Software-updates plannen in Configuration Manager

Het aantal ondersteunde clients is afhankelijk van de versie van Windows Server Update Services (WSUS) dat wordt uitgevoerd op het software-updatepunt; het is ook afhankelijk van of de sitesysteemrol van het software-updatepunt naast een andere sitesysteemrol bestaat.

• Het software-updatepunt kan tot 25.000 clients1 ondersteunen wanneer WSUS 3.0 Service Pack 2 (SP2) wordt uitgevoerd op de computer van het software-updatepunt en als het software-updatepunt naast een andere sitesysteemrol bestaat.

• Het software-updatepunt kan tot 100.000 clients2 ondersteunen wanneer WSUS 3.0 SP2 wordt uitgevoerd op de computer van het software-updatepunt en als het software-updatepunt niet naast een andere sitesysteemrol bestaat.

1Het software-updatepunt worden geconfigureerd om netwerktaakverdeling (NLB) te gebruiken zodat er meer dan 25.000 clients kunnen worden ondersteund.

2Het software-updatepunt moet voldoen aan de WSUS om tot 100.000 clients te ondersteunen. Zie Determine WSUS Capacity Requirements (WSUS-capaciteitsvereisten bepalen) voor meer informatie.

Gebruik de volgende capaciteitsinformatie om te plannen voor software-updateobjecten

• Limiet van 1000 software-updates in een implementatie

  U moet het aantal software-updates tot duizend beperken voor elke implementatie van software-updates. Als u een automatische implementatieregel maakt, dient u een criterium op te geven dat het aantal geretourneerde software-updates beperkt. De automatische implementatieregel mislukt wanneer het criterium dat u opgeeft meer dan 1000 software-updates retourneert. U kunt de status controleren van de automatische implementatieregel in het knooppunt Automatische implementatieregels op de Configuration Manager-console. Selecteer maximaal 1000 te implementeren updates wanneer u software-updates handmatig implementeert.

Belangrijk
De informatie in deze sectie is alleen van toepassing op Configuration Manager SP1 en System Center 2012 R2 Configuration Manager.

Vanaf Configuration Manager SP1 kunt u meerdere software-updatepunten toevoegen aan een primaire site van Configuration Manager. De mogelijkheid om meerdere software-updatepunten te hebben op een site biedt fouttolerantie zonder dat de complexiteit van NLB nodig is. De failover die u ontvangt met meerdere software-updatepunten is niet zo robuust als een NLB voor zuivere taakverdeling, maar is daarentegen ontwikkeld voor fouttolerantie. Het failoverontwerp van het software-updatepunt is ook anders dan het zuivere randomisatiemodel dat wordt gebruikt in het ontwerp voor beheerpunten. Anders dan in het ontwerp van beheerpunten, zijn er client- en netwerkprestatiekosten in de software-updatepunten die zijn gekoppeld aan het overschakelen naar een nieuw software-updatepunt. Wanneer de client overschakelt naar een nieuwe WSUS-server voor software-updates, is het resultaat een stijging van de catalogusgrootte en van de gekoppelde vereisten van clients en netwerkprestaties. Daarom bewaart de client affiniteit met het meest recente software-updatepunt waarnaar het met succes scande.

Het eerste software-updatepunt dat u installeert op een primaire site is de synchronisatiebron voor alle bijkomende software-updatepunten die u toevoegt aan de primaire site. Nadat u uw software-updatepunten hebt toegevoegd en het synchroniseren van software-updates hebt geïnitieerd, kunt u de status van de software-updatepunten en de synchronisatiebron bekijken in het knooppunt Synchronisatiestatus van software-updatepunten in de werkruimte Bewaking.

Als een software-updatepunt niet kan worden uitgevoerd, en als dat software-updatepunt is geconfigureerd als de synchronisatiebron voor de andere software-updatepunten op die site, dient u het niet uitgevoerde software-upatepunt handmatig te verwijderen en een nieuw software-updatepunt te selecteren als synchronisatiebron. Zie de sectie De systeemrol software-updatepunt verwijderen in het onderwerp Software-updates configureren in Configuration Manager voor meer informatie over het verwijderen van een software-updatepunt.

Belangrijk
De informatie in dit onderwerp is alleen van toepassing op Configuration Manager zonder servicepack.

Gebruik de volgende secties om de infrastructuur van het software-updatepunt te bepalen in Configuration Manager zonder servicepack.

De sitesysteemrol van software-updatepunt moet worden geïnstalleerd op een sitesysteem dat voldoet aan de minimum vereisten voor WSUS en de ondersteunde configuraties voor Configuration Manager-sitesystemen.

1. Zie Controleren of aan de installatievereisten voor WSUS 3.0 SP2 wordt voldaan in de Windows Server Update Services 3.0 SP2-documentatiebibliotheek voor meer informatie over de minimum vereisten voor WSUS 3.0 SP2.

2. Voor meer informatie over de minimumvereisten voor de WSUS-serverrol in Windows Server 2012, zie Stap 1: Voorbereiden voor uw WSUS-implementatie in de Windows Server 2012-documentatiebibliotheek.

3. Zie de sectie in het onderwerp voor meer informatie over de ondersteunde configuraties voor Configuration Manager-sitesystemen.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.

Software-updates vereisen dat een ondersteunde versie van WSUS is geïnstalleerd op alle sitesysteemservers die u configureert voor de sitesysteemrol van software-updatepunt. Wanneer u het software-updatepunt niet op de siteserver installeert, moet u daarnaast de WSUS-beheerconsole op de siteservercomputer installeren, als deze nog niet is geïnstalleerd. Zo kan de siteserver communiceren met WSUS dat op het software-updatepunt wordt uitgevoerd.

Wanneer u WSUS gebruikt op Windows Server 2012, moet u extra machtigingen configureren om WSUS Configuration Manager in Configuration Manager toe te laten een verbinding te maken met WSUS om peridieke statuscontroles uit te voeren. Kies een van de volgende opties om de machtigingen te configureren:

• Voeg de SYSTEM-account toe aan de WSUS-administrators-groep

• Voeg de NT AUTHORITY\SYSTEM-account toe als een gebruiker voor de WSUS-database (SUSDB) en configureer een minimum van het webService-databaserollidmaatschap

Zie WSUS-server of de beheerconsole installeren in de Windows Server Update Services 3.0 SP2-documentatiebibliotheek voor meer informatie over de installatie van WSUS 3.0 SP2.

Zie Install the WSUS Server Role (De WSUS-serverrol installeren) in de Windows Server 2012-documentatiebibliotheek voor meer informatie over de installatie van WSUS op Windows Server 2012.

Voor System Center 2012 Configuration Manager SP1 en later:

Wanneer u meer dan één software-updatepunt op een primaire site installeert, gebruikt u dezelfde WSUS-database voor elk software-updatepunt in hetzelfde Active Directory-forest. Als u dezelfde database deelt, vermindert het significant de impact op de prestatie van de client en het netwerk die u kunt ervaren wanneer clients overschakelen naar een nieuw software-updatepunt, maar elimineert het deze niet volledig. Een deltascan vindt nog steeds plaats wanneer een client overschakelt naar een nieuw software-updatepunt dat een database deelt met het oudere software-updatepunt, maar de scan is veel kleiner dan het normaal zou zijn als de WSUS-server zijn eigen database had.

Software-updates op een Configuration Manager-centrale beheersite communiceren met de WSUS die wordt uitgevoerd op het software-updatepunt, dat op zijn beurt communiceert met de synchronisatiebron om metagegevens van software-updates te synchroniseren. Software-updatepunten op een onderliggende site communiceren met het software-updatepunt op de bovenliggende site. Wanneer er een extern actief software-updatepunt op het internet is op een Configuration Manager-site zonder serivcepack, moet de siteserver communiceren met het actieve software-updatepunt op het internet, en moest het software-updatepunt op het internet communiceren met het actieve software-updatepunt van de site, zodat de synchronisatie met succes wordt voltooid. Te beginnen met Configuration Manager SP1, wanneer er meer dan één software-upatepunt op een primaire site is, moeten de extra software-updatepunten communniceren met het eerste software-updatepunt dat op de site is geïnstalleerd, dat het standaardsoftware-updatepunt is.

De firewall moet mogelijk worden geconfigureerd om de HTTP- of HTTPS-poorten te aanvaarden die door WSUS worden gebruikt in de volgende scenario’s: wanneer u een bedrijfsfirewall gebruikt tussen het Configuration Manager-software-updatepunt en internet; wanneer u een software-updatepunt en de bijbehorende stroomopwaartse synchronisatiebron gebruikt; wanneer u een actief software-updatepunt op internet en het actieve software-updatepunt voor de site van Configuration Manager zonder servicepack gebruikt, of wanneer u de extra software-updatepunten en het standaard software-updatepunt op een Configuration Manager SP1-site gebruikt. De verbinding met Microsoft Update is altijd geconfigureerd om poort 80 te gebruiken voor HTTP en poort 443 voor HTTPS. U kunt een aangepaste poort gebruiken voor de verbinding van WSUS dat op het software-updatepunt wordt uitgevoerd op een onderliggende site met WSUS dat op het software-updatepunt wordt uitgevoerd op de bovenliggende site. Tijdens de synchronisatie van software-updates maakt WSUS dat op het software-updatepunt op het internet wordt uitgevoerd altijd een verbinding met WSUS dat op het actieve software-upatepunt wordt uitgevoerd met behulp van HTTPS. Wanneer uw beveiligingsbeleid geen HTTPS-verbinding toelaat, moet u de export- en importsynchronisatiemethode gebruiken. Zie de sectie Synchronisatiebron in dit onderwerp voor meer informatie. Zie De poortinstellingen bepalen die worden gebruikt door WSUS voor meer informatie over de poorten die moeten worden gebruikt door WSUS.

De synchroniatiebroninstellingen voor het software-updatepunt specificeren de locatie voor waar het software-updatepunt metagegevens van software-updates ophaalt, en of de WSUS-rapporteringsgebeuertenissen zijn gemaakt tijdens het synchronisatieproces.

• Synchronisatiebron: De synchronisatiebron voor Microsoft Update wordt standaard door het software-updatepunt op de site op het hoogste niveau geconfigureerd. Te beginnen met Configuration Manager SP1 hebt u de optie de site op het hoogste niveau met een bestaande WSUS-server te synchroniseren. Het software-updatepunt op een onderliggende primaire site configureert standaard de synchroniatiebron als het software-updatepunt aan de centrale beheersite.

  Notitie

  Wanneer u een extern software-updatepunt op het internet hebt, is de updateserver stroomopwaarts het software-updatepunt voor dezelfde site.

  Notitie

  Te beginnen met Configuration Manager SP1 synchroniseert het eerste software-updatepunt dat u installeert op een primaire site, dat het standaardsoftware-updatepunt is, met de centrale beheersite. Extra software-upatepunten aan de primaier site synchroniseren met het standaardsoftware-updatepunt aan de primaire site.

  Wanneer een software-upatepunt niet is verbonden met Microsoft Update of met de updateserver stroomopwaarts, kunt u de synchronisatiebron configureren om niet te synchroniseren met een geconfigureerde synchronisatiebron, maar in plaats daarvan de export- en importfunctie van het WSUSUtil-hulpprogramma te gebruiken om software-updates te synchroniseren. Zie het gedeelte Software-Updates vanaf een niet-verbonden Software-updatepunt synchroniseren in het onderwerp Software-updates configureren in Configuration Manager voor meer informatie.

• WSUS-rapportagegebeurtenissen: De Windows Update-agent op clientcomputers kan gebeurtenisberichten maken die worden gebruikt voor WSUS-rapportage. Deze gebeurtenissen worden niet gebruikt door software-upate in Configuration Manager, en daarom wordt de optie Geen WSUS-rapportagegebeurtenissen maken standaard geselecteerd. Wanneer deze gebeurtenissen niet worden gemaakt, is het enige ogenblik waarop de clientcomputer verbonden moet zijn met de WSUS-server, tijdens software-update-evaluatie en compatibiliteitsscans. Als deze gebeurtenissen nodig zijn voor rapportage buiten software-updates in Configuration Manager, zult u deze instelling moeten wijzigen om WSUS-rapportagegebeurtenissen te maken.

U kunt de synchronisatieplanning alleen configureren op het software-updatepunt op de site op het hoogste niveau in de Configuration Manager-hiërarchie. Wanneer u de synchronisatieplanning configureert, synchroniseert het software-updatepunt met de synchronisatiebron op de datum en tijd die u hebt opgegeven. De aangepaste planning laat u toe software-updates te synchroniseren op een datum en tijd wanneer de aanvragen van de WSUS-server, siteserver en het netwerk laag zijn, zoals om 2.00 eenmaal per week. U kunt synchronisatie ook starten op de site op het hoogste niveau met behulp van de actie Synchronisatie Software-updates van het knooppunt Alle software-updates of Software-updategroepen in de Configuration Manager-console.

Nadat het software-updatepunt de synchronisatie heeft voltooid, wordt er een synchronisatieaanvraag verzonden naar onderliggende sites. Te beginnen met Configuration Manager SP1, als u extra software-upatepunten op een primaire site hebt, wordt er een synchronisatieaanvraag verzonden naar elk software-updatepunt. In Configuration Manager zonder servicepack wordt een synchronisatieaanvraag verzonden naar het software-upatepunt op het internet, als het is geïnstalleerd. Het proces wordt herhaald op elke site in de hiërarchie.

Elke software-update wordt gedefinieerd met een updateclassificatie die helpt de verschillende types updates te organiseren. Tijdens het synchronisatieproces worden de metagegevens van de software-updates voor de opgegeven classificaties gesynchroniseerd.Configuration Manager staat u toe om software-updates met de volgende updateclassificaties te synchroniseren:

• Essentiële updates: Geeft een ruim vrijgegeven update voor een specifiek probeem om een kritieke bug op te lossen die niets te maken heeft met de beveiliging.

• Definitie-updates: Geeft een update voor antivirus- of andere definitiebestanden.

• Functiepakketten: Geeft nieuwe productfuncties die zijn gedistribueerd buiten een productrelease en functie die gewoonlijk zijn opgenomen in de volgende volledige productrelease.

• Beveiligingsupdates: Geeft een ruim vrijgegeven update voor een probleem met de productspecifieke beveiliging.

• Servicepacks: Geeft een volledige reeks hotfixes die op een toepassing worden toegepast. Deze hotfixes omvatten beveiligingsupdates, essentiële updates, software-updates, enzovoort.

• Hulpprogramma's: Geeft een hulpprogramma of functie die u helpt een of meerdere taken te voltooien.

• Updatepakketten: Geeft een volledige reeks hotfixer die samen zijn verpakt voor een gemakkelijke implementatie. Deze hotfixes omvatten beveiligingsupdates, essentiële updates, enzovoort. Een updatepakket gaat in het algemeen over een specifiek gebied, zoals beveiliging of een productcomponent.

• Updates: Geeft een update voor een toepassing of bestand dat momenteel wordt geïnstalleerd.

De updateclassificatie-instellingen worden alleen geconfigureerd op de site op het hoogste niveau. De updateclassificatie-instellingen worden niet geconfigureerd op het software-updatepunt op onderliggende sites, omdat de metagegegevens van software-updates worden gerepliceerd van de site op het hoogste niveau naar onderliggende primaire sites. Wanneer u de updateclassificaties selecteert, let er dan op dat hoe meer classificaties u selecteert, hoe langer het duurt om de metagegevens van de software-updates te synchroniseren.

Waarschuwing
Het wordt aanbevolen alle classificaties te wissen voordat u software-updates voor het eerst synchroniseert. Na de initiële synchronisatie selecteert u de classificaties uit Eigenschappen van software-updatepuntcomponenten, en start u de synchronisatie vervolgens opnieuw.

De metagegevens voor elke software-update definiëren een of meerdere producten waarvoor de update van toepassing is. Een product is een specifieke editie van een besturingssysteem of toepassing. Een voorbeeld van een product is Microsoft Windows Server 2008. Een productfamilie is het basisbesturingssysteem of de basistoepassing waarvan de afzonderlijke producten zijn afgeleid. Een voorbeeld van een productfamilie is Microsoft Windows, waarvan Windows Server 2008 een lid is. U kunt een productfamilie of individuele producten binnen een productfamilie opgeven.

Wanneer software-updates van toepassing zijn op meerdere producten, en ten minste een van de producten is geselecteerd voor synchronisatie, zullen alle producten in de Configuration Manager-console worden getonod als sommige producten niet werden geselecteerd. Als Windows Server 2008 bijvoorbeeld het enige besturingssysteem is waarop u zich hebt geabonneerd, en als een software-update van toepassing is op Windows Server 2008 en Windows Server 2008 Datacenter Edition, zullen beide producten in de sitedatabase zitten.

De productinstellingen worden alleen geconfigureerd op de site op het hoogste niveau. De productinstellingen worden niet geconfigureerd op het software-updatepunt op onderliggende sites, omdat de metagegegevens van software-updates worden gerepliceerd van de site op het hoogste niveau naar onderliggende primaire sites. Wanneer u producten selecteert, let er dan op dat hoe meer producten u selecteert, hoe langer het duurt om de metagegevens van de software-updates te synchroniseren.

Belangrijk

Configuration Manager slaat een lijst van producten en productfamilies op waaruit u kunt kiezen wanneer u het software-updatepunt voor het eerst installeert. Producten en productfamilies die zijn vrijgegeven nadat Configuration Manager is vrijgegeven, zijn mogelijk niet beschikbaar om te selecteren tot u de synchronisatie van software-updates voltooid hebt, waarbij de lijst van beschikbare prdoucten en productfamilies waaruit u kunt kiezen, wordt bijgewerkt. Het wordt aanbevolen alle producten te wissen voordat u software-updates voor het eerst synchroniseert. Na de initiële synchronisatie selecteert u de producten uit Eigenschappen van software-updatepuntcomponenten, en start u de synchronisatie vervolgens opnieuw.

Een software-updat die een andere software-update vervangt, doet gewoonlijk een of meerdere van de volgende acties:

• Bevordert, verbetert of werkt de oplossing bij die werd geleverd door een of meerdere eerder vrijgegeven updates.

• Verbetert de efficiëntie van het bestandspakket van de vervangen update, dat geïnstalleerd is op clientcomputers als de installatie van de update is goedgekeurd. Bijvoorbeeld, de vervangen update kan bestanden bevatten die niet langer relevant zijn voor de fix of voor de besturingssystemen die door de nieuwe update ondersteund worden, dus die bestanden worden niet opgenomen in het vervangende bestandspakket van de update.

• Werkt nieuwere versies van het product bij. Met andere woorden, het werkt versies bij die niet langer toepasselijk zijn voor oudere versies of configuraties van een product. Updates kunnen ook andere updates vervangen als er wijzigingen zijn aangebracht om taalondersteuning uit te breiden. Bijvoorbeeld, een latere revisie van een productupdate voor Microsoft Office kan de ondersteuning voor een ouder besturingssysteem verwijderen, maar kan aanvullende ondersteuning voor nieuwe talen in de initiële update-release toevoegen.

In de eigenschappen voor het software-updatepunt kunt u opgeven dat de vervangen software-updates onmiddellijk verlopen zijn, zodat ze niet kunnen worden opgenomen in nieuwe implementaties en de bestaande implementaties worden gemarkeerd ter aanduiding dat ze één of meer verlopen software-updates bevatten. U kunt ook een periode opgeven waarna de vervangen software-updates verlopen, zodat u ze nog kunt blijven implementeren. Denk eens aan de volgende scenario's waarin u een vervangen software-update moet implementeren:

• Als een vervangende software-update alleen nieuwere versies van een besturingssysteem ondersteunt, en op een aantal van uw clientcomputers eerdere versies van dat besturingssysteem staan.

• Als een vervangende software-update een beperktere toepasbaarheid heeft dan de software-update die hij vervangt. Hierdoor zou de software-update voor sommige clientcomputers ongeschikt zijn.

• Als een vervangende software-update niet is goedgekeurd voor implementatie in uw productieomgeving.

De taalinstellingen voor het software-updatepunt stellen u in staat de talen te configureren waarvoor de overzichtsgegevens (metagegevens van software-updates) gesynchroniseerd zijn voor software-updates, alsook de software-updatebestandstalen die voor software-updates worden gedownload.

Nadat u het software-updatepunt installeert, is de clientagent voor software-updates standaard ingeschakeld en hoeft u geen specifieke clientinstellingen te configureren, maar u moet de instellingen wel bekijken om te controleren of de standaardwaarden voldoen aan uw eisen. U configureert software-updates en NAP clientinstellingen in Clientinstellingen in de werkruimte Beheer. Zie de sectie Clientinstellingen voor software-updates in het onderwerp Software-updates configureren in Configuration Manager voor meer informatie over het configureren van de instellingen die gekoppeld zijn aan software-updates.

Belangrijk
De instelling Software-updates op clients inschakelen wordt standaard ingeschakeld. Als u deze instelling wist, verwijdert Configuration Manager de bestaande implementatiebeleiden van de client. NAP en beleidsregels voor compatibiliteitsinstellingen op basis van de apparaatinstelling voor software-updates werken dan ook niet meer.

Er zijn specifieke groepsbeleidinstellingen die gebruikt worden door Windows Update Agent (WUA) op clientcomputers om een verbinding te maken met de WSUS die op het actieve software-updatepunt draait, succesvol te scannen op naleving van software-updates en de software-updates en de WUA automatisch bij te werken.

Waarschuwing

Als u een Active Directory-groepsbeleid-object toegewezen hebt aan clients die een WSUS-server specificeren die geen Configuration Manager software-updatepunt is, overschrijft het de lokale groepsbeleidinstelling die geconfigureerd is door Configuration Manager. Voordat u naleving van software-updates kunt beoordelen en implementaties van software-updates op deze clients kunt beheren, moet u de instelling voor Active Directory-groepsbeleid opnieuw configureren, of clientcomputers naar een organisatie-eenheid (OU) verplaatsen waar deze groepsbeleidinstelling niet wordt toegepast.

Zie de sectie Groepsbeleidinstellingen voor software-updates in het onderwerp Software-updates configureren in Configuration Manager voor meer informatie over het configureren van de instellingen die gekoppeld zijn aan software-updates.

De Configuration Manager-client downloadt de inhoud voor vereiste software-updates naar de lokale client cache kort nadat hij de implementatie ontvangt. De client wacht echter met het downloaden van de inhoud totdat de tijd die voor de implementatie is opgegeven bij de instelling Tijd software beschikbaar verstreken is. De client downloadt software-updates pas in optionele implementaties (implementaties die geen geplande installatiedeadline hebben) nadat de gebruiker de installatie handmatig initieert. Wanneer de geconfigureerde deadline verstrijkt, voert de clientagent voor software-updates een scan uit om te verifiëren dat de software-update nog steeds nodig is. Daarna controleert de clientagent voor software-updates de lokale cache op de clientcomputer om te verifiëren dat het bronbestand van de software-update nog steeds beschikbaar is, en installeert hij de software-update. Als de inhoud uit de client cache werd verwijderd om plaats te maken voor een andere implementatie, downloadt de client de software-updates naar de cache. Software-updates worden altijd naar de clientcache gedownload, ongeacht de maximale grootte van de clientcache. Voor andere implementaties, zoals toepassingen of pakketten, downloadt de client alleen inhoud waarvan de omvang binnen de maximale cachegrootte ligt die u voor de client configureert. Inhoud die zich in de cache bevindt, wordt niet automatisch verwijderd, maar blijft daar minimaal één dag nadat de client die inhoud gebruikt heeft.