Planera för programuppdateringar i Configuration Manager
Gäller för: Configuration Manager (aktuell gren)
Innan du använder programuppdateringar i en Configuration Manager-produktionsmiljö är det viktigt att du går igenom planeringsprocessen. Att ha en bra plan för infrastrukturen för programuppdateringsplatsen är nyckeln till en lyckad implementering av programuppdateringar. Information om kapacitetsplanering för programuppdateringar finns i Storlek och skalningsnummer.
Fastställa infrastrukturen för programuppdateringsplatsen
Det här avsnittet innehåller följande underavsnitt:
- Lista över programuppdateringsplatser
- Växling av programuppdateringsplats
- Växla klienter manuellt till en ny programuppdateringsplats
- Programuppdateringsplatser i en ej betrodd skog
- Använd en befintlig WSUS-server som synkroniseringskälla på platsen på den översta nivån
- Programuppdateringsplats på en sekundär plats
- Planera för Internetbaserade klienter
- Planera programuppdateringsinnehåll
- Planera för uppdateringar från tredje part
Den centrala administrationsplatsen och alla underordnade primära platser måste ha en programuppdateringsplats. När du planerar för infrastrukturen för programuppdateringsplatsen fastställer du följande beroenden:
- Var du installerar programuppdateringsplatsen för platsen
- Vilka webbplatser kräver en programuppdateringsplats som accepterar kommunikation från Internetbaserade klienter
- Om du behöver en programuppdateringsplats på sekundära platser
Viktigt
Mer information om de interna och externa beroenden som krävs för programuppdateringar finns i Krav för programuppdateringar.
Lägg till flera programuppdateringsplatser på en primär plats i Configuration Manager för att tillhandahålla feltolerans. Redundansdesignen för programuppdateringsplatsen skiljer sig från den rena randomiseringsmodellen som används i designen för hanteringsplatser. Till skillnad från vid utformningen av hanteringsplatser finns det kostnader för klient- och nätverksprestanda i programuppdateringsplatsens design när klienter byter till en ny programuppdateringsplats. När klienten växlar till en ny WSUS-server för att söka efter programuppdateringar blir resultatet en ökning av katalogstorleken och tillhörande krav på klientsidan och nätverkets prestanda. Därför bevarar klienten tillhörigheten med den senaste programuppdateringsplatsen som den genomsökts från.
Den första programuppdateringsplatsen som du installerar på en primär plats är synkroniseringskällan för alla ytterligare programuppdateringsplatser som du lägger till på den primära platsen. När du har lagt till programuppdateringsplatser och påbörjat synkroniseringen visar du status för programuppdateringsplatserna och synkroniseringskällan från noden Synkroniseringsstatus för programuppdateringsplats på arbetsytan Övervakning .
Om det uppstår ett fel på programuppdateringsplatsen som konfigurerats som synkroniseringskälla för platsen tar du bort den misslyckade rollen manuellt. Välj sedan en ny programuppdateringsplats som ska användas som synkroniseringskälla. Mer information finns i Ta bort en platssystemroll.
Lista över programuppdateringsplatser
Configuration Manager förser klienten med en lista över programuppdateringsplatser i följande scenarier:
En ny klient tar emot principen för att aktivera programuppdateringar
En klient kan inte kontakta sin tilldelade programuppdateringsplats och behöver växla till en annan
Klienten väljer slumpmässigt en programuppdateringsplats i listan. Den prioriterar programuppdateringsplatserna i samma skog. Configuration Manager ger klienter en annan lista beroende på typen av klient:
Intranätbaserade klienter: Ta emot en lista över programuppdateringsplatser som du kan konfigurera för att endast tillåta anslutningar från intranätet eller en lista över programuppdateringsplatser som tillåter internet- och intranätklientanslutningar.
Internetbaserade klienter: Ta emot en lista över programuppdateringsplatser som du konfigurerar för att endast tillåta anslutningar från Internet eller en lista över programuppdateringsplatser som tillåter internet- och intranätklientanslutningar.
Växling av programuppdateringsplats
Obs!
Klienter använder gränsgrupper för att hitta en ny programuppdateringsplats. Om den aktuella programuppdateringsplatsen inte längre är tillgänglig använder de även gränsgrupper för att återställa och hitta en ny. Lägg till enskilda programuppdateringsplatser till olika gränsgrupper för att styra vilka servrar en klient kan hitta. Mer information finns i Programuppdateringsplatser.
Om du har flera programuppdateringsplatser på en plats och en misslyckas eller blir otillgänglig, ansluter klienterna till en annan programuppdateringsplats. Med den här nya servern fortsätter klienterna att söka efter de senaste programuppdateringarna. När en klient först tilldelas en programuppdateringsplats förblir den tilldelad till programuppdateringsplatsen såvida den inte misslyckas med genomsökningen.
Genomsökningen efter programuppdateringar kan misslyckas med ett antal olika felkoder för återförsök och icke-återförsök. När genomsökningen misslyckas med en återförsöksfelkod startar klienten en återförsöksprocess för att söka efter programuppdateringarna på programuppdateringsplatsen. De övergripande villkor som resulterar i en felkod för återförsök beror vanligtvis på att WSUS-servern inte är tillgänglig eller för att den är tillfälligt överbelastad. När klienten inte kan söka efter programuppdateringar används följande process:
Klienten söker efter programuppdateringar:
- Vid den schemalagda tidpunkten
- När den körs manuellt från kontrollpanelen på klienten
- När den körs manuellt från Configuration Manager-konsolen via en klientmeddelandeåtgärd
- När den körs från en Configuration Manager SDK-metod
Om genomsökningen misslyckas väntar klienten i 30 minuter för att försöka utföra genomsökningen igen. Den använder samma programuppdateringsplats.
Klienten försöker igen minst fyra gånger var 30:e minut. Efter det fjärde felet och efter ytterligare två minuter flyttas klienten till nästa programuppdateringsplats i listan.
Klienten upprepar den här processen med den nya programuppdateringsplatsen. Efter en lyckad genomsökning fortsätter klienten att ansluta till den nya programuppdateringsplatsen.
Följande lista innehåller ytterligare information att överväga för återförsök och växlingsscenarier för programuppdateringsplatsen:
Om en klient är frånkopplad från intranätet och inte kan söka efter programuppdateringar växlar den inte till en annan programuppdateringsplats. Det här felet är förväntat eftersom klienten inte kan nå det interna nätverket eller en programuppdateringsplats som tillåter anslutningar från intranätet. Configuration Manager-klienten avgör tillgängligheten för intranätets programuppdateringsplats.
Om du hanterar klienter på Internet och har konfigurerat flera programuppdateringsplatser för att acceptera kommunikation från klienter på Internet följer växlingsprocessen den standardprocess för återförsök som beskrivits tidigare.
Om genomsökningen startar, men klienten inaktiveras innan genomsökningen slutförs, betraktas den inte som ett genomsökningsfel och räknas inte som ett av de fyra återförsöken.
När Configuration Manager tar emot någon av följande felkoder för Windows Update Agent försöker klienten ansluta igen:
2149842970, 2147954429, 2149859352, 2149859362, 2149859338, 2149859344, 2147954430, 2147747475, 2149842974, 2149859342, 2149859372, 2149859341, 2149904388, 2149859371, 2149859367, 2149859366, 2149859364, 2149859363, 2149859361, 2149859360, 2149859359, 2149859358, 2149859357, 2149859356, 2149859354, 2149859353, 2149859350, 2149859349, 2149859340, 2149859339, 2149859332, 2149859333, 2149859334, 2149859337, 2149859336, 2149859335
Om du vill slå upp innebörden av en felkod konverterar du decimalfelkoden till hexadecimal och söker sedan efter hexadecimalt värde på en webbplats, till exempel Wikin Windows Update Agent – Felkoder. Till exempel är decimalfelkoden 2149842970 hexadecimal 8024001A, vilket innebär att WU_E_POLICY_NOT_SET Ett principvärde inte har angetts.
Växla klienter manuellt till en ny programuppdateringsplats
Växla Configuration Manager-klienter till en ny programuppdateringsplats när det finns problem med den aktiva programuppdateringsplatsen. Den här ändringen sker bara när en klient tar emot flera programuppdateringsplatser från en hanteringsplats.
Viktigt
När du växlar enheter till att använda en ny server använder enheterna återställning för att hitta den nya servern. Klienter växlar till den nya programuppdateringsplatsen under nästa genomsökningscykel för programuppdateringar.
Innan du påbörjar den här ändringen granskar du gränsgruppskonfigurationerna för att se till att programuppdateringsplatserna finns i rätt gränsgrupper. Mer information finns i Programuppdateringsplatser.
Om du byter till en ny programuppdateringsplats genereras ytterligare nätverkstrafik. Mängden trafik beror på dina WSUS-konfigurationsinställningar, till exempel synkroniserade klassificeringar och produkter eller användning av en delad WSUS-databas. Om du planerar att byta flera enheter bör du överväga att göra det under underhållsperioder. Den här tidpunkten minskar påverkan på nätverket när klienter söker med den nya programuppdateringsplatsen.
Process för att växla programuppdateringsplatser
Starta den här ändringen på en enhetssamling. När det har utlösts letar klienterna efter en annan programuppdateringsplats vid nästa genomsökning.
I Configuration Manager-konsolen går du till arbetsytan Tillgångar och efterlevnad och väljer noden Enhetssamlingar .
Välj målsamlingen. Välj Klientmeddelande i gruppen Samling på fliken Start i menyfliksområdet och välj sedan Växla till nästa programuppdateringsplats.
Programuppdateringsplatser i en ej betrodd skog
Skapa en eller flera programuppdateringsplatser på en plats för att stödja klienter i en ej betrodd skog. Om du vill lägga till en programuppdateringsplats i en annan skog installerar och konfigurerar du först en WSUS-server i skogen. Starta sedan guiden för att lägga till en Configuration Manager-platsserver med platssystemrollen för programuppdateringsplatsen. I guiden konfigurerar du följande inställningar för att ansluta till WSUS i den ej betrodda skogen:
Ange ett konto för platssysteminstallation som kan komma åt WSUS-servern i den ej betrodda skogen.
Ange ett WSUS-serveranslutningskonto för att ansluta till WSUS-servern.
Du har till exempel en primär plats i skog A med två programuppdateringsplatser (SUP01 och SUP02). För samma primära plats har du också två programuppdateringsplatser (SUP03 och SUP04) i skog B. När du växlar till nästa programuppdateringsplats prioriterar klienterna servrarna från samma skog.
Använd en befintlig WSUS-server som synkroniseringskälla på platsen på den översta nivån
Vanligtvis är platsen på den översta nivån i hierarkin konfigurerad för att synkronisera metadata för programuppdateringar med Microsoft Update. När organisationens säkerhetsprincip inte tillåter att platsen på den översta nivån får åtkomst till Internet konfigurerar du synkroniseringskällan för platsen på den översta nivån så att den använder en befintlig WSUS-server. Den här WSUS-servern finns inte i Configuration Manager-hierarkin. Du har till exempel en WSUS-server i ett Internetanslutet nätverk (DMZ), men platsen på den översta nivån finns i ett internt nätverk utan Internetåtkomst. Konfigurera WSUS-servern i DMZ som synkroniseringskälla för programuppdateringsmetadata. Konfigurera WSUS-servern i DMZ för att synkronisera programuppdateringar med samma kriterier som du behöver i Configuration Manager. Annars kanske webbplatsen på den översta nivån inte synkroniserar de programuppdateringar som du förväntar dig. När du installerar programuppdateringsplatsen konfigurerar du ett WSUS-serveranslutningskonto. Det här kontot behöver åtkomst till WSUS-servern i DMZ. Kontrollera också att brandväggen tillåter trafik för lämpliga portar. Mer information finns i portarna som används av programuppdateringsplatsen till synkroniseringskällan.
Programuppdateringsplats på en sekundär plats
Programuppdateringsplatsen är valfri på en sekundär plats. Installera endast en programuppdateringsplats på en sekundär plats. När en programuppdateringsplats inte är installerad på den sekundära platsen använder enheter inom gränserna för en sekundär plats en programuppdateringsplats på sin tilldelade primära plats. Du installerar vanligtvis en programuppdateringsplats på en sekundär plats när det finns begränsad nätverksbandbredd mellan enheterna på den sekundära platsen och programuppdateringsplatserna på den överordnade primära platsen. Du kan också använda den här konfigurationen när programuppdateringsplatsen på den primära platsen närmar sig kapacitetsgränsen. När du har installerat och konfigurerat en programuppdateringsplats på den sekundära platsen uppdateras en platsomfattande princip för klienter och de börjar använda den nya programuppdateringsplatsen.
Planera för Internetbaserade klienter
När du behöver hantera enheter som flyttas från nätverket till Internet ska du utveckla en plan för hur du hanterar programuppdateringar på dessa enheter. Configuration Manager stöder flera tekniker för det här scenariot. Använd en eller en kombination efter behov för att uppfylla kraven i din organisation.
Molnhanteringsgateway
Skapa en molnhanteringsgateway i Microsoft Azure och aktivera minst en lokal programuppdateringsplats för att tillåta trafik från Internetbaserade klienter. När klienterna strömmar in på Internet fortsätter de att söka efter programuppdateringsplatserna. Alla Internetbaserade klienter får alltid innehåll från Microsoft Update-molntjänsten.
Mer information finns i Översikt över molnhanteringsgateway och Konfigurera gränsgrupper.
Obs!
Från och med version 2203 kan du ställa in klienter att föredra att söka igenom mot en molnhanteringsgateway (CMG) programuppdateringsplats (SUP) över en lokal SUP. Det här beteendet styrs av alternativet Prioritera molnbaserad källa framför lokal källa i gränsgruppen. För att minska prestandapåverkan av den här ändringen växlar befintliga klienter inte automatiskt sin SUP till en molnbaserad SUP. Klienten förblir tilldelad sin nuvarande SUP om inte deras nuvarande SUP misslyckas eller klienten manuellt växlas till en ny SUP.
Internetbaserad klienthantering
Placera en programuppdateringsplats i ett Internetanslutet nätverk och aktivera den för att tillåta trafik från Internetbaserade klienter. När klienterna strömmar till Internet växlar de till den här programuppdateringsplatsen för genomsökning. Alla Internetbaserade klienter får alltid innehåll från Microsoft Update-molntjänsten.
Mer information om fördelar och nackdelar med internetbaserad klienthantering finns i Hantera klienter på Internet.
Windows Update för företag
Med Windows Update för företag kan du hålla Windows 10- eller senare enheter alltid uppdaterade med de senaste kvalitets- och funktionsuppdateringarna. Dessa enheter ansluter direkt till Windows Update-molntjänsten. Configuration Manager kan skilja mellan Windows-datorer som använder WUfB och WSUS för att hämta programuppdateringar.
Mer information finns i Integrering med Windows Update för företag.
Planera programuppdateringsinnehåll
Klienter måste ladda ned innehållsfilerna för programuppdateringar för att kunna installera dem. Configuration Manager tillhandahåller flera tekniker för hantering och leverans av det här innehållet. Eller konfigurera programuppdateringsdistributioner för att tillåta eller kräva att klienter hämtar innehåll direkt från Microsoft Update-molntjänsten.
Obs!
Från och med den 28 mars 2023 får lokala Windows 11-enheter version 22H2 kvalitetsuppdateringar via Unified Update Platform (UUP). UUP lokalt interoperates med WSUS och Microsoft Configuration Manager. UUP-kvalitetsuppdateringar fortsätter att vara kumulativa och innehåller alla utgivna kvalitets- och säkerhetskorrigeringar för Windows. Lokal uppdateringshantering med Unified Update Platform (UUP) kräver ytterligare 10 GB utrymme per Windows-version och processorarkitektur för varje version. Mer information finns i avsnittet om UUP-överväganden .
Ladda ned och distribuera innehåll
Som standard använder programuppdateringshanteringsprocessen i Configuration Manager de inbyggda funktionerna för innehållshantering. Dessa funktioner omfattar det centraliserade innehållsbiblioteket för en instanslagring och den distribuerade designen av distributionsplatssystemrollen. Du använder de här funktionerna när du laddar ned och distribuerar programuppdateringsdistributionspaket.
Mer information finns i Ladda ned programuppdateringar.
Hantera expressinstallationsfiler för Windows 10 eller senare
Configuration Manager stöder användning av expressinstallationsfiler för Windows-uppdateringar. Expressuppdateringsfiler och stödtekniker som leveransoptimering kan bidra till att minska nätverkspåverkan av stora innehållsfiler som laddas ned till klienter.
Mer information finns i Optimera Leverans av Windows-uppdateringar.
Klienter laddar ned innehåll från Internet
När du distribuerar programuppdateringar till klienter konfigurerar du distributionen för klienter för att ladda ned innehåll från Microsoft Update-molntjänsten. När klienter inte kan ladda ned innehåll från en annan innehållskälla kan de fortfarande ladda ned innehållet från Internet.
Du behöver inte skapa ett distributionspaket när du distribuerar programuppdateringar. När du väljer alternativet Inget distributionspaket kan klienter fortfarande ladda ned innehåll från lokala källor om det är tillgängligt, men vanligtvis ladda ned från Microsoft Update-tjänsten.
Internetbaserade klienter laddar alltid ned innehåll från Microsoft Update-molntjänsten. Distribuera inte programuppdateringsdistributionspaket till en innehållsaktiverad molnhanteringsgateway (CMG).
Planera för uppdateringar från tredje part
Configuration Manager integreras med WSUS, som har inbyggt stöd för programuppdateringar som publicerats av Microsoft. De flesta kunder använder andra program från tredje part som också behöver uppdateringar. Det finns flera alternativ att överväga för att hålla program från tredje part uppdaterade.
Ersätta program som ska uppdateras
Använd en ersättningsrelation med programhanteringsfunktionen i Configuration Manager för att uppgradera eller ersätta befintliga program. När du ersätter ett program anger du en ny distributionstyp som ersätter distributionstypen för det ersatta programmet. Bestäm även om du vill uppgradera eller avinstallera det ersatta programmet innan det ersatta programmet installeras.
Mer information finns i Ändra och ersätta program.
Programuppdateringar från tredje part
Du kan använda noden Programuppdateringskataloger från tredje part i Configuration Manager-konsolen för att prenumerera på kataloger från tredje part, publicera uppdateringarna till programuppdateringsplatsen och sedan distribuera dem till klienter.
Mer information finns i Programuppdateringar från tredje part.
System Center Updates Publisher
System Center Updates Publisher (SCUP) är ett fristående verktyg som gör det möjligt för oberoende programvaruutgivare eller verksamhetsspecifika programutvecklare att hantera anpassade uppdateringar. Dessa uppdateringar omfattar de med beroenden, till exempel drivrutiner och uppdateringspaket. SCUP kan också användas för uppdateringskataloger från tredje part som inte är tillgängliga direkt i konsolen.
Mer information finns i System Center Updates Publisher.
Planera för installation av programuppdateringsplats
Det här avsnittet innehåller följande underavsnitt:
Det här avsnittet innehåller information om de steg som ska utföras för att planera och förbereda för installationen av programuppdateringsplatsen. Innan du skapar en platssystemroll för programuppdateringsplatsen i Configuration Manager finns det flera krav att tänka på. De specifika kraven beror på din Configuration Manager-infrastruktur. När du konfigurerar programuppdateringsplatsen så att den kommunicerar med https är det här avsnittet särskilt viktigt att granska. HTTPS-aktiverade servrar kräver ytterligare steg för att fungera korrekt.
Krav för programuppdateringsplatsen
Installera programuppdateringsplatsrollen på ett platssystem som uppfyller minimikraven för WSUS och de konfigurationer som stöds för Configuration Manager-platssystem.
Mer information om minimikraven för WSUS-serverrollen i Windows Server finns i Granska överväganden och systemkrav.
Mer information om konfigurationer som stöds för Configuration Manager-platssystem finns i Krav för plats- och platssystem.
Planera för WSUS-installation
Installera en version av WSUS som stöds på alla platssystemservrar som du konfigurerar för programuppdateringsplatsrollen. När du inte installerar programuppdateringsplatsen på platsservern installerar du WSUS-administrationskonsolen på platsservern. Med den här komponenten kan platsservern kommunicera med WSUS som körs på programuppdateringsplatsen.
När du använder WSUS på Windows Server 2012 eller senare konfigurerar du ytterligare behörigheter så att WSUS Configuration Manager-komponenten i Configuration Manager kan ansluta till WSUS. Den här komponenten utför regelbundna hälsokontroller. Välj något av följande alternativ för att konfigurera den behörighet som krävs:
Lägg till SYSTEM-kontot i gruppen WSUS-administratörer
Lägg till kontot NT AUTHORITY\SYSTEM som användare för WSUS-databasen (SUSDB). Konfigurera minst webService-databasrollmedlemskap.
Mer information om hur du installerar WSUS på Windows Server finns i Installera WSUS-serverrollen.
När du installerar mer än en programuppdateringsplats på en primär plats använder du samma WSUS-databas för varje programuppdateringsplats i samma Active Directory-skog. Att dela samma databas ger bättre prestanda när klienter växlar till en ny programuppdateringsplats. Mer information finns i Använda en delad WSUS-databas för programuppdateringsplatser.
Konfigurera sökvägen till WSUS-innehållskatalogen
När du installerar WSUS måste du ange en sökväg till innehållskatalogen. WSUS-innehållskatalogen används främst för att lagra de Microsoft Software License Terms-filer som behövs av klienter under genomsökningen. Configuration Manager WSUS-innehållskatalogen bör inte överlappa med innehållskällans katalog för Distributionspaket för Configuration Manager-programvara. Överlappande WSUS-innehållskatalogen och Configuration Manager-paketkällan resulterar i att felaktiga filer tas bort från WSUS-innehållskatalogen.
Konfigurera WSUS för att använda en anpassad webbplats
När du installerar WSUS kan du använda den befintliga IIS-standardwebbplatsen eller skapa en anpassad WSUS-webbplats. Skapa en anpassad webbplats för WSUS så att IIS är värd för WSUS-tjänsterna på en dedikerad virtuell webbplats. Annars delar den samma webbplats som används av de andra Configuration Manager-platssystemen eller programmen. Den här konfigurationen är särskilt nödvändig när du installerar programuppdateringsplatsrollen på platsservern. När du kör WSUS i Windows Server 2012 eller senare konfigureras WSUS som standard att använda port 8530 för HTTP och port 8531 för HTTPS. Ange dessa portar när du skapar programuppdateringsplatsen på en plats.
Konfigurera WSUS som en replikserver
När du lägger till programuppdateringsplatsrollen på en primär platsserver kan du inte använda en WSUS-server som är konfigurerad som en replik. När WSUS-servern har konfigurerats som en replik kan inte Configuration Manager konfigurera WSUS-servern och WSUS-synkroniseringen misslyckas. Den första programuppdateringsplatsen som du installerar på en primär plats är standardplatsen för programuppdatering. Ytterligare programuppdateringsplatser på platsen konfigureras som repliker av standardplatsen för programuppdatering.
Bestäm om WSUS ska konfigureras att använda SSL
Vi rekommenderar starkt att du använder SSL-protokollet för att skydda programuppdateringsplatsen. WSUS använder SSL för att autentisera klientdatorer och underordnade WSUS-servrar till WSUS-servern. WSUS använder också SSL för att kryptera programuppdateringsmetadata. När du väljer att skydda WSUS med SSL förbereder du WSUS-servern innan du installerar programuppdateringsplatsen.
När du installerar och konfigurerar programuppdateringsplatsen väljer du alternativet aktivera SSL-kommunikation för WSUS-servern. Annars konfigurerar Configuration Manager WSUS att inte använda SSL. När du aktiverar SSL på en programuppdateringsplats konfigurerar du även alla programuppdateringsplatser på underordnade platser så att de använder SSL. Mer information finns i självstudien Konfigurera en programuppdateringsplats att använda TLS/SSL med ett PKI-certifikat.
Obs!
För att säkerställa att de bästa säkerhetsprotokollen finns på plats rekommenderar vi starkt att du använder TLS/SSL-protokollet för att skydda infrastrukturen för programuppdatering. Från och med den kumulativa uppdateringen från september 2020 är HTTP-baserade WSUS-servrar säkra som standard. En klient som söker efter uppdateringar mot en HTTP-baserad WSUS kan inte längre använda en användarproxy som standard. Om du fortfarande behöver en användarproxy trots säkerhetsvägningarna är en ny klientinställning för programuppdateringar tillgänglig för att tillåta dessa anslutningar. Mer information om ändringarna för genomsökning av WSUS finns i Ändringar i september 2020 för att förbättra säkerheten för Windows-enheter som genomsöker WSUS.
Konfigurera brandväggar
Programuppdateringsplatsen på en central administrationsplats för Configuration Manager kommunicerar med WSUS på programuppdateringsplatsen. WSUS kommunicerar med synkroniseringskällan för att synkronisera metadata för programuppdateringar. Programuppdateringsplatser på en underordnad plats kommunicerar med programuppdateringsplatsen på den överordnade platsen. När det finns mer än en programuppdateringsplats på en primär plats kommunicerar de ytterligare programuppdateringsplatserna med standardplatsen för programuppdatering. Standardrollen är den första programuppdateringsplatsen som installeras på platsen.
Du kan behöva konfigurera brandväggen för att tillåta HTTP- eller HTTPS-trafik som WSUS använder i följande scenarier:
- Mellan programuppdateringsplatsen och Internet
- Mellan en programuppdateringsplats och dess överordnade synkroniseringskälla
- Mellan ytterligare programuppdateringsplatser
Anslutningen till Microsoft Update är alltid konfigurerad för att använda port 80 för HTTP och port 443 för HTTPS. Använd en anpassad port för anslutningen från WSUS på programuppdateringsplatsen på en underordnad plats till WSUS på programuppdateringsplatsen på den överordnade platsen. När din säkerhetsprincip inte tillåter anslutningen använder du metoden för att exportera och importera synkronisering. Mer information finns i avsnittet Synkroniseringskälla i den här artikeln. Mer information om de portar som WSUS använder finns i Så här fastställer du de portinställningar som används av WSUS i Configuration Manager.
Begränsa åtkomsten till specifika domäner
Om din organisation begränsar nätverkskommunikationen med Internet med hjälp av en brandvägg eller proxyenhet måste du tillåta att den aktiva programuppdateringsplatsen får åtkomst till Internetslutpunkter. Sedan kan WSUS och automatiska uppdateringar kommunicera med Microsoft Update-molntjänsten.
Mer information finns i Internetåtkomstkrav.
Planera för synkroniseringsinställningar
Det här avsnittet innehåller följande underavsnitt:
- Synkroniseringskälla
- Synkroniseringsschema
- Uppdatera klassificeringar
- Produkter
- Ersättningsregler
- Språk
- Maximal körningstid
Synkronisering av programuppdateringar i Configuration Manager laddar ned metadata för programuppdateringar baserat på kriterier som du konfigurerar. Platsen på den översta nivån i hierarkin synkroniserar programuppdateringar från Microsoft Update. Du har möjlighet att konfigurera programuppdateringsplatsen på den översta nivån så att den synkroniseras med en befintlig WSUS-server, inte i Configuration Manager-hierarkin. De underordnade primära platserna synkroniserar programuppdateringsmetadata från programuppdateringsplatsen på den centrala administrationswebbplatsen. Innan du installerar och konfigurerar en programuppdateringsplats använder du det här avsnittet för att planera synkroniseringsinställningarna.
Synkroniseringskälla
Inställningarna för synkroniseringskällan för programuppdateringsplatsen anger platsen där programuppdateringsplatsen hämtar metadata för programuppdateringar. Den anger också om synkroniseringsprocessen skapar WSUS-rapporteringshändelser.
Synkroniseringskälla: Som standard konfigurerar programuppdateringsplatsen på platsen på den översta nivån synkroniseringskällan för Microsoft Update. Du kan synkronisera platsen på den översta nivån med en befintlig WSUS-server. Programuppdateringsplatsen på en underordnad primär plats konfigurerar synkroniseringskällan som programuppdateringsplats på den centrala administrationsplatsen.
Den första programuppdateringsplatsen som du installerar på en primär plats, som är standardplatsen för programuppdatering, synkroniseras med den centrala administrationsplatsen. Ytterligare programuppdateringsplatser på den primära platsen synkroniseras med standardplatsen för programuppdatering på den primära platsen.
När en programuppdateringsplats är frånkopplad från Microsoft Update eller från den överordnade uppdateringsservern konfigurerar du synkroniseringskällan så att den inte synkroniseras med en konfigurerad synkroniseringskälla. Konfigurera i stället att använda export- och importfunktionen för WSUSUtil-verktyget för att synkronisera programuppdateringar. Mer information finns i Synkronisera programuppdateringar från en frånkopplad programuppdateringsplats.
WSUS-rapporteringshändelser: Windows Update-agenten på klientdatorer kan skapa händelsemeddelanden för WSUS-rapportering. Dessa händelser används inte av Configuration Manager. Därför är alternativet Skapa inte WSUS-rapporteringshändelser valt som standard. När dessa händelser inte skapas är den enda gången som klienten ska ansluta till WSUS-servern under utvärdering av programuppdateringar och efterlevnadsgenomsökningar. Om dessa händelser behövs för rapportering utanför Configuration Manager ändrar du den här inställningen för att skapa WSUS-rapporteringshändelser.
Viktigt
Om du delar WSUS-databasen (SUSDB) över flera programuppdateringsplatser för platsen på den översta nivån kontrollerar du att var och en av dessa WSUS-servrar uppfyller internetåtkomstkraven för programuppdateringar. När databasen delas på den översta nivån kan Configuration Manager välja någon av de WSUS-servrar som ska synkroniseras med Microsoft Update.
Synkroniseringsschema
Konfigurera endast synkroniseringsschemat på programuppdateringsplatsen på den översta nivån i Configuration Manager-hierarkin. När du konfigurerar synkroniseringsschemat synkroniseras programuppdateringsplatsen med synkroniseringskällan vid det datum och den tid som du angav. Med det anpassade schemat kan du synkronisera programuppdateringar för att optimera för din miljö. Överväg prestandakraven för WSUS-servern, platsservern och nätverket. Till exempel 02:00 en gång i veckan. Alternativt kan du starta synkroniseringen manuellt på platsen på den översta nivån med hjälp av åtgärden Synkronisera programuppdateringar från noderna Alla programuppdateringar eller Programuppdateringsgrupper i Configuration Manager-konsolen.
Tips
Schemalägg synkroniseringen av programuppdateringar så att den körs med hjälp av en tid som är lämplig för din miljö. Ett vanligt scenario är att ställa in synkroniseringsschemat så att det körs strax efter Microsofts regelbundna programuppdateringsversion den andra tisdagen i varje månad. Den här dagen kallas vanligtvis korrigeringstisdagen. Om du använder Configuration Manager för att leverera Endpoint Protection- och Windows Defender-definitions- och motoruppdateringar bör du överväga att ställa in synkroniseringsschemat så att det körs dagligen.
När programuppdateringsplatsen har synkroniserats skickar den en synkroniseringsbegäran till underordnade platser. Om du har ytterligare programuppdateringsplatser på en primär plats skickar den en synkroniseringsbegäran till varje programuppdateringsplats. Den här processen upprepas på varje plats i hierarkin.
Uppdatera klassificeringar
Varje programuppdatering definieras med en uppdateringsklassificering som hjälper till att organisera de olika typerna av uppdateringar. Under synkroniseringsprocessen synkroniserar webbplatsen metadata för de angivna klassificeringarna.
Configuration Manager stöder synkronisering av följande uppdateringsklassificeringar:
Kritiska uppdateringar: En brett publicerad uppdatering för ett specifikt problem som åtgärdar en kritisk, icke-säkerhetsrelaterad bugg.
Definitionsuppdateringar: En uppdatering av virus eller andra definitionsfiler.
Funktionspaket: Nya produktfunktioner som distribueras utanför en produktversion och som vanligtvis ingår i nästa fullständiga produktversion.
Säkerhetsuppdateringar: En allmänt publicerad uppdatering för ett produktspecifikt, säkerhetsrelaterat problem.
Service Pack: En kumulativ uppsättning snabbkorrigeringar som tillämpas på ett operativsystem eller program. Dessa snabbkorrigeringar omfattar säkerhetsuppdateringar, kritiska uppdateringar och programuppdateringar.
Verktyg: Ett verktyg eller en funktion som hjälper dig att utföra en eller flera uppgifter.
Samlade uppdateringar: En kumulativ uppsättning snabbkorrigeringar som paketeras tillsammans för enkel distribution. Dessa snabbkorrigeringar omfattar säkerhetsuppdateringar, kritiska uppdateringar och programuppdateringar. En samlad uppdatering behandlar vanligtvis ett visst område, till exempel säkerhet eller en produktkomponent.
Uppdateringar: En uppdatering av ett program eller en fil som för närvarande är installerad.
Uppgraderingar: En funktionsuppdatering till en ny version av Windows.
Konfigurera endast uppdateringsklassificeringsinställningarna på webbplatsen på den översta nivån. Inställningarna för uppdateringsklassificering konfigureras inte på programuppdateringsplatsen på underordnade platser, eftersom programuppdateringsmetadata replikeras från platsen på den översta nivån. När du väljer uppdateringsklassificeringarna bör du vara medveten om att ju fler klassificeringar du väljer, desto längre tid tar det att synkronisera metadata för programuppdateringar.
Varning
Vi rekommenderar att du rensar alla klassificeringar innan du synkroniserar för första gången. Efter den första synkroniseringen väljer du önskade klassificeringar och kör sedan synkroniseringen igen.
Produkter
Metadata för varje programuppdatering definierar en eller flera produkter för vilka uppdateringen är tillämplig. En produkt är en specifik utgåva av ett operativsystem eller program. Ett exempel på en produkt är Microsoft Windows 10. En produktfamilj är basoperativsystemet eller programmet som de enskilda produkterna härleds från. Ett exempel på en produktfamilj är Microsoft Windows, där Windows 10 och Windows Server 2016 är medlemmar. Välj en produktfamilj eller enskilda produkter inom en produktfamilj.
När programuppdateringar gäller för flera produkter och minst en av produkterna har valts för synkronisering visas alla produkter i Configuration Manager-konsolen även om vissa produkter inte har valts. Du kan till exempel bara välja Windows Server 2012-produkten. Om en programuppdatering gäller för Windows Server 2012 och Windows Server 2012 Datacenter Edition finns båda produkterna i platsdatabasen.
Konfigurera endast produktinställningarna på webbplatsen på den översta nivån. Produktinställningarna konfigureras inte på programuppdateringsplatsen för underordnade platser eftersom programuppdateringsmetadata replikeras från platsen på den översta nivån. Ju fler produkter du väljer, desto längre tid tar det att synkronisera metadata för programuppdateringar.
Viktigt
Configuration Manager lagrar en lista över produkter och produktfamiljer som du väljer från när du först installerar programuppdateringsplatsen. Produkter och produktfamiljer som släpps efter att Configuration Manager har släppts kanske inte är tillgängliga att välja förrän du har slutfört synkroniseringen. Synkroniseringsprocessen uppdaterar listan över tillgängliga produkter och produktfamiljer som du kan välja mellan. Rensa alla produkter innan du synkroniserar programuppdateringar för första gången. Efter den första synkroniseringen väljer du önskade produkter och kör sedan synkroniseringen igen.
Ersättningsregler
Vanligtvis utför en programuppdatering som ersätter en annan programuppdatering en eller flera av följande åtgärder:
Förbättrar, förbättrar eller uppdaterar korrigeringen som tillhandahölls av en eller flera tidigare utgivna uppdateringar.
Förbättrar effektiviteten för det ersatta uppdateringsfilpaketet, som installeras på klienter om uppdateringen har godkänts för installation. Den ersatta uppdateringen kan till exempel innehålla filer som inte längre är relevanta för korrigeringen eller för de operativsystem som stöds av den nya uppdateringen. Dessa filer ingår inte i uppdateringens ersättande filpaket.
Uppdaterar nyare versioner av en produkt. Med andra ord uppdateras versioner som inte längre gäller för äldre versioner eller konfigurationer av en produkt. Uppdateringar kan också ersätta andra uppdateringar om ändringar har gjorts för att utöka språkstödet. En senare revision av en produktuppdatering för Microsoft 365-appar kan till exempel ta bort stödet för ett äldre operativsystem, men det kan ge ytterligare stöd för nya språk i den första uppdateringsversionen.
I egenskaperna för programuppdateringsplatsen anger du att de ersatta programuppdateringarna omedelbart har upphört att gälla. Den här inställningen förhindrar att de inkluderas i nya distributioner. Den flaggar också de befintliga distributionerna för att indikera att de innehåller en eller flera utgångna programuppdateringar. Eller ange en tidsperiod innan de ersatta programuppdateringarna har upphört att gälla. Med den här åtgärden kan du fortsätta att distribuera dem.
Tänk på följande scenarier där du kan behöva distribuera en ersatt programuppdatering:
En ersättande programuppdatering stöder endast nyare versioner av ett operativsystem. Vissa av klientdatorerna kör tidigare versioner av operativsystemet.
En ersättande programuppdatering har mer begränsad tillämplighet än den programuppdatering som den ersätter. Det här beteendet skulle göra det olämpligt för vissa klienter.
Om en ersättande programuppdatering inte har godkänts för distribution i produktionsmiljön.
Configuration Manager kan automatiskt upphöra att gälla ersatta uppdateringar baserat på ett schema som du väljer. Du kan ange beteendet för ersättningsregler för funktionsuppdateringar separat från icke-funktionsuppdateringar. Standardinställningen är att vänta 3 månader innan en ersatt uppdatering upphör att gälla. Standardvärdet på 3 månader är att ge dig tid att kontrollera att uppdateringen inte längre behövs av någon av klientdatorerna. Vi rekommenderar att du inte antar att ersatta uppdateringar omedelbart ska upphöra att gälla till förmån för den nya, ersatta uppdateringen. Du kan visa en lista över de programuppdateringar som ersätter programuppdateringen på fliken Ersättningsinformation i egenskaperna för programuppdateringen.
Språk
Med språkinställningarna för programuppdateringsplatsen kan du konfigurera:
- De språk för vilka sammanfattningsinformationen (metadata för programuppdateringar) synkroniseras för programuppdateringar
- Språken för programuppdateringsfiler som laddas ned för programuppdateringar
Programuppdateringsfil
Konfigurera språk för inställningen Programuppdateringsfil i egenskaperna för programuppdateringsplatsen. Den här inställningen innehåller de standardspråk som är tillgängliga när du laddar ned programuppdateringar på en plats. Ändra de språk som väljs som standard varje gång programuppdateringarna laddas ned eller distribueras. Under nedladdningsprocessen laddas programuppdateringsfilerna för de konfigurerade språken ned till källplatsen för distributionspaketet, om programuppdateringsfilerna är tillgängliga på det valda språket. Därefter kopieras de till innehållsbiblioteket på platsservern. Sedan distribueras de till de distributionsplatser som har konfigurerats för paketet.
Konfigurera språkinställningarna för programuppdateringsfilen med de språk som oftast används i din miljö. Klienter på din webbplats använder till exempel mestadels engelska och japanska för Windows eller program. Det finns få andra språk som används på webbplatsen. Välj endast engelska och japanska i kolumnen Programuppdateringsfil när du laddar ned eller distribuerar programuppdateringen. Med den här åtgärden kan du använda standardinställningarna på sidan Val av språk i distributions- och nedladdningsguiderna. Den här åtgärden förhindrar också att onödiga uppdateringsfiler laddas ned. Konfigurera den här inställningen vid varje programuppdateringsplats i Configuration Manager-hierarkin.
Sammanfattningsinformation
Under synkroniseringsprocessen uppdateras informationen om sammanfattningsinformationen (metadata för programuppdateringar) för programuppdateringar på de språk som du anger. Metadata innehåller information om programuppdateringen, till exempel:
- Namn
- Beskrivning
- Produkter som uppdateringen stöder
- Uppdateringsklassificering
- Artikel-ID
- Ladda ned URL
- Tillämplighetsregler
Konfigurera endast inställningarna för sammanfattningsinformation på webbplatsen på den översta nivån. Sammanfattningsinformationen konfigureras inte på programuppdateringsplatsen på underordnade platser eftersom programuppdateringsmetadata replikeras från den centrala administrationswebbplatsen med hjälp av filbaserad replikering. När du väljer språk för sammanfattningsinformation väljer du endast de språk som du behöver i din miljö. Ju fler språk du väljer, desto längre tid tar det att synkronisera metadata för programuppdateringar. Configuration Manager visar metadata för programuppdateringar på nationella inställningar för operativsystemet där Configuration Manager-konsolen körs. Om de lokaliserade egenskaperna för programuppdateringarna inte är tillgängliga på nationella inställningar för det här operativsystemet visas informationen om programuppdateringar på engelska.
Viktigt
Välj alla språk för sammanfattningsinformation som du behöver. När programuppdateringsplatsen på platsen på den översta nivån synkroniseras med synkroniseringskällan avgör de valda språken för sammanfattningsinformation de programuppdateringsmetadata som hämtas. Om du ändrar sammanfattningsinformationsspråken efter att synkroniseringen har körts minst en gång hämtar den endast programuppdateringsmetadata för de ändrade sammanfattningsinformationsspråken för nya eller uppdaterade programuppdateringar. Programuppdateringarna som redan har synkroniserats uppdateras inte med nya metadata för de ändrade språken om det inte sker en ändring av programuppdateringen på synkroniseringskällan.
Maximal körningstid
Du kan ange hur lång tid en programuppdateringsinstallation måste slutföras. Du kan ange den maximala körningstiden för följande:
Maximal körningstid för Windows-funktionsuppdateringar (minuter)
-
Funktionsuppdateringar – en uppdatering som finns i någon av dessa tre klassificeringar:
- Uppgraderingar
- Samlade uppdateringar
- Service Pack
-
Funktionsuppdateringar – en uppdatering som finns i någon av dessa tre klassificeringar:
Maximal körningstid för Office 365-uppdateringar och icke-funktionsuppdateringar för Windows (minuter)
-
Icke-funktionsuppdateringar – En uppdatering som inte är en funktionsuppgradering och vars produkt visas som något av följande:
- Windows 11
- Windows 10 (alla versioner)
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Office 365
-
Icke-funktionsuppdateringar – En uppdatering som inte är en funktionsuppgradering och vars produkt visas som något av följande:
Maximal körningstid för alla andra programuppdateringar utanför dessa kategorier, till exempel uppdateringar från tredje part (minuter): Standardtiden för maximal körningstid för dessa uppdateringar varierar beroende på när uppdateringen först synkroniserades i miljön och Configuration Manager-versionen. Använd kundvagnen nedan för att fastställa det maximala körningsvärdet för dessa uppdateringar:
2203 eller senare 2103, 2107 eller 2111 2010 Den maximala körningstiden för alla andra programuppdateringar är anpassningsbar. Standardvärdet är 60 minuter. 60 minuter 10 minuter Viktigt
- Den här inställningen ändrar bara den maximala körningen för nya uppdateringar som synkroniseras i av SUP. Den ändrar inte körningstiden för befintliga uppdateringar som synkroniserades innan körningstiden ändrades. Om
Update 1
till exempel först synkroniserades i en 2111-miljö är den maximala körningstiden 60 minuter. Sedan uppgraderar du miljön till version 2203 och anger den maximala körningstiden till 30 minuter.Update 1
behåller körningen på 60 minuter. Men när en ny uppdatering,Update 2
, synkroniseras i, ges den nya körningstiden på 30 minuter. - Om du behöver ändra den maximala körningstiden för en uppdatering manuellt kan du konfigurera programuppdateringsinställningarna för den.
- Den här inställningen ändrar bara den maximala körningen för nya uppdateringar som synkroniseras i av SUP. Den ändrar inte körningstiden för befintliga uppdateringar som synkroniserades innan körningstiden ändrades. Om
Planera för en underhållsperiod för programuppdateringar
Lägg till en underhållsperiod som är dedikerad för installation av programuppdateringar. Med den här åtgärden kan du konfigurera en allmän underhållsperiod och en annan underhållsperiod för programuppdateringar. När du konfigurerar både en allmän underhållsperiod och en underhållsperiod för programuppdateringar installerar klienter endast programuppdateringar under underhållsperioden för programuppdateringar.
Du kan ändra det här beteendet och tillåta att programuppdateringar installeras under en allmän underhållsperiod. Mer information om den här klientinställningen finns i Klientinställningar för programuppdateringar.
Mer information om underhållsperioder finns i Använda underhållsperioder.
Omstartsalternativ för Windows 10-klienter efter installation av programuppdatering
När en programuppdatering som kräver en omstart distribueras och installeras med Configuration Manager schemalägger klienten en väntande omstart och visar en dialogruta för omstart.
När det finns en väntande omstart för en Configuration Manager-programuppdatering är alternativet uppdatera och starta om och uppdatera och stänga av tillgängligt på Windows 10-datorer i Energialternativen för Windows. När du har använt något av dessa alternativ visas inte omstartsdialogrutan när datorn har startats om. I vissa fall kan operativsystemet ta bort de väntande omstartsalternativen. Detta kan inträffa om funktionen Snabb start i Windows 10 är aktiverad. Mer information finns i Uppdateringar kanske inte installeras med snabb start i Windows 10.
Utvärdera programuppdateringar efter en uppdatering av servicestacken
Från och med version 2002 identifierar Configuration Manager om en uppdatering av servicestacken (SSU) ingår i en installation för flera uppdateringar. När en SSU identifieras installeras den först. Efter installationen av SSU körs en utvärderingscykel för programuppdatering för att installera de återstående uppdateringarna. Den här ändringen gör att en beroende kumulativ uppdatering kan installeras efter uppdateringen av servicestacken. Enheten behöver inte startas om mellan installationerna och du behöver inte skapa någon ytterligare underhållsperiod. SSU:er installeras först endast för icke-användarinitierade installationer. Om en användare till exempel initierar en installation för flera uppdateringar från Software Center kanske SSU inte installeras först. Installationen av SSUs är först inte tillgänglig för Windows Server-operativsystem när du använder Configuration Manager version 2002. Den här funktionen har lagts till i Configuration Manager version 2006 för Windows Server-operativsystem.
Om du har icke-Windows-uppdateringar som Office eller uppdateringar från tredje part på samma tidsgräns och de kräver en omstart efter installationen, kanske kumulativa uppdateringar inte installeras direkt efter SSU eftersom datorn krävde en omstart innan en fullständig genomsökning görs igen. Detta kan uppnås genom att välja kryssrutan Om en uppdatering i den här distributionen kräver en systemomstart kör du utvärderingscykeln för uppdateringsdistributionen efter omstart i distributionsinställningarna.
Nästa steg
När du planerar för programuppdateringar kan du läsa Förbereda för hantering av programuppdateringar.
Mer information om hur du hanterar Windows som en tjänst finns i Grunderna för Configuration Manager som en tjänst och Windows som en tjänst.