在 Configuration Manager 中规划软件更新

受支持客户端的数量取决于在软件更新点上运行的 Windows Server Update Services (WSUS) 版本，并且还取决于软件更新点站点系统角色是否与另一站点系统角色并存。

• 当 WSUS 3.0 Service Pack 2 (SP2) 在软件更新点计算机上运行并且该软件更新点与另一站点系统角色并存时，软件更新点可支持最多 25,000 个客户端1。

• 当 WSUS 3.0 SP2 在软件更新点计算机上运行并且该软件更新点未与另一站点系统角色并存时，软件更新点可支持最多 100,000 个客户端2。

1要支持 25,000 个以上的客户端，可将软件更新点配置为使用网络负载平衡 (NLB)。

2软件更新点必须满足 WSUS 要求才能支持多达 100,000 个客户端。 有关详细信息，请参阅 Determine WSUS Capacity Requirements（确定 WSUS 容量要求）。

使用下列容量信息来规划软件更新对象。

• 部署中 1000 个软件更新的限制

  你必须为每个软件更新部署将软件更新数限制为 1000。 在创建自动部署规则时，请指定一个条件，该条件限制返回的软件更新的数量。 如果指定的条件返回超过 1000 个软件更新，自动部署规则将失败。 你可以在 配置管理器 控制台的“自动部署规则”节点中查看自动部署规则的状态。 在手动部署软件更新时，请不要选择超过 1000 个更新进行部署。

重要事项
本部分中的信息仅适用于 配置管理器 SP1 和 System Center 2012 R2 Configuration Manager。

从 配置管理器 SP1 开始，你可以在 配置管理器 主站点上添加多个软件更新点。 在一个站点上使用多个软件更新点的功能提供了容错能力，而无需使用复杂的 NLB。 但是，对于纯粹的负载平衡而言，你通过多个软件更新点实现的故障转移不如 NLB 可靠，然而它却是为容错设计的。 并且，软件更新点的故障转移设计与管理点设计中使用的纯粹随机化模型不同。 与管理点设计中不同，在软件更新点中，存在与切换到新软件更新点关联的客户端和网络性能开销。 当客户端切换到新的 WSUS 服务器来扫描软件更新时，将会使目录大小增加，并产生关联的客户端和网络性能需求。 因此，客户端将保留与它成功扫描的上一个软件更新点的相关性。

你在主站点上安装的第一个软件更新点是在主站点上添加的所有其他软件更新点的同步源。 添加了软件更新点并启动了软件更新同步后，你可以从“监视”工作区的“软件更新点同步状态”节点中查看软件更新点和同步源的状态。

当软件更新点失败，并且该软件更新点配置为站点上其他软件更新点的同步源时，你必须手动删除失败的软件更新点，并选择新的软件更新点以用作同步源。 有关软件更新点切换的详细信息，请参阅 在 Configuration Manager 中配置软件更新 主题中的 删除软件更新点站点系统角色 部分。

重要事项
本主题中的信息仅适用于不带 Service Pack 的 配置管理器。

使用下列部分来确定不带 Service Pack 的 配置管理器 中的软件更新点基础结构。

注意
有关如何在不受信任的林中安装软件更新点的详细信息，请参阅在 Configuration Manager 中规划跨林通信主题中的在 Configuration Manager 中规划通信部分。

必须在满足 WSUS 的最低要求且达到 配置管理器 站点系统的支持配置的站点系统上安装软件更新点站点系统角色。

1. 有关 WSUS 3.0 SP2 的最低要求的详细信息，请参阅 Windows Server Update Services 3.0 SP2 文档库中的 Confirm WSUS 3.0 SP2 installation requirements（确认 WSUS 3.0 SP2 安装要求）。

2. 有关 Windows Server 2012 中 WSUS 服务器角色的最低要求的详细信息，请参阅 Windows Server 2012 文档库中的步骤 1：为你的 WSUS 部署做好准备。

3. 有关 配置管理器 站点系统的受支持的配置的详细信息，请参阅受支持的配置的配置管理器主题中的站点系统要求部分。

软件更新要求在为软件更新点站点系统角色配置的所有站点系统服务器上安装 WSUS 的支持版本。 此外，如果你未在站点服务器上安装软件更新点，则必须在站点服务器计算机上安装 WSUS 管理控制台（如果尚未安装该控制台）。 这允许站点服务器与软件更新点上运行的 WSUS 通信。

在 Windows Server 2012 上使用 WSUS 时，必须将其他权限配置为允许 配置管理器 中的 WSUS Configuration Manager 连接到 WSUS 以执行定期健康状况检查。 选择下列选项之一以配置权限：

• 将“SYSTEM”帐户添加到“WSUS 管理员”组

• 将“NT AUTHORITY\SYSTEM”帐户添加为 WSUS 数据库 (SUSDB) 的用户，并配置最低的 webService 数据库角色成员资格

有关如何安装 WSUS 3.0 SP2 的详细信息，请参阅 Windows Server Update Services 3.0 SP2 文档库中的 Install WSUS Server or Administration Console（安装 WSUS 服务器或管理控制台）。

有关如何在 Windows Server 2012 上安装 WSUS 的详细信息，请参阅 Windows Server 2012 文档库中的 Install the WSUS Server Role（安装 WSUS 服务器角色）。

适用于 System Center 2012 Configuration Manager SP1 和更高版本：

在主站点上安装多个软件更新点时，请为同一 Active Directory 林中的每个软件更新点使用同一 WSUS 数据库。 如果共享相同的数据库，则可以极大程度地进行缓解，但不完全排除在客户端切换到新软件更新点时可能会遇到的客户端和网络性能影响。 当客户端切换到与旧软件更新点共享数据库的新软件更新点时，仍然会进行增量扫描，但与 WSUS 服务器具有其自己的数据库的情况相比，扫描工作要少得多。

配置管理器 管理中心站点上的软件更新与软件更新点上运行的 WSUS 进行通信，这反过来会与同步源进行通信以同步软件更新元数据。 子站点上的软件更新点与父站点上的软件更新点通信。 如果在不带 Service Pack 的 配置管理器 站点上有基于 Internet 的远程活动软件更新点，则站点服务器必须与基于 Internet 的活动软件更新点通信，基于 Internet 的软件更新点必须与该站点的活动软件更新点通信，以便同步成功完成。 从 配置管理器 SP1 开始，如果主站点中有多个软件更新点，则其他软件更新点必须与安装在该站点中的第一个软件更新点（默认的软件更新点）通信。

为了接受 WSUS 在以下方案中使用的 HTTP 或 HTTPS 端口，可能需要配置防火墙：在 配置管理器 软件更新点与 Internet 之间具有公司防火墙；你具有软件更新点及其上游同步源；你具有活动的基于 Internet 的软件更新点以及不带 Service Pack 的 配置管理器 站点的活动软件更新点，或者你在 配置管理器 SP1 站点上具有其他软件更新点和默认软件更新点。 至 Microsoft 更新的连接始终配置为针对 HTTP 使用端口 80，针对 HTTPS 使用端口 443。 你可以将自定义端口用于从子站点中软件更新点上运行的 WSUS 至主站点中软件更新点上运行的 WSUS 的连接。 在软件更新同步期间，基于 Internet 的软件更新点上运行的 WSUS 始终使用 HTTPS 连接到活动软件更新点上运行的 WSUS。 当安全策略不允许 HTTPS 连接时，必须使用导出和导入同步方法。 有关详细信息，请参阅本主题中的 同步源 部分。 有关 WSUS 使用的端口的详细信息，请参阅如何确定 WSUS 使用的端口设置。

软件更新点的同步源设置指定软件更新点检索软件更新元数据所在的位置，以及是否在同步过程中创建 WSUS 报表事件。

• **同步源：**默认情况下，顶层站点的软件更新点针对 Microsoft 更新配置同步源。 从 配置管理器 SP1 开始，你可以选择将顶层站点与现有的 WSUS 服务器同步。 默认情况下，子主站点上的软件更新点会将同步源配置为管理中心站点中的软件更新点。

  注意
  具有远程基于 Internet 的软件更新点时，上游更新服务器是同一站点的软件更新点。

  注意
  从 配置管理器 SP1 开始，在主站点中安装的第一个软件更新点为默认的软件更新点，并且会与管理中心站点同步。 主站点中的其他软件更新点与主站点中的默认软件更新点同步。

  从 Microsoft 更新或从上游更新服务器中断开软件更新点时，可以将同步源配置为不与配置的同步源同步，而是使用 WSUSUtil 工具的导出和导入功能来同步软件更新。 有关详细信息，请参阅从断开连接的软件更新点中同步软件更新主题中的在 Configuration Manager 中配置软件更新部分。

• **WSUS 报告事件：**客户端计算机上的 Windows 更新代理可以创建用于 WSUS 报告的事件消息。 但这些事件不会用于 配置管理器 中的软件更新，因此，默认情况下选择“不创建 WSUS 报告事件”选项。 如果未创建这些事件，则客户端计算机应该仅在软件更新评估和符合性扫描过程中连接到 WSUS 服务器。 如果在 配置管理器 中的软件更新之外进行报告需要这些事件，则将需要修改此设置以创建 WSUS 报告事件。

你只能在 配置管理器 层次结构中顶层站点的软件更新点上配置同步计划。 配置同步计划后，软件更新点会在你指定的日期和时间与同步源同步。 自定义的计划允许你在 WSUS 服务器、站点服务器和网络的需求不高的日期和时间同步软件更新，如每周凌晨 2:00 一次。 或者，你可以使用“所有软件更新”中的“同步软件更新”操作或 配置管理器 控制台的“软件更新组”节点启动顶层站点的同步。

提示
使用适合你的环境的时间范围来计划运行软件更新同步。 最常见的一种情况是将软件更新同步计划设置为在每月第二个星期二发布了 Microsoft 定期安全更新（这通常称为周二补丁日）之后立即运行。 另一种常见的情况是将软件更新同步计划设置为每天使用软件更新提供 Endpoint Protection 定义和引擎更新时运行。

在软件更新点成功完成同步后，会将同步请求发送给子站点。 从 配置管理器 SP1 开始，如果主站点中有其他软件更新点，则会将同步请求发送给每个软件更新点。 在不带 Service pack 的 配置管理器 中，会将同步请求发送给活动的基于 Internet 的软件更新点（如果已安装）。 此过程在层次结构中的每个站点上重复发生。

每个软件更新都是利用更新分类定义的，此分类能帮助组织不同的更新类型。 同步过程中，将同步指定分类的软件更新元数据。配置管理器 可以将软件更新与下列更新分类一并同步：

• **关键更新：**针对特定的问题指定广泛发布的更新，以解决与安全性无关的关键错误。

• **定义更新：**指定对病毒定义文件或其他定义文件的更新。

• **功能包：**指定新的产品功能，这些功能在产品版本以外分发，而且通常包含在下一个完整的产品版本和功能中。

• **安全更新：**针对特定于产品而且与安全性相关的问题指定广泛发布的更新。

• **Service Pack：**指定一组累积的将应用于应用程序的修补程序。 这些修补程序可以包括安全更新、关键更新、软件更新等。

• **工具：**指定可帮助完成一项或多项任务的实用程序或功能。

• **更新汇总：**指定一组累积的修补程序，它们打包在一起以便于部署。 这些修补程序可以包括安全更新、关键更新、其他更新等。 更新汇总通常解决特定领域的问题，例如安全性或产品组件问题。

• **更新：**指定对已安装的应用程序或文件的更新。

仅在顶层站点上配置更新分类设置。 未在子站点上的软件更新点上配置更新分类设置，因为已将软件更新元数据从顶层站点复制到子主站点。 选择更新分类时，请注意，你选择的分类越多，同步软件更新元数据所需的时间越长。

警告
作为最佳方案，请在首次同步软件更新之前清除所有分类。 初次同步之后，请从软件更新点组件属性中选择分类，然后重新启动同步。

每个软件更新的元数据都定义了更新适用于的一个或多个产品。 产品是操作系统或应用程序的特定版本。 产品示例是 Microsoft Windows Server 2008。 产品家族是指从中派生单个产品的基本操作系统或应用程序。 产品系列的示例是 Microsoft Windows，而 Microsoft Windows Server 2008 是其成员之一。 可以指定产品系列或产品系列中的各个产品。

在软件更新适用于多个产品，而且至少选择了一个要同步的产品时，即使没有选择某些产品，所有产品都将出现在 配置管理器 控制台中。 例如，Windows Server 2008 是你订阅的唯一操作系统，而且软件更新应用于 Windows Server 2008 和 Windows Server 2008 Datacenter Edition，那么，这两个产品都将位于站点数据库中。

只会在顶层站点上配置产品设置， 而不会在子站点的软件更新点上配置产品设置，因为软件更新元数据将从顶层站点复制到子主站点。 在选择产品时，请注意，你选择的产品越多，同步软件更新元数据所花费的时间就越长。

重要事项
配置管理器 存储产品和产品系列的列表，你在初次安装软件更新点时可以从此列表中进行选择。 如果某些产品和产品系列是在发布 配置管理器 之后发布的，那么，在你完成软件更新同步（这将更新可供你从中选择项目的可用产品和产品系列的列表）之前，可能无法选择它们。 作为一种最佳方案，请在首次同步软件更新之前清除所有产品。 初始同步后，从软件更新点组件属性中选择产品，然后重新启动同步。

通常，取代另一个软件更新的软件更新执行下列一项或多项操作：

• 增强、改进或更新由以前发布的一个或多个更新提供的修补程序。

• 提高被取代更新文件包的效率，如果更新已获准安装，则该更新文件包将安装在客户端计算机上。 例如，被取代更新可能包含不再与修补程序或新更新支持的操作系统相关的文件，因此这些文件未包括在更新的取代文件包中。

• 更新产品的较新版本。 换句话说，它将更新不再适用于产品的较旧版本或配置的版本。 如果进行了修改来扩展语言支持，则更新还可能取代其他更新。 例如，稍后对 Microsoft Office 的产品更新进行的修订可能会删除对较旧操作系统的支持，但可能会在初始更新版本中添加对新语言的额外支持。

在软件更新点的属性中，你可以指定被取代软件更新立即过期，从而防止将它们包括在新部署中，并标记现有部署以指示它们包含一个或多个过期的软件更新。 或者，你可以指定被取代软件更新过期之前的时间段，从而允许你继续部署这些更新。 考虑你可能需要部署被取代软件更新的以下情况：

• 如果取代软件更新仅支持较新版本的操作系统，而你的部分客户端计算机运行较早版本的操作系统。

• 如果取代软件更新与它所取代的软件更新相比适用性限制更多。 这将使其不适合于某些客户端计算机。

• 如果取代软件更新未获准在生产环境中进行部署。

软件更新点的语言设置允许你配置为软件更新同步摘要详细信息（软件更新元数据）的语言，以及将为软件更新下载的软件更新文件语言。

安装软件更新点之后，默认情况下会启用软件更新客户端代理，并且你不需要配置特定客户端设置，但你应查看这些设置以确保默认值符合你的需求。 你在“管理”工作区的“客户端设置”中配置软件更新和 NAP 客户端设置。 有关如何配置与软件更新关联的设置的详细信息，请参阅在 Configuration Manager 中配置软件更新主题中的软件更新的客户端设置部分。

重要事项
默认情况下会启用“在客户端上启用软件更新”设置。 如果清除此设置，则 配置管理器 会从客户端中删除现有的部署策略。 而且，依赖软件更新设备设置的 NAP 和符合性设置策略将不能再正常工作。

客户端计算机上的 Windows 更新代理 (WUA) 使用一些特定组策略设置连接到活动软件更新点上运行的 WSUS，成功扫描软件更新符合性，并自动更新软件更新和 WUA。

警告
如果为客户端分配了一个 Active Directory 组策略对象，这些客户端指定不是 配置管理器 软件更新点的 WSUS 服务器，则它将替代 配置管理器 配置的本地组策略设置。 你必须重新配置 Active Directory 组策略设置，或者将客户端计算机转移到未应用此组策略设置的组织单位 (OU)，然后才能在这些客户端上评估软件更新符合性和管理软件更新部署。

有关如何配置与软件更新关联的设置的详细信息，请参阅在 Configuration Manager 中配置软件更新主题中的软件更新的组策略设置部分。

配置管理器 客户端会在其收到部署之后立即将所需软件更新的内容下载到本地客户端缓存。 但是，客户端会等到部署的“软件可用时间”设置之后才下载内容。 客户端不会下载可选部署（没有计划的安装截止时间的部署）中的软件更新，直至用户手动启动安装为止。 当配置的截止时间已过后，软件更新客户端代理将执行扫描以验证是否仍然需要该软件更新，然后，软件更新客户端代理将检查客户端计算机上的本地缓存以验证软件更新源文件是否仍然可用，接着安装软件更新。 如果从客户端缓存中删除了内容以为另一个部署腾出空间，则客户端会将软件更新下载到缓存。 软件更新将始终下载到客户端缓存，而不考虑配置的最大客户端缓存大小。 对于其他部署（例如应用程序或包），客户端只会下载不超过为客户端配置的最大缓存大小的内容。 在客户端使用了缓存的内容后，将不会自动删除该内容，而会将其在缓存中保留至少一天。