安裝和設定軟體更新點

  • 發行項

適用於:Configuration Manager (目前的分支)

重要事項

在安裝軟體更新點月臺系統角色 (SUP) 之前,您必須確認伺服器符合必要的相依性,並判斷月臺上的軟體更新點基礎結構。 如需如何規劃軟體更新及判斷軟體更新點基礎結構的詳細資訊,請參閱 規劃軟體更新

管理中心網站和主要網站上需要軟體更新點,才能啟用軟體更新合規性評估,以及將軟體更新部署至用戶端。 軟體更新點在次要月臺上是選擇性的。 軟體更新點月臺系統角色必須在已安裝 WSUS 的伺服器上建立。 軟體更新點會與 WSUS 服務互動,以設定軟體更新設定,並要求同步處理軟體更新中繼資料。 當您有Configuration Manager階層時,請先在管理中心網站上安裝和設定軟體更新點,然後在子主要月臺上,然後選擇性地在次要月臺上安裝和設定軟體更新點。 當您有獨立主要月臺,而不是管理中心網站時,請先在主要月臺上安裝和設定軟體更新點,然後選擇性地在次要月臺上安裝和設定軟體更新點。 只有當您在頂層月臺上設定軟體更新點時,才能使用某些設定。 視您安裝軟體更新點的位置而定,您必須考慮不同的選項。

重要事項

  • 您可以在月臺上安裝多個軟體更新點。 您安裝的第一個軟體更新點會設定為同步處理來源,以同步處理來自 Microsoft Update 或上游同步處理來源的更新。 月臺上的其他軟體更新點會設定為第一個軟體更新點的複本。 因此,在您安裝和設定初始軟體更新點之後,某些設定就無法使用。
  • 不支援在已設定並用作獨立 WSUS 伺服器或使用軟體更新點直接管理 WSUS 用戶端的伺服器上安裝軟體更新點月臺系統角色。 現有的 WSUS 伺服器僅支援作為作用中軟體更新點的上游同步處理來源。 請參閱 從上游資料來源位置同步處理

您可以將軟體更新點月臺系統角色新增至現有的月臺系統伺服器,也可以建立新的月臺系統伺服器。 在 [建立月臺系統伺服器精靈] 或 [新增月臺系統角色精靈] 的 [系統角色選取] 頁面上,根據您將月臺系統角色新增至新的或現有的月臺伺服器,選取 [軟體更新點],然後在精靈中設定軟體更新點設定。 設定會根據您使用的Configuration Manager版本而有所不同。 如需如何安裝月臺系統角色的詳細資訊,請參閱 安裝月臺系統角色

如需月臺上軟體更新點設定的相關資訊,請使用下列各節。

Proxy 伺服器設定

您可以在 [建立月臺系統伺服器精靈] 或 [新增站台系統角色精靈] 的不同頁面上設定 Proxy 伺服器設定,視您使用的Configuration Manager版本而定。

  • 您必須設定 Proxy 伺服器,然後指定何時使用 Proxy 伺服器進行軟體更新。 進行下列設定:

    • 在精靈的 [Proxy ] 頁面或 [月臺系統內容] 的 [Proxy] 索引 標籤上 ,設定 Proxy 伺服器設定。 Proxy 伺服器設定是月臺系統特定的,這表示所有月臺系統角色都會使用您指定的 Proxy 伺服器設定。

    • 指定在Configuration Manager同步處理軟體更新時,以及何時使用自動部署規則下載內容時,是否要使用 Proxy 伺服器。 在精靈的 [Proxy 和帳戶設定 ] 頁面上,或在 [軟體更新點內容] 的 [ Proxy 和帳戶設定 ] 索引標籤上,設定軟體更新點 Proxy 伺服器設定。

    • [ 使用自動部署規則下載內容時使用 Proxy ] 設定可供使用,但不會用於次要網站上的軟體更新點。 只有管理中心網站和主要網站上的軟體更新點會從 [Microsoft 更新] 頁面下載內容。

    • 根據預設,建立自動部署規則之伺服器的本機 系統 帳戶會用來連線到網際網路,並在自動部署規則執行時下載軟體更新。 當此帳戶無法存取網際網路時,軟體更新將無法下載,而且下列專案會記錄到 ruleengine.log: 無法從網際網路下載更新。錯誤 = 12007。 當本機系統帳戶沒有網際網路存取權時,設定認證以連線到 Proxy 伺服器。

WSUS 設定

您必須在 [建立月臺系統伺服器精靈] 或 [新增月臺系統角色精靈] 的不同頁面上設定 WSUS 設定,視您使用的Configuration Manager版本而定,在某些情況下,只在軟體更新點的屬性中設定,也稱為軟體更新點元件屬性。 使用下列各節中的資訊來設定 WSUS 設定。

重要事項

為了確保已備妥最佳的安全性通訊協定,強烈建議您使用 TLS/SSL 通訊協定來協助保護軟體更新基礎結構。 從 2020 年 9 月的累積更新開始,根據預設,HTTP 型 WSUS 伺服器將會受到保護。 預設不會再允許用戶端針對 HTTP 型 WSUS 掃描更新以利用使用者 Proxy。 如果您在安全性取捨下仍需要使用者 Proxy,則可以使用新的 軟體更新用戶端設定 來允許這些連線。 如需掃描 WSUS 變更的詳細資訊,請參閱 2020 年 9 月變更,以改善 Windows 裝置掃描 WSUS 的安全性。

WSUS 埠設定

您必須在精靈的 [ 軟體更新點 ] 頁面或軟體更新點的屬性中設定 WSUS 埠設定。 使用下列程式來判斷 WSUS 所使用的埠設定:

判斷 IIS 中使用的埠設定

  1. 在 WSUS 伺服器上,開啟 Internet Information Services (IIS) Manager。
  2. 展開 [網站],選取 [WSUS 系統管理 ] 網站, 然後從 [ 動作] 窗格選取 [ 結]。 在 [ 月臺系結] 對話方塊中,HTTP 和 HTTPS 埠值會顯示在 [ 埠] 資料 行中。

設定與 WSUS 的 SSL 通訊

為了確保已備妥最佳的安全性通訊協定,強烈建議您使用 TLS/SSL 通訊協定來協助保護軟體更新基礎結構。 您可以在精靈的 [ 軟體更新點 ] 頁面上,或在軟體更新點屬性的 [ 一般 ] 索引標籤上設定 SSL 通訊。 在您選取 [ 需要 SSL 對 SUP 的 WSUS 伺服器進行 SSL 通訊 ] 選項之前,請確定您已在 WSUS 伺服器上啟用 SSL 通訊。

如需如何使用 SSL 的詳細資訊,請參閱 決定是否要設定 WSUS 以使用 SSL 和設定 軟體更新點搭配 PKI 憑證使用 TLS/SSL

允許雲端管理閘道流量

您可以啟用軟體更新點,以透過雲端管理閘道 (CMG) 接受來自網際網路用戶端的通訊。 如需此設定的詳細資訊,請 參閱設定 CMG 流量的用戶端對應角色

調整下載速度,以使用 Windows LEDBAT (未使用的網路頻寬)

(2203) 版中導入

從 Configuration Manager 2203 版開始,您可以為執行 Windows Server 2016 或更新版本的軟體更新點啟用 Windows 低額外延遲背景傳輸 (LEDBAT) 。 LEDBAT 會在用戶端掃描 WSUS 期間調整下載速度,以協助控制網路壅塞。

如果月臺系統同時具有發佈點和軟體更新點角色,您可以在角色上獨立設定 LEDBAT。 例如,如果您只在發佈點角色上啟用 LEDBAT,軟體更新點角色就不會繼承相同的設定。

若要針對執行 Windows Server 2016 或更新版本的 SUP 使用 LEDBAT,請從下列其中一個位置啟用[調整下載速度以使用未使用的網路頻寬 (Windows LEDBAT) 設定:

  • 在安裝 軟體更新點 精靈的 [軟體更新點] 頁面上
  • 在軟體更新點屬性的 [ 一般 ] 索引標籤中

如需 Windows LEDBAT 的一般資訊,請參閱 內容管理的基本概念

WSUS 伺服器線上帳戶

您可以設定當月臺伺服器連線到軟體更新點上執行的 WSUS 時,要由月臺伺服器使用的帳戶。 當您未設定此帳戶時,Configuration Manager會使用月臺伺服器的電腦帳戶來連線到 WSUS。 在精靈的 [Proxy 和帳戶設定 ] 頁面上,或在 [軟體更新點內容] 的 [ Proxy 和帳戶設定 ] 索引標籤上,設定 WSUS 伺服器線上帳戶。 您可以根據您使用的Configuration Manager版本,在精靈的不同位置設定帳戶。

如需Configuration Manager帳戶的詳細資訊,請參閱使用的帳戶

同步處理來源

您可以在精靈的 [同步處理來源 ] 頁面上 ,或在 [軟體更新點元件內容] 的 [同步設定] 索引 標籤上 ,設定軟體更新同步處理的上游同步處理來源。 您的同步處理來源選項會根據網站而有所不同。

當您在月臺設定軟體更新點時,請使用下表的可用選項。

網站 可用的同步處理來源選項
- 管理中心網站
- 獨立主要月臺		 - 從 Microsoft Update 網站同步處理
- 從上游資料來源位置同步處理
- 請勿從更新或上游資料來源Microsoft同步處理
- 月臺上的其他軟體更新點
- 子主要月臺
- 次要月臺		 - 從上游資料來源位置同步處理

下列清單提供可用來作為同步處理來源之每個選項的詳細資訊:

  • 從Microsoft更新進行同步處理:使用此設定可同步處理來自 Microsoft Update 的軟體更新中繼資料。 管理中心網站必須具有網際網路存取權;否則,同步處理將會失敗。 只有當您在頂層月臺上設定軟體更新點時,才能使用此設定。

    • 當軟體更新點與網際網路之間有防火牆時,可能需要將防火牆設定為接受用於 WSUS 網站的 HTTP 和 HTTPS 埠。 您也可以選擇將防火牆上的存取限制為有限的網域。 如需如何規劃支援軟體更新之防火牆的詳細資訊,請參閱設定 防火牆

    • 如果您要共用 WSUS 資料庫,請注意Configuration Manager隨機播放前端 WSUS 伺服器之間的軟體更新點。 請確定每個 WSUS 伺服器都符合因特 網存取需求 。 如果不符合網際網路存取需求,則可能會發生同步失敗。 您可能會在與Microsoft同步處理的最上層月臺上看到不同的軟體更新點。

  • 從上游資料來源位置同步處理:使用此設定可同步處理來自上游同步處理來源的軟體更新中繼資料。 子主要月臺和次要月臺會自動設定為此設定使用父月臺 URL。 您可以選擇從現有的 WSUS 伺服器同步處理軟體更新。 指定 URL,例如 https://WSUSServer:8531 ,其中 8531 是用來連線到 WSUS 伺服器的埠。

  • 請勿從Microsoft更新或上游資料來源進行同步處理:當頂層月臺的軟體更新點與網際網路中斷連線時,請使用此設定手動同步處理軟體更新。 如需詳細資訊,請 參閱從中斷連線的軟體更新點同步處理軟體更新

您也可以在精靈的 [ 同步處理來源 ] 頁面上,或在 [軟體更新點元件內容] 的 [ 同步 設定] 索引標籤上,設定是否要建立 WSUS 報告事件。 Configuration Manager不會使用這些事件;因此,您通常會選擇預設設定[不要建立 WSUS 報告事件]

同步處理排程

在精靈的 [同步處理排程 ] 頁面或 [軟體更新點元件內容] 中設定同步處理排程。 此設定只會在頂層月臺的軟體更新點上設定。

如果啟用排程,您可以設定週期性簡單或自訂同步處理排程。 當您設定簡單的排程時,開始時間是以您建立排程時執行Configuration Manager主控台之電腦的當地時間為基礎。 當您設定自訂排程的開始時間時,會根據執行 Configuration Manager 主控台之電腦的當地時間。

提示

  • 使用適合您環境的時間範圍,排程要執行的軟體更新同步處理。 一般案例是將軟體更新同步處理排程設定為在每個月的第二個星期二Microsoft一般安全性更新發行之後執行,這通常稱為「修補星期二」。 另一個典型的案例是,當您使用軟體更新來傳遞 Endpoint Protection 定義和引擎更新時,將軟體更新同步處理排程設定為每天執行。
  • 當您選擇不依排程啟用軟體更新同步處理時,您可以從 [軟體程式庫] 工作區中的 [所有軟體更新] 或 [軟體更新群組] 節點手動同步處理軟體更新。 如需詳細資訊,請 參閱同步處理軟體更新

取代規則

在精靈的 [取代 規則 ] 頁面上,或在 [軟體更新點元件內容] 的 [取代 規則] 索引標籤上,設定取代設定。 您只能在最上層網站上設定取代規則。 您也可以另外指定 功能更新非功能更新的取代規則行為。

注意事項

只有當您在月臺設定第一個軟體更新點時,才能使用精靈的 [取代 規則 ] 頁面。 當您安裝其他軟體更新點時,不會顯示此頁面。

在此頁面上,您可以指定在Configuration Manager中取代的軟體更新何時過期,這可防止它們包含在新的部署中,並標示現有的部署,以指出已取代的軟體更新包含一或多個過期的軟體更新。 您可以指定已取代軟體更新過期之前的一段時間,這可讓您繼續部署它們。 如需詳細資訊,請參閱 取代規則

預設設定是等候 3 個月,再過期已取代的更新。 3 個月的預設值是讓您有時間確認任何用戶端電腦不再需要更新。 建議您不要假設已取代的更新應該立即過期,而改用新的取代更新。 您可以在軟體更新屬性的 [取代 資訊 ] 索引標籤上,顯示取代軟體更新的軟體更新清單。

WSUS 維護

Configuration Manager可以自動為您執行最常見的 WSUS 維護工作。 如需這些工作的詳細資訊,請參閱 軟體更新維護

執行時間上限

您可以指定軟體更新安裝必須完成的時間上限。 您可以指定下列專案的執行時間上限:

  • Windows 功能更新的執行時間上限 (分鐘)

    • 功能更新 - 下列三個分類的其中一個更新:
      • 升級
      • 更新彙總套件
      • Service Pack

  • Windows (分鐘Office 365更新和非功能更新的執行時間上限)

    • 非功能更新 - 不是功能更新的更新,其產品列為下列其中一項:
      • Windows 11
      • Windows 10 (所有版本)
      • Windows Server 2012 R2
      • Windows Server 2016
      • Windows Server 2019
      • Office 365

  • 這些類別以外的所有其他軟體更新執行時間上限,例如協力廠商更新 (分鐘) :這些更新的預設執行時間上限會根據第一次同步至環境的更新和Configuration Manager版本而有所不同。 使用下列購物車來判斷這些更新的最大運行時間值:

    2203 或更新版本 2103、2107 或 2111 2010
    您可以自訂所有其他軟體更新的執行時間上限。 預設值為 60 分鐘。 60 分鐘 10 分鐘

    重要事項

    • 此設定只會變更 SUP 在 中同步處理之新更新的最大執行時間。 它不會在修改執行時間之前同步處理的現有更新上變更執行時間。 例如,如果 Update 1 第一次同步至 2111 環境,則執行時間上限為 60 分鐘。 然後將環境升級至 2203 版,並將執行時間上限設定為 30 分鐘。 Update 1 會保留 60 分鐘的執行時間。 不過,當新的更新 Update 2 同步處理時,會提供新的 30 分鐘執行時間。
    • 如果您需要手動變更更新的執行時間上限,您可以為它設定 軟體更新設定

分類

在精靈的 [分類 ] 頁面上 ,或在 [軟體更新點元件內容] 的 [ 分類 ] 索引標籤上,設定分類設定。 如需軟體更新分類的詳細資訊,請參閱 更新分類

提示

  • 只有當您在月臺設定第一個軟體更新點時,才能使用精靈的 [ 分類 ] 頁面。 當您安裝其他軟體更新點時,不會顯示此頁面。
  • 當您第一次在頂層月臺上安裝軟體更新點時,請清除所有軟體更新分類。 初始軟體更新同步處理之後,從更新的清單設定分類,然後重新起始同步處理。 此設定只會在頂層月臺的軟體更新點上設定。

產品

在精靈的 [ 產品 ] 頁面上,或在 [軟體更新點元件內容] 的 [ 產品 ] 索引標籤上設定產品設定。

提示

  • 只有當您在月臺上設定第一個軟體更新點時,才能使用精靈的 [產品] 頁面。 當您安裝其他軟體更新點時,不會顯示此頁面。
  • 當您第一次在頂層月臺上安裝軟體更新點時,請清除所有產品。 初始軟體更新同步處理之後,請從更新的清單設定產品,然後重新起始同步處理。 此設定只會在頂層月臺的軟體更新點上設定。

語言

在精靈的 [ 語言 ] 頁面上,或在 [軟體更新點元件內容] 的 [ 語言 ] 索引標籤上,設定語言設定。 指定您要同步處理軟體更新檔案和摘要詳細資料的語言。 軟體更新檔案設定是在Configuration Manager階層中的每個軟體更新點設定。 [ 摘要詳細資料 ] 設定只會在最上層軟體更新點上設定。 如需詳細資訊,請參閱 語言

注意事項

只有當您在管理中心網站安裝軟體更新點時,才能使用精靈的 [ 語言 ] 頁面。 您可以從 [軟體更新點元件內容] 中的 [語言] 索引 標籤, 在子月臺設定軟體更新檔案語言。

協力廠商更新

您可以為Configuration Manager用戶端啟用協力廠商更新。 當您在 SUP 元件屬性中啟用協力廠商軟體更新時,SUP 會下載 WSUS 用於協力廠商更新的簽署憑證。 在安裝軟體更新點期間無法使用此選項,而且應該在安裝 SUP 之後設定。 若要啟用協力廠商更新的用戶端設定,請參閱 關於用戶端設定 一文。

後續步驟

您已從Configuration Manager階層中最上層的月臺開始安裝軟體更新點。 重複本文中的程式,在子月臺上安裝軟體更新點。

安裝軟體更新點之後,請移至 同步處理軟體更新