在 Configuration Manager 中规划软件更新
适用于: Configuration Manager(current branch)
在 Configuration Manager 生产环境中使用软件更新之前,请务必完成规划过程。 为软件更新点基础结构制定良好的计划是成功实现软件更新的关键。 有关软件更新的容量规划的信息,请参阅 大小和缩放数字。
确定软件更新点基础结构
本部分包含以下子主题:
- 软件更新点列表
- 软件更新点切换
- 手动将客户端切换到新的软件更新点
- 不受信任的林中的软件更新点
- 使用现有 WSUS 服务器作为顶级站点上的同步源
- 辅助站点上的软件更新点
- 规划基于 Internet 的客户端
- 规划软件更新内容
- 规划第三方更新
管理中心站点和所有子主站点必须具有软件更新点。 规划软件更新点基础结构时,请确定以下依赖项:
- 站点软件更新点的安装位置
- 哪些站点需要接受来自基于 Internet 的客户端通信的软件更新点
- 是否需要辅助站点的软件更新点
重要
有关软件更新所需的内部和外部依赖项的详细信息,请参阅 软件更新的先决条件。
在 Configuration Manager 主站点中添加多个软件更新点以提供容错。 软件更新点的故障转移设计不同于管理点设计中使用的纯随机化模型。 与管理点设计不同,当客户端切换到新的软件更新点时,软件更新点设计中存在客户端和网络性能成本。 当客户端切换到新的 WSUS 服务器以扫描软件更新时,结果是目录大小以及关联的客户端和网络性能需求增加。 因此,客户端保留与成功扫描的最后一个软件更新点的相关性。
在主站点上安装的第一个软件更新点是在主站点上添加的所有其他软件更新点的同步源。 添加软件更新点并开始同步后,从“监视”工作区中的“软件更新点同步状态”节点查看软件更新点的状态和同步源。
当配置为站点同步源的软件更新点发生故障时,请手动删除失败的角色。 然后选择要用作同步源的新软件更新点。 有关详细信息,请参阅 删除站点系统角色。
软件更新点列表
Configuration Manager 在以下方案中为客户端提供软件更新点列表:
新客户端接收用于启用软件更新的策略
客户端无法联系其分配的软件更新点,需要切换到另一个
客户端从列表中随机选择软件更新点。 它确定同一林中的软件更新点的优先级。 Configuration Manager 根据客户端的类型为客户端提供不同的列表:
基于 Intranet 的客户端:接收可以配置为仅允许来自 Intranet 的连接的软件更新点列表,或者接收允许 Internet 和 Intranet 客户端连接的软件更新点列表。
基于 Internet 的客户端:接收配置为仅允许从 Internet 建立连接的软件更新点列表,或接收允许 Internet 和 Intranet 客户端连接的软件更新点列表。
软件更新点切换
注意
客户端使用边界组来查找新的软件更新点。 如果不再可访问其当前软件更新点,则它们还会使用边界组来回退并查找新的边界组。 将单独的软件更新点添加到不同的边界组,以控制客户端可以找到的服务器。 有关详细信息,请参阅 软件更新点。
如果一个站点上有多个软件更新点,并且其中一个软件更新点失败或变得不可用,则客户端将连接到其他软件更新点。 使用此新服务器,客户端可以继续扫描最新的软件更新。 首次为客户端分配软件更新点时,除非无法扫描,否则客户端会一直分配给该软件更新点。
软件更新扫描可能会失败,并出现许多不同的重试和非重试错误代码。 当扫描失败并出现重试错误代码时,客户端将启动重试过程以扫描软件更新点上的软件更新。 导致重试错误代码的高级条件通常是因为 WSUS 服务器不可用或它暂时重载。 当客户端无法扫描软件更新时,它会使用以下过程:
客户端扫描软件更新:
- 在其计划时间
- 从客户端上的控制面板手动运行时
- 通过客户端通知操作从 Configuration Manager 控制台手动运行时
- 从 Configuration Manager SDK 方法运行时
如果扫描失败,客户端将等待 30 分钟以重试扫描。 它使用相同的软件更新点。
客户端每 30 分钟至少重试四次。 第四次失败后,再等待两分钟后,客户端将移动到其列表中的下一个软件更新点。
客户端使用新的软件更新点重复此过程。 成功扫描后,客户端将继续连接到新的软件更新点。
以下列表提供了软件更新点重试和切换方案需要考虑的其他信息:
如果客户端与 Intranet 断开连接,无法扫描软件更新,则不会切换到其他软件更新点。 这种失败是意料之中的,因为客户端无法访问内部网络或允许从 Intranet 进行连接的软件更新点。 Configuration Manager 客户端确定 Intranet 软件更新点的可用性。
如果你在 Internet 上管理客户端,并且已配置多个软件更新点以接受来自 Internet 上的客户端的通信,则切换过程遵循前面所述的标准重试过程。
如果扫描过程启动,但在扫描完成之前关闭客户端,则不会将其视为扫描失败,并且不会将其视为四次重试之一。
当 Configuration Manager 收到以下任一 Windows 更新代理错误代码时,客户端将重试连接:
2149842970, 2147954429, 2149859352, 2149859362, 2149859338, 2149859344, 2147954430, 2147747475, 2149842974, 2149859342, 2149859372, 2149859341, 2149904388, 2149859371, 2149859367, 2149859366, 2149859364, 2149859363, 2149859361, 2149859360, 2149859359, 2149859358, 2149859357, 2149859356, 2149859354, 2149859353, 2149859350, 2149859349, 2149859340, 2149859339, 2149859332, 2149859333, 2149859334, 2149859337, 2149859336, 2149859335
若要查找错误代码的含义,请将十进制错误代码转换为十六进制,然后在 Windows 更新代理 - 错误代码 Wiki 等网站上搜索十六进制值。 例如,十进制错误代码2149842970为十六进制 8024001A,这意味着WU_E_POLICY_NOT_SET未设置策略值。
手动将客户端切换到新的软件更新点
当活动软件更新点出现问题时,将 Configuration Manager 客户端切换到新的软件更新点。 仅当客户端从管理点接收多个软件更新点时,才会发生此更改。
重要
将设备切换为使用新服务器时,设备使用回退来查找新服务器。 客户端在下一个软件更新扫描周期中切换到新的软件更新点。
在开始此更改之前,请查看边界组配置,确保软件更新点位于正确的边界组中。 有关详细信息,请参阅 软件更新点。
切换到新的软件更新点会生成其他网络流量。 流量量取决于 WSUS 配置设置,例如,同步的分类和产品,或者共享 WSUS 数据库的使用。 如果计划切换多台设备,请考虑在维护时段内执行此操作。 此计时可减少客户端使用新的软件更新点进行扫描时对网络的影响。
切换软件更新点的过程
在设备集合上启动此更改。 触发后,客户端将在下次扫描时查找另一个软件更新点。
在 Configuration Manager 控制台中,转到 “资产和符合性” 工作区,然后选择“ 设备集合” 节点。
选择目标集合。 在功能区的“ 主页 ”选项卡上的“ 集合 ”组中,选择“ 客户端通知”,然后选择“ 切换到下一个软件更新点”。
不受信任的林中的软件更新点
在站点上创建一个或多个软件更新点,以支持不受信任的林中的客户端。 若要在另一个林中添加软件更新点,请先在该林中安装并配置 WSUS 服务器。 然后启动向导,添加具有软件更新点站点系统角色的 Configuration Manager 站点服务器。 在向导中,配置以下设置以成功连接到不受信任的林中的 WSUS:
指定一个站点 系统安装帐户 ,该帐户可以访问不受信任的林中的 WSUS 服务器。
指定要连接到 WSUS 服务器的 WSUS 服务器连接帐户 。
例如,林 A 中的主站点具有两个软件更新点, (SUP01 和 SUP02) 。 对于同一主站点,林 B 中还有两个软件更新点 (SUP03 和 SUP04) 。切换到下一个软件更新点时,客户端将优先处理同一林中的服务器。
使用现有 WSUS 服务器作为顶级站点上的同步源
通常,层次结构中的顶级站点配置为将软件更新元数据与Microsoft更新同步。 如果组织安全策略不允许顶级站点访问 Internet,请将顶级站点的同步源配置为使用现有 WSUS 服务器。 此 WSUS 服务器不在 Configuration Manager 层次结构中。 例如,在连接到 Internet 的网络中有一个 WSUS 服务器 (DMZ) ,但顶级站点位于内部网络中,无法访问 Internet。 将外围网络中的 WSUS 服务器配置为软件更新元数据的同步源。 在 DMZ 中配置 WSUS 服务器,以将软件更新与 Configuration Manager 中所需的相同条件同步。 否则,顶级站点可能无法同步预期的软件更新。 安装软件更新点时,请配置 WSUS 服务器连接帐户。 此帐户需要访问外围网络中的 WSUS 服务器。 另请确认防火墙是否允许相应端口的流量。 有关详细信息,请参阅 软件更新点用于同步源的端口。
辅助站点上的软件更新点
软件更新点在辅助站点上是可选的。 在辅助站点中仅安装一个软件更新点。 如果未在辅助站点上安装软件更新点,辅助站点边界内的设备在其分配的主站点上使用软件更新点。 当辅助站点中的设备与父主站点的软件更新点之间的网络带宽有限时,通常会在辅助站点上安装软件更新点。 当主站点的软件更新点接近容量限制时,还可以使用此配置。 在辅助站点上成功安装并配置软件更新点后,将更新客户端的站点范围策略,并开始使用新的软件更新点。
规划基于 Internet 的客户端
需要管理从网络漫游到 Internet 的设备时,请制定计划,了解如何管理这些设备上的软件更新。 Configuration Manager 为此方案支持多种技术。 根据需要使用一种或组合来满足组织的要求。
云管理网关
在 Microsoft Azure 中创建云管理网关,并启用至少一个本地软件更新点,以允许来自基于 Internet 的客户端的流量。 当客户端漫游到 Internet 时,它们会继续扫描软件更新点。 所有基于 Internet 的客户端始终从Microsoft更新云服务获取内容。
注意
从版本 2203 开始,可以将客户端设置为首选针对云管理网关进行扫描, (CMG) 软件更新点 (SUP) 本地 SUP。 此行为由边界组中的 “首选基于云的源而不是本地源 ”选项控制。 为了降低此更改对性能的影响,现有客户端不会自动 将其 SUP 切换到 基于云的 SUP。 除非客户端当前 SUP 失败或客户端手动切换到新的 SUP,否则客户端将始终分配到其当前 SUP。
基于 Internet 的客户端管理
将软件更新点置于面向 Internet 的网络中,并启用它以允许来自基于 Internet 的客户端的流量。 当客户端漫游到 Internet 时,会切换到此软件更新点进行扫描。 所有基于 Internet 的客户端始终从Microsoft更新云服务获取内容。
有关基于 Internet 的客户端管理的优缺点的详细信息,请参阅 管理 Internet 上的客户端。
适用于企业的 Windows 更新
适用于企业的 Windows 更新允许你始终使用最新的质量和功能更新使 Windows 10 或更高版本的设备保持最新状态。 这些设备直接连接到 Windows 更新云服务。 Configuration Manager 可以区分使用 WUfB 和 WSUS 获取软件更新的 Windows 计算机。
有关详细信息,请参阅 与适用于企业的 Windows 更新集成。
规划软件更新内容
客户端需要下载软件更新的内容文件才能安装它们。 Configuration Manager 提供了多种技术来支持此内容的管理和交付。 或者将软件更新部署配置为允许或要求客户端直接从Microsoft更新云服务获取内容。
注意
从 2023 年 3 月 28 日开始,本地 Windows 11 版本 22H2 设备将通过统一更新平台 (UUP) 接收质量更新。 本地 UUP 与 WSUS 互操作,Microsoft Configuration Manager。 UUP 质量更新仍然是累积更新,包括所有发布的 Windows 质量和安全修补程序。 使用统一更新平台 (UUP) 进行本地更新管理,每个版本的 Windows 版本和处理器体系结构需要额外的 10 GB 空间。 有关详细信息,请参阅 UUP 注意事项 部分。
下载和分发内容
默认情况下,Configuration Manager 中的软件更新管理过程使用内置的内容管理功能。 这些功能包括集中式单实例存储内容库,以及分发点站点系统角色的分布式设计。 下载和分发软件更新部署包时,可以使用这些功能。
有关详细信息,请参阅 下载软件更新。
管理 Windows 10 或更高版本的快速安装文件
Configuration Manager 支持对 Windows 更新使用快速安装文件。 快速更新文件和支持技术(如传递优化)可帮助减少大型内容文件下载到客户端的网络影响。
有关详细信息,请参阅 优化 Windows 更新传递。
客户端从 Internet 下载内容
将软件更新部署到客户端时,请将部署配置为客户端从更新云服务Microsoft下载内容。 当客户端无法从其他内容源下载内容时,它们仍可以从 Internet 下载内容。
部署软件更新时,无需创建部署包。 选择“ 无部署包 ”选项时,客户端仍可以从本地源下载内容(如果可用),但通常从Microsoft更新服务下载。
基于 Internet 的客户端始终从Microsoft更新云服务下载内容。 不要将软件更新部署包分发到已启用内容的云管理网关 (CMG) 。
规划第三方更新
Configuration Manager 与 WSUS 集成,WSUS 本机支持由 Microsoft 发布的软件更新。 大多数客户使用其他还需要更新的第三方应用程序。 若要使第三方应用程序保持最新状态,可以考虑多种选项。
取代要更新的应用程序
将取代关系与 Configuration Manager 中的应用程序管理功能配合使用来升级或替换现有应用程序。 取代应用程序时,请指定新的部署类型以替换被取代应用程序的部署类型。 此外,还决定是在安装取代应用程序之前升级还是卸载被取代的应用程序。
有关详细信息,请参阅 修改和取代应用程序。
第三方软件更新
可以使用 Configuration Manager 控制台中的 “第三方软件更新目录 ”节点订阅第三方目录,将其更新发布到软件更新点,然后将其部署到客户端。
有关详细信息,请参阅 第三方软件更新。
System Center Updates Publisher
System Center Updates Publisher (SCUP) 是一种独立工具,使独立软件发布者或业务线应用程序开发人员能够管理自定义更新。 这些更新包括具有依赖项的更新,例如驱动程序和更新捆绑包。 SCUP 还可用于控制台中不直接提供的第三方更新目录。
有关详细信息,请参阅 System Center Updates Publisher。
规划软件更新点安装
本部分包含以下子主题:
本部分提供有关成功规划和准备软件更新点安装的步骤的信息。 在 Configuration Manager 中为软件更新点创建站点系统角色之前,需要考虑几个要求。 具体要求取决于 Configuration Manager 基础结构。 将软件更新点配置为使用 HTTPS 进行通信时,本部分尤其需要查看。 启用 HTTPS 的服务器需要其他步骤才能正常工作。
软件更新点的要求
在满足 WSUS 的最低要求和 Configuration Manager 站点系统支持的配置的站点系统上安装软件更新点角色。
有关 Windows Server 中 WSUS 服务器角色的最低要求的详细信息,请参阅 查看注意事项和系统要求。
有关 Configuration Manager 站点系统支持的配置的详细信息,请参阅 站点和站点系统先决条件。
规划 WSUS 安装
在为软件更新点角色配置的所有站点系统服务器上安装受支持的 WSUS 版本。 如果不在站点服务器上安装软件更新点,请在站点服务器上安装 WSUS 管理控制台。 此组件允许站点服务器与在软件更新点上运行的 WSUS 通信。
在 Windows Server 2012 或更高版本上使用 WSUS 时,请配置其他权限,以允许 Configuration Manager 中的 WSUS Configuration Manager 组件连接到 WSUS。 此组件执行定期运行状况检查。 选择以下选项之一来配置所需的权限:
将 SYSTEM 帐户添加到 WSUS 管理员 组
将 NT AUTHORITY\SYSTEM 帐户添加为 WSUS 数据库的用户 (SUSDB) 。 配置 WebService 数据库角色成员身份的最小值。
有关如何在 Windows Server 上安装 WSUS 的详细信息,请参阅 安装 WSUS 服务器角色。
在主站点上安装多个软件更新点时,请对同一 Active Directory 林中的每个软件更新点使用相同的 WSUS 数据库。 当客户端切换到新的软件更新点时,共享同一数据库可以提高性能。 有关详细信息,请参阅 将共享 WSUS 数据库用于软件更新点。
配置 WSUS 内容目录路径
安装 WSUS 时,需要提供内容目录路径。 WSUS 内容目录主要用于存储客户端在扫描期间所需的Microsoft软件许可条款文件。 Configuration Manager WSUS 内容目录不应与 Configuration Manager 软件部署包的内容源目录重叠。 WSUS 内容目录和 Configuration Manager 包源重叠将导致从 WSUS 内容目录中删除不正确的文件。
将 WSUS 配置为使用自定义网站
安装 WSUS 时,可以选择使用现有的 IIS 默认网站或创建自定义 WSUS 网站。 为 WSUS 创建自定义网站,以便 IIS 在专用虚拟网站中托管 WSUS 服务。 否则,它共享由其他 Configuration Manager 站点系统或应用程序使用的同一网站。 在站点服务器上安装软件更新点角色时,此配置尤其必要。 在 Windows Server 2012 或更高版本中运行 WSUS 时,默认情况下,WSUS 配置为使用端口 8530 用于 HTTP,将端口 8531 用于 HTTPS。 在站点上创建软件更新点时指定这些端口。
将 WSUS 配置为副本服务器
在主站点服务器上添加软件更新点角色时,不能使用配置为副本的 WSUS 服务器。 将 WSUS 服务器配置为副本时,Configuration Manager 无法配置 WSUS 服务器,并且 WSUS 同步失败。 在主站点上安装的第一个软件更新点是默认软件更新点。 站点中的其他软件更新点配置为默认软件更新点的副本。
确定是否将 WSUS 配置为使用 SSL
强烈建议使用 SSL 协议来帮助保护软件更新点。 WSUS 使用 SSL 向 WSUS 服务器对客户端计算机和下游 WSUS 服务器进行身份验证。 WSUS 还使用 SSL 来加密软件更新元数据。 选择使用 SSL 保护 WSUS 时,请在安装软件更新点之前准备 WSUS 服务器。
安装和配置软件更新点时,请选择“ 为 WSUS 服务器启用 SSL 通信”选项。 否则,Configuration Manager 会将 WSUS 配置为不使用 SSL。 在软件更新点上启用 SSL 时,还要将子站点上的任何软件更新点配置为使用 SSL。 有关详细信息,请参阅 配置软件更新点以将 TLS/SSL 与 PKI 证书配合使用教程。
注意
为确保最佳安全协议到位,强烈建议使用 TLS/SSL 协议来帮助保护软件更新基础结构。 从 2020 年 9 月累积更新开始,基于 HTTP 的 WSUS 服务器默认是安全的。 默认情况下,不再允许客户端针对基于 HTTP 的 WSUS 扫描更新,以利用用户代理。 如果尽管存在安全权衡,但仍需要用户代理,可以使用新的 软件更新客户端设置 来允许这些连接。 有关扫描 WSUS 的更改的详细信息,请参阅 2020 年 9 月更改以提高扫描 WSUS 的 Windows 设备的安全性。
配置防火墙
Configuration Manager 管理中心站点上的软件更新点与软件更新点上的 WSUS 通信。 WSUS 与同步源通信以同步软件更新元数据。 子站点上的软件更新点与父站点上的软件更新点通信。 当主站点上有多个软件更新点时,其他软件更新点与默认软件更新点通信。 默认角色是站点上安装的第一个软件更新点。
可能需要配置防火墙,以允许 WSUS 在以下方案中使用的 HTTP 或 HTTPS 流量:
- 软件更新点与 Internet 之间
- 软件更新点与其上游同步源之间
- 其他软件更新点之间
与 Microsoft Update 的连接始终配置为将端口 80 用于 HTTP,将端口 443 用于 HTTPS。 使用自定义端口从子站点的软件更新点上的 WSUS 连接到父站点上的软件更新点上的 WSUS。 如果安全策略不允许连接,请使用导出和导入同步方法。 有关详细信息,请参阅本文中的 同步源 部分。 有关 WSUS 使用的端口的详细信息,请参阅 如何在 Configuration Manager 中确定 WSUS 使用的端口设置。
限制对特定域的访问
如果组织使用防火墙或代理设备限制与 Internet 的网络通信,则需要允许活动软件更新点访问 Internet 终结点。 然后,WSUS 和自动更新可与 Microsoft Update 云服务通信。
有关详细信息,请参阅 Internet 访问要求。
规划同步设置
本部分包含以下子主题:
Configuration Manager 中的软件更新同步会根据配置的条件下载软件更新元数据。 层次结构中的顶级站点从 Microsoft 更新同步软件更新。 可以选择将顶层站点上的软件更新点配置为与现有 WSUS 服务器同步,而不是在 Configuration Manager 层次结构中同步。 子主站点从管理中心站点上的软件更新点同步软件更新元数据。 在安装和配置软件更新点之前,请使用此部分来规划同步设置。
同步源
软件更新点的同步源设置指定软件更新点检索软件更新元数据的位置。 它还指定同步过程是否创建 WSUS 报告事件。
同步源:默认情况下,顶级站点上的软件更新点为Microsoft更新配置同步源。 可以选择将顶级站点与现有 WSUS 服务器同步。 子主站点上的软件更新点将同步源配置为管理中心站点上的软件更新点。
在主站点(默认软件更新点)上安装的第一个软件更新点与管理中心站点同步。 主站点上的其他软件更新点与主站点的默认软件更新点同步。
当软件更新点与 Microsoft Update 或上游更新服务器断开连接时,请将同步源配置为不与配置的同步源同步。 而是将其配置为使用 WSUSUtil 工具的导出和导入功能来同步软件更新。 有关详细信息,请参阅 从断开连接的软件更新点同步软件更新。
WSUS 报告事件: 客户端计算机上的 Windows 更新代理可以为 WSUS 报告创建事件消息。 Configuration Manager 不使用这些事件。 因此,默认情况下会选择“ 不创建 WSUS 报告事件”选项。 如果未创建这些事件,则客户端应连接到 WSUS 服务器的唯一时间是在软件更新评估和合规性扫描期间。 如果在 Configuration Manager 之外进行报告需要这些事件,请修改此设置以创建 WSUS 报告事件。
重要
如果要在顶级站点的多个软件更新点之间共享 WSUS 数据库 (SUSDB) ,请确保每个 WSUS 服务器都满足软件更新的 Internet 访问要求 。 在顶级站点共享数据库时,Configuration Manager 可以选择其中任一 WSUS 服务器与 Microsoft Update 同步。
同步计划
仅在 Configuration Manager 层次结构中顶层站点上的软件更新点配置同步计划。 配置同步计划时,软件更新点将在指定的日期和时间与同步源同步。 使用自定义计划可以同步软件更新,以针对环境进行优化。 考虑 WSUS 服务器、站点服务器和网络的性能需求。 例如,每周凌晨 2:00 一次。 或者,通过使用 Configuration Manager 控制台中“所有软件更新”或“软件更新组”节点的“同步软件更新”操作,在顶级站点上手动启动同步。
提示
计划软件更新同步,以便使用适合你的环境的时间运行。 一种常见方案是将同步计划设置为在每月第二个星期二发布Microsoft常规软件更新后不久运行。 这一天通常称为星期二补丁。 如果使用 Configuration Manager 提供 Endpoint Protection 和 Windows Defender 定义和引擎更新,请考虑将同步计划设置为每天运行。
软件更新点成功同步后,它会向子站点发送同步请求。 如果主站点上还有其他软件更新点,它会向每个软件更新点发送同步请求。 此过程在层次结构中的每个站点上重复。
更新分类
每个软件更新都定义了一个更新分类,有助于组织不同类型的更新。 在同步过程中,站点会同步指定分类的元数据。
Configuration Manager 支持同步以下更新分类:
关键更新:针对特定问题广泛发布的更新,用于解决与安全无关的关键 bug。
定义更新:对病毒或其他定义文件的更新。
功能包:在产品版本之外分发的新产品功能,通常包含在下一个完整产品版本中。
安全更新:针对特定于产品的安全相关问题广泛发布的更新。
Service Packs:应用于 OS 或应用程序的累积修补程序集。 这些修补程序包括安全更新、关键更新和软件更新。
工具:帮助完成一个或多个任务的实用工具或功能。
更新汇总:一组累积的修补程序,它们打包在一起以便于部署。 这些修补程序包括安全更新、关键更新和软件更新。 更新汇总通常涉及特定领域,例如安全性或产品组件。
更新:对当前安装的应用程序或文件的更新。
升级:对新版本 Windows 的功能更新。
仅在顶级站点上配置更新分类设置。 未在子站点的软件更新点上配置更新分类设置,因为软件更新元数据是从顶级站点复制的。 选择更新分类时,请注意,选择的分类越多,同步软件更新元数据所需的时间就越长。
警告
最佳做法是,在首次同步之前清除所有分类。 初始同步后,选择所需的分类,然后重新运行同步。
产品
每个软件更新的元数据定义更新适用的一个或多个产品。 产品是 OS 或应用程序的特定版本。 产品的一个示例是 windows 10 Microsoft。 产品系列是派生各个产品的基础 OS 或应用程序。 一个产品系列的一个示例是 windows Microsoft,其中 Windows 10 和 Windows Server 2016 是其成员。 选择产品系列或产品系列中的单个产品。
当软件更新适用于多个产品,并且至少选择了其中一个产品进行同步时,即使某些产品未选择,所有产品也会显示在 Configuration Manager 控制台中。 例如,仅选择 Windows Server 2012 产品。 如果软件更新适用于 Windows Server 2012 和 Windows Server 2012 Datacenter Edition,则这两种产品都在站点数据库中。
仅在顶级网站上配置产品设置。 未在子站点的软件更新点上配置产品设置,因为软件更新元数据是从顶级站点复制的。 选择的产品越多,同步软件更新元数据所需的时间就越长。
重要
Configuration Manager 存储首次安装软件更新点时从中选择的产品和产品系列的列表。 在 Configuration Manager 发布后发布的产品和产品系列在完成同步之前可能无法选择。 同步过程会更新可从中进行选择的可用产品和产品系列的列表。 在首次同步软件更新之前,请清除所有产品。 初始同步后,选择所需的产品,然后重新运行同步。
取代规则
通常,取代另一个软件更新的软件更新会执行以下一个或多个操作:
增强、改进或更新由一个或多个以前发布的更新提供的修补程序。
提高被取代的更新文件包的效率,如果已批准安装更新文件包,则会安装在客户端上。 例如,被取代的更新可能包含不再与修补程序或新更新支持的操作系统相关的文件。 这些文件不包括在更新的取代文件包中。
更新产品的较新版本。 换句话说,它会更新不再适用于产品的旧版本或配置的版本。 如果进行了修改以扩展语言支持,更新也可以取代其他更新。 例如,Microsoft 365 Apps 产品更新的后续修订可能会删除对旧操作系统的支持,但可能会在初始更新版本中添加对新语言的其他支持。
在软件更新点的属性中,指定被取代的软件更新立即过期。 此设置可防止它们包含在新部署中。 它还标记现有部署,以指示它们包含一个或多个过期的软件更新。 或者指定被取代的软件更新过期之前的一段时间。 此操作允许你继续部署它们。
请考虑以下方案,其中可能需要部署被取代的软件更新:
取代软件更新仅支持较新版本的 OS。 某些客户端计算机运行早期版本的 OS。
取代软件更新的适用性比它取代的软件更新更具适用性限制。 此行为会使某些客户端不合适。
如果未批准在生产环境中部署取代软件更新。
Configuration Manager 可以根据所选计划 自动使被取代的更新过期 。 可以分别指定功能更新和非功能更新的取代规则行为。 默认设置是等待 3 个月,然后过期被取代的更新。 默认值为 3 个月,以便有时间验证任何客户端计算机不再需要更新。 建议不要假设取代的更新应立即过期,转而支持新的取代更新。 可以在软件更新属性中的“ 取代信息 ”选项卡上显示取代软件更新的软件更新列表。
语言
软件更新点的语言设置允许你配置:
- 软件更新元数据) 的摘要详细信息 (同步的语言
- 为软件更新下载的软件更新文件语言
软件更新文件
在软件更新点的属性中配置软件更新 文件 设置的语言。 此设置提供在站点上下载软件更新时可用的默认语言。 修改每次下载或部署软件更新时默认选择的语言。 在下载过程中,如果软件更新文件以所选语言提供,则会将所配置语言的软件更新文件下载到部署包源位置。 接下来,它们将复制到站点服务器上的内容库。 然后,它们将分发到为包配置的分发点。
使用环境中最常用的语言配置软件更新文件语言设置。 例如,站点中的客户端主要对 Windows 或应用程序使用英语和日语。 网站中使用的其他语言很少。 下载或部署软件更新时,在“ 软件更新文件 ”列中仅选择英语和日语。 此操作允许使用部署和下载向导的“ 语言选择 ”页上的默认设置。 此操作还可以防止下载不需要的更新文件。 在 Configuration Manager 层次结构中的每个软件更新点配置此设置。
摘要详细信息
在同步过程中,软件更新元数据 (摘要详细信息) 会更新你指定的语言的软件更新。 元数据提供有关软件更新的信息,例如:
- 名称
- 说明
- 更新支持的产品
- 更新分类
- 文章 ID
- 下载 URL
- 适用性规则
仅在顶级网站上配置摘要详细信息设置。 不会在子站点的软件更新点上配置摘要详细信息,因为软件更新元数据是使用基于文件的复制从管理中心站点复制的。 选择摘要详细信息语言时,请仅选择环境中所需的语言。 选择的语言越多,同步软件更新元数据所需的时间就越长。 Configuration Manager 在运行 Configuration Manager 控制台的 OS 的区域设置中显示软件更新元数据。 如果软件更新的本地化属性在此 OS 的区域设置中不可用,则软件更新信息以英语显示。
重要
选择所需的所有摘要详细信息语言。 当顶级站点上的软件更新点与同步源同步时,所选摘要详细信息语言将确定它检索的软件更新元数据。 如果在同步运行至少一次后修改摘要详细信息语言,它将仅检索新软件更新或更新软件更新的已修改摘要详细信息语言的软件更新元数据。 已同步的软件更新不会使用已修改语言的新元数据进行更新,除非同步源上的软件更新发生更改。
最大运行时间
可以指定软件更新安装必须完成的最长时间。 可以指定以下内容的最大运行时间:
Windows 功能更新的最大运行时间 (分钟)
-
功能更新 - 这三种分类之一中的更新:
- 升级
- 更新汇总
- Service Pack
-
功能更新 - 这三种分类之一中的更新:
Office 365 更新和非 Windows 功能更新的最大运行时间 (分钟)
-
非功能更新 - 不是功能升级且其产品列为以下其中一项的更新:
- Windows 11
- Windows 10 (所有版本)
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Office 365
-
非功能更新 - 不是功能升级且其产品列为以下其中一项的更新:
这些类别以外的所有其他软件更新(如第三方更新)的最大运行时间 (分钟) :这些更新的默认最大运行时间取决于更新首次同步到环境和 Configuration Manager 版本的时间。 使用以下购物车确定这些更新的最大运行时值:
2203 或更高版本 2103、2107 或 2111 2010 所有其他软件更新的最大运行时间是可自定义的。 默认值为 60 分钟。 60 分钟 10 分钟 重要
- 此设置仅更改 SUP 同步的新更新的最大运行时。 它不会更改修改运行时间之前同步的现有更新的运行时。 例如,如果
Update 1
首先同步到 2111 环境,则最大运行时间为 60 分钟。 然后,将环境升级到版本 2203,并将最大运行时间设置为 30 分钟。Update 1
保留 60 分钟的运行时。 但是,当新的更新Update 2
同步到 时,会为它提供新的 30 分钟的运行时间。 - 如果需要手动更改更新的最大运行时间,可以为其 配置软件更新设置 。
- 此设置仅更改 SUP 同步的新更新的最大运行时。 它不会更改修改运行时间之前同步的现有更新的运行时。 例如,如果
规划软件更新维护时段
添加专用于软件更新安装的维护时段。 此操作允许为软件更新配置常规维护时段和不同的维护时段。 配置常规维护时段和软件更新维护时段时,客户端仅在软件更新维护时段安装软件更新。
可以更改此行为,并允许在常规维护时段内安装软件更新。 有关此客户端设置的详细信息,请参阅 软件更新客户端设置。
有关维护时段的详细信息,请参阅 如何使用维护时段。
安装软件更新后 Windows 10 客户端的重启选项
使用 Configuration Manager 部署并安装需要重启的软件更新时,客户端将计划挂起的重启并显示重启对话框。
当 Configuration Manager 软件更新等待重启时,Windows 电源选项中的 Windows 10 计算机上提供“ 更新 ”、“重启 ”、“更新”和“关闭” 选项。 使用这些选项之一后,重启对话框在计算机重启后不显示。 在某些情况下,操作系统可能会删除挂起的重启选项。 如果启用了 Windows 10 中的快速启动功能,则可能会发生这种情况。 有关详细信息,请参阅 Windows 10 中的快速启动可能无法安装更新。
在服务堆栈更新后评估软件更新
从版本 2002 开始,Configuration Manager 会检测服务堆栈更新 (SSU) 是否是安装多个更新的一部分。 检测到 SSU 时,会首先安装它。 安装 SSU 后,将运行软件更新评估周期来安装剩余的更新。 此更改允许在服务堆栈更新后安装依赖累积更新。 设备无需在安装之间重启,也无需创建额外的维护时段。 SSU 首先仅针对非用户启动的安装进行安装。 例如,如果用户从软件中心为多个更新启动安装,则可能不会先安装 SSU。 使用 Configuration Manager 版本 2002 时,首先安装 SSU 不适用于 Windows Server 操作系统。 此功能已在适用于 Windows Server 操作系统的 Configuration Manager 版本 2006 中添加。
如果在同一截止时间内有非 Windows 更新(如 Office 或第三方更新),并且这些更新要求在安装后重启,则累积更新可能不会在 SSU 之后立即安装,因为计算机需要重启才能再次执行完全扫描。 为此,可以在 部署设置中选择“如果此部署中的任何更新需要系统重启,请在重启后运行更新部署评估周期 ”复选框。
后续步骤
规划软件更新后,请参阅 准备软件更新管理。
有关管理 Windows 即服务的详细信息,请参阅 Configuration Manager 即服务和 Windows 即服务的基础知识。