Share via


Een software-updatepunt installeren en configureren

Van toepassing op: Configuration Manager (current branch)

Belangrijk

Voordat u de sitesysteemrol (SUP) van het software-updatepunt installeert, moet u controleren of de server voldoet aan de vereiste afhankelijkheden en de infrastructuur van het software-updatepunt op de site bepaalt. Zie Software-updates plannen voor meer informatie over het plannen van software-updates en het bepalen van de infrastructuur van uw software-updatepunt.

Het software-updatepunt is vereist op de centrale beheersite en op de primaire sites om nalevingsbeoordeling van software-updates in te schakelen en software-updates op clients te implementeren. Het software-updatepunt is optioneel op secundaire sites. De sitesysteemrol van het software-updatepunt moet worden gemaakt op een server waarop WSUS is geïnstalleerd. Het software-updatepunt communiceert met de WSUS-services om de instellingen voor software-updates te configureren en synchronisatie van metagegevens van software-updates aan te vragen. Wanneer u een Configuration Manager-hiërarchie hebt, installeert en configureert u het software-updatepunt eerst op de centrale beheersite, vervolgens op onderliggende primaire sites en vervolgens optioneel op secundaire sites. Wanneer u een zelfstandige primaire site hebt, niet een centrale beheersite, installeert en configureert u het software-updatepunt eerst op de primaire site en vervolgens optioneel op secundaire sites. Sommige instellingen zijn alleen beschikbaar wanneer u het software-updatepunt op een site op het hoogste niveau configureert. Er zijn verschillende opties die u moet overwegen, afhankelijk van waar u het software-updatepunt hebt geïnstalleerd.

Belangrijk

  • U kunt meer dan één software-updatepunt op een site installeren. Het eerste software-updatepunt dat u installeert, is geconfigureerd als de synchronisatiebron, waarmee de updates van Microsoft Update of van de upstream-synchronisatiebron worden gesynchroniseerd. De andere software-updatepunten op de site worden geconfigureerd als replica's van het eerste software-updatepunt. Daarom zijn sommige instellingen niet beschikbaar nadat u het eerste software-updatepunt hebt geïnstalleerd en geconfigureerd.
  • Het wordt niet ondersteund om de sitesysteemrol software-updatepunt te installeren op een server die is geconfigureerd en gebruikt als zelfstandige WSUS-server of die een software-updatepunt gebruikt om WSUS-clients rechtstreeks te beheren. Bestaande WSUS-servers worden alleen ondersteund als upstream-synchronisatiebronnen voor het actieve software-updatepunt. Zie Synchroniseren vanaf een upstream-gegevensbronlocatie

U kunt de sitesysteemrol software-updatepunt toevoegen aan een bestaande sitesysteemserver of u kunt een nieuwe maken. Selecteer op de pagina Systeemrolselectie van de wizard Sitesysteemserver maken of wizard Sitesysteemrollen toevoegen, afhankelijk van of u de sitesysteemrol toevoegt aan een nieuwe of bestaande siteserver, de optie Software-updatepunt en configureer vervolgens de instellingen van het software-updatepunt in de wizard. De instellingen verschillen, afhankelijk van de versie van Configuration Manager die u gebruikt. Zie Sitesysteemrollen installeren voor meer informatie over het installeren van sitesysteemrollen.

Gebruik de volgende secties voor informatie over de instellingen van het software-updatepunt op een site.

Proxyserverinstellingen

U kunt de proxyserverinstellingen configureren op verschillende pagina's van de wizard Sitesysteemserver maken of de wizard Sitesysteemrollen toevoegen, afhankelijk van de versie van Configuration Manager die u gebruikt.

  • U moet de proxyserver configureren en vervolgens opgeven wanneer de proxyserver moet worden gebruikt voor software-updates. Configureer de volgende instellingen:

    • Configureer de proxyserverinstellingen op de pagina Proxy van de wizard of op het tabblad Proxy in Eigenschappen van sitesysteem. De proxyserverinstellingen zijn sitesysteemspecifiek, wat betekent dat alle sitesysteemrollen gebruikmaken van de proxyserverinstellingen die u opgeeft.

    • Geef op of de proxyserver moet worden gebruikt wanneer Configuration Manager de software-updates synchroniseert en wanneer inhoud wordt gedownload met behulp van een regel voor automatische implementatie. Configureer de proxyserverinstellingen van het software-updatepunt op de pagina Proxy- en accountinstellingen van de wizard of op het tabblad Proxy- en accountinstellingen in Eigenschappen van software-updatepunt.

    • De instelling Een proxy gebruiken bij het downloaden van inhoud met behulp van regels voor automatische implementatie is beschikbaar, maar wordt niet gebruikt voor een software-updatepunt op een secundaire site. Alleen het software-updatepunt op de centrale beheersite en primaire site downloadt inhoud van de pagina Microsoft Update.

    • Standaard wordt het lokale systeemaccount voor de server waarop een regel voor automatische implementatie is gemaakt, gebruikt om verbinding te maken met internet en software-updates te downloaden wanneer de regels voor automatische implementatie worden uitgevoerd. Wanneer dit account geen toegang heeft tot internet, kunnen software-updates niet worden gedownload en wordt de volgende vermelding geregistreerd bij ruleengine.log: Kan de update niet downloaden van internet. Fout = 12007. Configureer de referenties om verbinding te maken met de proxyserver wanneer het account van het lokale systeem geen internettoegang heeft.

WSUS-instellingen

U moet WSUS-instellingen configureren op verschillende pagina's van de wizard Sitesysteemserver maken of de wizard Sitesysteemrollen toevoegen, afhankelijk van de versie van Configuration Manager die u gebruikt, en in sommige gevallen alleen in de eigenschappen voor het software-updatepunt, ook wel bekend als Eigenschappen van software-updatepuntonderdeel. Gebruik de informatie in de volgende secties om de WSUS-instellingen te configureren.

Belangrijk

Om ervoor te zorgen dat de beste beveiligingsprotocollen aanwezig zijn, raden we u ten zeerste aan om het TLS/SSL-protocol te gebruiken om uw software-update-infrastructuur te beveiligen. Vanaf de cumulatieve update van september 2020 zijn OP HTTP gebaseerde WSUS-servers standaard beveiligd. Een client die zoekt naar updates op basis van een OP HTTP gebaseerde WSUS, mag niet langer standaard gebruikmaken van een gebruikersproxy. Als u ondanks de beveiligingsproblemen nog steeds een gebruikersproxy nodig hebt, is er een nieuwe clientinstelling voor software-updates beschikbaar om deze verbindingen toe te staan. Zie Wijzigingen van september 2020 om de beveiliging te verbeteren voor Windows-apparaten die WSUS scannen voor meer informatie over de wijzigingen voor het scannen van WSUS.

WSUS-poortinstellingen

U moet de WSUS-poortinstellingen configureren op de pagina Software-updatepunt van de wizard of in de eigenschappen van het software-updatepunt. Gebruik de volgende procedure om de poortinstellingen te bepalen die door WSUS worden gebruikt:

De poortinstellingen bepalen die worden gebruikt in IIS

  1. Open Internet Information Services (IIS) Manager op de WSUS-server.
  2. Vouw Sites uit, selecteer de WSUS-beheersite en selecteer vervolgens Bindingen in het deelvenster Acties . In het dialoogvenster Sitebindingen worden de HTTP- en HTTPS-poortwaarden weergegeven in de kolom Poort .

SSL-communicatie naar WSUS configureren

Om ervoor te zorgen dat de beste beveiligingsprotocollen aanwezig zijn, raden we u ten zeerste aan om het TLS/SSL-protocol te gebruiken om uw software-update-infrastructuur te beveiligen. U kunt SSL-communicatie configureren op de pagina Software-updatepunt van de wizard of op het tabblad Algemeen in de eigenschappen van het software-updatepunt. Voordat u de optie SSL-communicatie naar de WSUS-server vereisen voor uw SUP selecteert, moet u ervoor zorgen dat u SSL-communicatie hebt ingeschakeld op de WSUS-servers.

Zie Bepalen of WSUS moet worden geconfigureerd voor het gebruik van SSL en Een software-updatepunt configureren voor het gebruik van TLS/SSL met een PKI-certificaat voor meer informatie over het gebruik van SSL.

Gatewayverkeer voor cloudbeheer toestaan

U kunt een software-updatepunt inschakelen om communicatie van clients op internet te accepteren via een cloudbeheergateway (CMG). Zie Clientgerichte rollen configureren voor CMG-verkeer voor meer informatie over deze instelling.

De downloadsnelheid aanpassen om de ongebruikte netwerkbandbreedte te gebruiken (Windows LEDBAT)

(Geïntroduceerd in versie 2203)

Vanaf Configuration Manager versie 2203 kunt u LEDBAT (Low Extra Delay Background Transport) inschakelen voor uw software-updatepunten die Windows Server 2016 of hoger worden uitgevoerd. LEDBAT past downloadsnelheden aan tijdens clientscans op WSUS om netwerkcongestie te helpen beheren.

Als een sitesysteem zowel de distributiepunt- als de software-updatepuntrollen heeft, kunt u LEDBAT onafhankelijk van de rollen configureren. Als u bijvoorbeeld ALLEEN LEDBAT inschakelt voor de distributiepuntrol, neemt de rol van het software-updatepunt niet dezelfde configuratie over.

Als u LEDBAT wilt gebruiken voor uw SUPs die Windows Server 2016 of hoger worden uitgevoerd, schakelt u de instelling De downloadsnelheid aanpassen om de ongebruikte netwerkbandbreedte (Windows LEDBAT) te gebruiken in op een van de volgende locaties:

  • Op de pagina Software-updatepunt van de wizard software-updatepunt installeren
  • Op het tabblad Algemeen van de eigenschappen van het software-updatepunt

Zie Basisconcepten voor inhoudsbeheer voor meer algemene informatie over Windows LEDBAT.

WSUS-serververbindingsaccount

U kunt een account configureren voor gebruik door de siteserver wanneer het verbinding maakt met WSUS dat wordt uitgevoerd op het software-updatepunt. Wanneer u dit account niet configureert, gebruikt de Configuration Manager het computeraccount voor de siteserver om verbinding te maken met WSUS. Configureer het WSUS-serververbindingsaccount op de pagina Proxy- en accountinstellingen van de wizard of op het tabblad Proxy- en accountinstellingen in Eigenschappen van software-updatepunt. U kunt het account op verschillende plaatsen van de wizard configureren, afhankelijk van de versie van Configuration Manager die u gebruikt.

Zie Gebruikte accounts voor meer informatie over Configuration Manager-accounts.

Synchronisatiebron

U kunt de upstream-synchronisatiebron voor synchronisatie van software-updates configureren op de pagina Synchronisatiebron van de wizard of op het tabblad Synchronisatie-instellingen in Eigenschappen van software-updatepuntonderdeel. De opties voor de synchronisatiebron variëren, afhankelijk van de site.

Gebruik de volgende tabel voor de beschikbare opties wanneer u het software-updatepunt op een site configureert.

Site Beschikbare opties voor synchronisatiebron
- Centrale beheersite
- Zelfstandige primaire site
- Synchroniseren vanaf de Microsoft Update-website
- Synchroniseren vanaf een upstream-gegevensbronlocatie
- Niet synchroniseren vanuit Microsoft Update- of upstream-gegevensbron
- Aanvullende software-updatepunten op een site
- Onderliggende primaire site
- Secundaire site
- Synchroniseren vanaf een upstream-gegevensbronlocatie

De volgende lijst bevat meer informatie over elke optie die u kunt gebruiken als de synchronisatiebron:

  • Synchroniseren vanuit Microsoft Update: gebruik deze instelling om metagegevens van software-updates te synchroniseren vanuit Microsoft Update. De centrale beheersite moet internettoegang hebben; anders mislukt de synchronisatie. Deze instelling is alleen beschikbaar wanneer u het software-updatepunt op de site op het hoogste niveau configureert.

    • Wanneer er een firewall is tussen het software-updatepunt en internet, moet de firewall mogelijk worden geconfigureerd om de HTTP- en HTTPS-poorten te accepteren die worden gebruikt voor de WSUS-website. U kunt er ook voor kiezen om de toegang op de firewall te beperken tot beperkte domeinen. Zie Firewalls configureren voor meer informatie over het plannen van een firewall die software-updates ondersteunt.

    • Als u de WSUS-database deelt, moet u er rekening mee houden dat Configuration Manager willekeurig het software-updatepunt tussen de front-end WSUS-servers kiest. Zorg ervoor dat aan de vereisten voor internettoegang wordt voldaan voor elk van de WSUS-servers. Als niet aan de vereisten voor internettoegang wordt voldaan, kunnen synchronisatiefouten optreden. Mogelijk ziet u verschillende software-updatepunten op de site op het hoogste niveau die worden gesynchroniseerd met Microsoft.

  • Synchroniseren vanaf een upstream-gegevensbronlocatie: gebruik deze instelling om metagegevens van software-updates van de upstream-synchronisatiebron te synchroniseren. De onderliggende primaire sites en secundaire sites worden automatisch geconfigureerd voor het gebruik van de bovenliggende site-URL voor deze instelling. U kunt software-updates synchroniseren vanaf een bestaande WSUS-server. Geef een URL op, zoals https://WSUSServer:8531, waarbij 8531 de poort is die wordt gebruikt om verbinding te maken met de WSUS-server.

  • Synchroniseer niet vanuit Microsoft Update- of upstream-gegevensbron: gebruik deze instelling om software-updates handmatig te synchroniseren wanneer het software-updatepunt op de site op het hoogste niveau wordt losgekoppeld van internet. Zie Software-updates synchroniseren vanaf een niet-verbonden software-updatepunt voor meer informatie.

U kunt ook configureren of u WSUS-rapportage-gebeurtenissen wilt maken op de pagina Synchronisatiebron van de wizard of op het tabblad Synchronisatie-instellingen in Eigenschappen van software-updatepuntonderdeel. Configuration Manager gebruikt deze gebeurtenissen niet. Daarom kiest u normaal gesproken de standaardinstelling Wsus-rapportage-gebeurtenissen niet maken.

Synchronisatieschema

Configureer het synchronisatieschema op de pagina Synchronisatieplanning van de wizard of in de eigenschappen van software-updatepuntonderdelen. Deze instelling wordt alleen geconfigureerd op het software-updatepunt op de site op het hoogste niveau.

Als u de planning inschakelt, kunt u een terugkerend eenvoudig of aangepast synchronisatieschema configureren. Wanneer u een eenvoudige planning configureert, is de begintijd gebaseerd op de lokale tijd voor de computer waarop de Configuration Manager-console wordt uitgevoerd op het moment dat u de planning maakt. Wanneer u de begintijd voor een aangepaste planning configureert, is deze gebaseerd op de lokale tijd voor de computer waarop de Configuration Manager-console wordt uitgevoerd.

Tip

  • Plan synchronisatie van software-updates om uit te voeren met behulp van een tijdsbestek dat geschikt is voor uw omgeving. Een typisch scenario is dat het synchronisatieschema voor software-updates wordt uitgevoerd kort na de Microsoft reguliere beveiligingsupdaterelease op de tweede dinsdag van elke maand, die gewoonlijk patch-dinsdag wordt genoemd. Een ander typisch scenario is het instellen van het synchronisatieschema voor software-updates dat dagelijks wordt uitgevoerd wanneer u software-updates gebruikt om de Endpoint Protection-definitie en engine-updates te leveren.
  • Wanneer u ervoor kiest om synchronisatie van software-updates niet volgens een schema in te schakelen, kunt u software-updates handmatig synchroniseren vanuit het knooppunt Alle software-Updates of Software-updategroepen in de werkruimte Softwarebibliotheek. Zie Software-updates synchroniseren voor meer informatie.

Vervangingsregels

Configureer de vervangingsinstellingen op de pagina Vervangingsregels van de wizard of op het tabblad Vervangingsregels in Eigenschappen van software-updatepuntonderdelen. U kunt de vervangingsregels alleen configureren op de site op het hoogste niveau. U kunt ook het gedrag van vervangingsregels voor functie-updates afzonderlijk opgeven van niet-functie-updates.

Opmerking

De pagina Vervangingsregels van de wizard is alleen beschikbaar wanneer u het eerste software-updatepunt op de site configureert. Deze pagina wordt niet weergegeven wanneer u extra software-updatepunten installeert.

Op deze pagina kunt u opgeven wanneer vervangen software-updates verlopen zijn in Configuration Manager. Dit voorkomt dat ze worden opgenomen in nieuwe implementaties en markeert de bestaande implementaties om aan te geven dat de vervangen software-updates een of meer verlopen software-updates bevatten. U kunt een periode opgeven voordat de vervangen software-updates zijn verlopen, zodat u ze kunt blijven implementeren. Zie Vervangingsregels voor meer informatie.

De standaardinstelling is om 3 maanden te wachten voordat een vervangen update verloopt. De standaardinstelling van 3 maanden is om u tijd te geven om te controleren of de update niet meer nodig is voor een van uw clientcomputers. U wordt aangeraden er niet van uit te gaan dat vervangen updates onmiddellijk moeten verlopen ten gunste van de nieuwe, vervangende update. U kunt een lijst weergeven van de software-updates die de software-update vervangen op het tabblad Vervangingsgegevens in de eigenschappen van de software-update.

WSUS-onderhoud

Configuration Manager kunt automatisch de meest voorkomende WSUS-onderhoudstaken voor u uitvoeren. Zie Onderhoud van software-updates voor meer informatie over deze taken.

Maximale uitvoeringstijd

U kunt opgeven hoeveel tijd een software-updateinstallatie maximaal moet worden voltooid. U kunt de maximale uitvoeringstijd voor het volgende opgeven:

  • Maximale uitvoeringstijd voor Windows-onderdelenupdates (minuten)

    • Functie-updates : een update die zich in een van deze drie classificaties bevindt:
      • Upgrades
      • Updatepakketten
      • Servicepacks
  • Maximale runtime voor Office 365-updates en niet-functie-updates voor Windows (minuten)

    • Niet-functie-updates : een update die geen functie-upgrade is en waarvan het product wordt vermeld als een van de volgende:
      • Windows 11
      • Windows 10 (alle versies)
      • Windows Server 2012 R2
      • Windows Server 2016
      • Windows Server 2019
      • Office 365
  • Maximale runtime voor alle andere software-updates buiten deze categorieën, zoals updates van derden (minuten): de standaard maximale uitvoeringstijd van deze updates varieert afhankelijk van wanneer de update voor het eerst is gesynchroniseerd met de omgeving en de Configuration Manager versie. Gebruik de onderstaande winkelwagen om de maximale runtimewaarde voor deze updates te bepalen:

    2203 of hoger 2103, 2107 of 2111 2010
    De maximale runtime voor alle andere software-updates kan worden aangepast. De standaardwaarde is 60 minuten. 60 minuten 10 minuten

    Belangrijk

    • Met deze instelling wordt alleen de maximale runtime gewijzigd voor nieuwe updates die door SUP worden gesynchroniseerd. De uitvoeringstijd van bestaande updates die zijn gesynchroniseerd voordat de uitvoeringstijd werd gewijzigd, wordt niet gewijzigd. Als Update 1 bijvoorbeeld voor het eerst is gesynchroniseerd met een 2111-omgeving, is de maximale uitvoeringstijd 60 minuten. Vervolgens voert u een upgrade uit van de omgeving naar versie 2203 en stelt u de maximale uitvoeringstijd in op 30 minuten. Update 1 behoudt de runtime van 60 minuten. Wanneer een nieuwe update, Update 2, echter wordt gesynchroniseerd, krijgt deze de nieuwe uitvoeringstijd van 30 minuten.
    • Als u de maximale uitvoeringstijd van een update handmatig wilt wijzigen, kunt u de software-update-instellingen hiervoor configureren .

Classificaties

Configureer de classificatie-instellingen op de pagina Classificaties van de wizard of op het tabblad Classificaties in Eigenschappen van software-updatepuntonderdelen. Zie Classificaties bijwerken voor meer informatie over software-updateclassificaties.

Tip

  • De pagina Classificaties van de wizard is alleen beschikbaar wanneer u het eerste software-updatepunt op de site configureert. Deze pagina wordt niet weergegeven wanneer u extra software-updatepunten installeert.
  • Wanneer u het software-updatepunt voor het eerst installeert op de site op het hoogste niveau, wist u alle software-updatesclassificaties. Na de initiële synchronisatie van software-updates configureert u de classificaties uit een bijgewerkte lijst en start u de synchronisatie opnieuw. Deze instelling wordt alleen geconfigureerd op het software-updatepunt op de site op het hoogste niveau.

Producten

Configureer de productinstellingen op de pagina Producten van de wizard of op het tabblad Producten in Eigenschappen van software-updatepuntonderdeel.

Tip

  • De pagina Producten van de wizard is alleen beschikbaar wanneer u het eerste software-updatepunt op de site configureert. Deze pagina wordt niet weergegeven wanneer u extra software-updatepunten installeert.
  • Wanneer u het software-updatepunt voor het eerst installeert op de site op het hoogste niveau, moet u alle producten wissen. Na de eerste synchronisatie van software-updates configureert u de producten vanuit een bijgewerkte lijst en start u de synchronisatie opnieuw. Deze instelling wordt alleen geconfigureerd op het software-updatepunt op de site op het hoogste niveau.

Talen

Configureer de taalinstellingen op de pagina Talen van de wizard of op het tabblad Talen in Eigenschappen van software-updatepuntonderdelen. Geef de talen op waarvoor u software-updatebestanden en samenvattingsgegevens wilt synchroniseren. De instelling Software-updatebestand wordt geconfigureerd op elk software-updatepunt in de Configuration Manager-hiërarchie. De instellingen voor samenvattingsdetails worden alleen geconfigureerd op het software-updatepunt op het hoogste niveau. Zie Talen voor meer informatie.

Opmerking

De pagina Talen van de wizard is alleen beschikbaar wanneer u het software-updatepunt installeert op de centrale beheersite. U kunt de talen van het software-updatebestand op onderliggende sites configureren op het tabblad Talen in Eigenschappen van software-updatepuntonderdelen.

Updates van derden

U kunt updates van derden inschakelen voor Configuration Manager clients. Wanneer u software-updates van derden inschakelt in de eigenschappen van het SUP-onderdeel, downloadt de SUP het handtekeningcertificaat dat door WSUS wordt gebruikt voor updates van derden. Deze optie is niet beschikbaar tijdens de installatie van het software-updatepunt en moet worden geconfigureerd nadat de SUP is geïnstalleerd. Als u de clientinstellingen voor updates van derden wilt inschakelen, raadpleegt u het artikel Over clientinstellingen .

Volgende stappen

U hebt het software-updatepunt geïnstalleerd vanaf de bovenste site in uw Configuration Manager-hiërarchie. Herhaal de procedures in dit artikel om het software-updatepunt op onderliggende sites te installeren.

Zodra uw software-updatepunten zijn geïnstalleerd, gaat u naar software-updates synchroniseren.