介紹 Configuration Manager 中的軟體更新
適用於: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
System Center 2012 Configuration Manager 中的軟體更新會提供一組工具和資源,幫助您管理追蹤和套用軟體更新至企業中用戶端電腦的複雜工作。 有效的軟體更新管理程序是維持營運效率、克服安全性問題及維持網路基礎結構穩定不可或缺的一環。 不過,由於科技不斷變動的本質與新型的安全性威脅不斷出現,因此有效的軟體更新管理需要一致且持續的關注。
如需軟體更新的詳細資訊,請參閱下面各節:
軟體更新同步處理
軟體更新相容性評估
軟體更新部署套件
軟體更新部署工作流程
軟體更新部署程序
擴充 Configuration Manager 中的軟體更新
支援使用寫入篩選器的 Windows Embedded 裝置
網路存取保護
Configuration Manager 中的新功能
Configuration Manager SP1 中的新功能
System Center 2012 R2 Configuration Manager 中的新功能
如需顯示如何在環境中部署軟體更新的示範案例,請參閱使用 Configuration Manager 部署及監視 Microsoft 每月所發行安全性軟體更新的示範案例。
軟體更新同步處理
Configuration Manager 中的軟體更新同步處理使用 Microsoft Update 擷取軟體更新中繼資料。 頂層網站 (管理中心網站或獨立主要網站) 會依排程或在您從 Configuration Manager 主控台手動啟動同步處理時,與 Microsoft Update 同步處理。 當 Configuration Manager 於頂層網站完成軟體更新同步處理時,軟體更新同步處理就會在子網站開始同步處理 (如果有的話)。 當每個主要網站或次要網站的同步處理完成時,就會建立全網站原則,提供軟體更新點的位置給用戶端電腦。
注意事項 |
---|
用戶端設定中的軟體更新預設為啟用。 不過,如果您將 [在用戶端上啟用軟體更新] 用戶端設定設為 [否],停用集合上或預設設定中的軟體更新,則軟體更新點的位置就不會傳送至相關用戶端。 如需軟體更新用戶端設定的詳細資訊,請參閱軟體更新主題中的關於 Configuration Manager 中的用戶端設定一節。 |
用戶端收到原則後,就會開始掃描軟體更新相容性,並且將資訊寫入 Windows Management Instrumentation (WMI)。 然後相容性資訊會傳送至管理點,接著管理點會將資訊傳送至網站伺服器。 如需相容性評估的詳細資訊,請參閱本主題中的軟體更新相容性評估一節。
對於 System Center 2012 Configuration Manager SP1 及更新版本:
從 Configuration Manager SP1 中開始,您可以在主要網站上安裝多個軟體更新點。 您安裝的第一個軟體更新點會設定為同步處理來源。 這個軟體更新點會從 Microsoft Update 或不在您的 Configuration Manager 階層中的 WSUS 伺服器進行同步處理。 網站上的其他軟體更新點會使用第一個軟體更新點做為同步處理來源。
注意事項 |
---|
當頂層網站的軟體更新同步處理程序完成時,就會使用資料庫複寫將軟體更新中繼資料複寫至子網站。 當您將 Configuration Manager 主控台連線至子網站時,Configuration Manager 會顯示軟體更新中繼資料。 不過,您在網站上安裝及設定軟體更新點之前,用戶端不會掃描軟體更新相容性,也不會對 Configuration Manager 報告相容性資訊,而且您無法成功部署軟體更新。 |
頂層網站上的同步處理
頂層網站上的軟體更新同步處理程序,會從 Microsoft Update 擷取符合您在 [軟體更新點元件] 內容中所指定準則的軟體更新中繼資料。 您只會在頂層網站上設定準則。
注意事項 |
---|
從 Configuration Manager SP1 開始,您可以在頂層網站上指定不在 Configuration Manager 階層中的現有 WSUS 伺服器做為同步處理來源,而不指定 Microsoft Update。 |
下表描述頂層網站上同步處理程序的基本步驟:
軟體更新同步處理啟動。
WSUS 同步處理管理員會傳送要求至軟體更新點上執行的 WSUS,開始與 Microsoft Update 同步處理。
軟體更新中繼資料會從 Microsoft Update 進行同步處理,所有更新都會插入或更新至 WSUS 資料庫中。
當 WSUS 完成同步處理時,WSUS 同步處理管理員會從 WSUS 資料庫將軟體更新中繼資料同步處理至 Configuration Manager 資料庫,而上一次同步處理後的任何變更都會插入或更新至網站資料庫。 軟體更新中繼資料會儲存在網站資料庫中做為設定項目。
軟體更新設定項目會使用資料庫複寫傳送至子網站。
同步處理成功完成時,WSUS 同步處理管理員會建立狀態訊息 6702。
WSUS 同步處理管理員會將同步處理要求傳送至所有子網站。
僅針對執行 System Center 2012 Configuration Manager SP1 的獨立主要網站:
WSUS 同步處理管理員會一次將一個要求傳送至於網站上其他軟體更新點上執行的 WSUS。 其他更新點上的 WSUS 伺服器會設定為網站中預設軟體更新點上所執行 WSUS 的複本。
子主要和次要網站上的同步處理
在頂層網站的軟體更新同步處理程序進行期間,會使用資料庫複寫將軟體更新設定項目複寫至子網站。 在程序結束時,頂層網站會將同步處理要求傳送至子網站,而子網站會開始進行 WSUS 同步處理。 下列清單提供子主要網站或次要網站上同步處理程序的基本步驟:
WSUS 同步處理管理員收到來自頂層網站的同步處理要求。
軟體更新同步處理啟動。
WSUS 同步處理管理員會對軟體更新點上執行的 WSUS 發出要求,開始與 Microsoft Update 同步處理。
子網站上的軟體更新點上執行的 WSUS,其會從父網站之軟體更新點上執行的 WSUS 同步處理軟體更新中繼資料。
同步處理成功完成時,WSUS 同步處理管理員會建立狀態訊息 6702。
WSUS 同步處理管理員會從主要網站傳送同步處理要求至任何子次要網站。 次要網站會開始進行與父主要網站的軟體更新同步處理。 次要網站會設定為父網站上所執行 WSUS 的複本。
僅限不含 Serivce Pack 的 Configuration Manager:
如果有以網際網路為基礎的遠端軟體更新點,WSUS 同步處理管理員會對遠端網站系統上執行的 WSUS 啟動同步處理程序。
對於 System Center 2012 Configuration Manager SP1 及更新版本:
WSUS 同步處理管理員會一次將一個要求傳送至於網站上其他軟體更新點上執行的 WSUS。 其他更新點上的 WSUS 伺服器會設定為網站中預設軟體更新點上所執行 WSUS 的複本。
以網際網路為基礎之軟體更新點的同步處理
重要事項 |
---|
本節僅適用於沒有 Service Pack 的 Configuration Manager。 |
當網站上主動式軟體更新點的同步處理完成時,就會開始對網站上以網際網路為基礎的作用中軟體更新點進行同步處理 (如果您已設定)。 此程序類似子網站上的同步處理程序,不同的地方在於以網際網路為基礎的主動式軟體更新點上執行的 WSUS,會與相同網站上的主動式軟體更新點上執行的 WSUS 同步。
WSUS 同步處理管理員會對以網際網路基礎的遠端軟體更新點上執行的 WSUS 發出要求,開始與 Microsoft Update 同步處理。
以網際網路為基礎的遠端軟體更新點上執行的 WSUS,其會同步處理相同網站之主動式軟體更新點上所執行 WSUS 的軟體更新中繼資料。
同步處理成功完成時,WSUS 同步處理管理員會建立狀態訊息 6702。
WSUS 同步處理管理員會將同步處理要求傳送至任何子網站。
若針對以網際網路為基礎的軟體更新點設定的同步處理來源未設定為與上游更新伺服器同步,您可以使用 WSUSutil 工具的 Export 和 Import 功能,以同步處理網站上主動式軟體更新點的軟體更新中繼資料。 如需詳細資訊,請參閱在 Configuration Manager 中設定軟體更新主題中的從已中斷連線的軟體更新點同步處理軟體更新一節。
軟體更新相容性評估
您在 Configuration Manager 中將軟體更新部署至用戶端電腦之前,請先掃描用戶端電腦上的軟體更新相容性。 系統會針對每一個軟體更新建立狀態訊息,其中包含更新的相容性狀態。 狀態訊息會大量傳送至管理點,再傳送至網站伺服器,相容性狀態會在該處插入網站資料庫中。 軟體更新的相容性狀態會在 Configuration Manager 主控台中顯示。 您可以在需要更新的電腦上部署和安裝軟體更新。 下面各節提供有關相容性狀態的資訊,並且描述掃描軟體更新相容性的程序。
軟體更新相容性狀態
下表列出並描述 Configuration Manager 主控台中顯示的每一種軟體更新相容性狀態。
狀態 |
說明 |
---|---|
必要 |
指出軟體更新適用且為用戶端電腦上所必要。 軟體更新狀態為 [必要] 時,下列任一條件可能為真:
|
不需要 |
指出軟體更新不適用於用戶端電腦。 因此不需要軟體更新。 |
已安裝 |
指出軟體更新適用於用戶端電腦,且用戶端電腦已安裝軟體更新。 |
不明 |
指出網站伺服器尚未收到來自用戶端的狀態訊息,通常是因為下列其中一個原因:
|
軟體更新相容性的掃描程序
軟體更新點已安裝且同步時,會建立全網站原則,通知用戶端電腦已啟用網站的 Configuration Manager 軟體更新。 當用戶端收到電腦原則時,會排程在接下來兩小時內隨機開始相容性評估掃描。 掃描開始時,軟體更新用戶端代理程式程序會清除掃描歷程記錄、提交要求尋找應用於掃描的 WSUS 伺服器,並且以 WSUS 伺服器位置更新本機群組原則。
注意事項 |
---|
以網際網路為基礎的用戶端必須使用 SSL 連線至 WSUS 伺服器。 |
掃描要求會傳送至 Windows Update 代理程式 (WUA)。 WUA 接著會連線至列在本機原則中的 WSUS 伺服器位置,擷取已在 WSUS 伺服器上同步處理的軟體更新中繼資料,並且掃描是否有用戶端電腦的更新。 「軟體更新用戶端代理程式」程序會偵測相容性的掃描是否已完成,並且為最後一次掃描後變更相容性狀態的各個軟體更新建立狀態訊息。 狀態訊息會每 15 分鐘大量傳送至管理點。 管理點接著會將狀態訊息轉寄至網站伺服器,而狀態訊息則會插入網站伺服器資料庫中。
在初次掃描軟體相容性後,掃描便會按照設定的掃描排程啟動。 不過,如果用戶端已在「存留時間」(TTL) 值所表示的時間範圍內掃描軟體更新相容性,則用戶端會使用儲存在本機的軟體更新中繼資料。 如果上次掃描是在 TTL 之外,則用戶端必須連線至軟體更新點上執行的 WSUS 並且更新儲存在用戶端上的軟體更新中繼資料。
包括掃描排程在內,軟體更新相容性的掃描可以下列方式啟動:
軟體更新掃描排程:軟體更新相容性的掃描會按照 [軟體更新用戶端代理程式] 設定中所設定的掃描排程啟動。 如需如何設定軟體更新用戶端設定的詳細資訊,請參閱軟體更新主題中的關於 Configuration Manager 中的用戶端設定一節。
Configuration Manager 內容動作:使用者可以在用戶端電腦上 [Configuration Manager 內容] 對話方塊中的 [動作] 標籤上,啟動 [軟體更新掃描週期] 或 [軟體更新部署評估週期] 動作。
部署重新評估排程:軟體更新相容性的部署評估和掃描會按照 [軟體更新用戶端代理程式] 設定中所設定的部署重新評估排程啟動。 如需軟體更新用戶端設定的詳細資訊,請參閱軟體更新主題中的關於 Configuration Manager 中的用戶端設定一節。
在下載更新檔案之前:當用戶端電腦接收新的必要部署的指派原則時,「軟體更新用戶端代理程式」會將軟體更新檔案下載至本機用戶端快取。 在下載軟體更新檔案之前,用戶端代理程式會啟動掃描以確認是否仍需要軟體更新。
在安裝軟體更新之前:在安裝軟體更新之前,「軟體更新用戶端代理程式」會啟動掃描以確認是否仍需要軟體更新。
安裝軟體更新之後:在安裝軟體更新完成之後,「軟體更新用戶端代理程式」會啟動掃描以確認不再需要軟體更新,並且建立新的狀態訊息,說明已安裝軟體更新。 當完成安裝,但是需要重新啟動時,狀態訊息會表示用戶端電腦的重新啟動正在擱置中。
系統重新啟動之後:當用戶端電腦擱置完成軟體更新安裝所需的系統重新啟動時,「軟體更新用戶端代理程式」會在重新啟動之後進行掃描,以確認不再需要軟體更新並且建立狀態訊息,說明已安裝軟體更新。
存留時間值
軟體更新相容性掃描所需的軟體更新中繼資料是儲存在本機用戶端電腦上,預設為保持相關最多達 24 小時。 這個值便稱為「存留時間」(TTL)。
軟體更新相容性的掃描類型
用戶端會視軟體更新相容性掃描的啟動方式,使用線上或離線掃描以及強制或非強制掃描方式,來掃描軟體更新相容性。 以下表格說明哪些啟動掃描的方式是線上、哪些是離線,以及掃描是強制掃描或非強制掃描。
掃描方法 |
掃描類型 |
說明 |
---|---|---|
軟體更新掃描排程 |
非強制線上掃描 |
在設定的掃描排程,用戶端只有當上次掃描是在 TTL 之外時才會連線至軟體更新點上執行的 WSUS,以擷取軟體更新中繼資料。 |
軟體更新掃描週期 或 軟體更新部署評估週期 |
強制線上掃描 |
用戶端電腦一律都會連線至軟體更新點上執行的 WSUS,以便在用戶端電腦掃描軟體更新相容性之前擷取軟體更新中繼資料。 掃描完成後,TTL 計數器會重設。 例如,如果 TTL 為 24 小時,使用者啟動軟體更新相容性掃描之後,TTL 便會重設為 24 小時。 |
部署重新評估排程 |
非強制線上掃描 |
在設定的部署重新評估排程,用戶端只有當上次掃描是在 TTL 之外時才會連線至軟體更新點上執行的 WSUS,以擷取軟體更新中繼資料。 |
在下載更新檔案之前 |
非強制線上掃描 |
在用戶端可以下載必要部署的更新檔案之前,用戶端只有當上次掃描是在 TTL 之外時才會連線至軟體更新點上執行的 WSUS,以擷取軟體更新中繼資料。 |
在安裝軟體更新之前 |
非強制線上掃描 |
在用戶端安裝必要部署中的軟體更新之前,用戶端只有當上次掃描是在 TTL 之外時才會連線至軟體更新點上執行的 WSUS,以擷取軟體更新中繼資料。 |
安裝軟體更新之後 |
強制離線掃描 |
安裝軟體更新之後,「軟體更新用戶端代理程式」會使用本機中繼資料啟動掃描。 用戶端永遠不會連線至軟體更新點上執行的 WSUS,以擷取軟體更新中繼資料。 |
系統重新啟動之後 |
強制離線掃描 |
安裝軟體更新且重新啟動電腦之後,「軟體更新用戶端代理程式」會使用本機中繼資料啟動掃描。 用戶端永遠不會連線至軟體更新點上執行的 WSUS,以擷取軟體更新中繼資料。 |
軟體更新部署套件
軟體更新部署套件是一種載具,用於將軟體更新下載至網路共用資料夾,以及將軟體更新來源檔案複製至網站伺服器上的內容庫以及部署中定義的發佈點上的內容庫。 藉由使用「下載更新精靈」,您可以下載軟體更新,以及在進行部署之前將軟體更新新增至部署套件。 此精靈可讓您在發佈點上準備軟體更新,以及在您部署軟體更新至用戶端之前,先確認部署程序的這部分是否成功。
當您使用「部署軟體更新精靈」部署下載的軟體更新時,部署會自動使用含有軟體更新的部署套件。 當部署尚未下載的軟體更新時,您必須在「部署軟體更新精靈」中指定新的或現有的部署套件,而在精靈完成時軟體更新便會下載。
重要事項 |
---|
您必須先手動建立部署套件來源檔案的共用網路資料夾,才能在精靈中指定。 每個部署套件都必須使用不同的共用網路資料夾。 |
安全性 注意事項 |
---|
SMS 提供者電腦帳戶和實際下載軟體更新的系統管理使用者,都必須對套件來源具有寫入權限。 限制對於套件來源的存取權,以降低攻擊者竄改套件來源中軟體更新來源檔案的風險。 |
建立新的部署套件時,在下載任何軟體更新之前,內容版本均設為 1。 當使用封裝下載軟體更新檔案時,內容版本會遞增為 2。 因此,所有的新部署封裝都是從內容版本 2 開始。 每次部署封裝中的內容變更時,內容版本都會遞增 1。 如需 Configuration Manager 內容管理的詳細資訊,請參閱介紹 Configuration Manager 中的內容管理。
用戶端會使用任何具有可用軟體更新 (無論部署套件為何) 的發佈點在部署中安裝軟體更新。 即使作用中部署的部署套件已經刪除,只要各個更新是下載到至少一個其他部署套件並且可在能從用戶端存取的發佈點上使用,用戶端仍然可以在部署中安裝軟體更新。 刪除最近一個含有軟體更新的部署套件時,在更新再次下載至部署套件之前,用戶端電腦會無法擷取軟體更新。 當更新檔案不在任何部署套件中時,軟體更新會顯示在 Configuration Manager 主控台中且含有紅色箭頭。 如果在這個情況下部署中含有任何更新,部署就會顯示雙重紅色箭頭。
軟體更新部署工作流程
在您的環境中部署軟體更新的主要狀況有兩種,即手動部署和自動部署。 通常,您是手動部署軟體更新以建立用戶端電腦的基準,然後使用自動部署管理用戶端上的軟體更新。 以下章節提供軟體更新的手動和自動部署的工作流程。
手動部署軟體更新
手動部署軟體更新是在 Configuration Manager 主控台中選取軟體更新並且手動啟動部署程序的程序。 在您建立自動部署規則以管理每月進行中的軟體更新部署之前,您通常會使用這種部署方式以必要的軟體更新讓用戶端電腦保持在最新狀態,以及部署超出訊號範圍的軟體更新需求。 以下清單提供手動部署軟體更新的一般工作流程:
篩選使用特定需求的軟體更新。 例如,您可以提供可擷取所有安全性或 50 部以上用戶端電腦上必要的重要軟體更新的準則。
建立含有軟體更新的軟體更新群組。
在軟體更新群組中下載軟體更新的內容。
手動部署軟體更新群組。
自動部署軟體更新
自動軟體更新部署是使用自動部署規則來設定。 您通常會使用此方式部署您的每月軟體更新 (一般稱為 Patch Tuesday (周二修補)) 以及管理定義更新。 執行規則時,軟體更新會從軟體更新群組中移除 (使用現有群組時),符合指定準則的軟體更新 (例如,最近一週發行的所有安全性軟體更新) 會新增至軟體更新群組,軟體更新的內容檔案會下載並複製到發佈點,並且軟體更新會部署至目標集合中的用戶端電腦。 以下清單提供自動部署軟體更新的一般工作流程:
建立指定部署設定的自動部署規則,例如下列:
目標集合
決定是否要啟用目標集合中用戶端電腦的軟體更新相容性的部署或報告
軟體更新準則
評估和部署排程
使用者經驗
下載內容
軟體更新會新增至軟體更新群組。
軟體更新群組會部署至目標集合中的用戶端電腦 (如果有指定)。
您必須決定要在您的環境中使用哪種部署策略。 例如,您可能會建立自動部署規則,並且以測試用戶端的集合作為目標。 在您確認軟體更新已安裝在測試群組上之後,您便可以將自動部署規則中的集合變更為包含更多用戶端的目標集合。 自動部署規則所建立的軟體更新物件皆為互動式。
使用自動部署規則部署的軟體更新會自動部署至新增至目標集合的用戶端。
新增至軟體更新群組的軟體更新會自動部署至目標集合中的用戶端。
您隨時可以啟用或停用自動部署規則的部署。
軟體更新部署程序
在您部署軟體更新之後,或在自動部署規則執行以及部署軟體更新時,部署指派原則會新增至網站的電腦原則。 軟體更新是從下載位置、網際網路或網路共用資料夾下載至套件來源。 軟體更新會從套件來源複製到網站伺服器上的內容庫,然後複製到發佈點上的內容庫。
當部署目標集合中的用戶端電腦收到電腦原則時,「軟體更新用戶端代理程式」會啟動評估掃描。 用戶端代理程式會在收到部署後迅速從發佈點將必要軟體更新的內容下載至本機用戶端快取,但是在軟體更新可供安裝之前,會先等待部署的 [軟體可用時間] 設定的時間。 在使用者手動啟動安裝之前,不會下載選用部署 (沒有安裝期限的部署) 中的軟體更新。
當設定的期限過後,「軟體更新用戶端代理程式」就會執行掃描以確認是否仍需要軟體更新。 然後檢查用戶端電腦上的本機快取,以確認軟體更新來源檔案是否仍然可用。 最後,用戶端再安裝軟體更新。 如果從用戶端快取刪除內容以騰出空間給其他部署,則用戶端會從發佈點重新將軟體更新下載至用戶端快取。 無論設定的最大用戶端快取大小為何,軟體更新一律都會下載至用戶端快取。 安裝完成時,用戶端代理程式會確認軟體更新是否不再需要,然後傳送狀態訊息至管理點,表示軟體更新現已安裝在用戶端上。
必要的系統重新啟動
根據預設,當必要部署的軟體更新已安裝在用戶端電腦上且必須重新啟動系統才能完成安裝時,系統會重新啟動。 若是在期限之前已完成軟體更新的安裝,除非電腦因為別的原因已先行重新啟動,否則自動系統重新啟動會延遲到期限。 對於伺服器和工作站,可以抑制系統重新啟動。 這些設定是在 [部署軟體更新精靈] 或 [建立自動更新規則精靈] 的 [使用者體驗] 頁面中設定。
部署重新評估週期
根據預設,用戶端電腦會每 7 天啟動部署重新評估週期一次。 在此評估週期期間,用戶端電腦會掃描先前已部署和安裝的軟體更新。 如果有缺少任何軟體更新,則會從本機快取重新安裝軟體更新。 如果軟體更新在本機快取中已無法使用,便會從發佈點下載然後安裝。 您可以在網站用戶端設定的 [軟體更新] 頁面上設定重新評估排程。
支援使用寫入篩選器的 Windows Embedded 裝置
對於 System Center 2012 Configuration Manager SP1 及更新版本:
當您部署軟體更新至啟用寫入篩選器的 Windows Embedded 裝置時,您可以指定是否在部署期間停用裝置上的寫入篩選器,然後在部署後重新啟動裝置。 如果寫入篩選器未啟用,則軟體會部署為暫時重疊,而當裝置重新啟動時就不再安裝軟體,除非有其他部署強制持續變更。
注意事項 |
---|
當您將軟體更新部署至 Windows Enbedded 裝置時,請確認裝置是已設定維護期間之集合的成員。 如此可讓您管理何時停用和啟用寫入篩選器,以及何時重新啟動裝置。 |
控制寫入篩選器行為的使用者經驗設定,是一項名為 [在到期時或在維護期間認可變更 (需要重新啟動)] 的核取方塊。
如需 Configuration Manager 如何管理使用寫入篩選器的內嵌裝置的詳細資訊,請參閱將 Configuration Manager 用戶端部署至 Windows Embedded 裝置主題中的介紹 Configuration Manager 中的用戶端部署一節。
擴充 Configuration Manager 中的軟體更新
使用 System Center Updates Publisher 2011 管理 Microsoft Update 上無法使用的軟體更新。 在您將軟體更新發佈至更新伺服器並且同步處理 Configuration Manager 中的軟體更新後,您可以將軟體更新部署至 Configuration Manager 用戶端。 如需 Updates Publisher 2011 的詳細資訊,請參閱更新發行者 2011。
網路存取保護
Configuration Manager 網路存取保護 (NAP) 會與 Configuration Manager 和 Windows 網路存取保護互動以協助保護網路。
軟體更新搭配網路存取保護
啟用 NAP 時,Configuration Manager 用戶端可以評估是否與您選取的軟體更新相容。Configuration Manager 用戶端會以健全狀況聲明 (SoH) 傳送此資訊。此資訊會顯示於位在系統健全狀況驗證程式點站台系統角色上的 Configuration Manager 系統健全狀況驗證程式中。
系統健全狀況驗證程式點是安裝於執行 Windows Server 2008 和網路原則伺服器角色的電腦上。 此程式會驗證用戶端電腦是否相容並且將該電腦的健全狀況狀態傳送至 Windows 網路原則伺服器。
在網路原則伺服器上強制執行軟體更新的相容性
Windows 網路原則伺服器設定為使用可判斷動作對電腦而言是已知相容或不相容的原則。
如果無法判斷用戶端電腦的健全狀況狀態,則會將此視為錯誤狀況。 根據預設,錯誤狀況會對應為不相容狀態。 不過,其中會分為五個類別,每個類別都可以設定為對應至相容或不相容。
網路原則伺服器可以根據電腦健全狀況狀態來進行包含下列各項的動作:
限制電腦存取完整的網路
提供完整的網路存取權,但是有時間上的限制
無限期提供完整的網路存取權
補救不相容的電腦,使其與原則相容
請注意,Configuration Manager 系統管理使用者無法控制因為其傳送電腦健全狀況狀態給網路原則伺服器而將採取的動作。 但是,如果網路原則伺服器是設定為透過補救強制執行相容性,則會使用 Configuration Manager 服務來傳遞必要的軟體更新,使不相容用戶端成為相容用戶端。 成功補救相容性後,用戶端會重新評估其健全狀況聲明,由不相容變更為相容,而其健全狀況狀態也會更新為相容。
針對網路存取保護設定軟體更新
您選取的軟體更新,其用戶端必須透過建立 Configuration Manager NAP 原則以符合相容性。 您只能選取已下載至網站伺服器的內容庫的軟體更新。 有別於以您選擇的集合作為目標的軟體更新部署,Configuration Manager NAP 原則會自動將所有指派至網站的電腦作為目標。Configuration Manager NAP 原則會在 Configuration Manager 階層往下流動,與 Configuration Manager 中軟體部署與套件的行為類似。 繼承 Configuration Manager NAP 原則的網站接著會自動將 Configuration Manager NAP 原則的目標設定為指派給網站的用戶端。
重要事項 |
---|
由於此自動設定目標與整個階層的繼承性,您必須記住 Configuration Manager NAP 原則可能會影響階層中的每個用戶端。 |
Configuration Manager 中的新功能
注意事項 |
---|
本節提供的資訊也會出現在開始使用 System Center 2012 Configuration Manager 指南。 |
即使在 System Center 2012 Configuration Manager 中以及在 Configuration Manager 2007 中部署軟體更新的一般概念都相同,仍有新增或更新的功能可改善軟體更新的部署程序。 這包括自動核准和軟體更新的部署、以擴充的準則改善搜尋功能、對於軟體更新監控的改進以及加強使用者對於排程軟體更新安裝的控制。
以下是自 Configuration Manager 2007 之後新增或變更的項目:
Configuration Manager 中新增了軟體更新群組,並且取代 Configuration Manager 2007 中所使用的更新清單。 軟體更新群組可更有效地組織環境中的軟體更新。 您可以手動新增軟體更新至軟體更新群組,或使用自動部署規則以自動將軟體更新新增至新的或現有的軟體更新群組。 您也可以手動部署軟體更新群組,或使用自動部署規則部署軟體更新群組。 部署軟體更新群組之後,您可以將新的軟體更新新增至群組,然後更新就會自動部署。
自動部署規則會自動核准並且部署軟體更新。 您將指定軟體更新的準則 (例如上週發行的所有 Windows 7 軟體更新),軟體更新會新增至軟體更新群組,您將設定部署和監視設定,並且決定是否要部署軟體更新群組中的軟體更新。 您可以部署軟體更新群組中的軟體更新,或者在不部署的情況下從用戶端電腦擷取軟體更新群組中軟體更新的相容性資訊。
當 Configuration Manager 主控台中列出軟體更新時,便可以使用新搜尋和擴充的準則。 您可以新增一組準則,讓您輕鬆找到必須擁有的軟體更新。 您可以儲存搜尋準則供日後使用。 例如,您可以設定 Windows 7 所有重要軟體更新的準則以及去年發行的軟體更新的準則。 在篩選出必須擁有的更新後,您就可以選取軟體更新並且檢閱每個軟體更新的相容性資訊、建立含有軟體更新的軟體更新群組、手動部署軟體更新等等。
在 Configuration Manager 主控台中,您可以監視以下軟體更新物件和程序:
重要軟體更新的相容性和部署檢視
所有部署和資產的詳細狀態訊息
含有其他資訊的軟體更新錯誤碼有助於識別問題
軟體更新同步處理的狀態
重要軟體更新問題的警示
也可以使用軟體更新報告,報告中提供軟體更新、軟體更新群組以及軟體更新部署的詳細狀態資訊。
Configuration Manager 2007 中取代的軟體更新會在網站的完整軟體更新同步處理程序期間自動到期。 在 System Center 2012 Configuration Manager 中,您可以決定是否要管理 Configuration Manager 2007 中已取代的軟體更新,或者您可以設定已取代的軟體更新在指定的時間內不會自動到期。 在這段時間內,您可以部署已取代的軟體更新。
Configuration Manager 可讓使用者更能控制何時在電腦上安裝軟體更新。Configuration Manager 軟體中心是隨 Configuration Manager 用戶端一起安裝的應用程式。 使用者可以在 [開始] 功能表上執行此應用程式以管理已部署的軟體。 其中包括軟體更新。 在 [軟體中心],使用者可以在期限之前方便的時間排程軟體更新安裝以及安裝選用的軟體更新。 例如,您可以設定您的工作時間並且讓軟體更新在工作時間以外執行,將產能的損失減至最小。 軟體更新的期限到期時,軟體更新的安裝便會啟動。
System Center 2012 Configuration Manager 中的內容庫是存放軟體更新、應用程式、作業系統部署等所有內容檔案的位置。 內容庫會提供網站伺服器與發佈點上內容檔案的儲存單一版本,並且提供比 Configuration Manager 2007 中的內容管理功能更多的優勢。 例如,在 Configuration Manager 2007 之中,您可能會使用不同的部署與部署套件多次發佈相容的內容檔案。 結果是相同的內容檔案多次儲存在網站伺服器和發佈點上,並且增加了不必要的處理成本和過多的硬碟空間需求。
如需內容管理的詳細資訊,請參閱 內容庫主題中的介紹 Configuration Manager 中的內容管理一節。
Configuration Manager 主控台中再也沒有用來管理範本的 [部署範本] 節點。 部署範本只能在「自動部署規則精靈」或「部署軟體更新精靈」中建立。 部署範本儲存許多從部署到部署之間可能不會變更的部署內容,可讓系統管理使用者在部署軟體更新時省下許多時間。
您可以針對您環境中不同種的部署情況建立部署範本。 例如,您可以針對快速軟體更新部署和規劃的部署建立範本。 快速部署的範本可以抑制在用戶端電腦上顯示通知、從部署排程設定零 (0) 天的期限,以及讓系統在維護期間以外重新啟動。 規劃部署的範本可允許在用戶端電腦上顯示通知、將部署排程的期限設為 14 天。
當以網際網路為基礎的用戶端收到部署時,用戶端必須先嘗試從 Microsoft Update 下載軟體檔案,而不是發佈點。 當與 Microsoft 的連線不成功時,用戶端會切換回裝載軟體更新檔案且設定為接受來自網際網路用戶端之通訊的發佈點。
雖然您仍然可以在 System Center 2012 Configuration Manager 中部署軟體更新,但是再也不會看到軟體更新部署物件。 部署物件現在已置入軟體更新群組中。
軟體更新部署的限制為 1000 個軟體更新,此限制不可設定。 當您建立自動部署規則時,請確認您指定的準則不會導致多於 1000 個軟體更新。 當您手動部署軟體更新時,請勿選取部署多於 1000 個軟體更新。
System Center 2012 Configuration Manager 中再也無法使用 Configuration Manager 主控台中的 [網路存取保護] 節點以及 [新增原則精靈]。 若要建立軟體更新的 NAP 原則,您必須選取軟體更新內容中 [NAP 評估] 標籤上的 [啟用 NAP 評估]。
Configuration Manager SP1 中的新功能
注意事項 |
---|
本節提供的資訊也會出現在開始使用 System Center 2012 Configuration Manager 指南。 |
以下是 Configuration Manager SP1 中軟體更新的新增或變更項目:
Configuration Manager SP1 內的軟體更新點已重新設計。 您可以在網站安裝多個軟體更新點網站系統。 您可以設定軟體更新點位於和網站伺服器相同或不同的樹系中,以及是否接受來自網際網路、內部網路或同時來自兩者的用戶端通訊。 此行為可提供容錯等級,無須網路負載平衡 (NLB) 叢集。 您無法在次要網站內安裝一個以上的軟體更新點。 如需詳細資訊,請參閱在 Configuration Manager 中規劃軟體更新主題中的判斷軟體更新點基礎結構一節。
注意事項 主動式軟體更新點概念在 Configuration Manager SP1 中已經過時。
在 Configuration Manager 主控台中,您不再有將軟體更新點設定為 NLB 的選項。 從無 Service Pack 的 Configuration Manager 升級至 Configuration Manager SP1 前,您必須針對您的主動式軟體更新點移除 NLB。 升級完成後,您可以選擇使用 CMSoftwareUpdatePoint PowerShell Cmdlet 設定 NLB。 如需設定軟體更新點使用 NLB 的詳細資訊,請參閱設定為使用 NLB 的軟體更新點主題中的在 Configuration Manager 中規劃軟體更新 一節。 如需 Set-CMSoftwareUpdatePoint PowerShell Cmdlet 的詳細資訊,請參閱<System Center 2012 Configuration Manager SP1 Cmdlet 參考>中的 Set-CMSoftwareUpdatePoint 主題。
在頂層 Configuration Manager 網站上,您現在可以指定現有 WSUS 伺服器作為上游同步處理來源位置。 在同步處理期間,網站會連線至此位置,以同步處理軟體更新。 例如,若您有現有的 WSUS 伺服器,但並非 Configuration Manager 階層的一部分,您可以指定現有的 WSUS 伺服器同步處理軟體更新。
您可以從 [自動部署規則精靈] 的兩個內建軟體更新部署範本中選取。 [定義更新] 範本提供部署定義軟體更新時使用的一般設定。 [周二修補] 範本提供每月部署軟體更新時使用的一般設定。
在軟體更新點內容中,您可以為網站伺服器提供認證,用來連線至 WSUS 伺服器。 例如,您可以指定此帳戶連線至不同樹系中的軟體更新點。
您每天可以執行自動部署規則最多 3 次以保持與 Endpoint Protection 定義更新發佈頻率同步。
您可以從 [軟體中心] 選取多個軟體更新,安裝為群組。
您可以使用 [在到期時或在維護期間認可變更 (需要重新啟動)] 的新使用者經驗設定,在部署軟體更新時控制 Windows Embedded 裝置上的寫入篩選器行為。 如需 Configuration Manager 如何管理使用寫入篩選器的內嵌裝置的詳細資訊,請參閱將 Configuration Manager 用戶端部署至 Windows Embedded 裝置主題中的介紹 Configuration Manager 中的用戶端部署一節。
根據預設,新的 [電腦代理程式] 用戶端設定 [停用期限隨機設定] 會針對必要軟體更新與必要應用程式部署停用安裝隨機延遲。 如需詳細資訊,請參閱關於 Configuration Manager 中的用戶端設定主題中的電腦代理程式一節。
System Center 2012 R2 Configuration Manager 中的新功能
注意事項 |
---|
本節提供的資訊也會出現在開始使用 System Center 2012 Configuration Manager 指南。 |
以下是 System Center 2012 R2 Configuration Manager 中軟體更新的新增或變更項目:
專用於軟體更新安裝的新維護期間。 這可讓您設定一般的維護期間和用於軟體更新的不同維護期間。 當一般的維護期間和軟體更新維護期間都設定好後,用戶端只會在軟體更新維護期間安裝軟體更新。 如需維護期間的詳細資訊,請參閱如何使用維護視窗在中。
現在,您可以針對現有的自動部署規則變更部署套件。 每一次執行自動部署規則時,都會在指定的部署套件中加入新軟體更新。 部署套件在經過一段時間之後可能會變得非常龐大,因此可能會影響複寫案例,尤其是當新的發佈點新增至階層,或發佈點新增至發佈點群組時。 您現在可以定期變更部署套件,以避免部署套件的大小變得過大。 如需自動部署規則的詳細資訊,請參閱本主題中的自動部署軟體更新一節。
您現在可以預覽符合您在自動部署規則中定義之內容篩選器和搜尋準則的軟體更新。 軟體更新預覽可讓您在建立部署之前,先檢閱軟體更新。 [預覽] 按鈕位於 [自動部署精靈] 的 [軟體更新] 頁面,以及自動部署規則內容的 [軟體更新] 索引標籤中。