Configuration Manager中軟體更新的最佳做法
適用於:Configuration Manager (目前的分支)
本文包含Configuration Manager中軟體更新的最佳做法。 資訊會排序為初始安裝和進行中作業的最佳做法。
安裝最佳做法
當您在 Configuration Manager 中安裝軟體更新時,請使用下列最佳做法。
針對軟體更新點使用共用 WSUS 資料庫
當您在主要月臺安裝多個軟體更新點時,請針對相同 Active Directory 樹系中的每個軟體更新點使用相同的 WSUS 資料庫。 如果您共用相同的資料庫,它會大幅降低用戶端和您在用戶端切換至新軟體更新點時可能遇到的網路效能影響,但不會完全消除。 當用戶端切換至與舊軟體更新點共用資料庫的新軟體更新點時,仍會進行差異掃描,但掃描會比 WSUS 伺服器有自己的資料庫小很多。 如需軟體更新點切換的詳細資訊,請參閱 軟體更新點切換。
重要事項
此外,當您使用軟體更新點的共用 WSUS 資料庫時,也可以共用本機 WSUS 內容資料夾。
如需共用 WSUS 資料庫的詳細資訊,請參閱下列部落格文章:
當Configuration Manager和 WSUS 使用相同的SQL Server時,請將一個設定為使用具名實例,另一個使用預設實例
當Configuration Manager和 WSUS 資料庫共用相同的SQL Server實例時,您無法輕鬆地判斷兩個應用程式之間的資源使用量。 針對 Configuration Manager 和 WSUS 使用不同的SQL Server實例。 此設定可讓您更輕鬆地針對每個應用程式可能發生的資源使用量問題進行疑難排解和診斷。
指定 [在本機儲存更新] 設定
當您安裝 WSUS 時,請選取將 更新儲存在本機的設定。 此設定會導致 WSUS 下載與軟體更新相關聯的授權條款。 它會在同步處理常式期間下載條款,並將其儲存在 WSUS 伺服器的本機硬碟上。 如果您未選取此設定,用戶端電腦可能會對具有授權條款的軟體更新進行合規性掃描失敗。 軟體更新點的 WSUS Synchronization Manager 元件預設會每隔 60 分鐘驗證一次此設定。
設定軟體更新點以使用 TLS/SSL
將 Windows Server Update Services (WSUS) 伺服器及其對應的軟體更新點設定為使用 TLS/SSL,可能會降低潛在攻擊者從遠端入侵用戶端並提高許可權的能力。 為了確保已備妥最佳的安全性通訊協定,強烈建議您使用 TLS/SSL 通訊協定來協助保護軟體更新基礎結構。 如需詳細資訊, 請參閱設定軟體更新點以搭配 PKI 憑證使用 TLS/SSL 教學課程。
操作最佳做法
當您使用軟體更新時,請使用下列最佳做法:
在單一軟體更新部署中將軟體更新限制為 1000
將每個軟體更新部署中的軟體更新數目限制為 1000。 當您建立自動部署規則時,請確認指定的準則不會導致超過 1000 個軟體更新。 如果您手動部署軟體更新,請勿選取超過 1000 個更新。
每次針對「週二修補程式」和一般部署執行 ADR 時,建立新的軟體更新群組
部署中限制為 1000 個軟體更新。 當您在 ADR) (建立自動部署規則時,會指定每次執行規則時,是否要使用現有的更新群組或建立新的更新群組。 如果您在會導致多個軟體更新的 ADR 中指定準則,而且規則會依週期性排程執行,則每次執行規則時,請建立新的軟體更新群組。 此行為可防止部署超過每個部署 1000 個軟體更新的限制。
針對 Endpoint Protection 定義更新的 ADR 使用現有的軟體更新群組
當您經常使用 ADR 來部署 Endpoint Protection 定義更新時,請一律使用現有的軟體更新群組。 否則,ADR 可能會隨著時間建立數百個軟體更新群組。 定義更新發行者通常會將定義更新設定為在四個較新的更新取代時過期。 因此,ADR 所建立的軟體更新群組永遠不會包含發行者的四個以上定義更新:一個作用中,三個已取代。