Najlepsze rozwiązania dotyczące aktualizacji oprogramowania w Configuration Manager
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Ten artykuł zawiera najlepsze rozwiązania dotyczące aktualizacji oprogramowania w Configuration Manager. Informacje te są posortowane w najlepszych rozwiązaniach dotyczących instalacji początkowej i bieżących operacji.
Najlepsze rozwiązania dotyczące instalacji
Podczas instalowania aktualizacji oprogramowania w Configuration Manager skorzystaj z poniższych najlepszych rozwiązań.
Używanie udostępnionej bazy danych WSUS dla punktów aktualizacji oprogramowania
Podczas instalowania więcej niż jednego punktu aktualizacji oprogramowania w lokacji głównej użyj tej samej bazy danych programu WSUS dla każdego punktu aktualizacji oprogramowania w tym samym lesie usługi Active Directory. W przypadku współużytkowania tej samej bazy danych znacznie zmniejsza to, ale nie eliminuje całkowicie wpływu klienta i wydajności sieci, który może wystąpić, gdy klienci przełączają się do nowego punktu aktualizacji oprogramowania. Skanowanie różnicowe nadal występuje, gdy klient przełącza się do nowego punktu aktualizacji oprogramowania, który współużytkuje bazę danych ze starym punktem aktualizacji oprogramowania, ale skanowanie jest znacznie mniejsze niż gdyby serwer WSUS miał własną bazę danych. Aby uzyskać więcej informacji na temat przełączania punktu aktualizacji oprogramowania, zobacz Przełączanie punktu aktualizacji oprogramowania.
Ważna
Udostępnij również lokalne foldery zawartości programu WSUS, jeśli używasz udostępnionej bazy danych programu WSUS dla punktów aktualizacji oprogramowania.
Aby uzyskać więcej informacji na temat udostępniania bazy danych programu WSUS, zobacz następujące wpisy w blogu:
Gdy Configuration Manager i WSUS używają tego samego SQL Server, skonfiguruj je tak, aby używały nazwanego wystąpienia, a drugie do używania wystąpienia domyślnego
Gdy bazy danych Configuration Manager i WSUS współużytkują to samo wystąpienie SQL Server, nie można łatwo określić użycia zasobów między dwiema aplikacjami. Użyj różnych wystąpień SQL Server dla usług Configuration Manager i WSUS. Ta konfiguracja ułatwia rozwiązywanie i diagnozowanie problemów z użyciem zasobów, które mogą wystąpić dla każdej aplikacji.
Określ ustawienie "Lokalnie przechowuj aktualizacje"
Podczas instalowania programu WSUS wybierz ustawienie Przechowuj aktualizacje lokalnie. To ustawienie powoduje, że program WSUS pobiera postanowienia licencyjne skojarzone z aktualizacjami oprogramowania. Pobiera terminy podczas procesu synchronizacji i przechowuje je na lokalnym dysku twardym serwera WSUS. Jeśli to ustawienie nie zostanie wybrane, komputery klienckie mogą zakończyć się niepowodzeniem podczas skanowania zgodności pod kątem aktualizacji oprogramowania z postanowieniami licencyjnymi. Składnik Programu WSUS Synchronization Manager punktu aktualizacji oprogramowania sprawdza, czy to ustawienie jest domyślnie włączone co 60 minut.
Konfigurowanie punktów aktualizacji oprogramowania do korzystania z protokołu TLS/SSL
Skonfigurowanie serwerów Windows Server Update Services (WSUS) i odpowiednich punktów aktualizacji oprogramowania do korzystania z protokołu TLS/SSL może zmniejszyć możliwość zdalnego naruszenia zabezpieczeń klienta przez potencjalnego osobę atakującą i podniesienia uprawnień. Aby upewnić się, że istnieją najlepsze protokoły zabezpieczeń, zdecydowanie zalecamy użycie protokołu TLS/SSL w celu zabezpieczenia infrastruktury aktualizacji oprogramowania. Aby uzyskać więcej informacji, zobacz samouczek Konfigurowanie punktu aktualizacji oprogramowania w celu używania protokołu TLS/SSL z certyfikatem PKI.
Najlepsze rozwiązania operacyjne
W przypadku korzystania z aktualizacji oprogramowania skorzystaj z następujących najlepszych rozwiązań:
Ograniczanie aktualizacji oprogramowania do 1000 w ramach pojedynczego wdrożenia aktualizacji oprogramowania
Ogranicz liczbę aktualizacji oprogramowania do 1000 w każdym wdrożeniu aktualizacji oprogramowania. Podczas tworzenia reguły wdrażania automatycznego sprawdź, czy określone kryteria nie powodują więcej niż 1000 aktualizacji oprogramowania. Jeśli ręcznie wdrażasz aktualizacje oprogramowania, nie wybieraj więcej niż 1000 aktualizacji.
Utwórz nową grupę aktualizacji oprogramowania za każdym razem, gdy zostanie uruchomiona usługa ADR dla "Patch Tuesday" i dla wdrożeń ogólnych
We wdrożeniu istnieje limit 1000 aktualizacji oprogramowania. Podczas tworzenia reguły wdrażania automatycznego (ADR) należy określić, czy należy użyć istniejącej grupy aktualizacji, czy utworzyć nową grupę aktualizacji za każdym razem, gdy reguła zostanie uruchomiona. Jeśli określisz kryteria w usłudze ADR, które skutkują wieloma aktualizacjami oprogramowania, a reguła będzie uruchamiana zgodnie z harmonogramem cyklicznym, utwórz nową grupę aktualizacji oprogramowania za każdym razem, gdy reguła zostanie uruchomiona. To zachowanie uniemożliwia wdrożenie przekroczenie limitu 1000 aktualizacji oprogramowania na wdrożenie.
Używanie istniejącej grupy aktualizacji oprogramowania dla aktualizacji definicji usługi ADRs dla programu Endpoint Protection
Jeśli używasz trasy ADR do częstego wdrażania aktualizacji definicji programu Endpoint Protection, zawsze używaj istniejącej grupy aktualizacji oprogramowania. W przeciwnym razie usługa ADR potencjalnie tworzy setki grup aktualizacji oprogramowania w czasie. Wydawcy aktualizacji definicji zazwyczaj ustawiają, że aktualizacje definicji wygasają, gdy zostaną zastąpione przez cztery nowsze aktualizacje. W związku z tym grupa aktualizacji oprogramowania utworzona przez trasę ADR nigdy nie zawiera więcej niż czterech aktualizacji definicji dla wydawcy: jednej aktywnej i trzech zastąpionych.