Планирование обновлений программного обеспечения в Configuration Manager
Относится к Configuration Manager (Current Branch)
Прежде чем использовать обновления программного обеспечения в рабочей среде Configuration Manager, важно выполнить процесс планирования. Наличие хорошего плана для инфраструктуры точек обновления программного обеспечения является ключом к успешной реализации обновлений программного обеспечения. Сведения о планировании емкости для обновлений программного обеспечения см. в разделе Размеры и номера масштабирования.
Определение инфраструктуры точек обновления программного обеспечения
В этом разделе содержатся следующие подтемы:
- Список точек обновления программного обеспечения
- Переключение точки обновления программного обеспечения
- Переключение клиентов на новую точку обновления программного обеспечения вручную
- Точки обновления программного обеспечения в недоверенном лесу
- Использование существующего сервера WSUS в качестве источника синхронизации на сайте верхнего уровня
- Точка обновления программного обеспечения на вторичном сайте
- Планирование интернет-клиентов
- Планирование содержимого обновлений программного обеспечения
- Планирование сторонних обновлений
Сайт центра администрирования и все дочерние первичные сайты должны иметь точку обновления программного обеспечения. При планировании инфраструктуры точек обновления программного обеспечения определите следующие зависимости:
- Где установить точку обновления программного обеспечения для сайта
- Каким сайтам требуется точка обновления программного обеспечения, которая принимает обмен данными от интернет-клиентов
- Требуется ли точка обновления программного обеспечения на дополнительных сайтах
Важно!
Дополнительные сведения о внутренних и внешних зависимостях, необходимых для обновлений программного обеспечения, см. в разделе Предварительные требования для обновлений программного обеспечения.
Добавьте несколько точек обновления программного обеспечения на первичном сайте Configuration Manager, чтобы обеспечить отказоустойчивость. Структура отработки отказа точки обновления программного обеспечения отличается от модели чистой рандомизации, используемой при проектировании точек управления. В отличие от структуры точек управления, при переключении клиентов на новую точку обновления программного обеспечения существуют затраты на производительность клиента и сети. Когда клиент переключается на новый сервер WSUS для проверки обновлений программного обеспечения, результатом является увеличение размера каталога и связанных с ним требований к производительности на стороне клиента и сети. Таким образом, клиент сохраняет сходство с последней точкой обновления программного обеспечения, из которой он успешно сканирован.
Первая точка обновления программного обеспечения, устанавливаемая на первичном сайте, — это источник синхронизации для всех дополнительных точек обновления программного обеспечения, добавленных на первичном сайте. После добавления точек обновления программного обеспечения и запуска синхронизации просмотрите состояние точек обновления программного обеспечения и источника синхронизации в узле Состояние синхронизации точки обновления программного обеспечения в рабочей области Мониторинг .
При сбое точки обновления программного обеспечения, настроенной в качестве источника синхронизации для сайта, вручную удалите сбой роли. Затем выберите новую точку обновления программного обеспечения для использования в качестве источника синхронизации. Дополнительные сведения см. в разделе Удаление роли системы сайта.
Список точек обновления программного обеспечения
Configuration Manager предоставляет клиенту список точек обновления программного обеспечения в следующих сценариях:
Новый клиент получает политику для включения обновлений программного обеспечения.
Клиент не может связаться с назначенной точкой обновления программного обеспечения и должен переключиться на другую.
Клиент случайным образом выбирает точку обновления программного обеспечения из списка. Он определяет приоритет для точек обновления программного обеспечения в том же лесу. Configuration Manager предоставляет клиентам другой список в зависимости от типа клиента:
Клиенты на основе интрасети. Получите список точек обновления программного обеспечения, которые можно настроить, чтобы разрешить подключения только из интрасети, или список точек обновления программного обеспечения, которые разрешают клиентские подключения к Интернету и интрасети.
Интернет-клиенты. Получите список точек обновления программного обеспечения, которые вы настраиваете для разрешения подключений только из Интернета, или список точек обновления программного обеспечения, которые разрешают подключения клиентов к Интернету и интрасети.
Переключение точки обновления программного обеспечения
Примечание.
Клиенты используют группы границ для поиска новой точки обновления программного обеспечения. Если текущая точка обновления программного обеспечения больше не доступна, они также используют группы границ для резервного поиска и поиска новой. Добавьте отдельные точки обновления программного обеспечения в различные группы границ, чтобы определить, какие серверы может найти клиент. Дополнительные сведения см. в разделе Точки обновления программного обеспечения.
Если на сайте имеется несколько точек обновления программного обеспечения и одна из них завершается сбоем или становится недоступной, клиенты подключаются к другой точке обновления программного обеспечения. На этом новом сервере клиенты продолжают проверять наличие последних обновлений программного обеспечения. Когда клиенту впервые назначается точка обновления программного обеспечения, он остается назначенным этой точке обновления программного обеспечения, если он не сможет выполнить проверку.
Проверка на наличие обновлений программного обеспечения может завершиться ошибкой с рядом различных кодов ошибок повторных попыток и ошибок без повторных попыток. При сбое сканирования с кодом ошибки повтора клиент запускает процесс повтора, чтобы проверить наличие обновлений программного обеспечения в точке обновления программного обеспечения. Высокоуровневые условия, которые приводят к коду ошибки повтора, обычно связаны с тем, что сервер WSUS недоступен или временно перегружен. Если клиенту не удается проверить наличие обновлений программного обеспечения, он использует следующий процесс:
Клиент проверяет наличие обновлений программного обеспечения:
- В запланированное время
- При выполнении вручную из панели управления на клиенте
- При запуске вручную из консоли Configuration Manager с помощью действия уведомления клиента
- При запуске из метода пакета SDK Configuration Manager
Если сканирование завершается сбоем, клиент ожидает 30 минут, чтобы повторить проверку. Она использует ту же точку обновления программного обеспечения.
Клиент повторяет попытку как минимум четыре раза каждые 30 минут. После четвертого сбоя и после того, как он подождит еще две минуты, клиент переходит к следующей точке обновления программного обеспечения в списке.
Клиент повторяет этот процесс с новой точкой обновления программного обеспечения. После успешного сканирования клиент продолжает подключаться к новой точке обновления программного обеспечения.
В следующем списке приведены дополнительные сведения для сценариев повторных попыток и переключения точки обновления программного обеспечения.
Если клиент отключен от интрасети и не может проверить наличие обновлений программного обеспечения, он не переключается на другую точку обновления программного обеспечения. Этот сбой ожидается, так как клиент не может связаться с внутренней сетью или точкой обновления программного обеспечения, которая разрешает подключения из интрасети. Клиент Configuration Manager определяет доступность точки обновления программного обеспечения интрасети.
Если вы управляете клиентами в Интернете и настроили несколько точек обновления программного обеспечения для приема обмена данными от клиентов в Интернете, процесс переключения следует стандартному процессу повтора, описанному ранее.
Если процесс сканирования запускается, но клиент отключен до завершения сканирования, это не считается ошибкой сканирования и не считается одной из четырех повторных попыток.
Когда Configuration Manager получает любой из следующих кодов ошибок агента Центра обновления Windows, клиент повторяет подключение:
2149842970, 2147954429, 2149859352, 2149859362, 2149859338, 2149859344, 2147954430, 2147747475, 2149842974, 2149859342, 2149859372, 2149859341, 2149904388, 2149859371, 2149859367, 2149859366, 2149859364, 2149859363, 2149859361, 2149859360, 2149859359, 2149859358, 2149859357, 2149859356, 2149859354, 2149859353, 2149859350, 2149859349, 2149859340, 2149859339, 2149859332, 2149859333, 2149859334, 2149859337, 2149859336, 2149859335
Чтобы найти значение кода ошибки, преобразуйте десятичный код ошибки в шестнадцатеричный, а затем найдите шестнадцатеричное значение на сайте, например на вики-сайте агента Центра обновления Windows — коды ошибок. Например, десятичный код ошибки 2149842970 является шестнадцатеричным 8024001A, что означает, WU_E_POLICY_NOT_SET значение политики A не задано.
Переключение клиентов на новую точку обновления программного обеспечения вручную
Переключение клиентов Configuration Manager на новую точку обновления программного обеспечения при возникновении проблем с активной точкой обновления программного обеспечения. Это изменение происходит только в том случае, если клиент получает несколько точек обновления программного обеспечения от точки управления.
Важно!
При переключении устройств на использование нового сервера они используют резервный вариант для поиска нового сервера. Клиенты переключаются на новую точку обновления программного обеспечения во время следующего цикла проверки обновлений программного обеспечения.
Прежде чем приступить к этому изменению, проверьте конфигурации групп границ, чтобы убедиться, что точки обновления программного обеспечения находятся в правильных группах границ. Дополнительные сведения см. в разделе Точки обновления программного обеспечения.
При переключении на новую точку обновления программного обеспечения создается дополнительный сетевой трафик. Объем трафика зависит от параметров конфигурации WSUS, например от синхронизированных классификаций и продуктов или использования общей базы данных WSUS. Если вы планируете переключить несколько устройств, рекомендуется сделать это во время периодов обслуживания. Это снижает влияние на вашу сеть при сканировании клиентов с помощью новой точки обновления программного обеспечения.
Процесс переключения точек обновления программного обеспечения
Запустите это изменение в коллекции устройств. После активации клиенты ищут другую точку обновления программного обеспечения при следующей проверке.
В консоли Configuration Manager перейдите в рабочую область Активы и соответствие и выберите узел Коллекции устройств .
Выберите целевую коллекцию. На вкладке Главная ленты в группе Коллекция выберите Уведомление клиента, а затем выберите Переключиться на следующую точку обновления программного обеспечения.
Точки обновления программного обеспечения в недоверенном лесу
Создайте одну или несколько точек обновления программного обеспечения на сайте для поддержки клиентов в недоверенном лесу. Чтобы добавить точку обновления программного обеспечения в другом лесу, сначала установите и настройте сервер WSUS в этом лесу. Затем запустите мастер, чтобы добавить сервер сайта Configuration Manager с ролью системы сайта точки обновления программного обеспечения. В мастере настройте следующие параметры, чтобы успешно подключиться к WSUS в недоверенном лесу:
Укажите учетную запись установки системы сайта , которая может получить доступ к серверу WSUS в недоверенном лесу.
Укажите учетную запись подключения сервера WSUS для подключения к серверу WSUS.
Например, у вас есть первичный сайт в лесу A с двумя точками обновления программного обеспечения (SUP01 и SUP02). Для одного и того же первичного сайта также есть две точки обновления программного обеспечения (SUP03 и SUP04) в лесу B. При переключении на следующую точку обновления программного обеспечения клиенты уделяют приоритетное внимание серверам из того же леса.
Использование существующего сервера WSUS в качестве источника синхронизации на сайте верхнего уровня
Как правило, сайт верхнего уровня в иерархии настраивается для синхронизации метаданных обновлений программного обеспечения с Центром обновления Майкрософт. Если политика безопасности организации не разрешает сайту верхнего уровня доступ к Интернету, настройте источник синхронизации для сайта верхнего уровня, чтобы он использовал существующий сервер WSUS. Этот сервер WSUS не в иерархии Configuration Manager. Например, у вас есть сервер WSUS в сети, подключенной к Интернету( DMZ), но сайт верхнего уровня находится во внутренней сети без доступа к Интернету. Настройте сервер WSUS в dmz в качестве источника синхронизации для метаданных обновлений программного обеспечения. Настройте сервер WSUS в dmz для синхронизации обновлений программного обеспечения с теми же критериями, которые требуются в Configuration Manager. В противном случае сайт верхнего уровня может не синхронизировать ожидаемые обновления программного обеспечения. При установке точки обновления программного обеспечения настройте учетную запись подключения к серверу WSUS. Этой учетной записи требуется доступ к серверу WSUS в периметре. Также убедитесь, что брандмауэр разрешает трафик для соответствующих портов. Дополнительные сведения см. в разделе Порты, используемые точкой обновления программного обеспечения для источника синхронизации.
Точка обновления программного обеспечения на вторичном сайте
Точка обновления программного обеспечения является необязательной на вторичном сайте. Установите только одну точку обновления программного обеспечения на вторичном сайте. Если точка обновления программного обеспечения не установлена на вторичном сайте, устройства в границах вторичного сайта используют точку обновления программного обеспечения на назначенном первичном сайте. Обычно точка обновления программного обеспечения устанавливается на вторичном сайте, когда между устройствами на вторичном сайте и точками обновления программного обеспечения на родительском первичном сайте ограничена пропускная способность сети. Вы также можете использовать эту конфигурацию, когда точка обновления программного обеспечения на первичном сайте приближается к ограничению емкости. После успешной установки и настройки точки обновления программного обеспечения на вторичном сайте для клиентов обновляется политика на уровне всего сайта, и они начинают использовать новую точку обновления программного обеспечения.
Планирование интернет-клиентов
Если вам нужно управлять устройствами, которые перемещаются по сети в Интернет, разработайте план управления обновлениями программного обеспечения на этих устройствах. Configuration Manager поддерживает несколько технологий для этого сценария. Используйте один или комбинацию при необходимости в соответствии с требованиями вашей организации.
Шлюз управления облаком
Создайте шлюз управления облаком в Microsoft Azure и включите по крайней мере одну локальную точку обновления программного обеспечения, чтобы разрешить трафик от интернет-клиентов. Когда клиенты перемещаются в Интернет, они продолжают проверять точки обновления программного обеспечения. Все интернет-клиенты всегда получают содержимое из облачной службы Центра обновления Майкрософт.
Дополнительные сведения см. в разделах Обзор шлюза управления облаком и Настройка групп границ.
Примечание.
Начиная с версии 2203, клиенты могут предпочитать проверять точку обновления программного обеспечения (SUP) шлюза управления облаком (CMG) через локальную среду SUP. Этим поведением управляет параметр Предпочитать облачный источник, а не локальный источник в группе границ. Чтобы уменьшить влияние этого изменения на производительность, существующие клиенты не переключаются автоматически на облачную среду SUP. Клиент останется назначенным своему текущему SUP, если его текущий sup не завершится ошибкой или клиент вручную переключится на новый SUP.
Управление клиентами через Интернет
Разместите точку обновления программного обеспечения в сети с выходом в Интернет и разрешите ей трафик от интернет-клиентов. Когда клиенты перемещаются в Интернет, они переключаются на эту точку обновления программного обеспечения для сканирования. Все интернет-клиенты всегда получают содержимое из облачной службы Центра обновления Майкрософт.
Дополнительные сведения о преимуществах и недостатках управления клиентами через Интернет см. в разделе Управление клиентами в Интернете.
Центр обновления Windows для бизнеса
Центр обновления Windows для бизнеса позволяет всегда обновлять устройства с Windows 10 или более поздних версий с помощью последних обновлений качества и компонентов. Эти устройства подключаются непосредственно к облачной службе Центра обновления Windows. Configuration Manager может различать компьютеры Windows, использующие WUfB и WSUS для получения обновлений программного обеспечения.
Дополнительные сведения см. в разделе Интеграция с Центром обновления Windows для бизнеса.
Планирование содержимого обновлений программного обеспечения
Клиенты должны скачать файлы содержимого для обновлений программного обеспечения, чтобы установить их. Configuration Manager предоставляет несколько технологий для поддержки управления этим содержимым и его доставки. Или настройте развертывания обновлений программного обеспечения, чтобы разрешить или требовать от клиентов получение содержимого непосредственно из облачной службы Центра обновления Майкрософт.
Примечание.
Начиная с 28 марта 2023 г. локальные устройства с Windows 11 версии 22H2 будут получать обновления качества через единую платформу обновления (UUP). Локальная служба UUP взаимодействует с WSUS и Microsoft Configuration Manager. Обновления качества UUP по-прежнему являются накопительными и включают все выпущенные исправления для обеспечения качества и безопасности Windows. Для локального управления обновлениями с помощью единой платформы обновления (UUP) требуется дополнительно 10 ГБ места на каждую версию Windows и архитектуру процессора для каждой версии. Дополнительные сведения см. в разделе Рекомендации по UUP .
Скачивание и распространение содержимого
По умолчанию процесс управления обновлениями программного обеспечения в Configuration Manager использует встроенные функции управления содержимым. Эти функции включают централизованную библиотеку содержимого хранилища с одним экземпляром и распределенную структуру роли системы сайта точки распространения. Эти функции используются при скачивании и распространении пакетов развертывания обновлений программного обеспечения.
Дополнительные сведения см. в разделе Скачивание обновлений программного обеспечения.
Управление файлами экспресс-установки для Windows 10 или более поздней версии
Configuration Manager поддерживает использование файлов экспресс-установки для обновлений Windows. Файлы экспресс-обновления и вспомогательные технологии, такие как оптимизация доставки, помогают снизить влияние на сеть при скачивании больших файлов содержимого на клиенты.
Дополнительные сведения см. в статье Оптимизация доставки обновлений Windows.
Клиенты скачивают содержимое из Интернета
При развертывании обновлений программного обеспечения на клиентах настройте развертывание для скачивания содержимого из облачной службы Центра обновления Майкрософт. Если клиенты не могут скачать содержимое из другого источника контента, они по-прежнему могут скачать содержимое из Интернета.
Вам не нужно создавать пакет развертывания при развертывании обновлений программного обеспечения. При выборе параметра Нет пакета развертывания клиенты по-прежнему могут скачивать содержимое из локальных источников, если оно доступно, но обычно скачивается из службы Центра обновления Майкрософт.
Интернет-клиенты всегда скачивают содержимое из облачной службы Центра обновления Майкрософт. Не распространяйте пакеты развертывания обновлений программного обеспечения в шлюз облачного управления с поддержкой содержимого (CMG).
Планирование сторонних обновлений
Configuration Manager интегрируется с WSUS, которая изначально поддерживает обновления программного обеспечения, опубликованные корпорацией Майкрософт. Большинство клиентов используют другие сторонние приложения, которым также требуются обновления. Существует несколько вариантов, которые следует рассмотреть для поддержания в актуальном состоянии сторонних приложений.
Замена приложений для обновления
Используйте связь замены с функцией управления приложениями в Configuration Manager для обновления или замены существующих приложений. При замене приложения укажите новый тип развертывания, чтобы заменить тип развертывания заменяемого приложения. Также решите, следует ли обновить или удалить замененное приложение до установки заменяющего приложения.
Дополнительные сведения см. в разделе Изменение и замена приложений.
Обновления стороннего программного обеспечения
Узел Каталоги обновлений программного обеспечения сторонних производителей в консоли Configuration Manager можно использовать для подписки на сторонние каталоги, публикации их обновлений в точке обновления программного обеспечения, а затем их развертывания на клиентах.
Дополнительные сведения см. в разделе Обновления стороннего программного обеспечения.
System Center Updates Publisher
System Center Updates Publisher (SCUP) — это автономное средство, которое позволяет независимым издателям программного обеспечения или разработчикам бизнес-приложений управлять пользовательскими обновлениями. К этим обновлениям относятся обновления с зависимостями, такими как драйверы и пакеты обновлений. SCUP также можно использовать для сторонних каталогов обновлений, которые недоступны непосредственно в консоли.
Дополнительные сведения см. в разделе System Center Updates Publisher.
Планирование установки точки обновления программного обеспечения
В этом разделе содержатся следующие подтемы:
- Требования к точке обновления программного обеспечения
- Планирование установки WSUS
- Настройка брандмауэров
В этом разделе содержатся сведения о шагах, которые необходимо выполнить для успешного планирования и подготовки к установке точки обновления программного обеспечения. Перед созданием роли системы сайта для точки обновления программного обеспечения в Configuration Manager необходимо учесть несколько требований. Конкретные требования зависят от инфраструктуры Configuration Manager. При настройке точки обновления программного обеспечения для обмена данными по протоколу HTTPS этот раздел особенно важно проверить. Для правильной работы серверов с поддержкой HTTPS требуются дополнительные действия.
Требования к точке обновления программного обеспечения
Установите роль точки обновления программного обеспечения в системе сайта, которая соответствует минимальным требованиям для WSUS и поддерживаемым конфигурациям для систем сайта Configuration Manager.
Дополнительные сведения о минимальных требованиях к роли сервера WSUS в Windows Server см. в статье Рекомендации и требования к системе.
Дополнительные сведения о поддерживаемых конфигурациях для систем сайта Configuration Manager см. в разделе Предварительные требования для сайта и системы сайта.
Планирование установки WSUS
Установите поддерживаемую версию WSUS на всех серверах системы сайта, настроенных для роли точки обновления программного обеспечения. Если точка обновления программного обеспечения не устанавливается на сервере сайта, установите консоль администрирования WSUS на сервере сайта. Этот компонент позволяет серверу сайта взаимодействовать с службами WSUS, работающими в точке обновления программного обеспечения.
При использовании WSUS в Windows Server 2012 или более поздней версии настройте дополнительные разрешения, чтобы разрешить компоненту WSUS Configuration Manager в Configuration Manager подключаться к WSUS. Этот компонент выполняет периодические проверки работоспособности. Выберите один из следующих параметров, чтобы настроить требуемое разрешение:
Добавление учетной записи SYSTEM в группу администраторов WSUS
Добавьте учетную запись NT AUTHORITY\SYSTEM в качестве пользователя для базы данных WSUS (SUSDB). Настройте как минимум членство в роли базы данных webService.
Дополнительные сведения об установке WSUS на Windows Server см. в разделе Установка роли сервера WSUS.
При установке нескольких точек обновления программного обеспечения на первичном сайте используйте одну и ту же базу данных WSUS для каждой точки обновления программного обеспечения в одном лесу Active Directory. Совместное использование одной базы данных повышает производительность при переключении клиентов на новую точку обновления программного обеспечения. Дополнительные сведения см. в статье Использование общей базы данных WSUS для точек обновления программного обеспечения.
Настройка пути к каталогу содержимого WSUS
При установке WSUS необходимо указать путь к каталогу содержимого. Каталог содержимого WSUS в основном используется для хранения файлов условий лицензионного соглашения на использование программного обеспечения Майкрософт, необходимых клиентам во время сканирования. Configuration Manager Каталог содержимого WSUS не должен перекрываться с каталогом источника содержимого для пакетов развертывания программного обеспечения Configuration Manager. Перекрытие каталога содержимого WSUS и источника пакета Configuration Manager приведет к удалению неправильных файлов из каталога содержимого WSUS.
Настройка WSUS для использования пользовательского веб-сайта
При установке WSUS можно использовать существующий веб-сайт IIS по умолчанию или создать настраиваемый веб-сайт WSUS. Создайте пользовательский веб-сайт для WSUS, чтобы службы WSUS размещались на выделенном виртуальном веб-сайте. В противном случае он использует тот же веб-сайт, который используется другими системами или приложениями сайта Configuration Manager. Эта конфигурация особенно необходима при установке роли точки обновления программного обеспечения на сервере сайта. При запуске WSUS в Windows Server 2012 или более поздней версии службы WSUS по умолчанию настроены на использование порта 8530 для HTTP и порта 8531 для HTTPS. Укажите эти порты при создании точки обновления программного обеспечения на сайте.
Настройка WSUS в качестве сервера-реплики
При добавлении роли точки обновления программного обеспечения на сервере первичного сайта нельзя использовать сервер WSUS, настроенный в качестве реплики. Если сервер WSUS настроен в качестве реплики, Configuration Manager не может настроить сервер WSUS, а синхронизация WSUS завершается сбоем. Первая точка обновления программного обеспечения, устанавливаемая на первичном сайте, — это точка обновления программного обеспечения по умолчанию. Дополнительные точки обновления программного обеспечения на сайте настраиваются как реплики точки обновления программного обеспечения по умолчанию.
Решение о том, следует ли настроить WSUS для использования SSL
Настоятельно рекомендуется использовать протокол SSL для защиты точки обновления программного обеспечения. СЛУЖБЫ WSUS используют ПРОТОКОЛ SSL для проверки подлинности клиентских компьютеров и подчиненных серверов WSUS на сервере WSUS. WSUS также использует ПРОТОКОЛ SSL для шифрования метаданных обновлений программного обеспечения. Если вы решили защитить WSUS с помощью SSL, подготовьте сервер WSUS перед установкой точки обновления программного обеспечения.
При установке и настройке точки обновления программного обеспечения выберите параметр Включить ssl-связь для сервера WSUS. В противном случае Configuration Manager настраивает WSUS не использовать SSL. При включении SSL в точке обновления программного обеспечения также настройте все точки обновления программного обеспечения на дочерних сайтах для использования SSL. Дополнительные сведения см. в руководстве Настройка точки обновления программного обеспечения для использования TLS/SSL с PKI-сертификатом.
Примечание.
Чтобы обеспечить наличие наилучших протоколов безопасности, настоятельно рекомендуется использовать протокол TLS/SSL для защиты инфраструктуры обновлений программного обеспечения. Начиная с накопительного обновления за сентябрь 2020 г. серверы WSUS на основе HTTP будут по умолчанию защищены. Клиент, проверяющий наличие обновлений в службах WSUS на основе HTTP, больше не будет разрешено использовать прокси-сервер пользователя по умолчанию. Если вам по-прежнему требуется пользовательский прокси-сервер, несмотря на компромиссы по безопасности, доступен новый параметр клиента обновлений программного обеспечения , позволяющий разрешить эти подключения. Дополнительные сведения об изменениях для сканирования WSUS см. в статье Изменения, внесенные в систему для повышения безопасности устройств Windows, сканирующих WSUS, за сентябрь 2020 г.
Настройка брандмауэров
Точка обновления программного обеспечения на сайте центра администрирования Configuration Manager взаимодействует с WSUS в точке обновления программного обеспечения. WSUS взаимодействует с источником синхронизации для синхронизации метаданных обновлений программного обеспечения. Точки обновления программного обеспечения на дочернем сайте взаимодействуют с точкой обновления программного обеспечения на родительском сайте. Если на первичном сайте имеется несколько точек обновления программного обеспечения, дополнительные точки обновления программного обеспечения взаимодействуют с точкой обновления программного обеспечения по умолчанию. Роль по умолчанию является первой точкой обновления программного обеспечения, установленной на сайте.
Может потребоваться настроить брандмауэр, чтобы разрешить трафик HTTP или HTTPS, который WSUS использует в следующих сценариях:
- Между точкой обновления программного обеспечения и Интернетом
- Между точкой обновления программного обеспечения и вышестоящим источником синхронизации
- Между дополнительными точками обновления программного обеспечения
Подключение к Центру обновления Майкрософт всегда настраивается для использования порта 80 для HTTP и порта 443 для HTTPS. Используйте пользовательский порт для подключения из WSUS в точке обновления программного обеспечения на дочернем сайте к WSUS в точке обновления программного обеспечения на родительском сайте. Если политика безопасности не разрешает подключение, используйте метод синхронизации экспорта и импорта. Дополнительные сведения см. в разделе Источник синхронизации этой статьи. Дополнительные сведения о портах, используемых WSUS, см . в статье Определение параметров порта, используемых WSUS в Configuration Manager.
Ограничение доступа к определенным доменам
Если ваша организация ограничивает сетевое взаимодействие с Интернетом с помощью брандмауэра или прокси-устройства, необходимо разрешить активной точке обновления программного обеспечения доступ к конечным точкам Интернета. Затем СЛУЖБЫ WSUS и автоматические обновления могут взаимодействовать с облачной службой Центра обновления Майкрософт.
Дополнительные сведения см. в разделе Требования к доступу к Интернету.
Планирование параметров синхронизации
В этом разделе содержатся следующие подтемы:
- Источник синхронизации
- Расписание синхронизации
- Обновление классификаций
- Продукты
- Правила замены
- Languages
- Максимальное время выполнения
Синхронизация обновлений программного обеспечения в Configuration Manager загружает метаданные обновлений программного обеспечения на основе настроенных условий. Сайт верхнего уровня в иерархии синхронизирует обновления программного обеспечения из Центра обновления Майкрософт. Вы можете настроить точку обновления программного обеспечения на сайте верхнего уровня для синхронизации с существующим сервером WSUS, а не в иерархии Configuration Manager. Дочерние первичные сайты синхронизируют метаданные обновлений программного обеспечения из точки обновления программного обеспечения на сайте центра администрирования. Перед установкой и настройкой точки обновления программного обеспечения используйте этот раздел для планирования параметров синхронизации.
Источник синхронизации
Параметры источника синхронизации для точки обновления программного обеспечения указывают расположение, в котором точка обновления программного обеспечения получает метаданные обновлений программного обеспечения. Он также указывает, создает ли процесс синхронизации события отчетов WSUS.
Источник синхронизации. По умолчанию точка обновления программного обеспечения на сайте верхнего уровня настраивает источник синхронизации для Центра обновления Майкрософт. Вы можете синхронизировать сайт верхнего уровня с существующим сервером WSUS. Точка обновления программного обеспечения на дочернем первичном сайте настраивает источник синхронизации в качестве точки обновления программного обеспечения на сайте центра администрирования.
Первая точка обновления программного обеспечения, устанавливаемая на первичном сайте( которая является точкой обновления программного обеспечения по умолчанию), синхронизируется с сайтом центра администрирования. Дополнительные точки обновления программного обеспечения на первичном сайте синхронизируются с точкой обновления программного обеспечения по умолчанию на первичном сайте.
Если точка обновления программного обеспечения отключена от Центра обновления Майкрософт или вышестоящего сервера обновлений, настройте источник синхронизации не так, чтобы он не синхронизировался с настроенным источником синхронизации. Вместо этого настройте его для синхронизации обновлений программного обеспечения с помощью функции экспорта и импорта средства WSUSUtil . Дополнительные сведения см. в статье Синхронизация обновлений программного обеспечения с отключенной точки обновления программного обеспечения.
События отчетов WSUS: Агент Центра обновления Windows на клиентских компьютерах может создавать сообщения о событиях для отчетов WSUS. Эти события не используются Configuration Manager. Таким образом, параметр Не создавать события отчетов WSUS выбран по умолчанию. Если эти события не создаются, клиент должен подключиться к серверу WSUS только во время оценки обновлений программного обеспечения и проверки соответствия требованиям. Если эти события необходимы для создания отчетов за пределами Configuration Manager, измените этот параметр, чтобы создать события отчетов WSUS.
Важно!
Если вы предоставляете общий доступ к базе данных WSUS (SUSDB) в нескольких точках обновления программного обеспечения для сайта верхнего уровня, убедитесь, что каждый из этих серверов WSUS соответствует требованиям доступа к Интернету для обновлений программного обеспечения. Если к базе данных предоставляется общий доступ к сайту верхнего уровня, Configuration Manager может выбрать любой из этих серверов WSUS для синхронизации с Центром обновления Майкрософт.
Расписание синхронизации
Настройте расписание синхронизации только в точке обновления программного обеспечения на сайте верхнего уровня в иерархии Configuration Manager. При настройке расписания синхронизации точка обновления программного обеспечения синхронизируется с источником синхронизации в указанные вами дату и время. Пользовательское расписание позволяет синхронизировать обновления программного обеспечения для оптимизации среды. Учитывайте требования к производительности сервера WSUS, сервера сайта и сети. Например, 2:00 раз в неделю. Кроме того, вручную запустите синхронизацию на сайте верхнего уровня с помощью действия Синхронизация обновлений программного обеспечения из узлов Все обновления программного обеспечения или Группы обновлений программного обеспечения в консоли Configuration Manager.
Совет
Запланируйте синхронизацию обновлений программного обеспечения, используя время, подходящее для вашей среды. Один из распространенных сценариев заключается в настройке расписания синхронизации для запуска вскоре после выпуска регулярного обновления программного обеспечения Майкрософт во второй вторник каждого месяца. Этот день обычно называют вторником исправлений. Если вы используете Configuration Manager для доставки обновлений определения и ядра Endpoint Protection и Защитника Windows, рассмотрите возможность ежедневного запуска расписания синхронизации.
После успешной синхронизации точки обновления программного обеспечения она отправляет запрос на синхронизацию на дочерние сайты. Если у вас есть дополнительные точки обновления программного обеспечения на первичном сайте, он отправляет запрос на синхронизацию каждой точке обновления программного обеспечения. Этот процесс повторяется на каждом сайте в иерархии.
Обновление классификаций
Каждое обновление программного обеспечения определяется с помощью классификации обновлений, которая помогает упорядочить различные типы обновлений. В процессе синхронизации сайт синхронизирует метаданные для указанных классификаций.
Configuration Manager поддерживает синхронизацию следующих классификаций обновлений:
Критические обновления: широко выпущенное обновление для конкретной проблемы, которая устраняет критичную ошибку, не связанную с безопасностью.
Обновления определений. Обновление вирусов или других файлов определений.
Пакеты дополнительных компонентов. Новые функции продукта, которые распространяются за пределами выпуска продукта и обычно включаются в следующий полный выпуск продукта.
Обновления для системы безопасности: широко выпущенное обновление для конкретного продукта, связанного с безопасностью.
Пакеты обновления. Накопительный набор исправлений, применяемых к ОС или приложению. К этим исправлениям относятся обновления для системы безопасности, критические обновления и обновления программного обеспечения.
Средства. Служебная программа или функция, помогающая выполнить одну или несколько задач.
Накопительные пакеты обновлений. Накопительный набор исправлений, которые упаковываются вместе для простого развертывания. К этим исправлениям относятся обновления для системы безопасности, критические обновления и обновления программного обеспечения. Накопительный пакет обновления обычно затрагивает определенную область, например безопасность или компонент продукта.
Обновления: обновление приложения или файла, которые установлены в данный момент.
Обновления: обновление компонентов до новой версии Windows.
Настройте параметры классификации обновлений только на сайте верхнего уровня. Параметры классификации обновлений не настраиваются в точке обновления программного обеспечения на дочерних сайтах, так как метаданные обновлений программного обеспечения реплицируются с сайта верхнего уровня. При выборе классификаций обновлений следует учитывать, чем больше классификаций вы выберете, тем больше времени потребуется для синхронизации метаданных обновлений программного обеспечения.
Предупреждение
Рекомендуется очистить все классификации перед синхронизацией в первый раз. После начальной синхронизации выберите нужные классификации, а затем снова запустите синхронизацию.
Продукты
Метаданные для каждого обновления программного обеспечения определяют один или несколько продуктов, для которых применимо обновление. Продукт — это определенный выпуск ОС или приложения. Примером продукта является Microsoft Windows 10. Семейство продуктов — это базовая ОС или приложение, от которого получены отдельные продукты. Примером семейства продуктов является Microsoft Windows, членами которого являются Windows 10 и Windows Server 2016. Выберите семейство продуктов или отдельные продукты в семействе продуктов.
Если обновления программного обеспечения применимы к нескольким продуктам и для синхронизации выбран по крайней мере один из них, все продукты отображаются в консоли Configuration Manager, даже если некоторые продукты не были выбраны. Например, вы выбираете только продукт Windows Server 2012. Если обновление программного обеспечения применяется к Windows Server 2012 и Windows Server 2012 Datacenter Edition, оба продукта находятся в базе данных сайта.
Настройте параметры продукта только на сайте верхнего уровня. Параметры продукта не настраиваются в точке обновления программного обеспечения для дочерних сайтов, так как метаданные обновлений программного обеспечения реплицируются с сайта верхнего уровня. Чем больше продуктов вы выберете, тем больше времени требуется для синхронизации метаданных обновлений программного обеспечения.
Важно!
Configuration Manager хранит список продуктов и семейств продуктов, которые вы выбираете при первой установке точки обновления программного обеспечения. Продукты и семейства продуктов, выпущенные после выпуска Configuration Manager, могут быть недоступны для выбора до завершения синхронизации. Процесс синхронизации обновляет список доступных продуктов и семейств продуктов, из которых можно выбрать. Очистите все продукты перед синхронизацией обновлений программного обеспечения в первый раз. После начальной синхронизации выберите нужные продукты, а затем снова запустите синхронизацию.
Правила замены
Как правило, обновление программного обеспечения, заменяющее другое обновление программного обеспечения, выполняет одно или несколько из следующих действий:
Улучшает, улучшает или обновляет исправление, предоставляемое одним или несколькими ранее выпущенными обновлениями.
Повышает эффективность заменяемого пакета файла обновления, который устанавливается на клиентах, если обновление утверждено для установки. Например, заменяемое обновление может содержать файлы, которые больше не относятся к исправлению или операционным системам, поддерживаемым новым обновлением. Эти файлы не включаются в пакет заменяющих файлов обновления.
Обновляет более новые версии продукта. Другими словами, он обновляет версии, которые больше не применимы к более старым версиям или конфигурациям продукта. Обновления также могут заменять другие обновления, если были внесены изменения для расширения языковой поддержки. Например, более поздняя версия обновления продукта для приложений Microsoft 365 может удалить поддержку старой ОС, но она может добавить дополнительную поддержку для новых языков в первоначальном выпуске обновления.
В свойствах точки обновления программного обеспечения укажите, что срок действия замененных обновлений программного обеспечения немедленно истек. Этот параметр предотвращает их включение в новые развертывания. Он также помечает существующие развертывания, чтобы указать, что они содержат одно или несколько обновлений программного обеспечения с истекшим сроком действия. Или укажите период времени до истечения срока действия заменяемых обновлений программного обеспечения. Это действие позволяет продолжить их развертывание.
Рассмотрим следующие сценарии, в которых может потребоваться развернуть замененное обновление программного обеспечения:
Заменяющее обновление программного обеспечения поддерживает только более новые версии ОС. Некоторые клиентские компьютеры работают под управлением более ранних версий ОС.
Заменяющее обновление программного обеспечения имеет более ограниченную применимость, чем обновление программного обеспечения, которое оно заменяет. Такое поведение делает его неуместным для некоторых клиентов.
Если заменяющее обновление программного обеспечения не было утверждено для развертывания в рабочей среде.
Configuration Manager может автоматически истечет срок действия заменяемых обновлений в зависимости от выбранного расписания. Вы можете указать поведение правил замены для обновлений компонентов отдельно от обновлений, отличных от обновлений компонентов. По умолчанию подождать 3 месяца до истечения срока действия заменяемого обновления. 3 месяца по умолчанию — это время, чтобы убедиться, что обновление больше не требуется ни одному из клиентских компьютеров. Рекомендуется не предполагать, что срок действия заменяемых обновлений должен быть немедленно истек в пользу нового заменяющего обновления. Список обновлений программного обеспечения, заменяющих обновление программного обеспечения, можно отобразить на вкладке Сведения о замене в свойствах обновления программного обеспечения.
Языки
Языковые параметры точки обновления программного обеспечения позволяют настроить:
- Языки, для которых синхронизированы сведения сводки (метаданные обновлений программного обеспечения) для обновлений программного обеспечения.
- Языки файлов обновлений программного обеспечения, скачанные для обновлений программного обеспечения
Файл обновления программного обеспечения
Настройте языки для параметра файла обновления программного обеспечения в свойствах точки обновления программного обеспечения. Этот параметр предоставляет языки по умолчанию, доступные при скачивании обновлений программного обеспечения на сайте. Изменяйте выбранные по умолчанию языки при каждом скачивании или развертывании обновлений программного обеспечения. В процессе загрузки файлы обновлений программного обеспечения для настроенных языков скачиваются в исходное расположение пакета развертывания, если файлы обновлений программного обеспечения доступны на выбранном языке. Затем они копируются в библиотеку содержимого на сервере сайта. Затем они распространяются в точки распространения, настроенные для пакета.
Настройте параметры языка файла обновления программного обеспечения с помощью языков, которые чаще всего используются в вашей среде. Например, клиенты на вашем сайте используют в основном английский и японский языки для Windows или приложений. Есть несколько других языков, которые используются на сайте. Выберите только английский и японский языки в столбце Файл обновления программного обеспечения при скачивании или развертывании обновления программного обеспечения. Это действие позволяет использовать параметры по умолчанию на странице Выбор языка в мастере развертывания и скачивания. Это действие также предотвращает загрузку ненужных файлов обновлений. Настройте этот параметр в каждой точке обновления программного обеспечения в иерархии Configuration Manager.
Сводная информация
В процессе синхронизации сведения сводки (метаданные обновлений программного обеспечения) обновляются для обновлений программного обеспечения на указанных вами языках. Метаданные содержат сведения об обновлении программного обеспечения, например:
- Имя
- Описание
- Продукты, поддерживаемые обновлением
- Классификация обновления
- Идентификатор статьи
- URL-адрес скачивания
- Правила применимости
Настройте параметры сведений о сводке только на сайте верхнего уровня. Сводные сведения не настраиваются в точке обновления программного обеспечения на дочерних сайтах, так как метаданные обновлений программного обеспечения реплицируются с сайта центра администрирования с помощью репликации на основе файлов. При выборе языков сведений о сводке выберите только те языки, которые вам нужны в вашей среде. Чем больше языков вы выберете, тем больше времени требуется для синхронизации метаданных обновлений программного обеспечения. Configuration Manager отображает метаданные обновлений программного обеспечения в языковом стандарте ОС, в котором работает консоль Configuration Manager. Если локализованные свойства обновлений программного обеспечения недоступны в языковом стандарте этой ОС, сведения об обновлениях программного обеспечения отображаются на английском языке.
Важно!
Выберите все необходимые языки сведений о сводке. Когда точка обновления программного обеспечения на сайте верхнего уровня синхронизируется с источником синхронизации, выбранные языки сведений сводки определяют метаданные обновлений программного обеспечения, которые она извлекает. При изменении языков сведений о сводке после выполнения синхронизации по крайней мере один раз он извлекает метаданные обновлений программного обеспечения для измененных языков сведений сводки только для новых или обновленных обновлений программного обеспечения. Обновления программного обеспечения, которые уже были синхронизированы, не обновляются с новыми метаданными для измененных языков, если в источнике синхронизации не будет изменено обновление программного обеспечения.
Максимальное время выполнения
Можно указать максимальный период времени, в течение которого необходимо выполнить установку обновлений программного обеспечения. Максимальное время выполнения можно указать для следующего:
Максимальное время выполнения обновлений компонентов Windows (в минутах)
-
Обновления компонентов — обновление, которое находится в одной из следующих трех классификаций:
- Обновления
- Накопительные пакеты обновления
- Пакеты обновления
-
Обновления компонентов — обновление, которое находится в одной из следующих трех классификаций:
Максимальное время выполнения для обновлений Office 365 и обновлений, не относящихся к функциям, для Windows (в минутах)
-
Обновления, не относящиеся к функциям. Обновление, которое не является обновлением компонентов и продукт которого указан как один из следующих:
- Windows 11
- Windows 10 (все версии)
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Office 365
-
Обновления, не относящиеся к функциям. Обновление, которое не является обновлением компонентов и продукт которого указан как один из следующих:
Максимальное время выполнения для всех других обновлений программного обеспечения за пределами этих категорий, таких как сторонние обновления (в минутах). Максимальное время выполнения этих обновлений по умолчанию зависит от того, когда обновление было впервые синхронизировано со средой и версией Configuration Manager. Используйте корзину ниже, чтобы определить максимальное значение среды выполнения для этих обновлений:
2203 или более поздней версии 2103, 2107 или 2111 2010 Максимальное время выполнения для всех остальных обновлений программного обеспечения можно настроить. Значение по умолчанию: 60 минут. 60 минут 10 минут Важно!
- Этот параметр изменяет только максимальную среду выполнения для новых обновлений, синхронизированных в SUP. Время выполнения для существующих обновлений, синхронизированных до изменения времени выполнения, не изменяется. Например, если
Update 1
впервые была синхронизирована со средой 2111, то максимальное время выполнения составляет 60 минут. Затем вы обновите среду до версии 2203 и установите максимальное время выполнения 30 минут.Update 1
сохраняет 60-минутную среду выполнения. Однако при синхронизацииUpdate 2
нового обновления ему предоставляется 30-минутное время выполнения. - Если необходимо изменить максимальное время выполнения обновления вручную, можно настроить для него параметры обновления программного обеспечения .
- Этот параметр изменяет только максимальную среду выполнения для новых обновлений, синхронизированных в SUP. Время выполнения для существующих обновлений, синхронизированных до изменения времени выполнения, не изменяется. Например, если
Планирование периода обслуживания обновлений программного обеспечения
Добавьте период обслуживания, выделенный для установки обновлений программного обеспечения. Это действие позволяет настроить общий период обслуживания и другой период обслуживания для обновлений программного обеспечения. При настройке общего периода обслуживания и периода обслуживания обновлений программного обеспечения клиенты устанавливают обновления программного обеспечения только во время периода обслуживания обновлений программного обеспечения.
Вы можете изменить это поведение и разрешить установку обновлений программного обеспечения в течение общего периода обслуживания. Дополнительные сведения об этом параметре клиента см. в разделе Параметры клиента обновления программного обеспечения.
Дополнительные сведения о периодах обслуживания см. в статье Использование периодов обслуживания.
Параметры перезапуска для клиентов Windows 10 после установки обновления программного обеспечения
Когда обновление программного обеспечения, требующее перезагрузки, развертывается и устанавливается с помощью Configuration Manager, клиент планирует ожидающую перезагрузку и отображает диалоговое окно перезапуска.
Если для обновления программного обеспечения Configuration Manager ожидается перезагрузка, на компьютерах с Windows 10 в параметрах питания Windows доступна возможность Обновить и перезапустить, а также Обновить и Завершить работу. После использования одного из этих параметров диалоговое окно перезапуска не отображается после перезагрузки компьютера. В некоторых случаях операционная система может удалить ожидающие перезапуска параметры. Это может произойти, если включена функция быстрого запуска в Windows 10. Дополнительные сведения см . в статье Обновление может не быть установлено при быстром запуске в Windows 10.
Оценка обновлений программного обеспечения после обновления стека обслуживания
Начиная с версии 2002 Configuration Manager определяет, является ли обновление стека обслуживания (SSU) частью установки для нескольких обновлений. При обнаружении SSU он устанавливается первым. После установки SSU запускается цикл оценки обновлений программного обеспечения для установки оставшихся обновлений. Это изменение позволяет установить зависимое накопительное обновление после обновления стека обслуживания. Устройство не требуется перезагружать между установками, и вам не нужно создавать дополнительный период обслуживания. SSU устанавливаются первыми только для установок, инициированных не пользователем. Например, если пользователь инициирует установку нескольких обновлений из Центра программного обеспечения, SSU может быть не установлен первым. Установка SSU сначала недоступна для операционных систем Windows Server при использовании Configuration Manager версии 2002. Эта функция была добавлена в Configuration Manager версии 2006 для операционных систем Windows Server.
Если у вас есть обновления, не относящиеся к Windows, такие как Office или сторонние обновления, и они требуют перезагрузки после установки, накопительные обновления могут не устанавливаться сразу после SSU, так как компьютер требует перезагрузки перед повторным выполнением полной проверки. Это можно сделать, установив флажок Если для любого обновления в этом развертывании требуется перезапуск системы, запустить цикл оценки развертывания обновления после перезапуска в параметрах развертывания.
Дальнейшие действия
После планирования обновлений программного обеспечения см . статью Подготовка к управлению обновлениями программного обеспечения.
Дополнительные сведения об управлении Windows как услугой см. в разделах Основы Configuration Manager как услуги и Windows как услуга.