Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Configuration Manager (Current Branch)
Nachdem Sie Softwareupdates in Configuration Manager synchronisiert haben, konfigurieren und überprüfen Sie die Einstellungen in den folgenden Abschnitten.
Clienteinstellungen für Softwareupdates
Nach der Installation des Softwareupdatepunkts sind Softwareupdates auf Clients standardmäßig aktiviert. Die Einstellungen auf der Seite Software Updates in den Clienteinstellungen weisen Standardwerte auf. Die Clienteinstellungen werden standortweit verwendet. Sie wirken sich darauf aus, wann Softwareupdates auf Konformität überprüft werden und wie &, wann Softwareupdates auf Clientcomputern installiert werden. Überprüfen Sie vor dem Bereitstellen von Softwareupdates, ob die Clienteinstellungen für Softwareupdates an Ihrem Standort geeignet sind.
Wichtig
- Die Einstellung Softwareupdates auf Clients aktivieren ist standardmäßig aktiviert. Wenn Sie diese Einstellung deaktivieren, entfernt Configuration Manager die vorhandenen Bereitstellungsrichtlinien unter bestimmten Bedingungen vom Client.
- Ab dem kumulativen Update vom September 2020 sind HTTP-basierte Windows Server Update Services-Server (WSUS) standardmäßig sicher. Ein Client, der nach Updates für ein HTTP-basiertes WSUS sucht, darf standardmäßig keinen Benutzerproxy nutzen. Wenn Sie trotz der Kompromisse bei der Sicherheit weiterhin einen Benutzerproxy benötigen, ist eine neue Clienteinstellung für Softwareupdates verfügbar, um diese Verbindungen zuzulassen. Weitere Informationen zu den Änderungen für die Überprüfung von WSUS finden Sie unter Änderungen vom September 2020 zur Verbesserung der Sicherheit für Windows-Geräte, die WSUS überprüfen. Damit die besten Sicherheitsprotokolle vorhanden sind, empfiehlt Microsoft, dass Sie das TLS/SSL-Protokoll verwenden, um Ihre Softwareupdateinfrastruktur zu schützen.
Informationen zum Konfigurieren von Clienteinstellungen finden Sie unter Konfigurieren von Clienteinstellungen.
Weitere Informationen zu den Clienteinstellungen finden Sie unter Informationen zu Clienteinstellungen.
Bewährte Methoden für software Updates
In Konflikt stehende Konfigurationen
Der Configuration Manager-Client legt lokale Gruppenrichtlinien fest, um den Softwareupdateworkflow zu steuern und auf Updatekonformität zu überprüfen. Wenn Domänengruppenrichtlinienobjekte (GPO) für Windows Updates verwendet werden, wird die entsprechende Einstellung überschrieben, die von unserem Client verwendet wird. Der Client erwartet, dass bestimmte Registrierungswerte beibehalten werden, ohne dass eine andere Plattform die Einstellungen ändert. Domänen-GPO kann dazu führen, dass die Komponente in einen Fehlerzustand versetzt wird, auch wenn die Einstellung als identisch angesehen wird.
Wenn beispielsweise eine Domänengruppenrichtlinie den WSUS-Server festlegt, können Configuration Manager die Einstellung nicht konfigurieren oder auf sie zugreifen und funktionieren möglicherweise nicht ordnungsgemäß. Dieses Verhalten führt dazu, dass Bei Clients Überprüfungsfehler auftreten und Probleme auftreten, die die Konformität an den Standort melden.
Entfernen älterer Bereitstellungen und Softwareupdategruppen
Um die Websiteleistung zu optimieren und die Compliancegenauigkeit zu verbessern, entfernen Sie ältere Bereitstellungen und Softwareupdategruppen. Da Updates kumulativ sind, ist es nicht erforderlich, ältere Updates bereitzustellen. Die Beibehaltung alter Bereitstellungen wirkt sich negativ auf Ihre Umgebung aus.
Entfernen Sie alle unnötigen Produkte & Kategorien in den Softwareupdateeigenschaften.
Die Auswahl von zu vielen Produkten & Kategorien für die Synchronisierung kann zu einer negativen Leistung führen. Denken Sie daran, dass Geräte jedes Update in der SUSDB überprüfen müssen, unabhängig davon, ob es bereitgestellt wurde oder nicht. Wählen Sie also nur Produkte aus, die relevant und notwendig sind.
Viele Produkte und Kategorien, die in der Liste angezeigt werden, gelten nur für WSUS. Configuration Manager können sie nicht bereitstellen. Wählen Sie diese Elemente also nicht aus. Beispiele:
- Dynamische Updates
- Wartungstreiber
- Silverlight
- Ältere Betriebssysteme, die nicht mehr unterstützt werden, z. B. Windows 7, Windows 8 usw.
- Kategorie "Rollups", Kategorie "Feature Packs", Kategorie "Service Packs" usw.
Software Updates Scanzyklus und Bereitstellungszyklus
Wenn die Clienteinstellungen für den Überprüfungszyklus oder Bereitstellungszyklus kleiner als der Standardwert von einmal pro 7 Tagen sind, kann dies aufgrund übermäßiger Überprüfungen negative Auswirkungen auf die Leistung haben. Im Allgemeinen ist es nicht notwendig, mehr als einmal pro Woche zu scannen. Geräte verfügen bereits über einen integrierten Mechanismus, um nach Updates zu suchen, wenn sie eine Bereitstellung erhalten.
Selbstaktualisierung
Wenn die automatische Updates auf Clientcomputern aktiviert ist, führt der Windows Update-Agent (WUA) automatisch ein Selbstupdate durch, wenn eine neuere Version verfügbar wird oder probleme mit einer WUA-Komponente auftreten. Wenn die automatische Updates nicht konfiguriert oder deaktiviert ist und Clientcomputer über eine frühere Version des WUA verfügen, muss auf den Clientcomputern die WUA-Installationsdatei ausgeführt werden.
Eigenschaften von Softwareupdates
Die Softwareupdateeigenschaften enthalten Informationen zu Softwareupdates und zugehörigen Inhalten. Sie können diese Eigenschaften auch verwenden, um Einstellungen für Softwareupdates zu konfigurieren. Wenn Sie die Eigenschaften für mehrere Softwareupdates öffnen, werden nur die Registerkarten Maximale Laufzeit und Benutzerdefinierter Schweregrad angezeigt.
Gehen Sie wie folgt vor, um Softwareupdateeigenschaften zu öffnen.
So öffnen Sie Softwareupdateeigenschaften
Klicken Sie in der Configuration Manager-Konsole auf Softwarebibliothek.
Erweitern Sie im Arbeitsbereich Softwarebibliothek den Bereich Software Updates, und klicken Sie auf Alle Software Updates.
Wählen Sie mindestens ein Softwareupdate aus, und klicken Sie dann auf der Registerkarte Start in der Gruppe Eigenschaften auf Eigenschaften.
Hinweis
Auf dem Knoten Alle Software Updates zeigt Configuration Manager nur die Softwareupdates an, die über die Klassifizierungen Kritisch und Sicherheit verfügen und in den letzten 30 Tagen veröffentlicht wurden.
Informationen zu Softwareupdates überprüfen
In den Eigenschaften von Softwareupdates können Sie ausführliche Informationen zu einem Softwareupdate anzeigen. Die ausführlichen Informationen werden nicht angezeigt, wenn Sie mehrere Softwareupdates auswählen. In den folgenden Abschnitten werden die Informationen beschrieben, die für ein ausgewähltes Softwareupdate verfügbar sind.
Details zu Softwareupdates
Auf der Registerkarte Updatedetails können Sie die folgenden Zusammenfassungsinformationen zum ausgewählten Softwareupdate anzeigen:
- Bulletin-ID: Gibt die Bulletin-ID an, die Sicherheitsupdates zugeordnet ist. Details zum Sicherheitsbulletin finden Sie, indem Sie auf der Microsoft Security Response Center-Webseite nach der Bulletin-ID suchen.
Hinweis
Die Art und Weise, wie Microsoft Sicherheitsupdates dokumentiert, ändert sich. Das vorherige Modell verwendete Webseiten des Sicherheitsbulletins und enthielt Sicherheitsbulletin-ID-Nummern (z. B. MS16-XXX) als Pivotpunkt. Diese Form der Sicherheitsupdatedokumentation, einschließlich Bulletin-ID-Nummern, wird eingestellt und durch den Leitfaden für Sicherheitsupdates ersetzt. Anstelle von Bulletin-IDs wird in der neuen Anleitung auf Sicherheitsrisiko-ID-Nummern und KB-Artikel-ID-Nummern pivotiert. Weitere Informationen finden Sie in den häufig gestellten Fragen zum Sicherheitsupdatehandbuch.
Artikel-ID: Gibt die Artikel-ID für das Softwareupdate an. Der Artikel, auf den verwiesen wird, enthält ausführlichere Informationen zum Softwareupdate und zum Problem, das das Softwareupdate behebt oder verbessert.
Überarbeitungsdatum: Gibt das Datum an, an dem das Softwareupdate zuletzt geändert wurde.
Maximale Schweregradbewertung: Gibt den vom Hersteller definierten Schweregrad für das Softwareupdate an.
Beschreibung: Bietet einen Überblick darüber, welche Bedingung das Softwareupdate korrigiert oder verbessert.
Anwendbare Sprachen: Listet die Sprachen auf, für die das Softwareupdate gilt.
Betroffene Produkte: Listet die Produkte auf, für die das Softwareupdate gilt.
Inhaltsinformationen
Überprüfen Sie auf der Registerkarte Inhaltsinformationen die folgenden Informationen zu den Inhalten, die dem ausgewählten Softwareupdate zugeordnet sind:
Inhalts-ID: Gibt die Inhalts-ID für das Softwareupdate an.
Heruntergeladen: Gibt an, ob Configuration Manager die Softwareupdatedateien heruntergeladen hat.
Sprache: Gibt die Sprachen für das Softwareupdate an.
Quellpfad: Gibt den Pfad zu den Quelldateien für Softwareupdates an.
Größe (MB): Gibt die Größe der Quelldateien für Softwareupdates an.
Informationen zu benutzerdefinierten Bündeln
Überprüfen Sie auf der Registerkarte Informationen zu benutzerdefinierten Bündeln die Informationen zum benutzerdefinierten Bündel für das Softwareupdate. Wenn das ausgewählte Softwareupdate gebündelte Softwareupdates enthält, die in der Softwareupdatedatei enthalten sind, werden diese im Abschnitt Bündelinformationen angezeigt. Auf dieser Registerkarte werden keine gebündelten Softwareupdates angezeigt, die auf der Registerkarte Inhaltsinformationen angezeigt werden, z. B. Updatedateien für verschiedene Sprachen.
Ablösungsinformationen
Auf der Registerkarte Ablösungsinformationen können Sie die folgenden Informationen zur Ablösung des Softwareupdates anzeigen:
Dieses Update wurde durch die folgenden Updates ersetzt: Gibt die Softwareupdates an, die dieses Update ablösen, was bedeutet, dass die aufgeführten Updates neuer sind. In den meisten Fällen stellen Sie eines der Softwareupdates bereit, das das Softwareupdate ersetzt. Die in der Liste angezeigten Softwareupdates enthalten Links zu Webseiten, die weitere Informationen zu den Softwareupdates enthalten. Wenn dieses Update nicht ersetzt wird, wird Keine angezeigt.
Dieses Update ersetzt die folgenden Updates: Gibt die Softwareupdates an, die durch dieses Softwareupdate abgelöst werden, was bedeutet, dass dieses Softwareupdate neuer ist. In den meisten Fällen stellen Sie dieses Softwareupdate bereit, um die abgelösten Softwareupdates zu ersetzen. Die in der Liste angezeigten Softwareupdates enthalten Links zu Webseiten, die weitere Informationen zu den Softwareupdates enthalten. Wenn dieses Update kein anderes Update ersetzt, wird Keine angezeigt.
Konfigurieren der Einstellungen für Softwareupdates
In den Eigenschaften können Sie Softwareupdateeinstellungen für ein oder mehrere Softwareupdates konfigurieren. Sie können die meisten Softwareupdateeinstellungen nur am Standort der zentralen Verwaltung oder am eigenständigen primären Standort konfigurieren. Die folgenden Abschnitte helfen Ihnen beim Konfigurieren von Einstellungen für Softwareupdates.
Festlegen der maximalen Laufzeit
Legen Sie auf der Registerkarte Maximale Laufzeit den maximalen Zeitraum fest, für den ein Softwareupdate auf Clientcomputern abgeschlossen werden soll. Wenn das Update länger dauert als der maximale Laufzeitwert, erstellt Configuration Manager eine status Meldung und beendet die Installation von Softwareupdates. Sie können diese Einstellung nur am Standort der zentralen Verwaltung oder an einem eigenständigen primären Standort konfigurieren.
Configuration Manager verwendet diese Einstellung auch, um zu bestimmen, ob die Installation von Softwareupdates innerhalb eines konfigurierten Wartungsfensters initiiert werden soll. Wenn der maximale Laufzeitwert größer als die verfügbare verbleibende Zeit im Wartungsfenster ist, wird die Installation von Softwareupdates bis zum Beginn des nächsten Wartungsfensters verschoben. Wenn mehrere Softwareupdates auf einem Clientcomputer mit einem konfigurierten Wartungsfenster (Zeitrahmen) installiert werden müssen, wird zuerst das Softwareupdate mit der niedrigsten maximalen Laufzeit installiert. Anschließend wird als Nächstes das Softwareupdate mit der nächstniedrigsten maximalen Laufzeit installiert usw. Vor der Installation jedes Softwareupdates überprüft der Client, ob das verfügbare Wartungsfenster genügend Zeit für die Installation des Softwareupdates bietet. Nachdem die Installation eines Softwareupdates gestartet wurde, wird die Installation fortgesetzt, auch wenn die Installation über das Ende des Wartungsfensters hinausgeht. Weitere Informationen zu Wartungsfenstern finden Sie unter Verwenden von Wartungsfenstern.
Auf der Registerkarte Maximale Laufzeit können Sie die folgenden Einstellungen anzeigen und konfigurieren:
- Maximale Laufzeit: Gibt die maximale Anzahl von Minuten an, die für eine Softwareupdateinstallation vorgesehen ist, bevor Configuration Manager die Installation beendet. Diese Einstellung bestimmt auch, ob vor dem Ende eines Wartungsfensters genügend Zeit zur Verfügung steht, um das Update zu installieren. Für Service Packs beträgt die Standardeinstellung 60 Minuten. Wenn Sie bei anderen Softwareupdatetypen eine Neuinstallation von Configuration Manager Version 1511 oder höher durchgeführt haben, beträgt die Standardeinstellung 10 Minuten. Es dauert fünf Minuten, wenn Sie ein Upgrade von einer früheren Version durchgeführt haben. Die Werte können zwischen 5 und 9999 Minuten liegen.
Wichtig
Achten Sie darauf, den maximalen Laufzeitwert kleiner als die konfigurierte Wartungsfensterzeit festzulegen. Oder erhöhen Sie die Zeit des Wartungsfensters auf einen Wert, der größer als die maximale Laufzeit ist. Andernfalls wird die Softwareupdateinstallation nicht initiiert.
Festlegen des benutzerdefinierten Schweregrads
In den Eigenschaften für ein Softwareupdate können Sie die Registerkarte Benutzerdefinierter Schweregrad verwenden, um benutzerdefinierte Schweregradwerte für die Softwareupdates zu konfigurieren. Dieses Feature kann erforderlich sein, wenn die vordefinierten Schweregradwerte Nicht Ihren Anforderungen entsprechen. Die benutzerdefinierten Werte werden in der Configuration Manager-Konsole in der Spalte Benutzerdefinierter Schweregrad aufgeführt. Sie können die Softwareupdates nach den definierten benutzerdefinierten Schweregradwerten sortieren und auch Abfragen & Berichten erstellen, die nach diesen Werten filtern können. Sie können diese Einstellung nur am Standort der zentralen Verwaltung oder am eigenständigen primären Standort konfigurieren.
Sie können die folgenden Einstellungen auf der Registerkarte Benutzerdefinierter Schweregrad konfigurieren.
- Benutzerdefinierter Schweregrad: Legt einen benutzerdefinierten Schweregrad für die Softwareupdates fest. Wählen Sie in der Liste Kritisch, Wichtig, Mittel oder Niedrig aus. Standardmäßig ist der benutzerdefinierte Schweregradwert leer.
CRL-Überprüfung auf Softwareupdates
Standardmäßig wird die Zertifikatsperrliste (Certificate Revocation List, CRL) beim Überprüfen der Signatur für Configuration Manager Softwareupdates nicht überprüft. Das Überprüfen der Zertifikatsperrliste bei jeder Verwendung eines Zertifikats bietet mehr Sicherheit gegenüber der Verwendung eines gesperrten Zertifikats. Es führt jedoch zu einer Verbindungsverzögerung und zu einer zusätzlichen Verarbeitung auf dem Computer, der die Zertifikatsperrlistenprüfung durchführt.
Bei Verwendung muss die Zertifikatsperrlistenüberprüfung auf den Configuration Manager Konsolen aktiviert sein, die Softwareupdates verarbeiten.
So aktivieren Sie die CRL-Überprüfung
Führen Sie auf dem Computer, auf dem die Zertifikatsperrlistenprüfung ausgeführt wird, auf der Produkt-DVD den folgenden Befehl an einer Eingabeaufforderung aus:
\SMSSETUP\BIN\X64\\**<*language*>**\UpdDwnldCfg.exe /checkrevocation
Führen Sie beispielsweise für Englisch (USA) aus \SMSSETUP\BIN\X64\00000409\UpdDwnldCfg.exe /checkrevocation.