Planowanie aktualizacji oprogramowania w programie Configuration Manager
Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Przed zaimplementowaniem aktualizacji oprogramowania w środowisku produkcyjnym programu System Center 2012 Configuration Manager należy najpierw zaplanować tę implementację. Do zaplanowania aktualizacji oprogramowania w danej hierarchii programu Menedżer konfiguracji służą następujące części tego tematu:
Planowanie wydajności dla punktu aktualizacji oprogramowania
Ustalanie infrastruktury punktu aktualizacji oprogramowania
Punkty aktualizacji oprogramowania w programie Configuration Manager
Lista punktów aktualizacji oprogramowania
Przełączanie punktów aktualizacji oprogramowania
Punkty aktualizacji oprogramowania w lesie niezaufanym
Używanie istniejącego serwera usług WSUS jako źródła synchronizacji w lokacji najwyższego poziomu
Punkt aktualizacji oprogramowania skonfigurowany do korzystania z równoważenia obciążenia sieciowego
Punkt aktualizacji oprogramowania w lokacji dodatkowej
Punkty aktualizacji oprogramowania w programie Configuration Manager bez dodatku Service Pack
Punkt aktualizacji oprogramowania aktywnego
Internetowy punkt aktualizacji oprogramowania
Punkt aktualizacji oprogramowania aktywnego skonfigurowany do korzystania z równoważenia obciążenia sieciowego
Punkt aktualizacji oprogramowania w lokacji dodatkowej
Uaktualnienie programu Configuration Manager bez dodatku Service Pack do wersji Configuration Manager SP1
Planowanie instalacji punktu aktualizacji oprogramowania
Wymagania dla punktu aktualizacji oprogramowania
Planowanie instalacji programu WSUS
Konfigurowanie zapór
Planowanie ustawień synchronizacji
Źródło synchronizacji
Harmonogram synchronizacji
Klasyfikacje aktualizacji
Produkty
Zasady zastępowania
Języki
Planowanie ustawień skojarzonych z aktualizacjami oprogramowania
Ustawienia klienta dotyczące aktualizacji oprogramowania
Ustawienie pamięci podręcznej klienta
Ustawienia zasad grupy dotyczące aktualizacji oprogramowania
Planowanie okna obsługi aktualizacji oprogramowania
Zalecenia dotyczące planowania wydajności pod kątem aktualizacji oprogramowania
Poniższe zalecenia można potraktować jako bazę pomocną w ustaleniu właściwych dla danej organizacji informacji dotyczących planowania wydajności pod kątem aktualizacji oprogramowania. Rzeczywiste wymagania dotyczące wydajności mogą się różnić od zaleceń w tym temacie zależnie od tych kryteriów: konkretne środowisko sieciowe, sprzęt używany do hostowania systemu lokacji punktu aktualizacji oprogramowania, liczba zainstalowanych klientów, a także role systemu lokacji zainstalowane na serwerze.
Planowanie wydajności dla punktu aktualizacji oprogramowania
Liczba obsługiwanych klientów zależy od wersji usług Windows Server Update Services (WSUS) uruchamianej w punkcie aktualizacji oprogramowania, a także od tego, czy rola systemu lokacji punktu aktualizacji oprogramowania współistnieje z inną rolą systemu lokacji.
Punkt aktualizacji oprogramowania może obsłużyć do 25 000 klientów1, kiedy usługi WSUS 3.0 z dodatkiem Service Pack 2 (SP2) działają na komputerze punktu aktualizacji oprogramowania, a punkt aktualizacji oprogramowania współistnieje z inną rolą systemu lokacji.
Punkt aktualizacji oprogramowania może obsłużyć do 100 000 klientów2, kiedy usługi WSUS 3.0 SP2 działają na komputerze punktu aktualizacji oprogramowania, a punkt aktualizacji oprogramowania nie współistnieje z inną rolą systemu lokacji.
1 W celu obsługi ponad 25 000 klientów punkt aktualizacji oprogramowania można skonfigurować do korzystania z równoważenia obciążenia sieciowego.
2 W celu obsługi maksymalnie 100 000 klientów punkt aktualizacji oprogramowania musi spełniać wymagania usług WSUS. Więcej informacji znajduje się w temacie Determine WSUS Capacity Requirements (Ustalanie wymagań wydajnościowych usług WSUS).
Planowanie wydajności pod kątem obiektów aktualizacji oprogramowania
Podczas planowania obiektów aktualizacji oprogramowania należy uwzględnić następujące informacje dotyczące wydajności.
Limit 1000 aktualizacji oprogramowania w jednym wdrożeniu
Liczbę aktualizacji oprogramowania w każdym wdrożeniu aktualizacji oprogramowania należy ograniczyć do 1000. Podczas tworzenia zasady wdrażania automatycznego należy określić kryteria, które ograniczą liczbę zwracanych aktualizacji oprogramowania. Jeśli określone kryteria zwrócą więcej niż 1000 aktualizacji oprogramowania, zasada wdrażania automatycznego zakończy się niepowodzeniem. Stan zasady wdrażania automatycznego można sprawdzić w węźle Zasady wdrażania automatycznego w konsoli programu Menedżer konfiguracji. W przypadku ręcznego wdrażania aktualizacji oprogramowania nie należy wybierać więcej niż 1000 aktualizacji.
Ustalanie infrastruktury punktu aktualizacji oprogramowania
Centralna lokacja administracyjna i wszystkie podrzędne lokacje główne muszą dysponować punktem aktualizacji oprogramowania, w którym aktualizacje oprogramowania będą wdrażane. Podczas planowania infrastruktury punktu aktualizacji oprogramowania należy określić następujące zależności: gdzie zainstalować punkt aktualizacji oprogramowania dla danej lokacji; które lokacje wymagają punktu aktualizacji oprogramowania akceptującego komunikację z klientami internetowymi; czy punkt aktualizacji oprogramowania będzie konfigurowany jako klaster równoważenia obciążenia sieciowego; oraz czy jest potrzebny punkt aktualizacji oprogramowania w lokacji dodatkowej. W ustaleniu infrastruktury punktu aktualizacji oprogramowania będą pomocne poniższe części.
Ważne |
---|
Informacje o wewnętrznych i zewnętrznych zależnościach wymaganych do aktualizacji oprogramowania znajdują się w temacie Wymagania wstępne dotyczące aktualizacji oprogramowania w programie Configuration Manager. |
Punkty aktualizacji oprogramowania w programie Configuration Manager
Ważne |
---|
Informacje zamieszczone w tej części dotyczą tylko programów Menedżer konfiguracji SP1 i System Center 2012 R2 Configuration Manager. |
Począwszy od programu Menedżer konfiguracji SP1, w lokacji głównej programu Menedżer konfiguracji można dodawać wiele punktów aktualizacji oprogramowania. Możliwość dysponowania wieloma punktami aktualizacji oprogramowania w jednej lokacji zapewnia odporność na uszkodzenia, a nie stawia tylu wymagań, co złożone równoważenie obciążenia sieciowego. Niemniej jednak tryb failover uzyskiwany dzięki wielu punktom aktualizacji oprogramowania nie jest równie niezawodny, co równoważenie obciążenia sieciowego, gdy chodzi o czyste równoważenie obciążenia; z założenia ma on zapewniać raczej odporność na uszkodzenia. Ponadto model trybu failover punktu aktualizacji oprogramowania jest inny niż model oparty na czystym generowaniu losowym, który wykorzystano w konstrukcji punktów zarządzania. Inaczej niż w konstrukcji punktów zarządzania, w przypadku punktów aktualizacji oprogramowania istnieją pewne koszty wydajności klientów i sieci związane z przełączaniem się do nowego punktu aktualizacji oprogramowania. Kiedy klient przełącza się do nowego serwera usług WSUS, aby przeprowadzić skanowanie w poszukiwaniu aktualizacji oprogramowania, w efekcie zwiększa się rozmiar katalogu i następuje wzrost związanych z tym potrzeb dotyczących wydajności sieci i wydajności po stronie klienta. Dlatego też klient zachowuje koligacje z ostatnim punktem aktualizacji oprogramowania, który z powodzeniem odnalazł w wyniku skanowania.
Pierwszy punkt aktualizacji oprogramowania zainstalowany w lokacji głównej stanowi źródło synchronizacji dla wszystkich dodatkowych punktów aktualizacji oprogramowania dodawanych w lokacji głównej. Po dodaniu potrzebnych punktów aktualizacji oprogramowania i zainicjowaniu synchronizacji aktualizacji oprogramowania można wyświetlić stan punktów aktualizacji oprogramowania i źródła synchronizacji w węźle Stan synchronizacji punktu aktualizacji oprogramowania w obszarze roboczym Monitorowanie.
Kiedy jakiś punkt aktualizacji oprogramowania ulegnie awarii, a jest skonfigurowany jako źródło synchronizacji dla innych punktów aktualizacji oprogramowania w danej lokacji, należy ręcznie usunąć niedziałający punkt aktualizacji oprogramowania i wybrać nowy punkt aktualizacji oprogramowania, który będzie używany jako źródło synchronizacji. Więcej informacji o usuwaniu punktu aktualizacji oprogramowania zawiera sekcja Usuwanie roli punktu aktualizacji oprogramowania z systemu lokacji w temacie Konfigurowanie aktualizacji oprogramowania w programie Configuration Manager.
Lista punktów aktualizacji oprogramowania
Program Menedżer konfiguracji udostępnia klientowi listę punktów aktualizacji oprogramowania w następujących scenariuszach: kiedy nowy klient otrzymuje zasadę włączającą aktualizacje oprogramowania lub kiedy klient nie może skontaktować się ze swoim punktem aktualizacji oprogramowania i musi przełączyć się do innego punktu aktualizacji oprogramowania. Klient losowo wybiera punkt aktualizacji oprogramowania z listy, dając pierwszeństwo tym punktom aktualizacji oprogramowania, które znajdują się w tym samym lesie. Program Menedżer konfiguracji zapewnia klientom różne listy, w zależności od typu klienta.
Klienci intranetowi: otrzymują listę punktów aktualizacji oprogramowania skonfigurowanych przez użytkownika tak, by zezwalały na połączenia tylko z intranetu, albo listę punktów aktualizacji oprogramowania zezwalających na połączenia klienckie zarówno z intranetu, jak i z Internetu.
Klienci internetowi: otrzymują listę punktów aktualizacji oprogramowania skonfigurowanych przez użytkownika tak, by zezwalały na połączenia tylko z Internetu, albo listę punktów aktualizacji oprogramowania zezwalających na połączenia klienckie zarówno z Internetu, jak i z intranetu.
Przełączanie punktów aktualizacji oprogramowania
Jeśli w lokacji istnieje wiele punktów aktualizacji oprogramowania, a jeden z nich ulegnie awarii lub przestanie być dostępny, klienci połączą się z innym punktem aktualizacji oprogramowania, kontynuując skanowanie w poszukiwaniu najnowszych aktualizacji oprogramowania. Kiedy do klienta zostaje po raz pierwszy przypisany punkt aktualizacji oprogramowania, klient pozostaje do niego przypisany, dopóki udaje mu się skanować ten punkt w poszukiwaniu aktualizacji oprogramowania.
Uwaga
W przypadku dysponowania aktywnym punktem aktualizacji oprogramowania (SUP01) w lokacji programu Menedżer konfiguracji bez dodatku Service Pack należy uaktualnić lokację do programu Menedżer konfiguracji SP1, a następnie dodać drugi punkt aktualizacji oprogramowania (SUP02). W efekcie istniejący klienci przełączą się do punktu SUP02 tylko pod warunkiem, że skanowanie zakończy się niepowodzeniem. Po uaktualnieniu lokacji do programu Menedżer konfiguracji SP1 wszyscy nowi klienci będą przypisywani losowo do punktu SUP01 lub SUP02.
Skanowanie w poszukiwaniu aktualizacji oprogramowania może zakończyć się niepowodzeniem, zwracając rozmaite kody błędów ponownej próby i innych błędów. Kiedy skanowanie kończy się niepowodzeniem, zwracając kod błędu ponownej próby, klient uruchamia proces ponownej próby skanowania w poszukiwaniu aktualizacji oprogramowania w punkcie aktualizacji oprogramowania. Warunki wysokiego poziomu, w wyniku których jest zwracany kod błędu ponownej próby, to najczęściej niedostępność serwera usług WSUS lub jego czasowe przeciążenie. Kiedy nie udaje się przeprowadzić skanowania w poszukiwaniu aktualizacji oprogramowania, klient przystępuje do następującej procedury:
Klient przeprowadza skanowanie w poszukiwaniu aktualizacji oprogramowania o czasie zaplanowanym w harmonogramie lub po zainicjowaniu skanowania za pośrednictwem panelu sterowania na kliencie albo za pomocą zestawu SDK. Jeśli skanowanie się nie powiedzie, klient odczekuje 30 minut i ponawia próbę skanowania w tym samym punkcie aktualizacji oprogramowania.
Klient ponawia próbę co najmniej czterokrotnie w odstępach 30-minutowych. Po czwartym niepowodzeniu i po odczekaniu kolejnych dwóch minut klient przechodzi do następnego punktu aktualizacji oprogramowania z listy punktów aktualizacji oprogramowania.
Po skanowaniu zakończonym powodzeniem klient będzie kontynuował łączenie się z danym punktem aktualizacji oprogramowania.
Na poniższej liście wymieniono dodatkowe informacje, które warto uwzględnić w scenariuszach ponawiania próby połączenia z punktem aktualizacji oprogramowania i przełączania go:
Jeśli klient zostanie odłączony od firmowego intranetu i nie uda mu się przeprowadzić skanowania w poszukiwaniu aktualizacji oprogramowania, nie przełączy się do innego punktu aktualizacji oprogramowania. Jest to oczekiwany błąd, ponieważ nie mając dostępu do sieci firmowej, klient nie ma dostępu do punktu aktualizacji oprogramowania, który umożliwia połączenie z sieci firmowej. Dostępność intranetowego punktu aktualizacji oprogramowania ustala sam klient programu Menedżer konfiguracji.
Jeśli jest włączona funkcja internetowego zarządzania klientami i istnieje wiele punktów aktualizacji oprogramowania skonfigurowanych do akceptowania komunikacji od klientów z Internetu, proces przełączania będzie przebiegać tak samo jak standardowy proces ponawiania prób opisany w poprzednim scenariuszu.
Jeśli proces skanowania rozpoczął się, ale przed jego ukończeniem nastąpiło wyłączenie zasilania klienta, nie jest to traktowane jako błąd skanowania ani nie liczy się jako jedna z czterech ponownych prób.
Punkty aktualizacji oprogramowania w lesie niezaufanym
W danej lokacji można utworzyć jeden lub więcej punktów aktualizacji oprogramowania w celu obsługi klientów w lesie niezaufanym. Aby dodać punkt aktualizacji oprogramowania w innym lesie, należy najpierw zainstalować i skonfigurować w tym lesie serwer usług WSUS. Następnie należy uruchomić kreatora w celu dodania serwera lokacji programu Menedżer konfiguracji z rolą systemu lokacji punktu aktualizacji oprogramowania. Aby pomyślnie łączyć się z usługami WSUS w lesie niezaufanym, należy skonfigurować w kreatorze następujące ustawienia:
Określić konto instalacji systemu lokacji z dostępem do serwera usług WSUS w lesie.
Określić konto połączenia serwera WSUS, które ma być używane do łączenia się z serwerem usług WSUS.
Załóżmy na przykład, że istnieje lokacja główna w lesie A z dwoma punktami aktualizacji oprogramowania (SUP01 i SUP02). Dla tej samej lokacji głównej istnieją też dwa punkty aktualizacji oprogramowania (SUP03 i SUP04) w lesie B. Kiedy w tym przykładzie dojdzie do przełączenia, w pierwszej kolejności zostaną użyte punkty aktualizacji oprogramowania z tego samego lasu co klient.
Używanie istniejącego serwera usług WSUS jako źródła synchronizacji w lokacji najwyższego poziomu
Najczęściej lokację najwyższego poziomu w danej hierarchii konfiguruje się do synchronizowania metadanych aktualizacji oprogramowania z usługą Microsoft Update. Jeśli zasady zabezpieczeń w danej firmie nie zezwalają na dostęp do Internetu z lokacji najwyższego poziomu, można skonfigurować źródło synchronizacji dla lokacji najwyższego poziomu tak, aby korzystało z istniejącego serwera usług WSUS, który znajduje się poza hierarchią programu Menedżer konfiguracji. Na przykład serwer usług WSUS może być zainstalowany w strefie zdemilitaryzowanej (DMZ), która ma dostęp do Internetu, mimo że lokacja najwyższego poziomu tego dostępu nie ma. Serwer WSUS w strefie DMZ można wówczas skonfigurować jako źródło synchronizacji dla metadanych aktualizacji oprogramowania. Należy upewnić się, że serwer WSUS w strefie DMZ synchronizuje te aktualizacje oprogramowania, które spełniają kryteria wymagane w hierarchii programu Menedżer konfiguracji. W przeciwnym razie lokacja najwyższego poziomu może synchronizować nie te aktualizacje oprogramowania, których się oczekuje. Podczas instalacji punktu aktualizacji oprogramowania należy skonfigurować konto połączenia WSUS mające dostęp do serwera WSUS w strefie DMZ i potwierdzić, że zapora pozwala na ruch danych przez odpowiednie porty. Więcej informacji o portach służących punktowi aktualizacji oprogramowania do łączności ze źródłem synchronizacji znajduje się w sekcji Punkt aktualizacji oprogramowania -- > nadrzędny serwer WSUS w temacie Informacje techniczne dotyczące portów używanych w programie Configuration Manager.
Punkt aktualizacji oprogramowania skonfigurowany do korzystania z równoważenia obciążenia sieciowego
Począwszy od programu Menedżer konfiguracji SP1 przełączenie punktu aktualizacji oprogramowania zazwyczaj pozwala ustalić potrzebną odporność na uszkodzenia. Jednak równoważenie obciążenia sieciowego jest bardziej niezawodną metodą od trybu failover punktu aktualizacji oprogramowania w ramach tradycyjnego równoważenia obciążenia oraz poprawia niezawodność i wydajność sieci. W konsoli programu Menedżer konfiguracji nie można skonfigurować punktu aktualizacji oprogramowania do korzystania z równoważenia obciążenia sieciowego, ale istnieje możliwość skonfigurowania tej usługi przy użyciu polecenia cmdlet Set-CMSoftwareUpdatePoint środowiska PowerShell. Aby uzyskać więcej informacji na temat polecenia cmdlet Set-CMSoftwareUpdatePoint programu PowerShell, zobacz temat Set-CMSoftwareUpdatePoint w dokumentacji poleceń cmdlet dla programu System Center 2012 Configuration Manager SP1.
Uwaga
Przed uaktualnieniem programu Menedżer konfiguracji bez dodatku Service Pack do wersji Menedżer konfiguracji SP1 należy usunąć równoważenie obciążenia sieciowego z aktywnego punktu aktualizacji oprogramowania. Po przeprowadzeniu uaktualnienia można ponownie skonfigurować równoważenie obciążenia sieciowego przy użyciu środowiska Windows PowerShell.
Punkt aktualizacji oprogramowania w lokacji dodatkowej
Punkt aktualizacji oprogramowania jest opcjonalny w lokacji dodatkowej. Podczas instalowania punktu aktualizacji oprogramowania w lokacji dodatkowej baza danych programu WSUS jest konfigurowana jako replika domyślnego punktu aktualizacji w nadrzędnej lokacji głównej. W lokacji dodatkowej można zainstalować tylko jeden punkt aktualizacji oprogramowania. Urządzenia przypisane do lokacji dodatkowej są skonfigurowane do używania punktu aktualizacji oprogramowania w lokacji nadrzędnej, gdy ten punkt nie jest zainstalowany w lokacji dodatkowej. Punkt aktualizacji oprogramowania zazwyczaj instaluje się w lokacji dodatkowej, gdy między przypisanymi do niej urządzeniami a punktami aktualizacji oprogramowania w nadrzędnej lokacji głównej występuje ograniczona przepustowość sieci, lub gdy wydajność punktu aktualizacji oprogramowania zbliża się do limitu. Po pomyślnym zainstalowaniu i skonfigurowaniu punktu aktualizacji oprogramowania w lokacji dodatkowej zasady obejmujące całą lokację zostaną zaktualizowane na komputerach klienckich przypisanych do tej lokacji i zaczną używać nowego punktu aktualizacji oprogramowania.
Punkty aktualizacji oprogramowania w programie Configuration Manager bez dodatku Service Pack
Ważne |
---|
Informacje w tym temacie dotyczą tylko programu Menedżer konfiguracji bez dodatku Service Pack. |
Aby ustalić infrastrukturę punktu aktualizacji oprogramowania w programie Menedżer konfiguracji bez dodatku Service Pack, zapoznaj się z informacjami w poniższych sekcjach.
Uwaga
Więcej informacji o sposobie instalowania punktu aktualizacji oprogramowania w niezaufanym lesie znajduje się w sekcji Planowanie komunikacji między lasami w programie Configuration Manager w temacie Planowanie komunikacji w programie Configuration Manager.
Punkt aktualizacji oprogramowania aktywnego
Centralna lokacja administracyjna i wszystkie podrzędne lokacje główne w hierarchii programu Menedżer konfiguracji muszą dysponować aktywnym punktem aktualizacji oprogramowania w celu obsługi wdrożeń aktualizacji na komputerach klienckich. Punkt aktualizacji oprogramowania aktywnego w lokacji głównej używa jako źródła synchronizacji centralnej lokacji administracyjnej. Punkt aktualizacji oprogramowania komunikuje się z programem WSUS w celu konfiguracji ustawień i synchronizacji aktualizacji oprogramowania. Punkt aktualizacji oprogramowania aktywnego można skonfigurować, aby akceptował komunikację tylko z klientami w sieci intranet lub z klientami zarówno w sieci intranet, jak i w Internecie. Jeżeli punkt aktualizacji oprogramowania aktywnego nie został skonfigurowany tak, aby akceptował komunikację z klientami w Internecie, w zdalnym systemie lokacji można utworzyć internetowy punkt aktualizacji oprogramowania. Rolę lokacji aktualizacji oprogramowania można dodać do lokacji dodatkowej lub zezwolić komputerom klienckim w lokacji dodatkowej na bezpośrednie łączenie się z aktywnym punktem aktualizacji oprogramowania w nadrzędnej lokacji głównej.
Internetowy punkt aktualizacji oprogramowania
Internetowy punkt aktualizacji oprogramowania akceptuje komunikację z komputerami klienckimi przez Internet. Internetowy punkt aktualizacji oprogramowania można utworzyć tylko w przypadku, gdy punkt aktualizacji oprogramowania aktywnego nie jest skonfigurowany do akceptowania komunikacji z komputerami klienckimi przez Internet. Internetowy punkt aktualizacji oprogramowania należy zainstalować w systemie lokacji zdalnym względem serwera lokacji, znajdującym się w sieci obwodowej, do którego mają dostęp internetowe komputery klienckie. Internetowy punkt aktualizacji oprogramowania domyślnie synchronizuje się z aktywnym punktem aktualizacji oprogramowania w tej samej lokacji. Gdy internetowy punkt aktualizacji oprogramowania zostanie odłączony od aktywnego punktu aktualizacji oprogramowania, aktualizacje oprogramowania można zsynchronizować ręcznie przy użyciu procesów eksportowania i importowania. Więcej informacji można znaleźć w sekcji Źródło synchronizacji w tym temacie.
Punkt aktualizacji oprogramowania aktywnego skonfigurowany do korzystania z równoważenia obciążenia sieciowego
Równoważenie obciążenia sieciowego poprawia niezawodność i wydajność sieci. Istnieje możliwość skonfigurowania wielu serwerów programu WSUS z udostępnionym jednym klastrem trybu failover programu SQL Server, a następnie skonfigurować punkt aktualizacji oprogramowania w celu korzystania z równoważenia obciążenia sieciowego. Konfiguracja systemu lokacji aktywnego punktu aktualizacji oprogramowania w klastrze równoważenia obciążenia sieciowego nie zawsze poprawia wydajność klienta, ale zapewnia większą dostępność punktu aktualizacji oprogramowania. Przed skonfigurowaniem punktu aktualizacji oprogramowania do korzystania z klastra równoważenia obciążenia sieciowego należy wykonać różne czynności konfiguracyjne. Aby uzyskać więcej informacji, zobacz Jak skonfigurować punkt aktualizacji oprogramowania w celu korzystania z klastra równoważenia obciążenia sieciowego (NLB).
Punkt aktualizacji oprogramowania w lokacji dodatkowej
Punkt aktualizacji oprogramowania jest opcjonalny w lokacji dodatkowej. Podczas instalowania punktu aktualizacji oprogramowania w lokacji dodatkowej baza danych programu WSUS jest konfigurowana jako replika zamiast anonimowego wystąpienia programu WSUS używanego w ramach instalacji punktu aktualizacji oprogramowania w lokacji głównej lub w centralnej lokacji administracyjnej.
Urządzenia przypisane do lokacji dodatkowej są skonfigurowane do używania aktywnego punktu aktualizacji oprogramowania w lokacji nadrzędnej, gdy ten punkt nie jest skonfigurowany w lokacji dodatkowej. Punkt aktualizacji oprogramowania zazwyczaj instaluje się w lokacji dodatkowej, gdy między przypisanymi do niej urządzeniami a punktami aktualizacji oprogramowania w nadrzędnej lokacji głównej występuje ograniczona przepustowość sieci, lub gdy wydajność punktu aktualizacji oprogramowania zbliża się do limitu. Po pomyślnym zainstalowaniu i skonfigurowaniu punktu aktualizacji oprogramowania w lokacji dodatkowej zasady obejmujące całą lokację zostaną zaktualizowane na komputerach klienckich przypisanych do tej lokacji i zaczną używać nowego punktu aktualizacji oprogramowania.
Uaktualnienie programu Configuration Manager bez dodatku Service Pack do wersji Configuration Manager SP1
W przypadku uaktualniania istniejącego programu Menedżer konfiguracji bez dodatku Service Pack do wersji Menedżer konfiguracji SP1 należy uwzględnić następujące kwestie:
Przed uaktualnieniem programu Menedżer konfiguracji bez dodatku Service Pack do wersji Menedżer konfiguracji SP1 należy usunąć równoważenie obciążenia sieciowego aktywnego punktu aktualizacji oprogramowania. Po przeprowadzeniu uaktualnienia można ponownie skonfigurować równoważenie obciążenia sieciowego przy użyciu środowiska Windows PowerShell. Więcej informacji o sposobie przełączania punktu aktualizacji oprogramowania zawiera sekcja Przełączanie punktów aktualizacji oprogramowania w tym temacie.
Gdy w lokacji programu Menedżer konfiguracji bez dodatku Service Pack istnieje aktywny internetowy punkt aktualizacji oprogramowania, w wyniku uaktualnienia lokacji do wersji Menedżer konfiguracji SP1 internetowy punkt aktualizacji oprogramowania zostaje uaktualniony na liście do punktu aktualizacji oprogramowania, który zezwala tylko na połączenia z klientami przez Internet.
W przypadku dysponowania aktywnym punktem aktualizacji oprogramowania (SUP01) w lokacji programu Menedżer konfiguracji bez dodatku Service Pack należy uaktualnić lokację do programu Menedżer konfiguracji SP1, a następnie dodać drugi punkt aktualizacji oprogramowania (SUP02). Spowoduje to automatyczne przypisanie istniejących klientów do punktu SUP01. Klienci przełączą się do punktu SUP02 tylko pod warunkiem, że skanowanie zakończy się niepowodzeniem. Po uaktualnieniu lokacji wszyscy nowi klienci będą losowo przypisywani do punktów SUP01 lub SUP02. Więcej informacji dotyczących listy punktów aktualizacji oprogramowania zawiera sekcja Lista punktów aktualizacji oprogramowania w tym temacie.
Planowanie instalacji punktu aktualizacji oprogramowania
Przed utworzeniem w programie Menedżer konfiguracji roli systemu lokacji punktu aktualizacji oprogramowania należy wziąć pod uwagę kilka wymagań zależnych od istniejącej infrastruktury programu Menedżer konfiguracji. Z informacjami w tej sekcji należy się zapoznać w szczególności, gdy punkt aktualizacji oprogramowania został skonfigurowany do komunikacji przy użyciu protokołu SSL. W takim przypadku w celu prawidłowego działania punktów aktualizacji oprogramowania w hierarchii należy wykonać dodatkowe czynności. W tej sekcji opisano czynności, jakie należy wykonać w celu pomyślnego zaplanowania i przygotowania instalacji punktu aktualizacji oprogramowania.
Wymagania dla punktu aktualizacji oprogramowania
Rolę systemu lokacji punktu aktualizacji oprogramowania należy zainstalować w systemie lokacji spełniającym minimalne wymagania dotyczące programu WSUS i obsługiwanych konfiguracji systemów lokacji programu Menedżer konfiguracji.
Więcej informacji o minimalnych wymaganiach dotyczących programu WSUS 3.0 SP2 znajduje się w temacie Potwierdzanie wymagań dotyczących instalacji programu WSUS 3.0 z dodatkiem SP2 w bibliotece dokumentacji dotyczącej programu Windows Server Update Services 3.0 SP2.
Więcej informacji o minimalnych wymaganiach dotyczących roli serwera programu WSUS w systemie Windows Server 2012 zawiera Krok 1: Przygotowanie wdrożenia programu WSUS w bibliotece dokumentacji dotyczącej systemu Windows Server 2012.
Więcej informacji o obsługiwanych konfiguracjach systemów lokacji programu Menedżer konfiguracji zawiera sekcja w temacie .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq
Planowanie instalacji programu WSUS
Aktualizacje oprogramowania wymagają zainstalowania obsługiwanej wersji programu WSUS na wszystkich serwerach systemu lokacji skonfigurowanych w ramach roli systemu lokacji punktu aktualizacji oprogramowania. Jeżeli punkt aktualizacji oprogramowania nie zostanie zainstalowany na serwerze lokacji, należy również zainstalować na komputerze serwera lokacji konsolę administracyjną programu WSUS (jeśli nie jest zainstalowana). Umożliwi to serwerowi lokacji komunikowanie się z programem WSUS uruchomionym w punkcie aktualizacji oprogramowania.
W przypadku korzystania z programu WSUS w systemie Windows Server 2012 należy skonfigurować dodatkowe uprawnienia, aby Menedżer konfiguracji programu WSUS w programie Menedżer konfiguracji mógł łączyć się z programem WSUS w celu okresowego sprawdzania kondycji. Aby skonfigurować uprawnienia, wykonaj jedną z następujących czynności:
Dodaj konto SYSTEM do grupy Administratorzy WSUS.
Dodaj konto ZARZĄDZANIE NT\SYSTEM jako użytkownika bazy danych programu WSUS (SUSDB) i skonfiguruj co najmniej członkostwo roli bazy danych usługi sieci Web.
Więcej informacji o sposobie instalowania programu WSUS 3.0 SP2 znajduje się w temacie Instalowanie serwera WSUS lub konsoli administracyjnej programu WSUS w bibliotece dokumentacji dotyczącej programu Windows Server Update Services 3.0 SP2.
Więcej informacji o sposobie instalowania programu WSUS w systemie Windows Server 2012 znajduje się w temacie Install the WSUS Server Role (Instalowanie roli serwera WSUS) w bibliotece dokumentacji dotyczącej programu Windows Server 2012.
Dla programu System Center 2012 Configuration Manager z dodatkiem SP1 i nowszych wersji:
W przypadku instalowania w lokacji głównej więcej niż jednego punktu aktualizacji oprogramowania należy użyć tej samej bazy danych programu WSUS dla każdego punktu aktualizacji oprogramowania w tym samym lesie usługi Active Directory. Współużytkowanie tej samej bazy danych może znacząco zniwelować wpływ na wydajność klientów i sieci w przypadku, gdy klienci przełączają się na nowy punkt aktualizacji oprogramowania. Kiedy klient przełącza się na nowy punkt aktualizacji oprogramowania, który współużytkuje tę samą bazę danych co stary punkt aktualizacji oprogramowania, skanowanie różnicowe jest nadal wykonywane, ale w znacznie mniejszym zakresie niż w przypadku, gdyby serwer programu WSUS miał własną bazę danych.
Konfigurowanie programu WSUS do używania niestandardowej witryny sieci Web
Podczas instalowania programu WSUS można użyć istniejącej domyślnej witryny sieci web usług IIS lub utworzyć niestandardową witrynę sieci web programu WSUS. Utwórz niestandardową witrynę sieci web programu WSUS, aby usługi IIS hostowały program WSUS w dedykowanej wirtualnej witrynie sieci web i nie udostępniały tej samej witryny, której używają inne systemy lokacji lub aplikacje programu Menedżer konfiguracji. Jest to szczególnie zalecane w przypadku instalowania roli systemu lokacji punktu aktualizacji oprogramowania na serwerze lokacji. W przypadku uruchomienia programu WSUS w systemie Windows Server 2012 lub skonfigurowania niestandardowej witryny sieci web programu WSUS 3.0 SP2, program WSUS zostanie skonfigurowany, aby domyślnie używał portu 8530 do połączeń HTTP oraz portu 8531 do połączeń HTTPS. Te ustawienia portów należy określić podczas tworzenia punktu aktualizacji oprogramowania w lokacji.
Używanie istniejącej infrastruktury programu WSUS
Istnieje możliwość używania serwera programu WSUS, który był aktywny w środowisku przed zainstalowaniem programu Menedżer konfiguracji. Po skonfigurowaniu punktu aktualizacji oprogramowania należy określić ustawienia synchronizacji. Program Menedżer konfiguracji nawiązuje połączenie z programem WSUS działającym w punkcie aktualizacji oprogramowania i konfiguruje serwer programu WSUS przy użyciu tych samych ustawień. Jeżeli serwer programu WSUS został wcześniej zsynchronizowany z produktami lub klasyfikacjami, które nie były skonfigurowane w ramach ustawień synchronizacji punktu aktualizacji oprogramowania, metadane aktualizacji oprogramowania w zakresie produktów i klasyfikacji zostaną zsynchronizowane ze wszystkimi metadanymi w bazie danych programu WSUS niezależnie od ustawień synchronizacji punktu aktualizacji oprogramowania. Z tego powodu w bazie danych mogą znajdować się nieoczekiwane metadane aktualizacji oprogramowania. Sposób działania jest taki sam jak w przypadku dodawania produktów i klasyfikacji bezpośrednio w konsoli administracyjnej programu WSUS, po którym od razu następuje synchronizacja. Program Menedżer konfiguracji domyślnie łączy się co godzinę z programem WSUS uruchomionym w punkcie aktualizacji oprogramowania i resetuje wszystkie ustawienia zmodyfikowane poza programem Menedżer konfiguracji.
Począwszy od programu Menedżer konfiguracji SP1 aktualizacje oprogramowania niezgodne z produktami i klasyfikacjami określonymi w ustawieniach synchronizacji wygasną, a następnie zostaną usunięte z bazy danych lokacji.
Konfigurowanie programu WSUS jako serwera repliki
W przypadku utworzenia roli systemu lokacji punktu aktualizacji oprogramowania na serwerze lokacji głównej nie można korzystać z serwera programu WSUS skonfigurowanego jako replika. Jeżeli serwer programu WSUS został skonfigurowany jako replika, program Menedżer konfiguracji nie może skonfigurować tego serwera ani wykonać synchronizacji programu WSUS. W przypadku utworzenia punktu aktualizacji oprogramowania w lokacji dodatkowej program Menedżer konfiguracji konfiguruje serwer tak, aby pełnił funkcję serwera repliki programu WSUS uruchomionego w punkcie aktualizacji oprogramowania w nadrzędnej lokacji głównej. Począwszy od programu Menedżer konfiguracji SP1 pierwszy punkt aktualizacji oprogramowania zainstalowany w lokacji głównej jest domyślnym punktem aktualizacji oprogramowania. Dodatkowe punkty aktualizacji oprogramowania w danej lokacji są konfigurowane jako repliki domyślnego punktu aktualizacji oprogramowania.
Czy skonfigurować program WSUS do używania protokołu SSL
Użycie protokołu SSL może pomóc w zabezpieczeniu programu WSUS uruchomionego w punkcie aktualizacji oprogramowania. Program WSUS używa protokołu SSL do uwierzytelniania komputerów klienckich oraz podrzędnych serwerów programu WSUS. Program WSUS używa protokołu SSL również do szyfrowania metadanych aktualizacji oprogramowania. W przypadku zabezpieczenia programu WSUS przy użyciu protokołu SSL należy przygotować serwer programu WSUS przed zainstalowaniem punktu aktualizacji oprogramowania. Więcej informacji o sposobie konfigurowania programu WSUS do używania protokołu SSL znajduje się w temacie Secure WSUS with the Secure Sockets Layer Protocol (Zabezpieczanie programu WSUS przy użyciu protokołu SSL) w bibliotece dokumentacji dotyczącej programu WSUS 3.0 SP2.
Podczas instalowania i konfigurowania punktu aktualizacji oprogramowania należy wybrać ustawienie Włącz komunikację SSL z serwerem WSUS. W przeciwnym razie program Menedżer konfiguracji skonfiguruje usługi WSUS tak, by nie korzystały z protokołu SSL. W przypadku włączenia protokołu SSL dla usług WSUS uruchamianych w punkcie aktualizacji oprogramowania, usługi WSUS uruchamiane w punkcie aktualizacji oprogramowania dowolnej lokacji podrzędnej muszą również zostać skonfigurowane do używania protokołu SSL.
Konfigurowanie zapór
Aktualizacje oprogramowania w centralnej lokacji administracyjnej programu Menedżer konfiguracji komunikują się z usługami WSUS uruchamianymi w punkcie aktualizacji oprogramowania, które z kolei komunikują się ze źródłem synchronizacji w celu synchronizowania metadanych aktualizacji oprogramowania. Punkty aktualizacji oprogramowania w lokacji podrzędnej komunikują się z punktem aktualizacji oprogramowania w lokacji nadrzędnej. Kiedy w lokacji programu Menedżer konfiguracji bez dodatku Service Pack istnieje zdalny aktywny internetowy punkt aktualizacji oprogramowania, to aby synchronizacja zakończyła się powodzeniem, serwer lokacji musi komunikować się z aktywnym internetowym punktem aktualizacji oprogramowania, a internetowy punkt aktualizacji oprogramowania musi komunikować się z aktywnym punktem aktualizacji oprogramowania lokacji. Począwszy od programu Menedżer konfiguracji SP1, kiedy w lokacji głównej jest więcej niż jeden punkt aktualizacji oprogramowania, dodatkowe punkty aktualizacji oprogramowania muszą komunikować się z pierwszym punktem aktualizacji oprogramowania zainstalowanym w danej lokacji, który jest domyślnym punktem aktualizacji oprogramowania.
W następujących scenariuszach może być konieczne skonfigurowanie akceptowania przez zaporę portów HTTP lub HTTPS wykorzystywanych przez usługi WSUS: kiedy między punktem aktualizacji oprogramowania programu Menedżer konfiguracji a Internetem istnieje firmowa zapora; w przypadku punktu aktualizacji oprogramowania i jego nadrzędnego źródła synchronizacji; w przypadku aktywnego internetowego punktu aktualizacji oprogramowania i punktu aktualizacji oprogramowania aktywnego dla lokacji programu Menedżer konfiguracji bez dodatku Service Pack; lub w przypadku dodatkowych punktów aktualizacji oprogramowania w lokacji programu Menedżer konfiguracji SP1. Połączenie z usługą Microsoft Update jest zawsze konfigurowane do korzystania z portu 80 w przypadku protokołu HTTP i portu 443 w przypadku protokołu HTTPS. Dla połączenia usług WSUS uruchomionych w punkcie aktualizacji oprogramowania lokacji podrzędnej z usługami WSUS uruchomionymi w punkcie aktualizacji oprogramowania lokacji nadrzędnej można użyć portu niestandardowego. Podczas synchronizacji aktualizacji oprogramowania usługi WSUS uruchomione w internetowym punkcie aktualizacji oprogramowania zawsze łączą się z usługami WSUS uruchomionymi w aktywnym punkcie aktualizacji oprogramowania za pośrednictwem protokołu HTTPS. Jeśli stosowane zasady zabezpieczeń nie zezwalają na połączenie HTTPS, należy użyć metody synchronizacji polegającej na eksporcie i imporcie. Więcej informacji można znaleźć w sekcji Źródło synchronizacji w tym temacie. Więcej informacji o portach używanych przez usługi WSUS znajduje się w temacie Określanie ustawień portów używanych przez program WSUS.
Ograniczanie dostępu do określonych domen
Jeśli w danej organizacji nie zezwala się na otwieranie portów i protokołów dla wszystkich adresów w zaporze oddzielającej punkt aktualizacji oprogramowania aktywnego od Internetu, można ograniczyć (zawęzić) dostęp do następujących domen, tak by usługi WSUS i Aktualizacje automatyczne mogły komunikować się z usługą Microsoft Update:
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://*.download.windowsupdate.com
Może być konieczne dodanie poniższych adresów do zapory rozdzielającej dwa systemy lokacji w następujących przypadkach: jeśli lokacje podrzędne mają punkt aktualizacji oprogramowania lub jeśli w lokacji istnieje zdalny aktywny internetowy punkt aktualizacji oprogramowania:
Punkt aktualizacji oprogramowania w lokacji podrzędnej
http://<nazwa_FQDN_punktu_aktualizacji_oprogramowania_w_lokacji_podrzędnej>
https://<nazwa_FQDN_punktu_aktualizacji_oprogramowania_w_lokacji_podrzędnej>
http://<nazwa_FQDN_punktu_aktualizacji_oprogramowania_w_lokacji_nadrzędnej>
https://<nazwa_FQDN_punktu_aktualizacji_oprogramowania_w_lokacji_nadrzędnej>
Internetowy punkt aktualizacji oprogramowania
http://<nazwa_FQDN_punktu_aktualizacji_oprogramowania_aktywnego_w_lokacji>
https://<nazwa_FQDN_punktu_aktualizacji_oprogramowania_aktywnego_w_lokacji>
http://<nazwa_FQDN_internetowego punktu_aktualizacji_oprogramowania_aktywnego>
https://<nazwa_FQDN_internetowego_punktu_aktualizacji_oprogramowania_aktywnego>
Planowanie ustawień synchronizacji
Synchronizacja aktualizacji oprogramowania w programie Menedżer konfiguracji to proces pobierania metadanych aktualizacji oprogramowania spełniających skonfigurowane kryteria. Lokacja najwyższego poziomu w danej hierarchii, centralna lokacja administracyjna lub autonomiczna lokacja główna synchronizuje aktualizacje oprogramowania z usługi Microsoft Update. Począwszy od programu Menedżer konfiguracji SP1, jest dostępna opcja konfigurowania punktu aktualizacji oprogramowania w lokacji najwyższego poziomu do synchronizowania z istniejącym serwerem usług WSUS spoza hierarchii programu Menedżer konfiguracji. Podrzędne lokacje główne synchronizują metadane aktualizacji oprogramowania z punktu aktualizacji oprogramowania w centralnej lokacji administracyjnej. Przed zainstalowaniem i skonfigurowaniem punktu aktualizacji oprogramowania należy posłużyć się tą częścią do zaplanowania ustawień synchronizacji.
Źródło synchronizacji
Ustawienia źródła synchronizacji dla punktu aktualizacji oprogramowania określają lokalizację, z której punkt aktualizacji oprogramowania pobiera metadane aktualizacji oprogramowania, a także to, czy podczas procesu synchronizacji są tworzone zdarzenia raportowania usług WSUS.
Źródło synchronizacji: Punkt aktualizacji oprogramowania w lokacji najwyższego poziomu domyślnie konfiguruje źródło synchronizacji pod kątem usługi Microsoft Update. Począwszy od programu Menedżer konfiguracji SP1, jest dostępna opcja synchronizowania lokacji najwyższego poziomu z istniejącym serwerem usług WSUS. Punkt aktualizacji oprogramowania w podrzędnej lokacji głównej domyślnie konfiguruje jako źródło synchronizacji punkt aktualizacji oprogramowania w centralnej lokacji administracyjnej.
Uwaga
W przypadku zdalnego internetowego punktu aktualizacji oprogramowania nadrzędnym serwerem aktualizacji jest punkt aktualizacji oprogramowania dla tej samej lokacji.
Uwaga
Począwszy od programu Menedżer konfiguracji SP1, pierwszy punkt aktualizacji oprogramowania zainstalowany w lokacji głównej, który jest domyślnym punktem aktualizacji oprogramowania, synchronizuje się z centralną lokacją administracyjną. Dodatkowe punkty aktualizacji oprogramowania w lokacji głównej synchronizują się z domyślnym punktem aktualizacji oprogramowania w lokacji głównej.
Kiedy punkt aktualizacji oprogramowania zostanie odłączony od usługi Microsoft Update lub od nadrzędnego serwera aktualizacji, można skonfigurować źródło synchronizacji tak, aby — zamiast synchronizacji ze skonfigurowanym źródłem synchronizacji — do synchronizacji aktualizacji oprogramowania była wykorzystywana funkcja eksportu i importu narzędzia WSUSUtil. Więcej informacji znajduje się w sekcji Synchronizowanie aktualizacji oprogramowania z odłączonego punktu aktualizacji oprogramowania w temacie Konfigurowanie aktualizacji oprogramowania w programie Configuration Manager.
Zdarzenia raportowania usług WSUS: Program Windows Update Agent na komputerach klienckich może tworzyć komunikaty o zdarzeniach wykorzystywane przez funkcję raportowania usług WSUS. Aktualizacja oprogramowania w programie Menedżer konfiguracji nie korzysta z tych zdarzeń, dlatego opcja Nie twórz zdarzeń do raportowania WSUS jest domyślnie wybrana. Kiedy te zdarzenia nie są tworzone, komputer kliencki powinien łączyć się z serwerem usług WSUS wyłącznie podczas skanowania pod kątem oceny zgodności z aktualizacjami oprogramowania. Jeśli te zdarzenia są potrzebne funkcjom raportowania poza aktualizacjami oprogramowania w programie Menedżer konfiguracji, należy zmodyfikować to ustawienie, aby zdarzenia raportowania usług WSUS były tworzone.
Harmonogram synchronizacji
Harmonogram synchronizacji można konfigurować tylko w punkcie aktualizacji oprogramowania dla lokacji najwyższego poziomu w hierarchii programu Menedżer konfiguracji. Po skonfigurowaniu harmonogramu synchronizacji punkt aktualizacji oprogramowania synchronizuje się ze źródłem synchronizacji określonego dnia, o określonym czasie. Harmonogram niestandardowy pozwala na synchronizowanie aktualizacji oprogramowania tego dnia i o tej godzinie, gdy zapotrzebowanie ze strony serwera usług WSUS, serwera lokacji oraz sieci jest niskie, na przykład raz w tygodniu o godzinie 2.00 nad ranem. Można też zainicjować synchronizację w lokacji najwyższego poziomu, wybierając działanie Synchronizacja aktualizacji oprogramowania z węzła Wszystkie aktualizacje oprogramowania lub Grupy aktualizacji oprogramowania w konsoli programu Menedżer konfiguracji.
Porada |
---|
Uruchamianie synchronizacji aktualizacji oprogramowania należy planować w ramach czasowych właściwych dla danego środowiska. Według jednego z typowych scenariuszy harmonogram synchronizowania aktualizacji oprogramowania uruchamia się wkrótce po regularnym wydaniu aktualizacji zabezpieczeń przez firmę Microsoft, co następuje w drugi wtorek każdego miesiąca, popularnie nazywany „wtorkiem poprawek”. Inny typowy scenariusz polega na tym, by ustawić codzienne uruchamianie harmonogramu synchronizowania aktualizacji oprogramowania podczas użycia aktualizacji oprogramowania do dostarczenia aktualizacji aparatu i definicji programu Endpoint Protection. |
Po tym, gdy punkt aktualizacji oprogramowania pomyślnie ukończy synchronizację, żądanie synchronizacji zostaje wysłane do lokacji podrzędnych. Począwszy od programu Menedżer konfiguracji SP1, jeśli w lokacji głównej występują dodatkowe punkty aktualizacji oprogramowania, żądanie synchronizacji jest wysyłane do każdego z nich. W programie Menedżer konfiguracji bez dodatku Service Pack żądanie synchronizacji jest wysyłane do aktywnego internetowego punktu aktualizacji oprogramowania, jeśli jest on zainstalowany. Powyższy proces jest powtarzany w każdej lokacji z danej hierarchii.
Klasyfikacje aktualizacji
Każdą aktualizację oprogramowania definiuje klasyfikacja aktualizacji, która pomaga organizować aktualizacje w różne typy. Podczas procesu synchronizacji są synchronizowane metadane aktualizacji oprogramowania dla określonych klasyfikacji. Program Menedżer konfiguracji umożliwia synchronizowanie aktualizacji oprogramowania o następujących klasyfikacjach aktualizacji:
Aktualizacje krytyczne: określenie szeroko rozpowszechnianej aktualizacji dotyczącej konkretnego problemu, która stanowi odpowiedź na krytyczną usterkę niepowiązaną z zabezpieczeniami.
Aktualizacje definicji: określenie aktualizacji plików definicji wirusów lub innych plików definicji.
Pakiety Feature Pack: określenie nowych funkcji produktów, rozpowszechnianych poza wydaniami lub wersjami produktów, oraz funkcji najczęściej przygotowywanych do uwzględnienia w następnym pełnym wydaniu lub następnej pełnej wersji produktu.
Aktualizacje zabezpieczeń: określenie szeroko rozpowszechnianej aktualizacji dotyczącej problemu z konkretnym produktem, powiązanego z zabezpieczeniami.
Dodatki Service Pack: określenie zbiorczego zestawu poprawek przeznaczonych do danej aplikacji. Poprawki tego typu mogą obejmować aktualizacje zabezpieczeń, aktualizacje krytyczne, aktualizacje oprogramowania i tak dalej.
Narzędzia: określenie narzędzia lub funkcji pomagających wykonać jedno lub więcej zadań.
Pakiety zbiorcze aktualizacji: określenie zbiorczego zestawu poprawek zebranych w jednym pakiecie w celu łatwiejszego wdrażania. Poprawki tego typu mogą obejmować aktualizacje zabezpieczeń, aktualizacje krytyczne, aktualizacje zwykłe i tak dalej. Pakiet zbiorczy aktualizacji na ogół dotyczy konkretnego obszaru, takiego jak zabezpieczenia czy składnik produktu.
Aktualizacje: określenie aktualizacji zainstalowanej obecnie aplikacji lub zainstalowanego pliku.
Ustawienia klasyfikacji aktualizacji konfiguruje się tylko w lokacji najwyższego poziomu. Ustawień klasyfikacji aktualizacji nie konfiguruje się w punkcie aktualizacji oprogramowania lokacji podrzędnych, bo metadane aktualizacji oprogramowania ulegają replikacji z lokacji najwyższego poziomu to podrzędnych lokacji głównych. Podczas wybierania klasyfikacji aktualizacji należy pamiętać, że im więcej klasyfikacji zostanie wybranych, tym dłużej będzie przebiegać synchronizowanie metadanych aktualizacji oprogramowania.
Ostrzeżenie |
---|
W ramach najlepszych praktyk warto wyczyścić wszystkie klasyfikacje przed synchronizowaniem aktualizacji oprogramowania po raz pierwszy. Po początkowej synchronizacji można wybrać klasyfikacje z właściwości składnika punktu aktualizacji oprogramowania, a następnie ponownie zainicjować synchronizację. |
Produkty
Metadane każdej aktualizacji oprogramowania definiują jeden lub więcej produktów, których dotyczy dana aktualizacja. Produkt to konkretne wydanie systemu operacyjnego lub aplikacji. Przykładem produktu jest system Microsoft Windows Server 2008. Rodzina produktów to podstawowy system operacyjny lub podstawowa aplikacja, od których pochodzą produkty indywidualne. Przykładem rodziny produktów jest Microsoft Windows — rodzina, do której należy system Microsoft Windows Server 2008. Można określać rodziny produktów lub należące do nich produkty indywidualne.
W przypadku gdy aktualizacje oprogramowania dotyczą wielu produktów, a przynajmniej jeden z nich zostanie wybrany do synchronizacji, w konsoli programu Menedżer konfiguracji zostaną wyświetlone wszystkie produkty, nawet jeśli część z nich nie została wybrana. Jeśli na przykład jedynym systemem operacyjnym objętym subskrypcją jest system Windows Server 2008, zaś aktualizacja oprogramowania dotyczy systemów Windows Server 2008 i Windows Server 2008 Datacenter Edition, obydwa te produkty pojawią się w bazie danych lokacji.
Ustawienia produktów konfiguruje się tylko w lokacji najwyższego poziomu. Ustawień produktów nie konfiguruje się w punkcie aktualizacji oprogramowania lokacji podrzędnych, bo metadane aktualizacji oprogramowania ulegają replikacji z lokacji najwyższego poziomu to podrzędnych lokacji głównych. Podczas wybierania produktów należy pamiętać, że im więcej produktów zostanie wybranych, tym dłużej będzie przebiegać synchronizowanie metadanych aktualizacji oprogramowania.
Ważne |
---|
W programie Menedżer konfiguracji jest przechowywana lista produktów i rodzin produktów, spośród których można dokonać wyboru podczas pierwszej instalacji punktu aktualizacji oprogramowania. Produkty i rodziny produktów wydane po wydaniu programu Menedżer konfiguracji mogą nie być dostępne do wyboru, dopóki nie zostanie ukończona synchronizacja aktualizacji oprogramowania, w wyniku której lista produktów i rodzin produktów dostępnych do wyboru zostanie zaktualizowana. W ramach najlepszych praktyk warto wyczyścić wszystkie produkty przed synchronizowaniem aktualizacji oprogramowania po raz pierwszy. Po początkowej synchronizacji można wybrać produkty z właściwości składnika punktu aktualizacji oprogramowania, a następnie ponownie zainicjować synchronizację. |
Zasady zastępowania
Najczęściej aktualizacja oprogramowania zastępująca inną aktualizację oprogramowania wykonuje jedno lub więcej z następujących działań:
Wzbogaca, usprawnia lub aktualizuje poprawkę udostępnioną przez jedną lub więcej wcześniej wydanych aktualizacji.
Jeśli aktualizacja zostanie zatwierdzona do instalacji, zostanie zwiększona wydajność zastąpionego pakietu aktualizacji plików, który jest zainstalowany na komputerach klienckich. Przykładowo zastąpiona aktualizacja może zawierać pliki, które nie mają już zastosowania do poprawki lub systemów operacyjnych obsługiwanych przez nową aktualizację. Dlatego pliki te zostały usunięte z pakietu, który został zastąpiony.
Aktualizuje nowe wersje produktu. Innymi słowy aktualizuje wersje, które nie mają już zastosowania do starszych wersji lub konfiguracji produktu. Jeśli zostały wprowadzone zmiany rozszerzające zakres obsługiwanych języków, aktualizacje mogą także zastąpić inne aktualizacje. Przykładowo starsza wersja aktualizacji pakietu Microsoft Office może usuwać obsługę starszych systemów operacyjnych, lecz i dodawać obsługę języków, których nie było w pierwotnej wersji.
We właściwościach punktu aktualizacji oprogramowania można określić, że zastępowane aktualizacje oprogramowania mają być natychmiast uznawane za wygasłe, co zapobiega włączaniu ich w nowe wdrożenia oraz flaguje istniejące wdrożenia i wskazuje, że zawierają one przynajmniej jedną wygasłą aktualizację oprogramowania. Alternatywnie można też wskazać okres czasu, jaki ma upłynąć przed uznaniem zastąpionych aktualizacji oprogramowania za wygasłe, co pozwala nadal je wdrażać. Warto rozważyć następujące scenariusze, w których konieczne może być wdrożenie zastąpionej aktualizacji oprogramowania:
Jeśli nowsza aktualizacja oprogramowania obsługuje tylko nowsze wersje systemu operacyjnego, a niektórzy klienci działają pod kontrolą starszej wersji systemu.
Jeśli nowsza aktualizacja oprogramowania ma ograniczoną funkcjonalność w porównaniu do zastępowanej. Może to być nieodpowiednie u niektórych klientów.
Jeśli zastępowana aktualizacja oprogramowania nie została zatwierdzona do wdrożenia w środowisku produkcyjnym.
Języki
Ustawienia języka w punkcie aktualizacji oprogramowania pozwala na skonfigurowanie języków, dla których szczegóły podsumowania (metadane aktualizacji oprogramowania) są synchronizowane z aktualizacjami oprogramowania, oraz wersji językowych aktualizacji oprogramowania, które zostaną pobrane.
Plik z aktualizacją oprogramowania
Języki skonfigurowane w opcji Plik z aktualizacją oprogramowania we właściwościach punktu aktualizacji oprogramowania pozwalają na wybranie domyślnego zestawu wersji językowych dostępnych przy pobieraniu aktualizacji oprogramowania w lokacji. Istnieje możliwość zmiany języków wybieranych domyślnie za każdym razem, gdy są pobierane lub wdrażane aktualizacje oprogramowania. Jeśli pliki z aktualizacją oprogramowania są dostępne w wybranym języku, to podczas pobierania odpowiednie pliki we właściwych skonfigurowanych językach zostaną pobrane do lokacji źródłowej pakietu wdrożeniowego. Następnie pliki te są kopiowane do biblioteki zawartości na serwerze lokacji i do punktów dystrybucji skonfigurowanych dla danego pakietu.
Ustawienia języka pliku z aktualizacją oprogramowania należy skonfigurować pod kątem języków najczęściej używanych w danym środowisku. Przykładowo jeśli klienci przypisani do lokacji mają systemy operacyjne i aplikacje w większości w języku angielskim i japońskim, a inne języki prawie nie są używane w danej lokacji, w kolumnie Plik z aktualizacją oprogramowania wybierz języki angielski i japoński przy pobieraniu lub aktualizacji oprogramowania i usuń zaznaczenie innych języków. Pozwoli to na wybranie domyślnych ustawień na stronie Wybór języka w Kreatorach wdrażania i pobierania. Dzięki temu można także uniknąć pobierania niepotrzebnych plików. To ustawienie jest konfigurowane w każdym punkcie aktualizacji oprogramowania w hierarchii programu Menedżer konfiguracji.
Szczegóły podsumowania
W trakcie procesu synchronizacji informacje ze szczegółami podsumowania (metadane aktualizacji oprogramowania) zostaną zaktualizowane dla aktualizacji oprogramowania w wybranych językach. Metadane zapewniają informacje o aktualizacjach oprogramowania, takich jak nazwa, opis, produkty obsługiwane przez aktualizacje, klasyfikacje aktualizacji, identyfikator artykułu, adres URL pobierania, reguły stosowania itd.
Ustawienie ze szczegółami podsumowania jest konfigurowane tylko w lokacji najwyższego poziomu. Szczegóły podsumowania nie są konfigurowane w punkcie aktualizacji oprogramowania w lokacjach podrzędnych, ponieważ metadane aktualizacji oprogramowania są replikowane z centralnej lokacji administracyjnej do tych lokacji za pomocą replikacji plikowej. Przy wybieraniu języków ze szczegółami podsumowania należy wybrać tylko te języki, które są potrzebne w danym środowisku. Podczas wybierania języków należy pamiętać, że im więcej języków zostanie wybranych, tym dłużej będzie przebiegać synchronizowanie metadanych aktualizacji oprogramowania. Program Menedżer konfiguracji wyświetla metadane aktualizacji oprogramowania w ustawieniach regionalnych systemu operacyjnego stosowanych do konsoli programu Menedżer konfiguracji. Jeśli zlokalizowane właściwości aktualizacji oprogramowania nie są dostępne w ustawieniach regionalnych systemu operacyjnego, informacje te zostaną wyświetlone po angielsku.
Ważne |
---|
Należy pamiętać, aby wybrać wszystkie języki szczegółów podsumowania, które będą potrzebne w hierarchii programu Menedżer konfiguracji. Jeśli punkt aktualizacji oprogramowania w lokacji najwyższego poziomu jest synchronizowany ze źródłem synchronizacji, wybrane języki szczegółów podsumowania określą pobierane metadane aktualizacji oprogramowania. Modyfikacja języków ze szczegółami podsumowania po realizacji przynajmniej jednej synchronizacji oznacza, że metadane aktualizacji oprogramowania będą pobierane dla zmodyfikowanych języków wyłącznie w zakresie nowych lub uaktualnionych aktualizacji oprogramowania. Aktualizacje oprogramowania, które zostały już zsynchronizowane, nie zostaną zaktualizowane o nowe metadane dla zmodyfikowanych języków, chyba że wystąpi zmiana w aktualizacjach oprogramowania w źródle synchronizacji. |
Planowanie ustawień skojarzonych z aktualizacjami oprogramowania
Ustawienia klienta aktualizacji oprogramowania w programie Menedżer konfiguracji dotyczą całej lokalizacji i mają skonfigurowane wartości domyślne. Istnieją ustawienia aktualizacji oprogramowania i klienta ochrony dostępu do sieci (NAP), które mają wpływ na to, kiedy aktualizacje oprogramowania są skanowane pod kątem zgodności, oraz na sposób instalowania aktualizacji oprogramowania na klientach. Dostępne są także ustawienia zasad grupy w klientach, dla których konieczna może być konfiguracja stosownie do używanego środowiska. Więcej informacji o sposobie konfigurowania ustawień skojarzonych z aktualizacjami oprogramowania zawiera sekcja Krok 4: Weryfikacja ustawień klientów i konfiguracji zasad grup aktualizacji oprogramowania w temacie Konfigurowanie aktualizacji oprogramowania w programie Configuration Manager.
Ustawienia klienta dotyczące aktualizacji oprogramowania
Po instalacji punktu aktualizacji oprogramowania agent klienta aktualizacji oprogramowania zostanie domyślnie włączony. Nie jest konieczne wprowadzanie specyficznych ustawień klienta. Należy jednak sprawdzić ustawienia i potwierdzić wszystkie ustawienia domyślne. Ustawienia aktualizacji oprogramowania i klienta ochrony dostępu do sieci można zmienić w opcji Ustawienia klienta obszaru roboczego Administracja. Więcej informacji o sposobie konfigurowania ustawień skojarzonych z aktualizacjami oprogramowania zawiera sekcja Ustawienia klienta dotyczące aktualizacji oprogramowania w temacie Konfigurowanie aktualizacji oprogramowania w programie Configuration Manager.
Ważne |
---|
Ustawienie Włącz aktualizacje oprogramowania na klientach jest domyślnie włączone. Wyłączenie tego ustawienia spowoduje, że program Menedżer konfiguracji usunie istniejące zasady wdrażania z klienta. Dodatkowo przestaną działać zasady NAP i ustawień zgodności korzystające z tego ustawienia urządzenia aktualizacji oprogramowania. |
Ustawienia zasad grupy dotyczące aktualizacji oprogramowania
Zasada grupy zawiera konkretne ustawienia, które są używane przez usługę Windows Update Agent (WUA) na komputerach klienckich do łączenia się z programem WSUS uruchomionym w punkcie aktualizacji oprogramowania, skanowania pod kątem zgodności aktualizacji oprogramowania oraz do automatycznego aktualizowania aktualizacji oprogramowania oraz usługi WUA.
Ostrzeżenie |
---|
Jeśli do klientów został przypisany obiekt zasad grupy usługi Active Directory, który określa serwer WSUS niebędący punktem aktualizacji oprogramowania Menedżer konfiguracji, lokalne ustawienie zasad grupy skonfigurowane przez program Menedżer konfiguracji zostanie zastąpione. Przed oceną zgodności aktualizacji oprogramowania i rozpoczęciem zarządzania aktualizacjami oprogramowania u klientów należy ponownie skonfigurować ustawieni zasad grupy usługi Active Directory lub przenieść klientów do jednostki organizacyjnej, w której nie zostało zastosowane to ustawienie zasad grupy. |
Więcej informacji o sposobie konfigurowania ustawień skojarzonych z aktualizacjami oprogramowania zawiera sekcja Ustawienia zasad grupy dotyczące aktualizacji oprogramowania w temacie Konfigurowanie aktualizacji oprogramowania w programie Configuration Manager.
Ustawienie pamięci podręcznej klienta
Klient programu Menedżer konfiguracji pobiera zawartość do wymaganej aktualizacji oprogramowania do pamięci podręcznej zaraz po otrzymaniu wdrożenia. Jednak klient czeka z pobieraniem zawartości do momentu zachowania zgodności z ustawieniem Czas dostępności oprogramowania. Klient nie pobiera aktualizacji oprogramowania we wdrożeniach opcjonalnych (bez ustalonego ostatecznego termin instalacji) do momentu ręcznego rozpoczęcia instalacji. Po upływie terminu klient aktualizacji oprogramowania wykona skanowanie w celu potwierdzenia, czy aktualizacja oprogramowania jest nadal konieczna. Następnie agent klienta aktualizacji oprogramowania sprawdzi, czy w pamięci podręcznej klienta są dostępne pliki źródłowych aktualizacji oprogramowania, a jeśli tak, zainstaluje tę aktualizację. Jeśli zawartość została usunięta z pamięci podręcznej w celu przygotowania miejsca na kolejne wdrożenie, klient ponownie pobierze aktualizacje oprogramowania do pamięci podręcznej. Aktualizacje oprogramowania są zawsze pobierane do pamięci podręcznej klienta, niezależnie od jej skonfigurowanego maksymalnego rozmiaru. W przypadku innych wdrożeń, na przykład aplikacji lub pakietów, klient pobiera wyłącznie tę zawartość, która mieści się w zakresie skonfigurowanego u klienta maksymalnego rozmiaru pamięci podręcznej. Zawartość z pamięci podręcznej nie jest automatycznie usuwana, lecz pozostaje w pamięci podręcznej przynajmniej przez jeden dzień po jej użyciu.
Planowanie okna obsługi aktualizacji oprogramowania
Od programu System Center 2012 R2 Configuration Manager istnieje możliwość dodania okna obsługi przeznaczonego do instalacji aktualizacji oprogramowania. Pozwala to na konfigurowanie ogólnego okna obsługi oraz innych okien obsługi na potrzeby aktualizacji oprogramowania. W przypadku skonfigurowania zarówno ogólnego okna obsługi, jak i okna obsługi aktualizacji oprogramowania, klienci instalują aktualizacje oprogramowania tylko przy otwartym oknie obsługi aktualizacji oprogramowania. Więcej informacji dotyczących okien obsługi znajduje się w temacie .No text is shown for link '19adb219-c1ef-4dea-bb7d-d88d4e541044'. The title of the linked topic might be empty.
Dodatkowe tematy dotyczące planowania aktualizacji oprogramowania
Do zaplanowania aktualizacji oprogramowania w programie Menedżer konfiguracji służą następujące tematy.