Instalace a konfigurace bodu aktualizace softwaru
Platí pro: Configuration Manager (Current Branch)
Důležité
Před instalací role systému lokality bodu aktualizace softwaru (SUP) musíte ověřit, že server splňuje požadované závislosti a určuje infrastrukturu bodu aktualizace softwaru v lokalitě. Další informace o plánování aktualizací softwaru a určení infrastruktury bodu aktualizace softwaru najdete v tématu Plánování aktualizací softwaru.
Bod aktualizace softwaru se vyžaduje v lokalitě centrální správy a v primárních lokalitách, aby bylo možné povolit posouzení kompatibility aktualizací softwaru a nasadit aktualizace softwaru do klientů. Bod aktualizace softwaru je v sekundárních lokalitách volitelný. Role systému lokality bodu aktualizace softwaru musí být vytvořena na serveru s nainstalovanou službou WSUS. Bod aktualizace softwaru komunikuje se službami WSUS za účelem konfigurace nastavení aktualizací softwaru a vyžádání synchronizace metadat aktualizací softwaru. Pokud máte Configuration Manager hierarchii, nainstalujte a nakonfigurujte bod aktualizace softwaru nejprve v lokalitě centrální správy, pak v podřízených primárních lokalitách a volitelně v sekundárních lokalitách. Pokud máte samostatnou primární lokalitu, nikoli lokalitu centrální správy, nainstalujte a nakonfigurujte nejprve bod aktualizace softwaru v primární lokalitě a pak volitelně v sekundárních lokalitách. Některá nastavení jsou k dispozici pouze při konfiguraci bodu aktualizace softwaru v lokalitě nejvyšší úrovně. V závislosti na tom, kam jste nainstalovali bod aktualizace softwaru, je potřeba zvážit různé možnosti.
Důležité
- V lokalitě můžete nainstalovat více než jeden bod aktualizace softwaru. První bod aktualizace softwaru, který nainstalujete, je nakonfigurovaný jako zdroj synchronizace, který synchronizuje aktualizace z Microsoft Update nebo z nadřazeného zdroje synchronizace. Ostatní body aktualizace softwaru v lokalitě jsou nakonfigurované jako repliky prvního bodu aktualizace softwaru. Proto po instalaci a konfiguraci počátečního bodu aktualizace softwaru nejsou některá nastavení k dispozici.
- Instalace role systému lokality bodu aktualizace softwaru není podporovaná na server, který byl nakonfigurován a používán jako samostatný server WSUS, nebo pomocí bodu aktualizace softwaru přímo spravovat klienty WSUS. Existující servery WSUS se podporují pouze jako nadřazené zdroje synchronizace pro aktivní bod aktualizace softwaru. Viz Synchronizace z umístění nadřazeného zdroje dat.
Roli systému lokality bodu aktualizace softwaru můžete přidat na existující server systému lokality nebo můžete vytvořit nový. Na stránce Výběr role systému v Průvodci vytvořením serveru systému lokality nebo Průvodce přidáním rolí systému lokality vyberte v závislosti na tom, jestli přidáte roli systému lokality na nový nebo existující server lokality, vyberte Bod aktualizace softwaru a pak nakonfigurujte nastavení bodu aktualizace softwaru v průvodci. Nastavení se liší v závislosti na verzi Configuration Manager, kterou používáte. Další informace o instalaci rolí systému lokality najdete v tématu Instalace rolí systému lokality.
V následujících částech najdete informace o nastavení bodu aktualizace softwaru v lokalitě.
Nastavení proxy serveru
Nastavení proxy serveru můžete nakonfigurovat na různých stránkách Průvodce vytvořením serveru systému lokality nebo Průvodce přidáním rolí systému lokality v závislosti na používané verzi Configuration Manager.
Musíte nakonfigurovat proxy server a pak určit, kdy se má použít proxy server pro aktualizace softwaru. Nakonfigurujte následující nastavení:
Nakonfigurujte nastavení proxy serveru na stránce Proxy v průvodci nebo na kartě Proxy v části Vlastnosti systému lokality. Nastavení proxy serveru jsou specifická pro systém lokality, což znamená, že všechny role systému lokality používají nastavení proxy serveru, které zadáte.
Určete, jestli se má použít proxy server, když Configuration Manager synchronizuje aktualizace softwaru a když stahuje obsah pomocí pravidla automatického nasazení. Nakonfigurujte nastavení proxy serveru bodu aktualizace softwaru na stránce Nastavení proxy serveru a účtu průvodce nebo na kartě Nastavení proxy serveru a účtu v části Vlastnosti bodu aktualizace softwaru.
Nastavení Použít proxy server při stahování obsahu pomocí pravidel automatického nasazení je k dispozici, ale nepoužívá se pro bod aktualizace softwaru v sekundární lokalitě. Obsah ze stránky aktualizace Microsoft stahuje jenom bod aktualizace softwaru v lokalitě centrální správy a primární lokalitě.
Účet místního systému pro server, na kterém bylo vytvořeno pravidlo automatického nasazení, se ve výchozím nastavení používá k připojení k internetu a stahování aktualizací softwaru při spuštění pravidel automatického nasazení. Pokud tento účet nemá přístup k internetu, aktualizace softwaru se nepodaří stáhnout a do souboru ruleengine.log se zaprotokoluje následující položka: Aktualizace se nepovedlo stáhnout z internetu. Chyba = 12007. Nakonfigurujte přihlašovací údaje pro připojení k proxy serveru, když účet Místního systému nemá přístup k internetu.
Nastavení služby WSUS
Nastavení služby WSUS je nutné nakonfigurovat na různých stránkách Průvodce vytvořením serveru systému lokality nebo Průvodce přidáním rolí systému lokality v závislosti na používané verzi Configuration Manager a v některých případech pouze ve vlastnostech bodu aktualizace softwaru, označované také jako vlastnosti součásti bodu aktualizace softwaru. Informace v následujících částech slouží ke konfiguraci nastavení služby WSUS.
Důležité
Pokud chcete zajistit, aby byly zavedeny nejlepší protokoly zabezpečení, důrazně doporučujeme použít protokol TLS/SSL k zabezpečení infrastruktury aktualizací softwaru. Od kumulativní aktualizace ze září 2020 budou servery WSUS založené na protokolu HTTP ve výchozím nastavení zabezpečené. Klient, který hledá aktualizace pro službu WSUS založenou na protokolu HTTP, už ve výchozím nastavení nebude moct využívat uživatelský proxy server. Pokud i přes kompromisy zabezpečení stále potřebujete uživatelský proxy server, je k dispozici nové nastavení klienta aktualizací softwaru , které tato připojení povolí. Další informace o změnách pro kontrolu služby WSUS najdete v tématu Změny ze září 2020, které zlepšují zabezpečení zařízení s Windows, která kontroluje WSUS.
Nastavení portů SLUŽBY WSUS
Nastavení portů služby WSUS je nutné nakonfigurovat na stránce Bod aktualizace softwaru v průvodci nebo ve vlastnostech bodu aktualizace softwaru. Pomocí následujícího postupu určete nastavení portů používaná službou WSUS:
Určení nastavení portů používaných ve službě IIS
- Na serveru WSUS otevřete Správce Internetové informační služby (IIS).
- Rozbalte Weby, vyberte web pro správu služby WSUS a pak v podokně Akce vyberte Vazby. V dialogovém okně Vazby webu se ve sloupci Port zobrazí hodnoty portů HTTP a HTTPS.
Konfigurace komunikace SSL se službou WSUS
Pokud chcete zajistit, aby byly zavedeny nejlepší protokoly zabezpečení, důrazně doporučujeme použít protokol TLS/SSL k zabezpečení infrastruktury aktualizací softwaru. Komunikaci SSL můžete nakonfigurovat na stránce průvodce Bod aktualizace softwaru nebo na kartě Obecné ve vlastnostech bodu aktualizace softwaru. Než vyberete možnost Vyžadovat komunikaci SSL se serverem WSUS pro váš SUP, ujistěte se, že jste na serverech WSUS povolili komunikaci SSL.
Další informace o tom, jak používat PROTOKOL SSL, najdete v tématech Rozhodnutí o konfiguraci služby WSUS pro použití protokolu SSL a Konfigurace bodu aktualizace softwaru pro použití protokolu TLS/SSL s certifikátem PKI.
Povolit provoz brány pro správu cloudu
Můžete povolit, aby bod aktualizace softwaru přijímal komunikaci od klientů na internetu prostřednictvím brány pro správu cloudu (CMG). Další informace o tomto nastavení najdete v tématu Konfigurace klientských rolí pro provoz CMG.
Upravte rychlost stahování tak, aby používala nevyužitou šířku pásma sítě (Windows LEDBAT)
(Zavedeno ve verzi 2203)
Od Configuration Manager verze 2203 můžete povolit funkci LEDBAT (Low Extra Delay Background Transport) systému Windows pro body aktualizace softwaru, které běží Windows Server 2016 nebo novější. LEDBAT upravuje rychlost stahování během kontrol klientů vůči wsus, aby pomohla řídit zahlcení sítě.
Pokud má systém lokality roli distribučního bodu i bodu aktualizace softwaru, můžete ledbat nakonfigurovat nezávisle na rolích. Pokud například povolíte LEDBAT pouze u role distribučního bodu, role bodu aktualizace softwaru nezdědí stejnou konfiguraci.
Pokud chcete použít LEDBAT pro své sady SUP, které běží Windows Server 2016 nebo novější, povolte nastavení Upravit rychlost stahování tak, aby používala nevyužitou šířku pásma sítě (Windows LEDBAT) z jednoho z následujících umístění:
- Na stránce Bod aktualizace softwaru v Průvodci instalací bodu aktualizace softwaru
- Na kartě Obecné ve vlastnostech bodu aktualizace softwaru
Obecnější informace o funkci Windows LEDBAT najdete v tématu Základní koncepty správy obsahu.
Účet připojení serveru WSUS
Účet můžete nakonfigurovat tak, aby ho používal server lokality při připojení ke službě WSUS spuštěné v bodě aktualizace softwaru. Pokud tento účet nenakonfigurujete, Configuration Manager použije účet počítače pro připojení serveru lokality ke službě WSUS. Nakonfigurujte účet připojení serveru WSUS na stránce Nastavení proxy serveru v průvodci nebo na kartě Nastavení proxy serveru a účtu v části Vlastnosti bodu aktualizace softwaru. Účet můžete nakonfigurovat na různých místech průvodce v závislosti na verzi Configuration Manager, kterou používáte.
Další informace o Configuration Manager účtech najdete v tématu Použité účty.
Zdroj synchronizace
Nadřazený zdroj synchronizace pro synchronizaci aktualizací softwaru můžete nakonfigurovat na stránce Průvodce Zdroj synchronizace nebo na kartě Nastavení synchronizace v části Vlastnosti součásti bodu aktualizace softwaru. Možnosti zdroje synchronizace se liší v závislosti na lokalitě.
V následující tabulce najdete dostupné možnosti při konfiguraci bodu aktualizace softwaru v lokalitě.
Stránky | Dostupné možnosti zdroje synchronizace |
---|---|
- Lokalita centrální správy – Samostatná primární lokalita |
– Synchronizovat z webu Microsoft Update – Synchronizace z umístění nadřazeného zdroje dat – Nesynchronizovat z Microsoft Update nebo upstreamového zdroje dat |
– Další body aktualizace softwaru v lokalitě – Podřízená primární lokalita - Sekundární lokalita |
– Synchronizace z umístění nadřazeného zdroje dat |
Následující seznam obsahuje další informace o jednotlivých možnostech, které můžete použít jako zdroj synchronizace:
Synchronizovat z Microsoft Update: Toto nastavení použijte k synchronizaci metadat aktualizací softwaru z Microsoft Update. Lokalita centrální správy musí mít přístup k internetu. jinak synchronizace selže. Toto nastavení je k dispozici pouze v případě, že nakonfigurujete bod aktualizace softwaru v lokalitě nejvyšší úrovně.
Pokud je mezi bodem aktualizace softwaru a internetem brána firewall, může být potřeba ji nakonfigurovat tak, aby přijímala porty HTTP a HTTPS, které se používají pro web WSUS. Můžete také omezit přístup k bráně firewall na omezené domény. Další informace o plánování brány firewall, která podporuje aktualizace softwaru, najdete v tématu Konfigurace bran firewall.
Pokud sdílíte databázi WSUS, mějte na paměti, že Configuration Manager náhodně vybírá bod aktualizace softwaru mezi front-endovými servery WSUS. Ujistěte se, že jsou splněné požadavky na přístup k internetu pro každý server WSUS. Pokud nejsou splněné požadavky na přístup k internetu, může dojít k selhání synchronizace. V lokalitě nejvyšší úrovně se můžou synchronizovat s Microsoft různé body aktualizace softwaru.
Synchronizovat z umístění nadřazeného zdroje dat: Toto nastavení použijte k synchronizaci metadat aktualizací softwaru z nadřazeného zdroje synchronizace. Podřízené primární a sekundární lokality jsou automaticky nakonfigurovány tak, aby používaly adresu URL nadřazené lokality pro toto nastavení. Máte možnost synchronizovat aktualizace softwaru z existujícího serveru WSUS. Zadejte adresu URL, například
https://WSUSServer:8531
, kde 8531 je port, který se používá pro připojení k serveru WSUS.Nesynchronizovat z Microsoft Update nebo nadřazeného zdroje dat: Toto nastavení použijte k ruční synchronizaci aktualizací softwaru v případě, že je bod aktualizace softwaru v lokalitě nejvyšší úrovně odpojený od internetu. Další informace najdete v tématu Synchronizace aktualizací softwaru z odpojeného bodu aktualizace softwaru.
Na stránce Zdroj synchronizace v průvodci nebo na kartě Nastavení synchronizace ve vlastnostech součásti bodu aktualizace softwaru můžete také nakonfigurovat, jestli se mají vytvářet události generování sestav služby WSUS. Configuration Manager tyto události nepoužívá. Proto obvykle zvolíte výchozí nastavení Nevytvádřovat události generování sestav služby WSUS.
Plán synchronizace
Nakonfigurujte plán synchronizace na stránce Průvodce plán synchronizace nebo ve vlastnostech součásti bodu aktualizace softwaru. Toto nastavení je nakonfigurováno pouze v bodě aktualizace softwaru v lokalitě nejvyšší úrovně.
Pokud plán povolíte, můžete nakonfigurovat plán opakované jednoduché nebo vlastní synchronizace. Když nakonfigurujete jednoduchý plán, je čas spuštění založen na místním čase počítače, na kterém je spuštěna konzola Configuration Manager v okamžiku vytvoření plánu. Když nakonfigurujete čas spuštění pro vlastní plán, vychází z místního času počítače, na kterém běží konzola Configuration Manager.
Tip
- Naplánujte spuštění synchronizace aktualizací softwaru pomocí časového rámce, který je vhodný pro vaše prostředí. Jedním z typických scénářů je nastavení plánu synchronizace aktualizací softwaru tak, aby běžel krátce po Microsoft pravidelném vydání aktualizace zabezpečení každé druhé úterý v měsíci, což se běžně označuje jako Patch Tuesday. Dalším typickým scénářem je nastavení plánu synchronizace aktualizací softwaru tak, aby běžel každý den, když použijete aktualizace softwaru k doručování definic služby Endpoint Protection a aktualizací modulu.
- Pokud se rozhodnete nepovolit synchronizaci aktualizací softwaru podle plánu, můžete aktualizace softwaru synchronizovat ručně z uzlu Všechny softwarové Aktualizace nebo Skupiny aktualizací softwaru v pracovním prostoru Softwarová knihovna. Další informace najdete v tématu synchronizace aktualizací softwaru.
Pravidla nahrazování
Nastavení nahrazování nakonfigurujte na stránce průvodce Pravidla nahrazení nebo na kartě Pravidla nahrazení ve vlastnostech součásti bodu aktualizace softwaru. Pravidla nahrazování můžete nakonfigurovat pouze v lokalitě nejvyšší úrovně. Chování pravidel nahrazení pro aktualizace funkcí můžete také určit odděleně od aktualizací, které nejsou součástí.
Poznámka
Stránka průvodce Pravidla nahrazení je k dispozici pouze při konfiguraci prvního bodu aktualizace softwaru v lokalitě. Tato stránka se nezobrazí při instalaci dalších bodů aktualizace softwaru.
Na této stránce můžete určit, kdy v Configuration Manager vyprší platnost nahrazovaných aktualizací softwaru, což brání jejich zahrnutí do nových nasazení a označí stávající nasazení příznakem, aby bylo uvedeno, že nahrazené aktualizace softwaru obsahují jednu nebo více aktualizací softwaru, jejichž platnost vypršela. Můžete zadat dobu, po kterou vyprší platnost nahrazovaných aktualizací softwaru, což vám umožní je dál nasazovat. Další informace najdete v tématu Pravidla nahrazení.
Výchozí nastavení je počkat 3 měsíce před vypršením platnosti nahrazené aktualizace. Výchozí 3 měsíce je poskytnout vám čas na ověření, že aktualizace už není potřeba pro žádný z vašich klientských počítačů. Doporučujeme nepředpokládat, že by nahrazované aktualizace měly okamžitě vypršeny ve prospěch nové, nahrazující aktualizace. Seznam aktualizací softwaru, které nahrazují aktualizaci softwaru, můžete zobrazit na kartě Informace o nahrazení ve vlastnostech aktualizace softwaru.
Údržba služby WSUS
Configuration Manager za vás může automaticky spouštět nejběžnější úlohy údržby SLUŽBY WSUS. Další informace o těchto úlohách najdete v tématu Údržba aktualizací softwaru.
Maximální doba běhu
Můžete zadat maximální dobu, po kterou se má instalace aktualizace softwaru dokončit. Maximální dobu běhu můžete zadat pro následující:
Maximální doba běhu pro aktualizace funkcí Windows (minuty)
-
Aktualizace funkcí – aktualizace, která je v jedné z těchto tří klasifikací:
- Upgrady
- Kumulativní aktualizace
- Aktualizace Service Pack
-
Aktualizace funkcí – aktualizace, která je v jedné z těchto tří klasifikací:
Maximální doba běhu aktualizací Office 365 a aktualizací bez funkcí pro Windows (minuty)
-
Aktualizace bez funkcí – aktualizace, která není upgradem funkcí a jejíž produkt je uvedený jako jeden z následujících:
- Windows 11
- Windows 10 (všechny verze)
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Office 365
-
Aktualizace bez funkcí – aktualizace, která není upgradem funkcí a jejíž produkt je uvedený jako jeden z následujících:
Maximální doba běhu všech ostatních aktualizací softwaru mimo tyto kategorie, jako jsou aktualizace třetích stran (minuty): Výchozí maximální doba běhu těchto aktualizací se liší v závislosti na tom, kdy se aktualizace poprvé synchronizovala s prostředím a Configuration Manager verze. Pomocí následujícího košíku určete maximální hodnotu modulu runtime pro tyto aktualizace:
2203 nebo novější 2103, 2107 nebo 2111 2010 Maximální doba běhu pro všechny ostatní aktualizace softwaru je přizpůsobitelná. Výchozí hodnota je 60 minut. 60 minut 10 minut Důležité
- Toto nastavení změní pouze maximální modul runtime pro nové aktualizace, které jsou synchronizovány pomocí SUP. Nezmění dobu spuštění u existujících aktualizací, které se synchronizovaly před změnou doby spuštění. Pokud
Update 1
jste například poprvé synchronizovali do prostředí 2111, je maximální doba běhu 60 minut. Pak upgradujete prostředí na verzi 2203 a nastavíte maximální dobu běhu na 30 minut.Update 1
zachová 60minutovou dobu běhu. Když se ale nová aktualizaceUpdate 2
, synchronizuje v, je jí přidělena nová 30minutová doba spuštění. - Pokud potřebujete maximální dobu běhu aktualizace změnit ručně, můžete pro ni nakonfigurovat nastavení aktualizací softwaru .
- Toto nastavení změní pouze maximální modul runtime pro nové aktualizace, které jsou synchronizovány pomocí SUP. Nezmění dobu spuštění u existujících aktualizací, které se synchronizovaly před změnou doby spuštění. Pokud
Klasifikace
Nakonfigurujte nastavení klasifikací na stránce Klasifikace v průvodci nebo na kartě Klasifikace ve vlastnostech součásti bodu aktualizace softwaru. Další informace o klasifikacích aktualizací softwaru najdete v tématu Klasifikace aktualizací.
Tip
- Stránka průvodce Klasifikace je k dispozici pouze při konfiguraci prvního bodu aktualizace softwaru v lokalitě. Tato stránka se nezobrazí při instalaci dalších bodů aktualizace softwaru.
- Při první instalaci bodu aktualizace softwaru v lokalitě nejvyšší úrovně vymažte všechny klasifikace aktualizací softwaru. Po počáteční synchronizaci aktualizací softwaru nakonfigurujte klasifikace z aktualizovaného seznamu a pak synchronizaci znovu zahajte. Toto nastavení je nakonfigurováno pouze v bodě aktualizace softwaru v lokalitě nejvyšší úrovně.
Produkty
Nakonfigurujte nastavení produktu na stránce Produkty v průvodci nebo na kartě Produkty ve vlastnostech součásti bodu aktualizace softwaru.
Tip
- Stránka Průvodce Produkty je k dispozici pouze při konfiguraci prvního bodu aktualizace softwaru v lokalitě. Tato stránka se nezobrazí při instalaci dalších bodů aktualizace softwaru.
- Při první instalaci bodu aktualizace softwaru v lokalitě nejvyšší úrovně vymažte všechny produkty. Po počáteční synchronizaci aktualizací softwaru nakonfigurujte produkty z aktualizovaného seznamu a pak synchronizaci znovu zahajte. Toto nastavení je nakonfigurováno pouze v bodě aktualizace softwaru v lokalitě nejvyšší úrovně.
Jazyky
Nakonfigurujte nastavení jazyka na stránce Jazyky v průvodci nebo na kartě Jazyky ve vlastnostech součásti bodu aktualizace softwaru. Zadejte jazyky, pro které chcete synchronizovat soubory aktualizací softwaru a souhrnné podrobnosti. Nastavení Soubor aktualizace softwaru se konfiguruje v každém bodě aktualizace softwaru v hierarchii Configuration Manager. Nastavení Souhrnné podrobnosti se konfigurují pouze v bodě aktualizace softwaru nejvyšší úrovně. Další informace najdete v tématu Jazyky.
Poznámka
Stránka Průvodce Jazyky je k dispozici pouze při instalaci bodu aktualizace softwaru v lokalitě centrální správy. Jazyky souborů aktualizace softwaru můžete nakonfigurovat v podřízených lokalitách na kartě Jazyky v části Vlastnosti součásti bodu aktualizace softwaru.
Aktualizace třetích stran
Pro klienty Configuration Manager můžete povolit aktualizace třetích stran. Když ve vlastnostech komponenty SUP povolíte aktualizace softwaru třetích stran, stáhne sup podpisový certifikát používaný službou WSUS pro aktualizace třetích stran. Tato možnost není k dispozici během instalace bodu aktualizace softwaru a měla by se nakonfigurovat po instalaci sup. Pokud chcete povolit nastavení klienta pro aktualizace třetích stran, přečtěte si článek Informace o nastavení klienta .
Další kroky
Nainstalovali jste bod aktualizace softwaru počínaje lokalitou nejvyšší úrovně v hierarchii Configuration Manager. Opakujte postupy v tomto článku a nainstalujte bod aktualizace softwaru v podřízených lokalitách.
Jakmile budete mít nainstalované body aktualizace softwaru, přejděte k synchronizaci aktualizací softwaru.