Azure 更新管理器(AUM)使用本机 Windows 更新客户端来管理修补。 但是,此行为因计算机是 Azure VM 还是已启用 Azure Arc 的服务器而异。 本指南概述了如何配置更新设置、AUM 修改的内容以及如何避免与组策略冲突。
主要区别:Azure VM 与 Arc 计算机
| 功能 / 特点 | Azure VM | Azure Arc 计算机 |
|---|---|---|
| 修补业务流程 | Azure 编排或操作系统编排 | 仅限操作系统(OS)协调 |
| AUM 引起的注册表更改 | 是(当 Azure 协调时) | 否(AUM 不修改注册表) |
| 组策略交互 | 可以替代 AUM 设置 | 完全控制更新行为 |
| WSUS 支持 | 已支持 | 已支持 |
| 预下载支持 | 不支持 | 不支持 |
AUM 自动配置的内容(仅限 Azure VM)
在 Azure VM 上启用 Azure 协调修补 时,AUM 可以配置以下注册表项:
AUM 修改的注册表项
| 注册表路径 | Key | 目的 |
|---|---|---|
| HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU | AUOptions | 设置自动更新行为 |
| HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update | 需要重启 | 跟踪重新启动状态 |
| HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Services | ServiceID | 注册Microsoft更新服务 |
仅当配置 VM 为由 Azure 协调修补 (AutomaticByPlatform = Azure-Orchestrated) 时,才会应用这些更改。 Arc 计算机不受影响。
组策略冲突
组策略可以替代或与 AUM 设置冲突。 这对于以下事项尤其重要:
自动更新:如果组策略强制实施不同的 AUOptions 值,AUM 可能无法控制更新计时。 重新启动行为:即使 AUM 设置为“永不重新启动”组策略或注册表项仍可触发重新启动。 Microsoft更新源:组策略可能会限制对 WSUS 的更新或阻止Microsoft更新,这可能会导致 AUM 部署失败。
最佳做法
如果使用组策略:
确保它与 AUM 的预期行为保持一致。 避免在“配置自动更新”或“禁止在有用户登录时自动重启”中设置相互冲突的值。
如何启用Microsoft更新
若要接收 SQL Server 或 Office 等产品的更新,请执行以下作:
对于 Azure 虚拟机(Azure 协调补丁管理)
运行以下 PowerShell 脚本:
$ServiceManager = (New-Object -com "Microsoft.Update.ServiceManager")
$ServiceID = "7971f918-a847-4430-9279-4a52d1efe18d"
$ServiceManager.AddService2($ServiceId,7,"")
对于 Arc Machines 或操作系统协调的虚拟机
使用组策略:
- 转到 计算机配置>管理模板>Windows 组件>Windows 更新>管理最终用户体验
- 为其他 Microsoft 产品启用安装更新
WSUS 配置
AUM 支持 WSUS。 若要配置:
- 使用组策略设置 WSUS 服务器位置。
- 确保在 WSUS 中批准更新,否则 AUM 部署将失败。
- 若要限制 Internet 访问,请启用 “不连接到任何 Windows 更新 Internet 位置”。
验证修补程序源
请检查以下注册表项以确认更新的来源:
- HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Services
不支持
- AUM 不支持预下载更新。
- 若要更改修补程序源(例如,从 WSUS 更改为Microsoft更新),请使用 Windows 设置或组策略。 不要对该配置使用 AUM。
后续步骤
配置更新设置后,使用 Azure 更新管理器继续 部署更新 。