Úvod do aktualizací softwaru v nástroji System Center Configuration ManagerIntroduction to software updates in System Center Configuration Manager

Platí pro: System Center Configuration Manager (aktuální větev)Applies to: System Center Configuration Manager (Current Branch)

Aktualizace softwaru v nástroji System Center Configuration Manager poskytuje sadu nástrojů a prostředků, které mohou pomoci správu složité úlohy sledování a použití aktualizací softwaru do klientských počítačů v podnikové síti.Software updates in System Center Configuration Manager provides a set of tools and resources that can help manage the complex task of tracking and applying software updates to client computers in the enterprise. Účinný proces správy aktualizací softwaru je nutný k udržení provozní účinnosti, řešení problémů zabezpečení a udržení stability síťové infrastruktury.An effective software update management process is necessary to maintain operational efficiency, overcome security issues, and maintain the stability of the network infrastructure. Ale kvůli měnící se povaze technologie a neustálému výskytu nových hrozeb zabezpečení vyžaduje účinná správa aktualizací softwaru důslednou a nepřetržitou pozornost.However, because of the changing nature of technology and the continual appearance of new security threats, effective software update management requires consistent and continual attention.

Ukázkový scénář, který ukazuje, jak může nasadit aktualizace softwaru ve vašem prostředí, najdete v části například scénář pro nasazení aktualizací zabezpečení softwaru.For an example scenario that shows how you might deploy software updates in your environment, see Example scenario to deploy security software updates.

Synchronizace aktualizací softwaruSoftware updates synchronization

Synchronizace aktualizací softwaru v nástroji Configuration Manager se připojuje ke službě Microsoft Update k obnovení metadat aktualizací softwaru.Software updates synchronization in Configuration Manager connects to Microsoft Update to retrieve software updates metadata. Lokalita nejvyšší úrovně (lokalita centrální správy nebo samostatná primární lokalita) se synchronizuje se službou Microsoft Update podle plánu nebo když ručně spustíte synchronizaci z konzoly nástroje Configuration Manager.The top-level site (central administration site or stand-alone primary site) synchronizes with Microsoft Update on a schedule or when you manually start synchronization from the Configuration Manager console. Po dokončení synchronizace aktualizací softwaru v lokalitě nejvyšší úrovně nástroje Configuration Manager spouštění synchronizace aktualizací softwaru v podřízených lokalitách, pokud existují.When Configuration Manager finishes software updates synchronization at the top-level site, software updates synchronization starts at child sites, if they exist. Když se synchronizace dokončí ve všech primárních nebo sekundárních lokalitách, vytvoří se zásady v rámci lokalit, které poskytují body aktualizací softwaru pro klientské počítače.When synchronization is complete at each primary site or secondary site, a site-wide policy is created that provides to client computers the location of the software update points.

Poznámka

Ve výchozím klientském nastavení jsou aktualizace softwaru povolené.Software updates are enabled by default in client settings. Ale pokud nastavíte klientské nastavení Povolit aktualizace softwaru na klientech na hodnotu Ne k zakázání aktualizací softwaru v kolekci nebo ve výchozím nastavení, přidruženým klientům se nebude posílat umístění pro body aktualizací softwaru.However, if you set the Enable software updates on clients client setting to No to disable software updates on a collection or in the default settings, the location for software update points are not sent to associated clients. Podrobnosti najdete v tématu nastavení klienta pro aktualizace softwaru.For details, see software updates client settings.

Když klient obdrží zásady, spustí kontrolu kompatibility aktualizací softwaru a zapisuje informace do služby Windows Management Instrumentation (WMI).After the client receives the policy, the client starts a scan for software updates compliance and writes the information to Windows Management Instrumentation (WMI). Informace o kompatibilitě se pak posílají do bodu správy, který je pak zasílá do serveru lokality.The compliance information is then sent to the management point that then sends the information to the site server. Další informace o vyhodnocování kompatibility najdete v části Software updates compliance assessment v tomto tématu.For more information about compliance assessment, see the Software updates compliance assessment section in this topic.

V primární lokalitě můžete nainstalovat několik bodů aktualizace softwaru.You can install multiple software update points at a primary site. První bod aktualizací softwaru, který nainstalujete, se nakonfiguruje jako zdroj synchronizace.The first software update point that you install is configured as the synchronization source. Provádí synchronizaci ze služby Microsoft Update nebo serveru služby WSUS není v hierarchii nástroje Configuration Manager.This synchronizes from Microsoft Update or a WSUS server not in your Configuration Manager hierarchy. Ostatní body aktualizací softwaru v lokalitě používají tento první bod aktualizací softwaru jako zdroj synchronizace.The other software update points at the site use the first software update point as the synchronization source.

Poznámka

Když je proces synchronizace aktualizací softwaru v lokalitě nejvyšší úrovně dokončený, replikují se metadata aktualizací softwaru do podřízených lokalit pomocí replikace databáze.When the software updates synchronization process is complete at the top-level site, the software updates metadata is replicated to child sites by using database replication. Když připojíte konzolu nástroje Configuration Manager do podřízené lokality, Configuration Manager zobrazí metadata aktualizací softwaru.When you connect a Configuration Manager console to the child site, Configuration Manager displays the software updates metadata. Ale dokud nenainstalujete a nakonfigurujte bod aktualizace softwaru v lokalitě, klienti nebudou kontrolovat kompatibilitu aktualizací softwaru, nebudou podávat informace o kompatibilitě do nástroje Configuration Manager a nelze úspěšně nasadit aktualizace softwaru.However, until you install and configure a software update point at the site, clients will not scan for software updates compliance, clients will not report compliance information to Configuration Manager, and you cannot successfully deploy software updates.

Synchronizace v lokalitě nejvyšší úrovněSynchronization on the top-level site

Proces synchronizace aktualizací softwaru v lokalitě nejvyšší úrovně získává ze služby Microsoft Update metadata aktualizací softwaru, která splňují kritéria určená ve vlastnostech možnosti Součást bodu aktualizací softwaru.The software updates synchronization process at the top-level site retrieves from Microsoft Update the software updates metadata that meet the criteria that you specify in Software Update Point Component properties. Kritéria můžete nakonfigurovat jenom v lokalitě nejvyšší úrovně.You configure the criteria only at the top-level site.

Poznámka

Můžete zadat existující server WSUS, který není v hierarchii nástroje Configuration Manager místo Microsoft Updates jako zdroj synchronizace.You can specify an existing WSUS server that is not in the Configuration Manager hierarchy instead of Microsoft Updates as the synchronization source.

Následující seznam popisuje základní kroky procesu synchronizace v lokalitě nejvyšší úrovně:The following list describes the basic steps for the synchronization process on the top-level site:

  1. Spouštění synchronizace aktualizací softwaru.Software updates synchronization starts.

  2. Správce synchronizace služby WSUS zasílá požadavek do služby WSUS spuštěné v bodě aktualizací softwaru k spuštění synchronizace pomocí služby Microsoft Update.WSUS Synchronization Manager sends a request to WSUS running on the software update point to start synchronization with Microsoft Update.

  3. Metadata aktualizací softwaru se synchronizují ze služby Microsoft Update a veškeré změny se přidají nebo aktualizují v databázi služby WSUS.The software updates metadata is synchronized from Microsoft Update, and any changes are inserted or updated in the WSUS database.

  4. Když služba WSUS dokončí synchronizaci, Správce synchronizace služby WSUS synchronizuje metadata aktualizací softwaru z databáze WSUS na databázi nástroje Configuration Manager a veškeré změny po poslední synchronizaci se přidají nebo aktualizují v databázi lokality.When WSUS has finished synchronization, WSUS Synchronization Manager synchronizes the software updates metadata from the WSUS database to the Configuration Manager database, and any changes after the last synchronization are inserted or updated in the site database. Metadata aktualizací softwaru jsou uložená v databázi lokality jako položka konfigurace.The software updates metadata is stored in the site database as a configuration item.

  5. Položky konfigurace aktualizací softwaru se posílají do podřízených lokalit pomocí replikace databáze.The software updates configuration items are sent to child sites by using database replication.

  6. Po úspěšném dokončení synchronizace vytvoří nástroj správce synchronizace WSUS stavovou zprávu 6702.When synchronization has finished successfully, WSUS Synchronization Manager creates status message 6702.

  7. Správce synchronizace služby WSUS posílá požadavek na synchronizaci do všech podřízených lokalit.WSUS Synchronization Manager sends a synchronization request to all child sites.

  8. Správce synchronizace služby WSUS posílá požadavky po jednom do služby WSUS spuštěné v dalších bodech aktualizací softwaru v lokalitě.WSUS Synchronization Manager sends a request one at a time to WSUS running on other software update points at the site. Servery služby WSUS v ostatních bodech aktualizací softwaru jsou nakonfigurované jako repliky služby WSUS spuštěné ve výchozím bodě aktualizací softwaru v lokalitě.The WSUS servers on the other software update points are configured to be replicas of WSUS running on the default software update point at the site.

Synchronizace v podřízených primárních a sekundárních lokalitáchSynchronization on child primary and secondary sites

Během procesu synchronizace aktualizací softwaru v lokalitě nejvyšší úrovně se položky konfigurace aktualizací softwaru replikují do podřízených lokalit pomocí replikace databáze.During the software updates synchronization process on the top-level site, the software updates configuration items are replicated to child sites by using database replication. Na konci procesu posílá lokalita nejvyšší úrovně požadavek na synchronizaci do podřízené lokality a podřízená lokalita spouští synchronizaci služby WSUS.At the end of the process, the top-level site sends a synchronization request to the child site, and the child site starts the WSUS synchronization. Následující seznam uvádí základní kroky procesu synchronizace v podřízené primární lokalitě nebo v sekundární lokalitě:The following list provides the basic steps for the synchronization process on a child primary site or secondary site:

  1. Správce synchronizace služby WSUS přijímá požadavek na synchronizaci z lokality nejvyšší úrovně.WSUS Synchronization Manager receives a synchronization request from the top-level site.

  2. Spouštění synchronizace aktualizací softwaru.Software updates synchronization starts.

  3. Správce synchronizace služby WSUS vytváří požadavek na službu WSUS spuštěnou v bodě aktualizací softwaru k spuštění synchronizace.WSUS Synchronization Manager makes a request to WSUS running on the software update point to start synchronization.

  4. Služba WSUS spuštěná v bodě aktualizací softwaru v podřízené lokalitě synchronizuje metadata aktualizací softwaru ze služby WSUS spuštěné v bodě aktualizací softwaru v nadřazené lokalitě.WSUS running on the software update point on the child site synchronizes software updates metadata from WSUS running on the software update point on the parent site.

  5. Po úspěšném dokončení synchronizace vytvoří nástroj správce synchronizace WSUS stavovou zprávu 6702.When synchronization has finished successfully, WSUS Synchronization Manager creates status message 6702.

  6. Z primární lokality posílá správce synchronizace služby WSUS požadavek na synchronizaci do všech podřízených sekundárních lokalit.From a primary site, WSUS Synchronization Manager sends a synchronization request to any child secondary sites. Sekundární lokalita spouští synchronizaci aktualizací softwaru s nadřazenou primární lokalitou.The secondary site starts the software updates synchronization with the parent primary site. Sekundární lokalita je nakonfigurovaná jako replika služby WSUS spuštěné v nadřazené lokalitě.The secondary site is configured as a replica of WSUS running on the parent site.

  7. Správce synchronizace služby WSUS posílá požadavky po jednom do služby WSUS spuštěné v dalších bodech aktualizací softwaru v lokalitě.WSUS Synchronization Manager sends a request one at a time to WSUS running on other software update points at the site. Servery služby WSUS v ostatních bodech aktualizací softwaru jsou nakonfigurované jako repliky služby WSUS spuštěné ve výchozím bodě aktualizací softwaru v lokalitě.The WSUS servers on the other software update points are configured to be replicas of WSUS running on the default software update point at the site.

Software updates compliance assessmentSoftware updates compliance assessment

Před nasazením aktualizací softwaru do klientských počítačů v nástroji Configuration Manager, spusťte kontrolu kompatibility aktualizací softwaru na klientských počítačích.Before you deploy software updates to client computers in Configuration Manager, start a scan for software updates compliance on client computers. Pro každou aktualizaci softwaru se vytvoří stavová zpráva, která obsahuje stav kompatibility pro danou aktualizaci.For each software update, a state message is created that contains the compliance state for the update. Stavové zprávy se hromadně posílají do bodu správy a pak do serveru lokality, kde se stav kompatibility přidá do databáze lokality.The state messages are sent in bulk to the management point and then to the site server, where the compliance state is inserted into the site database. Stav dodržování předpisů pro aktualizace softwaru se zobrazí v konzole nástroje Configuration Manager.The compliance state for software updates is displayed in the Configuration Manager console. Aktualizace softwaru můžete nasazovat a instalovat na počítačích, které vyžadují aktualizace.You can deploy and install software updates on computers that require the updates. Následující části poskytují informace o stavech kompatibility a popisují proces kontroly kompatibility aktualizací softwaru.The following sections provide information about the compliance states and describe the process for scanning for software updates compliance.

Stavy kompatibility aktualizací softwaruSoftware updates compliance states

Následující uvádí a popisuje všechny stavy kompatibility, který se zobrazí v konzole nástroje Configuration Manager pro aktualizace softwaru.The following lists and describes each compliance state that is displayed in the Configuration Manager console for software updates.

  • PožadovánoRequired

    Určuje, že aktualizace softwaru je aplikovatelná a požaduje se na klientském počítači.Specifies that the software update is applicable and required on the client computer. Jakákoli z následujících podmínek může být pravdivá, když má stav aktualizací softwaru hodnotu Požadována:Any of the following conditions could be true when the software update state is Required:

    • Aktualizace softwaru se na klientský počítač nenasadila.The software update was not deployed to the client computer.

    • Aktualizace softwaru se nainstalovala na klientský počítač.The software update was installed on the client computer. Nejnovější stavová zpráva se zatím nepřidala do databáze na serveru lokality.However, the most recent state message has not yet been inserted into the database on the site server. Klientský počítač znovu kontroluje aktualizaci po dokončení instalace.The client computer rescans for the update after the installation has finished. Zpoždění až dvě minuty se může vyskytovat předtím, než klient zašle aktualizovaný stav do bodu správy, který pak odesílá aktualizovaný stav do serveru lokality.There might be a delay of up to two minutes before the client sends the updated state to the management point that then forwards the updated state to the site server.

    • Aktualizace softwaru se nainstalovala na klientský počítač.The software update was installed on the client computer. Instalace aktualizací softwaru požaduje restart počítače předtím, než se aktualizace dokončí.However, the software update installation requires a computer restart before the update is completed.

    • Aktualizace softwaru se nasadila na klientský počítač, ale ještě se nenainstalovala.The software update was deployed to the client computer but has not yet been installed.

  • Není požadováno.Not Required

    Určuje, že aktualizace softwaru na klientském počítači není aplikovatelná.Specifies that the software update is not applicable on the client computer. Proto se aktualizace softwaru nevyžaduje.Therefore, the software update is not required.

  • InstalovánoInstalled

    Určuje, že aktualizace softwaru na klientském počítači je aplikovatelná a že klientský počítač už má aktualizaci softwaru nainstalovanou.Specifies that the software update is applicable on the client computer and that the client computer already has the software update installed.

  • NeznáméUnknown

    Určuje, že server lokality neobdržel stavovou zprávu z klientského počítače, obvykle v důsledku následujících situací:Specifies that the site server has not received a state message from the client computer, typically because one of the following:

    • Klientský počítač provedl neúspěšnou kontrolu kompatibility aktualizací softwaru.The client computer did not successfully scan for software updates compliance.

    • Kontrola na klientském počítači se dokončila úspěšně.The scan finished successfully on the client computer. Ale stavová zpráva se zatím nezpracovala na serveru lokality, pravděpodobně kvůli nevyřízené úloze stavové zprávy.However, the state message has not yet been processed on the site server, possibly because of a state message backlog.

    • Kontrola na klientském počítači se úspěšně dokončila, ale nedošlo k přijetí stavové zprávy z podřízené lokality.The scan finished successfully on the client computer, but the state message has not been received from the child site.

    • Kontrola na klientském počítači se úspěšně dokončila, ale soubor stavové zprávy se nějakým způsobem poškodil a nedal se zpracovat.The scan finished successfully on the client computer, but the state message file was corrupted in some way and could not be processed.

Kontrola procesu kompatibility aktualizací softwaruScan for software updates compliance process

Pokud bod aktualizace softwaru nainstaluje a synchronizuje, není vytvořená zásada počítačů na úrovni lokality, které informují klientské počítače, aby byla pro tuto lokalitu povolené aktualizace softwaru nástroje Configuration Manager.When the software update point is installed and synchronized, a site-wide machine policy is created that informs client computers that Configuration Manager software updates was enabled for the site. Když klient obdrží zásady počítačů, naplánuje se náhodné spouštění kontroly vyhodnocení kompatibility v příštích dvou hodinách.When a client receives the machine policy, a compliance assessment scan is scheduled to start randomly within the next two hours. Když se kontrola spustí, proces agenta klienta aktualizací softwaru vymaže historii kontrol, předloží požadavek k vyhledání serveru služby WSUS, který se použije pro kontrolu, a aktualizuje místní zásady skupiny pro umístění serveru služby WSUS.When the scan is started, a Software Updates Client Agent process clears the scan history, submits a request to find the WSUS server that should be used for the scan, and updates the local Group Policy with the WSUS server location.

Poznámka

Internetoví klienti se musí připojit k serveru služby WSUS přes protokol SSL.Internet-based clients must connect to the WSUS server by using SSL.

Agentovi webu Windows Update (WUA) se předá žádost o vyhledávání.A scan request is passed to the Windows Update Agent (WUA). Agent WUA se pak připojí k umístění serveru WSUS, který je uvedený v místní zásadě, získá metadata aktualizace softwaru, která se synchronizovala na serveru WSUS, a vyhledá v klientském počítači aktualizace.The WUA then connects to the WSUS server location that is listed in the local policy, retrieves the software updates metadata that has been synchronized on the WSUS server, and scans the client computer for the updates. Proces Klientského agenta aktualizace softwaru zjistí, že se vyhledávání shody dokončilo, a vytvoří stavové zprávy pro jednotlivé aktualizace softwaru se změněným stavem shody od posledního vyhledávání.A Software Updates Client Agent process detects that the scan for compliance has finished, and it creates state messages for each software update that changed in compliance state after the last scan. Stavové zprávy se hromadně posílají do bodu správy každých 15 minut.The state messages are sent to the management point in bulk every 15 minutes. Bod správy je pak předá serveru lokality, kde se vloží do databáze serveru lokality.The management point then forwards the state messages to the site server, where the state messages are inserted into the site server database.

Po úvodním vyhledávání shody aktualizací softwaru se vyhledávání spouští podle nastaveného plánu vyhledávání.After the initial scan for software updates compliance, the scan is started at the configured scan schedule. Pokud ale klient vyhledával shodu aktualizací softwaru v časovém intervalu zadaném v hodnotě Time to Live (TTL), použije klient metadata aktualizace softwaru uložená v místním počítači.However, if the client has scanned for software updates compliance in the time frame indicated by the Time to Live (TTL) value, the client uses the software updates metadata that is stored locally. Pokud poslední vyhledávání proběhlo mimo interval TTL, musí se klient připojit ke službě WSUS spuštěné v bodě aktualizace softwaru a metadata aktualizace softwaru uložená v klientovi aktualizovat.When the last scan is outside the TTL, the client must connect to WSUS running on the software update point and update the software updates metadata stored on the client.

Vyhledávání shody aktualizací softwaru (včetně plánu vyhledávání) se dá spustit takto:Including the scan schedule, the scan for software updates compliance can start in the following ways:

  • Plán vyhledávání aktualizací softwaru: Vyhledávání aktualizací softwaru dodržování předpisů spustí podle plánu vyhledávání, který je nakonfigurovaný v nastavení klientský Agent aktualizace softwaru.Software updates scan schedule: The scan for software updates compliance starts at the configured scan schedule that is configured in the Software Updates Client Agent settings. Další informace o tom, jak konfigurovat nastavení klienta aktualizace softwaru najdete v tématu nastavení klienta pro aktualizace softwaru.For more information about how to configure the Software Updates client settings, see software updates client settings.

  • Akce vlastnosti nástroje Configuration Manager: Uživatele můžete spustit cyklus prověřování aktualizací softwaru nebo cyklus hodnocení nasazení aktualizací softwaru akce akce ve vlastnosti nástroje Configuration Manager dialogové okno na klientském počítači.Configuration Manager Properties action: The user can start the Software Updates Scan Cycle or Software Updates Deployment Evaluation Cycle action on the Action tab in the Configuration Manager Properties dialog box on the client computer.

  • Plán nového vyhodnocení nasazení: Vyhodnocení nasazení a kontrolu softwaru aktualizací dodržování předpisů spouští podle plánu nového vyhodnocení nasazení, který je nakonfigurovaný v nastavení klientský Agent aktualizace softwaru.Deployment reevaluation schedule: The deployment evaluation and scan for software updates compliance starts at the configured deployment reevaluation schedule, which is configured in the Software Updates Client Agent settings. Další informace o klientských nastaveních aktualizací softwaru najdete v tématu nastavení klienta pro aktualizace softwaru.For more information about the Software Updates client settings, see software updates client settings.

  • Před stažením souborů aktualizace: Když klientský počítač obdrží zásadu přiřazování k nově požadovanému nasazení, klientský Agent aktualizace softwaru stáhne soubory aktualizace softwaru do místní mezipaměti klienta.Prior to downloading update files: When a client computer receives an assignment policy for a new required deployment, the Software Updates Client Agent downloads the software update files to the local client cache. Než se spustí stahování souborů aktualizace softwaru, spustí klientský agent vyhledávání s cílem ověřit, že se aktualizace softwaru ještě vyžaduje.Before downloading the software update files, the client agent starts a scan to verify that the software update is still required.

  • Před nainstalováním aktualizace softwaru: Těsně před instalace aktualizace softwaru spustí klientský Agent aktualizace softwaru vyhledávání s cílem ověřit, že jsou aktualizace softwaru ještě vyžadují.Prior to software update installation: Just before the software update installation, the Software Updates Client Agent starts a scan to verify that the software updates are still required.

  • Po nainstalování aktualizace softwaru: Hned po dokončení instalace aktualizace softwaru se spustí klientský Agent aktualizace softwaru vyhledávání s cílem ověřit, že se už nevyžadují aktualizace softwaru a vytvoří novou stavovou zprávu s oznámením, že se nainstalovala aktualizace softwaru.After software update installation: Just after a software update installation is complete, the Software Updates Client Agent starts a scan to verify that the software updates are no longer required and creates a new state message that states that the software update is installed. Pokud se instalace dokončila, ale vyžaduje se restartování, stavová zpráva obsahuje informaci, že se čeká na restartování klientského počítače.When the installation has finished, but a restart is necessary, the state message indicates that the client computer is pending a restart.

  • Po restartování systému: Když klientský počítač čeká na restartování systému na dokončení instalace aktualizace softwaru, klientský Agent aktualizace softwaru spustí vyhledávání po restartování pro ověření, že aktualizace softwaru se už nevyžaduje a vytvoří stavovou zprávu s informací, že aktualizace softwaru je nainstalovaná.After system restart: When a client computer is pending a system restart for the software update installation to finish, the Software Updates Client Agent starts a scan after the restart to verify that the software update is no longer required and creates a state message that states that the software update is installed.

Hodnota Time to Live (TTL)Time to live value

Metadata aktualizace softwaru vyžadovaná k vyhledávání shody aktualizací softwaru se ukládají v místním klientském počítači a ve výchozím nastavení zůstávají platná po dobu maximálně 24 hodin.The software updates metadata that is required for the scan for software updates compliance is stored on the local client computer, and by default, is relevant for up to 24 hours. Tato hodnota se nazývá Time to Live (TTL).This value is known as the Time to Live (TTL).

Vyhledávání typů shody aktualizací softwaruScan for software updates compliance types

Klient vyhledává shodu aktualizací softwaru pomocí online nebo offline vyhledávání a vynuceného nebo nevynuceného vyhledávání, a to podle způsobu spuštění vyhledávání shody aktualizací softwaru.The client scans for software updates compliance by using an online or offline scan and a forced or non-forced scan, depending on the way the scan for software updates compliance is started. Následující text popisuje, které metody spouštění vyhledávání jsou online nebo offline a jestli jsou vynucené nebo nevynucené.The following describes which methods for starting the scan are online or offline and whether the scan is forced or non-forced.

  • Plán vyhledávání aktualizací softwaru (nevynucené online vyhledávání)Software updates scan schedule (non-forced online scan)

    V případě nastaveného plánu vyhledávání se klient připojí ke službě WSUS spuštěné v bodě aktualizace softwaru, a pokud poslední vyhledávání proběhlo mimo interval TTL, získá metadata aktualizace softwaru.At the configured scan schedule, the client connects to WSUS running on the software update point to retrieve the software updates metadata only when the last scan was outside the TTL.

  • Cyklus prověřování aktualizací softwaru nebo cyklus hodnocení nasazení aktualizací softwaru (vynucené online vyhledávání)Software Updates Scan Cycle or Software Updates Deployment Evaluation Cycle (forced online scan)

    Klientský počítač se vždycky připojuje ke službě WSUS spuštěné v bodě aktualizace softwaru a získává metadata aktualizace softwaru, než klientský počítač vyhledá shodu aktualizací softwaru.The client computer always connects to WSUS running on the software update point to retrieve the software updates metadata before the client computer scans for software updates compliance. Po dokončení vyhledávání se počítadlo TTL vynuluje.After the scan is complete, the TTL counter is reset. Příklad: Pokud je TTL 24 hodin a uživatel spustí vyhledávání shody aktualizací softwaru, resetuje se limit TTL na odpočítávání 24 hodin.For example, if the TTL is 24 hours, after a user starts a scan for software updates compliance, the TTL is reset to 24 hours.

  • Plán nového vyhodnocení nasazení (nevynucené online vyhledávání)Deployment reevaluation schedule (non-forced online scan)

    V případě nastaveného plánu nového vyhodnocení nasazení se klient připojí ke službě WSUS spuštěné v bodě aktualizace softwaru, a pokud poslední vyhledávání proběhlo mimo interval TTL, získá metadata aktualizace softwaru.At the configured deployment reevaluation schedule, the client connects to WSUS running on the software update point to retrieve the software updates metadata only when the last scan was outside the TTL.

  • Před stažením souborů aktualizace (nevynucené online vyhledávání)Prior to downloading update files (non-forced online scan)

    Než klient může stáhnout soubory aktualizace v požadovaných nasazeních, připojí se ke službě WSUS spuštěné v bodě aktualizace softwaru, a pokud poslední vyhledávání proběhlo mimo interval TTL, získá metadata aktualizace softwaru.Before the client can download update files in required deployments, the client connects to WSUS running on the software update point to retrieve the software updates metadata only when the last scan was outside the TTL.

  • Před nainstalováním aktualizace softwaru (nevynucené online vyhledávání)Prior to software update installation (non-forced online scan)

    Než klient nainstaluje aktualizace softwaru v požadovaných nasazeních, připojí se ke službě WSUS spuštěné v bodě aktualizace softwaru, a pokud poslední vyhledávání proběhlo mimo interval TTL, získá metadata aktualizace softwaru.Before the client installs software updates in required deployments, the client connects to WSUS running on the software update point to retrieve the software updates metadata only when the last scan was outside the TTL.

  • Po nainstalování aktualizace softwaru (vynucené offline vyhledávání)After software update installation (forced offline scan)

    Po nainstalování aktualizace softwaru spustí Klientský agent aktualizace softwaru vyhledávání na základě místních metadat.After a software update is installed, the Software Updates Client Agent starts a scan by using the local metadata. Klient se nikdy nepřipojuje ke službě WSUS spuštěné v bodě aktualizace softwaru za účelem získání metadat aktualizace softwaru.The client never connects to WSUS running on the software update point to retrieve software updates metadata.

  • Po restartování systému (vynucené offline vyhledávání)After system restart (forced offline scan)

    Po nainstalování aktualizace softwaru a restartování počítače spustí Klientský agent aktualizace softwaru vyhledávání na základě místních metadat.After a software update is installed and the computer is restarted, the Software Updates Client Agent starts a scan by using the local metadata. Klient se nikdy nepřipojuje ke službě WSUS spuštěné v bodě aktualizace softwaru za účelem získání metadat aktualizace softwaru.The client never connects to WSUS running on the software update point to retrieve software updates metadata.

Balíčky pro nasazení aktualizace softwaruSoftware update deployment packages

Balíček pro nasazení aktualizací softwaru je nástroj sloužící ke stažení aktualizací softwaru do sdílené síťové složky a zkopírování zdrojových souborů aktualizace softwaru do knihovny obsahů na serverech lokality a v distribučních bodech, které jsou definované v nasazení.A software update deployment package is the vehicle used to download software updates to a network shared folder, and copy the software update source files to the content library on site servers and on distribution points that are defined in the deployment. Pomocí Průvodce stažením aktualizací můžete stáhnout aktualizace softwaru a přidat je do balíčků pro nasazení ještě před samotným nasazením.By using the Download Updates Wizard, you can download software updates and add them to deployment packages before you deploy them. Pomocí tohoto průvodce můžete zřídit aktualizace softwaru v distribučních bodech a ověřit, že tato část nasazení proběhla úspěšně, než nasadíte aktualizace softwaru do klientů.This wizard lets you provision software updates on distribution points and verify that this part of the deployment process is successful before you deploy the software updates to clients.

Pokud nasazujete stažené aktualizace softwaru pomocí Průvodce nasazením aktualizace softwaru, nasazení automaticky využije balíček pro nasazení obsahující aktualizace softwaru.When you deploy downloaded software updates by using the Deploy Software Updates Wizard, the deployment automatically uses the deployment package that contains the software updates. Pokud se nasazují aktualizace softwaru, které se nestáhly, je potřeba v Průvodci nasazením aktualizace softwaru zadat nový nebo existující balíček pro nasazení a aktualizace softwaru se stáhnou po dokončení průvodce.When software updates that have not been downloaded are deployed, you must specify a new or existing deployment package in the Deploy Software Updates Wizard, and the software updates are downloaded when the wizard is finished.

Důležité

Než v průvodci vyberete sdílenou síťovou složku pro zdrojové soubory balíčku pro nasazení, musíte tuto složku ručně vytvořit.You must manually create the shared network folder for the deployment package source files before you specify it in the wizard. Každý balíček pro nasazení musí používat vlastní sdílenou síťovou složku.Each deployment package must use a different shared network folder.

Důležité

Účet počítače poskytovatele serveru SMS i správce, který stahuje aktualizace softwaru, musí mít ke zdroji balíčku oprávnění Číst .The SMS Provider computer account and the administrative user who actually downloads the software updates both require Write permissions to the package source. Pokud chcete snížit riziko manipulace se zdrojovými soubory aktualizací softwaru ve zdroji balíčku, omezte přístup ke zdroji balíčku.Restrict access to the package source to reduce the risk of an attacker tampering with the software updates source files in the package source.

Při vytvoření nového balíčku pro nasazení se nastaví verze obsahu na hodnotu 1, která se změní až se stažením aktualizací softwaru.When a new deployment package is created, the content version is set to 1 before any software updates are downloaded. Při stažení souborů aktualizace softwaru pomocí balíčku se verze obsahu zvýší na 2.When the software update files are downloaded by using the package, the content version is incremented to 2. Proto všechny nové balíčky pro nasazení začínají s verzí obsahu 2.Therefore, all new deployment packages start with a content version of 2. Pokaždé, když se v balíčku pro nasazení změní obsah, verze obsahu se zvýší o 1.Every time that the content changes in a deployment package, the content version is incremented by 1. Další informace najdete v tématu základní koncepty správy obsahu.For more information, see Fundamental concepts for content management.

Klienti instalují aktualizace softwaru v nasazení prostřednictvím distribučního bodu, ve kterém jsou dostupné aktualizace softwaru, bez ohledu na balíček pro nasazení.Clients install software updates in a deployment by using any distribution point that has the software updates available, regardless of the deployment package. I když dojde ke smazání balíčku pro nasazení pro aktivní nasazení, klienti můžou nainstalovat aktualizace softwaru v nasazení za podmínky, že se jednotlivé aktualizace stáhly aspoň do jednoho balíčku nasazení a jsou dostupné v distribučním bodě, ke kterému má klient přístup.Even if a deployment package is deleted for an active deployment, clients still can install the software updates in the deployment as long as each update was downloaded to at least one other deployment package and is available on a distribution point that can be accessed from the client. Až když se smaže poslední balíček nasazení obsahující aktualizaci softwaru, nebudou klientské počítače moct získat aktualizaci softwaru, dokud se aktualizace znovu nestáhne do balíčku pro nasazení.When the last deployment package that contains a software update is deleted, client computers cannot retrieve the software update until the update is downloaded again to a deployment package. Pokud nejsou soubory aktualizace v balíčcích pro nasazení, zobrazují aktualizace softwaru s červenou šipkou v konzole nástroje Configuration Manager.Software updates appear with a red arrow in the Configuration Manager console when the update files are not in any deployment packages. Pokud nasazení obsahuje aktualizace s tímto stavem, je označené dvěma červenými šipkami.Deployments appear with a double red arrow if they contain any updates in this condition.

Pracovní postupy nasazení aktualizací softwaruSoftware update deployment workflows

Ve vašem prostředí existují dva základní scénáře nasazení aktualizací softwaru: ruční a automatické nasazení.There are two main scenarios for deploying software updates in your environment, manual deployment and automatic deployment. Běžně se aktualizace softwaru nasazují ručně, aby se vytvořila základna pro klientské počítače, a pak se aktualizace softwaru v klientech spravují pomocí automatických nasazení.Typically, you deploy software updates manually to create a baseline for client computers, and then you manage software updates on clients by using automatic deployment. Následující části podávají přehled o postupech ručního a automatického nasazení aktualizací softwaru.The following sections provide a summary for the workflow for manual and automatic deployment for software updates.

Ruční nasazení aktualizací softwaruManual deployment of software updates

Ruční nasazení aktualizací softwaru je proces výběru aktualizací softwaru v konzole nástroje Configuration Manager a ruční spuštění procesu nasazení.Manual deployment of software updates is the process of selecting software updates in the Configuration Manager console and manually starting the deployment process. Tato metoda nasazení se běžně využívá v případě, že chcete do klientských počítačů distribuovat požadované aktualizace softwaru, než vytvoříte pravidla automatického nasazení, která budou řídit průběžné měsíční nasazování aktualizací softwaru, nebo že nasazujete vzdálené požadavky aktualizací softwaru.You typically use this method of deployment to get the client computers up-to-date with required software updates before you create automatic deployment rules that manage ongoing monthly software update deployments, and to deploy out of band software update requirements. Následující seznam shrnuje obecný postup ručního nasazení aktualizací softwaru:The following list provides the general workflow for manual deployment of software updates:

  1. Vyfiltrování aktualizací softwaru využívajících konkrétní požadavky.Filter for software updates that use specific requirements. Můžete třeba zadat kritéria, na základě kterých se získají všechny bezpečnostní nebo kritické aktualizace softwaru vyžadované na víc než 50 klientských počítačích.For example, you could provide criteria that retrieves all security or critical software updates that are required on more than 50 client computers.

  2. Vytvoření skupiny aktualizací softwaru, která obsahuje aktualizace softwaru.Create a software update group that contains the software updates.

  3. Stažení obsahu aktualizací softwaru ve skupině aktualizací softwaru.Download the content for the software updates in the software update group.

  4. Ruční nasazení skupiny aktualizací softwaru.Manually deploy the software update group.

Automatické nasazení aktualizací softwaruAutomatic deployment of software updates

Automatické nasazení aktualizací softwaru se konfiguruje pomocí pravidel automatického nasazení (ADR).Automatic software updates deployment is configured by using an automatic deployment rule (ADR). Tato metoda nasazení se běžně využívá k pravidelným měsíčním aktualizacím softwaru (tzv. Patch Tuesday) a ke správě aktualizací definic.You typically use this method of deployment for your monthly software updates (generally known as Patch Tuesday) and for managing definition updates. Při spuštění pravidla se aktualizace softwaru odeberou ze skupiny aktualizací softwaru (v případě použití existující skupiny), aktualizace softwaru splňující zadané kritérium (třeba všechny aktualizace softwaru zabezpečení vydané minulý týden) se přidají do skupiny aktualizací softwaru, soubory obsahu pro aktualizace softwaru se stáhnou a zkopírují do distribučních bodů a aktualizace softwaru se nasadí do klientských počítačů v cílové kolekci.When the rule runs, software updates are removed from the software update group (if using an existing group), the software updates that meet a specified criteria (for example, all security software updates released in the last week) are added to a software update group, the content files for the software updates are downloaded and copied to distribution points, and the software updates are deployed to client computers in the target collection. Následující seznam shrnuje obecný postup automatického nasazení aktualizací softwaru:The following list provides the general workflow for automatic deployment of software updates:

  1. Vytvoření pravidla automatického nasazení, které definuje nastavení nasazení, třeba:Create an ADR that specifies deployment settings such as the following:

    • Cílová kolekceTarget collection

    • Určete, jestli se má povolit nasazení nebo oznámení o shodě aktualizací softwaru pro klientské počítače v cílové kolekciDecide whether to enable the deployment or report on software updates compliance for the client computers in the target collection

    • Kritéria aktualizací softwaruSoftware updates criteria

    • Plány vyhodnocení a nasazeníEvaluation and deployment schedules

    • Činnost koncového uživateleUser experience

    • Vlastnosti stahováníDownload properties

  2. Aktualizace softwaru se přidají do skupiny aktualizací softwaru.The software updates are added to a software update group.

  3. Skupina aktualizací softwaru se nasadí do klientských počítačů v cílové kolekci (pokud je kolekce určená).The software update group is deployed to the client computers in the target collection, if it is specified.

    Určete, jaká strategie nasazení se má ve vašem prostředí použít.You must determine what deployment strategy to use in your environment. Můžete třeba vytvořit pravidlo automatického nasazení a cílit na kolekci testovacích klientů.For example, you might create the ADR and target a collection of test clients. Až ověříte, že se aktualizace softwaru nainstalovaly v testovací skupině, můžete do pravidla přidat nové nasazení nebo změnit stávající pravidlo nasazení tak, aby cílilo na kolekci s větším počtem klientů.After you verify that the software updates are installed on the test group, you can add a new deployment to the rule or change the collection in the existing deployment to a target collection that includes a larger set of clients. Objekty aktualizace softwaru, které vytvářejí pravidla automatického nasazení, jsou interaktivní.The software update objects that are created by the ADRs are interactive.

  • Aktualizace softwaru, které se nasadily pomocí pravidla automatického nasazení, se automaticky nasadí do nových klientů přidaných do cílové kolekce.Software updates that were deployed by using an ADR are automatically deployed to new clients added to the target collection.

  • Nové aktualizace softwaru, přidané do skupiny aktualizací softwaru, se automaticky nasadí do klientů v cílové kolekci.New software updates added to a software update group are automatically deployed to the clients in the target collection.

  • U pravidla automatického nasazení se dá nasazení kdykoli zapnout nebo vypnout.You can enable or disable deployments at any time for the ADR.

    Do už vytvořeného pravidla automatického nasazení se taky můžou přidávat další nasazení.After you create an ADR, you can add additional deployments to the rule. To vám může pomoct zvládnout složité nasazení různých aktualizací do různých kolekcí.This can help you manage the complexity of deploying different updates to different collections. Každé nové nasazení má plný rozsah funkcí a možností monitorování. Každé nové nasazení, které přidáte:Each new deployment has the full range of functionality and deployment monitoring experience, and each new deployment that you add:

  • Používá stejnou skupinu aktualizací a balíček, který se vytvoří při prvním spuštění ADR.Uses the same update group and package which is created when the ADR first runs

  • Může určovat jinou kolekci.Can specify a different collection

  • Podporuje jedinečné vlastnosti nasazení včetně vlastností:Supports unique deployment properties including:

    • Čas aktivaceActivation time

    • TermínDeadline

    • Zobrazení nebo skrytí činnosti koncového uživateleShow or hide end user experience

    • Samostatné výstrahy pro toto nasazeníSeparate alerts for this deployment

Proces nasazení aktualizací softwaruSoftware update deployment process

Po nasazení aktualizace softwaru nebo po spuštění pravidla automatického nasazení, které nasadí aktualizace softwaru, se do zásady počítače pro lokalitu přidá zásada přiřazení nasazení.After you deploy software updates or when an automatic deployment rule runs and deploys software updates, a deployment assignment policy is added to the machine policy for the site. Aktualizace softwaru se stáhnou z umístění stahování, z internetu nebo ze sdílené síťové složky do zdroje balíčku.The software updates are downloaded from the download location, the Internet, or network shared folder, to the package source. Aktualizace softwaru se zkopírují ze zdroje balíčku do knihovny obsahu na serveru lokality a pak do knihovny obsahu v distribučním bodě.The software updates are copied from the package source to the content library on the site server, and then copied to the content library on the distribution point.

Když klientský počítač v cílové kolekci pro nasazení obdrží zásadu počítače, dojde ke spuštění skenování hodnocení agenta klienta aktualizace softwaru.When a client computer in the target collection for the deployment receives the machine policy, the Software Update Client Agent starts an evaluation scan. Agent klienta stáhne obsah pro požadované softwarové aktualizace z distribučního bodu do místní mezipaměti klienta na čas dostupnosti softwaru nastavení pro nasazení a poté tento software k dispozici pro instalaci aktualizace .The client agent downloads the content for required software updates from a distribution point to the local client cache at the Software available time setting for the deployment and then the software updates are available to install. Softwarové aktualizace ve volitelných nasazeních (nasazení, která neobsahují termín instalace), se nestáhnou, dokud uživatel ručně instalaci nespustí.The software updates in optional deployments (deployments that do not have an installation deadline) are not downloaded until a user manually starts the installation.

Když uplyne konfigurovaný termín, agent klienta softwarových aktualizací provede vyhledávání a ověří, jestli jsou softwarové aktualizace stále potřeba.When the configured deadline passes, the Software Updates Client Agent performs a scan to verify that the software updates are still required. Pak zkontroluje místní mezipaměť v klientském počítači a ověří, jestli jsou zdrojové soubory aktualizovaného softwaru stále k dispozici.Then it checks the local cache on the client computer to verify that the software update source files are still available. Nakonec klient nainstaluje softwarové aktualizace.Finally, the client installs the software updates. Pokud se obsah odstranil z mezipaměti klienta, aby uvolnil prostor pro další nasazení, klient softwarové aktualizace znovu stáhne z distribučního bodu do mezipaměti klienta.If the content was deleted from the client cache to make room for another deployment, the client re-downloads the software updates from the distribution point to the client cache. Softwarové aktualizace se vždycky stahují do mezipaměti klienta nezávisle na maximální nakonfigurované velikosti mezipaměti klienta.Software updates are always downloaded to the client cache regardless of the configured maximum client cache size. Po dokončení instalace agent klienta ověří, jestli už nejsou softwarové aktualizace potřeba a pak odešle stavovou zprávu do bodu správy, aby oznámil, že jsou softwarové aktualizace nainstalované v klientovi.When the installation is complete, the client agent verifies that the software updates are no longer required, and then sends a state message to the management point to indicate that the software updates are now installed on the client.

Požadované restartování systémuRequired system restart

Ve výchozím nastavení, když jdou softwarové aktualizace z požadovaného nasazení nainstalovány v klientském počítači a restart systému je nutný k dokončení instalace, dojde k zahájení restartu systému.By default, when software updates from a required deployment are installed on a client computer and a system restart is required for the installation to finish, the system restart is started. Pro softwarové aktualizace, které byly nainstalovány před termínem, je automatický restart systému posunut až do konečného termínu, není-li počítač z nějakého důvodu restartován dříve.For software updates that were installed before the deadline, the automatic system restart is postponed until the deadline, unless the computer is restarted before that for some other reason. Restart systému lze potlačit u serverů a pracovních stanic.The system restart can be suppressed for servers and workstations. Tato nastavení jsou konfigurována na stránce Zkušenosti uživatele průvodce aktualizací nasazením softwaru nebo průvodce pravidly vytváření automatických aktualizací.These settings are configured in the User Experience page of the Deploy Software Updates Wizard or Create Automatic Updates Rule Wizard.

Cyklus nového vyhodnocení nasazeníDeployment reevaluation cycle

Ve výchozím nastavení spustí klientské počítače cyklus opětovného hodnocení nasazení každých 7 dní.By default, client computers start a deployment reevaluation cycle every 7 days. Během tohoto cyklu hodnocení klientský počítač hledá softwarové aktualizace, které byly dříve nasazeny a nainstalovány.During this evaluation cycle, the client computer scans for software updates that were previously deployed and installed. Pokud jakékoliv softwarové aktualizace chybí, jsou softwarové aktualizace přeinstalovány z místní mezipaměti.If any software updates are missing, the software updates are reinstalled from the local cache. Pokud již není softwarová aktualizace dostupná v místní mezipaměti, bude stažena z distribučního bodu a pak nainstalována.If a software update is no longer available in the local cache, it is downloaded from a distribution point and then installed. Plán opětovného hodnocení můžete konfigurovat na stránce Softwarové aktualizace v nastavení klienta lokality.You can configure the reevaluation schedule on the Software Updates page in client settings for the site.

Podpora zařízení se systémem Windows Embedded, která používají filtry zápisuSupport for Windows embedded devices that use write filters

Pokud nasadíte softwarové aktualizace do zařízení se systémem Windows, která mají povolený filtr zápisu, můžete určit, zda chcete v zařízení deaktivovat filtr zápisu během nasazení a po nasazení pak zařízení restartovat.When you deploy software updates to Windows Embedded devices that are write filter-enabled, you can specify whether to disable the write filter on the device during the deployment and then restart the device after the deployment. Pokud není filtr zápisu zakázán, bude software nasazen do dočasného překrytí a po restartu zařízení již nebude software nainstalován, pokud další nasazení nevynutí změny natrvalo.If the write filter is not disabled, the software is deployed to a temporary overlay and the software will no longer be installed when the device restarts unless another deployment forces changes to be persisted.

Poznámka

Pokud zavádíte aktualizaci softwaru na vložené zařízení Windows, zkontrolujte, že zařízení je součástí kolekce, která má nakonfigurované okno údržby.When you deploy a software update to a Windows Embedded device, make sure that the device is a member of a collection that has a configured maintenance window. Tato funkce umožňuje řídit, kdy je filtr zápisu zakázán a povolen a kdy se zařízení restartuje.This lets you manage when the write filter is disabled and enabled, and when the device restarts.

Nastavení zkušeností uživatele, které ovládá chování filtru zápisu, představuje zaškrtávací políčko s názvem Použít změny v konečném termínu nebo během okna údržby (vyžaduje restart).The user experience setting that controls the write filter behavior is a check box named Commit changes at deadline or during a maintenance windows (requires restarts).

Další informace o tom, jak nástroje Configuration Manager spravuje vložená zařízení používající filtry pro zápis, najdete v části plánování nasazení klientů na zařízení s Windows Embedded.For more information about how Configuration Manager manages embedded devices that use write filters, see Planning for client deployment to Windows Embedded devices.

Rozšíření aktualizací softwaru v nástroji Configuration ManagerExtend software updates in Configuration Manager

System Center Updates Publisher použijte ke správě aktualizací softwaru, které nejsou k dispozici na webu Microsoft Update.Use System Center Updates Publisher to manage software updates that are not available from Microsoft Update. Po publikaci softwarových aktualizací do aktualizačního serveru a synchronizaci aktualizací softwaru v nástroji Configuration Manager, můžete nasadit aktualizace softwaru do klientů nástroje Configuration Manager.After you publish the software updates to the update server and synchronize the software updates in Configuration Manager, you can deploy the software updates to Configuration Manager clients. Další informace o nástroji Updates Publisher najdete v tématu Updates Publisher 2011.For more information about Updates Publisher, see Updates Publisher 2011.

Další krokyNext steps

Plánování aktualizací softwaruPlan for software updates