• 1/14/2021
  • 14 minuten te lezen
    • j
    • L
    • 0
    • V
    • t
    • +15

Toepassing

  • Windows 10

Op zoek naar informatie voor de consument?, Zie Windows Update: FAQ

belangrijk

vanwege naamsveranderingen kunnen oudere termen zoals CB en CBB nog steeds worden weergegeven in sommige van onze producten, zoals in Groepsbeleid of het register. Als u deze termen tegenkomt, verwijst “CB” naar het halfjaarlijkse kanaal (Targeted)–dat niet langer wordt gebruikt–terwijl “CBB” verwijst naar het halfjaarlijkse kanaal.

WSUS is een Windows-serverrol die beschikbaar is in de Windows Server-besturingssystemen. Het biedt een enkele hub voor Windows-updates binnen een organisatie., Met WSUS kunnen bedrijven niet alleen updates uitstellen, maar ze ook selectief goedkeuren, kiezen wanneer ze worden geleverd en bepalen welke afzonderlijke apparaten of groepen apparaten ze ontvangen. WSUS biedt extra controle over Windows Update for Business, maar biedt niet alle planningsopties en implementatieflexibiliteit die Microsoft Endpoint Manager biedt.

wanneer u WSUS kiest als bron voor Windows-updates, gebruikt u Groepsbeleid om Windows 10-clientapparaten naar de WSUS-server te verwijzen voor de updates ervan., Van daaruit worden periodiek updates gedownload naar de WSUS-server en beheerd, goedgekeurd en geïmplementeerd via de WSUS-beheerconsole of Groepsbeleid, waardoor het beheer van bedrijfsupdates wordt gestroomlijnd. Als u momenteel WSUS gebruikt om Windows-updates in uw omgeving te beheren, kunt u dit blijven doen in Windows 10.

vereisten voor Windows 10-onderhoud met WSUS

om WSUS te kunnen gebruiken voor het beheren en implementeren van Windows 10-functieupdates, moet u een ondersteunde WSUS-versie gebruiken:

  • WSUS 10.0.14393 (rol in Windows Server 2016)
  • WSUS 10.0.,17763 (rol in Windows Server 2019)
  • WSUS 6.2 en 6.3 (rol in Windows Server 2012 en Windows Server 2012 R2)
  • KB 3095113 en KB 3159706 (of een gelijkwaardige update) moeten op WSUS 6.2 en 6.3 worden geïnstalleerd.

belangrijk

zowel KB 3095113 Als KB 3159706 zijn opgenomen in de maandelijkse Kwaliteitsrollup voor beveiliging vanaf juli 2017. Dit betekent dat je misschien niet KB 3095113 en KB 3159706 als Geïnstalleerde updates ziet omdat ze misschien zijn geïnstalleerd met een rollup., Als u echter een van deze updates nodig hebt, raden we aan om een Security Monthly Quality Rollup te installeren die na oktober 2017 is uitgebracht, omdat ze een extra WSUS-update bevatten om het geheugengebruik op de WSUS-clientwebservice te verminderen.Als u een van deze updates hebt gesynchroniseerd voorafgaand aan de security monthly quality rollup, kunt u problemen ervaren. Om hiervan te herstellen, zie Upgrades verwijderen in WSUS.,

WSUS-schaalbaarheid

om WSUS te gebruiken om alle Windows-updates te beheren, hebben sommige organisaties mogelijk toegang tot WSUS nodig vanuit een perimeternetwerk, of hebben ze mogelijk een ander complex scenario. WSUS is zeer schaalbaar en configureerbaar voor organisaties van elke grootte of site lay-out. Zie Een Type WSUS-implementatie kiezen voor specifieke informatie over het schalen van WSUS, inclusief upstream-en downstreamserverconfiguratie, filialen, WSUS-taakverdeling en andere complexe scenario ‘ s.,

automatische updates en servicelocatie bijwerken configureren

wanneer u WSUS gebruikt om updates op Windows-clientapparaten te beheren, begint u met het configureren van de groepsbeleidsinstellingen automatische Updates en Intranet configureren Microsoft Update Service Location voor uw omgeving. Dit dwingt de betrokken clients om contact op te nemen met de WSUS-server, zodat deze deze kan beheren. In het volgende proces wordt beschreven hoe u deze instellingen kunt opgeven en implementeren voor alle apparaten in het domein.,

u configureert de Instellingen voor Groepsbeleid voor uw omgeving voor automatische Updates en Intranet van Microsoft Update Service configureren

  1. Open Console Groepsbeleidsbeheer (gpmc).msc).

  2. vouw Forest \ Domains \ Your_Domain uit.

  3. Klik met de rechtermuisknop op Uw_domein en selecteer vervolgens een groepsbeleidsobject in dit domein maken en koppel het hier aan.

    Note

    in dit voorbeeld worden de Instellingen voor het groepsbeleid van de Microsoft Update Service-locatie voor Intranet configureren voor het gehele domein opgegeven., Dit is geen vereiste; u kunt deze instellingen richten op elke beveiligingsgroep met behulp van Beveiligingsfiltering of een specifieke organisatie-eenheid.

  4. geef in het dialoogvenster nieuwe groepsbeleidsobject een naam aan de locatie van de nieuwe groepsbeleidsobject WSUS – Auto Updates en Intranet Update Service.

  5. Klik met de rechtermuisknop op het GPO van de WSUS-Auto – Updates-en Intranetupdateservice en klik vervolgens op Bewerken.

  6. ga in de Editor voor Groepsbeleidsbeheer naar Computerconfiguratie\Beleid\Beheersjablonen\Windows-onderdelen\Windows Update.,

  7. Klik met de rechtermuisknop op de instelling Automatische Updates configureren en klik vervolgens op Bewerken.

  8. selecteer Inschakelen in het dialoogvenster Automatische Updates instellen.

  9. onder Opties, in de lijst Automatische updates configureren, Selecteer 3 – auto download en notify for install, en klik vervolgens op OK.

    belangrijk

    gebruik Regedit.,exe om te controleren of de volgende sleutel is niet ingeschakeld, omdat het kan breken Windows Store connectiviteit: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotConnectToWindowsUpdateInternetlocations

    Note

    Er zijn drie andere instellingen voor automatische update download en installatie data en tijden. Dit is gewoon de optie die dit voorbeeld gebruikt. Zie automatische Updates configureren met Groepsbeleid voor meer voorbeelden over het beheren van automatische updates en ander gerelateerd beleid.,

  10. Klik met de rechtermuisknop op de Microsoft update Service-locatie voor intranet opgeven en selecteer vervolgens Bewerken.

  11. selecteer Inschakelen in het dialoogvenster Microsoft update service-locatie intranet opgeven.

  12. onder Opties, in de service intranetupdate instellen voor het detecteren van updates en de opties voor de server voor intranetstatistieken instellen, typt u http://Your_WSUS_Server_FQDN:PortNumber en selecteert u vervolgens OK.

    Note

    de URL in de volgende afbeelding is slechts een voorbeeld., Gebruik in uw omgeving de servernaam en het poortnummer voor uw WSUS-instantie.

    Note

    De standaard HTTP-poort voor WSUS is 8530, en de standaard HTTP over Secure Sockets Layer (HTTPS) poort is 8531. (De andere opties zijn 80 en 443; er worden geen andere poorten ondersteund.)

wanneer Windows-clients hun computerbeleid vernieuwen (de standaardinstelling voor het vernieuwen van Groepsbeleid is 90 minuten en wanneer een computer opnieuw wordt opgestart), beginnen computers in WSUS te verschijnen., Nu clients communiceren met de WSUS-server, maakt u de computergroepen die aansluiten op uw implementatieringen.

maak computergroepen in de WSUS-beheerconsole

opmerking

de volgende procedures gebruiken de groepen uit Tabel 1 in Build deployment rings voor Windows 10-updates als voorbeeld.

u kunt computergroepen gebruiken om zich te richten op een subset van apparaten met specifieke kwaliteit-en functie-updates. Deze groepen vertegenwoordigen uw inzet ringen, zoals gecontroleerd door WSUS., U kunt de groepen handmatig invullen met de WSUS-beheerconsole of automatisch via Groepsbeleid. Ongeacht de methode die u kiest, moet u eerst de groepen maken in de WSUS-beheerconsole.

om computergroepen te maken in de WSUS-beheerconsole

  1. Open de WSUS-beheerconsole.

  2. Ga naar Server_Name \ Computers \ alle Computers en klik vervolgens op computergroep toevoegen.

  3. Typ Ring 2 Pilot business Users voor de naam en klik vervolgens op Toevoegen.,

  4. herhaal deze stappen voor de Ring 3 Broad IT en Ring 4 Broad Business Users groepen. Als je klaar bent, moeten er drie ringgroepen zijn.

nu de groepen zijn gemaakt, voegt u de computers toe aan de computergroepen die uitgelijnd zijn met de gewenste implementatieringen. U kunt dit doen via Groepsbeleid of handmatig met behulp van de WSUS-beheerconsole.,

gebruik de WSUS-beheerconsole om implementatieringen te vullen

het toevoegen van computers aan computergroepen in de WSUS-beheerconsole is eenvoudig, maar het kan veel langer duren dan het beheren van het lidmaatschap via Groepsbeleid, vooral als u veel computers wilt toevoegen. Het toevoegen van computers aan computergroepen in de WSUS-beheerconsole wordt server-side targeting genoemd.

in dit voorbeeld voegt u computers op twee verschillende manieren toe aan computergroepen: door handmatig niet-toegewezen computers toe te wijzen en door naar meerdere computers te zoeken.,

wijs niet-toegewezen computers handmatig toe aan groepen

wanneer nieuwe computers communiceren met WSUS, worden ze weergegeven in de groep niet-toegewezen Computers. Vanaf daar kunt u de volgende procedure gebruiken om computers toe te voegen aan de juiste groepen. Voor deze voorbeelden gebruikt u twee Windows 10-pc ‘ s (WIN10-PC1 en WIN10-PC2) om toe te voegen aan de computergroepen.

Als u computers handmatig

  1. wilt toewijzen In de WSUS-beheerconsole, gaat u naar Server_Name\Computers\alle Computers\niet toegewezen Computers.,

    Hier ziet u de nieuwe computers die het groepsbeleidsobject hebben ontvangen dat u in de vorige sectie hebt gemaakt en die zijn begonnen met de communicatie met WSUS. Dit voorbeeld heeft slechts twee computers; afhankelijk van hoe breed je je Beleid hebt geïmplementeerd, zul je hier waarschijnlijk veel computers hebben.

  2. Selecteer beide computers, klik met de rechtermuisknop op de selectie en klik vervolgens op lidmaatschap wijzigen.

  3. selecteer in het dialoogvenster Computergroeplidmaatschap instellen Ring 2 Pilot Business Users deployment ring en klik vervolgens op OK.,

    omdat ze aan een groep zijn toegewezen, behoren de computers niet langer tot de groep niet-toegewezen Computers. Als u de Ring 2 Pilot Business Users computergroep selecteert, ziet u beide computers daar.

zoeken naar meerdere computers om toe te voegen aan groepen

een andere manier om meerdere computers toe te voegen aan een implementatiering in de WSUS-beheerconsole is door de zoekfunctie te gebruiken.

Als u meerdere computers wilt zoeken

  1. in de WSUS-beheerconsole, gaat u naar Server_Name\Computers\alle Computers, klikt u met de rechtermuisknop op alle Computers en klikt u vervolgens op Zoeken.,

  2. Typ WIN10 in het zoekvak.

  3. selecteer in de zoekresultaten de computers, klik met de rechtermuisknop op de selectie en klik vervolgens op lidmaatschap wijzigen.

  4. Selecteer de Ring 3 brede IT-inzetring en klik vervolgens op OK.

U kunt deze computers nu zien in de Ring 3 brede IT-computergroep.

## gebruik Groepsbeleid om implementatieringen in te vullen

de WSUS-beheerconsole biedt een gebruiksvriendelijke interface waarmee u kwaliteitsupdates en functie-updates van Windows 10 kunt beheren., Wanneer u echter veel computers aan de juiste WSUS-implementatiering moet toevoegen, kan het tijdrovend zijn om dit handmatig te doen in de WSUS-beheerconsole. Overweeg in deze gevallen Groepsbeleid te gebruiken om de juiste computers te richten en deze automatisch toe te voegen aan de juiste WSUS-implementatiering op basis van een Active Directory-beveiligingsgroep. Dit proces wordt client-side targeting genoemd. Voordat u targeting aan de clientzijde in Groepsbeleid inschakelt, moet u WSUS configureren om computertoewijzing voor Groepsbeleid te accepteren.,

om WSUS zo te configureren dat targeting aan de clientzijde vanuit Groepsbeleid is toegestaan

  1. Open de WSUS-beheerconsole, ga naar Server_Name\Options en klik vervolgens op Computers.

  2. selecteer in het dialoogvenster Computers Groepsbeleid of registerinstellingen gebruiken op computers en klik vervolgens op OK.

    Note

    Deze optie is uitsluitend-of. Wanneer u WSUS inschakelt om Groepsbeleid te gebruiken voor groepstoewijzing, kunt u niet langer handmatig computers toevoegen via de WSUS-beheerconsole totdat u de optie terug wijzigt.,

nu WSUS klaar is voor targeting aan de clientzijde, voert u de volgende stappen uit om Groepsbeleid te gebruiken om targeting aan de clientzijde te configureren:

om targeting aan de clientzijde te configureren

Tip

wanneer u targeting aan de clientzijde gebruikt, kunt u overwegen beveiligingsgroepen dezelfde namen te geven als uw implementatieringen. Dit vereenvoudigt het beleid-creatie proces en helpt ervoor te zorgen dat u geen computers toevoegen aan de onjuiste ringen.

  1. Open Console voor Groepsbeleidsbeheer (gpmc.msc).

  2. vouw Forest \ Domains \ Your_Domain uit.,

  3. Klik met de rechtermuisknop op Uw_domein en klik vervolgens op een groepsbeleidsobject in dit domein maken en deze hier koppelen.

  4. Typ in het dialoogvenster nieuw groepsbeleidsobject WSUS – Client Targeting – Ring 4 brede zakelijke gebruikers voor de naam van het nieuwe groepsbeleidsobject.

  5. Klik met de rechtermuisknop op het algemene groepsbeleidsobject WSUS-Client Targeting – Ring 4 en klik vervolgens op Bewerken.

  6. ga in de Editor voor Groepsbeleidsbeheer naar Computerconfiguratie\Beleid\Beheersjablonen\Windows-onderdelen\Windows Update.,

  7. Klik met de rechtermuisknop op client-side targeting inschakelen en klik vervolgens op Bewerken.

  8. selecteer Inschakelen in het dialoogvenster targeting aan de clientzijde inschakelen.

  9. Typ Ring 4 Broad Business Users in het vak Naam van de doelgroep voor deze computer. Dit is de naam van de deployment ring in WSUS waaraan deze computers zullen worden toegevoegd.

waarschuwing

De naam van de doelgroep moet overeenkomen met de naam van de computergroep.

  1. sluit de Editor voor Groepsbeleidsbeheer.,

nu bent u klaar om dit GPO te implementeren in de juiste computerbeveiligingsgroep voor de Ring 4 brede zakelijke gebruikers implementatie ring.

Als u het groepsbeleidsobject wilt uitbreiden naar een groep

  1. in de GPMC, selecteert u het WSUS – Client Targeting – Ring 4 brede zakelijke gebruikersbeleid.

  2. klik op het tabblad bereik.

  3. verwijder onder Beveiligingsfiltering de standaard beveiligingsgroep geverifieerde gebruikers en voeg vervolgens de Ring 4 brede groep zakelijke gebruikers toe.,

de volgende keer dat de clients in de Ring 4 Broad Business Users security group hun computerbeleid ontvangen en contact opnemen met WSUS, worden ze toegevoegd aan de Ring 4 Broad Business Users deployment ring.

automatisch functie-updates goedkeuren en implementeren

voor clients waarvan de functie-updates moeten worden goedgekeurd zodra ze beschikbaar zijn, kunt u automatische goedkeuringsregels configureren in WSUS.

Note

WSUS respecteert de servicing branch van het clientapparaat., Als u een functieupdate goedkeurt terwijl deze zich nog in één tak bevindt, zoals Insider Preview, installeert WSUS de update alleen op apparaten die zich in die servicetak bevinden. Wanneer Microsoft de build voor halfjaarlijkse Kanaal, de apparaten in de halfjaarlijkse kanaal zal installeren. Windows Update for Business branch-instellingen zijn niet van toepassing op functie-updates via WSUS.,

Als u een automatische Goedkeuringsregel wilt configureren voor updates van Windows 10-functies en deze wilt goedkeuren voor de Ring 3 brede IT-implementatiering

  1. In de WSUS-beheerconsole, gaat u naar Services\Server_Name\opties bijwerken en selecteert u automatische goedkeuringen.

  2. klik op het tabblad Regels bijwerken op nieuwe regel.

  3. schakel in het dialoogvenster Regel toevoegen het selectievakje wanneer een update zich in een specifieke classificatie bevindt, wanneer een update zich in een specifiek product bevindt en stel een termijn in voor de goedkeuring.,

  4. selecteer in het gebied Eigenschappen Bewerken een classificatie. Wis alles behalve Upgrades en klik vervolgens op OK.

  5. klik in het gebied eigenschappen bewerken op de Productkoppeling. Schakel alle selectievakjes uit behalve Windows 10 en klik vervolgens op OK.

    Windows 10 staat onder alle producten \ Microsoft \ Windows.

  6. klik in het gedeelte Eigenschappen bewerken op de koppeling alle computers. Wis alle computergroep selectievakjes behalve Ring 3 Broad IT en klik vervolgens op OK.,

  7. laat de termijn van 7 dagen na de goedkeuring om 03.00 uur.

  8. In de stap 3: Geef een naam vak, Typ Windows 10 Upgrade Auto-approval voor Ring 3 Broad IT, en klik vervolgens op OK.

  9. klik in het dialoogvenster Automatische goedkeuringen op OK.

    Note

    WSUS houdt geen rekening met bestaande instellingen voor uitstel van maand/week/dag., Dat gezegd hebbende, als u Windows Update for Business gebruikt voor een computer waarvoor WSUS ook updates beheert, wordt de update, wanneer WSUS de update goedkeurt, op de computer geïnstalleerd, ongeacht of u Groepsbeleid hebt geconfigureerd om te wachten.

nu, wanneer Windows 10 functie-updates worden gepubliceerd in WSUS, zullen ze automatisch worden goedgekeurd voor de Ring 3 brede IT-implementatie ring met een installatiedeadline van 1 week.

waarschuwing

de regel voor automatische goedkeuring wordt uitgevoerd nadat de synchronisatie is opgetreden., Dit betekent dat de volgende upgrade voor elke Windows 10-versie zal worden goedgekeurd. Als u Run Rule selecteert, zullen alle mogelijke updates die aan de criteria voldoen worden goedgekeurd, mogelijk inclusief oudere updates die u eigenlijk niet wilt-wat een probleem kan zijn als de downloadgroottes erg groot zijn.

handmatig functie-updates goedkeuren en implementeren

u kunt ook handmatig updates goedkeuren en deadlines instellen voor installatie binnen de WSUS-beheerconsole. Het is misschien het beste om updateregels handmatig goed te keuren nadat uw pilot-implementatie is bijgewerkt.,

om het handmatige goedkeuringsproces te vereenvoudigen, start u met het maken van een software-updateweergave die alleen Windows 10-updates bevat.

opmerking

als u meer dan één functie-update voor een computer goedkeurt, kan er een fout optreden bij de client. Slechts één functie-update per computer goedkeuren.

Als u feature-updates handmatig wilt goedkeuren en implementeren

  1. in de WSUS-beheerconsole, gaat u naar Services\Server_Name\Updates bijwerken. Klik in het deelvenster actie op nieuwe weergave bijwerken.,

  2. in het dialoogvenster Updateweergave toevoegen selecteert u Updates bevinden zich in een specifieke classificatie en Updates zijn voor een specifiek product.

  3. in Stap 2: bewerk de eigenschappen, klik op een classificatie. Schakel alle selectievakjes uit behalve Upgrades en klik vervolgens op OK.

  4. onder Stap 2: bewerk de eigenschappen, klik op een product. Schakel alle selectievakjes uit behalve Windows 10 en klik vervolgens op OK.

    Windows 10 staat onder alle producten \ Microsoft \ Windows.

  5. In het vak Stap 3: Geef een naam op, typ alle Windows 10-Upgrades en klik op OK.,

nu u de weergave alle Windows 10-Upgrades hebt, voert u de volgende stappen uit om handmatig een update goed te keuren voor de Ring 4 brede zakelijke gebruikers deployment ring:

  1. In de WSUS-beheerconsole gaat u naar Services bijwerken\Server_Name\Updates\alle Windows 10-Upgrades.

  2. Klik met de rechtermuisknop op de functie-update die u wilt implementeren en klik vervolgens op Goedkeuren.

  3. selecteer goedgekeurd voor installatie in het dialoogvenster Updates goedkeuren in de lijst met brede zakelijke gebruikers van Ring 4.,

  4. in het dialoogvenster Updates goedkeuren, klik in de lijst met brede zakelijke gebruikers van Ring 4 op Deadline, klik op één Week en klik vervolgens op OK.

  5. als het dialoogvenster Microsoft softwarelicentievoorwaarden wordt geopend, klikt u op Accepteren.

    als de implementatie succesvol is, moet u een succesvol voortgangsrapport ontvangen.

  6. Klik in het dialoogvenster Voortgang van de goedkeuring op Sluiten.,I>BranchCache configureren voor Windows 10 updates

  7. updates implementeren voor Windows 10 Mobile Enterprise en Windows 10 IoT Mobile
  8. updates implementeren met Windows Update for Business
  9. configureren Windows Update for Business
  10. integreren Windows Update for Business met managementoplossingen
  11. Walkthrough: gebruik Groepsbeleid om Windows Update for Business te configureren
  12. Walkthrough: gebruik Intune om Windows Update for Business te configureren
  13. implementeer Windows 10 updates met Microsoft Endpoint Configuration Manager
  14. manage device start opnieuw op na updates

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *