Aanbevolen procedures voor software-updates in Configuration Manager
Van toepassing op: Configuration Manager (current branch)
Dit artikel bevat aanbevolen procedures voor software-updates in Configuration Manager. De informatie wordt gesorteerd in aanbevolen procedures voor de eerste installatie en voor lopende bewerkingen.
Best practices voor installatie
Gebruik de volgende best practices wanneer u software-updates installeert in Configuration Manager.
Een gedeelde WSUS-database gebruiken voor software-updatepunten
Wanneer u meer dan één software-updatepunt op een primaire site installeert, gebruikt u dezelfde WSUS-database voor elk software-updatepunt in hetzelfde Active Directory-forest. Als u dezelfde database deelt, vermindert dit de impact van de client en de netwerkprestaties die u mogelijk ondervindt wanneer clients overstappen naar een nieuw software-updatepunt, aanzienlijk, maar elimineert dit niet volledig. Een deltascan treedt nog steeds op wanneer een client overschakelt naar een nieuw software-updatepunt dat een database deelt met het oude software-updatepunt, maar de scan is veel kleiner dan wanneer de WSUS-server een eigen database heeft. Zie Schakelen tussen software-updatepunten voor meer informatie over het schakelen tussen software-updatepunten.
Belangrijk
Deel ook de lokale WSUS-inhoudsmappen wanneer u een gedeelde WSUS-database gebruikt voor software-updatepunten.
Zie de volgende blogberichten voor meer informatie over het delen van de WSUS-database:
Wanneer Configuration Manager en WSUS dezelfde SQL Server gebruiken, configureert u een exemplaar om een benoemd exemplaar te gebruiken en de andere om het standaardexemplaren te gebruiken
Wanneer de Configuration Manager- en WSUS-databases hetzelfde exemplaar van SQL Server delen, kunt u het resourcegebruik tussen de twee toepassingen niet eenvoudig bepalen. Gebruik verschillende SQL Server exemplaren voor Configuration Manager en WSUS. Deze configuratie maakt het eenvoudiger om problemen met resourcegebruik op te lossen en te diagnosticeren die voor elke toepassing kunnen optreden.
Geef de instelling 'Updates lokaal opslaan' op
Wanneer u WSUS installeert, selecteert u de instelling Updates lokaal opslaan. Deze instelling zorgt ervoor dat WSUS de licentievoorwaarden downloadt die zijn gekoppeld aan software-updates. De voorwaarden worden tijdens het synchronisatieproces gedownload en opgeslagen op de lokale harde schijf voor de WSUS-server. Als u deze instelling niet selecteert, kunnen clientcomputers mogelijk niet voldoen aan de nalevingsscans voor software-updates met licentievoorwaarden. Het WSUS Synchronization Manager-onderdeel van het software-updatepunt controleert of deze instelling standaard elke 60 minuten is ingeschakeld.
Uw software-updatepunten configureren voor het gebruik van TLS/SSL
Het configureren van Windows Server Update Services (WSUS)-servers en de bijbehorende software-updatepunten voor het gebruik van TLS/SSL kan de mogelijkheid van een potentiële aanvaller verminderen om op afstand inbreuk te maken op een client en bevoegdheden te verhogen. Om ervoor te zorgen dat de beste beveiligingsprotocollen aanwezig zijn, raden we u ten zeerste aan om het TLS/SSL-protocol te gebruiken om uw software-update-infrastructuur te beveiligen. Zie de zelfstudie Een software-updatepunt configureren voor het gebruik van TLS/SSL met een PKI-certificaat voor meer informatie.
Operationele best practices
Gebruik de volgende aanbevolen procedures wanneer u software-updates gebruikt:
Software-updates beperken tot 1000 in één software-update-implementatie
Beperk het aantal software-updates tot 1000 in elke implementatie van software-updates. Wanneer u een regel voor automatische implementatie maakt, controleert u of de opgegeven criteria niet resulteren in meer dan 1000 software-updates. Als u software-updates handmatig implementeert, selecteert u niet meer dan 1000 updates.
Maak een nieuwe software-updategroep telkens wanneer een ADR wordt uitgevoerd voor 'Patch Tuesday' en voor algemene implementaties
Er is een limiet van 1000 software-updates in een implementatie. Wanneer u een regel voor automatische implementatie (ADR) maakt, geeft u op of u een bestaande updategroep wilt gebruiken of een nieuwe updategroep wilt maken telkens wanneer de regel wordt uitgevoerd. Als u criteria opgeeft in een ADR die resulteert in meerdere software-updates en de regel wordt uitgevoerd volgens een terugkerend schema, maakt u een nieuwe software-updategroep telkens wanneer de regel wordt uitgevoerd. Dit gedrag voorkomt dat de implementatie de limiet van 1000 software-updates per implementatie overschrijdt.
Een bestaande software-updategroep gebruiken voor ADR's voor Endpoint Protection-definitie-updates
Wanneer u een ADR gebruikt om endpoint protection-definitie-updates regelmatig te implementeren, gebruikt u altijd een bestaande software-updategroep. Anders maakt de ADR mogelijk honderden software-updategroepen in de loop van de tijd. Uitgevers van definitie-updates stellen doorgaans in dat definitie-updates verlopen wanneer ze worden vervangen door vier nieuwere updates. Daarom bevat de software-updategroep die is gemaakt door de ADR nooit meer dan vier definitie-updates voor de uitgever: één actief en drie vervangen.
Zie ook
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor