- 1/14/2021
- 14 minuter att läsa
-
- j
- l
- 0
- v
- t
-
+15
gäller
- Windows 10
letar du efter konsumentinformation?, Se Windows Update: FAQ
viktigt
på grund av namnändringar kan äldre termer som CB och CBB fortfarande visas i några av våra produkter, till exempel i grupppolicy eller registret. Om du stöter på dessa villkor hänvisar ”CB ”till den halvårsvisa kanalen (riktad)-som inte längre används-medan” CBB ” avser den halvårsvisa kanalen.
WSUS är en Windows serverroll tillgänglig i Windows Server operativsystem. Det ger ett enda nav för Windows-uppdateringar inom en organisation., WSUS tillåter företag att inte bara skjuta upp uppdateringar utan också att selektivt godkänna dem, välja när de levereras och bestämma vilka enskilda enheter eller grupper av enheter som tar emot dem. WSUS ger ytterligare kontroll över Windows Update för företag men ger inte alla schemaläggningsalternativ och driftsättningsflexibilitet som Microsoft Endpoint Manager tillhandahåller.
När du väljer WSUS som källa för Windows-uppdateringar använder du Grupprincip för att peka Windows 10-klientenheter till WSUS-servern för deras uppdateringar., Därifrån hämtas uppdateringar regelbundet till WSUS-servern och hanteras, godkänns och distribueras via WSUS-administrationskonsolen eller grupprincipen, vilket effektiviserar företagsuppdateringshanteringen. Om du för närvarande använder WSUS för att hantera Windows-uppdateringar i din miljö kan du fortsätta att göra det i Windows 10.
krav för Windows 10 service med WSUS
för att kunna använda WSUS för att hantera och distribuera Windows 10 funktionsuppdateringar måste du använda en WSUS-version som stöds:
- WSUS 10.0.14393 (roll i Windows Server 2016)
- WSUS 10.0.,17763 (roll i Windows Server 2019)
- WSUS 6.2 och 6.3 (roll i Windows Server 2012 och Windows Server 2012 R2)
- KB 3095113 och KB 3159706 (eller en motsvarande uppdatering) måste installeras på WSUS 6.2 och 6.3.
viktigt
både KB 3095113 och KB 3159706 ingår i den månatliga Kvalitetssamlingen säkerhet som börjar i juli 2017. Det betyder att du kanske inte ser KB 3095113 och KB 3159706 som installerade uppdateringar eftersom de kanske har installerats med en samlad., Men om du behöver någon av dessa uppdateringar rekommenderar vi att du installerar en månatlig Kvalitetssamlad säkerhet som släpptes efter oktober 2017 eftersom de innehåller en ytterligare WSUS-uppdatering för att minska minnesutnyttjandet på WSUS clientwebservice.Om du har synkroniserat någon av dessa uppdateringar innan säkerheten månatliga kvalitet samlade, kan du uppleva problem. För att återhämta sig från detta, se Så här tar du bort uppgraderingar i WSUS.,
WSUS skalbarhet
för att använda WSUS för att hantera alla Windows-uppdateringar kan vissa organisationer behöva tillgång till WSUS från ett perimeter-nätverk, eller så kan de ha något annat komplext scenario. WSUS är mycket skalbar och konfigurerbar för organisationer av alla storlekar eller webbplats layout. För specifik information om skalning av WSUS, inklusive uppströms-och nedströmsserverkonfiguration, filialkontor, WSUS-lastbalansering och andra komplexa scenarier, se Välj en typ av WSUS-driftsättning.,
konfigurera automatiska uppdateringar och uppdatera tjänstplats
När du använder WSUS för att hantera uppdateringar på Windows-klientenheter börjar du med att konfigurera inställningarna för Konfigurera automatiska uppdateringar och intranät för Microsoft Update Service Location Group för din miljö. Om du gör det tvingar de drabbade klienterna att kontakta WSUS-servern så att den kan hantera dem. Följande process beskriver hur du anger dessa inställningar och distribuerar dem till alla enheter i domänen.,
för att konfigurera inställningarna för Konfigurera automatiska uppdateringar och intranät för Microsoft Update Service Location Group för din miljö
-
Open Group Policy Management Console (gpmc.msc).
-
expandera Forest\Domains\Your_Domain.
-
högerklicka på Your_Domain och välj sedan skapa en GPO i den här domänen och länka den här.
Obs
i det här exemplet anges inställningarna för Konfigurera automatiska uppdateringar och intranät för Microsoft Update Service Location Group för hela domänen., Detta är inte ett krav; du kan rikta dessa inställningar till någon säkerhetsgrupp med hjälp av säkerhetsfiltrering eller en specifik OU.
-
i den nya GPO dialogrutan, Namnge den nya GPO WSUS – Auto uppdateringar och intranät Uppdatering tjänst plats.
-
högerklicka på WSUS-auto Updates och intranät Update Service Location GPO och klicka sedan på Redigera.
-
gå till Datorkonfiguration\Policies\Administrative Templates\Windows Components\Windows Update i redigeraren för grupprincip.,
-
högerklicka på inställningen konfigurera automatiska uppdateringar och klicka sedan på Redigera.
-
i dialogrutan Konfigurera automatiska uppdateringar väljer du aktivera.
-
under Alternativ, Välj 3 – automatisk hämtning och meddela för installation i listan konfigurera automatisk uppdatering och klicka sedan på OK.
viktigt
använd Regedit.,exe för att kontrollera att följande nyckel inte är aktiverad, eftersom det kan bryta Windows Store-anslutning: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotConnectToWindowsUpdateInternetlocations
Obs
det finns tre andra inställningar för automatisk uppdatering nedladdning och installations datum och tider. Detta är helt enkelt det alternativ som det här exemplet använder. Mer exempel på hur du styr automatiska uppdateringar och andra relaterade policyer finns i Konfigurera automatiska uppdateringar med hjälp av Grupprincip.,
-
högerklicka på inställningen ange intranät Microsoft update service location och välj sedan Redigera.
-
i dialogrutan Ange intranät Microsoft update service-plats väljer du aktivera.
-
Under Alternativ i Set intranätet update-tjänsten för att upptäcka uppdateringar och Ställa intranät statistik server alternativ, typ http://Your_WSUS_Server_FQDN:PortNumber och väljer sedan OK.
notera
webbadressen
I följande bild är bara ett exempel., I din miljö, var noga med att använda servernamnet och portnumret för din WSUS-instans.
Obs
standard HTTP-port för WSUS är 8530, och standard HTTP över Secure Sockets Layer (HTTPS) port är 8531. (De andra alternativen är 80 och 443; inga andra portar stöds.)
eftersom Windows-klienter uppdaterar sina datorpolicyer (standardinställningen för grupprincip är 90 minuter och när en dator startas om) börjar datorer att visas i WSUS., Nu när klienterna kommunicerar med WSUS-servern skapar du de datorgrupper som stämmer överens med dina distributionsringar.
skapa datorgrupper i WSUS-administrationskonsolen
Obs
följande procedurer använder grupperna från Tabell 1 i Build deployment rings för Windows 10-uppdateringar som exempel.
Du kan använda datorgrupper för att rikta in en delmängd av enheter som har specifika kvalitets-och funktionsuppdateringar. Dessa grupper representerar dina distributionsringar, som kontrolleras av WSUS., Du kan fylla grupperna antingen manuellt genom att använda WSUS-administrationskonsolen eller automatiskt genom grupprincipen. Oavsett vilken metod du väljer måste du först skapa grupperna i WSUS-administrationskonsolen.
för att skapa datorgrupper i WSUS-administrationskonsolen
-
Öppna WSUS-administrationskonsolen.
-
gå till Server_Name\Computers\All Computers och klicka sedan på Lägg till Datorgrupp.
-
skriv Ring 2 Pilot företagsanvändare för namnet och klicka sedan på Lägg till.,
-
upprepa dessa steg för ringen 3 bred det och Ring 4 breda Företagsanvändargrupper. När du är klar, bör det finnas tre distributionsring grupper.
nu när grupperna har skapats lägger du till datorerna i de datorgrupper som är anpassade till de önskade distributionsringarna. Du kan göra detta via Grupprincip eller manuellt med hjälp av WSUS-administrationskonsolen.,
använd WSUS-administrationskonsolen för att fylla i distributionsringar
det är enkelt att lägga till datorer i datorgrupper i WSUS-administrationskonsolen, men det kan ta mycket längre tid än att hantera medlemskap via grupprincipen, speciellt om du har många datorer att lägga till. Lägga till datorer i datorgrupper i WSUS-administrationskonsolen kallas serversidan inriktning.
i det här exemplet lägger du till datorer i datorgrupper på två olika sätt: genom att manuellt tilldela Ej tilldelade datorer och genom att söka efter flera datorer.,
tilldela Icke tilldelade datorer manuellt till grupper
När nya datorer kommunicerar med WSUS visas de i gruppen Ej tilldelade datorer. Därifrån kan du använda följande procedur för att lägga till datorer i sina korrekta grupper. För dessa exempel använder du två Windows 10-datorer (WIN10-PC1 och WIN10-PC2) för att lägga till i datorgrupperna.
för att tilldela datorer manuellt
-
i WSUS-administrationskonsolen, gå till Server_Name\Computers\All Computers\Unassigned Computers.,
Här ser du de nya datorerna som har fått GPO som du skapade i föregående avsnitt och började kommunicera med WSUS. Det här exemplet har bara två datorer; beroende på hur brett du distribuerade din policy kommer du sannolikt att ha många datorer här.
-
välj båda datorerna, högerklicka på markeringen och klicka sedan på Ändra medlemskap.
-
i dialogrutan Ange gruppmedlemskap väljer du ring 2 Pilot Business Users deployment ring och klickar sedan på OK.,
eftersom de tilldelades en grupp finns datorerna inte längre i gruppen Ej tilldelade datorer. Om du väljer Ring 2 Pilot Business Users computer group kommer du att se båda datorerna där.
Sök efter flera datorer att lägga till i grupper
ett annat sätt att lägga till flera datorer i en distributionsring i WSUS-administrationskonsolen är att använda sökfunktionen.
för att söka efter flera datorer
-
i WSUS-administrationskonsolen, gå till Server_Name\Computers\All Computers, högerklicka på alla datorer och klicka sedan på SÖK.,
-
skriv WIN10 i sökrutan.
-
i sökresultaten väljer du datorerna, högerklickar på markeringen och klickar sedan på Ändra medlemskap.
-
Välj ringen 3 bred it-distributionsringen och klicka sedan på OK.
Du kan nu se dessa datorer i Ring 3 bred it-datorgruppen.
## använd Grupprincip för att fylla distributionsringar
WSUS Administration Console ger ett vänligt gränssnitt som du kan hantera Windows 10 kvalitet och funktionsuppdateringar., När du behöver lägga till många datorer till deras korrekta WSUS-distributionsring kan det dock vara tidskrävande att göra det manuellt i WSUS-administrationskonsolen. I dessa fall, överväga att använda Grupprincip för att rikta in rätt datorer, automatiskt lägga till dem i rätt WSUS distributionsring baserad på en Active Directory Security group. Denna process kallas klientsidan inriktning. Innan du aktiverar inriktning på klientsidan i grupprincipen måste du konfigurera WSUS för att acceptera grupprincip-datoranpassning.,
för att konfigurera WSUS för att tillåta klientsidans inriktning från Grupprincip
-
Öppna WSUS-administrationskonsolen och gå till Server_Name\ – alternativ och klicka sedan på datorer.
-
i dialogrutan datorer väljer du Använd Grupprincip eller registerinställningar på datorer och klickar sedan på OK.
Obs
det här alternativet är enbart antingen-eller. När du aktiverar WSUS att använda Grupprincip för grupptilldelning kan du inte längre manuellt lägga till datorer via WSUS-administrationskonsolen tills du ändrar alternativet tillbaka.,
nu när WSUS är redo för inriktning på klientsidan, Slutför följande steg för att använda Grupprincip för att konfigurera inriktning på klientsidan:
för att konfigurera inriktning på klientsidan
tips
När du använder inriktning på klientsidan, överväga att ge säkerhetsgrupper samma namn som din distribution ringer. Om du gör det förenklar du processen för att skapa policyer och hjälper dig att se till att du inte lägger till datorer i de felaktiga ringarna.
-
Open Group Policy Management Console (gpmc.msc).
-
expandera Forest\Domains\Your_Domain.,
-
högerklicka på Your_Domain och klicka sedan på Skapa en GPO i den här domänen och länka den här.
-
i den nya GPO – dialogrutan skriver du WSUS – Client Targeting-Ring 4 breda företagsanvändare för namnet på den nya GPO.
-
högerklicka på WSUS-Client Targeting – Ring 4 breda företagsanvändare GPO och klicka sedan på Redigera.
-
gå till Datorkonfiguration\Policies\Administrative Templates\Windows Components\Windows Update i redigeraren för grupprincip.,
-
högerklicka på Aktivera inriktning på klientsidan och klicka sedan på Redigera.
-
i dialogrutan Aktivera inriktning på klientsidan väljer du aktivera.
-
i målgruppens namn för den här datorrutan skriver du Ring 4 breda företagsanvändare. Detta är namnet på distributionsringen i WSUS som dessa datorer kommer att läggas till.
Varning
målgruppens namn måste matcha datorgruppens namn.
- Stäng redigeraren för grupprinciper.,
nu är du redo att distribuera denna GPO till rätt datorsäkerhetsgrupp för Ring 4 breda företagsanvändares distributionsring.
välj WSUS – Client Targeting – Ring 4 bred policy för företagsanvändare om du vill använda GPO till en grupp
-
i GPMC.
-
klicka på fliken omfattning.
-
under säkerhetsfiltrering tar du bort säkerhetsgruppen för autentiserade användare som standard och lägger sedan till gruppen Ring 4 breda företagsanvändare.,
nästa gång kunderna i ringen 4 breda företagsanvändare säkerhetsgrupp får sin datorpolicy och kontakta WSUS, de kommer att läggas till ringen 4 breda företagsanvändare distributionsring.
Godkänn och distribuera funktionsuppdateringar automatiskt
för klienter som ska ha sina funktionsuppdateringar godkända så snart de är tillgängliga kan du konfigurera automatiska Godkännanderegler i WSUS.
Obs
WSUS respekterar klientenhetens serviceavdelning., Om du godkänner en Funktionsuppdatering medan den fortfarande finns i en gren, till exempel Insider Preview, installerar WSUS uppdateringen endast på enheter som finns i den servicegrenen. När Microsoft släpper build for Semi-Annual Channel installerar enheterna i den halvårsvisa kanalen den. Windows Update för affärsgrensinställningar gäller inte för funktionsuppdateringar via WSUS.,
för att konfigurera en automatisk Godkännanderegel för Windows 10-funktionsuppdateringar och godkänna dem för ringen 3 bred it-distributionsring
-
i WSUS-administrationskonsolen, gå till uppdatera Services\Server_Name\Options och välj sedan automatiska godkännanden.
-
klicka på ny regel på fliken Uppdateringsregler.
-
i dialogrutan Lägg till regel väljer du när en uppdatering är i en specifik klassificering, när en uppdatering finns i en viss produkt och anger en tidsfrist för kryssrutorna godkännande.,
-
i området Redigera egenskaper väljer du vilken klassificering som helst. Rensa allt utom uppgraderingar och klicka sedan på OK.
-
klicka på valfri produktlänk i området Redigera egenskaper. Avmarkera alla kryssrutor utom Windows 10 och klicka sedan på OK.
Windows 10 är under alla produkter\Microsoft\Windows.
-
klicka på länken alla datorer i området Redigera egenskaper. Avmarkera alla kryssrutor för datorgruppen utom Ring 3 bred den och klicka sedan på OK.,
-
lämna tidsfristen för 7 dagar efter godkännandet klockan 15.00.
-
i steg 3: Ange en namnruta, skriv Windows 10 Uppgradera automatiskt godkännande för Ring 3 bred det och klicka sedan på OK.
-
klicka på OK i dialogrutan automatiska godkännanden.
Obs
WSUS hedrar inte några befintliga inställningar för månad/vecka / dag., Som sagt, om du använder Windows Update for Business för en dator som WSUS också hanterar uppdateringar, när WSUS godkänner uppdateringen, kommer den att installeras på datorn oavsett om du konfigurerade Grupprincip att vänta.
nu, när Windows 10-funktionsuppdateringar publiceras till WSUS, kommer de automatiskt att godkännas för ringen 3 bred it-distributionsringen med en installationsfrist på 1 vecka.
Varning
regeln för automatiskt godkännande körs efter synkronisering., Detta innebär att nästa uppgradering för varje Windows 10-version kommer att godkännas. Om du väljer Körregel kommer alla möjliga uppdateringar som uppfyller kriterierna att godkännas, eventuellt inklusive äldre uppdateringar som du inte faktiskt vill ha-vilket kan vara ett problem när nedladdningsstorlekarna är mycket stora.
manuellt godkänna och distribuera funktionsuppdateringar
Du kan manuellt godkänna uppdateringar och ställa in tidsfrister för installation inom WSUS Administration Console, samt. Det kan vara bäst att godkänna uppdateringsreglerna manuellt efter att pilotinstallationen har uppdaterats.,
för att förenkla den manuella godkännandeprocessen, börja med att skapa en programuppdateringsvy som endast innehåller Windows 10-uppdateringar.
Obs
om du godkänner mer än en Funktionsuppdatering för en dator kan ett fel resultera i klienten. Godkänn endast en Funktionsuppdatering per dator.
för att godkänna och distribuera funktionsuppdateringar manuellt
-
i WSUS-administrationskonsolen, gå till uppdatera Services\Server_Name\Updates. Klicka på Ny Uppdateringsvy i åtgärdsfönstret.,
-
i dialogrutan Lägg till Uppdateringsvy, välj uppdateringar är i en specifik klassificering och uppdateringar är för en viss produkt.
-
under Steg 2: redigera egenskaperna, klicka på någon klassificering. Avmarkera alla kryssrutor utom uppgraderingar och klicka sedan på OK.
-
under Steg 2: redigera egenskaperna, klicka på vilken produkt som helst. Avmarkera alla kryssrutor utom Windows 10 och klicka sedan på OK.
Windows 10 är under alla produkter\Microsoft\Windows.
-
i steg 3: Ange en namnruta, skriv alla Windows 10 uppgraderingar och klicka sedan på OK.,
nu när du har alla Windows 10 uppgraderingar vy, slutföra följande steg för att manuellt godkänna en uppdatering för ringen 4 breda företagsanvändare driftsättning ring:
-
i WSUS administrationskonsol, gå till uppdatera Services \ Server_Name \ Updates \ alla Windows 10 uppgraderingar.
-
högerklicka på den Funktionsuppdatering du vill distribuera och klicka sedan på Godkänn.
-
i dialogrutan godkänn uppdateringar väljer du godkänd för installation från listan Ring 4 breda företagsanvändare.,
-
i dialogrutan godkänn uppdateringar, från listan Ring 4 breda företagsanvändare, klicka på Deadline, klicka på en vecka och klicka sedan på OK.
-
Om dialogrutan licensvillkor för Microsoft-programvara öppnas klickar du på Godkänn.
om distributionen lyckas bör du få en framgångsrik lägesrapport.
-
klicka på Stäng i dialogrutan Godkännandeframsteg.,i>Konfigurera BranchCache för Windows 10 uppdateringar
- distribuera uppdateringar för Windows 10 Mobile Enterprise och Windows 10 IoT Mobile
- distribuera uppdateringar med Windows Update for Business
- konfigurera Windows Update for Business
- integrera Windows Update for Business med hanteringslösningar
- Walkthrough: använd Grupprincip för att konfigurera Windows Update for Business
- Walkthrough: använd Intune för att konfigurera Windows Update for Business
- distribuera Windows 10 uppdateringar med Microsoft Endpoint Configuration Manager
- hantera enheten startas om efter uppdateringar