Wprowadzenie do aktualizacji oprogramowania w Configuration Manager

  • Artykuł

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Aktualizacje oprogramowania w Configuration Manager udostępniają zestaw narzędzi i zasobów, które mogą pomóc w zarządzaniu złożonym zadaniem śledzenia i stosowania aktualizacji oprogramowania na komputerach klienckich w przedsiębiorstwie. Efektywny proces zarządzania aktualizacjami oprogramowania jest niezbędny do utrzymania wydajności operacyjnej, rozwiązania problemów z zabezpieczeniami i utrzymania stabilności infrastruktury sieciowej. Jednak ze względu na zmieniający się charakter technologii i ciągłe pojawianie się nowych zagrożeń bezpieczeństwa skuteczne zarządzanie aktualizacjami oprogramowania wymaga spójnej i ciągłej uwagi.

Przykładowy scenariusz pokazujący sposób wdrażania aktualizacji oprogramowania w środowisku można znaleźć w temacie Przykładowy scenariusz wdrażania aktualizacji oprogramowania zabezpieczającego.

Synchronizacja aktualizacji oprogramowania

Synchronizacja aktualizacji oprogramowania w programie Configuration Manager łączy się z usługą Microsoft Update w celu pobrania metadanych aktualizacji oprogramowania. Lokacja najwyższego poziomu (centralna lokacja administracyjna lub autonomiczna lokacja główna) synchronizuje się z usługą Microsoft Update zgodnie z harmonogramem lub podczas ręcznego uruchamiania synchronizacji z konsoli Configuration Manager. Gdy Configuration Manager zakończy synchronizację aktualizacji oprogramowania w lokacji najwyższego poziomu, synchronizacja aktualizacji oprogramowania rozpoczyna się w lokacjach podrzędnych, jeśli istnieją. Po zakończeniu synchronizacji w każdej lokacji głównej lub lokacji dodatkowej tworzone są zasady dla całej lokacji, które udostępniają komputerom klienckim lokalizację punktów aktualizacji oprogramowania.

Uwaga

Aktualizacje oprogramowania są domyślnie włączone w ustawieniach klienta. Jeśli jednak ustawisz ustawienie Włącz aktualizacje oprogramowania na klientach nawartość Nie , aby wyłączyć aktualizacje oprogramowania w kolekcji lub w ustawieniach domyślnych, lokalizacja punktów aktualizacji oprogramowania nie jest wysyłana do skojarzonych klientów. Aby uzyskać szczegółowe informacje, zobacz ustawienia klienta aktualizacji oprogramowania.

Po otrzymaniu zasad przez klienta klient uruchamia skanowanie pod kątem zgodności aktualizacji oprogramowania i zapisuje informacje w narzędziu Windows Management Instrumentation (WMI). Informacje o zgodności są następnie wysyłane do punktu zarządzania, który następnie wysyła informacje do serwera lokacji. Aby uzyskać więcej informacji na temat oceny zgodności, zobacz sekcję Ocena zgodności aktualizacji oprogramowania w tym temacie .

W lokacji głównej można zainstalować wiele punktów aktualizacji oprogramowania. Pierwszy zainstalowany punkt aktualizacji oprogramowania jest skonfigurowany jako źródło synchronizacji. Jest to synchronizowane z Microsoft Update lub serwera WSUS, który nie należy do hierarchii Configuration Manager. Inne punkty aktualizacji oprogramowania w lokacji używają pierwszego punktu aktualizacji oprogramowania jako źródła synchronizacji.

Uwaga

Po zakończeniu procesu synchronizacji aktualizacji oprogramowania w lokacji najwyższego poziomu metadane aktualizacji oprogramowania są replikowane do lokacji podrzędnych przy użyciu replikacji bazy danych. Po połączeniu konsoli Configuration Manager z lokacją podrzędną Configuration Manager wyświetla metadane aktualizacji oprogramowania. Jednak dopóki nie zostanie zainstalowany i skonfigurowany punkt aktualizacji oprogramowania w lokacji, klienci nie będą skanować pod kątem zgodności aktualizacji oprogramowania, klienci nie będą zgłaszać informacji o zgodności do Configuration Manager i nie można pomyślnie wdrożyć aktualizacji oprogramowania.

Synchronizacja w lokacji najwyższego poziomu

Proces synchronizacji aktualizacji oprogramowania w lokacji najwyższego poziomu pobiera z Microsoft zaktualizuj metadane aktualizacji oprogramowania spełniające kryteria określone we właściwościach składnika punktu aktualizacji oprogramowania. Kryteria należy skonfigurować tylko w lokacji najwyższego poziomu.

Uwaga

Możesz określić istniejący serwer WSUS, który nie znajduje się w hierarchii Configuration Manager zamiast Microsoft Aktualizacje jako źródło synchronizacji.

Na poniższej liście opisano podstawowe kroki procesu synchronizacji w lokacji najwyższego poziomu:

  1. Rozpoczyna się synchronizacja aktualizacji oprogramowania.

  2. Menedżer synchronizacji programu WSUS wysyła żądanie do programu WSUS uruchomionego w punkcie aktualizacji oprogramowania w celu rozpoczęcia synchronizacji z usługą Microsoft Update.

  3. Metadane aktualizacji oprogramowania są synchronizowane z Microsoft Update, a wszelkie zmiany są wstawiane lub aktualizowane w bazie danych programu WSUS.

  4. Po zakończeniu synchronizacji programu WSUS program WSUS Synchronization Manager synchronizuje metadane aktualizacji oprogramowania z bazy danych programu WSUS z bazą danych Configuration Manager, a wszelkie zmiany po ostatniej synchronizacji są wstawiane lub aktualizowane w bazie danych lokacji. Metadane aktualizacji oprogramowania są przechowywane w bazie danych lokacji jako element konfiguracji.

  5. Elementy konfiguracji aktualizacji oprogramowania są wysyłane do lokacji podrzędnych przy użyciu replikacji bazy danych.

  6. Po pomyślnym zakończeniu synchronizacji menedżer synchronizacji programu WSUS tworzy komunikat o stanie 6702.

  7. Menedżer synchronizacji programu WSUS wysyła żądanie synchronizacji do wszystkich lokacji podrzędnych.

  8. Menedżer synchronizacji programu WSUS wysyła żądanie pojedynczo do programu WSUS działającego w innych punktach aktualizacji oprogramowania w lokacji. Serwery WSUS w innych punktach aktualizacji oprogramowania są skonfigurowane jako repliki programu WSUS działającego w domyślnym punkcie aktualizacji oprogramowania w lokacji.

Synchronizacja w podrzędnych lokacjach głównych i dodatkowych

Podczas procesu synchronizacji aktualizacji oprogramowania w lokacji najwyższego poziomu elementy konfiguracji aktualizacji oprogramowania są replikowane do lokacji podrzędnych przy użyciu replikacji bazy danych. Po zakończeniu procesu lokacja najwyższego poziomu wysyła żądanie synchronizacji do lokacji podrzędnej, a lokacja podrzędna uruchamia synchronizację programu WSUS. Poniższa lista zawiera podstawowe kroki procesu synchronizacji w podrzędnej lokacji głównej lub lokacji dodatkowej:

  1. Menedżer synchronizacji programu WSUS odbiera żądanie synchronizacji z lokacji najwyższego poziomu.

  2. Rozpoczyna się synchronizacja aktualizacji oprogramowania.

  3. Menedżer synchronizacji programu WSUS wysyła żądanie do programu WSUS uruchomionego w punkcie aktualizacji oprogramowania w celu rozpoczęcia synchronizacji.

  4. Program WSUS uruchomiony w punkcie aktualizacji oprogramowania w lokacji podrzędnej synchronizuje metadane aktualizacji oprogramowania z programu WSUS uruchomionego w punkcie aktualizacji oprogramowania w lokacji nadrzędnej.

  5. Po pomyślnym zakończeniu synchronizacji menedżer synchronizacji programu WSUS tworzy komunikat o stanie 6702.

  6. Z lokacji głównej Menedżer synchronizacji programu WSUS wysyła żądanie synchronizacji do dowolnych podrzędnych lokacji pomocniczych. Lokacja dodatkowa rozpoczyna synchronizację aktualizacji oprogramowania z nadrzędną lokacją główną. Lokacja dodatkowa jest skonfigurowana jako replika programu WSUS działającego w lokacji nadrzędnej.

  7. Menedżer synchronizacji programu WSUS wysyła żądanie pojedynczo do programu WSUS działającego w innych punktach aktualizacji oprogramowania w lokacji. Serwery WSUS w innych punktach aktualizacji oprogramowania są skonfigurowane jako repliki programu WSUS działającego w domyślnym punkcie aktualizacji oprogramowania w lokacji.

Ocena zgodności aktualizacji oprogramowania

Przed wdrożeniem aktualizacji oprogramowania na komputerach klienckich w Configuration Manager rozpocznij skanowanie pod kątem zgodności aktualizacji oprogramowania na komputerach klienckich. Dla każdej aktualizacji oprogramowania jest tworzony komunikat o stanie zawierający stan zgodności aktualizacji. Komunikaty o stanie są wysyłane zbiorczo do punktu zarządzania, a następnie do serwera lokacji, gdzie stan zgodności jest wstawiany do bazy danych lokacji. Stan zgodności aktualizacji oprogramowania jest wyświetlany w konsoli Configuration Manager. Aktualizacje oprogramowania można wdrażać i instalować na komputerach, które wymagają aktualizacji. Poniższe sekcje zawierają informacje o stanach zgodności i opisują proces skanowania pod kątem zgodności aktualizacji oprogramowania.

Stany zgodności aktualizacji oprogramowania

Poniżej wymieniono i opisano każdy stan zgodności wyświetlany w konsoli Configuration Manager aktualizacji oprogramowania.

  • Wymagany

    Określa, że aktualizacja oprogramowania ma zastosowanie i jest wymagana na komputerze klienckim. Dowolny z następujących warunków może być spełniony, gdy stan aktualizacji oprogramowania jest wymagany:

    • Aktualizacja oprogramowania nie została wdrożona na komputerze klienckim.

    • Aktualizacja oprogramowania została zainstalowana na komputerze klienckim. Jednak najnowszy komunikat o stanie nie został jeszcze wstawiony do bazy danych na serwerze lokacji. Komputer kliencki ponownie przeskanuje aktualizację po zakończeniu instalacji. Może wystąpić opóźnienie do dwóch minut, zanim klient wyśle zaktualizowany stan do punktu zarządzania, który następnie przekazuje zaktualizowany stan do serwera lokacji.

    • Aktualizacja oprogramowania została zainstalowana na komputerze klienckim. Jednak instalacja aktualizacji oprogramowania wymaga ponownego uruchomienia komputera przed zakończeniem aktualizacji.

    • Aktualizacja oprogramowania została wdrożona na komputerze klienckim, ale nie została jeszcze zainstalowana.

  • Niewymagane

    Określa, że aktualizacja oprogramowania nie ma zastosowania na komputerze klienckim. W związku z tym aktualizacja oprogramowania nie jest wymagana.

  • Zainstalowana

    Określa, że aktualizacja oprogramowania ma zastosowanie na komputerze klienckim i że komputer kliencki ma już zainstalowaną aktualizację oprogramowania.

  • Unknown

    Określa, że serwer lokacji nie otrzymał komunikatu o stanie z komputera klienckiego, zazwyczaj dlatego, że jeden z następujących:

    • Komputer kliencki nie został pomyślnie przeskanowany pod kątem zgodności aktualizacji oprogramowania.

    • Skanowanie zakończyło się pomyślnie na komputerze klienckim. Jednak komunikat o stanie nie został jeszcze przetworzony na serwerze lokacji, prawdopodobnie z powodu listy prac komunikatów o stanie.

    • Skanowanie zakończyło się pomyślnie na komputerze klienckim, ale komunikat o stanie nie został odebrany z lokacji podrzędnej.

    • Skanowanie zakończyło się pomyślnie na komputerze klienckim, ale plik komunikatu o stanie został w jakiś sposób uszkodzony i nie można go przetworzyć.

Skanowanie pod kątem procesu zgodności aktualizacji oprogramowania

Po zainstalowaniu i zsynchronizowanym punkcie aktualizacji oprogramowania tworzone są zasady komputera dla całej lokacji, które informują komputery klienckie, że Configuration Manager aktualizacje oprogramowania zostały włączone dla lokacji. Gdy klient otrzyma zasady maszyny, skanowanie oceny zgodności ma zostać uruchomione losowo w ciągu najbliższych dwóch godzin. Po rozpoczęciu skanowania proces agenta klienta Aktualizacje oprogramowania czyści historię skanowania, przesyła żądanie znalezienia serwera WSUS, który powinien być używany do skanowania, i aktualizuje lokalny zasady grupy lokalizacją serwera WSUS.

Uwaga

Klienci internetowi muszą łączyć się z serwerem WSUS przy użyciu protokołu SSL.

Żądanie skanowania jest przekazywane do agenta Windows Update (WUA). Następnie usługa WUA nawiązuje połączenie z lokalizacją serwera WSUS wymienioną w zasadach lokalnych, pobiera metadane aktualizacji oprogramowania, które zostały zsynchronizowane na serwerze WSUS, i skanuje komputer kliencki pod kątem aktualizacji. Proces agenta klienta Aktualizacje oprogramowania wykrywa zakończenie skanowania pod kątem zgodności i tworzy komunikaty o stanie dla każdej aktualizacji oprogramowania, która zmieniła się w stanie zgodności po ostatnim skanowaniu. Komunikaty o stanie są wysyłane do punktu zarządzania zbiorczo co 15 minut. Następnie punkt zarządzania przekazuje komunikaty o stanie do serwera lokacji, gdzie komunikaty o stanie są wstawiane do bazy danych serwera lokacji.

Po początkowym skanowaniu pod kątem zgodności aktualizacji oprogramowania skanowanie jest uruchamiane zgodnie ze skonfigurowanym harmonogramem skanowania. Jeśli jednak klient przeskanował pod kątem zgodności aktualizacji oprogramowania w okresie wskazanym przez wartość Czas wygaśnięcia (TTL), klient używa metadanych aktualizacji oprogramowania przechowywanych lokalnie. Gdy ostatnie skanowanie znajduje się poza czasem wygaśnięcia, klient musi nawiązać połączenie z usługą WSUS działającą w punkcie aktualizacji oprogramowania i zaktualizować metadane aktualizacji oprogramowania przechowywane na kliencie.

Łącznie z harmonogramem skanowania skanowanie pod kątem zgodności aktualizacji oprogramowania można rozpocząć w następujący sposób:

  • Harmonogram skanowania aktualizacji oprogramowania: skanowanie pod kątem zgodności aktualizacji oprogramowania rozpoczyna się od skonfigurowanego harmonogramu skanowania skonfigurowanego w ustawieniach agenta klienta Aktualizacje oprogramowania. Aby uzyskać więcej informacji na temat konfigurowania ustawień klienta Aktualizacje oprogramowania, zobacz ustawienia klienta aktualizacji oprogramowania.

  • akcja właściwości Configuration Manager: użytkownik może uruchomić akcję Cykl skanowania Aktualizacje oprogramowania lub Cykl oceny wdrożenia oprogramowania Aktualizacje na karcie Akcja w oknie dialogowym Właściwości Configuration Manager na kliencie Komputerze.

  • Harmonogram ponownej oceny wdrożenia: ocena wdrożenia i skanowanie pod kątem zgodności aktualizacji oprogramowania rozpoczyna się od skonfigurowanego harmonogramu ponownej oceny wdrożenia, który jest skonfigurowany w ustawieniach agenta klienta Aktualizacje oprogramowania. Aby uzyskać więcej informacji na temat ustawień klienta Aktualizacje oprogramowania, zobacz ustawienia klienta aktualizacji oprogramowania.

  • Przed pobraniem plików aktualizacji: gdy komputer kliencki otrzyma zasady przypisania dla nowego wymaganego wdrożenia, program Aktualizacje Agent klienta pobiera pliki aktualizacji oprogramowania do lokalnej pamięci podręcznej klienta. Przed pobraniem plików aktualizacji oprogramowania agent klienta uruchamia skanowanie w celu sprawdzenia, czy aktualizacja oprogramowania jest nadal wymagana.

  • Przed instalacją aktualizacji oprogramowania: tuż przed instalacją aktualizacji oprogramowania program Aktualizacje Agent klienta uruchamia skanowanie w celu sprawdzenia, czy aktualizacje oprogramowania są nadal wymagane.

  • Po zainstalowaniu aktualizacji oprogramowania: tuż po zakończeniu instalacji aktualizacji oprogramowania agent klienta Aktualizacje oprogramowania uruchamia skanowanie w celu sprawdzenia, czy aktualizacje oprogramowania nie są już wymagane, i tworzy nowy komunikat o stanie informujący o zainstalowaniu aktualizacji oprogramowania. Po zakończeniu instalacji, ale konieczne jest ponowne uruchomienie, komunikat o stanie wskazuje, że komputer kliencki oczekuje na ponowne uruchomienie.

  • Po ponownym uruchomieniu systemu: gdy komputer kliencki oczekuje na ponowne uruchomienie systemu w celu ukończenia instalacji aktualizacji oprogramowania, program Aktualizacje Agent klienta uruchamia skanowanie po ponownym uruchomieniu, aby sprawdzić, czy aktualizacja oprogramowania nie jest już wymagana, i tworzy komunikat o stanie informujący o zainstalowaniu aktualizacji oprogramowania.

Wartość czasu wygaśnięcia

Metadane aktualizacji oprogramowania wymagane do skanowania pod kątem zgodności aktualizacji oprogramowania są przechowywane na lokalnym komputerze klienckim i domyślnie są istotne przez maksymalnie 24 godziny. Ta wartość jest znana jako czas wygaśnięcia (TTL).

Skanowanie pod kątem typów zgodności aktualizacji oprogramowania

Klient skanuje pod kątem zgodności aktualizacji oprogramowania przy użyciu skanowania w trybie online lub offline oraz wymuszonego lub nie wymuszonego skanowania, w zależności od sposobu uruchomienia skanowania pod kątem zgodności aktualizacji oprogramowania. Poniżej opisano, które metody uruchamiania skanowania są w trybie online lub offline oraz czy skanowanie jest wymuszone, czy nie wymuszone.

  • Harmonogram skanowania aktualizacji oprogramowania (nie wymuszone skanowanie online)

    Zgodnie ze skonfigurowanym harmonogramem skanowania klient nawiązuje połączenie z programem WSUS działającym w punkcie aktualizacji oprogramowania, aby pobrać metadane aktualizacji oprogramowania tylko wtedy, gdy ostatnie skanowanie znajdowało się poza czasem wygaśnięcia.

  • Cykl skanowania oprogramowania Aktualizacje lub cykl oceny wdrożenia Aktualizacje oprogramowania (wymuszone skanowanie online)

    Komputer kliencki zawsze nawiązuje połączenie z programem WSUS działającym w punkcie aktualizacji oprogramowania w celu pobrania metadanych aktualizacji oprogramowania przed skanowaniem komputera klienckiego pod kątem zgodności aktualizacji oprogramowania. Po zakończeniu skanowania licznik czasu wygaśnięcia zostanie zresetowany. Jeśli na przykład czas wygaśnięcia wynosi 24 godziny, po rozpoczęciu skanowania pod kątem zgodności z aktualizacjami oprogramowania czas wygaśnięcia zostanie zresetowany do 24 godzin.

  • Harmonogram ponownej ewaluacji wdrożenia (nie wymuszone skanowanie w trybie online)

    Zgodnie ze skonfigurowanym harmonogramem ponownej ewaluacji wdrożenia klient nawiązuje połączenie z usługą WSUS uruchomioną w punkcie aktualizacji oprogramowania, aby pobrać metadane aktualizacji oprogramowania tylko wtedy, gdy ostatnie skanowanie znajdowało się poza czasem wygaśnięcia.

  • Przed pobraniem plików aktualizacji (nie wymuszone skanowanie online)

    Zanim klient będzie mógł pobrać pliki aktualizacji w wymaganych wdrożeniach, klient nawiązuje połączenie z usługą WSUS uruchomioną w punkcie aktualizacji oprogramowania, aby pobrać metadane aktualizacji oprogramowania tylko wtedy, gdy ostatnie skanowanie było poza czasem wygaśnięcia.

  • Przed instalacją aktualizacji oprogramowania (nie wymuszone skanowanie online)

    Zanim klient zainstaluje aktualizacje oprogramowania w wymaganych wdrożeniach, klient nawiązuje połączenie z usługą WSUS uruchomioną w punkcie aktualizacji oprogramowania, aby pobrać metadane aktualizacji oprogramowania tylko wtedy, gdy ostatnie skanowanie było poza czasem wygaśnięcia.

  • Po instalacji aktualizacji oprogramowania (wymuszone skanowanie w trybie offline)

    Po zainstalowaniu aktualizacji oprogramowania agent klienta Aktualizacje oprogramowania uruchamia skanowanie przy użyciu lokalnych metadanych. Klient nigdy nie nawiązuje połączenia z programem WSUS działającym w punkcie aktualizacji oprogramowania w celu pobrania metadanych aktualizacji oprogramowania.

  • Po ponownym uruchomieniu systemu (wymuszone skanowanie w trybie offline)

    Po zainstalowaniu aktualizacji oprogramowania i ponownym uruchomieniu komputera program Aktualizacje Agent klienta uruchamia skanowanie przy użyciu lokalnych metadanych. Klient nigdy nie nawiązuje połączenia z programem WSUS działającym w punkcie aktualizacji oprogramowania w celu pobrania metadanych aktualizacji oprogramowania.

Pakiety wdrażania aktualizacji oprogramowania

Pakiet wdrażania aktualizacji oprogramowania to pojazd służący do pobierania aktualizacji oprogramowania do udostępnionego folderu sieciowego i kopiowania plików źródłowych aktualizacji oprogramowania do biblioteki zawartości na serwerach lokacji i w punktach dystrybucji zdefiniowanych we wdrożeniu. Za pomocą Kreatora pobierania Aktualizacje można pobrać aktualizacje oprogramowania i dodać je do pakietów wdrożeniowych przed ich wdrożeniem. Ten kreator umożliwia aprowizowanie aktualizacji oprogramowania w punktach dystrybucji i sprawdzenie, czy ta część procesu wdrażania powiodła się przed wdrożeniem aktualizacji oprogramowania na klientach.

Podczas wdrażania pobranych aktualizacji oprogramowania za pomocą Kreatora wdrażania oprogramowania Aktualizacje wdrożenie automatycznie używa pakietu wdrożeniowego zawierającego aktualizacje oprogramowania. Po wdrożeniu aktualizacji oprogramowania, które nie zostały pobrane, należy określić nowy lub istniejący pakiet wdrożeniowy w Kreatorze wdrażania oprogramowania Aktualizacje, a aktualizacje oprogramowania są pobierane po zakończeniu pracy kreatora.

Ważna

Przed określeniem go w kreatorze należy ręcznie utworzyć udostępniony folder sieciowy dla plików źródłowych pakietu wdrażania. Każdy pakiet wdrożeniowy musi używać innego udostępnionego folderu sieciowego.

Ważna

Konto komputera dostawcy programu SMS i użytkownik administracyjny, który faktycznie pobiera aktualizacje oprogramowania, wymagają uprawnień zapisu do źródła pakietu. Ogranicz dostęp do źródła pakietu, aby zmniejszyć ryzyko naruszenia plików źródłowych aktualizacji oprogramowania w źródle pakietu przez osobę atakującą.

Po utworzeniu nowego pakietu wdrożeniowego wersja zawartości jest ustawiona na 1 przed pobraniem jakichkolwiek aktualizacji oprogramowania. Gdy pliki aktualizacji oprogramowania są pobierane przy użyciu pakietu, wersja zawartości jest zwiększana do 2. W związku z tym wszystkie nowe pakiety wdrożeniowe zaczynają się od wersji zawartości 2. Za każdym razem, gdy zawartość zmienia się w pakiecie wdrożeniowym, wersja zawartości jest zwiększana o 1. Aby uzyskać więcej informacji, zobacz Podstawowe pojęcia dotyczące zarządzania zawartością.

Klienci instalują aktualizacje oprogramowania we wdrożeniu przy użyciu dowolnego punktu dystrybucji, który ma dostępne aktualizacje oprogramowania, niezależnie od pakietu wdrożeniowego. Nawet jeśli pakiet wdrożeniowy zostanie usunięty dla aktywnego wdrożenia, klienci nadal mogą instalować aktualizacje oprogramowania we wdrożeniu, o ile każda aktualizacja została pobrana do co najmniej jednego innego pakietu wdrożeniowego i jest dostępna w punkcie dystrybucji, do których można uzyskać dostęp z klienta. Po usunięciu ostatniego pakietu wdrożeniowego zawierającego aktualizację oprogramowania komputery klienckie nie mogą pobrać aktualizacji oprogramowania, dopóki aktualizacja nie zostanie ponownie pobrana do pakietu wdrożeniowego. Aktualizacje oprogramowania są wyświetlane z czerwoną strzałką w konsoli Configuration Manager, gdy pliki aktualizacji nie znajdują się w żadnych pakietach wdrożeniowych. Wdrożenia są wyświetlane z podwójną czerwoną strzałką, jeśli zawierają aktualizacje w tym warunku.

Przepływy pracy wdrażania aktualizacji oprogramowania

Istnieją dwa główne scenariusze wdrażania aktualizacji oprogramowania w środowisku, ręczne wdrażanie i automatyczne wdrażanie. Zazwyczaj aktualizacje oprogramowania są wdrażane ręcznie, aby utworzyć punkt odniesienia dla komputerów klienckich, a następnie zarządzać aktualizacjami oprogramowania na klientach przy użyciu automatycznego wdrażania. Poniższe sekcje zawierają podsumowanie przepływu pracy dla ręcznego i automatycznego wdrażania aktualizacji oprogramowania.

Ręczne wdrażanie aktualizacji oprogramowania

Ręczne wdrażanie aktualizacji oprogramowania to proces wybierania aktualizacji oprogramowania w konsoli Configuration Manager i ręcznego uruchamiania procesu wdrażania. Ta metoda wdrażania zwykle służy do aktualizowania komputerów klienckich z wymaganymi aktualizacjami oprogramowania przed utworzeniem reguł wdrażania automatycznego, które zarządzają trwającymi comiesięcznymi wdrożeniami aktualizacji oprogramowania, oraz wdrażania wymagań dotyczących aktualizacji oprogramowania poza pasmem. Poniższa lista zawiera ogólny przepływ pracy na potrzeby ręcznego wdrażania aktualizacji oprogramowania:

  1. Filtruj pod kątem aktualizacji oprogramowania, które korzystają z określonych wymagań. Można na przykład podać kryteria, które pobierają wszystkie aktualizacje oprogramowania o znaczeniu krytycznym lub zabezpieczeń, które są wymagane na ponad 50 komputerach klienckich.

  2. Utwórz grupę aktualizacji oprogramowania zawierającą aktualizacje oprogramowania.

  3. Pobierz zawartość aktualizacji oprogramowania w grupie aktualizacji oprogramowania.

  4. Ręcznie wdróż grupę aktualizacji oprogramowania.

Automatyczne wdrażanie aktualizacji oprogramowania

Automatyczne wdrażanie aktualizacji oprogramowania jest konfigurowane przy użyciu reguły wdrażania automatycznego (ADR). Ta metoda wdrażania jest zwykle używana w przypadku miesięcznych aktualizacji oprogramowania (zwykle nazywanych patch tuesday) i do zarządzania aktualizacjami definicji. Po uruchomieniu reguły aktualizacje oprogramowania są usuwane z grupy aktualizacji oprogramowania (jeśli używasz istniejącej grupy), aktualizacje oprogramowania spełniające określone kryteria (na przykład wszystkie aktualizacje oprogramowania zabezpieczającego wydane w zeszłym tygodniu) są dodawane do grupy aktualizacji oprogramowania, pliki zawartości aktualizacji oprogramowania są pobierane i kopiowane do punktów dystrybucji, aktualizacje oprogramowania są wdrażane na komputerach klienckich w kolekcji docelowej. Poniższa lista zawiera ogólny przepływ pracy na potrzeby automatycznego wdrażania aktualizacji oprogramowania:

  1. Utwórz trasę ADR określającą ustawienia wdrożenia, takie jak następujące:

    • Kolekcja docelowa

    • Zdecyduj, czy włączyć wdrożenie, czy raport dotyczący zgodności aktualizacji oprogramowania dla komputerów klienckich w kolekcji docelowej

    • Kryteria aktualizacji oprogramowania

    • Harmonogramy ewaluacji i wdrażania

    • Środowisko użytkownika

    • Pobieranie właściwości

  2. Aktualizacje oprogramowania są dodawane do grupy aktualizacji oprogramowania.

  3. Grupa aktualizacji oprogramowania jest wdrażana na komputerach klienckich w kolekcji docelowej, jeśli zostanie określona.

    Musisz określić, jakiej strategii wdrażania używać w środowisku. Możesz na przykład utworzyć trasę ADR i utworzyć docelową kolekcję klientów testowych. Po sprawdzeniu, czy aktualizacje oprogramowania są zainstalowane w grupie testowej, możesz dodać nowe wdrożenie do reguły lub zmienić kolekcję w istniejącym wdrożeniu na kolekcję docelową, która zawiera większy zestaw klientów. Obiekty aktualizacji oprogramowania tworzone przez usługi ADR są interaktywne.

  • Aktualizacje oprogramowania wdrożone przy użyciu trasy ADR są automatycznie wdrażane na nowych klientach dodanych do kolekcji docelowej.

  • Nowe aktualizacje oprogramowania dodane do grupy aktualizacji oprogramowania są automatycznie wdrażane na klientach w kolekcji docelowej.

  • Wdrożenia można włączyć lub wyłączyć w dowolnym momencie dla trasy ADR.

    Po utworzeniu trasy ADR można dodać do reguły dodatkowe wdrożenia. Może to pomóc w zarządzaniu złożonością wdrażania różnych aktualizacji w różnych kolekcjach. Każde nowe wdrożenie ma pełny zakres funkcji i środowiska monitorowania wdrażania oraz każde nowe wdrożenie, które dodajesz:

  • Używa tej samej grupy aktualizacji i pakietu, który jest tworzony podczas pierwszego uruchomienia trasy ADR

  • Może określić inną kolekcję

  • Obsługuje unikatowe właściwości wdrożenia, w tym:

    • Czas aktywacji

    • Termin

    • Pokazywanie lub ukrywanie środowiska użytkownika końcowego

    • Oddzielne alerty dla tego wdrożenia

Proces wdrażania aktualizacji oprogramowania

Po wdrożeniu aktualizacji oprogramowania lub uruchomieniu reguły automatycznego wdrażania i wdrożeniu aktualizacji oprogramowania zasady przypisania wdrożenia są dodawane do zasad maszyny dla lokacji. Aktualizacje oprogramowania są pobierane z lokalizacji pobierania, Internetu lub udostępnionego folderu sieciowego do źródła pakietu. Aktualizacje oprogramowania są kopiowane ze źródła pakietu do biblioteki zawartości na serwerze lokacji, a następnie kopiowane do biblioteki zawartości w punkcie dystrybucji.

Gdy komputer kliencki w kolekcji docelowej wdrożenia otrzymuje zasady komputera, agent klienta aktualizacji oprogramowania uruchamia skanowanie ewaluacji. Agent klienta pobiera zawartość wymaganych aktualizacji oprogramowania z punktu dystrybucji do lokalnej pamięci podręcznej klienta w ustawieniu Czas dostępności oprogramowania dla wdrożenia, a następnie aktualizacje oprogramowania są dostępne do zainstalowania. Aktualizacje oprogramowania we wdrożeniach opcjonalnych (wdrożeniach, które nie mają terminu instalacji) nie są pobierane, dopóki użytkownik nie rozpocznie instalacji ręcznie.

Po upływie skonfigurowanego terminu ostatecznego agent klienta Aktualizacje oprogramowania wykonuje skanowanie w celu sprawdzenia, czy aktualizacje oprogramowania są nadal wymagane. Następnie sprawdza lokalną pamięć podręczną na komputerze klienckim, aby sprawdzić, czy pliki źródłowe aktualizacji oprogramowania są nadal dostępne. Na koniec klient instaluje aktualizacje oprogramowania. Jeśli zawartość została usunięta z pamięci podręcznej klienta, aby zrobić miejsce dla innego wdrożenia, klient ponownie pobierze aktualizacje oprogramowania z punktu dystrybucji do pamięci podręcznej klienta. Aktualizacje oprogramowania są zawsze pobierane do pamięci podręcznej klienta niezależnie od skonfigurowanego maksymalnego rozmiaru pamięci podręcznej klienta. Po zakończeniu instalacji agent klienta sprawdza, czy aktualizacje oprogramowania nie są już wymagane, a następnie wysyła komunikat o stanie do punktu zarządzania, aby wskazać, że aktualizacje oprogramowania są teraz zainstalowane na kliencie.

Wymagane ponowne uruchomienie systemu

Domyślnie, gdy aktualizacje oprogramowania z wymaganego wdrożenia są instalowane na komputerze klienckim i ponowne uruchomienie systemu jest wymagane do zakończenia instalacji, ponowne uruchomienie systemu jest uruchamiane. W przypadku aktualizacji oprogramowania, które zostały zainstalowane przed upływem terminu ostatecznego, automatyczne ponowne uruchomienie systemu jest odłożone do ostatecznego terminu, chyba że komputer zostanie uruchomiony ponownie przed tym z innego powodu. Ponowne uruchomienie systemu może zostać pominięte dla serwerów i stacji roboczych. Te ustawienia są konfigurowane na stronie Środowisko użytkownika Kreatora wdrażania oprogramowania Aktualizacje lub Kreatora tworzenia reguły automatycznego Aktualizacje.

Cykl ponownej ewaluacji wdrożenia

Domyślnie komputery klienckie uruchamiają cykl ponownej ewaluacji wdrożenia co 7 dni. Podczas tego cyklu oceny komputer kliencki skanuje aktualizacje oprogramowania, które zostały wcześniej wdrożone i zainstalowane. Jeśli brakuje jakichkolwiek aktualizacji oprogramowania, aktualizacje oprogramowania są ponownie instalowane z lokalnej pamięci podręcznej. Jeśli aktualizacja oprogramowania nie jest już dostępna w lokalnej pamięci podręcznej, jest pobierana z punktu dystrybucji, a następnie instalowana. Harmonogram ponownej ewaluacji można skonfigurować na stronie Aktualizacje oprogramowania w ustawieniach klienta witryny.

Obsługa urządzeń z systemem Windows Embedded korzystających z filtrów zapisu

Podczas wdrażania aktualizacji oprogramowania na urządzeniach z systemem Windows Embedded z włączonym filtrem zapisu można określić, czy należy wyłączyć filtr zapisu na urządzeniu podczas wdrażania, a następnie ponownie uruchomić urządzenie po wdrożeniu. Jeśli filtr zapisu nie zostanie wyłączony, oprogramowanie zostanie wdrożone na tymczasowej nakładce, a oprogramowanie nie będzie już instalowane po ponownym uruchomieniu urządzenia, chyba że inne wdrożenie wymusi utrwalenie zmian.

Uwaga

Podczas wdrażania aktualizacji oprogramowania na urządzeniu z systemem Windows Embedded upewnij się, że urządzenie jest członkiem kolekcji ze skonfigurowanym oknem konserwacji. Dzięki temu można zarządzać, gdy filtr zapisu jest wyłączony i włączony, oraz po ponownym uruchomieniu urządzenia.

Ustawienie środowiska użytkownika, które kontroluje zachowanie filtru zapisu, to pole wyboru o nazwie Zatwierdzanie zmian w terminie ostatecznym lub w oknach obsługi (wymaga ponownego uruchomienia).

Aby uzyskać więcej informacji o tym, jak Configuration Manager zarządza urządzeniami osadzonymi korzystającymi z filtrów zapisu, zobacz Planowanie wdrożenia klienta na urządzeniach z systemem Windows Embedded.

Rozszerzanie aktualizacji oprogramowania w Configuration Manager

Program System Center Aktualizacje Publisher umożliwia zarządzanie aktualizacjami oprogramowania, które nie są dostępne w usłudze Microsoft Update. Po opublikowaniu aktualizacji oprogramowania na serwerze aktualizacji i zsynchronizowania aktualizacji oprogramowania w Configuration Manager można wdrożyć aktualizacje oprogramowania na Configuration Manager klientów. Aby uzyskać więcej informacji na temat programu Aktualizacje Publisher, zobacz Aktualizacje Publisher 2011.

Następne kroki

Planowanie aktualizacji oprogramowania