Ativar as atualizações de terceiros
Aplica-se a: Configuration Manager (ramo atual)
O nó de Catálogos de Atualização de Software de Terceiros na consola Desemação de Software Permite-lhe subscrever catálogos de terceiros, publicar as suas atualizações para o seu ponto de atualização de software (SUP) e, em seguida, implantá-los para os clientes.
Nota
Na versão de 2006 e anterior, o Gestor de Configuração não ativa esta funcionalidade por padrão. Antes de a utilizar, ative a funcionalidade opcional Ativar o suporte de atualização de terceiros aos clientes. Para mais informações, consulte Enable optional features from updates.
Pré-requisitos
- Espaço suficiente em disco no diretório de atualização de software de nível superior
WSUSContent
para armazenar o conteúdo binário de origem para atualizações de software de terceiros.- A quantidade de armazenamento necessário varia em base no fornecedor, tipos de atualizações e atualizações específicas que publica para implementação.
- Se precisar de mover o
WSUSContent
diretório para outra unidade com mais espaço livre, consulte o Como alterar o local onde a WSUS armazena o post de blog local.
- O serviço de sincronização de atualização de software de terceiros requer acesso à Internet.
- Para a lista de catálogos de parceiros, é necessário download.microsoft.com sobre a porta HTTPS 443.
- Acesso à Internet a quaisquer catálogos de terceiros e atualizar ficheiros de conteúdo. Podem ser necessárias portas adicionais que não sejam 443.
- As atualizações de terceiros utilizam as mesmas definições de procuração que o SUP.
Requisitos adicionais quando o SUP é remoto do servidor de site de nível superior
O SSL deve ser ativado no SUP quando é remoto. Isto requer um certificado de autenticação do servidor gerado por uma autoridade de certificados interno ou através de um fornecedor público.
- Configurar SSL na WSUS
- Quando configurar sSL na WSUS, note que alguns dos serviços web e os diretórios virtuais são sempre HTTP e não HTTPS.
- O Gestor de Configuração descarrega conteúdo de terceiros para pacotes de atualização de software a partir do seu diretório de conteúdos WSUS em HTTP.
- Configure SSL no SUP
- Configurar SSL na WSUS
Ao definir a configuração do certificado de assinatura WSUS de terceiros para o Gestor de Configuração gere o certificado nas propriedades componentes do ponto de atualização de software, são necessárias as seguintes configurações para permitir a criação do certificado de assinatura WSUS auto-assinado:
- O registo remoto deve ser ativado no servidor SUP.
- A conta de ligação ao servidor WSUS deve ter permissões de registo remoto no servidor SUP/WSUS.
Crie a seguinte chave de registo no servidor do site do Gestor de Configuração:
HKLM\Software\Microsoft\Update Services\Server\Setup
, criar um novo DWORD chamado EnableSelfSignedCertificates com um valor de1
.
Para permitir a instalação do certificado de assinatura WSUS auto-assinado para as lojas Trusted Publishers e Trusted Root no servidor SUP remoto:
A conta de ligação ao servidor WSUS deve ter permissões de administração remotas no servidor SUP.
Se este item não for possível, exporte o certificado da loja WSUS do computador local para as lojas Trusted Publisher e Trusted Root.
Nota
A conta de ligação ao servidor WSUS pode ser identificada visualizando o separador Proxy e Account Definições nas propriedades de função do Sistema de Sítio do SUP. Se uma conta não for especificada, a conta de computador do servidor do site é utilizada.
Ativar atualizações de terceiros no SUP
Se ativar esta opção, pode subscrever catálogos de atualização de terceiros na consola Do Gestor de Configuração. Em seguida, pode publicar essas atualizações para a WSUS e implantá-las para os clientes. Os passos seguintes devem ser executados uma vez por hierarquia para ativar e configurar a função para utilização. Os passos podem ter de ser reexecutados se alguma vez substituir o servidor WSUS do SUP de nível superior.
Na consola Do Gestor de Configuração, vá ao espaço de trabalho da Administração. Expandir a configuração do site e selecionar o nó 'Sites'.
Selecione o site de alto nível na hierarquia. Na fita, selecione Configure Os Componentes do Site e selecione o Ponto de Atualização de Software.
Mude para o separador Atualizações de Terceiros. Selecione a opção Ative as atualizações de software de terceiros.
Configurar o certificado de assinatura WSUS
Terá de decidir se pretende que o Gestor de Configuração gere automaticamente o certificado de assinatura WSUS de terceiros utilizando um certificado auto-assinado ou se necessita de configurar manualmente o certificado.
Gerir automaticamente o certificado de assinatura WSUS
Se não tiver a obrigação de utilizar certificados PKI, pode optar por gerir automaticamente os certificados de assinatura para atualizações de terceiros. A gestão dos certificados WSUS é feita como parte do ciclo de sincronização e é registada no wsyncmgr.log
.
- Na consola Do Gestor de Configuração, vá ao espaço de trabalho da Administração. Expandir a configuração do site e selecionar o nó 'Sites'.
- Selecione o site de alto nível na hierarquia. Na fita, selecione Configure Os Componentes do Site e selecione o Ponto de Atualização de Software.
- Mude para o separador Atualizações de Terceiros. Selecione a opção O Gestor de Configuração gere o certificado.
- Um novo certificado de assinatura WSUS de terceiros do tipo é criado no nó certificados em Segurança no espaço de trabalho da Administração.
Gerir manualmente o certificado de assinatura WSUS
Se precisar de configurar manualmente o certificado, como por exemplo, a necessidade de utilizar um certificado PKI, terá de utilizar System Center Atualizações Publisher ou outra ferramenta para o fazer.
- Configurar o certificado de assinatura utilizando Publisher System Center Atualizações.
- Na consola Do Gestor de Configuração, vá ao espaço de trabalho da Administração. Expandir a configuração do site e selecionar o nó 'Sites'.
- Selecione o site de alto nível na hierarquia. Na fita, selecione Configure Os Componentes do Site e selecione o Ponto de Atualização de Software.
- Mude para o separador Atualizações de Terceiros. Selecione a opção para gerir manualmente o certificado.
Ativar atualizações de terceiros sobre os clientes
Ativar atualizações de terceiros sobre os clientes nas definições do cliente. A definição define a política do agente de atualização Windows para permitir atualizações assinadas para uma localização do serviço de atualização intranet microsoft. Esta definição de cliente também instala o certificado de assinatura WSUS na loja Trusted Publisher no cliente. O registo de gestão de certificados é visto updatesdeployment.log
nos clientes. Execute estes passos para cada configuração personalizada do cliente que pretende utilizar para atualizações de terceiros. Para mais informações, consulte o artigo Definições de Clientes.
- Na consola 'Gestor de Configuração', vá ao espaço de trabalho da Administração e selecione o nó Definições cliente.
- Selecione uma definição personalizada existente do cliente ou crie uma nova.
- Selecione o separador Atualizações de Software no lado esquerdo. Se não tiver este separador, certifique-se de que a caixa de Atualizações de Software está ativada.
- Definir Ative as atualizações de software de terceiros para Sim.
Adicione um catálogo personalizado
Os catálogos de parceiros são catálogos de fornecedores de software que têm as suas informações já registadas na Microsoft. Com catálogos de parceiros, pode subscrevê-los sem ter de especificar qualquer informação adicional. Os catálogos que adiciona são chamados catálogos personalizados. Pode adicionar um catálogo personalizado de um fornecedor de atualização de terceiros ao Gestor de Configuração. Os catálogos personalizados devem utilizar https e as atualizações devem ser assinadas digitalmente.
Vá ao espaço de trabalho da Biblioteca de Atualizações de Software, expanda as atualizações de Software e selecione o nó de Catálogos de Atualização de Software de Terceiros.
selecione Adicionar Catálogo Personalizado na fita.
Na página Geral, especifique os seguintes itens:
- Baixar URL: Um endereço HTTPS válido do catálogo personalizado.
- Publisher: O nome da organização que publica o catálogo.
- Nome: O nome do catálogo a exibir na Consola do Gestor de Configuração.
- Descrição: Descrição do catálogo.
- URL de suporte (opcional): Um endereço HTTPS válido de um site para obter ajuda com o catálogo.
- Contacto de Suporte (opcional): Contacte as informações para obter ajuda com o catálogo.
Selecione Seguinte para rever o resumo do catálogo e para continuar a completar o Assistente de Catálogo Personalizado de Atualizações de Software de Terceiros.
Subscreva um catálogo de terceiros e sync updates
Quando subscreve um catálogo de terceiros na consola Configuration Manager, os metadados para cada atualização do catálogo são sincronizados nos servidores WSUS para os seus SUPs. A sincronização dos metadados permite aos clientes determinar se alguma das atualizações é aplicável. Execute os seguintes passos para cada catálogo de terceiros ao qual pretende subscrever:
- Na consola 'Gestor de Configuração', aceda ao espaço de trabalho da Biblioteca de Software. Expandir atualizações de software e selecionar o nó de Catálogos de Atualização de Software de Terceiros.
- Selecione o catálogo para subscrever e, em seguida, selecione Subscreva o Catálogo na fita.
- Reveja e aprove o certificado de catálogo na Página de Revisão e aprove a página do assistente.
Nota
Quando subscreve um catálogo de atualização de software de terceiros, o certificado que revê e aprova no assistente é adicionado ao site. Este certificado é do catálogo de atualizações de software de terceiros. Pode geri-lo a partir do nó certificados em Segurança no espaço de trabalho da Administração.
- Se o catálogo de terceiros for v3, serão oferecidas páginas para Selecionar Categorias e Conteúdo de Palco. Para obter mais informações sobre a configuração destas opções, consulte a secção de opções de catálogo v3 de terceiros.
- Escolha as suas opções na página Agendar:
- Horário simples: Escolha o intervalo de hora, dia ou mês. O padrão é um horário simples que sincroniza a cada 7 dias.
- Horário personalizado: Desa estale um horário complexo.
- Reveja as definições na página Resumo e preencha o assistente.
- Após o download do catálogo, os metadados do produto precisam de ser sincronizados a partir da base de dados WSUS na base de dados do Gestor de Configuração. Inicie manualmente a sincronização de atualizações de software para sincronizar as informações do produto.
- Uma vez sincronizada a informação do produto, configuure o SUP para sincronizar o produto desejado no Gestor de Configuração.
- Inicie manualmente a sincronização de atualizações de software para sincronizar as atualizações do novo produto no Gestor de Configuração.
- Quando a sincronização estiver concluída, pode ver as atualizações de terceiros no nó De Todas as Atualizações. Estas atualizações são publicadas como atualizações apenas de metadados até que opte por publicá-las.
- O ícone com a seta azul representa uma atualização de software apenas de metadados.
Publicar e implementar atualizações de software de terceiros
Uma vez que as atualizações de terceiros estejam no nó All Updates, pode escolher quais as atualizações que devem ser publicadas para implementação. Quando publica uma atualização, os ficheiros binários são descarregados do fornecedor e colocados WSUSContent
no diretório no SUP de nível superior.
Na consola 'Gestor de Configuração', aceda ao espaço de trabalho da Biblioteca de Software. Expandir atualizações de software e selecionar o nó de Todas as Atualizações de Software.
Selecione Adicionar Critérios para filtrar a lista de atualizações. Por exemplo, adicione o Fornecedor para HP. para ver todas as atualizações da HP.
Selecione as atualizações que são necessárias pela sua organização. Selecione Publicar conteúdo de atualização de software de terceiros.
- Esta ação descarrega os binários de atualização do fornecedor e depois
WSUSContent
armazena-os no diretório no ponto de atualização de software de alto nível.
- Esta ação descarrega os binários de atualização do fornecedor e depois
Inicie manualmente a sincronização de atualizações de software para alterar o estado das atualizações publicadas apenas para atualizações implantáveis com conteúdo.
Nota
Quando publica conteúdo de atualização de software de terceiros, quaisquer certificados utilizados para assinar o conteúdo são adicionados ao site. Estes certificados são do tipo Conteúdo de Atualizações de Software de Terceiros. Pode geri-los a partir do nó certificados em Segurança no espaço de trabalho da Administração.
Reveja os progressos na SMS_ISVUPDATES_SYNCAGENT.log. O registo encontra-se no ponto de atualização de software de nível superior na pasta registos do sistema de acesso.
Implemente as atualizações utilizando o processo de atualizações de software implementar.
Na página de Localizações de Descarregamento do Assistente de Atualizações de Software de Implementação, selecione a opção padrão para descarregar atualizações de software a partir da internet. Neste cenário, o conteúdo já é publicado no ponto de atualização de software, que é utilizado para descarregar o conteúdo para o pacote de implementação.
Os clientes terão de fazer uma verificação e avaliar as atualizações antes de poder ver os resultados da conformidade. Pode acionar manualmente este ciclo a partir do painel de controlo do Gestor de Configuração num cliente executando a ação do Ciclo de Verificação de Atualizações de Software.
Opções de catálogo v3 de terceiros
Os catálogos V3 permitem atualizações categorizadas. Ao utilizar catálogos que incluam atualizações categorizadas, pode configurar a sincronização para incluir apenas categorias específicas de atualizações para evitar sincronizar todo o catálogo. Com catálogos categorizados, quando estiver confiante de que irá implementar uma categoria, pode configurá-la para descarregar e publicar automaticamente para a WSUS.
Importante
Esta opção só está disponível para catálogos de atualizações de terceiros V3, que suportam categorias para atualizações. Estas opções são desativadas para catálogos que não são publicados no formato V3.
Na consola 'Gestor de Configuração', aceda ao espaço de trabalho da Biblioteca de Software. Expandir atualizações de software e selecionar o nó de Catálogos de Atualização de Software de Terceiros.
Selecione o catálogo para subscrever e selecione Subscreva o Catálogo na fita.
Escolha as suas opções na página 'Selecionar Categorias':
Sincronizar todas as categorias de atualização (padrão)
- Sincroniza todas as atualizações do catálogo de atualizações de terceiros no Gestor de Configuração.
Selecione categorias para sincronização
- Escolha quais categorias e categorias infantis para sincronizar em Gestor de Configuração.
Escolha se deseja encenar conteúdo de atualização para o catálogo. Ao encenar o conteúdo, todas as atualizações nas categorias selecionadas são automaticamente descarregadas para o seu ponto de atualização de software de nível superior, o que significa que não precisa de garantir que já foram descarregadas antes de serem implementadas. Só deve encenar automaticamente o conteúdo para atualizações que é suscetível de as implementar para evitar requisitos excessivos de largura de banda e armazenamento.
- Não encostar o conteúdo do estágio, sincronizar apenas para digitalização (recomendado)
- Não descarregue nenhum conteúdo para atualizações no catálogo de terceiros
- Encenar automaticamente o conteúdo para categorias selecionadas
- Escolha as categorias de atualização que descarregarão automaticamente o conteúdo.
- Os conteúdos para atualizações em categorias selecionadas serão descarregados para o diretório de conteúdos WSUS do ponto de atualização de software de alto nível.
- Não encostar o conteúdo do estágio, sincronizar apenas para digitalização (recomendado)
Desabrar a sua Agenda para sincronização de catálogos e, em seguida, complete o assistente.
Editar uma subscrição existente
Pode editar e existir a subscrição selecionando Propriedades a partir da fita ou do menu de clique à direita.
Importante
Algumas opções só estão disponíveis para catálogos de atualizações de terceiros V3, que suportam categorias para atualizações. Estas opções são desativadas para catálogos que não são publicados no formato V3.
- No nó de Catálogos de Atualização de Software de Terceiros, clique à direita no catálogo e selecione Propriedades ou selecione Propriedades a partir da fita.
- Pode atualizar as seguintes informações a partir do separador Geral:
- Download URL (não editável): O endereço HTTPS do catálogo personalizado.
- Publisher: O nome da organização que publica o catálogo.
- Nome: O nome do catálogo a exibir na Consola do Gestor de Configuração.
- Descrição: Descrição do catálogo.
- URL de suporte (opcional): Um endereço HTTPS válido de um site para obter ajuda com o catálogo.
- Contacto de Suporte (opcional): Contacte as informações para obter ajuda com o catálogo.
- Escolha as suas opções no separador 'Selecionar Categorias'.
- Sincronizar todas as categorias de atualização (padrão)
- Sincroniza todas as atualizações do catálogo de atualizações de terceiros no Gestor de Configuração.
- Selecione categorias para sincronização
- Escolha quais categorias e categorias infantis para sincronizar em Gestor de Configuração.
- Sincronizar todas as categorias de atualização (padrão)
- Escolha as suas opções para o separador de conteúdo da atualização do palco.
- Não encostar o conteúdo do estágio, sincronizar apenas para digitalização (recomendado)
- Não descarregue nenhum conteúdo para atualizações no catálogo de terceiros
- Encenar automaticamente o conteúdo para categorias selecionadas
- Escolha as categorias de atualização que descarregarão automaticamente o conteúdo.
- Os conteúdos para atualizações em categorias selecionadas serão descarregados para o diretório de conteúdos WSUS do ponto de atualização de software de alto nível.
- Não encostar o conteúdo do estágio, sincronizar apenas para digitalização (recomendado)
- Selecione com que frequência sincronizar o catálogo no separador Agendar.
- Horário simples: Escolha o intervalo de hora, dia ou mês.
- Horário personalizado: Desa estale um horário complexo.
Cancelar a subscrição do catálogo e apagar catálogos personalizados
No nó de Catálogos de Atualização de Software de Terceiros, clique à direita no catálogo e selecione Não subscrever para parar de sincronizar o catálogo. Também pode utilizar a opção Desinscrever a partir da fita. Quando se inscreve num catálogo, a aprovação para a assinatura do catálogo e a atualização dos certificados de conteúdo são removidas. As atualizações existentes não são removidas, mas pode não ser capaz de as implementar. Com catálogos personalizados, você também tem a opção de apagá-lo depois de não ter subscrito. Selecione Eliminar Catálogo Personalizado a partir da fita ou do menu de clique à direita para o catálogo. A eliminação do catálogo personalizado remove-o da vista no nó de Catálogos de Atualização de Software de Terceiros.
Monitorização do progresso das atualizações de software de terceiros
A sincronização de atualizações de software de terceiros é tratada pelo componente SMS_ISVUPDATES_SYNCAGENT no ponto de atualização de software predefinido de nível superior. Pode ver mensagens de estado deste componente ou ver o estado mais detalhado no SMS_ISVUPDATES_SYNCAGENT.log. Este registo está no ponto de atualização de software de nível superior na pasta 'Registos' do sistema de sítios. Por predefinição, este caminho é C:\Program Files\Microsoft Configuration Manager\Logs. Para obter mais informações sobre a monitorização do processo geral de gestão da atualização de software, consulte as atualizações de software do Monitor
Listar catálogos adicionais de atualizações de terceiros
Para ajudá-lo a encontrar catálogos personalizados que pode importar para atualizações de software de terceiros, há uma página de documentação com links para fornecedores de catálogos. A partir do Gestor de Configuração 2107, também pode escolher Mais Catálogos da fita no nó de catálogos de atualização de software de terceiros. Clicar à direita no nó de catálogos de atualização de software de terceiros exibe um item de menu Mais Catálogos. A seleção de Mais Catálogos abre um link para uma página de documentação contendo uma lista de fornecedores adicionais de catálogos de atualização de software de terceiros.
Problemas conhecidos
- A máquina onde a consola está a funcionar é utilizada para descarregar as atualizações da WSUS e adicioná-la ao pacote de atualizações. O certificado de assinatura WSUS deve ser confiado na máquina de consola. Caso não seja, poderá ver problemas com a verificação de assinaturas durante o download de atualizações de terceiros.
- O serviço de sincronização de atualização de software de terceiros não pode publicar conteúdo para atualizações apenas de metadados que foram adicionados à WSUS por outra aplicação, ferramenta ou script, como o SCUP. A ação de conteúdo de atualização de software de terceiros falha nestas atualizações. Se precisar de implementar atualizações de terceiros que esta funcionalidade ainda não suporta, utilize o processo existente na íntegra para implementar essas atualizações.
- O Gestor de Configuração tem uma nova versão para o formato de ficheiro de cabine de catálogo. A nova versão inclui os certificados para os ficheiros binários do fornecedor. Estes certificados são adicionados ao nó certificados em Segurança no espaço de trabalho da Administração assim que aprovar e confiar no catálogo.
- Você ainda pode usar a versão de arquivo de táxi de catálogo mais antigo, desde que o URL de descarregamento seja https e as atualizações sejam assinadas. O conteúdo não será publicado porque os certificados para os binários não estão no ficheiro da cabine e já estão aprovados. Pode contornar este problema encontrando o certificado no nó certificados, desbloqueando-o e publicando novamente a atualização. Se estiver a publicar várias atualizações assinadas com certificados diferentes, terá de desbloquear cada certificado utilizado.
- Para obter mais informações, consulte as mensagens de estado 11523 e 11524 na tabela de mensagens de estado abaixo.
- Quando o serviço de sincronização de atualização de software de terceiros no ponto de atualização de software de nível superior requer um servidor proxy para acesso à Internet, as verificações de assinaturas digitais podem falhar. Para mitigar este problema, configufique as definições de procuração winHTTP no sistema de site. Para obter mais informações, consulte os comandos netsh para WinHTTP.
- Ao utilizar um CMG para armazenamento de conteúdos, o conteúdo para atualizações de terceiros não será descarregado para os clientes se o conteúdo delta do Download quando estiver ativado.
- Se o fornecedor de catálogos tiver alterado o certificado de assinatura do catálogo desde a última vez que o aprovou ou subscreveu, a sincronização do catálogo falhará até que a certificação seja aprovada no nó de Certificados. Para obter mais informações, consulte o MessageID 11508 na tabela de mensagens de estado.
Mensagens de estado
MessageID | Gravidade | Descrição | Causa possível | Solução possível |
---|---|---|---|---|
11508 | Erro | Falha ao verificar a assinatura do < nome do catálogo> à WSUS. Certifique-se de que o catálogo está subscrito e que o certificado de catálogo <> não está bloqueado. Consulte SMS_ISVUPDATES_SYNCAGENT.log para mais detalhes. | A certificação de assinatura no catálogo pode ter mudado uma vez que foi originalmente subscrita ou aprovada pela última vez. | Certifique-se de rever e aprovar o certificado no nó certificados para permitir que o catálogo se sincronize. |
11516 | Erro | Não conseguiu publicar conteúdo para atualização "Update ID" porque o conteúdo não está assinado. Só podem ser publicados conteúdos com assinaturas válidas. | O Gestor de Configuração não permite que sejam publicadas atualizações não assinadas. | Publique a atualização de forma alternativa. Veja se uma atualização assinada está disponível no fornecedor. |
11523 | Aviso | O catálogo "X" não inclui certificados de assinatura de conteúdo, as tentativas de publicação de conteúdo de atualização para atualizações deste catálogo podem não ter sucesso até que os certificados de assinatura de conteúdo sejam adicionados e aprovados. | Esta mensagem pode ocorrer quando importa um catálogo que está a usar uma versão mais antiga do formato de ficheiro de cabine. | Contacte o fornecedor de catálogos para obter um catálogo atualizado que inclua os certificados de assinatura de conteúdo. Os certificados para as binários não estão incluídos no ficheiro da cabine, pelo que o conteúdo não será publicado. Pode contornar este problema encontrando o certificado no nó certificados, desbloqueando-o e publicando novamente a atualização. Se estiver a publicar várias atualizações assinadas com certificados diferentes, terá de desbloquear cada certificado utilizado. |
11524 | Erro | Não conseguiu publicar a atualização "ID" devido à falta de metadados de atualização. | A atualização pode ter sido sincronizada para a WSUS fora do Gestor de Configuração. | Sincronizar a atualização com o Gestor de Configuração antes de tentar publicar o seu conteúdo. Se uma ferramenta externa foi utilizada para publicar a atualização apenas como Metadados, utilize a mesma ferramenta para publicar o conteúdo da atualização. |
Trabalhar com o vídeo de atualizações de terceiros
PowerShell
Pode utilizar os seguintes cmdlets PowerShell para automatizar a gestão de atualizações de terceiros no Gestor de Configuração:
- Get-CMThirdPartyUpdateCatalog
- Novo CMThirdPartyUpdateCatalog
- Remover-CMThirdPartyUpdateCatalog
- Set-CMThirdPartyUpdateCatalog
- Publish-CMThirdPartySoftwareUpdateContent
- Get-CMThirdPartyUpdateCategoria
- Set-CMThirdPartyUpdateCategoria