen Sie die Synchronisierungseinstellungen angeben. Von Configuration Manager wird eine Verbindung mit WSUS auf dem Softwareupdatepunkt hergestellt, und der WSUS-Server wird mit den gleichen Einstellungen konfiguriert. Wurde der WSUS-Server zuvor mit Produkten oder Klassifizierungen synchronisiert, die Sie nicht als Teil der Synchronisierungseinstellungen für den Softwareupdatepunkt konfiguriert haben, werden die Metadaten der Softwareupdates für die Produkte und Klassifizierungen unabhängig von den Synchronisierungseinstellungen für den Softwareupdatepunkt für sämtliche Metadaten der Softwareupdates in der WSUS-Datenbank synchronisiert. Dies kann zu unerwarteten Metadaten für Softwareupdates in der Standortdatenbank führen. Dieses Verhalten kann auch beobachtet werden, wenn Sie Produkte oder Klassifizierungen direkt in der WSUS-Verwaltungskonsole hinzufügen und die Synchronisierung sofort initiieren. Im Rahmen einer von Configuration Manager standardmäßig stündlich hergestellten Verbindung mit WSUS auf dem Softwareupdatepunkt werden alle Einstellungen zurückgesetzt, die außerhalb von Configuration Manager geändert wurden.
Ab Configuration Manager SP1 werden Softwareupdates, die nicht den von Ihnen in den Synchronisierungseinstellungen angegebenen Produkten und Klassifizierungen entsprechen, als abgelaufen festgelegt und dann aus der Standortdatenbank entfernt
Konfigurieren von WSUS als Replikatserver
Beim Erstellen der Standortsystemrolle „Softwareupdatepunkt“ auf einem primären Standortserver kann kein WSUS-Server verwendet werden, der als Replikat konfiguriert ist. Ist der WSUS-Server als Replikat konfiguriert, kann er nicht von Configuration Manager konfiguriert werden, und bei der WSUS-Synchronisierung tritt ein Fehler auf. Wenn ein Softwareupdatepunkt an einem sekundären Standort erstellt wird, wird WSUS von Configuration Manager als Replikatserver für die WSUS-Instanz konfiguriert, die auf dem Softwareupdatepunkt am übergeordneten primären Standort ausgeführt wird. Ab Configuration Manager SP1 ist der erste Softwareupdatepunkt, den Sie an einem primären Standort installieren, der Standard-Softwareupdatepunkt. Weitere Softwareupdatepunkte am Standort werden als Replikate des Standard-Softwareupdatepunkts konfiguriert.
Entscheiden, ob WSUS zur Verwendung von SSL konfiguriert werden soll
Zum Schutz von WSUS auf dem Softwareupdatepunkt können Sie das SSL-Protokoll verwenden. SSL wird von WSUS zur Authentifizierung von Clientcomputern und WSUS-Downstreamservern gegenüber dem WSUS-Server verwendet. SSL wird von WSUS auch zum Verschlüsseln von Metadaten für Softwareupdates verwendet. Wenn Sie sich dafür entscheiden, WSUS durch SSL zu schützen, müssen Sie den WSUS-Server vor der Installation des Softwareupdatepunkts entsprechend vorbereiten. Weitere Informationen zum Konfigurieren von WSUS für SSL finden Sie unter Secure WSUS with the Secure Sockets Layer Protocol (Schützen von WSUS mit dem Secure Sockets Layer-Protokoll) in der Dokumentationsbibliothek zu WSUS 3.0 SP2.
Beim Installieren und Konfigurieren des Softwareupdatepunkts müssen Sie die Einstellung SSL-Kommunikation mit dem WSUS-Server erforderlich auswählen. Andernfalls wird WSUS von Configuration Manager nicht zur Verwendung von SSL konfiguriert. Wenn Sie SSL für WSUS auf einem Softwareupdatepunkt aktivieren, muss WSUS auf den Softwareupdatepunkten an allen untergeordneten Standorten ebenfalls zur Verwendung von SSL konfiguriert werden.
Konfigurieren von Firewalls
Zwischen Softwareupdates an einem Configuration Manager-Standort der zentralen Verwaltung und WSUS auf dem Softwareupdatepunkt sowie zwischen WSUS und der Synchronisierungsquelle findet eine Kommunikation statt, um Metadaten für Softwareupdates zu synchronisieren. Softwareupdatepunkte an einem untergeordneten Standort und der Softwareupdatepunkt am übergeordneten Standort kommunizieren miteinander. Wenn sich ein aktiver internetbasierter Remote-Softwareupdatepunkt an einem Configuration Manager-Standort ohne Service Pack befindet, ist eine Kommunikation zwischen dem Standortserver und dem aktiven internetbasierten Softwareupdatepunkt sowie zwischen dem internetbasierten Softwareupdatepunkt und dem aktiven Softwareupdatepunkt des Standorts erforderlich, damit die Synchronisierung erfolgreich ausgeführt werden kann. Ab Configuration Manager SP1 muss zwischen den zusätzlichen Softwareupdatepunkten und dem ersten am Standort installierten Softwareupdatepunkt eine Kommunikation stattfinden, wenn es an einem primären Standort mehrere Softwareupdatepunkte gibt.
Unter den folgenden Umständen muss die Firewall möglicherweise so konfiguriert werden, dass die von WSUS verwendeten HTTP- bzw. HTTPS-Ports zugelassen werden: wenn sich zwischen dem Configuration Manager-Softwareupdatepunkt und dem Internet eine Unternehmensfirewall befindet, wenn es einen Softwareupdatepunkt und eine zugehörige Upstreamsynchronisierungsquelle gibt, wenn ein aktiver internetbasierter Softwareupdatepunkt und ein aktiver Softwareupdatepunkt für den Configuration Manager-Standort ohne Service Pack vorhanden sind oder wenn es an einem Configuration Manager SP1-Standort zusätzliche Softwareupdatepunkte und einen Standard-Softwareupdatepunkt gibt. Die Verbindung mit Microsoft Update ist immer für die Verwendung von Port 80 für HTTP und von Port 443 für HTTPS konfiguriert. Für die Verbindung zwischen WSUS auf dem Softwareupdatepunkt an einem untergeordneten Standort und WSUS auf dem Softwareupdatepunkt am übergeordneten Standort können Sie einen benutzerdefinierten Port verwenden. Während der Softwareupdatesynchronisierung wird die Verbindung mit WSUS auf dem aktiven Softwareupdatepunkt von WSUS auf dem internetbasierten Softwareupdatepunkt stets über HTTPS hergestellt. Wenn eine HTTPS-Verbindung aufgrund ihrer Sicherheitsrichtlinie nicht möglich ist, müssen Sie die Export-/Import-Synchronisierungsmethode verwenden. Weitere Informationen finden Sie im Abschnitt Synchronisierungsquelle in diesem Thema. Weitere Informationen zu den Ports, die von WSUS verwendet werden, finden Sie unter Bestimmen der Porteinstellungen für WSUS-Server.
Einschränken des Zugriffs auf bestimmte Domänen
Wenn es in Ihrer Organisation nicht zulässig ist, dass die Ports und Protokolle für alle Adressen der Firewall zwischen dem aktiven Softwareupdatepunkt und dem Internet offen sind, können Sie den Zugriff auf die folgenden Domänen beschränken, damit von WSUS und „Automatische Updates“ eine Verbindung mit Microsoft Update hergestellt werden kann:
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://*.download.windowsupdate.com
Wenn es untergeordnete Standorte mit einem Softwareupdatepunkt bzw. einen aktiven internetbasierten Remote-Softwareupdatepunkt an einem Standort gibt, müssen die folgenden Adressen möglicherweise ebenfalls der Firewall zwischen den beiden Standortsystemen hinzugefügt werden:
Softwareupdatepunkt am untergeordneten Standort
http://<FQDN des Softwareupdatepunkts an untergeordnetem Standort>
https://<FQDN des Softwareupdatepunkts an untergeordnetem Standort>
http://<FQDN des Softwareupdatepunkts an übergeordnetem Standort>
https://<FQDN des Softwareupdatepunkts an übergeordnetem Standort>
Internetbasierter Softwareupdatepunkt
http://<FQDN des aktiven Softwareupdatepunkts des Standorts>
https://<FQDN des aktiven Softwareupdatepunkts des Standorts>
http://<FQDN des aktiven internetbasierten Softwareupdatepunkts>
https://<FQDN des aktiven internetbasierten Softwareupdatepunkts>
Planen der Synchronisierungseinstellungen
Bei der Softwareupdatesynchronisierung in Configuration Manager werden die Metadaten für Softwareupdates ausgehend von den von Ihnen konfigurierten Kriterien abgerufen. Die von Microsoft Update stammenden Softwareupdates werden vom Standort der obersten Ebene in der Hierarchie, vom Standort der zentralen Verwaltung oder von einem eigenständigen primären Standort synchronisiert. Ab Configuration Manager SP1 haben Sie die Möglichkeit, den Softwareupdatepunkt am Standort der obersten Ebene so zu konfigurieren, dass er mit einem vorhandenen WSUS-Server, der sich nicht in der Configuration Manager-Hierarchie befindet, synchronisiert wird. Von untergeordneten primären Standorten werden Metadaten für Softwareupdates synchronisiert, die vom Softwareupdatepunkt am Standort der zentralen Verwaltung stammen. Planen Sie mithilfe dieses Abschnitts die Synchronisierungseinstellungen, bevor Sie einen Softwareupdatepunkt installieren und konfigurieren.
Synchronisierungsquelle
In den Einstellungen für die Synchronisierungsquelle des Softwareupdatepunkts wird angegeben, von welchem Ort die Metadaten für Softwareupdates vom Softwareupdatepunkt abgerufen werden und ob während des Synchronisierungsprozesses WSUS-Berichterstattungsereignisse erstellt werden sollen.
Synchronisierungsquelle: Die Synchronisierungsquelle für Microsoft Update wird standardmäßig vom Softwareupdatepunkt am Standort der obersten Ebene konfiguriert. Ab Configuration Manager SP1 haben Sie die Möglichkeit, den Standort der obersten Ebene mit einem vorhandenen WSUS-Server zu synchronisieren. Vom Softwareupdatepunkt an einem untergeordneten primären Standort wird die Synchronisierungsquelle standardmäßig als Softwareupdatepunkt des Standorts der zentralen Verwaltung konfiguriert.
Hinweis Wenn ein internetbasierter Remote-Softwareupdatepunkt vorhanden ist, ist der Upstream-Updateserver der Softwareupdatepunkt des gleichen Standorts.
Hinweis Ab Configuration Manager SP1 wird der erste Softwareupdatepunkt, den Sie an einem primären Standort installieren und der als Standard-Softwareupdatepunkt dient, mit dem Standort der zentralen Verwaltung synchronisiert. Weitere Softwareupdatepunkte am primären Standort werden mit dem Standard-Softwareupdatepunkts am primären Standort synchronisiert.
Wenn ein Softwareupdatepunkt von Microsoft Update oder dem Upstream-Updateserver getrennt ist, können Sie die Synchronisierungsquelle so konfigurieren, dass die Synchronisierung nicht mit einer konfigurierten Synchronisierungsquelle erfolgt, sondern stattdessen die Export- und Importfunktion des Tools „WSUSUtil“ verwendet wird. Weitere Informationen finden Sie im Abschnitt Synchronisieren von Softwareupdates bei einem getrennten Softwareupdatepunkt des Themas Konfigurieren von Softwareupdates im Configuration Manager.
WSUS-Berichterstattungsereignisse: Der Windows Update-Agent auf Clientcomputern kann Ereignismeldungen erstellen, die für die WSUS-Berichterstattung verwendet werden. Diese Ereignisse werden von Softwareupdates in Configuration Manager nicht verwendet. Die Option Keine WSUS-Berichterstattungsereignisse erstellen ist daher standardmäßig ausgewählt. Wenn diese Ereignisse nicht erstellt werden, sollte der Clientcomputer lediglich während der Softwareupdatebewertung und Kompatibilitätsüberprüfung eine Verbindung mit dem WSUS-Server herstellen. Wenn diese Ereignisse für die Berichterstattung außerhalb der Softwareupdates in Configuration Manager benötigt werden, muss diese Einstellung geändert werden, damit WSUS-Berichterstattungsereignisse erstellt werden.
Synchronisierungszeitplan
Sie können den Synchronisierungszeitplan nur auf dem Softwareupdatepunkt am Standort der obersten Ebene in der Configuration Manager-Hierarchie konfigurieren. Wenn Sie den Synchronisierungszeitplan konfigurieren, findet die Synchronisierung des Softwareupdatepunkts mit der Synchronisierungsquelle zum angegebenen Zeitpunkt statt. Mit einem benutzerdefinierten Zeitplan können Sie Softwareupdates zu einem Zeitpunkt synchronisieren, zu dem die Anforderungen des WSUS-Servers, Standortservers und Netzwerks gering sind, beispielsweise jede Woche an einem bestimmten Tag um 02:00 Uhr. Alternativ kann die Synchronisierung am Standort der oberste Ebene mit der Aktion Softwareupdates synchronisieren initiiert werden, die sich in der Configuration Manager-Konsole im Knoten Alle Softwareupdates oder Softwareupdategruppen befindet.
Tipp |
---|
Planen Sie die Ausführung der Softwareupdatesynchronisierung in einem für Ihre Umgebung geeigneten Zeitrahmen. Eine Möglichkeit besteht darin, den Zeitplan so zu konfigurieren, dass die Softwareupdatesynchronisierung kurz nach der Veröffentlichung der Microsoft-Sicherheitsupdates jeweils am zweiten Dienstag eines Monats („Patch-Dienstag“) ausgeführt wird. Eine andere Möglichkeit besteht darin, den Zeitplan so zu konfigurieren, dass die Softwareupdatesynchronisierung täglich ausgeführt wird, wenn Sie mithilfe von Softwareupdates Endpoint Protection-Definitions- und Modulupdates bereitstellen. |
Nach dem erfolgreichen Abschluss der Synchronisierung durch den Softwareupdatepunkt wird eine Synchronisierungsanforderung an untergeordnete Standorte gesendet. Ab Configuration Manager SP1 wird eine Synchronisierungsanforderung an alle Softwareupdatepunkte gesendet, wenn es an einem primären Standort weitere Softwareupdatepunkte gibt. In Configuration Manager ohne Service Pack wird eine Synchronisierungsanforderung an den aktiven internetbasierten Softwareupdatepunkt gesendet, sofern installiert. Der Prozess wird an jedem Standort der Hierarchie wiederholt.
Updateklassifizierungen
Jedes Softwareupdate ist mit einer Updateklassifizierung definiert, die bei der Einteilung in verschiedene Updatearten behilflich ist. Bei der Synchronisierung werden die Metadaten der Softwareupdates für die angegebenen Klassifizierungen synchronisiert. Mit Configuration Manager können Sie Softwareupdates mit folgenden Updateklassifizierungen synchronisieren:
Wichtige Updates: Hierbei handelt es sich um ein im großen Umfang freigegebenes Update für ein bestimmtes Problem, mit dem ein wichtiger, nicht sicherheitsrelevanter Fehler behoben wird.
Definitionsupdates: Hierbei handelt es sich um ein Update für Virus- oder andere Definitionsdateien.
Feature Packs: Hierbei handelt es sich um neue Produktfunktionen, die außerhalb einer Produktversion verteilt werden, und Funktionen, die in der Regel in der nächsten vollständigen Produktversion enthalten sind.
Sicherheitsupdates: Hierbei handelt es sich um ein großen Umfang freigegebenes Update für ein produktspezifisches, sicherheitsrelevantes Problem.
Service Packs: Hierbei handelt es sich um einen kumulativen Satz von Hotfixes, die auf eine Anwendung angewendet werden. Diese Hotfixes können Sicherheitsupdates, wichtige Updates, Softwareupdates usw. umfassen.
Tools: Hierbei handelt es sich um ein Dienstprogramm oder Funktion, mit dem mindestens eine Aufgabe leichter ausgeführt werden kann.
Aktualisierungsrollups: Hierbei handelt es sich um einen kumulativen Satz von Hotfixes, die gebündelt sind, um die Bereitstellung einfacher zu gestalten. Diese Hotfixes können Sicherheitsupdates, wichtige Updates, Updates usw. umfassen. Ein Aktualisierungsrollup betrifft in der Regel einen bestimmten Bereich, z. B. Sicherheit oder eine Produktkomponente.
Updates: Hierbei handelt es sich um ein Update für eine gegenwärtig installierte Anwendung oder Datei.
Die Updateklassifizierungseinstellungen werden nur am Standort der obersten Ebene konfiguriert. Diese Einstellungen werden nicht auf dem Softwareupdatepunkt untergeordneter Standorte konfiguriert, da die Metadaten der Softwareupdates vom Standort der obersten Ebene auf untergeordnete primäre Standorte repliziert werden. Beim Auswählen der Updateklassifizierungen nimmt die Synchronisierung der Softwareupdate-Metadaten umso mehr Zeit in Anspruch, je mehr Klassifizierungen ausgewählt werden.
Warnung |
---|
Es wird empfohlen, die Auswahl sämtlicher Klassifizierungen aufzuheben, bevor Sie Softwareupdates zum ersten Mal synchronisieren. Wählen Sie die Klassifizierungen nach der Erstsynchronisierung in den Eigenschaften der Softwareupdatepunktkomponente aus, und initiieren Sie dann die Synchronisierung erneut. |
Produkte
Anhand der Metadaten für die einzelnen Softwareupdates werden ein oder mehrere Produkte definiert, für die das Update gilt. Ein Produkt ist eine bestimmte Edition eines Betriebssystems oder einer Anwendung. Ein Beispiel für ein Produkt ist Microsoft Windows Server 2008. Eine Produktfamilie ist das Basisbetriebssystem bzw. die Basisanwendung, von dem bzw. der die einzelnen Produkte abgeleitet sind. Ein Beispiel für eine Produktfamilie ist Microsoft Windows. Microsoft Windows Server 2008 ist ein Mitglied dieser Produktfamilie. Sie können eine Produktfamilie oder einzelne Produkte innerhalb einer Produktfamilie angeben.
Wenn Softwareupdates auf mehrere Produkte anwendbar sind und mindestens eines der Produkte für die Synchronisierung ausgewählt wird, werden sämtliche Produkte in der Configuration Manager-Konsole angezeigt, auch wenn nicht alle Produkte ausgewählt wurden. Wenn z. B. Windows Server 2008 das einzige Betriebssystem ist, das Sie abonniert haben, und ein Softwareupdate für Windows Server 2008 und Windows Server 2008 Datacenter Edition gilt, werden beide Produkte in der Standortdatenbank angezeigt.
Die Produkteinstellungen werden nur am Standort der obersten Ebene konfiguriert. Diese Einstellungen werden nicht auf dem Softwareupdatepunkt für untergeordnete Standorte konfiguriert, da die Metadaten der Softwareupdates vom Standort der obersten Ebene auf untergeordnete primäre Standorte repliziert werden. Bedenken Sie, dass beim Auswählen der Produkte die Synchronisierung der Softwareupdate-Metadaten umso mehr Zeit in Anspruch nimmt, je mehr Produkte ausgewählt werden.
Wichtig |
---|
Von Configuration Manager wird eine Liste der Produkte und Produktfamilien gespeichert, in der Sie bei der Erstinstallation des Softwareupdatepunkts eine Auswahl treffen können. Produkte und Produktfamilien, die nach der Veröffentlichung von Configuration Manager freigegeben werden, können möglicherweise erst ausgewählt werden, nachdem Sie die Softwareupdatesynchronisierung abgeschlossen haben. Bei der Softwareupdatesynchronisierung wird die Liste der verfügbaren Produkte und Produktfamilien aktualisiert. Es empfiehlt sich, die Auswahl sämtlicher Produkte aufzuheben, bevor Sie Softwareupdates zum ersten Mal synchronisieren. Wählen Sie die Produkte nach der Erstsynchronisierung in den Eigenschaften der Softwareupdatepunkt-Komponente aus, und initiieren Sie die Synchronisierung dann erneut. |
Ablösungsregeln
Mit einem Softwareupdate, das ein anderes Softwareupdate ablöst, werden in der Regel folgende Aktionen ausgeführt:
Erweiterung, Verbesserung oder Aktualisierung der Korrekturen, die von früher herausgegebenen Updates bereitgestellt wurden.
Steigerung der Effizienz des abgelösten Updatedateipakets, das auf Clientcomputern installiert wird, sofern die Installation des Updates genehmigt wird. Beispielsweise kann das abgelöste Update Dateien enthalten, die für die Korrektur oder die vom neuen Update unterstützten Betriebssysteme nicht mehr relevant sind. Diese Dateien sind dann im Dateipaket des neuen Updates nicht mehr enthalten.
Ausführung eines Updates für neuere Produktversionen. Anders ausgedrückt: Es werden Versionen aktualisiert, die für ältere Versionen oder Konfigurationen eines Produkts nicht mehr gültig sind. Updates können außerdem durch andere Updates abgelöst werden, wenn zur Erweiterung der Sprachunterstützung entsprechende Änderungen vorgenommen wurden. Beispielsweise wäre es möglich, dass in einer späteren Version eines Produktupdates für Microsoft Office ein älteres Betriebssystem nicht mehr unterstützt, dafür aber in der Erstversion des Updates die Sprachunterstützung erweitert wird.
In den Eigenschaften für den Softwareupdatepunkt können Sie angeben, dass abgelöste Softwareupdates sofort ablaufen sollen. Hierdurch verhindern Sie, dass diese Softwareupdates in neue Bereitstellungen eingeschlossen werden. Zudem wird bei bestehenden Bereitstellungen durch eine Kennzeichnung darauf hingewiesen, dass sie mindestens ein abgelöstes Softwareupdate enthalten. Sie können auch angeben, dass die abgelösten Softwareupdates erst nach einem bestimmten Zeitraum ablaufen. In diesem Fall können Sie diese Updates weiterhin bereitstellen. Die Bereitstellung eines abgelösten Softwareupdates kann in folgenden Situationen empfehlenswert sein:
Von einem ablösenden Softwareupdate werden nur neuere Versionen eines Betriebssystems unterstützt, und auf einigen Clientcomputern werden frühere Versionen des Betriebssystems ausgeführt.
Die Anwendbarkeit eines ablösenden Softwareupdates ist stärker eingeschränkt als die des abzulösenden Softwareupdates. Das ablösende Softwareupdate wäre dadurch für einige Clientcomputer ungeeignet.
Die Bereitstellung eines ablösenden Softwareupdates wurde in Ihrer Produktionsumgebung nicht genehmigt.
Sprachen
Über die Spracheinstellungen für den Softwareupdatepunkt können Sie die Sprachen konfigurieren, für die die Übersichtsdetails (Softwareupdate-Metadaten) für Softwareupdates synchronisiert werden sollen, und die Sprachen, in denen die Softwareupdatedateien heruntergeladen werden sollen.
Softwareupdatedatei
Die Sprachen, die Sie in den Eigenschaften des Softwareupdatepunkts für die Einstellung Softwareupdatedatei konfigurieren, sind beim Herunterladen von Softwareupdates auf einen Standort standardmäßig verfügbar. Sie können anpassen, welche Sprachen beim Herunterladen oder Bereitstellen von Softwareupdates standardmäßig ausgewählt sind. Während des Herunterladens werden die verfügbaren Softwareupdatedateien für die konfigurierten Sprachen an den Quellspeicherort des Bereitstellungspakets heruntergeladen, wenn die Softwareupdatedateien in der ausgewählten Sprache verfügbar sind. Anschließend werden sie in die Inhaltsbibliothek auf dem Standortserver kopiert und auf die für das Paket konfigurierten Verteilungspunkte kopiert.
Die Spracheinstellungen der Softwareupdatedatei sollten mit den Sprachen konfiguriert werden, die in Ihrer Umgebung am häufigsten verwendet werden. Beispiel: Wenn die Betriebssysteme oder Anwendungen auf den Clientcomputern, die dem Standort zugewiesen sind, überwiegend in den Sprachen Deutsch und Englisch und nur zu einem geringen Teil in anderen Sprachen verwendet werden, wählen Sie beim Herunterladen oder Bereitstellen des Softwareupdates in der Spalte Softwareupdatedatei die Sprachen Deutsch und Englisch aus und heben die Auswahl der anderen Sprachen auf. So können Sie in den Assistenten zum Bereitstellen und Herunterladen auf der Seite Sprachauswahl die Standardeinstellungen verwenden. Dadurch wird auch verhindert, dass nicht benötigte Updatedateien heruntergeladen werden. Diese Einstellung wird auf den einzelnen Softwareupdatepunkten in der Configuration Manager-Hierarchie konfiguriert.
Übersichtsdetails
Während des Synchronisierungsprozesses werden die Übersichtsdetails (Softwareupdate-Metadaten) für Softwareupdates in den angegebenen Sprachen aktualisiert. Die Metadaten enthalten Informationen zum Softwareupdate wie Name, Beschreibung, vom Update unterstützte Produkte, Updateklassifizierung, Artikel-ID, Download-URL, Anwendbarkeitsregeln usw.
Die Übersichtsdetails werden nur am Standort der obersten Ebene konfiguriert. Sie werden nicht auf dem aktiven Softwareupdatepunkt für untergeordnete Standorte konfiguriert, da die Metadaten der Softwareupdates mithilfe von dateibasierter Replikation vom Standort der zentralen Verwaltung auf diese Standorte repliziert werden. Wählen Sie für die Übersichtsdetails nur die in der Umgebung erforderlichen Sprachen aus. Je mehr Sprachen ausgewählt sind, desto länger dauert die Synchronisierung der Softwareupdate-Metadaten. Die Softwareupdate-Metadaten werden von Configuration Manager im Gebietsschema des Betriebssystems angezeigt, unter dem die Configuration Manager-Konsole ausgeführt wird. Falls die lokalisierten Eigenschaften der Softwareupdates im Gebietsschema des Betriebssystems nicht verfügbar sind, werden die Softwareupdateinformationen in Englisch angezeigt.
Wichtig |
---|
Achten Sie darauf, alle Sprachen für Übersichtsdetails auszuwählen, die in Ihrer Configuration Manager-Hierarchie erforderlich sind. Beim Synchronisieren des Softwareupdatepunkts am Standort der obersten Ebene mit der Synchronisierungsquelle wird anhand der Sprachen für Übersichtsdetails bestimmt, welche Softwareupdate-Metadaten abgerufen werden. Wenn Sie die Sprachen für Übersichtsdetails ändern, nachdem die Synchronisierung mindestens einmal ausgeführt wurde, werden die Metadaten für die geänderten Übersichtsdetailsprachen nur für neue und aktualisierte Softwareupdates abgerufen. Für die bereits synchronisierten Softwareupdates werden neue Metadaten für die geänderten Sprachen nur abgerufen, wenn auf der Synchronisierungsquelle eine Änderung des Softwareupdates vorgenommen wurde. |
Planen der Einstellungen im Zusammenhang mit Softwareupdates
Die Clienteinstellungen für Softwareupdates in Configuration Manager gelten standortweit und sind mit Standardwerten konfiguriert. Über Clienteinstellungen für Softwareupdates und Netzwerkzugriffsschutz (NAP) wird festgelegt, zu welchem Zeitpunkt Softwareupdates auf ihre Kompatibilität überprüft werden sowie auf welche Weise und zu welchem Zeitpunkt Softwareupdates auf Clientcomputern installiert werden. Auf dem Clientcomputer sind zudem Gruppenrichtlinieneinstellungen vorhanden, die möglicherweise entsprechend Ihrer Umgebung konfiguriert werden müssen. Weitere Informationen zum Konfigurieren von Einstellungen für Softwareupdates finden Sie im Abschnitt Schritt 4: Überprüfen von Clienteinstellungen für Softwareupdates und von Konfigurationen für Gruppenrichtlinien des Themas Konfigurieren von Softwareupdates im Configuration Manager.
Clienteinstellungen für Softwareupdates
Nach der Installation des Softwareupdatepunkts ist der Client-Agent für Softwareupdates standardmäßig aktiviert. Sie müssen keine bestimmten Clienteinstellungen konfigurieren, sollten aber die Einstellungen überprüfen, um sicherzustellen, dass die Standardwerte Ihren Anforderungen genügen. Clienteinstellungen für Softwareupdates und NAP werden im Arbeitsbereich Verwaltung unter Clienteinstellungen konfiguriert. Weitere Informationen zum Konfigurieren von Einstellungen für Softwareupdates finden Sie im Abschnitt Clienteinstellungen für Softwareupdates des Themas Konfigurieren von Softwareupdates im Configuration Manager.
Wichtig |
---|
Die Einstellung Softwareupdates auf Clients aktivieren ist standardmäßig aktiviert. Wenn Sie diese Einstellung deaktivieren, werden die vorhandenen Bereitstellungsrichtlinien von Configuration Manager vom Client entfernt. Außerdem funktionieren NAP- und Kompatibilitätseinstellungsrichtlinien nicht mehr, die auf der Softwareupdate-Geräteeinstellung basieren. |
Gruppenrichtlinieneinstellungen für Softwareupdates
Von Windows Update Agent (WUA) werden auf Clientcomputern bestimmte Gruppenrichtlinieneinstellungen verwendet, um eine Verbindung mit WSUS auf dem aktiven Softwareupdatepunkt herzustellen, die Kompatibilität von Softwareupdates zu prüfen und die Softwareupdates und WUA automatisch zu aktualisieren.
Warnung |
---|
Wenn Clients ein Active Directory-Gruppenrichtlinienobjekt zugewiesen wurde, auf denen ein WSUS-Server angegeben ist, bei dem es sich nicht um einen Configuration Manager-Softwareupdatepunkt handelt, wird dadurch die mithilfe von Configuration Manager konfigurierte lokale Gruppenrichtlinieneinstellung überschrieben. Bevor Sie die Kompatibilität der Softwareupdates bewerten und Bereitstellungen von Softwareupdates auf diesen Clients verwalten können, müssen Sie die Konfiguration der Active Directory-Gruppenrichtlinieneinstellung ändern oder Clientcomputer in eine Organisationseinheit (OU) verschieben, auf die diese Gruppenrichtlinieneinstellung nicht angewendet wurde. |
Weitere Informationen zum Konfigurieren von Einstellungen für Softwareupdates finden Sie im Abschnitt Gruppenrichtlinieneinstellungen für Softwareupdates des Themas Konfigurieren von Softwareupdates im Configuration Manager.
Einstellung des Clientcaches
Vom Configuration Manager-Client wird der Inhalt für erforderliche Softwareupdates kurz nach dem Erhalt der Bereitstellung in den lokalen Clientcache heruntergeladen. Dies geschieht jedoch erst nach dem unter Zeitpunkt der Verfügbarkeit der Software festgelegten Zeitpunkt. Die Softwareupdates in optionalen Bereitstellungen (d. h. Bereitstellungen ohne Installationsstichtag) werden erst heruntergeladen, wenn der Benutzer die Installation manuell initiiert. Nach Ablauf des konfigurierten Stichtags wird vom Softwareupdateclient-Agent überprüft, ob das Softwareupdate noch erforderlich und die Softwareupdate-Quelldatei noch im lokalen Cache auf dem Clientcomputer verfügbar ist. Anschließend wird das Softwareupdate installiert. Wurde der Inhalt aus dem Clientcache gelöscht, um für eine andere Bereitstellung Platz zu machen, werden die Softwareupdates vom Client in den Clientcache heruntergeladen. Softwareupdates werden unabhängig von der konfigurierten maximalen Größe des Clientcaches immer in den Clientcache heruntergeladen. Bei anderen Bereitstellungen, z. B. für Anwendungen oder Pakete, werden nur Inhalte heruntergeladen, deren Größe die für den Client konfigurierte maximale Cachegröße nicht überschreitet. Cacheinhalte werden nicht automatisch gelöscht. Sie verbleiben nach der Verwendung der Inhalte durch den Client mindestens einen Tag lang im Cache.
Planung eines Wartungsfensters für Softwareupdates
Ab System Center 2012 R2 Configuration Manager können Sie ein für die Installation von Softwareupdates reserviertes Wartungsfenster hinzufügen. Dadurch können Sie ein allgemeines Wartungsfenster und ein anderes Wartungsfenster für Softwareupdates konfigurieren. Wenn ein allgemeines Wartungsfenster und ein Wartungsfenster für Softwareupdates konfiguriert sind, werden Softwareupdates auf Clients nur während des Wartungsfensters für Softwareupdates installiert. Weitere Informationen zu Wartungsfenstern finden Sie unter Verwenden von Wartungsfenstern in Configuration Manager.
Zusätzliche Themen zur Planung von Softwareupdates
Verwenden Sie die folgenden Themen zur Planung von Softwareupdates in Configuration Manager: