Configuration Manager'de yazılım güncelleştirmeleri için en iyi yöntemler
Uygulama hedefi: Configuration Manager (güncel dalı)
Bu makale, Configuration Manager yazılım güncelleştirmeleri için en iyi yöntemleri içerir. Bilgiler, ilk yükleme ve devam eden işlemler için en iyi yöntemlere göre sıralanır.
En iyi yükleme yöntemleri
yazılım güncelleştirmelerini Configuration Manager yüklerken aşağıdaki en iyi yöntemleri kullanın.
Yazılım güncelleştirme noktaları için paylaşılan bir WSUS veritabanı kullanma
Birincil siteye birden fazla yazılım güncelleştirme noktası yüklediğinizde, aynı Active Directory ormanındaki her yazılım güncelleştirme noktası için aynı WSUS veritabanını kullanın. Aynı veritabanını paylaşırsanız, istemci ve istemciler yeni bir yazılım güncelleştirme noktasına geçtiğinde karşılaşabileceğiniz ağ performansı etkisini önemli ölçüde azaltır ancak tamamen ortadan kaldırmaz. Bir istemci eski yazılım güncelleştirme noktasıyla bir veritabanını paylaşan yeni bir yazılım güncelleştirme noktasına geçtiğinde değişiklik taraması yine de gerçekleşir, ancak tarama WSUS sunucusunun kendi veritabanına sahip olması durumundaki taramadan çok daha küçüktür. Yazılım güncelleştirme noktası değiştirme hakkında daha fazla bilgi için bkz . Yazılım güncelleştirme noktası değiştirme.
Önemli
Ayrıca, yazılım güncelleştirme noktaları için paylaşılan bir WSUS veritabanı kullandığınızda yerel WSUS içerik klasörlerini de paylaşın.
WSUS veritabanını paylaşma hakkında daha fazla bilgi için aşağıdaki blog gönderilerine bakın:
Configuration Manager ve WSUS aynı SQL Server kullandığında, birini adlandırılmış örneği, diğerini de varsayılan örneği kullanacak şekilde yapılandırın
Configuration Manager ve WSUS veritabanları aynı SQL Server örneğini paylaştığında, iki uygulama arasındaki kaynak kullanımını kolayca belirleyemezsiniz. Configuration Manager ve WSUS için farklı SQL Server örnekleri kullanın. Bu yapılandırma, her uygulama için oluşabilecek kaynak kullanımı sorunlarını gidermeyi ve tanılamayı kolaylaştırır.
"Güncelleştirmeleri yerel olarak depola" ayarını belirtin
WSUS'yi yüklediğinizde Güncelleştirmeleri yerel olarak depolama ayarını seçin. Bu ayar, WSUS'nin yazılım güncelleştirmeleriyle ilişkili lisans koşullarını indirmesine neden olur. Eşitleme işlemi sırasında terimleri indirir ve WSUS sunucusu için yerel sabit sürücüde depolar. Bu ayarı seçmezseniz, istemci bilgisayarlar lisans koşullarına sahip yazılım güncelleştirmeleri için uyumluluk taramalarında başarısız olabilir. Yazılım güncelleştirme noktasının WSUS Eşitleme Yöneticisi bileşeni, bu ayarın varsayılan olarak 60 dakikada bir etkinleştirildiğini doğrular.
Yazılım güncelleştirme noktalarınızı TLS/SSL kullanacak şekilde yapılandırma
Windows Server Update Services (WSUS) sunucularını ve karşılık gelen yazılım güncelleştirme noktalarını TLS/SSL kullanacak şekilde yapılandırmak, olası bir saldırganın istemcinin güvenliğini uzaktan tehlikeye atma ve ayrıcalıkları yükseltme becerisini azaltabilir. En iyi güvenlik protokollerinin mevcut olduğundan emin olmak için, yazılım güncelleştirme altyapınızın güvenliğini sağlamaya yardımcı olmak için TLS/SSL protokollerini kullanmanızı kesinlikle öneririz. Daha fazla bilgi için PKI sertifikası ile TLS/SSL kullanmak için yazılım güncelleştirme noktası yapılandırma öğreticisine bakın.
operasyonel en iyi yöntemler
Yazılım güncelleştirmelerini kullanırken aşağıdaki en iyi yöntemleri kullanın:
Tek bir yazılım güncelleştirme dağıtımında yazılım güncelleştirmelerini 1000 ile sınırlama
Her yazılım güncelleştirme dağıtımında yazılım güncelleştirmelerinin sayısını 1000 ile sınırlayın. Otomatik dağıtım kuralı oluşturduğunuzda, belirtilen ölçütlerin 1000'den fazla yazılım güncelleştirmesine neden olmadığını doğrulayın. Yazılım güncelleştirmelerini el ile dağıtırsanız 1000'den fazla güncelleştirme seçmeyin.
ADR her "Patch Tuesday" ve genel dağıtımlar için çalıştığında yeni bir yazılım güncelleştirme grubu oluşturun
Dağıtımda 1000 yazılım güncelleştirmesi sınırı vardır. Otomatik dağıtım kuralı (ADR) oluşturduğunuzda, kural her çalıştığında mevcut bir güncelleştirme grubunun mı kullanılacağını yoksa yeni bir güncelleştirme grubu mu oluşturulacağını belirtirsiniz. ADR'de birden çok yazılım güncelleştirmesi ile sonuçlanan ölçütler belirtirseniz ve kural yinelenen bir zamanlamaya göre çalışıyorsa, kural her çalıştırıldığında yeni bir yazılım güncelleştirme grubu oluşturun. Bu davranış, dağıtımın dağıtım başına 1000 yazılım güncelleştirmesi sınırını aşmasını önler.
Endpoint Protection tanım güncelleştirmeleri için ADR'ler için mevcut bir yazılım güncelleştirme grubunu kullanma
Endpoint Protection tanım güncelleştirmelerini sık sık dağıtmak için bir ADR kullandığınızda, her zaman mevcut bir yazılım güncelleştirme grubunu kullanın. Aksi takdirde ADR, zaman içinde yüzlerce yazılım güncelleştirme grubu oluşturur. Tanım güncelleştirmesi yayımcıları genellikle tanım güncelleştirmelerini, yerine dört yeni güncelleştirme geçtiğinde sona erecek şekilde ayarlar. Bu nedenle, ADR tarafından oluşturulan yazılım güncelleştirme grubu yayımcı için hiçbir zaman dörtten fazla tanım güncelleştirmesi içermez: bir etkin ve üç yerine geçen.