Einführung in Softwareupdates in Configuration Manager
Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Mit der Softwareupdatefunktion wird in System Center 2012 Configuration Manager eine Gruppe von Tools und Ressourcen bereitgestellt, mit denen die komplexe Aufgabe der Nachverfolgung und Anwendung von Softwareupdates auf Clientcomputern im Unternehmen leichter verwaltet werden kann. Ein effektiver Softwareupdate-Verwaltungsprozess ist erforderlich, um die Betriebseffektivität aufrechtzuerhalten, Sicherheitsprobleme zu beheben und die Stabilität der Netzwerkinfrastruktur zu gewährleisten. Da die Technologie sich kontinuierlich wandelt und immer wieder neue Sicherheitsrisiken auftreten, gebührt der effektiven Verwaltung von Softwareupdates besonderes Augenmerk.
In den folgenden Abschnitten finden Sie weitere Informationen zu Softwareupdates:
Softwareupdatesynchronisierung
Bewertung der Kompatibilität von Softwareupdates
Bereitstellungspakete für Softwareupdates
Workflows für die Softwareupdatebereitstellung
Softwareupdate-Bereitstellungsprozess
Erweitern von Softwareupdates in Configuration Manager
Unterstützung für Windows Embedded-Geräte mit Schreibfiltern
Netzwerkzugriffsschutz
Neuheiten in Configuration Manager
Neuerungen in Configuration Manager SP1
Neuerungen in System Center 2012 R2 Configuration Manager
Ein Beispielszenario für die Bereitstellung von Softwareupdates in Ihrer Umgebung finden Sie unter Beispielszenario für die Verwendung von Configuration Manager zum Bereitstellen und Überwachen der monatlichen Sicherheitsupdates von Microsoft.
Softwareupdatesynchronisierung
Bei der Softwareupdatesynchronisierung in Configuration Manager werden Metadaten für Softwareupdates über Microsoft Update abgerufen. Der Standort der obersten Ebene (Standort der zentralen Verwaltung oder eigenständiger primärer Standort) wird nach einem Zeitplan mit Microsoft Update synchronisiert. Über die Configuration Manager-Konsole können Sie die Synchronisierung auch manuell starten. Nachdem die Softwareupdatesynchronisierung am Standort der obersten Ebene abgeschlossen ist, wird sie von Configuration Manager an untergeordneten Standorten gestartet, sofern vorhanden. Wenn die Synchronisierung an allen primären bzw. sekundären Standorten abgeschlossen ist, wird eine standortweite Richtlinie erstellt. Mit dieser Richtlinie werden Clientcomputer darüber informiert, wo die Softwareupdatepunkte sich befinden.
Hinweis |
---|
Softwareupdates sind in Clienteinstellungen standardmäßig aktiviert. Wenn Sie aber für die Clienteinstellung Softwareupdates auf Clients aktivieren die Option Nein auswählen, um Softwareupdates in einer Sammlung oder in den Standardeinstellungen zu deaktivieren, werden die zugeordneten Clients nicht darüber informiert, wo die Softwareupdatepunkte sich befinden. Weitere Informationen zu den Clienteinstellungen für Softwareupdates finden Sie im Abschnitt Softwareupdates des Themas Informationen zu Clienteinstellungen in Configuration Manager. |
Nachdem die Richtlinie beim Client eingegangen ist, wird die Softwareupdatekompatibilität überprüft. Die Informationen werden vom Client in Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI) geschrieben. Anschließend werden die Kompatibilitätsinformationen an den Verwaltungspunkt und von dort an den Standortserver gesendet. Weitere Informationen zur Compliancebewertung finden Sie im Abschnitt Bewertung der Kompatibilität von Softwareupdates dieses Themas.
Für System Center 2012 Configuration Manager SP1 und höher:
Ab Configuration Manager SP1 können Sie an einem primären Standort mehrere Softwareupdatepunkte installieren. Der zuerst installierte Softwareupdatepunkt wird als Synchronisierungsquelle konfiguriert. Hiermit erfolgt die Synchronisierung über Microsoft Update oder über einen WSUS-Server, der der Configuration Manager-Hierarchie nicht angehört. Der erste Softwareupdatepunkt wird von den übrigen Softwareupdatepunkten am Standort als Synchronisierungsquelle verwendet.
Hinweis |
---|
Wenn die Softwareupdatesynchronisierung am Standort der obersten Ebene abgeschlossen ist, werden die Metadaten für Softwareupdates mithilfe der Datenbankreplikation an untergeordnete Standorte repliziert. Wenn Sie eine Verbindung zwischen einer Configuration Manager-Konsole und dem untergeordneten Standort herstellen, werden von Configuration Manager die Metadaten für Softwareupdates angezeigt. Allerdings ist es erst nach der Installation und Konfiguration eines Softwareupdatepunkts am Standort möglich, die Kompatibilität von Softwareupdates zu prüfen, Kompatibilitätsinformationen an Configuration Manager zu senden und Softwareupdates bereitzustellen. |
Synchronisierung am Standort der obersten Ebene
Bei der Softwareupdatesynchronisierung am Standort der obersten Ebene werden von Microsoft Update die Metadaten für Softwareupdates abgerufen, die die in Eigenschaften der Softwareupdatepunktkomponente angegebenen Kriterien erfüllen. Sie konfigurieren die Kriterien nur am Standort der obersten Ebene.
Hinweis |
---|
Ab Configuration Manager SP1 können Sie am Standort der obersten Ebene anstelle von Microsoft Update einen vorhandenen WSUS-Server, der nicht der Configuration Manager-Hierarchie angehört, als Synchronisierungsquelle festlegen. |
In der folgenden Liste werden die grundlegenden Schritte des Synchronisierungsprozesses am Standort der obersten Ebene beschrieben:
Die Softwareupdatesynchronisierung wird gestartet.
Vom WSUS-Synchronisierungs-Manager wird die Anforderung, die Synchronisierung mit Microsoft Update zu starten, an WSUS auf dem Softwareupdatepunkt gesendet.
Die Metadaten für Softwareupdates werden über Microsoft Update synchronisiert, und alle Änderungen werden in die WSUS-Datenbank eingefügt bzw. in dieser aktualisiert.
Wenn die Synchronisierung von WSUS abgeschlossen ist, werden die Metadaten für Softwareupdates aus der WSUS-Datenbank vom WSUS-Synchronisierungs-Manager mit der Configuration Manager-Datenbank synchronisiert. Alle Änderungen, die seit der letzten Synchronisierung vorgenommen wurden, werden in die Standortdatenbank eingefügt bzw. in dieser aktualisiert. Die Metadaten für Softwareupdates werden in der Standortdatenbank als Konfigurationselement gespeichert.
Die Konfigurationselemente für Softwareupdates werden mithilfe der Datenbankreplikation an untergeordnete Standorte gesendet.
Wenn die Synchronisierung erfolgreich abgeschlossen wurde, wird vom WSUS-Synchronisierungs-Manager die Statusmeldung 6702 ausgegeben.
Vom WSUS-Synchronisierungs-Manager wird eine Synchronisierungsanforderung an alle untergeordneten Standorte gesendet.
Für einen eigenständigen primären Standort, an dem nur System Center 2012 Configuration Manager SP1 ausgeführt wird:
Vom WSUS-Synchronisierungs-Manager werden einzelne Anforderungen an WSUS auf anderen Softwareupdatepunkten des Standorts gesendet. Die WSUS-Server auf den übrigen Softwareupdatepunkten werden als Replikate von WSUS auf dem Standard-Softwareupdatepunkt am Standort konfiguriert.
Synchronisierung an untergeordneten primären Standorten und sekundären Standorten
Bei der Softwareupdatesynchronisierung am Standort der obersten Ebene werden die Konfigurationselemente für Softwareupdates mithilfe der Datenbankreplikation an untergeordnete Standorte repliziert. Am Ende des Prozesses wird vom Standort der obersten Ebene eine Synchronisierungsanforderung an den untergeordneten Standort gesendet. Daraufhin wird die WSUS-Synchronisierung vom untergeordneten Standort gestartet. Die folgende Liste enthält die grundlegenden Schritte für den Synchronisierungsprozess an einem untergeordneten primären Standort oder an einem sekundären Standort:
Beim WSUS-Synchronisierungs-Manager geht eine Synchronisierungsanforderung vom Standort der obersten Ebene ein.
Die Softwareupdatesynchronisierung wird gestartet.
Vom WSUS-Synchronisierungs-Manager wird die Anforderung, die Synchronisierung zu starten, an WSUS auf dem Softwareupdatepunkt gesendet.
Von WSUS auf dem Softwareupdatepunkt am untergeordneten Standort werden die von WSUS auf dem Softwareupdatepunkt am übergeordneten Standort stammenden Metadaten für Softwareupdates synchronisiert.
Wenn die Synchronisierung erfolgreich abgeschlossen wurde, wird vom WSUS-Synchronisierungs-Manager die Statusmeldung 6702 ausgegeben.
Vom WSUS-Synchronisierungs-Manager wird von einem primären Standort eine Synchronisierungsanforderung an alle untergeordneten sekundären Standorte gesendet. Am sekundären Standort wird die Softwareupdatesynchronisierung mit dem übergeordneten primären Standort gestartet. Der sekundäre Standort wird als Replikat von WSUS auf dem übergeordneten Standort konfiguriert.
Nur Für Configuration Manager ohne Service Pack gilt Folgendes:
Wenn es einen internetbasierte Remotesoftwareupdatepunkt gibt, wird der Synchronisierungsprozess für WSUS auf dem Remotestandortsystem vom WSUS-Synchronisierungs-Manager gestartet.
Für System Center 2012 Configuration Manager SP1 und höher:
Vom WSUS-Synchronisierungs-Manager werden einzelne Anforderungen an WSUS auf anderen Softwareupdatepunkten des Standorts gesendet. Die WSUS-Server auf den übrigen Softwareupdatepunkten werden als Replikate von WSUS auf dem Standard-Softwareupdatepunkt am Standort konfiguriert.
Synchronisierung für internetbasierte Softwareupdatepunkte
Wichtig |
---|
Dieser Abschnitt gilt nur für Configuration Manager ohne Service Pack. |
Wenn die Synchronisierung für den aktiven Softwareupdatepunkt an einem Standort abgeschlossen ist, wird die Synchronisierung für den aktiven internetbasierten Softwareupdatepunkt des Standorts initiiert, sofern konfiguriert. Dieser Prozess ähnelt dem Synchronisierungsprozess auf untergeordneten Standorten. Der einzige Unterschied besteht darin, dass WSUS auf dem aktiven internetbasierten Softwareupdatepunkt mit WSUS auf dem aktiven Softwareupdatepunkt des gleichen Standorts synchronisiert wird.
Vom WSUS-Synchronisierungs-Manager wird die Anforderung, die Synchronisierung zu starten, an WSUS auf dem internetbasierten Remotesoftwareupdatepunkt gesendet.
Von WSUS auf dem internetbasierten Remotesoftwareupdatepunkt werden Metadaten für Softwareupdates aus WSUS auf dem aktiven Softwareupdatepunkt des gleichen Standorts synchronisiert.
Wenn die Synchronisierung erfolgreich abgeschlossen wurde, wird vom WSUS-Synchronisierungs-Manager die Statusmeldung 6702 ausgegeben.
Vom WSUS-Synchronisierungs-Manager wird eine Synchronisierungsanforderung an alle untergeordneten Standorte gesendet.
Ist die für den internetbasierten Softwareupdatepunkt konfigurierte Synchronisierungsquelle nicht für die Synchronisierung mit einem Upstream-Updateserver konfiguriert, können Sie die Funktionen Export und Import des Tools „WSUSutil“ zur Synchronisierung der Metadaten für Softwareupdates von einem aktiven Softwareupdatepunkt des Standorts verwenden. Weitere Informationen finden Sie im Abschnitt Synchronisieren von Softwareupdates bei einem getrennten Softwareupdatepunkt des Themas Konfigurieren von Softwareupdates im Configuration Manager.
Bewertung der Kompatibilität von Softwareupdates
Prüfen Sie vor der Bereitstellung von Softwareupdates auf Clientcomputern in Configuration Manager die Kompatibilität der Clientcomputer mit den Softwareupdates. Für jedes Softwareupdate wird eine Zustandsmeldung mit dem Kompatibilitätszustand für das Update erstellt. Die Zustandsmeldungen werden zusammen an den Verwaltungspunkt gesendet und anschließend an den Standortserver weitergeleitet, wo der Kompatibilitätszustand in die Standortdatenbank aufgenommen wird. Der Kompatibilitätszustand für Softwareupdates wird in der Configuration Manager-Konsole angezeigt. Sie können Softwareupdates auf Computern, auf denen die Updates erforderlich sind, bereitstellen und installieren. Die folgenden Abschnitte enthalten Informationen zu Kompatibilitätszuständen und eine Beschreibung des Überprüfungsprozesses der Softwareupdatekompatibilität.
Kompatibilitätszustände von Softwareupdates
In der folgenden Liste finden Sie eine Beschreibung der Kompatibilitätszustände, die in der Configuration Manager-Konsole für Softwareupdates angezeigt werden.
Status |
Beschreibung |
---|---|
Erforderlich |
Gibt an, dass das Softwareupdate für den Clientcomputer anwendbar und erforderlich ist. Der Softwareupdatezustand ist Erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
|
Nicht erforderlich |
Hiermit wird angegeben, dass das Softwareupdate nicht für den Clientcomputer gilt. Das Softwareupdate ist daher nicht erforderlich. |
Installiert |
Gibt an, dass das Softwareupdate auf den Clientcomputer anwendbar ist und bereits installiert wurde. |
Unbekannt |
Beim Standortserver ist keine Zustandsmeldung vom Clientcomputer eingegangen. Dies kann unter anderem einen der folgenden Gründe haben:
|
Überprüfen der Softwareupdatekompatibilität
Wenn der Softwareupdatepunkt installiert und synchronisiert ist, wird eine standortweite Computerrichtlinie erstellt. Mit dieser Richtlinie werden Clientcomputer darüber informiert, dass Configuration Manager-Softwareupdates für den Standort aktiviert wurden. Beim Empfang der Computerrichtlinie durch einen Client wird eine Kompatibilitätsüberprüfung geplant, die innerhalb der nächsten zwei Stunden zufällig gestartet wird. Beim Start der Überprüfung wird der Überprüfungsverlauf vom Softwareupdateclient-Agent gelöscht. Außerdem wird eine Anforderung zum Suchen des WSUS-Servers übermittelt, der für die Überprüfung verwendet werden soll, und anhand des WSUS-Serverspeicherorts wird ein Update der lokalen Gruppenrichtlinie ausgeführt.
Hinweis |
---|
Verbindungen zwischen internetbasierten Clients und dem WSUS-Server müssen mithilfe von SSL hergestellt werden. |
Eine Überprüfungsanforderung wird an den Windows Update-Agent (WUA) geleitet. Daraufhin wird vom WUA eine Verbindung mit dem in der lokalen Richtlinie genannten Ort des WSUS-Servers hergestellt. Anschließend werden die auf dem WSUS-Server synchronisierten Metadaten für Softwareupdates abgerufen, und der Clientcomputer wird auf diese Updates überprüft. Von einem Prozess des Softwareupdateclient-Agents wird erkannt, dass die Kompatibilitätsüberprüfung abgeschlossen wurde. Für jedes Softwareupdate, dessen Kompatibilitätszustand sich seit der letzten Überprüfung geändert hat, werden Zustandsmeldungen erstellt. Die Zustandsmeldungen werden alle fünfzehn Minuten zusammen an den Verwaltungspunkt gesendet. Der Verwaltungspunkt leitet die Zustandsmeldungen dann an den Standortserver weiter, auf dem die Zustandsmeldungen in der Standortdatenbank gespeichert werden.
Nach der ersten Überprüfung der Kompatibilität von Softwareupdates wird die Überprüfung im konfigurierten Überprüfungszeitplan gestartet. Wenn die Kompatibilität von Softwareupdates vom Client jedoch innerhalb des durch die Gültigkeitsdauer (Time-to-Live, TTL) angegebenen Zeitrahmens überprüft wurde, werden vom Client die lokal gespeicherten Metadaten für Softwareupdates verwendet. Erfolgt die letzte Überprüfung außerhalb der Gültigkeitsdauer, muss vom Client eine Verbindung mit WSUS auf dem Softwareupdatepunkt hergestellt werden, und für die auf dem Client gespeicherten Metadaten für Softwareupdates muss ein Update ausgeführt werden.
Mithilfe des Überprüfungszeitplans kann die Überprüfung der Kompatibilität von Softwareupdates auf folgende Weise gestartet werden:
Zeitplan für Softwareupdateprüfung: Die Überprüfung der Kompatibilität von Softwareupdates beginnt gemäß Überprüfungszeitplan, der in den Einstellungen des Softwareupdateclient-Agents konfiguriert wird. Weitere Informationen zum Konfigurieren der Clienteinstellungen für Softwareupdates finden Sie im Abschnitt Softwareupdates des Themas Informationen zu Clienteinstellungen in Configuration Manager.
Aktion in den Configuration Manager-Eigenschaften: Der Benutzer kann auf dem Clientcomputer im Dialogfeld Configuration Manager-Eigenschaften auf der Registerkarte Aktion die Aktion Überprüfungszyklus für Softwareupdates oder Auswertungszyklus für Softwareupdatebereitstellung starten.
Zeitplan für die erneute Bewertung der Bereitstellung: Die Auswertung der Bereitstellung und die Überprüfung der Kompatibilität von Softwareupdates beginnen gemäß konfiguriertem Zeitplan für die erneute Auswertung der Bereitstellungen, der in den Einstellungen des Softwareupdateclient-Agents konfiguriert wird. Weitere Informationen zu den Clienteinstellungen für Softwareupdates finden Sie im Abschnitt Softwareupdates des Themas Informationen zu Clienteinstellungen in Configuration Manager.
Vor dem Herunterladen von Updatedateien: Wenn bei einem Clientcomputer eine Zuweisungsrichtlinie für eine neu erforderliche Bereitstellung eingeht, werden die Softwareupdatedateien vom Softwareupdateclient-Agent in den lokalen Clientcache heruntergeladen. Vor dem Download der Softwareupdatedatei wird vom Client-Agent im Rahmen einer Überprüfung bestätigt, dass das Softwareupdate noch erforderlich ist.
Vor der Softwareupdateinstallation: Unmittelbar bevor der Softwareupdateinstallation wird vom Softwareupdateclient-Agent im Rahmen einer Überprüfung bestätigt, dass die Softwareupdates noch erforderlich sind.
Nach der Softwareupdateinstallation: Unmittelbar nach dem Abschluss einer Softwareupdateinstallation wird vom Softwareupdateclient-Agent im Rahmen einer Überprüfung bestätigt, dass die Softwareupdates nicht mehr erforderlich sind. Dann wird vom Softwareupdateclient-Agent eine neue Zustandsmeldung erstellt, aus der hervorgeht, dass das Softwareupdate installiert ist. Wenn die Installation abgeschlossen ist, aber ein Neustart ausgeführt werden muss, geht aus der Zustandsmeldung hervor, dass auf dem Clientcomputer ein Neustart ansteht.
Nach dem Neustart des Systems: Wenn auf einem Clientcomputer ein Systemneustart ansteht, damit die Installation des Softwareupdates abgeschlossen werden kann, wird vom Softwareupdateclient-Agent nach dem Neustart im Rahmen einer Überprüfung bestätigt, dass das Update nicht mehr erforderlich ist. Dabei wird eine neue Zustandsmeldung erstellt, aus der hervorgeht, dass das Softwareupdate installiert wurde.
Gültigkeitsdauer
Die zum Überprüfen der Kompatibilität von Softwareupdates erforderlichen Metadaten für Softwareupdates werden auf dem lokalen Clientcomputer gespeichert und sind standardmäßig bis zu 24 Stunden gültig. Dieser Wert wird als Gültigkeitsdauer (Time to Live, TTL) bezeichnet.
Überprüfungstypen für Softwareupdatekompatibilität
Die Überprüfung der Kompatibilität von Softwareupdates durch den Client erfolgt entweder online oder offline sowie entweder erzwungenermaßen oder freiwillig. Welcher Überprüfungstyp verwendet wird, hängt davon ab, wie die Überprüfung der Kompatibilität von Softwareupdates gestartet wurde. In der folgenden Tabelle wird beschrieben, welche Methoden zum Starten der Überprüfung online oder offline ausgeführt werden und ob die Überprüfung erzwungenermaßen oder freiwillig erfolgt.
Überprüfungsmethode |
Überprüfungstyp |
Beschreibung |
---|---|---|
Zeitplan für Softwareupdateprüfung |
Freiwillige Onlineüberprüfung |
Vom Client wird gemäß konfiguriertem Überprüfungszeitplan nur dann eine Verbindung mit WSUS auf dem Softwareupdatepunkt hergestellt, um die Metadaten für Softwareupdates abzurufen, wenn die letzte Überprüfung außerhalb der Gültigkeitsdauer erfolgt ist. |
Überprüfungszyklus für Softwareupdates oder Auswertungszyklus für Softwareupdatebereitstellung |
Erzwungene Onlineüberprüfung |
Vom Clientcomputer wird vor der Überprüfung der Kompatibilität von Softwareupdates immer eine Verbindung mit WSUS auf dem Softwareupdatepunkt hergestellt, um die Metadaten für Softwareupdates abzurufen. Der Zähler für die Gültigkeitsdauer wird nach Abschluss der Überprüfung zurückgesetzt. Beträgt die Gültigkeitsdauer beispielsweise 24 Stunden, wird sie nach dem Start einer Überprüfung der Kompatibilität von Softwareupdates auf 24 Stunden zurückgesetzt. |
Zeitplan für die erneute Bewertung der Bereitstellung |
Freiwillige Onlineüberprüfung |
Vom Client wird gemäß konfiguriertem Zeitplan für die erneute Auswertung der Bereitstellungen nur dann eine Verbindung mit WSUS auf dem Softwareupdatepunkt hergestellt, um die Metadaten für Softwareupdates abzurufen, wenn die letzte Überprüfung außerhalb der Gültigkeitsdauer erfolgt ist. |
Vor dem Herunterladen von Updatedateien |
Freiwillige Onlineüberprüfung |
Vom Client wird bei erforderlichen Bereitstellungen vor dem Herunterladen der Updatedateien nur dann eine Verbindung mit WSUS auf dem Softwareupdatepunkt hergestellt, um die Metadaten für Softwareupdates abzurufen, wenn die letzte Überprüfung außerhalb der Gültigkeitsdauer erfolgt ist. |
Vor der Softwareupdateinstallation |
Freiwillige Onlineüberprüfung |
Vom Client wird bei erforderlichen Bereitstellungen vor dem Installieren von Softwareupdates nur dann eine Verbindung mit WSUS auf dem Softwareupdatepunkt hergestellt, um die Metadaten für Softwareupdates abzurufen, wenn die letzte Überprüfung außerhalb der Gültigkeitsdauer erfolgt ist. |
Nach der Softwareupdateinstallation |
Erzwungene Offlineüberprüfung |
Nach der Installation eines Softwareupdates wird vom Softwareupdateclient-Agent anhand der lokalen Metadaten eine Überprüfung gestartet. Vom Client wird keine Verbindung mit WSUS auf dem Softwareupdatepunkt hergestellt, um Metadaten für Softwareupdates abzurufen. |
Nach dem Neustart des Systems |
Erzwungene Offlineüberprüfung |
Nach der Installation eines Softwareupdates und nach dem Neustart des Computers wird vom Softwareupdateclient-Agent anhand der lokalen Metadaten eine Überprüfung gestartet. Vom Client wird keine Verbindung mit WSUS auf dem Softwareupdatepunkt hergestellt, um Metadaten für Softwareupdates abzurufen. |
Bereitstellungspakete für Softwareupdates
Mithilfe von Bereitstellungspaketen für Softwareupdates werden Softwareupdates in freigegebene Netzwerkordner heruntergeladen. Die Quelldateien des Softwareupdates werden dann in die Inhaltsbibliothek auf Standortservern und an Verteilungspunkten kopiert, die in der Bereitstellung definiert sind. Mit dem Assistenten zum Herunterladen von Updates können Sie Softwareupdates herunterladen und Bereitstellungspaketen hinzufügen, bevor diese bereitgestellt werden. Sie können mit dem Assistenten Softwareupdates an Verteilungspunkten bereitstellen und sich vom Erfolg dieses Teils des Bereitstellungsprozesses überzeugen, bevor Sie die Softwareupdates Clients bereitstellen.
Wenn Sie heruntergeladene Softwareupdates mit dem Assistenten zum Bereitstellen von Softwareupdates bereitstellen, wird bei der Bereitstellung automatisch das Bereitstellungspaket verwendet, das die Softwareupdates enthält. Werden Softwareupdates bereitgestellt, die nicht heruntergeladen wurden, müssen Sie im Assistenten zum Bereitstellen von Softwareupdates ein neues oder vorhandenes Bereitstellungspaket angeben. Die Softwareupdates werden dann heruntergeladen, wenn der Assistent abgeschlossen ist.
Wichtig |
---|
Sie müssen den freigegebenen Netzwerkordner für die Quelldateien des Bereitstellungspakets manuell erstellen, bevor Sie ihn im Assistenten angeben. Von jedem Bereitstellungspaket muss ein eigener freigegebener Ordner verwendet werden. |
Sicherheit Hinweis |
---|
Sowohl das Computerkonto „SMS-Anbieter“ als auch der Administrator, der die Softwareupdates herunterlädt, muss über die Berechtigung Schreiben für die Paketquelle verfügen. Beschränken Sie den Zugriff auf die Paketquelle, um das Risiko zu verringern, dass die Quelldateien der Softwareupdates an der Paketquelle von Angreifern manipuliert werden. |
Bei der Erstellung eines neuen Bereitstellungspakets wird die Inhaltsversion auf 1 festgesetzt, bevor Softwareupdates heruntergeladen werden. Wenn die Softwareupdatedateien über das Paket heruntergeladen werden, wird die Inhaltsversion auf 2 erhöht. Aus diesem Grund haben alle neuen Bereitstellungspakete anfänglich die Inhaltsversion 2. Bei jeder Änderung des Inhalts eines Bereitstellungspakets wird die Inhaltsversion um 1 erhöht. Weitere Informationen zur Inhaltsverwaltung in Configuration Manager finden Sie unter Einführung in die Inhaltsverwaltung in Configuration Manager.
Clients installieren die in einer Bereitstellung enthaltenen Softwareupdates mithilfe eines beliebigen Verteilungspunkts, auf dem die Softwareupdates verfügbar ist. Dies geschieht unabhängig vom Bereitstellungspaket. Wenn ein Bereitstellungspaket für eine aktive Bereitstellung gelöscht wird, können die Softwareupdates in der Bereitstellung dennoch weiterhin von Clients installiert werden. Dies setzt voraus, dass jedes Update in mindestens ein weiteres Bereitstellungspaket heruntergeladen wurde und auf einem Verteilungspunkt verfügbar ist, auf den der Client Zugriff hat. Wenn das letzte Bereitstellungspaket mit einem Softwareupdate gelöscht wird, kann das Softwareupdate erst wieder von Clientcomputern abgerufen werden, nachdem es erneut in ein Bereitstellungspaket heruntergeladen wurde. In der Configuration Manager-Konsole werden Softwareupdates mit einem roten Pfeil markiert, wenn die Updatedateien sich nicht in Bereitstellungspaketen befinden. Bereitstellungen werden mit einem roten Doppelpfeil angezeigt, wenn sie Updates in diesem Zustand enthalten.
Workflows für die Softwareupdatebereitstellung
Die Bereitstellung von Softwareupdates in einer Umgebung erfolgt entweder manuell oder automatisch. In der Regel werden Softwareupdates manuell bereitgestellt, um eine Basislinie für die Clientcomputer zu erstellen. Die Verwaltung der Softwareupdates auf Clients erfolgt dann durch die automatische Bereitstellung. Die folgenden Abschnitte enthalten einen Überblick über die Workflows bei der manuellen und automatischen Bereitstellung von Softwareupdates
Manuelle Bereitstellung von Softwareupdates
Bei der manuellen Bereitstellung von Softwareupdates werden Softwareupdates in der Configuration Manager-Konsole ausgewählt, und der Bereitstellungsprozess wird manuell gestartet. Mit dieser Bereitstellungsmethode sorgen Sie in der Regel dafür, dass die aktuell erforderlichen Softwareupdates auf den Clientcomputern vorhanden sind, bevor Sie automatische Bereitstellungsregeln zur Verwaltung der laufenden monatlichen Softwareupdatebereitstellungen erstellen. Diese Methode dient auch dazu, Out-of-Band-Anforderungen für Softwareupdates bereitzustellen. Der allgemeine Workflow für die manuelle Bereitstellung von Softwareupdates umfasst die folgenden Schritte:
Filtern Sie Softwareupdates mit bestimmten Anforderungen heraus. Beispielsweise könnten Sie anhand geeigneter Kriterien angeben, dass alle Softwareupdates abgerufen werden sollen, die auf mehr als 50 Clientcomputern benötigt werden und deren Klassifizierung Sicherheit oder Kritisch lautet.
Erstellen Sie eine Softwareupdategruppe, die die Softwareupdates enthält.
Laden Sie den Inhalt für die Softwareupdates in der Softwareupdategruppe herunter.
Stellen Sie die Softwareupdategruppe manuell bereit.
Automatische Bereitstellung von Softwareupdates
Die automatische Bereitstellung von Softwareupdates wird mithilfe von automatischen Bereitstellungsregeln konfiguriert. Diese Bereitstellungsmethode eignet sich insbesondere für monatliche Softwareupdates („Patch-Dienstag“) und für die Verwaltung von Definitionsupdates. Bei der Ausführung der Regel werden Softwareupdates aus der Softwareupdategruppe entfernt (bei Verwendung einer vorhandenen Gruppe), Softwareupdates, die einem angegebenen Kriterium (z. B. alle in der letzten Woche veröffentlichten Sicherheitsupdates der letzten Woche) entsprechen, zu einer Softwareupdategruppe hinzugefügt, die Inhaltsdateien für die Softwareupdates heruntergeladen und auf Verteilungspunkte kopiert und die Softwareupdates auf Clientcomputern in der Zielsammlung bereitgestellt. Der allgemeine Workflow für die automatische Bereitstellung von Softwareupdates umfasst die folgenden Schritte:
Erstellen Sie eine automatische Bereitstellungsregel, von der unter anderem die folgenden Bereitstellungseinstellungen angegeben werden:
Zielsammlung
Aktivierung der Bereitstellung oder Erstellung eines Berichts zur Kompatibilität mit Softwareupdates für die Clientcomputer in der Zielsammlung
Kriterien für Softwareupdates
Auswertungs- und Bereitstellungszeitpläne
Benutzerfreundlichkeit
Downloadeigenschaften
Die Softwareupdates werden einer Softwareupdategruppe hinzugefügt.
Die Softwareupdategruppe wird auf den Clientcomputern in der Zielsammlung bereitgestellt, sofern diese angegeben ist.
Sie müssen eine Bereitstellungsstrategie für Ihre Umgebung auswählen. Beispielsweise könnten Sie eine automatische Bereitstellungsregel erstellen und eine Sammlung mit Testclients als Ziel angeben. Nachdem Sie überprüft haben, ob die Softwareupdates in der Testgruppe installiert werden, können Sie in der automatischen Bereitstellungsregel eine andere Zielsammlung angeben, die mehr Clients enthält. Die von den automatischen Bereitstellungsregeln erstellten Softwareupdateobjekte sind interaktiv.
Die mithilfe einer automatischen Bereitstellungsregel bereitgestellten Softwareupdates werden neuen Clients, die der Zielsammlung hinzugefügt werden, automatisch bereitgestellt.
Neue Softwareupdates, die einer Softwareupdategruppe hinzugefügt werden, werden den Clients in der Zielsammlung automatisch bereitgestellt.
Sie können Bereitstellungen für die automatische Bereitstellungsregel jederzeit aktivieren oder deaktivieren.
Softwareupdate-Bereitstellungsprozess
Nachdem Sie Softwareupdates bereitgestellt haben oder wenn bei der Ausführung einer automatischen Bereitstellungsregel Softwareupdates bereitgestellt werden, wird der Computerrichtlinie des Standorts eine Bereitstellungszuweisungsrichtlinie hinzugefügt. Die Softwareupdates werden vom Downloadort, aus dem Internet oder aus einem freigegebenen Netzwerkordner in die Paketquelle heruntergeladen. Dann werden die Softwareupdates aus der Paketquelle in die Inhaltsbibliothek auf dem Standortserver und anschließend in die Inhaltsbibliothek am Verteilungspunkt kopiert.
Wenn die Computerrichtlinie bei einem Clientcomputer in der Zielsammlung der Bereitstellung eingeht, wird vom Softwareupdateclient-Agent eine Bewertungsüberprüfung gestartet. Der Inhalt für erforderliche Softwareupdates wird vom Client-Agent von einem Verteilungspunkt in den lokalen Clientcache heruntergeladen. Dieser Vorgang wird kurz nach dem Empfang der Bereitstellung ausgeführt, aber erst nach dem unter Zeitpunkt der Verfügbarkeit der Software für die Bereitstellung angegebenen Zeitpunkt, zu dem die Softwareupdates für die Installation verfügbar sind. Die Softwareupdates in optionalen Bereitstellungen (d. h. Bereitstellungen ohne Installationsstichtag) werden erst heruntergeladen, wenn ein Benutzer die Installation manuell startet.
Wenn der konfigurierte Stichtag verstrichen ist, wird vom Softwareupdateclient-Agent im Rahmen einer Überprüfung bestätigt, dass die Softwareupdates noch erforderlich sind. Anschließend wird im lokalen Cache auf dem Clientcomputer überprüft, ob die Quelldateien für die Softwareupdates noch verfügbar sind. Schließlich werden die Softwareupdates vom Client installiert. Wurde der Inhalt aus dem Clientcache gelöscht, um für eine andere Bereitstellung Platz zu machen, werden die Softwareupdates vom Client erneut vom Verteilungspunkt in den Clientcache heruntergeladen. Softwareupdates werden unabhängig von der konfigurierten maximalen Größe des Clientcaches immer in den Clientcache heruntergeladen. Nach Abschluss der Installation wird vom Client-Agent im Rahmen einer Überprüfung bestätigt, dass die Softwareupdates nicht mehr erforderlich sind. Dann wird an den Verwaltungspunkt eine Zustandsmeldung gesendet, aus der hervorgeht, dass die Softwareupdates jetzt auf dem Client installiert sind.
Erforderlicher Neustart des Systems
Wenn Softwareupdates aus einer erforderlichen Bereitstellung auf einem Clientcomputer installiert werden und zum Abschluss der Installation ein Neustart des Systems erforderlich ist, wird der Systemneustart standardmäßig gestartet. Bei vor dem Stichtag installierten Softwareupdates wird der automatische Systemneustart bis zum Stichtag verschoben, sofern der Computer nicht aus einem anderen Grund vor diesem Zeitpunkt neu gestartet wird. Der Systemneustart kann für Server und Arbeitsstationen unterdrückt werden. Diese Einstellungen werden auf der Seite Benutzerfreundlichkeit des Assistenten zum Bereitstellen von Softwareupdates oder des Assistenten zum Erstellen automatischer Bereitstellungsregeln konfiguriert.
Zyklus der erneuten Bereitstellungsbewertung
Von Clientcomputern wird standardmäßig alle 7 Tage ein Zyklus zur erneuten Auswertung der Bereitstellung gestartet. Während dieses Auswertungszyklus wird vom Clientcomputer nach bereits bereitgestellten und installierten Softwareupdates gesucht. Falls Softwareupdates fehlen, werden diese vom lokalen Cache aus neu installiert. Ist ein Softwareupdate nicht mehr im lokalen Cache verfügbar, wird es von einem Verteilungspunkt heruntergeladen und dann installiert. Sie können den Zeitplan für die erneute Auswertung in den Clienteinstellungen des Standorts auf der Seite Softwareupdates konfigurieren.
Unterstützung für Windows Embedded-Geräte mit Schreibfiltern
Für System Center 2012 Configuration Manager SP1 und höher:
Beim Bereitstellen von Softwareupdates für Windows Embedded-Geräte mit aktivierten Schreibfiltern können Sie angeben, ob der Schreibfilter auf dem Gerät während der Bereitstellung deaktiviert und das Gerät nach der Bereitstellung neu gestartet werden soll. Wenn der Schreibfilter nicht deaktiviert wird, wird die Software auf einem temporären Overlay bereitgestellt und bei einem Neustart des Geräts nicht mehr installiert, es sei denn, die Beibehaltung der Änderungen wird durch eine andere Bereitstellung erzwungen.
Hinweis |
---|
Stellen Sie beim Bereitstellen eines Softwareupdates auf einem Windows Embedded-Gerät sicher, dass das Gerät Mitglied einer Sammlung ist, für die ein Wartungsfenster konfiguriert ist. So können Sie verwalten, wann der Schreibfilter deaktiviert bzw. aktiviert ist und wann das Gerät neu gestartet wird. |
Das Verhalten der Schreibfilter wird über eine Einstellung der Benutzerfreundlichkeit gesteuert, bei der es sich um das Kontrollkästchen Änderungen zum Stichtag oder während eines Wartungsfensters ausführen (erfordert Neustart) handelt.
Weitere Informationen dazu, wie Configuration Manager eingebettete Geräte verwaltet, die Schreibfilter verwenden, finden Sie im Abschnitt Bereitstellen des Configuration Manager-Clients für Windows Embedded-Geräte im Thema Einführung in die Clientbereitstellung in Configuration Manager.
Erweitern von Softwareupdates in Configuration Manager
Mit System Center Updates Publisher 2011 können Sie Softwareupdates verwalten, die nicht über Microsoft Update verfügbar sind. Nachdem Sie die Softwareupdates auf dem Updateserver veröffentlicht und in Configuration Manager synchronisiert haben, können Sie sie für Configuration Manager-Clients bereitstellen. Weitere Informationen zu Updates Publisher 2011 finden Sie unter Updates Publisher 2011.
Netzwerkzugriffsschutz
Zum Schutz des Netzwerks findet zwischen dem Configuration Manager-Netzwerkzugriffsschutz (Network Access Protection, NAP), Configuration Manager und dem Windows-Netzwerkzugriffsschutz eine Interaktion statt.
Netzwerkzugriffsschutz mithilfe von Softwareupdates
Wenn NAP aktiviert ist, kann von Configuration Manager-Clients bewertet werden, ob sie mit den von Ihnen ausgewählten Softwareupdates kompatibel sind. Diese Informationen werden von den Configuration Manager-Clients in einem SoH (Statement of Health) gesendet und der Configuration Manager-Systemintegritätsprüfung in der Standortsystemrolle „Systemintegritätsprüfungspunkt“ vorgelegt.
Der Systemintegritätsprüfungspunkt wird auf einem Computer installiert, auf dem Windows Server 2008 mit der Rolle „Netzwerkrichtlinienserver“ ausgeführt wird. Vom Systemintegritätsprüfungspunkt wird überprüft, ob der Clientcomputer kompatibel ist, und der Integritätszustand dieses Computers wird an den Windows-Netzwerkrichtlinienserver übergeben.
Erzwingen der Kompatibilität mit Softwareupdates auf dem Netzwerkrichtlinienserver
Der Windows-Netzwerkrichtlinienserver ist zur Verwendung von Richtlinien konfiguriert, mit denen die Aktion für Computer bestimmt wird, die bekanntermaßen kompatibel bzw. nicht kompatibel sind.
Wenn der Integritätszustand eines Clients nicht bestimmt werden kann, wird dies als Fehlerbedingung angesehen. Alle Fehlerbedingungen werden standardmäßig dem Zustand „nicht kompatibel“ zugeordnet. Sie sind jedoch in fünf Kategorien unterteilt, wobei jede Kategorie so konfiguriert werden kann, dass sie dem Zustand „kompatibel“ oder „nicht kompatibel“ zugeordnet wird.
Auf der Basis des Integritätszustands des Computers können vom Netzwerkrichtlinienserver die folgenden Aktionen ausgeführt werden:
Einschränken des vollen Netzwerkzugriffs für Computer
Bereitstellen des vollen Netzwerkzugriffs für einen eingeschränkten Zeitraum
Dauerhaftes Bereitstellen des vollen Netzwerkzugriffs
Wiederherstellen nicht kompatibler Computer, sodass sie mit Richtlinien kompatibel sind
Beachten Sie, dass der Configuration Manager-Administrator keinen Einfluss auf die Aktion hat, die aufgrund des an den Netzwerkrichtlinienserver übergebenen Integritätszustands eines Computers ergriffen wird. Wenn der Netzwerkrichtlinienserver jedoch so konfiguriert ist, dass die Kompatibilität durch Wiederherstellung erzwungen wird, werden die für die Wiederherstellung der Kompatibilität von Clients erforderlichen Softwareupdates mithilfe von Configuration Manager-Diensten bereitgestellt. Nach der erfolgreichen Wiederherstellung der Kompatibilität wird das SoH von den Clients erneut bewertet. Dadurch wird der Zustand von „nicht kompatibel“ in „kompatibel“ geändert, und der Integritätszustand wird auf „kompatibel“ aktualisiert.
Konfigurieren von Softwareupdates für Netzwerkzugriffsschutz
Sie wählen die von Clients für ihre Kompatibilität erforderlichen Softwareupdates aus, indem Sie Configuration Manager-NAP-Richtlinien erstellen. Sie können nur Softwareupdates auswählen, die bereits in die Inhaltsbibliothek auf dem Standortserver heruntergeladen wurden. Im Unterschied zu Softwareupdatebereitstellungen, die an von Ihnen festgelegte Sammlungen gerichtet sind, sind die Configuration Manager-NAP-Richtlinien automatisch an alle dem Standort zugewiesenen Computer gerichtet.Configuration Manager-NAP-Richtlinien werden ähnlich den Softwarebereitstellungen und Paketen in Configuration Manager auf die nachgeordneten Configuration Manager-Hierarchieebenen übertragen. Standorte, die die Configuration Manager-NAP-Richtlinien erben, richten die Configuration Manager-NAP-Richtlinien dann automatisch an Clients, die dem Standort zugewiesen sind.
Wichtig |
---|
Aufgrund der automatischen Zielzuweisung und Vererbung innerhalb der gesamten Hierarchie müssen Sie berücksichtigen, dass eine Configuration Manager-NAP-Richtlinie sich potenziell auf jeden Client in der Hierarchie auswirken kann. |
Neuheiten in Configuration Manager
Hinweis |
---|
Die Informationen in diesem Abschnitt erscheinen auch in dem Handbuch Erste Schritte mit System Center 2012 Configuration Manager. |
Die allgemeinen Konzepte für die Bereitstellung von Softwareupdates in System Center 2012 Configuration Manager stimmen zwar mit denen in Configuration Manager 2007 überein, aber der Prozess der Softwareupdatebereitstellung wurde durch neue oder aktualisierte Funktionen verbessert. Dazu gehören die automatische Genehmigung und Bereitstellung von Softwareupdates, verbesserte Suchvorgänge mit erweiterten Kriterien, Verbesserungen an der Softwareupdateüberwachung sowie mehr Möglichkeiten für Benutzer, auf den Zeitplan für die Installation von Softwareupdates Einfluss zu nehmen.
Die folgenden Elemente sind neu oder wurden seit Configuration Manager 2007 geändert:
Die in Configuration Manager verwendeten Updatelisten wurden in Configuration Manager 2007 durch Softwareupdategruppen ersetzt, bei denen es sich um eine neue Funktion handelt. Mithilfe von Softwareupdategruppen lassen sich Softwareupdates in Ihrer Umgebung effektiver organisieren. Sie können Softwareupdates einer Softwareupdategruppe manuell hinzufügen. Mit einer automatischen Bereitstellungsregel können Softwareupdates einer neuen oder vorhandenen Softwareupdategruppe auch automatisch hinzugefügt werden. Eine Softwareupdategruppe wiederum kann entweder manuell oder mithilfe einer automatischen Bereitstellungsregel automatisch bereitgestellt werden. Nach der Bereitstellung einer Softwareupdategruppe können Sie der Gruppe neue Softwareupdates hinzufügen. Die neuen Softwareupdates werden dann automatisch bereitgestellt.
Mit automatischen Bereitstellungsregeln werden Softwareupdates automatisch genehmigt und bereitgestellt. Sie geben die Kriterien für Softwareupdates an (z. B. alle in der vergangenen Woche veröffentlichten Windows 7-Softwareupdates), und die Softwareupdates werden dann einer Softwareupdategruppe hinzugefügt. Sie konfigurieren die Bereitstellungs- und Überwachungseinstellungen und entscheiden, ob die in der Softwareupdategruppe enthaltenen Softwareupdates bereitgestellt werden sollen. Sie können die in der Softwareupdategruppe enthaltenen Softwareupdates bereitstellen oder von Clientcomputern Kompatibilitätsinformationen zu den Softwareupdates in der Softwareupdategruppe abrufen, ohne die Softwareupdates bereitzustellen.
Für die in der Configuration Manager-Konsole aufgelisteten Softwareupdates sind neue und erweiterte Suchkriterien verfügbar. Sie können einen Satz Kriterien hinzufügen, mit dem die Suche nach den erforderlichen Softwareupdates erleichtert wird. De Suchkriterien können zur späteren Verwendung gespeichert werden. Beispielsweise können Sie für alle kritischen Softwareupdates für Windows 7 und die im letzten Jahr veröffentlichen Softwareupdates Kriterien festlegen. Nachdem Sie die erforderlichen Updates herausgefiltert haben, können Sie die Softwareupdates auswählen. Dann können Sie für jedes Softwareupdate die Kompatibilitätsinformationen prüfen, eine Softwareupdategruppe für die Softwareupdates erstellen, die Softwareupdates manuell bereitstellen usw.
In der Configuration Manager-Konsole können Sie die folgenden Objekte und Prozesse für Softwareupdates überwachen:
Wichtige Ansichten für die Kompatibilität und Bereitstellung von Softwareupdates
Detaillierte Zustandsmeldungen für alle Bereitstellungen und Objekte
Fehlercodes für Softwareupdates mit zusätzlichen Informationen zur Problemidentifizierung
Status der Softwareupdatesynchronisierung
Warnungen zu wichtigen Problemen bei Softwareupdates
Es sind auch Softwareupdateberichte verfügbar, die detaillierte Zustandsinformationen zu Softwareupdates, Softwareupdategruppen und Softwareupdatebereitstellungen enthalten.
In Configuration Manager 2007 liefen abgelöste Softwareupdates während der vollständigen Softwareupdatesynchronisierung an einem Standort automatisch ab. In System Center 2012 Configuration Manager können Sie entscheiden, ob abgelöste Softwareupdates wie in Configuration Manager 2007 verwaltet werden sollen. Alternativ können Sie einen bestimmten Zeitraum konfigurieren, innerhalb dessen ein abgelöstes Softwareupdate nicht automatisch abläuft. Während dieses Zeitraums können Sie abgelöste Softwareupdates bereitstellen.
In Configuration Manager haben Benutzer mehr Einfluss darauf, wann Softwareupdates auf ihrem Computer installiert werden. Die Anwendung Configuration Manager Software Center wird zusammen mit dem Configuration Manager-Client installiert. Benutzer führen diese Anwendung über das Menü Start aus, um die ihnen bereitgestellte Software zu verwalten. Dazu gehören auch Softwareupdates. In Software Center können Benutzer die Installation von Softwareupdates zu einem geeigneten Zeitpunkt vor dem Stichtag planen sowie optionale Softwareupdates installieren. Beispielsweise können Sie Ihre Geschäftszeiten konfigurieren und angeben, dass Softwareupdates außerhalb dieser Zeiten ausgeführt werden sollen, um Produktivitätsverluste auf ein Minimum zu reduzieren. Am Stichtag eines Softwareupdates wird die Installation des Softwareupdates gestartet.
Die Inhaltsbibliothek in System Center 2012 Configuration Manager ist der Ort, an dem alle Inhaltsdateien für Softwareupdates, Anwendungen, Betriebssystembereitstellungen usw. gespeichert werden. Die Inhaltsbibliothek dient als Single Instance Store (SIS) für Inhaltsdateien auf dem Standortserver und auf Verteilungspunkten und bietet im Vergleich zur Inhaltsverwaltungsfunktion in Configuration Manager 2007 einen gewissen Vorteil. In Configuration Manager 2007 können Sie beispielsweise die gleichen Inhaltsdateien mehrfach verteilen, indem Sie verschiedene Bereitstellungen und Bereitstellungspakete verwenden. Folglich wurden die gleichen Inhaltsdateien auf dem Standortserver und auf den Verteilungspunkten mehrfach gespeichert. Dies führte zu unnötigem Verarbeitungsaufwand und übermäßigen Speicherplatzanforderungen.
Weitere Informationen zur Inhaltsverwaltung finden Sie im Abschnitt Inhaltsbibliothek des Themas Einführung in die Inhaltsverwaltung in Configuration Manager.
Der Knoten Bereitstellungsvorlagen zur Verwaltung der Vorlagen wurde aus der Configuration Manager-Konsole entfernt. Bereitstellungsvorlagen können nur über den Assistenten für automatische Bereitstellungsregeln oder den Assistenten zum Bereitstellen von Softwareupdates erstellt werden. In Bereitstellungsvorlagen werden viele der Bereitstellungseigenschaften gespeichert, die sich zwischen einzelnen Bereitstellungen möglicherweise nicht ändern. Mit Bereitstellungsvorlagen können Administratoren bei der Entwicklung von Softwareupdates viel Zeit sparen.
Bereitstellungsvorlagen können für verschiedene Bereitstellungsszenarien in Ihrer Umgebung erstellt werden. Sie können z. B. eine Vorlage für beschleunigte Softwareupdatebereitstellungen und geplante Bereitstellungen erstellen. Mit der Vorlage für die beschleunigte Bereitstellung ist es möglich, Anzeigebenachrichtigungen auf Clientcomputern zu unterdrücken, den Stichtag auf 0 Tage ab Bereitstellungsplan festzusetzen und Systemneustarts außerhalb der Wartungsfenster zuzulassen. Mit der Vorlage für eine geplante Bereitstellung können Anzeigebenachrichtigungen auf Clientcomputern zulassen werden, und der Stichtag kann auf 14 Tage ab Bereitstellungszeitplan festgesetzt werden.
Wenn bei einem internetbasierten Client eine Bereitstellung eingeht, wird vom Client zuerst versucht, die Softwaredateien nicht von Verteilungspunkten, sondern von Microsoft Update herunterzuladen. Wenn keine Verbindung mit Microsoft hergestellt werden kann, wird auf den Verteilungspunkt ausgewichen, auf dem die Softwareupdatedateien bereitgestellt werden und der dafür konfiguriert ist, Kommunikation von Clients aus dem Internet zu akzeptieren.
Sie können in System Center 2012 Configuration Manager zwar weiterhin Softwareupdates bereitstellen, aber es gibt für Softwareupdates kein sichtbares Bereitstellungsobjekt mehr. Das Bereitstellungsobjekt ist jetzt in einer Softwareupdategruppe geschachtelt.
Eine Softwareupdatebereitstellung kann maximal 1.000 Softwareupdates umfassen, wobei dieser Wert nicht konfigurierbar ist. Wenn Sie eine automatische Bereitstellungsregel erstellen, achten Sie darauf, dass die von Ihnen angegebenen Kriterien nicht zu mehr als 1.000 Softwareupdates führen. Wenn Sie Softwareupdates manuell bereitstellen, wählen Sie höchstens 1.000 Updates zur Bereitstellung aus.
Der Knoten Netzwerkzugriffsschutz in der Configuration Manager-Konsole und der Assistent zum Erstellen neuer Richtlinien sind in System Center 2012 Configuration Manager nicht mehr verfügbar. Zum Erstellen einer NAP-Richtlinie für Softwareupdates müssen Sie in den Softwareupdateeigenschaften auf der Registerkarte NAP-Auswertung die Option NAP-Auswertung aktivieren auswählen.
Neuerungen in Configuration Manager SP1
Hinweis |
---|
Die Informationen in diesem Abschnitt erscheinen auch in dem Handbuch Erste Schritte mit System Center 2012 Configuration Manager. |
Die folgenden Elemente für Softwareupdates sind neu oder wurden in Configuration Manager SP1 geändert:
Die Softwareupdatepunkte wurden in Configuration Manager SP1 umgestaltet. Sie können an einem Standort mehrere Standortsysteme „Softwareupdatepunkt“ installieren. Bei der Konfiguration eines Softwareupdatepunkts können Sie festlegen, ob er der gleichen Gesamtstruktur wie der Standortserver oder einer anderen Gesamtstruktur angehören soll, und ob er Kommunikation von Clients aus dem Internet und/oder dem Intranet akzeptieren soll. Durch dieses Verhalten wird ein gewisses Maß an Fehlertoleranz gewährleistet, ohne dass ein NLB-Cluster (Network Load Balancing, Netzwerklastenausgleich) erforderlich wäre. An einem sekundären Standort können Sie nur einen Softwareupdatepunkt installieren. Weitere Informationen finden Sie im Abschnitt Bestimmen der Softwareupdatepunkt-Infrastruktur des Themas Planen von Softwareupdates in Configuration Manager.
Hinweis Der Begriff „aktiver Softwareupdatepunkt“ ist in Configuration Manager SP1 veraltet.
Es ist in der Configuration Manager-Konsole nicht mehr möglich, einen Softwareupdatepunkt als NLB zu konfigurieren. Sie müssen den Netzwerklastenausgleich für den aktiven Softwareupdatepunkt entfernen, bevor Sie das Upgrade von Configuration Manager ohne Service Pack auf Configuration Manager SP1 durchführen. Nach dem Abschluss des Upgrades haben Sie die Möglichkeit, NLB mithilfe des PowerShell-Cmdlets „Set-CMSoftwareUpdatePoint“ zu konfigurieren. Weitere Informationen zu einem Softwareupdatepunkt, der für die Verwendung eines NLB konfiguriert ist, finden Sie im Abschnitt Für die Verwendung eines NLB konfigurierter Softwareupdatepunkt des Themas Planen von Softwareupdates in Configuration Manager. Weitere Informationen zum PowerShell-Cmdlet "Set-CMSoftwareUpdatePoint" finden Sie im Thema Set-CMSoftwareUpdatePoint der Cmdlet-Referenz zu System Center 2012 Configuration Manager SP1.
Am Configuration Manager-Standort der obersten Ebene können Sie jetzt einen vorhandenen WSUS-Server als Ort der Upstreamsynchronisierungsquelle angeben. Bei der Synchronisierung wird vom Standort eine Verbindung mit diesem Ort hergestellt, um Softwareupdates zu synchronisieren. Beispielsweise können Sie für einen vorhandenen WSUS-Server, der nicht der Configuration Manager-Hierarchie angehört, angeben, dass er zur Synchronisierung von Softwareupdates verwendet werden soll.
Im Assistenten zum Erstellen automatischer Bereitstellungsregeln stehen zwei integrierte Vorlagen für die Softwareupdatebereitstellung zur Auswahl. Die Vorlage Definitionsupdates enthält allgemeine Einstellungen für die Bereitstellung von Softwaredefinitionsupdates. Die Vorlage Patch-Dienstag enthält allgemeine Einstellungen für die monatliche Bereitstellung von Softwaredefinitionsupdates.
In den Eigenschaften für Softwareupdatepunkte können Sie Anmeldeinformationen für den Standortserver bereitstellen, über die die Verbindung mit dem WSUS-Server hergestellt werden soll. Über dieses Konto können Sie beispielsweise eine Verbindung mit einem Softwareupdatepunkt in einer anderen Gesamtstruktur herstellen.
Sie können eine automatische Bereitstellungsregel entsprechend der Veröffentlichungshäufigkeit der Endpoint Protection-Definitionsupdates bis zu dreimal täglich ausführen.
Sie können im Softwarecenter mehrere Softwareupdates auswählen und als Gruppe installieren.
Mit der neuen Einstellung der Benutzerfreundlichkeit Änderungen zum Stichtag oder während eines Wartungsfensters ausführen (erfordert Neustart) können Sie das Verhalten des Schreibfilters auf Windows Embedded-Geräten steuern, wenn Sie Softwareupdates bereitstellen. Weitere Informationen dazu, wie Configuration Manager eingebettete Geräte verwaltet, die Schreibfilter verwenden, finden Sie im Abschnitt Bereitstellen des Configuration Manager-Clients für Windows Embedded-Geräte im Thema Einführung in die Clientbereitstellung in Configuration Manager.
Mit der neuen Clienteinstellung Zufällige Stichtaganordnung deaktivieren unter Computer-Agent können Sie die zufällige Installationsverzögerung für erforderliche Softwareupdates und Anwendungsbereitstellungen deaktivieren. Weitere Informationen finden Sie im Abschnitt Computer-Agent des Themas Informationen zu Clienteinstellungen in Configuration Manager.
Neuerungen in System Center 2012 R2 Configuration Manager
Hinweis |
---|
Die Informationen in diesem Abschnitt erscheinen auch in dem Handbuch Erste Schritte mit System Center 2012 Configuration Manager. |
Die folgenden Elemente für Softwareupdates sind neu oder wurden in System Center 2012 R2 Configuration Manager geändert:
Neues Wartungsfenster speziell für die Installation von Softwareupdates. Dadurch können Sie ein allgemeines Wartungsfenster und ein anderes Wartungsfenster für Softwareupdates konfigurieren. Wenn ein allgemeines Wartungsfenster und ein Wartungsfenster für Softwareupdates konfiguriert sind, werden Softwareupdates auf Clients nur während des Wartungsfensters für Softwareupdates installiert. Weitere Informationen zu Wartungsfenstern finden Sie unter Verwenden von Wartungsfenstern in Configuration Manager.
Sie können jetzt das Bereitstellungspaket für eine vorhandene automatische Bereitstellungsregel ändern. Bei jeder Ausführung einer automatischen Bereitstellungsregel werden dem angegebenen Bereitstellungspaket neue Softwareupdates hinzugefügt. Bereitstellungspakete können mit der Zeit sehr groß werden und Einfluss auf Replikationsszenarien haben. Dies gilt besonders für Situationen, in denen der Hierarchie ein neuer Verteilungspunkt oder einer Verteilungspunktgruppe ein Verteilungspunkt hinzugefügt wird. Sie können das Bereitstellungspaket jetzt regelmäßig ändern, um zu verhindern, dass es zu groß wird. Weitere Informationen zu automatischen Bereitstellungsregeln finden Sie im Abschnitt Automatische Bereitstellung von Softwareupdates in diesem Thema.
Sie können jetzt eine Vorschau der Softwareupdates anzeigen, die bestimmten in einer automatischen Bereitstellungsregel definierten Eigenschaftsfiltern und Suchkriterien entsprechen. Durch die Vorschau der Softwareupdates können Sie die Softwareupdates prüfen, bevor Sie die Bereitstellung erstellen. Die Schaltfläche Vorschau befindet sich auf der Seite Softwareupdates des Assistenten für automatische Bereitstellungen und auf der Registerkarte Softwareupdates in den Eigenschaften für die automatische Bereitstellungsregel.