Plánování aktualizací softwaru v Správce konfigurace

Platí pro: Správce konfigurace (aktuální větev)

Než budete používat aktualizace softwaru v Správce konfigurace produkčním prostředí, je důležité, abyste prošli procesem plánování. Dobré plánování infrastruktury bodů aktualizace softwaru je klíčem k úspěšné implementaci aktualizací softwaru. Informace o plánování kapacity aktualizací softwaru najdete v tématu Velikost a měřítko čísel.

Určení infrastruktury bodu aktualizace softwaru

Tato část obsahuje následující podtéma:

Web centrální správy a všechny podřízené primární weby musí mít bod aktualizace softwaru. Při plánování infrastruktury bodu aktualizace softwaru určete následující závislosti:

  • Kde nainstalovat bod aktualizace softwaru pro web
  • Které weby vyžadují bod aktualizace softwaru, který přijímá komunikaci od internetových klientů
  • Jestli potřebujete bod aktualizace softwaru na sekundárních webech

Důležité

Další informace o interních a externích závislostech, které jsou potřeba pro aktualizace softwaru, najdete v tématu Předpoklady pro aktualizace softwaru.

Přidejte více bodů aktualizace softwaru Správce konfigurace primární lokalitě, abyste mohli zajistit odolnost proti chybám. Návrh převzetí služeb při selhání bodu aktualizace softwaru se liší od čistého modelu randomizace, který se používá v návrhu bodů správy. Na rozdíl od návrhu bodů správy existují náklady na výkon klienta a sítě v návrhu bodu aktualizace softwaru, když klienti přechádí na nový bod aktualizace softwaru. Když klient přepne na nový server SLUŽBY WSUS a bude hledat aktualizace softwaru, výsledkem je zvýšení velikosti katalogu a souvisejících požadavků na výkon na straně klienta a sítě. Klient proto zachová spřažení s posledním bodem aktualizace softwaru, ze kterého úspěšně naskenoval.

První bod aktualizace softwaru, který nainstalujete na primární web, je zdroj synchronizace pro všechny další body aktualizace softwaru, které přidáte v primární lokalitě. Po přidání bodů aktualizace softwaru a zahájení synchronizace si zobrazte stav bodů aktualizace softwaru a zdroje synchronizace z uzlu Stav synchronizace bodu aktualizace softwaru v pracovním prostoru Monitorování.

Pokud dojde k chybě bodu aktualizace softwaru nakonfigurovaného jako zdroj synchronizace pro web, ručně odeberte neúspěšnou roli. Pak vyberte nový bod aktualizace softwaru, který chcete použít jako zdroj synchronizace. Další informace najdete v tématu Odebrání role systému webu.

Seznam bodů aktualizace softwaru

Správce konfigurace poskytuje klientovi seznam bodů aktualizace softwaru v následujících situacích:

  • Nový klient dostane zásadu povolení aktualizací softwaru.

  • Klient nemůže kontaktovat přiřazený bod aktualizace softwaru a musí přejít na jiný

Klient náhodně vybere bod aktualizace softwaru ze seznamu. Upřednostňuje body aktualizace softwaru ve stejné doménové struktuře. Správce konfigurace poskytuje klientům jiný seznam v závislosti na typu klienta:

  • Intranetové klienty: Získáte seznam bodů aktualizace softwaru, které můžete nakonfigurovat tak, aby povolování připojení bylo možné jenom z intranetu, nebo seznam bodů aktualizace softwaru, které umožňují připojení klientů k internetu a intranetu.

  • Internet-based clients: Receive a list of software update points that you configure to allow connections only from the internet, or a list of software update points that allow internet and intranet client connections.

Přepínání bodu aktualizace softwaru

Poznámka

Klienti používají skupiny hranic k vyhledání nového bodu aktualizace softwaru. Pokud už jejich aktuální bod aktualizace softwaru není přístupný, používají také hraniční skupiny k záložnímu použití a k vyhledání nového bodu. Přidáním jednotlivých bodů aktualizace softwaru do různých skupin hranic můžete řídit servery, které klient najde. Další informace najdete v článku Body aktualizace softwaru.

Pokud máte na webu víc bodů aktualizace softwaru a jeden z nich selže nebo nebude dostupný, klienti se připojí k jinému bodu aktualizace softwaru. Díky tomuto novému serveru budou klienti dál hledat nejnovější aktualizace softwaru. Když je klientovi poprvé přiřazen bod aktualizace softwaru, zůstane přiřazený k bodu aktualizace softwaru, pokud ho nenaskenuje.

Hledání aktualizací softwaru může selhat s řadou různých kódů chyb opakování a nezohledněných chyb. Když se kontrola nepodaří s kódem chyby opakovat, klient spustí proces opakování, který prohledá aktualizace softwaru v bodě aktualizace softwaru. Vysoké podmínky, které mají za následek opakování kódu chyby, jsou obvykle proto, že server SLUŽBY WSUS není dostupný nebo je dočasně přetížený. Když se klientovi nepodaří vyhledat aktualizace softwaru, použije následující postup:

  1. Klient vyhledá aktualizace softwaru:

    • V naplánovaném čase
    • Při ručním spuštění z ovládacích panelů klienta
    • Při ručním spuštění z konzoly Správce konfigurace pomocí akce oznámení klienta
    • Při spuštění z metody Správce konfigurace SDK
  2. Pokud se kontrola nepodaří, klient počká 30 minut, než to zkusí znovu. Používá stejný bod aktualizace softwaru.

  3. Klient se opakováním minimálně čtyřikrát každých 30 minut. Po čtvrtém selhání a po dalších dvou minutách se klient přesune na další bod aktualizace softwaru v seznamu.

  4. Klient tento proces zopakuje s novým bodem aktualizace softwaru. Po úspěšném prohledávání se klient bude dál připojovat k novému bodu aktualizace softwaru.

Následující seznam obsahuje další informace, které je třeba zvážit při opakování a přepínání scénářů v bodech aktualizace softwaru:

  • Pokud je klient odpojený od intranetu a nedokáže vyhledat aktualizace softwaru, přepne se na jiný bod aktualizace softwaru. Tato chyba se očekává, protože klient nemůže dosáhnout interní sítě nebo bodu aktualizace softwaru, který umožňuje připojení z intranetu. Klient Správce konfigurace určuje dostupnost bodu aktualizace softwaru intranetu.

  • Pokud spravujete klienty na internetu a nakonfigurovali jste několik bodů aktualizace softwaru tak, aby přijímal komunikaci mezi klienty na internetu, postup přepínání se řídí standardním procesem opakování, který byl dříve popsaný.

  • Pokud se spustí proces kontroly, ale klient je před dokončením kontroly vypnutý, nepovažuje se za selhání kontroly a nepočítá se jako jeden ze čtyř opakování.

Když Správce konfigurace některý z následujících kódů Windows Aktualizační agent, klient připojení znovu prodá:

2149842970, 2147954429, 2149859352, 2149859362, 2149859338, 2149859344, 2147954430, 2147747475, 2149842974, 2149859342, 2149859372, 2149859341, 2149904388, 2149859371, 2149859367, 2149859366, 2149859364, 2149859363, 2149859361, 2149859360, 2149859359, 2149859358, 2149859357, 2149859356, 2149859354, 2149859353, 2149859350, 2149859349, 2149859340, 2149859339, 2149859332, 2149859333, 2149859334, 2149859337, 2149859336, 2149859335

To look up the meaning of an error code, convert the decimal error code to hexadecimal, and then search for the hexadecimal value on a site such as the Windows Update Agent - Error Codes Wiki.‭ For example, the decimal error code 2149842970 is hexadecimal 8024001A‬, which means WU_E_POLICY_NOT_SET A policy value was not set.

Ruční přepnutí klientů na nový bod aktualizace softwaru

Pokud Správce konfigurace s aktivním bodem aktualizace softwaru, přepněte klienty na nový bod aktualizace softwaru. K této změně dochází jenom v případě, že klient dostane z bodu správy víc bodů aktualizace softwaru.

Důležité

Když přepnete zařízení na nový server, používají se k vyhledání nového serveru záložní zařízení. Klienti přechádí během dalšího cyklu kontroly aktualizací softwaru na nový bod aktualizace softwaru.

Než začnete s touto změnou, zkontrolujte konfigurace skupin hranic, abyste měli jistotu, že jsou body aktualizace softwaru ve správných skupinách hranic. Další informace najdete v článku Body aktualizace softwaru.

Když přepnete na nový bod aktualizace softwaru, vygeneruje se další síťový provoz. Množství přenosů závisí na nastavení konfigurace služby WSUS, například na synchronizovaných klasifikacích a produktech nebo na použití sdílené databáze služby WSUS. Pokud plánujete přepnout více zařízení, zvažte to během údržby. Toto načasování snižuje dopad na vaši síť při prohledávání klientů pomocí nového bodu aktualizace softwaru.

Proces přepínání bodů aktualizace softwaru

Spusťte tuto změnu v kolekci zařízení. Po aktivaci klienti při příštím prohledávání vyhledejí jiný bod aktualizace softwaru.

  1. V Správce konfigurace přejděte do pracovního prostoru Prostředky a dodržování předpisů a vyberte uzel Kolekce zařízení.

  2. Vyberte cílovou kolekci. Na kartě Domů na pásu karet klikněte ve skupině Kolekce na Oznámení klienta a potom klikněte na Přepnout na další bod aktualizace softwaru.

Body aktualizace softwaru v nedůvěryhodné doménové struktuře

Vytvořte jeden nebo více bodů aktualizace softwaru na webu, abyste podporovali klienty v nedůvěryhodné doménové struktuře. Pokud chcete přidat bod aktualizace softwaru do jiné doménové struktury, nejdřív nainstalujte a nakonfigurujte server SLUŽBY WSUS v této doménové struktuře. Potom spusťte průvodce a přidejte server Správce konfigurace webu s rolí systému lokality bodu aktualizace softwaru. V průvodci nakonfigurujte následující nastavení tak, aby se úspěšně připojoval k službě WSUS v nedůvěryhodné doménové struktuře:

  • Zadejte účet instalace systému webu, který má přístup k serveru SLUŽBY WSUS v nedůvěryhodné doménové struktuře.

  • Zadejte účet připojení k serveru SLUŽBY WSUS, který se má připojit k serveru SLUŽBY WSUS.

Například máte primární web v doménové struktuře A se dvěma body aktualizace softwaru (SUP01 a SUP02). Pro stejnou primární lokalitu máte taky dva body aktualizace softwaru (SUP03 a SUP04) v doménové struktuře B. Při přechodu na další bod aktualizace softwaru upřednostní klienti servery ze stejné doménové struktury.

Použití existujícího serveru SLUŽBY WSUS jako zdroje synchronizace na webu nejvyšší úrovně

Web nejvyšší úrovně v hierarchii je obvykle nakonfigurovaný tak, aby synchronizoval metadata aktualizací softwaru s Microsoft Update. Pokud vaše zásady zabezpečení organizace neumožňují webu nejvyšší úrovně přístup k internetu, nakonfigurujte zdroj synchronizace pro web nejvyšší úrovně tak, aby používejte existující server SLUŽBY WSUS. Tento server SLUŽBY WSUS není ve vaší Správce konfigurace hierarchii. Například server SLUŽBY WSUS máte v síti připojené k internetu (DMZ), ale váš web nejvyšší úrovně je v interní síti bez přístupu k internetu. Nakonfigurujte server SLUŽBY WSUS v dmz jako zdroj synchronizace pro metadata aktualizací softwaru. Nakonfigurujte server SLUŽBY WSUS v dmz tak, aby synchronizoval aktualizace softwaru se stejnými kritérii, která potřebujete v Správce konfigurace. V opačném případě web nejvyšší úrovně nemusí synchronizovat aktualizace softwaru, které očekáváte. Když nainstalujete bod aktualizace softwaru, nakonfigurujte účet připojení k serveru SLUŽBY WSUS. Tento účet potřebuje přístup k serveru SLUŽBY WSUS v dmz. Zkontrolujte také, že brána firewall povoluje přenosy pro příslušné porty. Další informace najdete v článku o portech používanýchaktualizací softwaru na zdroj synchronizace .

Bod aktualizace softwaru na sekundárním webu

Bod aktualizace softwaru je nepovinný na sekundárním webu. Nainstalujte jenom jeden bod aktualizace softwaru na sekundární web. Pokud není bod aktualizace softwaru nainstalovaný na sekundárním webu, používají zařízení v rámci hranic sekundárního webu bod aktualizace softwaru v přiřazené primární lokalitě. Bod aktualizace softwaru obvykle nainstalujete na sekundární web, pokud je mezi zařízeními sekundární lokality a body aktualizace softwaru v nadřazené primární lokalitě omezená šířka pásma sítě. Tuto konfiguraci můžete použít také v případě, že se bod aktualizace softwaru v primární lokalitě blíží limitu kapacity. Po úspěšné instalaci a konfiguraci bodu aktualizace softwaru na sekundárním webu se pro klienty aktualizuje zásada celého webu a začnou používat nový bod aktualizace softwaru.

Plánování pro internetové klienty

Pokud potřebujete spravovat zařízení, která se přesouvaly mimo vaši síť na internet, vytvořte plán, jak spravovat aktualizace softwaru na těchto zařízeních. Správce konfigurace tento scénář podporuje několik technologií. Podle potřeby použijte jednu nebo jednu kombinaci, abyste vyhověi požadavkům vaší organizace.

Brána pro správu cloudu

Vytvořte bránu pro správu cloudu v Microsoft Azure a povolte aspoň jeden místní bod aktualizace softwaru, abyste mohli povolit provoz z internetových klientů. Když se klienti přesouvali na internet, budou dál prohledání bodů aktualizace softwaru. Všichni internetová klienti vždycky chytá obsah z cloudové služby Microsoft Update.

Další informace najdete v tématu Přehled brány pro správu cloudu a Konfigurace skupin hranic.

Správa internetových klientů

Umístěte bod aktualizace softwaru do internetové sítě a povolte mu provoz z internetových klientů. Když se klienti přesouvali na internet, přechádly se na tento bod aktualizace softwaru pro skenování. Všichni internetová klienti vždycky chytá obsah z cloudové služby Microsoft Update.

Další informace o výhodách a nevýhodách internetové správy klientů najdete v tématu Správa klientů na internetu.

Windows aktualizace pro firmy

Windows Aktualizace pro firmy umožňuje udržovat Windows 10 nebo novějších zařízeních vždy aktuální s nejnovější kvalitou a aktualizacemi funkcí. Tato zařízení se připojují přímo k Windows aktualizovat cloudovou službu. Správce konfigurace můžete rozlišovat mezi Windows, které používají WUfB a SLUŽBU WSUS k získání aktualizací softwaru.

Další informace najdete v tématu Integrace s aktualizací Windows pro firmy.

Plánování obsahu aktualizace softwaru

Klienti si musí stáhnout soubory obsahu pro aktualizace softwaru, aby je mohli nainstalovat. Správce konfigurace poskytuje několik technologií na podporu správy a doručování tohoto obsahu. Nebo nakonfigurujte nasazení aktualizací softwaru tak, aby klienti mohli obsah získat přímo z cloudové služby Microsoft Update.

Stažení a distribuce obsahu

Ve výchozím nastavení používá proces správy aktualizací softwaru Správce konfigurace integrované funkce pro správu obsahu. Mezi tyto funkce patří centralizovaná knihovna obsahu úložiště s jednou instancí a distribuovaný návrh systémové role distribučního bodu webu. Tyto funkce se používají při stahování a distribuci balíčků nasazení aktualizací softwaru.

Další informace najdete v tématu Stažení aktualizací softwaru.

Správa souborů expresní instalace pro Windows 10 nebo novější

Správce konfigurace podporuje použití souborů expresní instalace pro Windows aktualizace. Express update files and supporting technologies such as Delivery Optimization can help reduce the network impact of large content files downloading to clients.

Další informace najdete v tématu Optimalizace Windows doručení aktualizací.

Klienti stahují obsah z internetu

Když nasazujete aktualizace softwaru pro klienty, nakonfigurujte nasazení pro klienty tak, aby stáhli obsah z cloudové služby Microsoft Update. Když klienti nebudou moct stahovat obsah z jiného zdroje obsahu, moct si obsah stáhnout z internetu.

Při nasazování aktualizací softwaru nemusíte vytvářet balíček pro nasazení. Když vyberete možnost Balíček bez nasazení, mohou klienti i nadále stahovat obsah z místních zdrojů, pokud jsou k dispozici, ale obvykle si je stáhnou ze služby Microsoft Update.

Internetová klienti vždycky stahují obsah z cloudové služby Microsoft Update. Ne distribuujte balíčky nasazení aktualizací softwaru do brány pro správu cloudu s podporou obsahu (CMG).

Plánování aktualizací od jiných výrobců

Správce konfigurace je integrovaná se službou WSUS, která nativně podporuje aktualizace softwaru publikované společností Microsoft. Většina zákazníků používá jiné aplikace třetích stran, které také potřebují aktualizace. Existuje několik možností, jak zachovat aktuální aplikace třetích stran.

Nahrazuje aplikace, které chcete aktualizovat

Pokud chcete upgradovat nebo nahradit stávající aplikace, použijte vztah Správce konfigurace s funkcí správy aplikací v aplikaci. Když nahrazujete aplikaci, zadejte nový typ nasazení, který nahradí typ nasazení nahrazené aplikace. Také se rozhodněte, jestli chcete upgradovat nebo odinstalovat aplikaci, která je nahnána, ještě před nainstalovanou aplikací, která se nahrazuje.

Další informace najdete v tématu Revize a nahánění aplikací.

Aktualizace softwaru třetích stran

Pomocí uzlu Katalogy aktualizací softwaru třetích stran v konzole Správce konfigurace se můžete přihlásit k odběru katalogů třetích stran, publikovat jejich aktualizace v bodě aktualizace softwaru a pak je nasadit klientům.

Další informace najdete v tématu Aktualizace softwaru třetích stran.

System Center aktualizace Publisher

System Center Aktualizace Publisher (SCUP) je samostatný nástroj, který umožňuje nezávislým dodavatelům softwaru nebo obchodní aplikace vývojářům spravovat vlastní aktualizace. Mezi tyto aktualizace patří ty se závislostmi, jako jsou ovladače a aktualizační sady. SCUP je možné použít i pro katalogy aktualizací třetích stran, které nejsou dostupné přímo v konzole.

Další informace najdete v tématu System Center Aktualizace Publisher.

Plánování instalace bodu aktualizace softwaru

Tato část obsahuje následující podtéma:

V této části najdete informace o krocích, které je třeba provést k úspěšnému plánování a přípravě instalace bodu aktualizace softwaru. Než vytvoříte roli systému webu pro bod aktualizace softwaru v Správce konfigurace, je třeba zvážit několik požadavků. Konkrétní požadavky závisí na vaší Správce konfigurace infrastruktury. Když nakonfigurujete bod aktualizace softwaru tak, aby komunikoval pomocí protokolu HTTPS, je tato část zvlášť důležitá. Servery s podporou protokolu HTTPS vyžadují další kroky, aby správně fungovaly.

Požadavky na bod aktualizace softwaru

Nainstalujte roli bodu aktualizace softwaru do systému webu, který splňuje minimální požadavky na službu WSUS a podporované konfigurace pro Správce konfigurace lokality.

  • Další informace o minimálních požadavcích na roli serveru SLUŽBY WSUS v Windows Serveru najdete v tématu Kontrola požadavků na systém a aspekty.

  • Další informace o podporovaných konfiguracích pro Správce konfigurace webu najdete v tématu Požadavky na weba systém webu .

Plánování instalace služby WSUS

Nainstalujte podporovanou verzi služby WSUS na všechny servery systému lokality, které nakonfigurujete pro roli bodu aktualizace softwaru. Pokud bod aktualizace softwaru na server webu neinstalujete, nainstalujte na server webu konzolu pro správu služby WSUS. Tato součást umožňuje serveru webu komunikovat se službou WSUS, která běží v bodě aktualizace softwaru.

Pokud používáte službu WSUS v Windows Server 2012 nebo novějších verzích, nakonfigurujte další oprávnění tak, aby se Správce konfigurace služby WSUS Správce konfigurace připojit ke službě WSUS. Tato součást provádí pravidelné kontroly stavu. Vyberte jednu z následujících možností konfigurace požadovaného oprávnění:

  • Přidání účtu SYSTEM do skupiny Správci služby WSUS

  • Přidejte účet NT AUTHORITY\SYSTEM jako uživatele pro databázi SLUŽBY WSUS (SUSDB). Nakonfigurujte minimálně členství v roli databáze webService.

Další informace o instalaci služby WSUS na Windows Serveru najdete v tématu Instalace role serveru SLUŽBY WSUS.

Když na primární lokalitu nainstalujete víc než jeden bod aktualizace softwaru, použijte stejnou databázi SLUŽBY WSUS pro každý bod aktualizace softwaru ve stejné doménové struktuře služby Active Directory. Sdílení stejné databáze zvyšuje výkon při přechodu klientů na nový bod aktualizace softwaru. Další informace najdete v tématu Použití sdílené databáze služby WSUS pro body aktualizace softwaru.

Konfigurace cesty k adresáři obsahu služby WSUS

Při instalaci služby WSUS budete muset zadat cestu k adresáři obsahu. Adresář obsahu služby WSUS se primárně používá k ukládání souborů licenčních podmínek pro software společnosti Microsoft, které klienti potřebují během kontroly. Adresář Správce konfigurace obsahu služby WSUS by se neměl překrývat s adresářem zdroje obsahu pro Správce konfigurace balíčků nasazení softwaru. Překrývající se adresář obsahu služby WSUS Správce konfigurace zdroj balíčku služby WSUS bude mít za následek odebrání nesprávných souborů z adresáře obsahu služby WSUS.

Konfigurace služby WSUS pro použití vlastního webu

Při instalaci služby WSUS máte možnost použít existující výchozí web služby IIS nebo vytvořit vlastní web služby WSUS. Vytvořte vlastní web pro službu WSUS, aby služba IIS hostuje služby WSUS na vyhrazeném virtuálním webu. V opačném případě sdílí stejný web, který používá Správce konfigurace nebo aplikacích webu. Tato konfigurace je zvláště nutná při instalaci role bodu aktualizace softwaru na server webu. Při spuštění služby WSUS v Windows Server 2012 nebo novějších verzích je služba WSUS ve výchozím nastavení nakonfigurovaná tak, aby pro protokol HTTP a port 8531 pro protokol HTTPS 8530. Tyto porty zadejte při vytváření bodu aktualizace softwaru na webu.

Konfigurace služby WSUS jako replikového serveru

Když přidáte roli bodu aktualizace softwaru na server primární lokality, nemůžete použít server SLUŽBY WSUS, který je nakonfigurovaný jako replika. Když je server SLUŽBY WSUS nakonfigurovaný jako replika, Správce konfigurace server SLUŽBY WSUS nenakonfiguruje a synchronizace služby WSUS se nezdaří. Výchozím bodem aktualizace softwaru je první bod aktualizace softwaru, který nainstalujete v primární lokalitě. Další body aktualizace softwaru na webu jsou nakonfigurované jako repliky výchozího bodu aktualizace softwaru.

Rozhodněte se, jestli chcete nakonfigurovat službu WSUS pro použití protokolu SSL.

Důrazně doporučujeme použít protokol SSL k zabezpečení bodu aktualizace softwaru. Služba WSUS používá protokol SSL k ověřování klientských počítačů a navazujících serverů SLUŽBY WSUS na server služby WSUS. Služba WSUS také k šifrování metadat aktualizací softwaru používá protokol SSL. Když se rozhodnete službu WSUS zabezpečit protokolem SSL, připravte server SLUŽBY WSUS před instalací bodu aktualizace softwaru.

Když nainstalujete a nakonfigurujete bod aktualizace softwaru, vyberte možnost Povolit komunikaci SSL pro server SLUŽBY WSUS. V opačném Správce konfigurace službu WSUS nakonfigurovat tak, aby nepou ít protokol SSL. Pokud povolíte SSL v bodě aktualizace softwaru, nakonfigurujte taky všechny body aktualizace softwaru na podřízených webech tak, aby protokol SSL používejte. Další informace najdete v kurzu Konfigurace bodu aktualizace softwaru pro použití protokolu TLS/SSL s certifikátem PKI.

Poznámka

Abyste měli zajištěné nejlepší protokoly zabezpečení, doporučujeme k zabezpečení infrastruktury aktualizací softwaru použít protokol TLS/SSL. Od kumulativní aktualizace ze září 2020 budou servery WSUS založené na protokolu HTTP ve výchozím nastavení zabezpečené. Klient, který ve výchozím nastavení naskenuje aktualizace proti službě WSUS založené na protokolu HTTP, už nebude moci používat proxy server uživatele. Pokud i přes bezpečnostní promyšly potřebujete uživatelský proxy server, je k dispozici nové nastavení klienta aktualizací softwaru, které tato připojení povolí. Další informace o změnách kontroly služby WSUS najdete v článku Změny v září 2020,které zlepšují zabezpečení Windows zařízení, která kontroluji službu WSUS .

Konfigurace bran firewall

Bod aktualizace softwaru na webu Správce konfigurace centrální správy komunikuje se službou WSUS v bodě aktualizace softwaru. Služba WSUS komunikuje se zdrojem synchronizace a synchronizuje metadata aktualizací softwaru. Body aktualizace softwaru na podřízeném webu komunikují s bodem aktualizace softwaru na nadřazeném webu. Pokud je v primární lokalitě více než jeden bod aktualizace softwaru, další body aktualizace softwaru komunikují s výchozím bodem aktualizace softwaru. Výchozí role je první bod aktualizace softwaru, který je nainstalovaný na webu.

Možná budete muset nakonfigurovat bránu firewall tak, aby umožnila přenos HTTP nebo HTTPS, který služba WSUS používá v následujících situacích:

  • Mezi bodem aktualizace softwaru a internetem
  • Mezi bodem aktualizace softwaru a jeho zdrojem synchronizace před proudem
  • Mezi dalšími body aktualizace softwaru

Připojení ke službě Microsoft Update je vždy nakonfigurované tak, aby pro protokol HTTP a port 443 pro protokol HTTPS bylo nakonfigurované na port 80. Použijte vlastní port pro připojení z služby WSUS v bodě aktualizace softwaru na podřízeném webu ke službě WSUS v bodě aktualizace softwaru v nadřazeném webu. Pokud vaše zásady zabezpečení připojení nepovolují, použijte metodu synchronizace exportu a importu. Další informace najdete v části Zdroj synchronizace v tomto článku. Další informace o portech, které služba WSUS používá, najdete v článku Určení nastavení portů používaných službou WSUS v Správce konfigurace.

Omezení přístupu k určitým doménám

Pokud vaše organizace omezuje síťovou komunikaci s internetem pomocí brány firewall nebo proxy zařízení, musíte povolit aktivnímu bodu aktualizace softwaru přístup k internetovým koncovým bodům. Služby WSUS a Automatické aktualizace pak mohou komunikovat s cloudovou službou Microsoft Update.

Další informace najdete v článku Požadavky na přístup k internetu.

Plánování nastavení synchronizace

Tato část obsahuje následující podtéma:

Synchronizace aktualizací softwaru v Správce konfigurace stáhne metadata aktualizací softwaru na základě kritérií, která nakonfigurujete. Web nejvyšší úrovně v hierarchii synchronizuje aktualizace softwaru z webu Microsoft Update. Máte možnost nakonfigurovat bod aktualizace softwaru na webu nejvyšší úrovně tak, aby se synchronizoval se stávajícím serverem SLUŽBY WSUS, ne v Správce konfigurace hierarchii. Podřízené primární weby synchronizují metadata aktualizací softwaru z bodu aktualizace softwaru na webu centrální správy. Než nainstalujete a nakonfigurujete bod aktualizace softwaru, naplánujte nastavení synchronizace v této části.

Zdroj synchronizace

Nastavení zdroje synchronizace pro bod aktualizace softwaru určuje umístění, kde bod aktualizace softwaru načítá metadata aktualizací softwaru. Určuje také, jestli proces synchronizace vytvoří události vytváření sestav služby WSUS.

  • Zdroj synchronizace: Ve výchozím nastavení bod aktualizace softwaru na webu nejvyšší úrovně nakonfiguruje zdroj synchronizace pro Microsoft Update. Máte možnost synchronizovat web nejvyšší úrovně se stávajícím serverem SLUŽBY WSUS. Bod aktualizace softwaru v podřízené primární lokalitě nakonfiguruje zdroj synchronizace jako bod aktualizace softwaru v lokalitě centrální správy.

    • První bod aktualizace softwaru, který nainstalujete v primární lokalitě, což je výchozí bod aktualizace softwaru, se synchronizuje s webem centrální správy. Další body aktualizace softwaru v primární lokalitě se synchronizují s výchozím bodem aktualizace softwaru v primární lokalitě.

    • Pokud je bod aktualizace softwaru odpojený od služby Microsoft Update nebo od aktualizačního serveru, nakonfigurujte zdroj synchronizace tak, aby se nesynchronoval s nakonfigurovaným zdrojem synchronizace. Místo toho ho nakonfigurujte tak, aby k synchronizaci aktualizací softwaru používejte funkci exportu a importu nástroje WSUSUtil. Další informace najdete v tématu Synchronizace aktualizací softwaru z odpojených bodů aktualizace softwaru.

  • Události vytváření sestav služby WSUS: Agent Windows v klientských počítačích může vytvářet zprávy událostí pro vytváření sestav služby WSUS. Tyto události se v Správce konfigurace. Proto je ve výchozím nastavení vybraná možnost Nevytvářejte události vytváření sestav služby WSUS. Pokud se tyto události nevytvá í, je jediný čas, kdy se klient má připojit k serveru SLUŽBY WSUS, během vyhodnocování aktualizací softwaru a kontroly dodržování předpisů. Pokud jsou tyto události potřeba pro vytváření sestav mimo Správce konfigurace, upravte toto nastavení tak, aby se vytvořily události sestav služby WSUS.

Důležité

Pokud sdílíte databázi SLUŽBY WSUS (SUSDB) ve více bodech aktualizace softwaru pro web nejvyšší úrovně, ujistěte se, že každý z těchto serverů SLUŽBY WSUS splňuje požadavky na přístup k internetu pro aktualizace softwaru. Když je databáze sdílena na webu nejvyšší úrovně, Správce konfigurace vybrat některý z těchto serverů SLUŽBY WSUS, který se má synchronizovat s Microsoft Update.

Plán synchronizace

Plán synchronizace nakonfigurujte jenom v bodě aktualizace softwaru na webu nejvyšší úrovně v Správce konfigurace hierarchii. Při konfiguraci plánu synchronizace se bod aktualizace softwaru synchronizuje se zdrojem synchronizace k zadanému datu a času. Vlastní plán umožňuje synchronizovat aktualizace softwaru pro optimalizaci pro vaše prostředí. Zvažte požadavky na výkon serveru, serveru webu a sítě služby WSUS. Například 2:00 jednou týdně. Můžete také ručně spustit synchronizaci na webu nejvyšší úrovně pomocí akce Aktualizace softwaru synchronizace z uzlů Všechny aktualizace softwaru nebo Skupiny aktualizací softwaru v Správce konfigurace konzole.

Tip

Naplánujte synchronizaci aktualizací softwaru tak, aby se spouštěl pomocí času, který je vhodný pro vaše prostředí. Jednou z běžných scénářů je nastavit plán synchronizace tak, aby se spouštěl krátce po vydání pravidelné aktualizace softwaru od Microsoftu druhé úterý každého měsíce. Tento den se obvykle označuje jako Oprava úterý. Pokud používáte Správce konfigurace k doručování Endpoint Protection a Windows Defender definic a aktualizací modulu, zvažte nastavení plánu synchronizace tak, aby se spouštěl denně.

Po úspěšné synchronizaci bodu aktualizace softwaru odešle žádost o synchronizaci podřízeným webům. Pokud máte další body aktualizace softwaru v primární lokalitě, odešle žádost o synchronizaci do každého bodu aktualizace softwaru. Tento proces se opakuje na všech webech v hierarchii.

Aktualizace klasifikací

Každá aktualizace softwaru je definovaná klasifikací aktualizací, která pomáhá uspořádat různé typy aktualizací. Během procesu synchronizace web synchronizuje metadata pro zadané klasifikace.

Správce konfigurace podporuje synchronizaci následujících klasifikací aktualizací:

  • Kritické aktualizace: Široce vydaná aktualizace pro konkrétní problém, který řeší kritickou chybu nesouvisecí se zabezpečením.

  • Aktualizace definic: Aktualizace virových nebo jiných definičních souborů.

  • Sady Feature Pack: Nové funkce produktu, které jsou distribuované mimo verzi produktu a jsou obvykle součástí příští úplné verze produktu.

  • Aktualizace zabezpečení: Široce vydaná aktualizace pro konkrétní produkt, který souvisí se zabezpečením.

  • Aktualizace Service Pack: Kumulativní sada oprav hotfix, která se použije pro operační systém nebo aplikaci. Tyto opravy hotfix zahrnují aktualizace zabezpečení, důležité aktualizace a aktualizace softwaru.

  • Nástroje: Nástroj nebo funkce, které pomáhají provádět jeden nebo více úkolů.

  • Kumulativní aktualizace: Kumulativní sada oprav hotfix, která je společně zabalená pro snadné nasazení. Tyto opravy hotfix zahrnují aktualizace zabezpečení, důležité aktualizace a aktualizace softwaru. Kumulativní aktualizace obvykle řeší konkrétní oblast, například zabezpečení nebo součást produktu.

  • Aktualizace: Aktualizace aplikace nebo souboru, který je aktuálně nainstalovaný.

  • Upgrady: Aktualizace funkcí na novou verzi Windows.

Nakonfigurujte nastavení klasifikace aktualizací jenom na webu nejvyšší úrovně. Nastavení klasifikace aktualizací není nakonfigurované v bodě aktualizace softwaru na podřízených webech, protože metadata aktualizací softwaru se replikují z webu nejvyšší úrovně. Když vyberete klasifikace aktualizací, uvědomte si, že čím více klasifikací vyberete, tím déle trvá synchronizace metadat aktualizací softwaru.

Upozornění

Nejlepší je, když před první synchronizací vymažete všechny klasifikace. Po počáteční synchronizaci vyberte požadované klasifikace a spusťte synchronizaci znovu.

Produkty

Metadata pro každou aktualizaci softwaru definují jeden nebo více produktů, pro které je aktualizace použitelná. Produkt je specifická edice operačního systému nebo aplikace. Příkladem produktu je Microsoft Windows 10. Produktová skupina je základní operační systém nebo aplikace, ze které jsou jednotlivé produkty odvozené. Příkladem produktové skupiny je microsoftová Windows, Windows 10 a Windows Server 2016 členy. Vyberte produktové skupiny nebo jednotlivé produkty v rámci produktové rodiny.

Pokud se aktualizace softwaru vztahují na více produktů a pro synchronizaci je vybrán aspoň jeden z produktů, zobrazí se všechny produkty v konzole Správce konfigurace, i když některé produkty nebyly vybrány. Můžete třeba vybrat jenom Windows Server 2012 produkt. Pokud se aktualizace softwaru vztahuje na Windows Server 2012 a Windows Server 2012 Datacenter Edition, oba produkty jsou v databázi webu.

Nakonfigurujte nastavení produktu jenom na webu nejvyšší úrovně. Nastavení produktu není nakonfigurované v bodě aktualizace softwaru pro podřízené weby, protože metadata aktualizací softwaru se replikují z webu nejvyšší úrovně. Čím více produktů vyberete, tím déle trvá synchronizace metadat aktualizací softwaru.

Důležité

Správce konfigurace uloží seznam produktů a rodin produktů, ze které si vyberete při první instalaci bodu aktualizace softwaru. Produkty a rodiny produktů vydané po vydání Správce konfigurace nemusí být k dispozici, dokud nedokoníte synchronizaci. Proces synchronizace aktualizuje seznam dostupných produktů a rodin produktů, ze kterých si můžete vybrat. Před první synchronizací aktualizací softwaru vymažte všechny produkty. Po počáteční synchronizaci vyberte požadované produkty a spusťte synchronizaci znovu.

Pravidla pro nahlaování

Aktualizace softwaru, která nahrazuje jinou aktualizaci softwaru, obvykle dělá jednu nebo více z následujících akcí:

  • Vylepšuje, vylepšuje nebo aktualizuje opravu poskytovanou jednou nebo více dříve vydanými aktualizacemi.

  • Zlepšuje efektivitu balíčku nahnána aktualizace, která je nainstalovaná na klientech, pokud je aktualizace schválená k instalaci. Nahnáná aktualizace může například obsahovat soubory, které už nejsou relevantní pro opravu nebo pro operační systémy podporované novou aktualizací. Tyto soubory nejsou zahrnuté v balíčku nahrazujecích souborů aktualizace.

  • Aktualizuje novější verze produktu. Jinými slovy, aktualizuje verze, které už nejsou použitelné pro starší verze nebo konfigurace produktu. Pokud byly provedeny změny v rozšíření jazykové podpory, mohou aktualizace také nahánět další aktualizace. Například pozdější revize aktualizace produktu pro Microsoft 365 Apps může odebrat podporu staršího operačního systému, ale může přidat další podporu pro nové jazyky v počáteční verzi aktualizace.

Ve vlastnostech bodu aktualizace softwaru určete, že platnost nahřešovaných aktualizací softwaru vypršela okamžitě. Toto nastavení zabrání tomu, aby se do nových nasazení zahrnuly. Označuje také existující nasazení, která označují, že obsahují jednu nebo více aktualizací softwaru s vypršenou platností. Můžete také zadat dobu před vypršením platnosti nahřešovaných aktualizací softwaru. Tato akce umožňuje pokračovat v jejich nasazení.

Zvažte následující scénáře, ve kterých budete možná muset nasadit nahnánou aktualizaci softwaru:Consider the following scenarios in which you might need to deploy a superseded software update:

  • Nahrazuje se aktualizace softwaru, která podporuje jenom novější verze operačního systému. V některých klientských počítačích běží starší verze operačního systému.

  • Aktualizace softwaru, která nahrazuje, má omezenější použitelnost než aktualizace softwaru, která nahrazuje. Toto chování by bylo nevhodné pro některé klienty.

  • Pokud aktualizace softwaru pro nahlašování nebyla schválena pro nasazení ve vašem produkčním prostředí.

Správce konfigurace automaticky vyprší platnost nahrazuje aktualizace na základě plánu, který zvolíte. Chování pravidel nahřešování pro aktualizace funkcí můžete zadat odděleně od aktualizací, které nejsou funkcemi. Výchozí nastavení je počkat 3 měsíce, než vyprší platnost nahnána aktualizace. Ve výchozím nastavení na 3 měsíce máte čas ověřit, že aktualizace už nepotřebujete v žádném klientském počítači. Nedoporučuje se předpokládat, že by měla být nahnána aktualizace okamžitě ukončena ve prospěch nové, nahrazujecí aktualizace. Seznam aktualizací softwaru, které nahrazuje aktualizaci softwaru, můžete zobrazit na kartě Informace o nahlašování ve vlastnostech aktualizace softwaru.

Jazyky

Nastavení jazyka pro bod aktualizace softwaru umožňuje nakonfigurovat:

  • Jazyky, pro které se synchronizují souhrnné podrobnosti (metadata aktualizací softwaru) pro aktualizace softwaru
  • Jazyky souborů aktualizací softwaru, které jsou stažené pro aktualizace softwaru

Soubor aktualizace softwaru

Nakonfigurujte jazyky pro nastavení souboru aktualizace softwaru ve vlastnostech bodu aktualizace softwaru. Toto nastavení poskytuje výchozí jazyky, které jsou dostupné při stahování aktualizací softwaru na webu. Upravujte jazyky, které jsou ve výchozím nastavení vybrané při každém stažení nebo nasazení aktualizací softwaru. Během procesu stahování se soubory aktualizací softwaru pro nakonfigurované jazyky stáhnou do zdrojového umístění balíčku nasazení, pokud jsou soubory aktualizací softwaru dostupné ve vybraném jazyce. Potom se zkopírují do knihovny obsahu na serveru webu. Pak se distribuují do distribučních bodů, které jsou nakonfigurované pro balíček.

Nakonfigurujte nastavení jazyka souboru aktualizace softwaru s jazyky, které se ve vašem prostředí nejčastěji používají. Například klienti na vašem webu používají většinou angličtinu a japonštinu pro Windows nebo aplikace. Existuje několik dalších jazyků, které se používají na webu. Při stažení nebo nasazení aktualizace softwaru vyberte ve sloupci Soubor aktualizace softwaru jenom angličtinu a japonštinu. Tato akce umožňuje použít výchozí nastavení na stránce Výběr jazyka průvodce nasazením a stažením. Tato akce také zabrání stahování nepou3/4ítých aktualizačních souborů. Toto nastavení nakonfigurujte v každém bodu aktualizace softwaru v Správce konfigurace hierarchii.

Souhrnné podrobnosti

Během procesu synchronizace se informace o souhrnných podrobnostech (metadata aktualizací softwaru) aktualizují pro aktualizace softwaru v jazycích, které zadáte. Metadata poskytují informace o aktualizaci softwaru, například:

  • Name (Název)
  • Popis
  • Produkty, které aktualizace podporuje
  • Klasifikace aktualizací
  • ID článku
  • Stáhnout adresu URL
  • Pravidla použitelnosti

Nakonfigurujte nastavení souhrnných podrobností jenom na webu nejvyšší úrovně. Souhrnné podrobnosti nejsou nakonfigurované v bodě aktualizace softwaru na podřízených webech, protože metadata aktualizací softwaru se replikují z webu centrální správy pomocí replikace založené na souboru. Když vyberete jazyky souhrnných podrobností, vyberte jenom jazyky, které potřebujete ve svém prostředí. Čím více jazyků vyberete, tím déle trvá synchronizace metadat aktualizací softwaru. Správce konfigurace zobrazí metadata aktualizací softwaru v národní prostředí operačního systému, ve kterém Správce konfigurace konzole. Pokud lokalizované vlastnosti aktualizací softwaru nejsou v místním prostředí tohoto operačního systému dostupné, zobrazí se informace o aktualizacích softwaru v angličtině.

Důležité

Vyberte všechny jazyky souhrnných podrobností, které potřebujete. Když se bod aktualizace softwaru na webu nejvyšší úrovně synchronizuje se zdrojem synchronizace, vybrané jazyky souhrnných podrobností určují metadata aktualizací softwaru, která načte. Pokud změníte jazyky souhrnných podrobností po spuštění synchronizace aspoň jednou, načte se metadata aktualizací softwaru pro jazyky s upravenými souhrnnými podrobnostmi jenom pro nové nebo aktualizované aktualizace softwaru. Aktualizace softwaru, které už byly synchronizovány, se ne aktualizují novými metadaty pro změněné jazyky, pokud se u zdroje synchronizace nezmění aktualizace softwaru.

Maximální doba běhu

(Zavedeno ve verzi 1906)

Můžete zadat maximální dobu, po kterou bude instalace aktualizace softwaru dokončena. Můžete zadat maximální dobu běhu pro následující:

  • Maximální doba běhu pro Windows funkcí (minuty)

    • Aktualizace funkcí – aktualizace, která je v jedné z těchto tří klasifikací:
      • Upgrady
      • Kumulativní aktualizace
      • Aktualizace Service Pack
  • Maximální doba běhu Office 365 aktualizací a aktualizací bez funkcí pro Windows (minuty)

    • Aktualizace bez funkcí – aktualizace, která není upgradem funkcí a jejíž produkt je uvedený jako jedna z následujících funkcí:
      • Windows 11
      • Windows 10 (všechny verze)
      • Windows Server 2012
      • Windows Server 2012 R2
      • Windows Server 2016
      • Windows Server 2019
      • Office 365
  • Všechny ostatní aktualizace mimo tyto kategorie, jako jsou aktualizace třetích stran, mají výchozí maximální dobu běhu 10 minut. Tato nastavení mění maximální dobu běhu jenom u nových aktualizací, které se synchronizují ze služby Microsoft Update. Nemění dobu běhu u stávajících funkcí ani u aktualizací, které nejsou funkcemi.

    Poznámka

    Od Správce konfigurace 2103 je výchozí maximální doba spuštění všech ostatních aktualizací mimo tyto kategorie, například aktualizace třetích stran, 60 minut, ne 10 minut. Nová maximální doba běhu se bude vztahovat jenom na nové aktualizace, které se synchronizují ze služby Microsoft Update. U stávajících aktualizací se tím nemění doba spuštění.

  • Pokud potřebujete změnit maximální dobu běhu aktualizace, můžete pro něj nakonfigurovat nastavení aktualizace softwaru.

Plánování okna údržby aktualizací softwaru

Přidejte okno údržby vyhrazené pro instalaci aktualizací softwaru. Tato akce umožňuje nakonfigurovat okno obecné údržby a jiné okno údržby pro aktualizace softwaru. Když nakonfigurujete okno obecné údržby i okno údržby aktualizací softwaru, klienti instaluje aktualizace softwaru jenom během okna údržby aktualizací softwaru.

Toto chování můžete změnit a povolit instalaci aktualizací softwaru během okna obecné údržby. Další informace o tomto nastavení klienta najdete v článku Aktualizace softwaru nastavení klienta.

Další informace o oknech údržby najdete v článku Jak používat okna údržby.

Možnosti restartování pro Windows 10 klienty po instalaci aktualizace softwaru

Když je aktualizace softwaru, která vyžaduje restartování, nasazená a nainstalovaná pomocí Správce konfigurace, klient naplánuje čekající restartování a zobrazí dialogové okno pro restartování.

Pokud se čeká na restartování aktualizace softwaru Správce konfigurace, možnost Aktualizovat a restartovat a aktualizovat a vypnout je dostupná na Windows 10 počítačích v Windows možnosti napájení. Po použití jedné z těchto možností se po restartování počítače nezobrazí dialogové okno restartování. Za určitých okolností může operační systém možnosti čekajícího restartování odebrat. K tomu může dojít, pokud je povolená funkce Rychlé spuštění Windows 10 spuštění. Další informace najdete v článku Aktualizace nemusí být nainstalované s rychlým spuštěnímv Windows 10 .

Vyhodnocení aktualizací softwaru po aktualizaci obsluhy zásobníku

Od verze 2002 Správce konfigurace zjistí, jestli je servisní aktualizace zásobníku (SSU) součástí instalace pro více aktualizací. Když je zjištěná SSU, nainstaluje se jako první. Po instalaci SSU se spustí zkušební cyklus aktualizací softwaru, který nainstaluje zbývající aktualizace. Tato změna umožňuje instalaci závislé kumulativní aktualizace po aktualizaci zásobníku údržby. Zařízení se nemusí mezi instalacemi restartovat a nemusíte vytvářet další okno údržby. SSU se instaluje jako první jenom pro instalace, které nejsou iniciované uživatelem. Pokud například uživatel zahájí instalaci několika aktualizací z Centra softwaru, nemusí být SSU nainstalovaná jako první. Instalace SSU není k dispozici pro operační Windows Server při použití Správce konfigurace verze 2002. Tato funkce byla přidána ve Správce konfigurace 2006 pro Windows Server.

Další kroky

Po plánování aktualizací softwaru si prohlédněte informace v tématu Příprava na správu aktualizací softwaru.

Další informace o správě Windows jako služby najdete v tématu Základy Správce konfigurace jako služba a Windows jako služba.