Osvědčené postupy pro aktualizace softwaru v Configuration Manager
Platí pro: Configuration Manager (Current Branch)
Tento článek obsahuje osvědčené postupy pro aktualizace softwaru v Configuration Manager. Informace jsou seřazené podle osvědčených postupů pro počáteční instalaci a pro probíhající operace.
Osvědčené postupy pro instalaci
Při instalaci aktualizací softwaru v Configuration Manager použijte následující osvědčené postupy.
Použití sdílené databáze WSUS pro body aktualizace softwaru
Při instalaci více než jednoho bodu aktualizace softwaru v primární lokalitě použijte stejnou databázi WSUS pro každý bod aktualizace softwaru ve stejné doménové struktuře služby Active Directory. Pokud sdílíte stejnou databázi, výrazně se tím zmírní, ale úplně se tím neodstraní dopad na výkon klienta a sítě, ke kterému může dojít, když klienti přejdou na nový bod aktualizace softwaru. Rozdílová kontrola stále probíhá, když klient přepne na nový bod aktualizace softwaru, který sdílí databázi se starým bodem aktualizace softwaru, ale kontrola je mnohem menší, než kdyby server WSUS měl vlastní databázi. Další informace o přepínání bodů aktualizace softwaru najdete v tématu Přepínání bodů aktualizace softwaru.
Důležité
Pokud používáte sdílenou databázi WSUS pro body aktualizace softwaru, sdílejte také místní složky obsahu WSUS.
Další informace o sdílení databáze WSUS najdete v následujících blogových příspěvcích:
Pokud Configuration Manager a WSUS používají stejnou SQL Server, nakonfigurujte jednu z nich tak, aby používala pojmenovanou instanci, a druhou tak, aby používala výchozí instanci.
Pokud databáze Configuration Manager a WSUS sdílejí stejnou instanci SQL Server, nemůžete snadno určit využití prostředků mezi těmito dvěma aplikacemi. Pro Configuration Manager a WSUS používejte různé instance SQL Server. Tato konfigurace usnadňuje řešení a diagnostiku problémů s využitím prostředků, ke kterým může u jednotlivých aplikací dojít.
Zadejte nastavení Ukládat aktualizace místně.
Při instalaci služby WSUS vyberte nastavení Ukládat aktualizace místně. Toto nastavení způsobí, že služba WSUS stáhne licenční podmínky přidružené k aktualizacím softwaru. Během procesu synchronizace stáhne termíny a uloží je na místní pevný disk serveru WSUS. Pokud toto nastavení nevyberete, klientské počítače můžou selhat při kontrole kompatibility aktualizací softwaru s licenčními podmínkami. Součást Správce synchronizace služby WSUS bodu aktualizace softwaru ověřuje, že je toto nastavení ve výchozím nastavení povoleno každých 60 minut.
Konfigurace bodů aktualizace softwaru tak, aby používaly protokol TLS/SSL
Konfigurace serverů Windows Server Update Services (WSUS) a jejich odpovídajících bodů aktualizace softwaru tak, aby používaly protokol TLS/SSL, může snížit schopnost potenciálního útočníka vzdáleně ohrozit klienta a zvýšit oprávnění. Pokud chcete zajistit, aby byly zavedeny nejlepší protokoly zabezpečení, důrazně doporučujeme použít protokol TLS/SSL k zabezpečení infrastruktury aktualizací softwaru. Další informace najdete v kurzu Konfigurace bodu aktualizace softwaru pro použití protokolu TLS/SSL s certifikátem PKI.
Osvědčené provozní postupy
Při používání aktualizací softwaru používejte následující osvědčené postupy:
Omezit aktualizace softwaru na 1000 v jednom nasazení aktualizace softwaru
V každém nasazení aktualizací softwaru omezte počet aktualizací softwaru na 1000. Při vytváření pravidla automatického nasazení ověřte, že zadaná kritéria nemají za následek více než 1000 aktualizací softwaru. Pokud ručně nasazujete aktualizace softwaru, nevybírejte více než 1000 aktualizací.
Vytvoření nové skupiny aktualizací softwaru při každém spuštění ADR pro "Patch Tuesday" a pro obecná nasazení
V nasazení je limit 1000 aktualizací softwaru. Při vytváření pravidla automatického nasazení (ADR) určíte, jestli se má při každém spuštění pravidla použít existující skupina aktualizací nebo vytvořit novou skupinu aktualizací. Pokud v ADR zadáte kritéria, která mají za následek více aktualizací softwaru, a pravidlo se spouští podle plánu opakování, vytvořte při každém spuštění pravidla novou skupinu aktualizací softwaru. Toto chování zabraňuje, aby nasazení překročilo limit 1 000 aktualizací softwaru na nasazení.
Použití existující skupiny aktualizací softwaru pro aktualizace definic služby Endpoint Protection
Pokud často nasazujete aktualizace definic služby Endpoint Protection pomocí ADR, vždy používejte existující skupinu aktualizací softwaru. V opačném případě může ADR v průběhu času vytvořit stovky skupin aktualizací softwaru. Vydavatelé aktualizací definic obvykle nastavují aktualizace definic tak, aby vypršela, když jsou nahrazeny čtyřmi novějšími aktualizacemi. Proto skupina aktualizací softwaru vytvořená sadou ADR nikdy neobsahuje více než čtyři aktualizace definic pro vydavatele: jednu aktivní a tři nahrazenou.
Viz taky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro