Software-updates plannen in Configuration Manager

  • Artikel
  • 31 minuten om te lezen

Van toepassing op: Configuration Manager (current branch)

Voordat u software-updates gebruikt in Configuration Manager productieomgeving, is het belangrijk dat u het planningsproces doormaakt. Een goed plan voor de infrastructuur van het software-updatepunt is essentieel voor een geslaagde implementatie van software-updates. Zie Grootte en schaalnummers voor meer informatie over capaciteitsplanning voor software-updates.

De infrastructuur van het software-updatepunt bepalen

Deze sectie bevat de volgende subtopics:

De centrale beheersite en alle onderliggende primaire sites moeten een software-updatepunt hebben. Bij het plannen van de infrastructuur van het software-updatepunt moet u de volgende afhankelijkheden bepalen:

  • Waar het software-updatepunt voor de site moet worden geïnstalleerd
  • Welke sites vereisen een software-updatepunt dat communicatie van clients op internet accepteert
  • Of u een software-updatepunt op secundaire sites nodig hebt

Belangrijk

Zie Vereisten voor software-updates voor meer informatie over de interne en externe afhankelijkheden die vereist zijn voor software-updates.

Voeg meerdere software-updatepunten toe op een Configuration Manager primaire site om fouttolerantie te bieden. Het failoverontwerp van het software-updatepunt verschilt van het pure randomisatiemodel dat in het ontwerp voor beheerpunten wordt gebruikt. In tegenstelling tot bij het ontwerp van beheerpunten zijn er kosten voor client- en netwerkprestaties in het ontwerp van het software-updatepunt wanneer clients overschakelen naar een nieuw software-updatepunt. Wanneer de client overschakelt naar een nieuwe WSUS-server voor software-updates, is het resultaat een stijging van de catalogusgrootte en van de gekoppelde vereisten van clients en netwerkprestaties. Daarom behoudt de client affiniteit met het laatste software-updatepunt van waaruit het is gescand.

Het eerste software-updatepunt dat u installeert op een primaire site is de synchronisatiebron voor alle bijkomende software-updatepunten die u toevoegt aan de primaire site. Nadat u software-updatepunten hebt toegevoegd en synchronisatie hebt starten, bekijkt u de status van de software-updatepunten en de synchronisatiebron van het knooppunt Synchronisatiestatus van software-updatepunt in de werkruimte Bewaking.

Wanneer er een fout is met het software-updatepunt dat is geconfigureerd als de synchronisatiebron voor de site, verwijdert u de mislukte rol handmatig. Selecteer vervolgens een nieuw software-updatepunt om te gebruiken als synchronisatiebron. Zie Een sitesysteemrol verwijderen voor meer informatie.

Lijst met software-updatepunten

Configuration Manager biedt de client een lijst met software-updatepunt in de volgende scenario's:

  • Een nieuwe client ontvangt het beleid voor het inschakelen van software-updates

  • Een client kan geen contact opnemen met het toegewezen software-updatepunt en moet overschakelen naar een andere

De client selecteert willekeurig een software-updatepunt in de lijst. Er wordt prioriteit gegeven aan de software-updatepunten in hetzelfde forest. Configuration Manager biedt clients een andere lijst, afhankelijk van het type client:

  • Intranetclients: ontvang een lijst met software-updatepunten die u kunt configureren om alleen verbindingen toe te staan vanaf het intranet, of een lijst met software-updatepunten die internet- en intranetclientverbindingen toestaan.

  • Clients op internet: ontvang een lijst met software-updatepunten die u configureert om verbindingen alleen via internet toe te staan, of een lijst met software-updatepunten die internet- en intranetclientverbindingen toestaan.

Overschakeling tussen software-updatepunten

Notitie

Clients gebruiken grensgroepen om een nieuw software-updatepunt te vinden. Als hun huidige software-updatepunt niet meer toegankelijk is, gebruiken ze ook grensgroepen om terug te vallen en een nieuw software-updatepunt te vinden. Voeg afzonderlijke software-updatepunten toe aan verschillende grensgroepen om te bepalen welke servers een client kan vinden. Zie Software-updatepunten voor meer informatie.

Als u meerdere software-updatepunten op een site hebt en er een mislukt of niet meer beschikbaar is, maken clients verbinding met een ander software-updatepunt. Met deze nieuwe server blijven clients scannen op de nieuwste software-updates. Wanneer aan een client voor het eerst een software-updatepunt wordt toegewezen, blijft deze toegewezen aan dat software-updatepunt, tenzij er geen scan kan worden uitgevoerd.

De scan naar software-updates kan mislukken met een aantal verschillende retry- en non-retry-foutcodes. Als de scan niet kan worden uitgevoerd en er een retry-foutcode wordt gegeven, start de client een nieuwe poging om te scannen naar software-updates op het software-updatepunt. De omstandigheden die leiden tot een retry-foutcode, zijn doorgaans te wijten aan het niet beschikbaar zijn van de WSUS-server of aan een tijdelijke overbelasting ervan. Wanneer de client niet kan scannen op software-updates, wordt het volgende proces gebruikt:

  1. De client scant op software-updates:

    • Op het geplande tijdstip
    • Wanneer deze handmatig wordt uitgevoerd vanuit het configuratiescherm op de client
    • Wanneer deze handmatig wordt uitgevoerd vanuit de Configuration Manager-console via een clientmeldingsactie
    • Wanneer deze wordt uitgevoerd vanuit een Configuration Manager SDK-methode

  2. Als de scan mislukt, wacht de client 30 minuten om de scan opnieuw uit te voeren. Het maakt gebruik van hetzelfde software-updatepunt.

  3. De client wordt minimaal vier keer om de 30 minuten opnieuw proberen te proberen. Na de vierde fout, en nadat er nog twee minuten zijn gewacht, gaat de client naar het volgende software-updatepunt in de lijst.

  4. De client herhaalt dit proces met het nieuwe software-updatepunt. Na een geslaagde scan blijft de client verbinding maken met het nieuwe software-updatepunt.

De volgende lijst bevat aanvullende informatie om rekening mee te houden bij scenario's voor opnieuw proberen en schakelen van software-updatepunt:

  • Als de verbinding van een client met het intranet wordt verbroken en er niet kan worden gescand op software-updates, schakelt deze niet over naar een ander software-updatepunt. Deze fout wordt verwacht, omdat de client het interne netwerk of een software-updatepunt dat verbindingen vanaf het intranet toestaat, niet kan bereiken. De Configuration Manager bepaalt de beschikbaarheid van het intranetsoftware-updatepunt.

  • Als u clients op internet beheert en meerdere software-updatepunten hebt geconfigureerd om communicatie van clients op internet te accepteren, volgt het schakelingsproces het standaardproces voor opnieuw proberen dat eerder is beschreven.

  • Als het scanproces wordt gestart, maar de client wordt uitgeschakeld voordat de scan is voltooid, wordt het niet beschouwd als een scanfout en wordt deze niet geteld als een van de vier nieuwe proberen.

Wanneer Configuration Manager een van de volgende foutcodes Windows agent bijwerken ontvangt, wordt de verbinding opnieuw tot stand brengen door de client:

2149842970, 2147954429, 2149859352, 2149859362, 2149859338, 2149859344, 2147954430, 2147747475, 2149842974, 2149859342, 2149859372, 2149859341, 2149904388, 2149859371, 2149859367, 2149859366, 2149859364, 2149859363, 2149859361, 2149859360, 2149859359, 2149859358, 2149859357, 2149859356, 2149859354, 2149859353, 2149859350, 2149859349, 2149859340, 2149859339, 2149859332, 2149859333, 2149859334, 2149859337, 2149859336, 2149859335

To look up the meaning of an error code, convert the decimal error code to hexadecimal, and then search for the hexadecimal value on a site such as the Windows Update Agent - Error Codes Wiki.‭ For example, the decimal error code 2149842970 is hexadecimal 8024001A‬, which means WU_E_POLICY_NOT_SET A policy value was not set.

Clients handmatig overschakelen naar een nieuw software-updatepunt

Schakel Configuration Manager naar een nieuw software-updatepunt wanneer er problemen zijn met het actieve software-updatepunt. Deze wijziging vindt alleen plaats wanneer een client meerdere software-updatepunten van een beheerpunt ontvangt.

Belangrijk

Wanneer u overschakelt naar een nieuwe server, gebruiken de apparaten terugval om die nieuwe server te vinden. Clients schakelen over naar het nieuwe software-updatepunt tijdens de volgende scancyclus van software-updates.

Voordat u met deze wijziging begint, controleert u de configuraties van uw grensgroep om ervoor te zorgen dat uw software-updatepunten zich in de juiste grensgroepen. Zie Software-updatepunten voor meer informatie.

Als u overschakelt naar een nieuw software-updatepunt, wordt extra netwerkverkeer gegenereerd. De hoeveelheid verkeer is afhankelijk van uw WSUS-configuratie-instellingen, bijvoorbeeld de gesynchroniseerde classificaties en producten of het gebruik van een gedeelde WSUS-database. Als u van plan bent om van meerdere apparaten te wisselen, kunt u dit doen tijdens onderhoudsvensters. Deze timing vermindert de impact op uw netwerk wanneer clients scannen met het nieuwe software-updatepunt.

Proces om van software-updatepunt te wisselen

Start deze wijziging op een apparaatverzameling. Na de trigger zoeken de clients bij de volgende scan naar een ander software-updatepunt.

  1. Ga in Configuration Manager console naar de werkruimte Activa en naleving en selecteer het knooppunt Apparaatverzamelingen.

  2. Selecteer de doelverzameling. Klik op het tabblad Start van het lint in de groep Verzameling op Clientmelding en klik vervolgens op Overschakelen naar het volgende software-updatepunt.

Software-updatepunten in een niet-vertrouwd forest

Maak een of meer software-updatepunten op een site ter ondersteuning van clients in een niet-vertrouwd forest. Als u een software-updatepunt aan een ander forest wilt toevoegen, installeert en configureert u eerst een WSUS-server in dat forest. Start vervolgens de wizard om een Configuration Manager toe te voegen met de sitesysteemrol van het software-updatepunt. Configureer de volgende instellingen in de wizard om verbinding te maken met WSUS in het niet-vertrouwde forest:

  • Geef een sitesysteeminstallatieaccount op dat toegang heeft tot de WSUS-server in het niet-vertrouwde forest.

  • Geef een WSUS-serververbindingsaccount op om verbinding te maken met de WSUS-server.

U kunt bijvoorbeeld primaire site hebben in forest A met twee software-updatepunten (SUP01 en SUP02).‎ Voor dezelfde primaire site hebt u ook twee software-updatepunten (SUP03 en SUP04) in forest B. Wanneer u overschakelt naar het volgende software-updatepunt, geven de clients prioriteit aan de servers uit hetzelfde forest.

Een bestaande WSUS-server gebruiken als synchronisatiebron op de site op het hoogste niveau

Doorgaans wordt de site op het hoogste niveau van uw hiërarchie geconfigureerd om de metagegevens van software-updates te synchroniseren met Microsoft Update. Wanneer het beveiligingsbeleid van uw organisatie de site op het hoogste niveau geen toegang tot internet toestaat, configureert u de synchronisatiebron voor de site op het hoogste niveau om een bestaande WSUS-server te gebruiken. Deze WSUS-server staat niet in uw Configuration Manager hiërarchie. U hebt bijvoorbeeld een WSUS-server in een met internet verbonden netwerk (DMZ), maar uw site op het hoogste niveau is in een intern netwerk zonder internettoegang. Configureer de WSUS-server in de DMZ als uw synchronisatiebron voor metagegevens van software-updates. Configureer de WSUS-server in de DMZ om software-updates te synchroniseren met dezelfde criteria die u nodig hebt in Configuration Manager. Anders is het mogelijk dat de site op het hoogste niveau de software-updates die u verwacht, niet kan synchroniseren. Wanneer u het software-updatepunt installeert, configureert u een verbindingsaccount voor de WSUS-server. Dit account moet toegang hebben tot de WSUS-server in de DMZ. Controleer ook of de firewall verkeer toestaat voor de juiste poorten. Zie de poorten die worden gebruikt door het software-updatepunt naar de synchronisatiebron voor meer informatie.

Software-updatepunt op een secundaire Site

Het software-updatepunt is optioneel op een secundaire site. Installeer slechts één software-updatepunt op een secundaire site. Wanneer er geen software-updatepunt is geïnstalleerd op de secundaire site, gebruiken apparaten binnen de grenzen van een secundaire site een software-updatepunt op hun toegewezen primaire site. Normaal gesproken installeert u een software-updatepunt op een secundaire site wanneer er een beperkte netwerkbandbreedte is tussen de apparaten op de secundaire site en de software-updatepunten op de bovenliggende primaire site. U kunt deze configuratie ook gebruiken wanneer het software-updatepunt op de primaire site de capaciteitslimiet nadert. Nadat u een software-updatepunt op de secundaire site hebt geïnstalleerd en geconfigureerd, wordt een sitebreed beleid bijgewerkt voor clients en wordt het nieuwe software-updatepunt gebruikt.

Clients op internet plannen

Wanneer u apparaten wilt beheren die buiten uw netwerk op internet roamen, ontwikkelt u een plan voor het beheren van software-updates op deze apparaten. Configuration Manager ondersteunt verschillende technologieën voor dit scenario. Gebruik een of een combinatie indien nodig om te voldoen aan de vereisten van uw organisatie.

Cloudbeheergateway

Maak een cloudbeheergateway in Microsoft Azure en schakel ten minste één on-premises software-updatepunt in om verkeer van clients op internet toe te staan. Wanneer clients op internet roamen, blijven ze scannen op uw software-updatepunten. Alle clients op internet krijgen altijd inhoud van de Microsoft Update cloudservice.

Zie Overzicht van cloudbeheergateway en Grensgroepen configureren voor meer informatie.

Clientbeheer via internet

Plaats een software-updatepunt in een internetnetwerk en schakel dit in om verkeer van clients op internet toe te staan. Wanneer clients op internet roamen, schakelen ze over naar dit software-updatepunt om te scannen. Alle clients op internet krijgen altijd inhoud van de Microsoft Update cloudservice.

Zie Clients op internet beheren voor meer informatie over de voor- en nadelen van clientbeheer via internet.

Windows Update voor Bedrijven

Windows Met Update voor Bedrijven kunt u uw Windows 10 altijd up-to-date houden met de nieuwste kwaliteits- en functie-updates. Deze apparaten maken rechtstreeks verbinding met de Windows Cloudservice bijwerken. Configuration Manager kunnen onderscheid maken tussen Windows 10 computers die gebruikmaken van WUfB en WSUS voor het verkrijgen van software-updates.

Zie Integration with Windows Update for Business (Integratie met Windows Update voor Bedrijven) voor meer informatie.

Software-update-inhoud plannen

Clients moeten de inhoudsbestanden voor software-updates downloaden om ze te kunnen installeren. Configuration Manager biedt verschillende technologieën ter ondersteuning van het beheer en de levering van deze inhoud. Of configureer software-update-implementaties om clients toe te staan of te vereisen om rechtstreeks inhoud op te halen uit de Microsoft Update cloudservice.

Inhoud downloaden en distribueren

Standaard maakt het beheerproces van software-updates in Configuration Manager gebruik van de ingebouwde functies voor inhoudsbeheer. Deze functies omvatten de gecentraliseerde, single instance store-inhoudsbibliotheek en het gedistribueerde ontwerp van de sitesysteemrol van het distributiepunt. U gebruikt deze functies wanneer u implementatiepakketten voor software-updates downloadt en distribueert.

Zie Software-updates downloaden voor meer informatie.

Bestanden voor express-installatie voor Windows 10

Configuration Manager biedt ondersteuning voor het gebruik van bestanden voor Windows 10-updates. Bestanden voor express-updates en ondersteunende technologieën zoals Delivery Optimization kunnen helpen de netwerkimpact te verminderen van grote inhoudsbestanden die naar clients worden gedownload.

Zie Optimize Windows 10 update delivery voor meer informatie.

Clients downloaden inhoud van internet

Wanneer u software-updates implementeert voor clients, configureert u de implementatie voor clients om inhoud te downloaden van de Microsoft Update cloudservice. Wanneer clients geen inhoud van een andere inhoudsbron kunnen downloaden, kunnen ze de inhoud nog steeds downloaden van internet.

U hoeft geen implementatiepakket te maken bij het implementeren van software-updates. Wanneer u de optie Geen implementatiepakket selecteert, kunnen clients nog steeds inhoud downloaden van lokale bronnen, indien beschikbaar, maar meestal downloaden van de Microsoft Update service.

Clients op internet downloaden altijd inhoud van de Microsoft Update cloudservice. Distribueren van implementatiepakketten voor software-updates niet naar een cloudbeheergateway (CMG) met inhouds ingeschakeld.

Plannen voor updates van derden

Configuration Manager kan worden geïntegreerd met WSUS, dat systeemeigen ondersteuning biedt voor software-updates die zijn gepubliceerd door Microsoft. De meeste klanten gebruiken andere toepassingen van derden die ook updates nodig hebben. Er zijn verschillende opties die u kunt overwegen om toepassingen van derden up-to-date te houden.

Toepassingen verdederen om bij te werken

Gebruik een vervangingsrelatie met de functie voor toepassingsbeheer in Configuration Manager bestaande toepassingen bij te werken of te vervangen. Wanneer u een toepassing vervangt, geeft u een nieuw implementatietype op ter vervanging van het implementatietype van de vervangen toepassing. Bepaal ook of u de verwijderde toepassing wilt upgraden of verwijderen voordat de superseding-toepassing wordt geïnstalleerd.

Zie Toepassingen herzien en vereren voor meer informatie.

Software-updates van derden

U kunt het knooppunt Software-updatecatalogi van derden in de Configuration Manager-console gebruiken om u te abonneren op catalogi van derden, hun updates te publiceren naar uw software-updatepunt en deze vervolgens te implementeren op clients.

Zie Software-updatesvan derden voor meer informatie.

System Center Updates Publisher

System Center Updates Publisher (SCUP) is een zelfstandig hulpprogramma waarmee onafhankelijke softwareleveranciers of line-of-business-toepassingsontwikkelaars aangepaste updates kunnen beheren. Deze updates omvatten die met afhankelijkheden, zoals stuurprogramma's en updatebundels. SCUP kan ook worden gebruikt voor updatecatalogi van derden die niet rechtstreeks beschikbaar zijn in de -console.

Zie Updates System Center voor meer Publisher.

Installatie van software-updatepunt plannen

Deze sectie bevat de volgende subtopics:

Deze sectie bevat informatie over de stappen die u moet uitvoeren om de installatie van het software-updatepunt te plannen en voor te bereiden. Voordat u een sitesysteemrol voor het software-updatepunt in Configuration Manager, moet u rekening houden met verschillende vereisten. De specifieke vereisten zijn afhankelijk van uw Configuration Manager infrastructuur. Wanneer u het software-updatepunt configureert om te communiceren via HTTPS, is deze sectie met name belangrijk om te controleren. Voor servers met HTTPS zijn extra stappen vereist om goed te werken.

Vereisten voor het software-updatepunt

Installeer de software-updatepuntrol op een sitesysteem dat voldoet aan de minimale vereisten voor WSUS en de ondersteunde configuraties voor Configuration Manager sitesystemen.

  • Zie Overwegingen en systeemvereisten controleren voor meer informatie over de minimale vereisten voor de WSUS-serverfunctie in Windows Server.

  • Zie Site and site system prerequisites (Site- en sitesysteemvoorwaarden) voor meer informatie over de ondersteunde configuraties voor Configuration Manager sitesystemen.

WSUS-installatie plannen

Installeer een ondersteunde versie van WSUS op alle sitesysteemservers die u configureert voor de software-updatepuntrol. Wanneer u het software-updatepunt niet op de siteserver installeert, installeert u de WSUS-beheerconsole op de siteserver. Met dit onderdeel kan de siteserver communiceren met WSUS dat wordt uitgevoerd op het software-updatepunt.

Wanneer u WSUS op Windows Server 2012 of hoger gebruikt, configureert u aanvullende machtigingen om het WSUS-Configuration Manager-onderdeel in Configuration Manager verbinding te laten maken met WSUS. Dit onderdeel voert periodieke statuscontroles uit. Kies een van de volgende opties om de vereiste machtiging te configureren:

  • Voeg de SYSTEM -account toe aan de WSUS-administrators -groep

  • Voeg het NT AUTHORITY\SYSTEM-account toe als een gebruiker voor de WSUS-database (SUSDB). Configureer een minimum van het lidmaatschap van de databaserol webService.

Zie Install the WSUS Server Role(De WSUS-serverfunctie installeren) voor meer informatie over het installeren van WSUS op Windows Server.

Wanneer u meer dan één software-updatepunt op een primaire site installeert, gebruikt u dezelfde WSUS-database voor elk software-updatepunt in hetzelfde Active Directory-forest. Het delen van dezelfde database verbetert de prestaties wanneer clients overschakelen naar een nieuw software-updatepunt. Zie Een gedeelde WSUS-database gebruiken voor software-updatepunten voor meer informatie.

Het pad naar de WSUS-inhoudsmap configureren

Wanneer u WSUS installeert, moet u een pad naar de inhoudsmap verstrekken. De WSUS-inhoudsmap wordt voornamelijk gebruikt voor het opslaan van de Licentievoorwaarden voor Microsoft-software bestanden die nodig zijn voor clients tijdens het scannen. De Configuration Manager De WSUS-inhoudsmap mag niet overlappen met uw inhoudsbronmap voor Configuration Manager software-implementatiepakketten. Als de WSUS-inhoudsmap en de bron van Configuration Manager WSUS-inhoud overlappen, worden onjuiste bestanden verwijderd uit de WSUS-inhoudsmap.

WSUS configureren voor het gebruik van een aangepaste website

Wanneer u WSUS installeert, hebt u de optie de bestaande IIS Standaard website te gebruiken of een aangepaste WSUS-website te maken. Maak een aangepaste website voor WSUS zodat IIS als host voor de WSUS-services in een toegewezen virtuele website wordt gebruikt. Anders wordt dezelfde website gedeeld die wordt gebruikt door de andere Configuration Manager sitesystemen of toepassingen. Deze configuratie is vooral nodig wanneer u de software-updatepuntrol op de siteserver installeert. Wanneer u WSUS in Windows Server 2012 of hoger, wordt WSUS standaard geconfigureerd voor het gebruik van poort 8530 voor HTTP en poort 8531 voor HTTPS. Geef deze poorten op wanneer u het software-updatepunt op een site maakt.

WSUS configureren als een replicaserver

Wanneer u de software-updatepuntrol toevoegt op een primaire siteserver, kunt u geen WSUS-server gebruiken die is geconfigureerd als een replica. Wanneer de WSUS-server is geconfigureerd als een replica, kan Configuration Manager de WSUS-server niet configureren en mislukt de WSUS-synchronisatie. Het eerste software-updatepunt dat u installeert op een primaire site wordt het standaardsoftware-updatepunt. Andere software-updatepunten op de site zijn geconfigureerd als replica's van het standaardsoftware-updatepunt.

Beslissen of WSUS moet worden geconfigureerd voor het gebruik van SSL

Het wordt ten zeerste aanbevolen het SSL-protocol te gebruiken om het software-updatepunt te beveiligen. WSUS gebruikt SSL om clientcomputers en downstream-WSUS-servers voor de WSUS-server te verifiëren. WSUS gebruikt ook SSL om de metagegevens van de software-update te versleutelen. Wanneer u ervoor kiest om WSUS te beveiligen met SSL, bereidt u de WSUS-server voor voordat u het software-updatepunt installeert.

Wanneer u het software-updatepunt installeert en configureert, selecteert u de optie SSL-communicatie inschakelen voor de WSUS-server. Anders configureert Configuration Manager WSUS om SSL niet te gebruiken. Wanneer u SSL inschakelen op een software-updatepunt, moet u ook alle software-updatepunten op onderliggende sites configureren voor het gebruik van SSL. Zie de zelfstudie Configure a software update point to use TLS/SSL with a PKI certificate (Een software-updatepunt configureren voor het gebruik van TLS/SSL met een PKI-certificaat) voor meer informatie.

Notitie

Om ervoor te zorgen dat de beste beveiligingsprotocollen zijn geïnstalleerd, raden we u ten zeerste aan het TLS/SSL-protocol te gebruiken om uw infrastructuur voor software-updates te beveiligen. Vanaf de cumulatieve update van september 2020 zijn op HTTP gebaseerde WSUS-servers standaard beveiligd. Het scannen van een client op updates voor een WSUS op basis van HTTP is niet meer standaard toegestaan om gebruik te maken van een gebruikersproxy. Als u ondanks de beveiligingsrisico's toch een gebruikersproxy nodig hebt, is er een nieuwe clientinstelling voor software-updates beschikbaar om deze verbindingen toe te staan. Zie voor meer informatie over de wijzigingen voor het scannen van WSUS september 2020 wijzigingen voor het verbeteren van de beveiliging voor Windows scanapparaten WSUS.

Firewalls configureren

Het software-updatepunt op Configuration Manager centrale beheersite communiceert met WSUS op het software-updatepunt. WSUS communiceert met de synchronisatiebron om metagegevens van software-updates te synchroniseren. Software-updatepunten op een onderliggende site communiceren met het software-updatepunt op de bovenliggende site. Wanneer er meer dan één software-updatepunt op een primaire site is, communiceren de extra software-updatepunten met het standaardsoftware-updatepunt. De standaardrol is het eerste software-updatepunt dat op de site is geïnstalleerd.

Mogelijk moet u de firewall configureren om het HTTP- of HTTPS-verkeer toe te staan dat WSUS in de volgende scenario's gebruikt:

  • Tussen het software-updatepunt en internet
  • Tussen een software-updatepunt en de synchronisatiebron stroomopwaarts
  • Tussen extra software-updatepunten

De verbinding met Microsoft Update is altijd geconfigureerd om poort 80 te gebruiken voor HTTP en poort 443 voor HTTPS. Gebruik een aangepaste poort voor de verbinding van WSUS op het software-updatepunt op een onderliggende site naar WSUS op het software-updatepunt op de bovenliggende site. Wanneer uw beveiligingsbeleid de verbinding niet toestaat, gebruikt u de synchronisatiemethode voor exporteren en importeren. Zie de sectie Synchronisatiebron in dit artikel voor meer informatie. Zie How to determine the port settings used by WSUS in Configuration Manager voor meer informatie over de poorten die WSUS gebruikt.

Toegang tot specifieke domeinen beperken

Als uw organisatie netwerkcommunicatie met internet beperkt met behulp van een firewall of proxyapparaat, moet u het actieve software-updatepunt toegang geven tot internet-eindpunten. Vervolgens kunnen WSUS en Automatische updates communiceren met de Microsoft Update cloudservice.

Zie Vereisten voor internettoegang voor meer informatie.

Planning voor synchronisatie-instellingen

Deze sectie bevat de volgende subtopics:

Synchronisatie van software-updates in Configuration Manager downloadt de metagegevens van software-updates op basis van criteria die u configureert. De site op het hoogste niveau in uw hiërarchie synchroniseert software-updates van Microsoft Update. U hebt de mogelijkheid om het software-updatepunt op de site op het hoogste niveau te configureren om te synchroniseren met een bestaande WSUS-server, niet in de Configuration Manager hiërarchie. De onderliggende primaire sites synchroniseren metagegevens van software-updates van het software-updatepunt op de centrale beheersite. Voordat u een software-updatepunt installeert en configureert, moet u deze sectie gebruiken om te plannen voor de synchronisatie-instellingen.

Synchronisatiebron

De synchronisatiebroninstellingen voor het software-updatepunt geven de locatie op voor waar het software-updatepunt metagegevens van software-updates op haalt. Het geeft ook aan of het synchronisatieproces WSUS-rapportagegebeurtenissen maakt.

  • Synchronisatiebron: standaard configureert het software-updatepunt op de site op het hoogste niveau de synchronisatiebron voor Microsoft Update. U hebt de optie de site op het hoogste niveau met een bestaande WSUS-server te synchroniseren. Het software-updatepunt op een onderliggende primaire site configureert de synchronisatiebron als het software-updatepunt op de centrale beheersite.

    • Het eerste software-updatepunt dat u installeert op een primaire site, dat het standaardsoftware-updatepunt is, synchroniseert met de centrale beheersite. Extra software-upatepunten aan de primaier site synchroniseren met het standaardsoftware-updatepunt aan de primaire site.

    • Wanneer een software-updatepunt wordt losgekoppeld van Microsoft Update of van de upstream-updateserver, configureert u de synchronisatiebron om niet te synchroniseren met een geconfigureerde synchronisatiebron. Configureer het in plaats daarvan om de export- en importfunctie van het hulpprogramma WSUSUtil te gebruiken om software-updates te synchroniseren. Zie de sectie Software-updates synchroniseren vanaf een niet-verbonden software-updatepuntvoor meer informatie.

  • WSUS-rapportagegebeurtenissen: De Windows Agent bijwerken op clientcomputers kan gebeurtenisberichten maken voor WSUS-rapportage. Deze gebeurtenissen worden niet gebruikt door Configuration Manager. Daarom is de optie Geen WSUS-rapportagegebeurtenissen maken standaard geselecteerd. Wanneer deze gebeurtenissen niet worden gemaakt, is de enige keer dat de client verbinding moet maken met de WSUS-server tijdens de evaluatie van software-updates en nalevingsscans. Als deze gebeurtenissen nodig zijn voor rapportage buiten Configuration Manager, wijzigt u deze instelling om WSUS-rapportagegebeurtenissen te maken.

Belangrijk

Als u de WSUS-database (SUSDB) deelt via meerdere software-updatepunten voor de site op het hoogste niveau, moet u ervoor zorgen dat elk van deze WSUS-servers voldoet aan de internettoegangsvereisten voor software-updates. Wanneer de database wordt gedeeld met de site op het hoogste niveau, Configuration Manager een van deze WSUS-servers selecteren om te synchroniseren met Microsoft Update.

Synchronisatieplanning

Configureer de synchronisatieplanning alleen op het software-updatepunt op de site op het hoogste niveau in de Configuration Manager hiërarchie. Wanneer u de synchronisatieplanning configureert, synchroniseert het software-updatepunt met de synchronisatiebron op de datum en tijd die u hebt opgegeven. Met het aangepaste schema kunt u software-updates synchroniseren om uw omgeving te optimaliseren. Houd rekening met de prestatieeisen van de WSUS-server, de siteserver en het netwerk. Bijvoorbeeld om 2:00 uur één keer per week. U kunt de synchronisatie ook handmatig starten op de site op het hoogste niveau met behulp van de actie Synchronisatiesoftware-updates van de knooppunten Alle software-updates of Software-updategroepen in de Configuration Manager console.

Tip

Plan de synchronisatie van software-updates om uit te voeren met behulp van een tijd die geschikt is voor uw omgeving. Een veelvoorkomende situatie is het instellen van de synchronisatieplanning om uit te voeren kort na de reguliere versie van de software-update van Microsoft op de tweede dinsdag van elke maand. Deze dag wordt doorgaans patchdinsdag genoemd. Als u gebruik Configuration Manager voor het leveren Endpoint Protection en Windows Defender definitie- en engine-updates, kunt u overwegen om de synchronisatieplanning in te stellen op dagelijks uitvoeren.

Nadat het software-updatepunt is gesynchroniseerd, verzendt het een synchronisatieaanvraag naar onderliggende sites. Als u extra software-updatepunten op een primaire site hebt, wordt er een synchronisatieaanvraag naar elk software-updatepunt verzendt. Dit proces wordt herhaald op elke site in de hiërarchie.

Updateclassificaties

Elke software-update wordt gedefinieerd met een updateclassificatie die helpt de verschillende types updates te organiseren. Tijdens het synchronisatieproces synchroniseert de site de metagegevens voor de opgegeven classificaties.

Configuration Manager ondersteunt synchronisatie van de volgende updateclassificaties:

  • Essentiële updates: een algemeen uitgebrachte update voor een specifiek probleem dat een kritieke, niet-beveiligingsgerelateerde fout oplost.

  • Definitie-updates: een update van virus- of andere definitiebestanden.

  • Functiepakketten: nieuwe productfuncties die buiten een productversie worden gedistribueerd en doorgaans worden opgenomen in de volgende volledige productversie.

  • Beveiligingsupdates: een algemeen uitgebrachte update voor een productspecifieke beveiligingsprobleem.

  • Servicepacks: een cumulatieve set hotfixes die wordt toegepast op een besturingssysteem of toepassing. Deze hotfixes omvatten beveiligingsupdates, essentiële updates en software-updates.

  • Hulpprogramma's: een hulpprogramma of functie waarmee u een of meer taken kunt uitvoeren.

  • Updatepakketten: een cumulatieve set hotfixes die samen zijn verpakt voor eenvoudige implementatie. Deze hotfixes omvatten beveiligingsupdates, essentiële updates en software-updates. Een updatepakket gaat in het algemeen over een specifiek gebied, zoals beveiliging of een productcomponent.

  • Updates: een update voor een toepassing of bestand dat momenteel is geïnstalleerd.

  • Upgrades: een functie-update naar een nieuwe versie van Windows 10.

Configureer de instellingen voor updateclassificatie alleen op de site op het hoogste niveau. De updateclassificatie-instellingen worden niet geconfigureerd op het software-updatepunt op onderliggende sites, omdat de metagegevens van software-updates worden gerepliceerd vanaf de site op het hoogste niveau. Wanneer u de updateclassificaties selecteert, moet u er rekening mee houden hoe meer classificaties u selecteert, hoe langer het duurt om de metagegevens van software-updates te synchroniseren.

Waarschuwing

Als een best practice alle classificaties voordat u voor de eerste keer synchroniseert. Na de initiële synchronisatie selecteert u de gewenste classificaties en vervolgens opnieuw synchronisatie.

Producten

De metagegevens voor elke software-update definiëren een of meer producten waarvoor de update van toepassing is. Een product is een specifieke editie van een besturingssysteem of toepassing. Een voorbeeld van een product is Microsoft Windows 10. Een productfamilie is het basis-besturingssysteem of de basistoepassing van waaruit de afzonderlijke producten zijn afgeleid. Een voorbeeld van een productfamilie is Microsoft Windows, waarvan Windows 10 Windows Server 2016 lid zijn. Selecteer een productfamilie of afzonderlijke producten binnen een productfamilie.

Wanneer software-updates van toepassing zijn op meerdere producten en ten minste één van de producten is geselecteerd voor synchronisatie, worden alle producten weergegeven in de Configuration Manager-console, zelfs als sommige producten niet zijn geselecteerd. U selecteert bijvoorbeeld alleen het Windows Server 2012 product. Als een software-update van toepassing is op Windows Server 2012 en Windows Server 2012 Datacenter Edition, staan beide producten in de sitedatabase.

Configureer de productinstellingen alleen op de site op het hoogste niveau. De productinstellingen worden niet geconfigureerd op het software-updatepunt voor onderliggende sites, omdat de metagegevens van software-updates worden gerepliceerd vanaf de site op het hoogste niveau. Hoe meer producten u selecteert, hoe langer het duurt om de metagegevens van software-updates te synchroniseren.

Belangrijk

Configuration Manager een lijst met producten en productfamilies op waar u uit kunt kiezen wanneer u het software-updatepunt voor het eerst installeert. Producten en productfamilies die na de Configuration Manager zijn vrijgegeven, kunnen mogelijk pas worden geselecteerd wanneer u de synchronisatie hebt voltooid. Met het synchronisatieproces wordt de lijst met beschikbare producten en productfamilies bijgewerkt waaruit u kunt kiezen. Alle producten leeg voordat u software-updates voor de eerste keer synchroniseert. Na de initiële synchronisatie selecteert u de gewenste producten en vervolgens opnieuw synchronisatie.

Supersedence-regels

Een software-updat die een andere software-update vervangt, doet gewoonlijk een of meerdere van de volgende acties:

  • Bevordert, verbetert of werkt de oplossing bij die werd geleverd door een of meerdere eerder vrijgegeven updates.

  • Verbetert de efficiëntie van het bijgewerkte updatebestandspakket, dat op clients wordt geïnstalleerd als de update is goedgekeurd voor installatie. De vervangen update kan bijvoorbeeld bestanden bevatten die niet meer relevant zijn voor de oplossing of voor de besturingssystemen die worden ondersteund door de nieuwe update. Deze bestanden zijn niet opgenomen in het bestandspakket dat wordt overgeslagen van de update.

  • Werkt nieuwere versies van het product bij. Met andere woorden, het werkt versies bij die niet langer toepasselijk zijn voor oudere versies of configuraties van een product. Updates kunnen ook andere updates vervangen als er wijzigingen zijn aangebracht om taalondersteuning uit te breiden. Een latere revisie van een productupdate voor Microsoft 365-apps kan bijvoorbeeld de ondersteuning voor een ouder besturingssysteem verwijderen, maar kan extra ondersteuning voor nieuwe talen toevoegen in de eerste updaterele release.

Geef in de eigenschappen voor het software-updatepunt op dat de overgeslagen software-updates onmiddellijk verlopen zijn. Met deze instelling voorkomt u dat ze worden opgenomen in nieuwe implementaties. Ook worden de bestaande implementaties aangegeven om aan te geven dat ze een of meer verlopen software-updates bevatten. Of geef een periode op voordat de overgeslagen software-updates verlopen zijn. Met deze actie kunt u ze blijven implementeren.

Denk eens aan de volgende scenario's waarin u een vervangen software-update moet implementeren:

  • Een superseded software-update ondersteunt alleen nieuwere versies van een besturingssysteem. Op sommige clientcomputers worden eerdere versies van het besturingssysteem uitgevoerd.

  • Een superseded software-update heeft beperktere toepasbaarheid dan de software-update die wordt verded. Dit gedrag zou het voor sommige clients ongepast maken.

  • Als een overbodige software-update niet is goedgekeurd voor implementatie in uw productieomgeving.

Configuration Manager kunnen automatisch overbodige updates laten verlopen op basis van een schema dat u kiest. U kunt het gedrag van de regels voor supersedence voor functie-updates afzonderlijk van niet-functie-updates opgeven. De standaardinstelling is om drie maanden te wachten voordat een overgewaardeeerde update verloopt. De standaardwaarde van drie maanden is om u de tijd te geven om te controleren of de update niet meer nodig is voor een van uw clientcomputers. Het is raadzaam om er niet van uit te gaan dat de vernieuwde updates onmiddellijk moeten verlopen ten voordele van de nieuwe, vernieuwde update. U kunt op het tabblad Vervangingsinformatie in de eigenschappen van de software-update een lijst weergeven van de software-updates die de software-update vervangen.

Talen

Met de taalinstellingen voor het software-updatepunt kunt u het volgende configureren:

  • De talen waarvoor de overzichtsdetails (metagegevens van software-updates) worden gesynchroniseerd voor software-updates
  • De talen van het software-updatebestand die worden gedownload voor software-updates

Software-updatebestand

Talen configureren voor de instelling Software-updatebestand in de eigenschappen voor het software-updatepunt. Deze instelling biedt de standaardtalen die beschikbaar zijn wanneer u software-updates op een site downloadt. Wijzig de talen die standaard worden geselecteerd telkens als de software-updates worden gedownload of geïmplementeerd. Tijdens het downloadproces worden de software-updatebestanden voor de geconfigureerde talen gedownload naar de bronlocatie van het implementatiepakket, als de software-updatebestanden beschikbaar zijn in de geselecteerde taal. Vervolgens worden ze gekopieerd naar de inhoudsbibliotheek op de siteserver. Vervolgens worden ze gedistribueerd naar de distributiepunten die zijn geconfigureerd voor het pakket.

Configureer de taalinstellingen van het software-updatebestand met de talen die het vaakst in uw omgeving worden gebruikt. Clients op uw site gebruiken bijvoorbeeld voornamelijk Engels en Japans voor Windows of toepassingen. Er zijn nog enkele andere talen die op de site worden gebruikt. Selecteer alleen Engels en Japans in de kolom Software-updatebestand wanneer u de software-update downloadt of implementeert. Met deze actie kunt u de standaardinstellingen gebruiken op de pagina Taalselectie van de implementatie- en downloadwizards. Met deze actie wordt ook voorkomen dat onnodige updatebestanden worden gedownload. Configureer deze instelling op elk software-updatepunt in de Configuration Manager hiërarchie.

Overzichtsgegevens

Tijdens het synchronisatieproces wordt de informatie bij de overzichtsgegevens (metagegevens van software-updates) bijgewerkt voor software-updates in de talen die u opgeeft. De metagegevens bevatten informatie over de software-update, bijvoorbeeld:

  • Naam
  • Beschrijving
  • Producten die door de update worden ondersteund
  • Updateclassificatie
  • Artikel-id
  • DOWNLOAD-URL
  • Toepasselijkheidsregels

Configureer de instellingen voor samenvattingsdetails alleen op de site op het hoogste niveau. De samenvattingsdetails worden niet geconfigureerd op het software-updatepunt op onderliggende sites, omdat de metagegevens van software-updates worden gerepliceerd vanaf de centrale beheersite met behulp van replicatie op basis van bestanden. Wanneer u de talen voor de overzichtsgegevens selecteert, selecteert u alleen de talen die u in uw omgeving nodig hebt. Hoe meer talen u selecteert, hoe langer het duurt om de metagegevens van software-updates te synchroniseren. Configuration Manager metagegevens van software-updates worden weergegeven in de locale van het besturingssysteem waarin de Configuration Manager-console wordt uitgevoerd. Als de gelokaliseerde eigenschappen voor de software-updates niet beschikbaar zijn in de taal van dit besturingssysteem, wordt de informatie over software-updates in het Engels weergegeven.

Belangrijk

Selecteer alle overzichtsgegevenstalen die u nodig hebt. Wanneer het software-updatepunt op de site op het hoogste niveau synchroniseert met de synchronisatiebron, bepalen de geselecteerde overzichtsgegevenstalen de metagegevens van software-updates die worden opgehaald. Als u de talen met samenvattingsdetails wijzigt nadat de synchronisatie ten minste één keer is geweest, worden de metagegevens van software-updates voor de gewijzigde overzichtsdetailtalen alleen opgehaald voor nieuwe of bijgewerkte software-updates. De software-updates die al zijn gesynchroniseerd, worden niet bijgewerkt met nieuwe metagegevens voor de gewijzigde talen, tenzij er een wijziging is in de software-update op de synchronisatiebron.

Maximale run time

(Geïntroduceerd in versie 1906)

U kunt opgeven hoe lang de installatie van een software-update maximaal moet worden voltooid. U kunt de maximale run time opgeven voor het volgende:

  • Maximale run time voor Windows functie-updates (minuten)

    • Functie-updates: een update in een van deze drie classificaties:
      • Upgrades
      • Updatepakketten
      • Servicepacks

  • Maximale run time voor Office 365 updates en niet-functie-updates voor Windows (minuten)

    • Niet-functie-updates: een update die geen functie-upgrade is en waarvan het product wordt vermeld als een van de volgende:
      • Windows 10 (alle versies)
      • Windows Server 2012
      • Windows Server 2012 R2
      • Windows Server 2016
      • Windows Server 2019
      • Office 365

  • Alle andere updates buiten deze categorieën, zoals updates van derden, krijgen een standaard maximale run time van 10 minuten. Deze instellingen wijzigen alleen de maximale runtime voor nieuwe updates die worden gesynchroniseerd vanuit Microsoft Update. De run time voor bestaande functie- of niet-functie-updates wordt niet gewijzigd.

    Notitie

    Vanaf Configuration Manager 2103 is de maximale run time voor alle andere updates buiten deze categorieën, zoals updates van derden, standaard 60 minuten in plaats van 10 minuten. De nieuwe maximale run time is alleen van toepassing op nieuwe updates die worden gesynchroniseerd vanuit Microsoft Update. De run time voor bestaande updates wordt niet gewijzigd.

  • Als u de maximale run time van een update wilt wijzigen, kunt u de instellingen voor de software-update configureren.

Een onderhoudsvenster voor software-updates plannen

Voeg een onderhoudsvenster toe dat is toegewezen voor de installatie van software-updates. Met deze actie kunt u een algemeen onderhoudsvenster en een ander onderhoudsvenster voor software-updates configureren. Wanneer u zowel een algemeen onderhoudsvenster als een onderhoudsvenster voor software-updates configureert, installeren clients software-updates alleen tijdens het onderhoudsvenster voor software-updates.

U kunt dit gedrag wijzigen en toestaan dat software-updates worden geïnstalleerd tijdens een algemeen onderhoudsvenster. Zie Clientinstellingen voor software-updates voor meer informatie over deze clientinstelling.

Zie Onderhoudsvensters gebruiken voor meer informatie over onderhoudsvensters.

Opties voor het opnieuw opstarten van Windows 10-clients na de installatie van een software-update

Wanneer een software-update die opnieuw moet worden opgestart, wordt geïmplementeerd en geïnstalleerd met behulp van Configuration Manager, wordt door de client gepland dat opnieuw opstarten in behandeling is en wordt een dialoogvenster voor opnieuw opstarten weergegeven.

Wanneer opnieuw opstarten van een Configuration Manager-software-update in behandeling is, is de optie bijwerken en opnieuw opstarten en bijwerken en afsluiten beschikbaar op Windows 10-computers in de Windows energieopties. Nadat u een van deze opties hebt gebruikt, wordt het dialoogvenster voor opnieuw opstarten niet weergegeven nadat de computer opnieuw is opgestart. In bepaalde omstandigheden kan het besturingssysteem de opties voor opnieuw opstarten in behandeling verwijderen. Dit kan gebeuren als de functie Snel opstarten in Windows 10 is ingeschakeld. Zie Updates zijn mogelijk niet geïnstalleerd met Snel opstarten in Windows 10 voor meer Windows 10.

Software-updates evalueren na een update van een onderhoudsstack

Vanaf versie 2002 detecteert Configuration Manager of een SSU (Servicing Stack Update) deel uitmaakt van een installatie voor meerdere updates. Wanneer een SSU wordt gedetecteerd, wordt deze eerst geïnstalleerd. Na de installatie van de SSU wordt een evaluatiecyclus voor software-updates uitgevoerd om de resterende updates te installeren. Door deze wijziging kan een afhankelijke cumulatieve update worden geïnstalleerd na de update van de onderhoudsstack. Het apparaat hoeft niet opnieuw te worden opgestart tussen installaties en u hoeft geen extra onderhoudsvenster te maken. SSE's worden eerst alleen geïnstalleerd voor niet-door de gebruiker geïnitieerde installaties. Als een gebruiker bijvoorbeeld een installatie start voor meerdere updates vanuit Software Center, wordt de SSU mogelijk niet eerst geïnstalleerd. Installatie van SSUs first is niet beschikbaar voor Windows Server-besturingssystemen wanneer u Configuration Manager versie 2002. Deze functionaliteit is toegevoegd in Configuration Manager versie 2006 voor Windows Server-besturingssystemen.

Volgende stappen

Zodra u software-updates van plan bent, zie Voorbereiden op beheer van software-updates.

Zie Fundamentals of Windows Configuration Manager as a service and Windows as a service (Grondbeginselen van Configuration Manager als een service en Windows als een service) voor meer informatie over het beheren van Windows als een service.