在 Configuration Manager 中規劃軟體更新

支援的用戶端數目，取決於軟體更新點上執行的 Windows Server Update Services (WSUS) 版本，同時也取決於是否存在與其他站台系統角色共存的軟體更新點站台系統角色。

• 當軟體更新點電腦上執行的是 WSUS 3.0 Service Pack 2 (SP2)，而且軟體更新點與其他站台系統角色共存時，軟體更新點最多可支援 25,000 個用戶端1。

• 當軟體更新點電腦上執行的是 WSUS 3.0 SP2，而且軟體更新點未與其他站台系統角色共存時，軟體更新點最多可支援 100,000 個用戶端2。

1若要支援超過 25,000 個用戶端，可以將軟體更新點設定為使用網路負載平衡 (NLB)。

2若要支援超過 100,000 個用戶端，軟體更新點必須符合 WSUS。 如需詳細資訊，請參閱 Determine WSUS Capacity Requirements (判斷 WSUS 容量需求)。

使用下列容量資訊規劃軟體更新物件。

• 部署中有 1000 個軟體更新的限制

  您必須將各軟體更新部署的軟體更新數目限制為 1000。 當您建立自動部署規則時，可指定傳回的軟體更新數目限制準則。 自動部署規則會在您指定傳回超過 1000 個軟體更新的準則時失敗。 您可以從 Configuration Manager 主控台的 [自動部署規則] 節點檢查自動部署規則的狀態。 當您手動部署軟體更新時，請勿選取部署多於 1000 個軟體更新。

重要事項
本節中的資訊僅適用於 Configuration Manager SP1 和 System Center 2012 R2 Configuration Manager。

從 Configuration Manager SP1 開始，您可以在 Configuration Manager 主要站台上新增多個軟體更新點。 可在提供容錯功能的站台上擁有多個軟體更新點，而不需要使用複雜的 NLB。 不過，您使用多個軟體更新點接收的容錯移轉不像 NLB 所提供單純負載平衡那麼穩固，但是它是針對容錯所設計。 同時，軟體更新點的容錯移轉設計與設計管理點所使用單純的隨機模型不同。 和管理點的設計不同，在軟體更新點中，用戶端和網路效能成本與切換至新軟體更新點相關聯。 當用戶端切換至新的 WSUS 伺服器以掃描軟體更新時，會導致類別目錄大小增加，並且會提高相關聯用戶端及網路效能的需求。 因此，用戶端會與其順利掃描的上一個軟體更新點保留親和性。

您在主要站台上安裝的第一個軟體更新點，即是您在主要站台上新增之所有其他軟體更新點的同步處理來源。 在您新增軟體更新點並起始軟體更新同步處理後，可以從 [監視] 工作區的 [軟體更新點同步處理狀態] 節點檢視軟體更新點的狀態和同步處理來源。

當軟體更新點失敗，且該軟體更新點已設定為站台上其他軟體更新點的同步處理來源時，您必須手動移除失敗的軟體更新點，並選取新的軟體更新點做為同步處理來源。 如需如何移除軟體更新點的詳細資訊，請參閱在 Configuration Manager 中設定軟體更新主題中的移除軟體更新點站台系統角色一節。

重要事項
本主題中的資訊僅適用於不含 Service Pack 的 Configuration Manager。

使用以下各節判斷不含 Service Pack 的 Configuration Manager 中的軟體更新點基礎結構。

注意事項
如需有關如何在不受信任樹系中安裝軟體更新點的詳細資訊，請參閱規劃 Configuration Manager 中的跨樹系通訊主題中的規劃 Configuration Manager 中的通訊一節。

必須在符合 WSUS 的最低需求及支援 Configuration Manager 站台系統設定的站台系統上安裝軟體更新點站台系統角色。

1. 如需有關 WSUS 3.0 SP2 最低需求的詳細資訊，請參閱 Windows Server Update Services 3.0 SP2 文件庫中的確認 WSUS 3.0 SP2 安裝需求。

2. 如需 Windows Server 2012 中 WSUS 伺服器角色的最低需求詳細資訊，請參閱 Windows Server 2012 文件庫中的步驟 1：準備部署 WSUS。

3. 如需 Configuration Manager 站台系統角色可用位置的詳細資訊，請參閱主題中的一節。c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReq。

軟體更新需要在您針對軟體更新點站台系統角色所設定的所有站台系統伺服器上安裝支援版本的 WSUS。 此外，當您未在站台伺服器上安裝軟體更新點時，必須在站台伺服器電腦上安裝 WSUS 管理主控台 (如果尚未安裝)。 如此做可讓站台伺服器與軟體更新點上執行的 WSUS 進行通訊。

當您在 Windows Server 2012 上使用 WSUS 時，必須設定額外的權限，以允許 Configuration Manager 中的 WSUS Configuration Manager 連線至 WSUS，以便執行定期的健全狀況檢查。 選擇下列其中一個選項以設定權限：

• 新增 [SYSTEM] 帳戶至 [WSUS Administrators] 群組

• 新增 [NT AUTHORITY\SYSTEM] 帳戶做為 WSUS 資料庫 (SUSDB) 的使用者，並設定最小的 webService 資料庫角色成員資格

如需有關如何安裝 WSUS 3.0 SP2 的詳細資訊，請參閱 Windows Server Update Services 3.0 SP2 文件庫中的安裝 WSUS 伺服器或管理主控台。

如需有關如何在 Windows Server 2012 上安裝 WSUS 的詳細資訊，請參閱 Windows Server 2012 文件庫中的安裝 WSUS 伺服器角色。

對於 System Center 2012 Configuration Manager SP1 及更新版本：

當您在主要站台安裝一個以上的軟體更新點時，請在相同的 Active Directory 樹系中針對各軟體更新點使用相同的 WSUS 資料庫。 如果您共用相同資料庫，則當用戶端切換至新的軟體更新點時，可能會大幅度減輕，但不完全排除可能遭遇到的用戶端和網路效能的影響。 當用戶端切換到與舊的軟體更新點共用資料庫的新軟體更新點時，仍會進行差異掃描，但此掃描遠低於 WSUS 伺服器自己擁有資料庫的情況。

Configuration Manager 管理中心網站上的軟體更新會與軟體更新點上執行的 WSUS 通訊，WSUS 則依次與同步處理來源通訊以同步處理軟體更新中繼資料。 子站台上的軟體更新點會與父站台上的軟體更新點通訊。 當沒有 Service Pack 的 Configuration Manager 站台有遠端主動式以網際網路為基礎的軟體更新點時，則站台伺服器必須與主動式以網際網路為基礎的點體更新點通訊，而以網際網路為基礎的軟體更新點必須與站台的主動式軟體更新點通訊，才能使同步處理成功完成。 從 Configuration Manager SP1 開始，當主要站台中有一個以上的軟體更新點時，站台安裝的第一個軟體更新點為預設軟體更新點，其他軟體更新點必須與其進行通訊。

在下列情形中，防火牆可能需要設定為接受 WSUS 所使用的 HTTP 或 HTTPS 連接埠：當 Configuration Manager 軟體更新點與網際網路之間有企業防火牆時；當您擁有軟體更新點與其上游同步處理來源時；當您有適用於無 Serivce Pack 的 Configuration Manager 站台的主動式以網際網路為基礎的軟體更新點以及主動式軟體更新點時，或者當 Configuration Manager SP1 的站台擁有預設軟體更新點與額外軟體更新點時。 與 Microsoft Update 的連線一律設定為 HTTP 使用連接埠 80 以及 HTTPS 使用連接埠 443。 您可以將自訂連接埠用於子站台軟體更新點上執行的 WSUS 與父站台軟體更新點上執行的 WSUS的連線。 在軟體更新同步處理期間，以網際網路為基礎的軟體更新點上執行的 WSUS 一律使用 HTTPS 連線至主動式軟體更新點上執行的 WSUS。 當您的安全原則不允許 HTTPS 連線時，您必須使用匯出和匯入同步處理方式。 如需詳細資訊，請參閱此主題中的＜同步處理來源＞一節。 如需有關 WSUS 所使用連接埠的詳細資訊，請參閱如何判斷 WSUS 使用的連接埠設定。

軟體更新點的同步處理來源設定會指定軟體更新點擷取軟體更新中繼資料的位置，以及是否在同步處理程序期間建立 WSUS 報告事件。

• **同步處理來源：**根據預設，頂層站台的軟體更新點會設定 Microsoft Update 的同步處理來源。 從 Configuration Manager SP1 開始，您可以選擇以現有的 WSUS 伺服器同步處理頂層站台。 子主要站台上的軟體更新點會根據預設將同步處理來源設定為管理中心網站的軟體更新點。

  注意事項
  當您擁有遠端以網際網路為基礎的軟體更新點時，上游更新伺服器即為相同站台的軟體更新點。

  注意事項
  從 Configuration Manager SP1 開始，您在主要站台安裝的第一個軟體更新點 (即預設的軟體更新點) 會與管理中心網站同步處理。 主要站台上的其他軟體更新點則會與主要站台上的預設軟體更新點同步處理。

  當軟體更新點與 Microsoft Update 或上游更新伺服器中斷連線時，您可以將同步處理來源設定為不與設定的同步處理來源同步處理，改為使用 WSUSUtil 工具的匯出與匯入功能同步處理軟體更新。 如需詳細資訊，請參閱在 Configuration Manager 中設定軟體更新主題中的從已中斷連線的軟體更新點同步處理軟體更新一節。

• **WSUS 報告事件:**用戶端電腦上的 Windows Update 代理程式可以建立用於 WSUS 報告的事件訊息。 在 Configuration Manager 中的軟體更新並不使用這些事件，因此預設為選取 [不要建立 WSUS 報告事件] 選項。 沒有建立這些事件時，軟體更新評估與相容性掃描期間是用戶端電腦唯一應該連線至 WSUS 伺服器的時間。 如果需要這些事件用於報告 Configuration Manager 中軟體更新以外的範圍，您將需要修改此設定以建立 WSUS 報告事件。

您只能在 Configuration Manager 階層中頂層站台上的軟體更新點設定同步處理排程。 當您設定同步處理排程時，軟體更新點會在您指定的日期和時間進行與同步處理來源的同步處理。 自訂排程則可讓您在 WSUS 伺服器、站台伺服器以及網路的需求量較低的日期和時間同步處理軟體更新，例如每週上午 2:00 進行一次。 或者，您也可以使用 Configuration Manager 主控台中 [所有軟體更新] 或 [軟體更新群組] 節點的 [同步處理軟體更新] 動作，起始頂層站台上的同步處理。

提示
請使用適合您環境的時間範圍來排程執行軟體更新同步處理的時間。 常見的情形是設定為在 Microsoft 每個月的第二個星期二 (一般稱為 Patch Tuesday (周二修補日)) 的定期安全性更新發行後，馬上執行軟體更新同步處理。 另一種常見的情形是將軟體更新同步處理排程，設定為在每天當您使用軟體更新執行 Endpoint Protection 定義和引擎更新時執行。

在軟體更新點成功完成同步處理後，會傳送同步處理要求至子站台。 從 Configuration Manager SP1 開始，如果您在主要站台有其他軟體更新點，則會將同步處理要求傳送至各個軟體更新點。 在沒有 Service Pack 的 Configuration Manager 中，同步處理要求會傳送至主動式以網際網路為基礎的軟體更新點 (如果已安裝)。 此程序會在階層中的每個站台上重複。

每個軟體更新都利用有助於組織不同類型更新的更新分類來加以定義。 在同步處理程序期間，將會同步處理指定分類的軟體更新中繼資料。Configuration Manager 可讓您以下列更新分類來同步處理軟體更新：

• **重大更新：**針對特定問題指定廣為發行的更新，以解決重大、與安全性無關的錯誤。

• **定義更新：**將更新指定至病毒或其他定義檔案。

• **Feature Pack：**指定產品版本範圍以外的新產品功能以及一般包含在下一個完整產品版本的功能。

• **安全性更新：**針對產品特定、與安全相關的問題，指定廣為發行的更新。

• **Service Pack：**指定適用於應用程式的累計 Hotfix 集。 這些 Hotfix 可能包含安全性更新、重大更新、軟體更新等。

• **工具：**指定有助於完成一項或多項工作的公用程式或功能。

• **更新彙總套件：**指定封裝在一起以便於部署的累計 Hotfix 集。 這些 Hotfix 可能包含安全性更新、重大更新、更新等。 更新彙總套件一般處理特定領域，例如安全性或產品元件。

• **更新：**指定給目前已安裝的應用程式或檔案的更新。

更新分類設定只會在頂層站台上設定。 更新分類設定不會在子站台的軟體更新點上設定，因為軟體更新中繼資料是從頂層站台覆寫至子主要站台。 當您選取更新分類時，請留意選取的分類越多，同步處理軟體更新中繼資料的時間就會越長。

警告
最佳做法是在您第一次同步處理軟體更新之前清除所有分類。 在初始同步處理後，從 [軟體更新點元件內容] 選取分類，然後重新初始同步處理。

各個軟體更新的中繼資料會針對適用的更新定義一項或多項產品。 產品即為特定版本的作業系統或應用程式。 產品的範例有 Microsoft Windows Server 2008， 而產品系列則是指衍生出個別產品的基礎作業系統或應用程式。 產品系列的範例有 Microsoft Windows，Microsoft Windows Server 2008 就是其中的成員。 您可以指定產品系列或產品系列中的個別產品。

當軟體更新適用於多個產品，而且至少已選取其中一個產品進行同步處理，則所有產品都會顯示於 Configuration Manager 主控台，即使並未選取某些產品。 例如，若 Windows Server 2008 是您唯一訂閱的作業系統，而且若軟體更新適用於 Windows Server 2008 和 Windows Server 2008 Datacenter Edition，則會在站台資料庫中提供兩種產品的軟體更新。

只會在頂層站台上設定產品設定。 產品設定不會在子站台的軟體更新點上設定，因為軟體更新中繼資料是從頂層站台覆寫至子主要站台。 當您選取產品，請留意選取的產品越多，同步處理軟體更新中繼資料的時間就會越長。

重要事項
Configuration Manager 會儲存一份產品清單，以及您可以在第一次安裝軟體更新點時從中選擇的產品系列。 在您完成軟體更新同步處理之前，可能無法選取在 Configuration Manager 發行後發行的產品和產品系列，因為同步處理會更新可供您選擇的可用產品和產品系列清單。 最佳作法是在您第一次同步處理軟體更新之前清除所有產品。 在初始同步處理後，從 [軟體更新點元件內容] 選取產品，然後重新初始同步處理。

通常，取代其他軟體更新的軟體更新，會執行下列一個或多個動作：

• 增強、改進或更新由一個或多個先前發行之更新所提供的修正程式。

• 提升已取代更新檔案套件的效率，如果已核准安裝更新，則會將其安裝在用戶端電腦上。 例如，已取代的更新可能包含不再與新更新所支援的修正程式或作業系統相關的檔案，因此不會將這些檔案包含在更新的檔案套件中。

• 更新較新版本的產品。 換句話說，它會更新不再適用於舊版本或產品設定的版本。 如果更新修改為擴充語言支援，更新也可以取代其他更新。 例如，Microsoft Office 的新版修訂版產品更新可能會移除對舊版作業系統的支援，但可能在初始更新版本中新增了對新語言的其他支援。

在軟體更新點的內容中，您可以指定已取代的軟體更新立即到期 (以免包含在新的部署中)，並且將現有的部署加上旗標，表示其中含有一個或多個到期的軟體更新。 或者，您也可以指定已取代的軟體更新經過多久以後到期，如此可讓您繼續部署已取代的軟體更新。 在您需要部署已取代的軟體更新時，考慮下列案例：

• 如果取代的軟體更新只支援較新版本的作業系統，而您的某些用戶端電腦執行的是舊版的作業系統。

• 如果取代的軟體更新，比其所取代的軟體更新的適用性更加受限。 此情形將不適用於某些用戶端電腦。

• 如果取代的軟體更新未獲核准部署在您的生產環境。

軟體更新點的語言設定，可讓您設定哪些摘要詳細資料的語言 (軟體更新中繼資料) 要與軟體更新同步處理，以及將為軟體更新下載的軟體更新檔案語言。

在您安裝軟體更新點後，預設會啟用軟體更新點用戶端代理程式，您不需要設定特定的用戶端設定，但您應該檢閱設定值，以確定預設值符合您的需求。 您可以在 [系統管理] 工作區的 [用戶端設定] 中，設定軟體更新和 NAP 用戶端設定。 如需如何設定與軟體更新相關聯之設定的詳細資訊，請參閱在 Configuration Manager 中設定軟體更新主題中的軟體更新的用戶端設定一節。

重要事項
預設會啟用 [在用戶端上啟用軟體更新] 設定。 如果清除此設定，Configuration Manager 會從用戶端移除現有的部署原則。 此外，倚賴軟體更新裝置設定的 NAP 和相容性設定原則將無法運作。

用戶端電腦上一些由 Windows Update 代理程式 (WUA) 用來與主動式軟體更新點上執行之 WSUS 連線的特定群組原則設定，會順利掃描軟體更新相容性，並自動更新軟體更新及 WUA。

警告
如果為用戶端指派的 Active Directory 群組原則物件所指定的 WSUS 伺服器不是 Configuration Manager 軟體更新點，則會覆寫 Configuration Manager 所設定的本機群組原則設定。 您必須重新設定 Active Directory 群組原則設定，或將用戶端電腦移至未套用此群組原則設定的組織單位 (OU)，才能在這些站台上評估軟體更新相容性及管理軟體更新部署。

如需如何設定與軟體更新相關聯之設定的詳細資訊，請參閱在 Configuration Manager 中設定軟體更新主題中的軟體更新的群組原則設定一節。

Configuration Manager 用戶端會在接收到部署後，快速將所需的軟體更新下載到本機用戶端快取。 不過，用戶端會等待下載內容，直到經過部署的 [軟體可用時間] 設定為止。 除非使用者手動起始安裝，否則用戶端不會在選用部署 (未排程安裝期限的部署) 中下載軟體更新。 當經過設定的期限時，軟體更新用戶端代理程式會執行掃描，以確認是否仍需要軟體更新，接著軟體更新用戶端會檢查用戶端電腦上的本機快取，以確認軟體更新來源檔案仍然可用，然後再安裝軟體更新。 如果從用戶端快取刪除內容以騰出空間給其他部署，則用戶端會將軟體更新下載至快取。 無論設定的最大用戶端快取大小為何，軟體更新一律都會下載至用戶端快取。 對於其他部署 (例如應用程式或套件)，用戶端只會下載您為用戶端所設定的快取大小上限內的內容。 快取的內容不會自動刪除，而是會在用戶端使用該內容後於快取中保留至少一天。