Configuration Manager 中的软件更新简介
适用对象:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
System Center 2012 Configuration Manager 中的软件更新提供了一组工具和资源,可帮助管理跟踪软件更新并将其应用到企业中的客户端计算机的复杂任务。 要维持运行效率、克服安全问题和保持网络基础结构的稳定性,有效的软件更新管理过程是必不可少的。 但是,由于技术日新月异,并且新的安全威胁不断出现,因此需要始终如一地持续关注有效的软件更新管理。
有关软件更新的详细信息,请参阅下列部分:
软件更新同步
软件更新符合性评估
软件更新部署包
软件更新部署工作流
软件更新部署过程
扩展 Configuration Manager 中的软件更新
对使用写入筛选器的 Windows Embedded 设备的支持
网络访问保护
Configuration Manager 中的新增功能
Configuration Manager SP1 中的新增功能
System Center 2012 R2 Configuration Manager 的新增功能
有关演示如何能在你的环境中部署软件更新的示例方案,请参阅 使用 Configuration Manager 部署和监视 Microsoft 每月发布的安全软件更新的示例方案。
软件更新同步
配置管理器 中的软件更新同步使用 Microsoft 更新来检索软件更新元数据。 顶层站点(管理中心站点或独立主站点)按计划或在你从 配置管理器 控制台中手动启动同步时与 Microsoft 更新同步。 当 配置管理器 在顶层站点上完成软件更新同步时,软件更新同步将在子站点(如果存在)上开始。 当同步在每个主站点或辅助站点上完成时,将会创建一个站点范围的策略,该策略向客户端计算机提供软件更新点的位置。
.jpeg "System_CAPS_note"){kind=icon} 注意 |
|---|
默认情况下,软件更新在客户端设置中启用。 但是,如果将“在客户端上启用软件更新”客户端设置设置为“否”以禁用集合上或默认设置中的软件更新,软件更新点的位置不会发送到关联客户端。 有关软件更新客户端设置的详细信息,请参阅 软件更新 主题中的 关于 Configuration Manager 中的客户端设置 部分。 |
客户端收到策略后,将启动软件更新符合性扫描,并将信息写入到 Windows Management Instrumentation (WMI)。 然后,符合性信息将发送到管理点,后者随后将该信息发送到站点服务器。 有关符合性评估的详细信息,请参阅本主题中的 软件更新符合性评估 部分。
适用于 System Center 2012 Configuration Manager SP1 和更高版本:
从 配置管理器 SP1 开始,你可以在主站点上安装多个软件更新点。 你安装的第一个软件更新点配置为同步源。 此同步源通过不在 配置管理器 层次结构中的 Microsoft 更新或 WSUS 服务器进行同步。 站点上的其他软件更新点使用第一个软件更新点作为同步源。
| 注意 |
|---|
当软件更新同步过程在顶层站点上完成时,将通过使用数据库复制将软件更新元数据复制到子站点。 将 配置管理器 控制台连接到子站点时,配置管理器 将显示软件更新元数据。 但是,在你在站点上安装和配置软件更新点之前,客户端将不会扫描软件更新符合性,客户端将不会向 配置管理器 报告符合性信息,并且你无法成功部署软件更新。 |
顶层站点上的同步
顶层站点上的软件更新同步过程从 Microsoft 更新中检索满足你在软件更新点组件属性中所指定条件的软件更新元数据。 你只能在顶层站点上配置条件。
| 注意 |
|---|
从 配置管理器 SP1 开始,你可以在顶层站点上将不在 配置管理器 层次结构中的现有 WSUS 服务器指定为同步源(而不是 Microsoft 更新)。 |
以下列表描述顶层站点上的同步过程的基本步骤:
软件更新同步开始。
WSUS Synchronization Manager 向运行在软件更新点上的 WSUS 发送请求,以开始与 Microsoft 更新的同步。
将从 Microsoft 更新同步软件更新元数据,并在 WSUS 数据库中插入或更新任何更改。
当 WSUS 完成同步时,WSUS Synchronization Manager 会将软件更新元数据从 WSUS 数据库同步到 配置管理器 数据库,并在站点数据库中插入或更新上一次同步后的任何更改。 软件更新元数据以配置项目的形式存储在站点数据库中。
将使用数据库复制将软件更新配置项目发送到子站点。
同步成功完成后,WSUS Synchronization Manager 将创建状态消息 6702。
WSUS Synchronization Manager 将同步请求发送到所有子站点。
仅适用于运行 System Center 2012 Configuration Manager SP1 的独立主站点:
WSUS Synchronization Manager 以一次一个的形式将请求发送到运行在站点的其他软件更新点上的 WSUS。 其他软件更新点上的 WSUS 服务器被配置为运行在站点的默认软件更新点上的 WSUS 的副本。
子主站点和辅助站点上的同步
在顶层站点上的软件更新同步过程中,将通过使用数据库复制将软件更新配置项目复制到子站点。 该过程结束时,顶层站点会向子站点发送同步请求,并且子站点将开始 WSUS 同步。 以下列表提供子主站点或辅助站点上的同步过程的基本步骤:
WSUS Synchronization Manager 收到来自顶层站点的同步请求。
软件更新同步开始。
WSUS Synchronization Manager 向运行在软件更新点上的 WSUS 发送请求以开始同步。
运行在子站点的软件更新点上的 WSUS 从运行在父站点的软件更新点上的 WSUS 中同步软件更新元数据。
同步成功完成后,WSUS Synchronization Manager 将创建状态消息 6702。
WSUS Synchronization Manager 从主站点中向任何子辅助站点发送同步请求。 辅助站点开始与父主站点的软件更新同步。 辅助站点被配置为运行在父站点上的 WSUS 的副本。
仅针对不带 Service Pack 的 配置管理器:
如果有基于 Internet 的远程软件更新点,WSUS Synchronization Manager 将为运行在远程站点系统上的 WSUS 启动同步过程。
适用于 System Center 2012 Configuration Manager SP1 和更高版本:
WSUS Synchronization Manager 以一次一个的形式将请求发送到运行在站点的其他软件更新点上的 WSUS。 其他软件更新点上的 WSUS 服务器被配置为运行在站点的默认软件更新点上的 WSUS 的副本。
基于 Internet 的软件更新点的同步
.jpeg "System_CAPS_important"){kind=icon} 重要事项 |
|---|
本部分仅适用于不带 Service Pack 的 配置管理器。 |
为站点上的活动软件更新点完成同步后,将为站点上基于 Internet 的活动软件更新点启动同步(如果配置了该更新点)。 此过程类似于子站点上的同步过程,只是运行在基于 Internet 的活动软件更新点上的 WSUS 会与运行在同一站点的活动软件更新点上的 WSUS 同步。
WSUS Synchronization Manager 向运行在基于 Internet 的远程软件更新点上的 WSUS 发送请求以开始同步。
运行在基于 Internet 的远程软件更新点上的 WSUS 从运行在同一站点的活动软件更新点上的 WSUS 中同步软件更新元数据。
同步成功完成后,WSUS Synchronization Manager 将创建状态消息 6702。
WSUS Synchronization Manager 将同步请求发送到任何子站点。
如果为基于 Internet 的软件更新点配置的同步源未配置为与上游更新服务器同步,则可以使用 WSUSutil 工具的Export和Import功能从站点的活动软件更新点中同步软件更新元数据。 有关详细信息,请参阅从断开连接的软件更新点中同步软件更新主题中的在 Configuration Manager 中配置软件更新部分。
软件更新符合性评估
在将软件更新部署到 配置管理器 中的客户端计算机之前,请在客户端计算机上启动软件更新符合性扫描。 对于每个软件更新,将创建一条状态消息,其中包含该更新的符合性状态。 状态消息将成批发送到管理点,并随后发送到站点服务器,在站点服务器中,会将符合性状态插入站点数据库。 软件更新的符合性状态显示在 配置管理器 控制台中。 你可以在需要更新的计算机上部署和安装软件更新。 下列部分提供有关符合性状态的信息,并描述用于扫描软件更新符合性的过程。
软件更新符合性状态
下表列出并描述了为软件更新在 配置管理器 控制台中显示的每个符合性状态。
状态 |
描述 |
|---|---|
必需 |
指定软件更新在客户端计算机上适用且为必需。 如果软件更新状态为“必需”,则可能存在以下情况:
|
不需要 |
指定软件更新在客户端计算机上不适用。 因此不需要该软件更新。 |
已安装 |
指定软件更新在客户端计算机上适用,并且客户端计算机已安装了该软件更新。 |
未知 |
指定站点服务器尚未收到来自客户端计算机的状态消息,通常是下列原因之一导致的:
|
扫描软件更新符合性过程
安装并同步了软件更新点之后,将创建一个站点范围的计算机策略,该策略告知客户端计算机已为站点启用了 配置管理器 软件更新。 客户端收到该计算机策略后,会计划在接下来的两个小时内随机启动符合性评估扫描。 扫描启动后,软件更新客户端代理过程将清除扫描历史记录,提交请求以查找应用于扫描的 WSUS 服务器,并使用 WSUS 服务器位置更新本地组策略。
| 注意 |
|---|
基于 Internet 的客户端必须使用 SSL 连接到 WSUS 服务器。 |
扫描请求传递到 Windows 更新代理 (WUA)。 然后,WUA 连接到本地策略中列出的 WSUS 服务器位置,检索在 WSUS 服务器上同步的软件更新元数据,并在客户端计算机中扫描更新。 软件更新客户端代理进程检测到符合性扫描已完成,并且会为上次扫描之后符合性状态发生更改的每个软件更新创建状态消息。 状态消息每 15 分钟向管理点批量发送一次。 然后管理点将状态消息转发给站点服务器,在站点服务器中,会将状态消息插入站点服务器数据库。
初次扫描软件更新符合性之后,会按照配置的扫描计划开始扫描。 但是,如果客户端在生存时间 (TTL) 值所指明的时间范围内扫描了软件更新符合性,则客户端会使用本地存储的软件更新元数据。 当上一次扫描在 TTL 之外时,客户端必须连接到在软件更新点上运行的 WSUS,并更新存储在客户端上的软件更新元数据。
包括扫描计划,软件更新符合性扫描可以用下列方法启动:
软件更新扫描计划:软件更新符合性扫描按照软件更新客户端代理设置中配置的扫描计划开始。 有关如何配置软件更新客户端设置的详细信息,请参阅 软件更新 主题中的 关于 Configuration Manager 中的客户端设置 部分。
Configuration Manager 属性操作:用户可以在客户端计算机上的“Configuration Manager 属性”对话框内的“操作”选项卡上启动“软件更新扫描周期”或“软件更新部署评估周期”操作。
部署重估计划:软件更新符合性的部署重估和扫描按照软件更新客户端代理设置中配置的部署重估计划开始。 有关软件更新客户端设置的详细信息,请参阅 软件更新 主题中的 关于 Configuration Manager 中的客户端设置 部分。
下载更新文件之前:当客户端计算机收到新的所需部署的分配策略时,软件更新客户端代理会将软件更新文件下载到本地客户端缓存。 下载软件更新文件之前,客户端代理将启动扫描以验证是否仍然需要软件更新。
在软件更新安装之前:下载软件更新安装之前,软件更新客户端代理将启动扫描以验证是否仍然需要软件更新。
在软件更新安装之后:软件更新安装完成之后,软件更新客户端代理将立即启动扫描以验证是否不再需要软件更新,并创建新状态消息来表明已安装了软件更新。 如果完成了安装,但需要重启,则状态消息会指明客户端计算机正在等待重启。
在系统重启之后:当客户端计算机等待系统重启以完成软件更新安装时,软件更新客户端代理将在重启后启动扫描以验证是否不再需要软件更新,并创建一条状态消息来表明已安装了软件更新。
生存时间值
扫描软件更新符合性所需的软件更新元数据存储在本地客户端计算机上,默认情况下其相关性时间最长为 24 小时。 此值称为生成时间 (TTL)。
扫描软件更新符合性类型
客户端将使用联机或脱机扫描以及强制或非强制扫描来扫描软件更新符合性,具体取决于启动软件更新符合性扫描的方式。 下表描述哪些扫描启动方法是联机或脱机方法,那些扫描是强制或非强制扫描。
扫描方法 |
扫描类型 |
描述 |
|---|---|---|
软件更新扫描计划 |
非强制联机扫描 |
按照配置的扫描计划,客户端将连接到在软件更新点上运行的 WSUS,以仅当上次扫描在 TTL 外时检索软件更新元数据。 |
软件更新扫描周期 或 软件更新部署评估周期 |
强制联机扫描 |
客户端计算机始终连接到在软件更新点上运行的 WSUS,以在客户端计算机扫描软件更新符合性之前检索软件更新元数据。 完成扫描后,TTL 计数器将重置。 例如,TTL 为 24 小时,在用户启动软件更新符合性扫描之后,TTL 将重置为 24 小时。 |
部署重估计划 |
非强制联机扫描 |
按照配置的部署重估计划,客户端将连接到在软件更新点上运行的 WSUS,以仅当上次扫描在 TTL 外时检索软件更新元数据。 |
下载更新文件之前 |
非强制联机扫描 |
在客户端能够下载所需部署中的更新之前,客户端将连接到在软件更新点上运行的 WSUS,以仅当上次扫描在 TTL 外时检索软件更新元数据。 |
在软件更新安装之前 |
非强制联机扫描 |
在客户端安装所需部署中的软件更新之前,客户端将连接到在软件更新点上运行的 WSUS,以仅当上次扫描在 TTL 外时检索软件更新元数据。 |
在软件更新安装之后: |
强制脱机扫描 |
安装了软件更新之后,软件更新客户端代理使用本地元数据启动扫描。 客户端从不连接到在软件更新点上运行的 WSUS 以检索软件更新元数据。 |
在系统重启之后 |
强制脱机扫描 |
安装了软件更新并且重启计算机之后,软件更新客户端代理使用本地元数据启动扫描。 客户端从不连接到在软件更新点上运行的 WSUS 以检索软件更新元数据。 |
软件更新部署包
软件更新部署包是用于将软件更新下载到网络共享文件夹的载体,并将软件更新源文件复制到站点服务器上的内容库,以及部署中定义的分发点上的内容库。 通过使用下载更新向导,你可以下载软件更新并在部署它们之前将其添加到部署包。 此向导允许你设置分发点上的软件更新,以及在将软件更新部署到客户端之前验证此部分部署过程是否成功。
使用部署软件更新向导来部署下载的软件更新之前,部署会自动使用包含软件更新的部署包。 部署尚未下载的软件更新时,你必须在部署软件更新向导中指定新的或现有的部署包,完成向导时将下载软件更新。
| 重要事项 |
|---|
在向导中指定共享网络文件夹之前,必须为部署包源文件创建该文件夹。 每个部署包必须使用不同的共享网络文件夹。 |
.jpeg "System_CAPS_security") 安全性注意 |
|---|
SMS 提供程序计算机帐户和实际下载软件更新的管理用户都需要对包源具有“写” 权限。 限制对此包源的访问,以减少攻击者在包源中篡改软件更新源文件的风险。 |
如果创建新部署包,则在下载任何软件更新之前会将内容版本设置为 1。 使用包下载软件更新文件时,内容版本递增至 2。 因此,所有新部署包从内容版本 2 开始。 每次部署包中内容更改时,内容版本值递增 1。 有关 配置管理器 中内容管理的详细信息,请参阅 Configuration Manager 中的内容管理简介。
客户端使用具有可用软件更新的任何分发点来安装部署中的软件更新,无部署包无关。 即使为活动部署删除了部署包,只要每个更新已至少下载到一个其他部署包,并且在可从客户端访问的分发点上可用,客户端也仍然可以在部署中安装软件更新。 如果删除了包含软件更新的上一个部署包,则在将更新下载到部署包之前,客户端计算机无法检索软件更新。 当更新文件不在任何部署包中时,将在 配置管理器 控制台中用红色箭头来显示软件更新。 如果部署在此条件下包含任何更新,则用双红色箭头来显示部署。
软件更新部署工作流
在你的环境中部署软件更新有两个主要方案,即手动部署和自动部署。 通常,你手动部署软件更新以为客户端计算机创建基线,然后使用自动部署在客户端上管理软件更新。 下列部分提供有关软件更新的手动和自动部署工作流的概要。
软件更新的手动部署
软件更新手动部署是在 配置管理器 控制台中选择软件更新并手动启动部署过程的过程。 在创建将管理进行中的每月软件更新部署的自动部署规则之前,你通常将使用此部署方法以用所需的软件更新使客户端计算机保持最新,并部署带外软件更新要求。 以下列表提供手动部署软件更新的一般工作流:
使用特定要求的软件更新的筛选。 例如,你可以提供条件,以检索在 50 多台客户端设备上所需要的所有安全或严重软件更新。
创建包含软件更新的软件更新组。
下载软件更新组中的软件更新的内容。
手动部署软件更新组。
软件更新的自动部署
通过使用自动部署规则配置自动软件更新部署。 你通常将此部署方法用于每月软件更新(通称为周二补丁日)以及管理定义更新。 规则运行时,软件更新将从软件更新组中删除(如果使用现有组),将符合指定条件(例如,在最后一周中发布的所有安全软件更新)的软件更新添加到软件更新组中,软件更新的内容文件将下载和复制到分发点,并将软件更新部署到目标集合中的客户端计算机。 以下列表提供自动部署软件更新的一般工作流:
创建自动部署规则以指定部署设置,如:
目标集合
确定对目标集合中的客户端计算机是启用部署还是报告软件更新符合性
软件更新条件
评估和部署计划
用户体验
下载属性
软件更新会添加到软件更新组中。
如果已指定软件更新组,则将其部署到目标集合中的客户端计算机。
必须确定要在环境中使用的部署策略。 例如,你可以创建自动部署规则并以测试客户端集合为目标。 验证在测试组上是否安装了软件更新之后,你可以更改自动部署规则中的集合,从而以包含更大客户端集的目标集合为目标。 自动部署规则所创建的软件更新对象具有交互性。
使用自动部署规则部署的软件更新会自动部署到已添加到目标集合的新客户端。
添加到软件更新组的新软件更新会自动部署到目标集合中的客户端。
你可以针对自动部署规则随时启用或禁用部署。
软件更新部署过程
部署软件更新之后或在自动部署规则运行和部署软件更新时,会将部署分配策略添加到站点的计算机策略中。 系统会将软件更新从下载位置(Internet 或网络共享文件夹)下载到包源。 系统会从包源中将软件更新复制到站点服务器上的内容库,然后复制到分发点上的内容库。
当部署的目标集合中的客户端计算机收到计算机策略时,软件更新客户端代理会启动评估扫描。 客户端代理在收到部署后不久会将分发点中所需软件更新的内容下载到本地客户端缓存,但会等到部署的“软件可用时间”设置之后才能安装软件更新。 在用户手动启动安装之前,不会下载可选部署(没有安装截止时间的部署)中的软件更新。
过了配置的截止时间之后,软件更新客户端代理将执行扫描以验证是否仍然需要软件更新。 然后,它会检查客户端计算机上的本地缓存,以验证软件更新源文件是否仍然可用。 最后,客户端安装软件更新。 如果为了为其他部署腾出空间而从客户端缓存中删除了内容,则客户端会将分发点中的软件更新重新下载到客户端缓存。 软件更新将始终下载到客户端缓存,而不考虑配置的最大客户端缓存大小。 当安装完成时,客户端代理会验证是否不再需要软件更新,然后将状态消息发送给管理点,以指明客户端上现在已经安装了软件更新。
需要重启系统
默认情况下,如果在客户端计算机上安装了所需部署中的软件更新,并且需要重启系统才能完成安装,则会开始系统重启。 对于在截止时间之前安装的软件更新,自动系统重启会延迟到截止时间进行,除非由于其他原因在该时间之前重启了计算机。 对于服务器和工作站,可以抑制系统重启。 这些设置是在部署软件更新向导或创建自动更新规则向导的“用户体验”页中配置的。
部署重估周期
默认情况下,客户端计算机每 7 天开始部署重估周期。 在此评估周期期间,客户端计算机会扫描以前部署和安装的软件更新。 如果缺少任何软件更新,则会从本地缓存中重新安装软件更新。 如果软件更新在本地缓存中不再可用,则会从分发点中下载软件更新,然后安装该软件更新。 你可以在“软件更新”页上的站点客户端设置中配置重新评估计划。
对使用写入筛选器的 Windows Embedded 设备的支持
适用于 System Center 2012 Configuration Manager SP1 和更高版本:
将软件更新部署到启用了写入筛选器的 Windows Embedded 设备时,你可以指定是否在部署过程中对设备禁用写入筛选器,然后在部署后重启设备。 如果未禁用写入筛选器,则软件会部署到临时覆盖区,并且重启设备后将不再安装软件,除非另一部署强制保留更改。
| 注意 |
|---|
将软件更新部署到 Windows Embedded 设备时,确保设备是配置了维护时段的集合的成员。 这样,你可以管理禁用和启用写入筛选器的时间,以及设备重启的时间。 |
控制写入筛选器行为的用户体验设置是一个名为“在截止时间或在维护时段内提交更改(需要重启)”的复选框。
有关 配置管理器 如何管理使用写入筛选器的嵌入式设备的详细信息,请参阅 将 Configuration Manager 客户端部署到 Windows Embedded 设备 主题中的 Configuration Manager 中的客户端部署简介 部分。
扩展 Configuration Manager 中的软件更新
使用 System Center Updates Publisher 2011 管理 Microsoft 更新中不可用的软件更新。 将软件更新发布到更新服务器并在 配置管理器 中同步软件更新之后,你可以将软件更新部署到 配置管理器 客户端。 有关 Updates Publisher 2011 的详细信息,请参阅 Updates Publisher 2011(更新 Publisher 2011)。
网络访问保护
配置管理器 网络访问保护 (NAP) 与 配置管理器 和 Windows 网络访问保护进行交互以帮助保护网络。
网络访问保护与软件更新
启用 NAP 后,配置管理器 客户端可以评估它们是否符合你选择的软件更新。配置管理器 客户端在健康声明 (SoH) 中发送此信息。而健康声明将被呈送到驻留在系统健康验证程序点站点系统角色上的 配置管理器 系统健康验证程序。
系统健康验证程序点安装在运行 Windows Server 2008 及网络策略服务器角色的计算机上。 它会验证客户端计算机是否符合要求,并将该计算机的健康状况传递给 Windows 网络策略服务器。
在网络策略服务器上强制实施软件更新符合性
Windows 网络策略服务器被配置为使用策略来确定已知符合或不符合要求的计算机的操作。
如果无法确定客户端的健康状况,则认为此情况为错误条件。 默认情况下,所有错误条件都映射到不符合要求的状态。 但是,它们分为五类,并且可以将每一类映射到“符合”或“不符合”。
网络策略服务器可以根据计算机健康状况采取相应措施,包括下列各项:
限制计算机访问整个网络
提供网络完全访问权限,但限制期间
无限期地提供对网络的完全访问权限
修正不符合要求的计算机,以使其符合策略
请注意,由于传递给网络策略服务器的计算机健康状况的缘故,配置管理器 管理用户无法控制将执行的操作。 但是,如果将网络策略服务器配置为通过修正强制符合性,则 配置管理器 服务用于提供使不符合要求的客户端符合要求所需的软件更新。 成功修正符合性之后,客户端会重新评估其运行状况声明,然后将不符合更改为符合,其健康状况会更新为符合。
针对网络访问保护配置软件更新
你选择客户端必须通过创建 配置管理器 NAP 策略来符合其要求的软件更新。 你只能选择已下载到站点服务器上的内容库的软件更新。 与针对所选集合的软件更新部署不同,配置管理器 NAP 策略自动以分配给站点的所有计算机为目标。配置管理器 NAP 策略沿 配置管理器 层次结构向下流,这类似于 配置管理器 中软件部署和包的行为。 然后,继承 配置管理器 NAP 策略的站点会自动以分配给站点的客户端作为 配置管理器 NAP 策略的目标客户端。
| 重要事项 |
|---|
由于整个层次结构中的此自动确定目标和继承的缘故,你必须记住 配置管理器 NAP 策略有可能会影响层次结构中的每个客户端。 |
Configuration Manager 中的新增功能
| 注意 |
|---|
本节中的信息还出现在System Center 2012 Configuration Manager 入门指南中。 |
虽然 System Center 2012 Configuration Manager 中用于部署软件更新的普通概念与 Configuration Manager 2007 中的对应概念相同,但是可以使用新功能或更新的功能来改善软件更新部署过程。 这包括自动审批和部署软件更新、使用扩展的条件改善搜索、改善软件更新监视以及加强用户对软件更新安装计划的控制。
下列各��为新功能或自 Configuration Manager 2007 推出以来已发生了更改:
软件更新组在 配置管理器 中是新增功能,并且取代了 Configuration Manager 2007 中使用的更新列表。 软件更新组可以更有效地在你的环境中组织软件更新。 你可以将软件更新手动添加到软件更新组,以及使用自动部署规则将软件更新自动添加到新的或现有的软件更新组。 你也可以手动部署软件更新组,或者使用自动部署规则自动部署。 部署软件更新组之后,你可以将新软件更新添加到组,系统会自动部署它们。
自动部署规则可自动审批和部署软件更新。 你指定软件更新条件(例如,上周发布的所有 Windows 7 软件更新),软件更新会添加到软件更新组中,你可以配置部署和监视设置,并确定是否在软件更新组中部署软件更新。 你可以在软件更新组中部署软件更新,或者从软件更新组中的软件更新的客户端计算机中检索符合性信息,而不部署它们。
当 配置管理器 控制台中列出软件更新时,可以使用新的搜索和扩展条件。 你可以添加一组条件,以便轻松地查找你必须具有的软件更新。 你可以保存搜索条件以供以后使用。 例如,你可以为 Windows 7 的所有关键软件更新以及去年发布的软件更新设置条件。 在筛选必须具有的更新后,你可以选择软件更新,并查看每个软件更新的符合性信息、创建包含软件更新的软件更新组,以及手动部署软件更新等。
在 配置管理器 控制台中,你可以监视以下软件更新对象和进程:
重要的软件更新符合性和部署视图
所有部署和资产的详细状态消息
软件更新错误代码,以及用于帮助确定问题的其他信息
软件更新同步的状态
重要软件更新问题的警报
也可以使用软件更新报表来提供软件更新、软件更新组和软件更新部署的详细状态信息。
在站点的整个软件更新同步过程中,Configuration Manager 2007 中取代的软件更新会自动到期。 在 System Center 2012 Configuration Manager 中,你可以确定是否要像在 Configuration Manager 2007 中一样来管理取代的软件更新,或者你可以配置指定的时间期,在此期间软件更新在下载后不会自动到期。 在此期间,你可以部署被取代的软件更新。
配置管理器 使用户能够对在其计算机上安装软件更新的时间加强控制。配置管理器 软件中心是与 配置管理器 客户端一起安装的应用程序。 用户在“开始”菜单上运行此应用程序来管理为用户部署的软件。 这包括软件更新。 在软件中心,用户可以计划在截止时间之前方便时安装软件更新,并且可以安装可选软件更新。 例如,你可以配置你的工作时间并让软件更新在这些时间之外运行,以最大程度避免效率损失。 在达到软件更新的截止时间时,会启动软件更新的安装过程。
System Center 2012 Configuration Manager 中的内容库是存储软件更新、应用程序、操作系统部署等的所有内容文件的位置。 内容库为站点服务器和分发点上的内容文件提供了单实例存储,而且优于 Configuration Manager 2007 中的内容管理功能。 例如,在 Configuration Manager 2007 中,你可能使用不同的部署和部署包多次分发相同的内容文件。 结果,相同的内容文件多次存储在站点服务器和分发点上,而且增加了不必要的处理开销和过高的硬盘空间要求。
有关内容管理的详细信息,请参阅 内容库 主题中的 Configuration Manager 中的内容管理简介 部分。
配置管理器 控制台中不再有用于管理模板的“部署模板”节点。 只能在自动部署规则向导或部署软件更新向导中创建部署模板。 部署模板存储可能不因部署而异的许多部署属性,并且当管理用户部署软件更新时,它们可以为管理用户节省许多时间。
可以在你的环境中针对不同部署方案创建部署模板。 例如,你可以为加急软件更新部署和计划部署创建模板。 加急部署模板可以在客户端计算机上抑制显示通知,将部署计划中的截止时间设置为 (0) 天,以及启用在维护时段之外重启系统。 计划部署模板可以允许在客户端计算机上显示通知,以及将部署计划中的截止时间设置为 14 天。
当基于 Internet 的客户端收到部署时,客户端首先尝试从 Microsoft 更新下载软件更新,而不是从分发点中下载。 如果未成功连接到 Microsoft,则客户端将回退到分发点,此分发点承载软件更新文件并且被配置为接受 Internet 上客户端的通信。
虽然你仍然可以在 System Center 2012 Configuration Manager 中部署软件更新,但不再存在可见的软件更新部署对象。 现在,部署对象嵌套在软件更新组中。
软件更新部署的无法配置的软件更新数限制为 1000 个。 在创建自动部署规则时,请验证你指定的条件不会产生超过 1000 个软件更新。 在手动部署软件更新时,请不要选择超过 1000 个更新进行部署。
配置管理器 控制台中的“网络访问保护”节点和“新建策略向导”在 System Center 2012 Configuration Manager 中不再可用。 要为软件更新创建 NAP 策略,你必须在软件更新属性中的“NAP 评估”选项卡上选择“启用 NAP 评估”。
Configuration Manager SP1 中的新增功能
| 注意 |
|---|
本节中的信息还出现在System Center 2012 Configuration Manager 入门指南中。 |
下列与软件更新有关的各项是在 配置管理器 SP1 中新提供的或已改变的:
在 配置管理器 SP1 中重新设计了软件更新点。 可以在一个站点中安装多个软件更新点站点系统。 可以将软件更新点配置为位于站点服务器所在的林中或者位于不同的林中,以及配置它是否接受来自 Internet 和/或 Intranet 上的客户端的通信。 此行为提供了无需网络负载平衡 (NLB) 群集的容错级别。 无法在一个辅助站点中安装多个软件更新点。 有关详细信息,请参阅确定软件更新点基础结构主题中的在 Configuration Manager 中规划软件更新部分。
注意配置管理器 SP1 中取消了活动软件更新点的概念。
在 配置管理器 控制台中,不再提供用于将软件更新点配置为 NLB 的选项。 从不带 Service Pack 的 配置管理器 升级到 配置管理器 SP1 之前,必须为活动软件更新点删除 NLB。 完成升级后,可以选择通过使用 Set-CMSoftwareUpdatePoint PowerShell cmdlet 来配置 NLB。 有关为使用 NLB 配置的软件更新点的详细信息,请参阅 配置为使用 NLB 的软件更新点 主题中的 在 Configuration Manager 中规划软件更新 部分。 有关 Set-cmsoftwareupdatepoint PowerShell cmdlet 的详细信息,请参阅 System Center 2012 Configuration Manager SP1 Cmdlet 参考中的 Set-CMSoftwareUpdatePoint 主题。
在 配置管理器 顶层站点中,现在可以将现有的 WSUS 服务器指定为上游同步源位置。 在同步期间,站点连接到此位置以同步软件更新。 例如,现有的某台 WSUS 服务器不是 配置管理器 层次结构的一部分,那么,你可以指定此 WSUS 服务器来同步软件更新。
“创建自动部署规则向导”提供了两个内置的软件更新部署模板供你选择。 “定义更新”模板提供在部署定义软件更新时常用的设置。 “周二补丁日”模板提供在逐月部署软件更新时常用的设置。
在软件更新点属性中,可以提供让站点服务器连接到 WSUS 服务器的凭据。 例如,可以指定此帐户连接到不同林中的软件更新点。
每天最多可以运行自动部署规则 3 次,以便与 Endpoint Protection 定义更新的发布频率保持一致。
可以选择多个软件更新,以便将它们作为一组通过软件中心进行安装。
当使用“在截止时间或在维护时段内提交更改(需要重启)”这个新的用户体验设置来部署软件更新时,可以控制写入筛选器在 Windows Embedded 设备上的行为。 有关 配置管理器 如何管理使用写入筛选器的嵌入式设备的详细信息,请参阅 将 Configuration Manager 客户端部署到 Windows Embedded 设备 主题中的 Configuration Manager 中的客户端部署简介 部分。
新“计算机代理”客户端设置“禁用截止时间随机化”使你可以对所需的软件更新和应用程序部署禁用安装随机化延迟。 有关详细信息,请参阅计算机代理主题中的关于 Configuration Manager 中的客户端设置部分。
System Center 2012 R2 Configuration Manager 的新增功能
| 注意 |
|---|
本节中的信息还出现在System Center 2012 Configuration Manager 入门指南中。 |
下列与软件更新有关的各项是在 System Center 2012 R2 Configuration Manager 中新提供的或已改变的:
新的专用于软件更新安装的维护时段。 这样,你将能配置一般维护时段以及用于软件更新的其他维护时段。 如果同时配置了一般维护时段和软件更新维护时段,则客户端将仅在软件更新维护时段内安装软件更新。 有关维护时段的详细信息,请参阅如何使用配置管理器中的维护窗口。
你现在可以更改现有自动部署规则的部署包。 每次运行自动部署规则时,都会向指定部署包中添加新的软件更新。 随着时间的推移,部署包可能会变得非常大并可能影响复制方案,在将新分发点添加到层次结构或将分发点添加到分发点组时,情况尤为如此。 你现在可以定期更改部署包,以防止部署包的大小变得过大。 有关自动部署规则的详细信息,请参阅本主题中的 软件更新的自动部署 部分。
你现在可以预览满足你在自动部署规则中定义的属性筛选器和搜索条件的软件更新。 利用软件更新预览,你可以在创建部署之前查看软件更新。 “预览”按钮位于“自动部署向导”中的“软件更新”页以及自动部署规则的属性中的“软件更新”选项卡上。