总览
本文档将提供有关Deep Freeze Enterprise如何与Windows Update服务交互的详细信息,并提供有关如何最佳配置产品以控制受Deep Freeze保护的客户端计算机上的更新过程的建议。
Deep Freeze如何处理更新
由于Deep Freeze对受保护的计算机执行的操作的性质,必须在禁用Deep Freeze的情况下将其安装在客户端计算机上。最好通过安排特定时间段来完成此操作,在该时间段内,客户端系统将自动进入解冻(非保护)状态,执行所需的更新,然后在过程完成时返回冻结(保护)状态。
当Deep Freeze控制更新过程时,一般的操作流程如下所示;
在更新过程中,Deep Freeze与客户端计算机上的Windows Update Service交互以确保安装了更新,并采取了所有适当的步骤以确保在系统返回受保护状态之前已完全安装了更新。更新过程中可能导致更新失败的任何问题都将得到错误处理,并使用客户端计算机上Windows Update日志中保留的适当信息进行回滚。
在此过程中,计算机将执行多次重新引导,总共最多5次,以完成更新过程。根据配置和客户端计算机上要安装的更新大小,更新过程可能需要15分钟到6个小时,而更新过程完成后,系统将返回冻结(受保护)状态。
通过客户端计算机上的计划任务执行更新时,或者如果需要执行任务以在客户端系统上运行更新时,将使用相同的通用过程。
更新类型
当Deep Freeze配置为通过Windows Update Web服务安装时,仅安装归类为“关键更新”和“安全更新”的更新。这意味着,即使通过Deep Freeze更新客户端计算机之后,通过“控制面板”或“设置”应用程序检查更新状态时,某些更新仍可能显示为待处理。通过WSUS服务器更新时,无论类别如何,都会安装选定目标组的所有批准的更新。
Deep Freeze和Windows Update服务
Deep Freeze,如果安装在客户端计算机上,则会抑制Windows Update Service,以确保在系统处于受保护状态时不会在客户端计算机上安装更新。这样可以防止客户端计算机浪费资源下载和安装更新,而仅在客户端重新启动时删除它们。根据系统的配置,当计算机进入解冻状态时,Windows Update Service可能会被禁止,以确保客户端计算机不会在预配置的维护任务之外安装更新。如果未将Deep Freeze配置为控制更新过程,则Windows解冻服务将在系统解冻后启动,并可能在重启后立即尝试下载更新。
请注意,通过WSUS服务器进行更新时,客户端计算机可能不会立即将更新状态报告给WSUS服务器,具体取决于安装过程的时间。
Windows应用商店/现代UI应用程序
由于Deep Freeze与Windows Update Service交互以禁止在冻结状态下安装更新的方式,这还意味着在系统处于冻结状态时,将无法安装基于Windows应用商店的应用程序(现代UI应用程序)州。
功能发布
提供安装版本8.56或更高版本的客户端计算机上安装Deep Freeze时,可以安装功能版本。
如果可以通过Windows Update Service或通过WSUS服务器获得功能版本,则可以安装功能版本。从2019年5月开始,功能更新似乎无法通过Windows Update Web服务获得,但是在使用WSUS服务器时可以批准并安装。
Windows更新日志
更新过程的活动记录在DFWUlogfile.log中,该文件默认位于以下文件夹中;
32位Windows-C:\ Program Files \ Faronics \ Deep Freeze \ Install C-0 \
64位Windows-C:\ Program Files(x86)\ Faronics \ Deep Freeze \ Install C-0 \
如果您的启动卷不是C:\分区,则“ Install C-0”路径在某些情况下可能会显示不同的数字或字母。
%windir%\ SoftwareDistribution \文件夹中存在另一个日志文件。该日志文件详细说明了计算机处于冻结状态时下载到Windows Update缓存的所有更新的状态。一旦更新过程成功安装了下载到缓存的更新,就会定期清除此日志文件。
Windows更新缓存
Deep Freeze确实具有在本地计算机上配置存储位置的功能,可以在计算机处于冻结状态时下载更新以供以后安装。这种配置的优点是能够在维护任务开始前的一天之内分散下载内容,从而有可能加快安装过程并减少机器不受保护的时间。
这是通过在本地计算机上保留10gb磁盘空间来完成的。Windows 10计算机上的本地计算机上的B:\驱动器可以访问但隐藏此存储位置。Windows 10之前的操作系统仍会创建缓存,但不会创建到B:\驱动器的映射。可以在Deep Freeze配置管理员中更改此字母。
推荐建议
允许Deep Freeze冻结以控制更新过程。
Deep Freeze包含许多逻辑,这些逻辑旨在使更新过程在客户端计算机上简单安全,并且允许Deep Freeze控制此过程将确保仅在管理员定义的计划时间段内安装更新,并且可以在使机器返回保护状态之前完成。
允许更新过程“直到完成”运行。
更新可以按固定的时间表运行,也可以“直到更新完成”运行。以固定的时间表运行虽然可以预测,但有两个不同的问题。
- 如果客户端计算机上正在运行少量更新,则计算机处于解冻状态(不受保护)的时间可能比所需时间更长。
- 如果在维护任务结束时更新过程未完成,则机器可能会遇到问题。
“直到完成”运行更新可以避免这两个问题,因为它只会使机器处于解冻状态足够长的时间,以至于系统可以下载,安装和完成更新过程,并且避免了必须妥善终止更新过程的问题它的运行时间比预期的要长。
使用WSUS作为更新源。
用作WSUS服务器可以在无需用户干预的情况下安装更多的更新集,并提供对更新过程的更高级别的控制。
如果计算机连接速度较慢,请使用“缓存”。
如果您的工作站的网络连接速度较慢,请启用更新过程的缓存功能,以允许在一天中下载更新。这将在一天的过程中分散下载,并且将有助于防止所有计算机尝试同时下载和安装更新时出现问题。