準備部署Windows

適用對象

  • Windows 10
  • Windows 11

在規劃階段中完成活動之後,您應該能夠準備您的環境與程式,以部署Windows用戶端。 規劃階段會提供以下實用專案:

現在,您已準備好實際開始在環境中進行變更,以準備部署。

準備基礎結構及環境

  • 部署 Configuration Manager 的網站伺服器更新。
  • 更新非 Microsoft 安全性工具 ,例如安全性代理程式或伺服器。
  • 更新非 Microsoft 管理工具,例如資料外遺失防護代理程式。

您的基礎結構可能包含許多不同的元件和工具。 您必須確保您的環境不會因為您變更基礎結構的各個部分而受到影響。 請依照下列步驟執行:

  1. 查看計畫中識別的所有基礎結構變更。 瞭解需要進行變更並詳述如何進行變更非常重要。 此程式可防止日後發生問題。

  2. 驗證您的變更。 您將驗證基礎結構元件和工具的變更,協助瞭解變更如何影響您的生產環境。

  3. 執行變更。 一旦變更經過驗證,您可以跨更廣泛的基礎結構來實施變更。

您也應該查看貴組織的環境配置,並概述您將如何執行先前在計畫階段中識別的任何必要變更,以支援更新。 考慮您需要針對目前支援環境的各種設定與原則執行哪些操作。 例如:

  • 執行新的安全性指南草稿。 新版本的 Windows可以包含可改善您環境安全性的新功能。 您的安全小組會想要對安全性相關組組進行適當的變更。

  • 更新安全性比較基準。 安全小組瞭解相關的安全比較基準,必須努力確保所有比較基準符合他們必須遵守的任何指引。

不過,您的設定會包含許多不同的設定和策略。 您必須只在需要之處以及取得明顯改善之處,才適用變更。 否則,您的環境可能會面臨會減慢更新程式的問題。 您想要確保您的環境不會因為您進行變更而受到影響。 例如:

  1. 檢查新的安全性設定。 您的安全小組會審查新的安全性設定,以瞭解如何以最佳方式設定這些設定以協助更新,並調查這些設定可能對環境的潛在影響。

  2. 檢查變更的安全性比較基準。 安全小組也會審查所有必要的安全比較基準,以確保變更能夠執行,並確保您的環境保持合規性。

  3. 實施及驗證安全性設定和比較基準變更。 您的安全小組接著會執行所有安全性設定和比較基準,並解決任何潛在的未解決問題。

準備應用程式和裝置

您先前已決定要使用哪些驗證方法來驗證即將推出的試驗部署階段中的應用程式。 現在是確保個別裝置準備就緒且能夠安裝下一次更新的很好時間。

確保有可用的更新

啟用裝置上的更新服務。 請確保每個裝置都使用 Update Windows服務。 有時候使用者或惡意程式碼可能會停用服務Windows更新需要才能正確工作。 請確定下列服務正在運作:

  • 背景智慧傳輸服務
  • 背景工作基礎結構服務
  • 如果您使用 (此功能來更新部署,BranchCache)
  • 如果您使用 Configuration Manager 部署更新 (ConfigMgr 工作順序代理程式)
  • 加密服務
  • DCOM Server Process Launcher
  • 裝置安裝
  • 傳遞最佳化
  • 裝置設定管理員
  • 授權管理員
  • Microsoft 帳戶登錄小幫手
  • Microsoft 軟體陰影複製提供者
  • 遠端程式呼叫 (RPC)
  • 遠端程式呼叫 (RPC) 定位器
  • RPC 端點對應程式
  • 服務控制項管理員
  • 工作排程器
  • 權杖代理人
  • 更新協調器服務
  • 磁碟區陰影複製服務
  • Windows自動更新服務
  • Windows 備份
  • Windows Defender 防火牆
  • Windows Management Instrumentation
  • Windows管理服務
  • Windows模組安裝程式
  • Windows推通知
  • Windows 安全性服務
  • Windows Time 服務
  • Windows Update
  • Windows更新醫療服務

您可以使用 Services.msc 或 PowerShell 腳本、桌面分析或其他方法,手動檢查這些服務。

網路組

確定裝置可透過防火牆達到必要的 Windows Update 網站端點。 例如,在 Windows 10 版本 2004 中,下列通訊協定必須能夠達到這些個別端點:

通訊協定 端點 URL
TLS 1.2 *.prod.do.dsp.mp.microsoft.com
HTTP emdl.ws.microsoft.com
HTTP *.dl.delivery.mp.microsoft.com
HTTP *.windowsupdate.com
HTTPS *.delivery.mp.microsoft.com
TLS 1.2 *.update.microsoft.com
TLS 1.2 tsfe.trafficshaping.dsp.mp.microsoft.com

注意

請務必不要針對指定 HTTP 的那些端點使用 HTTPS,反之亦然。 連線將會失敗。

特定端點可能隨版本Windows不同。 請參閱,例如 Windows 10 2004 企業版連線端點。 其他 Windows 用戶端版本類似的文章可在附近的目錄中找到。

優化下載頻寬

設定對等 網路共用 或 Microsoft 連接緩存的傳遞優化。

解決不健康裝置

在調查裝置數量的過程中,無論是使用桌面分析還是以其他方式,您可能會發現有系統問題的裝置可能會干擾更新安裝。 現在是修正這些問題的時候。

  • 磁碟空間不足: 品質更新至少需要 2 GB,以成功安裝。 功能更新需要介於 8 GB 到 15 GB 之間,視組組不同。 在 Windows 10、版本 1903 及更新版本 (和 Windows 11) 上,您可以主動使用「保留儲存空間」功能 (來清除及載入、重建及新建立) ,以避免磁碟空間不足。 如果您找到一組沒有足夠磁碟空間的裝置,通常可以清理記錄檔案並要求使用者清理資料以解決問題。 一個好起點是刪除下列檔案:

    • C:\Windows\temp
    • C:\Windows\cbstemp (雖然可能需要此檔案來調查更新失敗)
    • C:\Windows\WindowsUpdate.log (雖然可能需要此檔案來調查更新失敗)
    • C:\Windows。舊 (這些檔案應該會在 10 天后自動清理,或可能會要求裝置使用者許可權以在磁碟空間受限時)

您也可以建立並執行腳本,以在具有系統管理許可權的裝置上執行其他清理動作,或使用群組原則設定。

  • 請Windows儲存快C:\Windows\sytem32\wsreset.exe。

  • 使用Dism.exe ** /online /清理圖像 /StartComponentCleanup**來優化用戶端電腦上的 WinSxS 資料夾。

  • 在 ** /CompactOS:always**中Compact.exe壓縮作業系統。

  • 移除Windows使用者不需要的 On Demand 功能。 請參閱 功能 on Demand 以進一步提供指引。

  • 將Windows資料夾移至OneDrive。 請參閱使用群組原則控制OneDrive 同步處理設定以瞭解更多資訊。

  • 清理軟體發佈資料夾。 請嘗試將這些命令部署為批次處理檔案,以在裝置上執行,以重設更新Windows狀態:

    net stop wuauserv
    net stop cryptSvc
    net stop bits
    net stop msiserver
    ren C:\Windows\SoftwareDistribution C:\Windows\SoftwareDistribution.old
    net start wuauserv
    net start cryptSvc
    net start bits
    net start msiserver
    
  • 應用程式和驅動程式更新: 過期的應用程式或驅動程式軟體可能會防止裝置順利更新。 桌面分析可協助識別需要注意的驅動程式和應用程式。 您也可以檢查已知問題,以採取任何適當動作。 針對任何有問題的應用程式或驅動程式版本 (廠商) 部署任何更新,以解決問題。

  • 腐敗: 在少數情況下,重複發生安裝錯誤的裝置可能會以無法讓系統適用新更新的方式損壞。 您可能需要從另一個Component-Based修復 Store。 您可以修正系統檔案檢查 程式的問題

準備功能

在計畫階段中,您決定需要執行的特定基礎結構和組組變更,以在環境中新增功能。 現在,您可以繼續執行在計畫階段定義的變更。 您必須完成這些較高層級的工作,才能取得這些新功能:

  • 執行變更,以在整個環境中啟用功能。 例如,在 Active Directory 中對相關的 ADMX 範本進行更新。 新的Windows版本會提供您用於更新 ADMX 範本的新政策。

  • 驗證新的變更,以瞭解變更對更廣泛的環境有何影響。

  • 修正透過驗證識別的任何潛在問題。

準備使用者

使用者通常會覺得他們被強迫隨機更新其裝置。 他們通常無法完全瞭解為什麼需要更新,而且不知道更新何時會提前適用于他們的裝置。 最好確保清楚傳達即將推出的更新,並提供適當的警告。

您可以採用各種措施來達成此目標,例如:

  • 傳送更新概觀電子郵件,以及更新如何部署到整個組織。
  • 傳送個人化電子郵件給使用者,說明更新的特定詳細資料。
  • 針對因業務需求而需要維持目前版本一點時間的員工,設定退出期限。
  • 提供在使用者方便時主動更新的能力。
  • 通知使用者在所有裝置上安裝更新的強制安裝日期。