- 1/14/2021
- 14 minut do odczytania
-
- j
- L
- 0
- v
- t
-
+15
dotyczy
- Windows 10
szukasz informacji dla konsumentów?, Zobacz Windows Update: FAQ
ważne
ze względu na zmiany nazw starsze terminy, takie jak CB i CBB, mogą nadal być wyświetlane w niektórych naszych produktach, takich jak zasady grupy lub rejestr. Jeśli napotkasz te terminy, „CB „odnosi się do kanału półrocznego (docelowego), który nie jest już używany, podczas gdy” CBB ” odnosi się do kanału półrocznego.
WSUS jest rolą serwera Windows dostępną w systemach operacyjnych Windows Server. Zapewnia jeden hub dla aktualizacji systemu Windows w organizacji., WSUS pozwala firmom nie tylko odroczyć aktualizacje, ale także selektywnie je zatwierdzić, wybrać, kiedy zostaną dostarczone i określić, które poszczególne urządzenia lub grupy urządzeń otrzymują je. WSUS zapewnia dodatkową kontrolę nad Windows Update dla firm, ale nie zapewnia wszystkich opcji planowania i elastyczności wdrażania, które zapewnia Microsoft Endpoint Manager.
gdy wybierzesz WSUS jako źródło aktualizacji systemu Windows, za pomocą zasad grupy wskaż urządzenia klienckie systemu Windows 10 na serwer WSUS w celu ich aktualizacji., Następnie aktualizacje są okresowo pobierane na serwer WSUS i zarządzane, zatwierdzane i wdrażane za pośrednictwem konsoli administracyjnej lub zasad grupy WSUS, co usprawnia zarządzanie aktualizacjami w przedsiębiorstwie. Jeśli obecnie używasz WSUS do zarządzania aktualizacjami systemu Windows w swoim środowisku, możesz nadal to robić w systemie Windows 10.
wymagania dotyczące obsługi systemu Windows 10 z WSUS
aby móc używać WSUS do zarządzania i wdrażania aktualizacji funkcji systemu Windows 10, musisz użyć obsługiwanej wersji WSUS:
- WSUS 10.0.14393 (rola w Windows Server 2016)
- WSUS 10.0.,17763 (rola w systemie Windows Server 2019)
- WSUS 6.2 i 6.3 (rola w systemie Windows Server 2012 i Windows Server 2012 R2)
- KB 3095113 i KB 3159706 (lub równoważna aktualizacja) muszą być zainstalowane na WSUS 6.2 i 6.3.
ważne
zarówno KB 3095113, jak i KB 3159706 są uwzględniane w miesięczniku security Quality Rollup od lipca 2017 roku. Oznacza to, że KB 3095113 i KB 3159706 mogą nie być wyświetlane jako zainstalowane aktualizacje, ponieważ mogły być zainstalowane z rollupem., Jeśli jednak potrzebujesz jednej z tych aktualizacji, zalecamy zainstalowanie comiesięcznej aktualizacji jakości bezpieczeństwa opublikowanej po październiku 2017 r., ponieważ zawierają one dodatkową aktualizację WSUS, aby zmniejszyć wykorzystanie pamięci w CLIENTWEBSERVICE WSUS.Jeśli zsynchronizowano którąkolwiek z tych aktualizacji przed comiesięcznym wdrożeniem jakości zabezpieczeń, mogą wystąpić problemy. Aby to odzyskać, zobacz Jak usunąć aktualizacje w WSUS.,
skalowalność WSUS
aby używać WSUS do zarządzania wszystkimi aktualizacjami systemu Windows, niektóre organizacje mogą potrzebować dostępu do WSUS z sieci obwodowej lub mogą mieć inny złożony scenariusz. WSUS jest wysoce skalowalny i konfigurowalny dla organizacji o dowolnej wielkości lub układzie strony. Aby uzyskać szczegółowe informacje na temat skalowania WSUS, w tym konfigurację serwera upstream i downstream, oddziały, równoważenie obciążenia WSUS i inne złożone scenariusze, zobacz Wybór typu wdrożenia WSUS.,
Konfigurowanie automatycznych aktualizacji i lokalizacji usługi aktualizacji
podczas korzystania z WSUS do zarządzania aktualizacjami na urządzeniach klienckich Windows, zacznij od skonfigurowania ustawień zasad grupy Konfiguracja automatycznych aktualizacji i intranetu Microsoft Update Service Location dla swojego środowiska. Zmusza to zainteresowanych klientów do skontaktowania się z serwerem WSUS, aby mógł nimi zarządzać. Poniższy proces opisuje, jak określić te ustawienia i wdrożyć je na wszystkich urządzeniach w domenie.,
aby skonfigurować Konfiguruj Aktualizacje automatyczne i Intranet ustawienia zasad grupy Microsoft Update Service Location dla swojego środowiska
-
otwórz Konsolę zarządzania zasadami grupy (gpmc.msc).
-
Expand Forest\Domains\Your_Domain.
-
kliknij prawym przyciskiem myszy Your_Domain, a następnie wybierz Utwórz GPO w tej domenie i połącz go tutaj.
Uwaga
w tym przykładzie ustawienia zasad grupy lokalizacji usługi Microsoft Update Service są określone dla całej domeny., Nie jest to wymagane; ustawienia te można przypisać do dowolnej grupy zabezpieczeń za pomocą filtrowania zabezpieczeń lub określonego urządzenia.
-
w nowym oknie dialogowym GPO podaj nazwę nowej lokalizacji usługi GPO WSUS – Auto Updates i Intranet Update Service.
-
kliknij prawym przyciskiem myszy WSUS-Auto Updates and Intranet Update Service Location GPO, a następnie kliknij Edytuj.
-
w edytorze zarządzania zasadami grupy przejdź do pozycji Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Update.,
-
kliknij prawym przyciskiem myszy ustawienie Konfiguruj Aktualizacje automatyczne, a następnie kliknij Edytuj.
-
w oknie dialogowym Konfiguruj automatyczne aktualizacje wybierz opcję Włącz.
-
w obszarze Opcje, z listy Konfiguruj automatyczne aktualizowanie, wybierz opcję 3 – Automatyczne pobieranie i powiadom do instalacji, a następnie kliknij OK.
ważne
użyj Regedit.,exe, aby sprawdzić, czy następujący Klawisz nie jest włączony, ponieważ może przerwać łączność ze sklepem Windows: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotConnectToWindowsUpdateInternetlocations
Uwaga
istnieją trzy inne ustawienia dla automatycznego pobierania aktualizacji i daty i godziny instalacji. Jest to po prostu opcja, której używa ten przykład. Aby uzyskać więcej przykładów kontrolowania aktualizacji automatycznych i innych powiązanych zasad, zobacz Konfigurowanie aktualizacji automatycznych za pomocą zasad grupy.,
-
kliknij prawym przyciskiem myszy ustawienie Określ intranet Microsoft update service location, a następnie wybierz opcję Edytuj.
-
w oknie dialogowym określ intranet lokalizacja usługi Microsoft update wybierz opcję Włącz.
-
w opcji Ustaw usługę aktualizacji intranetu do wykrywania aktualizacji i ustaw opcje serwera statystyk intranetowych, wpiszhttp://Your_WSUS_Server_FQDN:PortNumber, a następnie wybierz OK.
Uwaga
Url
na poniższym obrazku jest tylko przykładem., W swoim środowisku należy używać nazwy serwera i numeru portu dla wystąpienia WSUS.
Uwaga
domyślny port HTTP dla WSUS to 8530, a domyślny port HTTP over Secure Sockets Layer (HTTPS) to 8531. (Pozostałe opcje to 80 i 443; inne porty nie są obsługiwane.)
gdy klienci systemu Windows odświeżają swoje zasady komputera (domyślne ustawienie odświeżania zasad grupy wynosi 90 minut, a po ponownym uruchomieniu komputera), Komputery zaczynają pojawiać się w WSUS., Teraz, gdy klienci komunikują się z serwerem WSUS, utwórz grupy komputerów, które będą dopasowane do Twoich pierścieni wdrożeniowych.
Tworzenie grup komputerowych w konsoli administracyjnej WSUS
Uwaga
poniższe procedury wykorzystują jako przykłady grupy z tabeli 1 w pierścieniach wdrażania kompilacji dla aktualizacji systemu Windows 10.
możesz użyć grup komputerów, aby skierować na podzbiór urządzeń, które mają określone aktualizacje jakości i funkcji. Grupy te reprezentują Twoje pierścienie rozmieszczenia, kontrolowane przez WSUS., Grupy można wypełniać ręcznie za pomocą konsoli administracyjnej WSUS lub automatycznie za pomocą zasad grupy. Niezależnie od wybranej metody należy najpierw utworzyć grupy w konsoli administracyjnej WSUS.
aby utworzyć grupy komputerowe w konsoli administracyjnej WSUS
-
otwórz Konsolę administracyjną WSUS.
-
przejdź do nazwy serwera\Computers\All Computers, a następnie kliknij Dodaj grupę komputerów.
-
wpisz nazwę programu Ring 2 Pilot Business Users, a następnie kliknij Dodaj.,
-
powtórz te kroki dla szerokiej grupy użytkowników biznesowych Ring 3 I Ring 4. Kiedy skończysz, powinny być trzy grupy pierścieni rozmieszczenia.
teraz, gdy grupy zostały utworzone, Dodaj komputery do grup komputerów, które są zgodne z żądanymi pierścieniami wdrażania. Możesz to zrobić za pomocą zasad grupy lub ręcznie za pomocą konsoli administracyjnej WSUS.,
Użyj konsoli administracyjnej WSUS do wypełniania pierścieni wdrożeniowych
dodawanie komputerów do grup komputerowych w konsoli administracyjnej WSUS jest proste, ale może zająć znacznie więcej czasu niż zarządzanie członkostwem za pomocą zasad grupowych, zwłaszcza jeśli masz wiele komputerów do dodania. Dodawanie komputerów do grup komputerowych w konsoli administracyjnej WSUS nazywa się kierowaniem po stronie serwera.
w tym przykładzie dodajesz komputery do grup komputerów na dwa różne sposoby: ręcznie przypisując nieprzypisane Komputery i wyszukując wiele komputerów.,
ręczne przypisywanie nieprzypisanych komputerów do grup
gdy nowe komputery komunikują się z WSUS, pojawiają się w grupie Nieprzypisane Komputery. Następnie możesz użyć poniższej procedury, aby dodać komputery do odpowiednich grup. W tych przykładach do grup komputerów można dodać dwa komputery z systemem Windows 10 (WIN10-PC1 i WIN10-PC2).
aby ręcznie przypisać Komputery
-
w Konsoli administracyjnej WSUS, przejdź do nazwy serwera\Computers\All Computers\Unassigned Computers.,
tutaj widzisz nowe komputery, które otrzymały GPO utworzone w poprzedniej sekcji i zaczęły komunikować się z WSUS. Ten przykład ma tylko dwa komputery; w zależności od tego, jak szeroko wdrożono Zasady, prawdopodobnie będzie tu wiele komputerów.
-
Wybierz oba komputery, kliknij prawym przyciskiem myszy wybór, a następnie kliknij Zmień członkostwo.
-
w oknie dialogowym Set computer Group Membership wybierz Ring 2 Pilot Business users deployment ring, a następnie kliknij OK.,
ponieważ zostały przypisane do grupy, komputery nie są już w grupie Nieprzypisane Komputery. Jeśli wybierzesz grupę komputerową Ring 2 Pilot Business Users, zobaczysz tam oba komputery.
Wyszukiwanie wielu komputerów w celu dodania do grup
innym sposobem dodawania wielu komputerów do pierścienia wdrażania w konsoli administracyjnej WSUS jest użycie funkcji wyszukiwania.
aby wyszukać wiele komputerów
-
w Konsoli administracyjnej WSUS, przejdź do nazwy serwera\Computers\All Computers, kliknij prawym przyciskiem myszy wszystkie komputery, a następnie kliknij Szukaj.,
-
w polu wyszukiwania wpisz WIN10.
-
w wynikach wyszukiwania wybierz Komputery, kliknij prawym przyciskiem myszy zaznaczenie, a następnie kliknij Zmień członkostwo.
-
Wybierz Ring 3 Broad it deployment ring, a następnie kliknij OK.
Możesz teraz zobaczyć te komputery w grupie Ring 3 Broad IT computer.
## użyj zasad grupy do wypełniania pierścieni wdrożeniowych
konsola administracyjna WSUS zapewnia przyjazny interfejs, z którego można zarządzać aktualizacjami jakości i funkcji systemu Windows 10., Jeśli jednak trzeba dodać wiele komputerów do właściwego pierścienia wdrożeniowego WSUS, może to być czasochłonne, aby zrobić to ręcznie w konsoli administracyjnej WSUS. W takich przypadkach należy rozważyć użycie zasad grupy, aby skierować odpowiednie Komputery i automatycznie dodać je do właściwego pierścienia wdrażania WSUS w oparciu o grupę zabezpieczeń usługi Active Directory. Proces ten nazywa się kierowaniem po stronie klienta. Przed włączeniem kierowania po stronie klienta w zasadach grupowych, musisz skonfigurować WSUS tak, aby akceptował przypisanie komputera zasad grupy.,
aby skonfigurować WSUS tak, aby zezwalał na kierowanie po stronie klienta z zasad grupy
-
otwórz Konsolę administracyjną WSUS i przejdź do nazwy serwera\Options, a następnie kliknij Komputery.
-
w oknie dialogowym Komputery wybierz Użyj zasad grupy lub ustawień rejestru na komputerach, a następnie kliknij OK.
Uwaga
Ta opcja jest wyłącznie albo-albo. Po włączeniu zasad grupy WSUS do przypisywania grup nie można już ręcznie dodawać komputerów za pośrednictwem konsoli administracyjnej WSUS, dopóki nie zmieni się opcji wstecz.,
teraz, gdy WSUS jest gotowy do targetowania po stronie klienta, wykonaj następujące kroki, aby użyć zasad grupy do skonfigurowania targetowania po stronie klienta:
aby skonfigurować targetowanie po stronie klienta
Wskazówka
podczas korzystania z targetowania po stronie klienta, rozważ nadanie grupom zabezpieczeń takich samych nazw jak pierścienie wdrażania. Upraszcza to proces tworzenia zasad i pomaga uniknąć dodawania komputerów do nieprawidłowych pierścieni.
-
Open Group Policy Management Console (gpmc.msc).
-
Expand Forest\Domains\Your_Domain.,
-
kliknij prawym przyciskiem myszy Your_Domain, a następnie kliknij Create a GPO in this domain, and Link it here.
-
w nowym oknie dialogowym GPO wpisz WSUS – Client Targeting – Ring 4 Broad Business Users dla nazwy nowego GPO.
-
kliknij prawym przyciskiem myszy WSUS-Client Targeting – Ring 4 Broad Business Users GPO, a następnie kliknij Edytuj.
-
w edytorze zarządzania zasadami grupy przejdź do pozycji Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Update.,
-
kliknij prawym przyciskiem myszy Włącz kierowanie po stronie klienta, a następnie kliknij Edytuj.
-
w oknie dialogowym Włącz kierowanie po stronie klienta wybierz opcję Włącz.
-
w nazwie grupy docelowej tego komputera wpisz Ring 4 Broad Business Users. Jest to nazwa pierścienia wdrożeniowego w WSUS, do którego będą dodawane te komputery.
Ostrzeżenie
nazwa grupy docelowej musi być zgodna z nazwą grupy komputerowej.
- zamknij Edytor zarządzania zasadami grupy.,
teraz jesteś gotowy, aby wdrożyć ten GPO do właściwej grupy zabezpieczeń komputerowych dla pierścienia wdrożeniowego Ring 4 Broad Business Users.
aby włączyć GPO do grupy
-
w GPMC, wybierz WSUS – Client Targeting – Ring 4 Broad business Users policy.
-
kliknij kartę zakres.
-
w obszarze filtrowanie zabezpieczeń Usuń domyślną grupę zabezpieczeń uwierzytelnionych użytkowników, a następnie dodaj szeroką grupę użytkowników biznesowych Ring 4.,
gdy następnym razem klienci z grupy zabezpieczeń Ring 4 Broad Business users otrzymają swoją politykę informacyjną i skontaktują się z WSUS, zostaną oni dodani do pierścienia wdrożeniowego Ring 4 Broad Business Users.
automatycznie zatwierdzaj i wdrażaj aktualizacje funkcji
dla klientów, którym aktualizacje funkcji powinny zostać zatwierdzone, gdy tylko będą dostępne, możesz skonfigurować reguły automatycznego zatwierdzania w WSUS.
Uwaga
WSUS, Jeśli zatwierdzisz aktualizację funkcji, gdy jest ona jeszcze w jednej gałęzi, na przykład Insider Preview, WSUS zainstaluje aktualizację tylko na urządzeniach, które znajdują się w tej gałęzi serwisowania. Gdy Microsoft wyda kompilację dla kanału półrocznego, urządzenia w kanale półrocznym go zainstalują. Ustawienia Windows Update dla oddziałów firm nie mają zastosowania do aktualizacji funkcji za pośrednictwem WSUS.,
aby skonfigurować automatyczną regułę zatwierdzania aktualizacji funkcji systemu Windows 10 I zatwierdzić je dla szerokiego pierścienia wdrażania it Ring 3
-
w konsoli administracyjnej WSUS, przejdź do opcji Update Services\Server_Name\Options, a następnie wybierz opcję automatic Approvals.
-
na karcie Aktualizuj Reguły kliknij Nową Regułę.
-
w oknie dialogowym Dodaj regułę wybierz opcję kiedy aktualizacja jest w określonej klasyfikacji, kiedy aktualizacja jest w określonym produkcie i ustaw termin zatwierdzenia pól wyboru.,
-
w obszarze Edytuj Właściwości wybierz dowolną klasyfikację. Wyczyść wszystko z wyjątkiem uaktualnień, a następnie kliknij OK.
-
w obszarze Edytuj Właściwości kliknij łącze dowolny produkt. Wyczyść wszystkie pola wyboru z wyjątkiem systemu Windows 10, a następnie kliknij OK.
Windows 10 znajduje się pod All Products\Microsoft\Windows.
-
w obszarze Edytuj Właściwości kliknij łącze wszystkie komputery. Wyczyść wszystkie pola wyboru grupy komputerowej, z wyjątkiem pierścienia 3, a następnie kliknij OK.,
-
w Kroku 3: Określ pole Nazwa, wpisz Windows 10 Upgrade Auto-approval for Ring 3, a następnie kliknij OK.
-
w oknie dialogowym automatyczne zatwierdzanie kliknij OK.
Uwaga
WSUS nie honoruje żadnych istniejących ustawień odroczenia miesiąca/tygodnia/dnia., To powiedziawszy, jeśli używasz Windows Update for Business na komputerze, dla którego WSUS również zarządza aktualizacjami, gdy WSUS zatwierdzi aktualizację, zostanie ona zainstalowana na komputerze niezależnie od tego, czy skonfigurowałeś Politykę grupy, aby czekać.
teraz, gdy aktualizacje funkcji systemu Windows 10 zostaną opublikowane w WSUS, zostaną one automatycznie zatwierdzone do szerokiego pierścienia wdrożeniowego Ring 3 z terminem instalacji wynoszącym 1 tydzień.
Ostrzeżenie
reguła automatycznego zatwierdzania działa po synchronizacji., Oznacza to, że Następna aktualizacja dla każdej wersji systemu Windows 10 zostanie zatwierdzona. Jeśli wybierzesz opcję Uruchom regułę, wszystkie możliwe aktualizacje, które spełniają kryteria, zostaną zatwierdzone, potencjalnie włączając starsze aktualizacje, których w rzeczywistości nie chcesz-co może być problemem, gdy rozmiary pobierania są bardzo duże.
ręczne zatwierdzanie i wdrażanie aktualizacji funkcji
Możesz również ręcznie zatwierdzać aktualizacje i ustawiać terminy instalacji w konsoli administracyjnej WSUS. Najlepiej jest zatwierdzić reguły aktualizacji ręcznie po zaktualizowaniu wdrożenia pilotażowego.,
aby uprościć proces ręcznego zatwierdzania, zacznij od utworzenia widoku aktualizacji oprogramowania, który zawiera tylko aktualizacje systemu Windows 10.
Uwaga
Jeśli zatwierdzisz więcej niż jedną aktualizację funkcji dla komputera, może wystąpić błąd z klientem. Zatwierdź tylko jedną aktualizację funkcji na komputer.
aby ręcznie zatwierdzać i wdrażać aktualizacje funkcji
-
w konsoli administracyjnej WSUS, przejdź do opcji Update Services\Server_Name\Updates. W okienku Akcja kliknij Nowy widok aktualizacji.,
-
w oknie dialogowym Dodaj Widok aktualizacji wybierz opcję aktualizacje są w określonej klasyfikacji, a aktualizacje są dla określonego produktu.
-
w Kroku 2: Edytuj Właściwości, kliknij dowolną klasyfikację. Wyczyść wszystkie pola wyboru z wyjątkiem uaktualnień, a następnie kliknij OK.
-
w Kroku 2: Edytuj Właściwości, kliknij dowolny produkt. Wyczyść wszystkie pola wyboru z wyjątkiem systemu Windows 10, a następnie kliknij OK.
Windows 10 znajduje się pod All Products\Microsoft\Windows.
-
w Kroku 3: Określ pole Nazwa, wpisz wszystkie uaktualnienia systemu Windows 10, a następnie kliknij OK.,
teraz, gdy masz widok wszystkich uaktualnień systemu Windows 10, wykonaj następujące kroki, aby ręcznie zatwierdzić aktualizację dla pierścienia wdrażania Ring 4 Broad Business Users:
-
w konsoli administracyjnej WSUS przejdź do opcji Update Services\Server_Name\Updates\All Windows 10 Upgrades.
-
kliknij prawym przyciskiem myszy aktualizację funkcji, którą chcesz wdrożyć, a następnie kliknij Zatwierdź.
-
w oknie dialogowym zatwierdzaj aktualizacje z szerokiej listy użytkowników biznesowych Ring 4 Wybierz opcję zatwierdzono do instalacji.,
-
w oknie dialogowym zatwierdzaj aktualizacje, z szerokiej listy użytkowników biznesowych Ring 4, Kliknij termin, kliknij tydzień, a następnie kliknij OK.
-
Jeśli otworzy się okno dialogowe Warunki licencji oprogramowania Microsoft, kliknij Akceptuj.
jeśli wdrożenie się powiedzie, powinieneś otrzymać pomyślny raport z postępów.
-
w oknie dialogowym postęp zatwierdzania kliknij Zamknij.,i>konfiguracja BranchCache dla aktualizacji systemu Windows 10
- Wdrażanie aktualizacji Dla Windows 10 Mobile Enterprise i Windows 10 IoT Mobile
- Wdrażanie aktualizacji za pomocą usługi Windows Update dla firm
- Konfiguracja usługi Windows Update dla firm
- Integracja usługi Windows Update dla firm z rozwiązaniami do zarządzania
- Walkthrough: użyj zasad grupy, aby skonfigurować usługę Windows Update dla firm
- Walkthrough: Użyj usługi Intune, aby skonfigurować usługę Windows Update dla firm
- Microsoft endpoint configuration manager
- Zarządzaj restartami urządzeń po aktualizacjach