Общие сведения об обновлении программного обеспечения в Configuration Manager
Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Обновления программного обеспечения в System Center 2012 Configuration Manager предоставляют набор инструментов и ресурсов, которые могут помочь в решении сложной задачи отслеживания и установки обновлений программного обеспечения на клиентских компьютерах предприятия. Эффективный процесс управления обновлениями ПО необходим для поддержания высокой производительности работы, защиты от проблем безопасности и поддержания стабильности сетевой инфраструктуры. Однако постоянное развитие технологий и непрерывное возникновение новых угроз безопасности требует применения согласованного подхода к решению данных проблем, а также постоянного внимания к этой области.
В приведенных ниже разделах содержатся дополнительные сведения об обновлениях ПО:
Синхронизация обновлений программного обеспечения
Оценка соответствия обновлений программного обеспечения требованиям
Пакеты развертывания обновлений программного обеспечения
Рабочие процессы развертывания обновлений программного обеспечения
Процесс развертывания обновлений программного обеспечения
Расширение доступа к обновлениям программного обеспечения в Configuration Manager
Поддержка устройств Windows Embedded, использующих фильтры записи
Защита доступа к сети
Новые возможности Configuration Manager
Новые возможности Configuration Manager с пакетом обновления 1 (SP1)
Новые возможности System Center 2012 R2 Configuration Manager
Пример вероятного сценария развертывания обновлений программного обеспечения в вашей среде см. в разделе Пример использование Configuration Manager для развертывания и мониторинга обновлений для системы безопасности, ежемесячно выпускаемых Майкрософт (Пример сценари�� развертывания обновлений программного обеспечения).
Синхронизация обновлений программного обеспечения
Для синхронизации обновлений программного обеспечения в Configuration Manager используется служба Microsoft Update, с помощью которой производится получение метаданных для обновлений программного обеспечения. Сайт верхнего уровня (центра администрирования или автономный первичный сайт) синхронизируется с Microsoft Update согласно расписанию или при запуске синхронизации вручную с помощью консоли Configuration Manager. Когда Configuration Manager завершает синхронизацию обновлений программного обеспечения на сайте верхнего уровня, синхронизация обновлений программного обеспечения начинается на дочерних сайтах, если они существуют. После завершения синхронизации на каждом из первичных или вторичных сайтов создается политика, с помощью которой клиентским компьютерам предоставляются сведения о расположении точек обновления программного обеспечения. Эта политика действует в масштабах всего сайта, на котором она размещена.
.jpeg "System_CAPS_note") Примечание |
|---|
Обновления программного обеспечения включены в параметрах клиента по умолчанию. Однако, если присвоить параметру клиента Включить обновления программного обеспечения для клиентов значение Нет, чтобы отключить обновления программного обеспечения для коллекции или в параметрах по умолчанию, то соответствующим клиентам не будет отправлено расположение точек обновления программного обеспечения. Дополнительные сведения о параметрах клиента, связанных с обновлениями программного обеспечения, см. в разделе Обновления программного обеспечения статьи О параметрах клиентов в Configuration Manager. |
Получив политику, клиент запускает процедуру проверки соответствия обновлений программного обеспечения требованиям и записывает собранные сведения в инструментарий управления Windows (WMI). Сведения о соответствии требованиям передаются точке управления, которая отправляет их серверу сайта. Дополнительные сведения об оценке соответствия требованиям см. в разделе Оценка соответствия обновлений программного обеспечения требованиям этой статьи.
Для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и более поздних версий:
Начиная с Configuration Manager с пакетом обновления 1 (SP1), на первичном сайте можно установить несколько точек обновления программного обеспечения. Первая установленная точка обновления настраивается в качестве источника синхронизации. Она синхронизируется с Microsoft Update или с сервером WSUS, расположенным вне иерархии Configuration Manager. Другие точки обновления программного обеспечения на этом сайте используют первую точку обновления программного обеспечения в качестве источника синхронизации.
| Примечание |
|---|
После завершения процесса синхронизации обновлений программного обеспечения на сайте верхнего уровня производится репликация метаданных обновлений программного обеспечения на дочерние сайты путем репликации базы данных. При подключении консоли Configuration Manager к дочернему сайту Configuration Manager отображает метаданные обновлений программного обеспечения. Однако до тех пор, пока на сайте не будет установлена и настроена точка обновления программного обеспечения, клиенты не будут проверять соответствие обновлений программного обеспечения требованиям, не будут передавать сведения о соответствии Configuration Manager и вы не сможете успешно развертывать обновления программного обеспечения. |
Синхронизация на сайте верхнего уровня
Процедура синхронизации обновлений программного обеспечения на сайте верхнего уровня предусматривает получение от Microsoft Update метаданных обновлений программного обеспечения, которые соответствуют критериям, указанным в свойствах компонента "Точка обновления программного обеспечения". Критерии настраиваются только на сайте верхнего уровня.
| Примечание |
|---|
Начиная с Configuration Manager с пакетом обновления 1 (SP1) на сайте верхнего уровня в качестве источника синхронизации вместо Microsoft Update можно указать существующий сервер WSUS, не входящий в иерархию Configuration Manager. |
В следующем списке приведены основные этапы процедуры синхронизации на сайте верхнего уровня:
Запускается синхронизация обновлений программного обеспечения.
Диспетчер синхронизации WSUS отправляет запрос в службы WSUS, запущенные в точке обновления программного обеспечения, чтобы запустить синхронизацию с Центром обновления Майкрософт.
Метаданные обновлений ПО синхронизируются с Центром обновления Майкрософт, все изменения добавляются в базу данных WSUS или обновляются в ней.
После того, как WSUS завершает синхронизацию, диспетчер синхронизации WSUS синхронизирует метаданные обновлений программного обеспечения, хранимые в базе данных WSUS, с базой данных Configuration Manager, и любые изменения с момента последней синхронизации попадают в эту базу путем вставки или обновления. Метаданные обновлений программного обеспечения хранятся в базе данных сайта в качестве элемента конфигурации.
Элементы конфигурации для обновлений программного обеспечения пересылаются дочерним сайтам с помощью репликации базы данных.
После успешного завершения синхронизации диспетчер синхронизации WSUS создает сообщение о состоянии 6702.
Диспетчер синхронизации WSUS отправляет запрос на синхронизацию на все дочерние сайты.
Для автономного первичного сайта, работающего только под управлением System Center 2012 Configuration Manager с пакетом обновления 1 (SP1):
Диспетчер синхронизации WSUS по очереди направляет запросы серверам WSUS, работающим на других точках обновления программного обеспечения этого сайта. Серверы WSUS на других точках обновления программного обеспечения настроены в качестве реплик сервера WSUS, запущенного на точке обновления программного обеспечения по умолчанию, предусмотренной для этого сайта.
Синхронизация на дочерних первичных и вторичных сайтах
В ходе процедуры синхронизации обновлений программного обеспечения на сайте верхнего уровня происходит репликация элементов конфигурации обновлений программного обеспечения на дочерние сайты с помощью репликации базы данных. После завершения этой процедуры сайт верхнего уровня отправляет дочернему сайту запрос на синхронизацию, а дочерний сайт запускает синхронизацию WSUS. Следующий список содержит базовые шаги процесса синхронизации на дочернем первичном сайте или на вторичном сайте.
Диспетчер синхронизации WSUS получает запрос на синхронизацию от сайта верхнего уровня.
Запускается синхронизация обновлений программного обеспечения.
Диспетчер синхронизации WSUS отправляет запрос в службы WSUS, запущенные в точке обновления программного обеспечения, чтобы запустить синхронизацию.
Службы WSUS, запущенные в точке обновления ПО на дочернем сайте, выполняют синхронизацию метаданных обновлений со службами WSUS, запущенными в точке обновления на родительском сайте.
После успешного завершения синхронизации диспетчер синхронизации WSUS создает сообщение о состоянии 6702.
Работающий на первичном сайте диспетчер синхронизации WSUS отправляет запрос синхронизации всем дочерним вторичным сайтам. Вторичные сайты запускают процесс синхронизации обновлений программного обеспечения с родительским первичным сайтом. Вторичный сайт настраивается в качестве реплики сервера WSUS, запущенного на родительском сайте.
Для Configuration Manager (только без пакета обновления):
При использовании удаленной точки обновления ПО интернет-клиентов диспетчер синхронизации WSUS запускает процесс синхронизации для служб WSUS, запущенных в удаленной системе сайта.
Для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и более поздних версий:
Диспетчер синхронизации WSUS по очереди направляет запросы серверам WSUS, работающим на других точках обновления программного обеспечения этого сайта. Серверы WSUS на других точках обновления программного обеспечения настроены в качестве реплик сервера WSUS, запущенного на точке обновления программного обеспечения по умолчанию, предусмотренной для этого сайта.
Синхронизация точек обновления программного обеспечения интернет-клиентов
.jpeg "System_CAPS_important") Важно |
|---|
Этот раздел применим только к Configuration Manager без пакетов обновления. |
После завершения синхронизации для активной точки обновления на сайте запускается синхронизация активной точки обновления ПО интернет-клиентов, если она была настроена. Этот процесс схож с процессом синхронизации на дочерних сайтах, но службы WSUS, запущенные в активной точке обновления ПО интернет-клиентов, выполняют синхронизацию метаданных обновлений со службами WSUS, запущенными в активной точке обновления для этого же сайта.
Диспетчер синхронизации WSUS отправляет запрос в службы WSUS, запущенные в удаленной точке обновления ПО интернет-клиентов, чтобы запустить синхронизацию.
Службы WSUS, запущенные в удаленной точке обновления ПО интернет-клиентов, выполняют синхронизацию метаданных обновлений со службами WSUS, запущенными на активной точке обновления для этого же сайта.
После успешного завершения синхронизации диспетчер синхронизации WSUS создает сообщение о состоянии 6702.
Диспетчер синхронизации WSUS отправляет запрос на синхронизацию на все дочерние сайты.
Если источник синхронизации, настроенный для ��очки обновления ПО интернет-клиентов, не настроен для синхронизации с вышестоящим сервером обновлений, можно использовать функции Export и Import средства WSUSutil для синхронизации метаданных обновлений с активной точкой обновления для данного сайта. Дополнительные сведения см. в разделе Синхронизация обновлений программного обеспечения из отсоединенной точки обновления программного обеспечения статьи Настройка обновления программного обеспечения в Configuration Manager.
Оценка соответствия обновлений программного обеспечения требованиям
Перед развертыванием обновлений ПО на клиентских компьютерах в Configuration Manager необходимо запустить проверку соответствия обновлений ПО требованиям на клиентских компьютерах. Для каждого обновления ПО создается сообщение о состоянии, содержащее состояние соответствие этого обновления ПО требованиям. Сообщения о состоянии отправляются пакетами на точку управления, а затем на сервер сайта, где данные состояния соответствия требованиям добавляются в базу данных сайта. Состояние соответствия обновлений программного обеспечения требованиям отображается в консоли Configuration Manager. Можно развернуть и установить обновления ПО на компьютерах, которым требуются эти обновления. В следующих разделах содержатся сведения о состояниях соответствия требованиям и описывается процесс проверки соответствия обновлений ПО.
Состояния соответствия обновлений программного обеспечения
В следующей таблице перечисляются и описываются все состояния соответствия требованиям, которые отображаются в консоли Configuration Manager для обновлений ПО.
Состояние |
Описание |
|---|---|
Обязательное |
Указывает, что обновление программного обеспечения применимо и требуется на клиентском компьютере. Если обновление ПО имеет состояние Требуется, то может выполняться любое из перечисленных ниже условий.
|
Не требуется |
Указывает на неприменимость этого обновления программного обеспечения к клиентскому компьютеру. В связи с этим обновление программного обеспечения не требуется. |
Установлено |
Указывает, что обновление программного обеспечения применимо и уже установлено на клиентском компьютере. |
Неизвестно |
Указывает, что сервер сайта не получил сообщение о состоянии от клиентского компьютера, как правило, по одной из следующих причин.
|
Процесс проверки соответствия обновлений программного обеспечения требованиям
В ходе установки и синхронизации точки обновления программного обеспечения создается политика компьютера, которая действует для всего сайта и сообщает клиентским компьютерам о том, что для сайта включено обновление программного обеспечения с помощью Configuration Manager. Когда клиент получает политику компьютера, запуск проверки соответствия требованиям планируется на произвольный момент времени в течение двух следующих часов. При запуске проверки процесс агента клиента обновлений очищает историю проверки, отправляет запрос на поиск сервера WSUS, который нужно использовать для проверки, и обновляет локальную групповую политику, указывая расположение сервера WSUS.
| Примечание |
|---|
Интернет-клиенты должны подключаться к серверу WSUS по протоколу SSL. |
Запрос на проверку передается агенту обновления Windows (WUA). Затем WUA подключается к указанному в локальной политике расположению сервера WSUS, получает метаданные обновлений программного обеспечения, синхронизированные с сервером WSUS, и сканирует клиентский компьютер на наличие обновлений. Процесс агента клиента обновлений программного обеспечения обнаруживает, что проверка соответствия требованиям завершена, и создает сообщения о состоянии для каждого обновления ПО, состояние соответствия требованиям которого изменилось после последней проверки. Пакеты сообщений о состоянии отправляются на точку управления каждые 15 минут. Затем точка управления передает сообщения состояния на сервер сайта, где они записываются в базу данных сервера сайта.
После первоначальной проверки соответствия обновлений ПО требованиям дальнейшие проверки запускаются по заданному расписанию. Однако, если клиент был просканирован на соответствие требованиям обновлений программного обеспечения до истечения периода времени, указанного в параметре истечения срока ожидания (TTL), то клиент использует локально хранимые метаданные обновлений программного обеспечения. Если последнее сканирование происходит после истечения времени TTL, то клиент должен подключиться к серверу WSUS, запущенному на точке обновления программного обеспечения, и обновить хранящиеся на клиенте метаданные обновлений программного обеспечения.
Проверка соответствия обновлений ПО требованиям может быть запущена в следующих случаях (в том числе и по расписанию проверки).
Расписание проверки обновлений программного обеспечения. Сканирование для проверки соответствия требованиям обновлений программного обеспечения начинается согласно расписанию сканирования, настроенному в параметрах клиентского агента обновлений программного обеспечения. Дополнительные сведения о настройке клиентских параметров, связанных с обновлением программного обеспечения, см. в разделе Обновления программного обеспечения статьи О параметрах клиентов в Configuration Manager.
Действие на странице свойств Configuration Manager. Пользователь может запустить действие Цикл проверки обновлений программ или Цикл оценки развертывания обновлений программ на вкладке Действие в диалоговом окне Свойства Configuration Manager на клиентском компьютере.
Расписание повторной оценки развертывания. Оценка и проверка развертывания на соответствие обновлений требованиям запускается по расписанию повторной проверки развертывания, настроенному в параметрах агента клиента обновлений. Дополнительные сведения о параметрах клиента, связанных с обновлениями программного обеспечения, см. в разделе Обновления программного обеспечения статьи О параметрах клиентов в Configuration Manager.
Перед загрузкой файлов обновлений. Когда клиентский компьютер получает политику назначения для нового обязательного развертывания, агент клиента обновлений ПО загружает файлы обновлений ПО в локальный кэш клиента. Перед загрузкой файлов обновлений ПО агент клиента обновлений ПО запускает проверку, чтобы убедиться, что данное обновление ПО по-прежнему требуется.
Перед установкой обновления программного обеспечения. Непосредственно перед установкой обновления агент клиента обновлений ПО запускает проверку, чтобы убедиться, что данное обновление ПО по-прежнему требуются.
После установки обновления программного обеспечения. Сразу после завершения установки обновления ПО агент клиента обновлений ПО запускает проверку, чтобы убедиться, что данное обновление больше не требуется, и создает новое сообщение о состоянии, указывающее, что данное обновление ПО установлено. Если установка завершена, но требуется перезапуск, сообщение о состоянии будет указывать, что клиентский компьютер ожидает перезапуска.
После перезапуска системы. Если клиентский компьютер ожидает перезапуска для завершения установки обновления ПО, агент клиента обновлений ПО запускает проверку после перезапуска, чтобы убедиться, что данное обновление больше не требуется, и создает новое сообщение о состоянии, указывающее, что данное обновление установлено.
Значение срока жизни
Метаданные об обновлениях ПО, необходимые для проверки обновлений ПО на соответствие требованиям, хранятся на локальном клиентском компьютере и по умолчанию действительны в течение 24 часов. Это значение называется сроком жизни.
Типы проверки соответствия обновлений программного обеспечения требованиям
Клиент проверяет соответствие обновлений ПО требованиям с помощью интерактивной или автономной проверки и принудительной или необязательной проверки (в зависимости от того, как была создана проверка соответствия обновлений ПО). В следующей таблице описываются интерактивные и автономные способы запуска проверки, а также указывается, является ли проверка принудительной.
Способ проверки |
Тип проверки |
Описание |
|---|---|---|
Расписание проверки обновлений программного обеспечения |
Необязательная проверка в подключенном режиме |
В соответствии с настроенным расписанием повторной оценки развертывания клиент подключается к службам WSUS, запущенным на активной точке обновления ПО, для получения метаданных об обновлениях ПО, только если последняя проверка была выполнена после истечения срока жизни. |
Цикл проверки обновлений программ или Цикл оценки развертывания обновлений программ |
Принудительная проверка в подключенном режиме |
Компьютер клиента всегда подключается к серверу WSUS, запущенному на точке обновления программного обеспечения, для получения метаданных обновлений программного обеспечения прежде, чем компьютер клиента выполняет проверку соответствия обновлений программного обеспечения установленным требованиям. После завершения сканирования счетчик срока жизни обнуляется. Например, если значение срока жизни равно 24 часам, то после выполнения пользователем проверки обновлений ПО на соответствие требованиям значение срока жизни сбрасывается на 24 часа. |
Расписание повторной оценки развертывания |
Необязательная проверка в подключенном режиме |
В соответствии с настроенным расписанием повторной оценки развертывания клиент подключается к службам WSUS, запущенным на активной точке обновления ПО, для получения метаданных об обновлениях ПО, только если последняя проверка была выполнена после истечения срока жизни. |
Перед загрузкой файлов обновлений |
Необязательная проверка в подключенном режиме |
Перед началом загрузки файлов обновлений в требуемых развертываниях клиент подключается к службам WSUS, запущенным на активной точке обновления ПО, для получения метаданных об обновлениях ПО, только если последняя проверка была выполнена после истечения срока жизни. |
Перед установкой обновления программного обеспечения |
Необязательная проверка в подключенном режиме |
Перед началом установки файлов обновлений программного обеспечения в требуемых развертываниях клиент подключается к службам WSUS, запущенным на активной точке обновления ПО, для получения метаданных об обновлениях ПО, только если последняя проверка была выполнена после истечения срока жизни. |
После установки обновления программного обеспечения |
Принудительная автономная проверка |
После установки обновления ПО агент клиента обновлений ПО начинает проверку, используя локальные метаданные. Клиент никогда не подключается к службам WSUS, запущенным на активной точке обновления ПО, для получения метаданных обновлений программного обеспечения. |
После перезапуска системы |
Принудительная автономная проверка |
После установки обновления программного обеспечения и перезапуска компьютера агент клиента обновлений ПО начинает проверку, используя локальные метаданные. Клиент никогда не подключается к службам WSUS, запущенным на активной точке обновления ПО, для получения метаданных обновлений программного обеспечения. |
Пакеты развертывания обновлений программного обеспечения
Пакет развертывания обновлений программного обеспечения — это средство для загрузки обновлений ПО в общую сетевую папку и для копирования исходных файлов обновлений ПО в библиотеку содержимого на серверах сайта и в точках распространения, указанных в развертывании. С помощью мастера загрузки обновлений можно загружать обновления ПО и добавлять их в пакеты развертывания перед развертыванием. Этот мастер позволяет подготавливать обновления ПО в точках распространения и проверять успешность этого этапа процесса развертывания перед развертыванием обновлений ПО на клиентах.
После развертывания загруженных обновлений ПО с помощью мастера развертывания обновлений развертывание автоматически использует пакет развертывания, содержащий обновления программного обеспечения. При развертывании обновлений ПО, которые не были загружены, необходимо указать новый или существующий пакет развертывания в мастере развертывания обновлений программного обеспечения. В этом случае обновления ПО будут загружены после завершения работы мастера.
| Важно |
|---|
Необходимо вручную создать общую сетевую папку для исходных файлов пакета развертывания, а затем указать эту папку в мастере. Каждый пакет развертывания должен использовать отдельную общую сетевую папку. |
.jpeg "System_CAPS_security") Безопасность Примечание |
|---|
Для учетных записей компьютера поставщика SMS и пользователя с правами администратора, который фактически загружает обновления ПО, требуются права на запись для источника пакета. Следует ограничить доступ к источнику пакета, чтобы снизить риск подмены злоумышленником исходных файлов обновления ПО. |
При создании нового пакета развертывания до загрузки любых обновлений ПО для содержимого устанавливается номер версии 1. При загрузке файлов обновления программного обеспечения с использованием пакета версия содержимого увеличивается до 2. Поэтому у всех новых пакетов развертывания версия содержимого равняется 2. При каждом изменении содержимого в пакете развертывания версия содержимого увеличивается на 1. Дополнительные сведения об управлении содержимым в Configuration Manager см. в разделе Введение в управление содержимым с помощью Configuration Manager.
Клиенты устанавливают обновления программного обеспечения в развертывании с помощью любой точки распространения, в которой доступны обновления ПО, вне зависимости от пакета развертывания. Даже если пакет развертывания удален из активного развертывания, клиенты могут по-прежнему устанавливать обновления, содержащиеся в этом развертывании, если каждое обновление загружено по крайней мере в еще один пакет развертывание и доступно в точке распространения, доступной для клиента. После удаления последнего пакета развертывания с обновлением клиентские компьютеры не смогут получать это обновление, пока оно не будет снова загружено в пакет развертывания. Если файлы обновлений ПО отсутствуют в пакетах развертывания, то такие обновления отображаются в консоли Configuration Manager с красной стрелкой. Развертывания отображаются с двойной красной стрелкой, если они содержат обновления ПО в таком состоянии.
Рабочие процессы развертывания обновлений программного обеспечения
Существует два основных сценария развертывания обновлений программного обеспечения в среде: развертывание вручную и автоматическое развертывание. Как правило, обновления развертываются вручную с целью создания базовой инфраструктуры для клиентских компьютеров, а затем с помощью автоматического развертывания осуществляется управление установкой обновлений на клиенты. В следующих разделах приводятся сводные данные о рабочем процессе для ручного и автоматического развертывания обновлений программного обеспечения.
Ручное развертывание обновлений программного обеспечения
При развертывании обновлений ПО вручную необходимо выбирать обновления с помощью консоли Configuration Manager и затем вручную запускать процесс развертывания. Такой способ развертывания обычно используется для установки на клиентские компьютеры текущих обязательных обновлений ПО перед созданием правил автоматического развертывания, которые будут управлять ежемесячным развертыванием обновлений, и для внешнего развертывания обновлений. В следующем списке приводится описание общего процесса ручного развертывания обновлений программного обеспечения.
Фильтр для обновлений программного обеспечения, использующих определенные требования. Например, можно создать условие, обеспечивающее получение всех обновлений безопасности или других важных обновлений, необходимых для более чем 50 клиентских компьютеров.
Создайте группу обновления программного обеспечения, которая содержит обновления программного обеспечения.
Загрузите содержимое обновлений программного обеспечения в группе обновлений программного обеспечения.
Вручную разверните группу обновления программного обеспечения.
Автоматическое развертывание обновлений программного обеспечения
Автоматическое развертывание обновлений настраивается с помощью правил автоматического развертывания. Такой метод развертывания, как правило, используется для ежемесячных обновлений программного обеспечения (обычно во второй вторник каждого месяца) и для управления обновлениями определений. При выполнении правила обновления программного обеспечения удаляются из группы обновления программного обеспечения (если используется существующая группа), обновления программного обеспечения, удовлетворяющие указанным критериям (например, все обновления программного обеспечения безопасности, выпущенные за последнюю неделю), добавляются в группу обновлений программного обеспечения, файлы содержимого для обновлений программного обеспечения загружаются и копируются в точки распространения, а затем обновления программного обеспечения развертываются на клиентских компьютерах в целевой коллекции. В следующем списке приводится описание общего процесса автоматического развертывания обновлений программного обеспечения.
Создание правила автоматического развертывания, определяющего параметры развертывания, указанные ниже.
Целевая коллекция
Принятие решения о том, что необходимо включить – развертывание или отчеты о соответствии обновлений для клиентских компьютеров в целевой коллекции.
Условия обновления программного обеспечения
Расписания оценки и развертывания
Взаимодействие с пользователем
Загрузка свойств
Обновления программного обеспечения добавляются к группе обновления программного обеспечения.
Группа обновлений программного обеспечения развертывается на клиентских компьютерах в целевой коллекции, если она указана.
Необходимо определить, какая стратегия развертывания будет использоваться в среде. Например, можно создать правило автоматического развертывания и указать в качестве цели коллекцию тестовых клиентов. После проверки установки обновлений в тестовой группе можно указать другую коллекцию в правиле, чтобы выполнить развертывание для большего числа клиентов. Объекты обновления программного обеспечения, создаваемые правилами автоматического развертывания, являются интерактивными.
Обновления программного обеспечения, которые были развернуты с помощью правила автоматического развертывания, автоматически развертываются на новых клиентах, включенных в целевую коллекцию.
Новые обновления, добавленные в группу обновления программного обеспечения, автоматически развертываются на клиентах в целевой коллекции.
В любой момент времени для правила автоматического развертывания можно включать и отключать развертывания.
Процесс развертывания обновлений программного обеспечения
После развертывания обновлений программного обеспечения или при развертывании обновлений правилом автоматического развертывания к политике компьютера сайта добавляется политика назначения развертываний. Обновления программного обеспечения загружаются из расположения загрузки, Интернета или общей сетевой папки в исходную папку пакета. Обновления копируются из исходной папки пакета в библиотеку содержимого на сервере сайта, после чего они копируются в библиотеку содержимого на точке распространения.
Когда клиентский компьютер в целевой коллекции развертывания получает политику компьютера, агент клиента обновления программного обеспечения запускает оценочное сканирование. Агент клиента загружает содержимое требуемых обновлений программного обеспечения из точки распространения в локальный кэш клиента вскоре после получения развертывания, однако дальнейшие действия не выполняются до тех пор, пока не истечет указанный в параметре развертывания Время доступности программного обеспечения период, в течение которого обновления становятся доступными для установки. Обновления программного обеспечения для необязательных развертываний (развертываниях, для которых не задан срок установки) не загружаются до тех пор, пока пользователь не запустит установку вручную.
По истечении заданного срока агент клиента обновления программного обеспечения выполняет сканирование для проверки того, что обновления все еще требуются. Затем выполняется проверка локального кэша на клиентском компьютере с целью подтверждения доступности исходных файлов обновления. Наконец, клиент устанавливает обновления программного обеспечения. Если содержимое было удалено из кэша клиента с целью освобождения дискового пространства для другого развертывания, клиент повторно загружает обновления из точки распространения в кэш клиента. Обновления программного обеспечения всегда загружаются в кэш клиента, независимо от заданного максимального размера кэша. После завершения установки агент клиента проверяет отсутствие требуемых обновлений программного обеспечения, а затем отправляет сообщение состояния для точки управления, в котором указывается факт завершения установки обновлений программного обеспечения на клиенте.
Обязательная перезагрузка системы
Перезапуск системы производится по умолчанию, когда он необходим для завершения установки обновлений программного обеспечения на компьютере клиента с помощью обязательного развертывания. Для всех обновлений программного обеспечения, которые были установлены до наступления крайнего срока, автоматический перезапуск системы откладывается до этого момента, если только перезапуск компьютера не производится раньше по какой-либо другой причине. Можно подавить перезагрузку системы для серверов и рабочих станций. Соответствующие параметры настраиваются на странице Взаимодействие с пользователем мастера развертывания обновлений программного обеспечения или мастера создания правил автоматического обновления.
Цикл переоценки развертывания
По умолчанию клиентские компьютеры запускают цикл переоценки развертывания каждые 7 дней. В ходе этого цикла оценки компьютер клиента проверяет наличие ранее развернутых и установленных обновлений программного обеспечения. Если какие-либо обновления не обнаруживаются, они переустанавливаются из локального кэша. Если обновление больше не доступно в локальном кэше, оно загружается из точки распространения, поле чего происходит его установка. Расписание повторной оценки можно настроить на странице Обновления программного обеспечения параметров клиента для сайта.
Поддержка устройств Windows Embedded, использующих фильтры записи
Для System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и более поздних версий:
При развертывании обновлений программного обеспечения на устройства Windows Embedded с включенными фильтрами можно указать, что в ходе развертывания нужно отключить фильтр записи на устройстве, а затем перезапустит�� устройство после завершения развертывания. Если фильтр записи не отключен, то программное обеспечение развертывается во временный оверлей, а его установка не будет завершена после перезапуска устройства, если только другое развертывание не обеспечит принудительного применения изменений.
| Примечание |
|---|
При развертывании обновления программного обеспечения на устройство Windows Embedded убедитесь, что устройство входит в коллекцию, для которой настроено окно обслуживания. Это позволит управлять включением и отключением фильтра записи, а также перезапуском устройства. |
Элемент пользовательского интерфейса, отвечающий за режим работы фильтра записи, представляет собой флажок под названием Зафиксировать изменения после истечения крайнего срока или в окне обслуживания (необходим перезапуск).
Дополнительные сведения о том, как Configuration Manager управляет устройствами Windows Embedded с фильтрами записи, см. в разделе Развертывание клиента Configuration Manager на устройствах Windows Embedded статьи Общие сведения о развертывании клиентов в Configuration Manager.
Расширение доступа к обновлениям программного обеспечения в Configuration Manager
Используйте System Center Updates Publisher 2011 для управления обновлениями программного обеспечения, недоступными в Microsoft Update. После завершения публикации обновлений программного обеспечения на сервере обновлений и синхронизации обновлений программного обеспечения в Configuration Manager можно развернуть обновления программного обеспечения на клиентах Configuration Manager. Дополнительные сведения о Updates Publisher 2011 см в статьей Updates Publisher 2011.
Защита доступа к сети
Configuration Manager Служба защиты доступа к сети (NAP) взаимодействует с Configuration Manager и службой защиты сетевого доступа Windows для обеспечения безопасности сети.
Защита доступа к сети и обновления программного обеспечения
Если защита доступа к сети включена, клиенты Configuration Manager могут определять, соответствуют ли они выбранным обновлениям программного обеспечения. Клиенты Configuration Manager отправляют эти сведения в состоянии работоспособности (SoH). Они представляются средству проверки работоспособности системы Configuration Manager, расположенному на компьютере с ролью системы сайта «Точка проверки работоспособности систем».
Точка работоспособности систем устанавливается на компьютере под управлением Windows Server 2008 с ролью "Сервер политики сети". Она проверяет, является ли клиентский компьютер соответствующим и передает сведения о состоянии работоспособности этого компьютера серверу политики сети Windows.
Обеспечение соответствия обновлений программного обеспечения на сервере политики сети
Сервер политики сети Windows настроен на использование политик, определяющих действия для компьютеров, которые были определены как соответствующие или несоответствующие.
Если состояние работоспособности клиента не может быть определено, возникает условие ошибки. По умолчанию все условия ошибки сопоставляются с состоянием несовместимости. Однако они разбиты на пять категорий, и каждую категорию можно настроить для сопоставления с состоянием совместимости или несовместимости.
Возможные действия сервера политики сети зависят от состояния работоспособности компьютера, в число которых входят следующие:
Запрет полного доступа к сети
Предоставление полного доступа к сети, но в течение ограниченного времени
Предоставление полного доступа к сети без ограничений по времени
Исправление несоответствующих компьютеров для приведения их в соответствие с политиками
Важно понимать, что пользователь Configuration Manager с правами администратора не может управлять выполняемым действием, поскольку состояние работоспособности компьютера автоматически передается серверу политики сети. Однако, если сервер политики сети настроен на принудительное обеспечение соответствия посредством исправления, службы Configuration Manager обеспечивают доставку обновлений, необходимых для приведения несоответствующих клиентов в состояние соответствия. После обеспечения соответствия в результате исправления клиенты повторно оценивают свою работоспособность. Состояние работоспособности меняется с несоответствующего на соответствующее.
Настройка обновлений программного обеспечения для службы защиты доступа к сети
Обновления, требуемые для обеспечения соответствия клиентов, определяются посредством создания политик защиты доступа к сети в Configuration Manager. Можно выбрать только те обновления программного обеспечения, которые уже были загружены в библиотеку содержимого на сервере сайта. В отличие от развертываний обновлений программного обеспечения, ориентированных на выбранные администратором коллекции, политики защиты доступа к сети Configuration Manager автоматически ориентируются на все компьютеры, назначенные сайту. Политики защиты доступа к сети Configuration Manager распространяются вниз по иерархии Configuration Manager, аналогично поведению развертываний программного обеспечения и пакетов в Configuration Manager. Затем сайты, наследующие политики защиты доступа к сети Configuration Manager, автоматически нацеливают политики защиты доступа к сети Configuration Manager на клиентов, назначенных сайту.
| Важно |
|---|
Так как данное автоматическое нацеливание и наследование действует в рамках всей иерархии, необходимо помнить, что политика защиты доступа к сети Configuration Manager потенциально распространяется на каждого клиента в иерархии. |
Новые возможности Configuration Manager
| Примечание |
|---|
Сведения из этого раздела также содержатся в в руководстве Приступая к работе с System Center 2012 Configuration Manager. |
Общие принципы развертывания обновлений ПО в System Center 2012 Configuration Manager такие же, какими они были в Configuration Manager 2007, но теперь доступен ряд новых и обновленных функций, улучшающих процесс развертывания обновлений. Это включает в себя автоматическое утверждение и развертывание обновлений программного обеспечения, улучшенный поиск с расширенными критериями, улучшенное отслеживание обновлений программного обеспечения и более широкие возможности управления, предоставляемые пользователю для составления расписаний установки обновлений программного обеспечения.
Следующие элементы представлены впервые или были изменены с момента выпуска Configuration Manager 2007.
Группы обновлений программного обеспечения являются новой функцией в Configuration Manager, они заменяют списки обновлений, которые использовались в Configuration Manager 2007. Группы обновлений позволяют эффективнее упорядочивать обновления программного обеспечения в вашей среде. Можно вручную добавлять обновления ПО в группу обновлений, можно автоматически добавлять обновления в новую или существующую группу обновлений с помощью правила автоматического развертывания. Развертывать группу обновлений также можно вручную или автоматически с помощью правила автоматического развертывания. После развертывания группы обновлений ПО можно добавить в эту группу новые обновления, и они будут автоматически развернуты.
Правила автоматического развертывания автоматически утверждают и развертывают обновления ПО. Можно указывать условия обновлений (например, все обновления для Windows 7, выпущенные за последнюю неделю); обновления добавляются в группу обновлений; можно настраивать параметры развертывания и мониторинга, а также принимать решения о развертывании обновлений, входящих в состав группы обновлений. Можно развертывать обновления ПО в группе обновлений или получать информацию о соответствии обновлений ПО, входящих в состав группы, от клиентских компьютеров, не развертывая эти обновления.
При просмотре списка обновлений в консоли Configuration Manager можно использовать новую систему поиска и расширенные условия поиска. Чтобы упростить поиск необходимых обновлений программного обеспечения, можно добавить набор критериев. Можно сохранить условия поиска для последующего использования. Например, можно настроить условия поиска так, чтобы находить все критические обновления программного обеспечения для Windows 7 и все обновления ПО, выпущенные за последний год. После фильтрации необходимых обновлений можно выбрать отдельные обновления программного обеспечения и просмотреть связанные с ними сведения о соответствии требованиям, создать группу обновлений, содержащую обновления программного обеспечения, вручную развернуть обновления программного обеспечения и т. п.
В консоли Configuration Manager можно отслеживать следующие объекты и процессы обновлений ПО:
важные данные о соответствии обновлений ПО требованиям и об их развертывании;
подробные сообщения о состоянии для всех развертываний и активов;
коды ошибок обновлений с дополнительными сведениями, помогающими установить причину неполадок;
состояние синхронизации обновлений ПО;
важные оповещения, связанн��е с обновлениями ПО.
Также доступны отчеты об обновлениях, содержащие подробную информацию о состоянии для обновлений, групп обновлений и развертываний обновлений ПО.
Для заменяемых обновлений ПО в Configuration Manager 2007 автоматически истекал срок действия в процессе полной синхронизации обновлений для сайта. В System Center 2012 Configuration Manager можно выбрать режим управления заменяемыми обновлениями программного обеспечения, аналогичный применяемому в Configuration Manager 2007 или же настроить конкретное время, в течение которого срок действия обновления программного обеспечения не истекает автоматически после замены обновления. В течение этого времени можно развертывать заменяемые обновления.
В Configuration Manager пользователи обладают более полным контролем над временем установки обновлений ПО на свои компьютеры.Configuration Manager Software Center — это приложение, устанавливаемое совместно с клиентом Configuration Manager. Пользователи запускают это приложение из меню Пуск для управления развернутым программным обеспечением. Это касается и обновлений программного обеспечения. В Центре программного обеспечения пользователи могут планировать установку обновлений в удобное время до крайнего срока, а также могут устанавливать необязательные обновления. Например, можно указать рабочее время и настроить обновления программного обеспечения для запуска в нерабочее время, чтобы свести к минимуму снижение производительности работы. По достижении крайнего срока обновления начинается установка обновления.
В библиотеке содержимого System Center 2012 Configuration Manager хранятся все файлы содержимого для обновлений ПО, приложений, развертываний операционных систем и пр. Библиотека содержимого является единым хранилищем, в котором файлы содержимого хранятся в единственном экземпляре на сервере сайта и в точках распространения, что являет собой преимущество в управлении содержимым по сравнению с Configuration Manager 2007. Например, в Configuration Manager 2007 одни и те же файлы содержимого можно было развертывать по нескольку раз с помощью разных развертываний и пакетов развертывания. В результате одни и те же файлы содержимого сохранялись на сервере сайта и в точках распространения по нескольку раз, что приводило к излишним затратам на обработку и завышенным требованиям к дисковому пространству.
Дополнительные сведения об управлении содержимым см. в разделе Библиотека контента статьи Введение в управление содержимым с помощью Configuration Manager.
Узла Шаблоны развертывания, предназначенного для управления шаблонами, больше нет в консоли Configuration Manager. Шаблоны развертывания можно создавать только с помощью мастера правил автоматического развертывания или мастера развертывания обновлений программного обеспечения. В шаблонах развертывания хранится множество свойств развертываний, которые могут быть не меняться для нескольких развертываний. Используя шаблоны, пользователи с правами администратора могут сэкономить немало времени при развертывании обновлений программного обеспечения.
Можно создавать шаблоны развертывания для различных сценариев развертывания в используемой среде. Например, можно создать шаблон для срочных развертываний обновлений ПО и для запланированных развертываний обновлений ПО. Шаблон срочного развертывания может скрыть отображение уведомлений на клиентских компьютерах, задать крайний срок через 0 дней после расписания развертывания и разрешить перезапуск системы вне периодов обслуживания. Шаблон запланированного развертывания может разрешить отображение уведомлений на клиентских компьютерах и задать крайний срок через 14 дней после расписания развертывания.
При получении интернете-клиентом развертывания клиент сначала попытается загрузить файлы программного обеспечения в Центре обновления Майкрософт, а не в точках распространения. Если не удалось установить подключение к серверу Майкрософт, то клиенты вернутся к использованию точки распространения, на которой размещены файлы обновлений и которая настроена для подключения клиентов из Интернета.
В System Center 2012 Configuration Manager по-прежнему можно развертывать обновления, но видимого объекта развертывания больше нет. Развертывание теперь является вложенным объектом в группе обновлений программного обеспечения.
В состав развертывания обновлений программного обеспечения могут входить не более 1000 обновлений программного обеспечения. Этот предел невозможно изменить. При создании правила автоматического развертывания убедитесь, что указанные критерии не позволяют выбрать более 1000 обновлений программного обеспечения. При развертывании обновлений вручную выбирайте не более 1000 обновлений для развертывания.
Узел Защита доступа к сети в консоли Configuration Manager и мастер новых политик больше не доступны в System Center 2012 Configuration Manager. Чтобы создать политику NAP для обновлений программного обеспечения необходимо выбрать параметр Включить анализ NAP на вкладке Анализ NAP в свойствах обновления программного обеспечения.
Новые возможности Configuration Manager с пакетом обновления 1 (SP1)
| Примечание |
|---|
Сведения из этого раздела также содержатся в в руководстве Приступая к работе с System Center 2012 Configuration Manager. |
Следующие элементы, связанные с обновлениями программного обеспечения, являются новыми или измененными в Configuration Manager с пакетом обновления 1 (SP1):
Изменен механизм функционирования точек обновления программного обеспечения в Configuration Manager с пакетом обновления 1 (SP1). На сайте можно установить несколько систем сайта, связанных с точками обновления. Точку обновления программного обеспечения можно настроить для размещения в том же самом лесу, что и сервер сайта, или же в другом лесу, а также разрешить или запретить ей обмен данными с клиентами в Интернете, в интрасети или в обеих сетях одновременно. Это поведение обеспечивает определенный уровень отказоустойчивости, не требуя использования кластера балансировки сетевой нагрузки (NLB). На вторичном сайте невозможно установить больше одной точки обновления программного обеспечения. Дополнительные сведения см. в разделе Определение инфраструктуры точек обновления программного обеспечения статьи Планирование обновления программного обеспечения в Configuration Manager.
ПримечаниеПоддержка концепции активных точек обновления программного обеспечения удалена из Configuration Manager с пакетом обновления 1 (SP1).
Точку обновления программного обеспечения больше нельзя настроить в качестве балансировщика сетевой нагрузки с помощью консоли Configuration Manager. Прежде чем переходить с Configuration Manager без пакетов обновления на Configuration Manager с пакетом обновления 1 (SP1), необходимо удалить балансировщик сетевой нагрузки для активной точки обновления программного обеспечения. После завершения обновления балансировщик сетевой нагрузки можно настроить с помощью командлета PowerShell под названием Set-CMSoftwareUpdatePoint. Дополнительные сведения о точке обновления программного обеспечения, настроенной на использование балансировки сетевой нагрузки, см. в разделе Точка обновления программного обеспечения, настроенная для использования балансировки сетевой нагрузки статьи Планирование обновления программного обеспечения в Configuration Manager. Дополнительные сведения о командлете PowerShell Set-CMSoftwareUpdatePoint см. в разделе Set-CMSoftwareUpdatePoint справочника по командлетам System Center 2012 Configuration Manager с пакетом обновления 1 (SP1).
На сайте верхнего уровня Configuration Manager теперь можно указать существующий WSUS-сервер в качестве расположения вышестоящего источника синхронизации. В ходе синхронизации сайт подключается к этому расположению для синхронизации обновлений программного обеспечения. К примеру, при наличии WSUS-сервера, не входящего в состав иерархии Configuration Manager, можно указать синхронизацию обновлений программного обеспечения с помощью имеющегося WSUS-сервера.
В мастере правил автоматического развертывания можно выбрать один из двух встроенных шаблонов развертывания программного обеспечения. Шаблон Обновления определений содержит общие параметры, используемые при развертывании обновлений для определений ПО. Шаблон Вторник установки исправлений содержит общие параметры, используемые в ходе ежемесячного цикла развертывания обновлений ПО.
В свойствах точки обновления программного обеспечения можно указать регистрационные данные, которые сервер сайта будет использовать для подключения к WSUS-серверу. Например, для этой учетной записи можно указать подключение к точке обновления программного обеспечения, находящейся в другом лесу.
Правило автоматического развертывания можно запустить до 3 раз в день, чтобы соответствовать частоте публикации обновлений определений Endpoint Protection.
В центре программного обеспечения можно выбрать несколько обновлений программного обеспечения для установки в виде группы.
Поведение фильтра записи на устройствах Windows Embedded при развертывании обновления для программного обеспечения можно регулировать. Для этого служит пользовательский параметр Применить изменения при наступлении крайнего срока или во время периода обслуживания (требуется перезагрузка). Дополнительные сведения о том, как Configuration Manager управляет устройствами Windows Embedded с фильтрами записи, см. в разделе Развертывание клиента Configuration Manager на устройствах Windows Embedded статьи Общие сведения о развертывании клиентов в Configuration Manager.
Новый клиентский параметр Агент компьютера, Запретить случайный выбор срока, позволяет отключить случайную задержку установки для обязательных приложений и обязательных обновлений ПО. Дополнительные сведения см. в разделе Агент компьютера статьи О параметрах клиентов в Configuration Manager.
Новые возможности System Center 2012 R2 Configuration Manager
| Примечание |
|---|
Сведения из этого раздела также содержатся в в руководстве Приступая к работе с System Center 2012 Configuration Manager. |
Следующие элементы, связанные с обновлениями программного обеспечения, представлены впервые или измены в System Center 2012 R2 Configuration Manager.
Новый период обслуживания для установки обновлений программного обеспечения. Позволяет настраивать общий и различные периоды обслуживания для обновлений программного обеспечения. При настройке как общего периода обслуживания, так и периода обслуживания обновлений программного обеспечения, клиенты устанавливают эти обновления только в ходе последнего. Дополнительные сведения о периодах обслуживания см. в разделе Сведения об использовании окон обслуживания в диспетчере конфигурации.
Теперь возможно изменить пакет развертывания для существующих правил автоматического развертывания. Обновления программного обеспечения добавляются в указанный пакет развертывания при каждом выполнении правила автоматического развертывания. Со временем пакеты развертывания могут значительно увеличиться в объеме и повлиять на сценарии репликации, в частности, при добавлении новой точки распространения к иерархии или группе точек распространения. Теперь можно периодически изменять пакет развертывания, чтобы не допустить значительного увеличения его объема. Дополнительные сведения о правилах автоматического развертывания см. в разделе Автоматическое развертывание обновлений программного обеспечения этой статьи.
Теперь можно просматривать обновления программного обеспечения, соответствующие фильтрам свойств и критериям поиска в правиле автоматического развертывания. Просмотр обновлений программного обеспечения позволяет проверять их перед созданием развертывания. Кнопка Просмотр расположена на странице Обновления программного обеспечения мастера автоматического развертывания и на вкладке Обновления программного обеспечения в свойствах правила автоматического развертывания.