Установка и настройка точки обновления программного обеспечения
Относится к Configuration Manager (Current Branch)
Важно!
Перед установкой роли системы сайта (SUP) точки обновления программного обеспечения необходимо убедиться, что сервер соответствует необходимым зависимостям и определяет инфраструктуру точек обновления программного обеспечения на сайте. Дополнительные сведения о планировании обновлений программного обеспечения и определении инфраструктуры точек обновления программного обеспечения см. в разделе Планирование обновлений программного обеспечения.
Точка обновления программного обеспечения необходима на сайте центра администрирования и на первичных сайтах, чтобы обеспечить оценку соответствия обновлений программного обеспечения и развернуть обновления программного обеспечения на клиентах. Точка обновления программного обеспечения необязательна на вторичных сайтах. Роль системы сайта точки обновления программного обеспечения должна быть создана на сервере, на котором установлены службы WSUS. Точка обновления программного обеспечения взаимодействует со службами WSUS для настройки параметров обновления программного обеспечения и запроса синхронизации метаданных обновлений программного обеспечения. При наличии иерархии Configuration Manager сначала установите и настройте точку обновления программного обеспечения на сайте центра администрирования, затем на дочерних первичных сайтах, а затем при необходимости на вторичных сайтах. Если у вас есть автономный первичный сайт, а не сайт центра администрирования, сначала установите и настройте точку обновления программного обеспечения на первичном сайте, а затем при необходимости на вторичных сайтах. Некоторые параметры доступны только при настройке точки обновления программного обеспечения на сайте верхнего уровня. В зависимости от того, где установлена точка обновления программного обеспечения, необходимо учитывать различные варианты.
Важно!
- На сайте можно установить несколько точек обновления программного обеспечения. Первая устанавливаемая точка обновления программного обеспечения настраивается в качестве источника синхронизации, который синхронизирует обновления из Майкрософт Update или из вышестоящего источника синхронизации. Другие точки обновления программного обеспечения на сайте настраиваются как реплики первой точки обновления программного обеспечения. Поэтому некоторые параметры недоступны после установки и настройки начальной точки обновления программного обеспечения.
- Не поддерживается установка роли системы сайта точки обновления программного обеспечения на сервере, который был настроен и используется в качестве автономного сервера WSUS, или использовать точку обновления программного обеспечения для непосредственного управления клиентами WSUS. Существующие серверы WSUS поддерживаются только в качестве вышестоящих источников синхронизации для активной точки обновления программного обеспечения. См . раздел Синхронизация из вышестоящего источника данных.
Вы можете добавить роль системы сайта точки обновления программного обеспечения на существующий сервер системы сайта или создать новую. На странице Выбор системной ролимастера создания сервера системы сайта или мастера добавления ролей системы сайта в зависимости от того, добавляется ли роль системы сайта на новый или существующий сервер сайта, выберите Точка обновления программного обеспечения, а затем настройте параметры точки обновления программного обеспечения в мастере. Параметры различаются в зависимости от используемой версии Configuration Manager. Дополнительные сведения об установке ролей системы сайта см. в разделе Установка ролей системы сайта.
Сведения о параметрах точки обновления программного обеспечения на сайте см. в следующих разделах.
Параметры прокси-сервера
Параметры прокси-сервера можно настроить на разных страницах мастера создания сервера системы сайта или мастера добавления ролей системы сайта в зависимости от используемой версии Configuration Manager.
Необходимо настроить прокси-сервер, а затем указать, когда следует использовать прокси-сервер для обновлений программного обеспечения. Настройте указанные ниже параметры.
Настройте параметры прокси-сервера на странице Прокси мастера или на вкладке Прокси-сервер в разделе Свойства системы сайта. Параметры прокси-сервера зависят от системы сайта. Это означает, что все роли системы сайта используют указанные параметры прокси-сервера.
Укажите, следует ли использовать прокси-сервер, когда Configuration Manager синхронизирует обновления программного обеспечения и загружает содержимое с помощью правила автоматического развертывания. Настройте параметры прокси-сервера точки обновления программного обеспечения на странице Параметры прокси-сервера и учетной записи мастера или на вкладке Параметры прокси-сервера и учетной записи в разделе Свойства точки обновления программного обеспечения.
Параметр Использовать прокси-сервер при скачивании содержимого с помощью правил автоматического развертывания доступен, но он не используется для точки обновления программного обеспечения на вторичном сайте. Только точка обновления программного обеспечения на сайте центра администрирования и первичном сайте скачивает содержимое со страницы обновления Майкрософт.
По умолчанию учетная запись локальной системы для сервера, на котором было создано правило автоматического развертывания, используется для подключения к Интернету и скачивания обновлений программного обеспечения при выполнении правил автоматического развертывания. Если у этой учетной записи нет доступа к Интернету, не удается скачать обновления программного обеспечения и в журнал ruleengine.log записывается следующая запись: Не удалось скачать обновление из Интернета. Ошибка = 12007. Настройте учетные данные для подключения к прокси-серверу, если у учетной записи локальной системы нет доступа к Интернету.
Параметры WSUS
Параметры WSUS необходимо настроить на разных страницах мастера создания сервера системы сайта или мастера добавления ролей системы сайта в зависимости от используемой версии Configuration Manager, а в некоторых случаях — только в свойствах точки обновления программного обеспечения, также называемой свойствами компонента точки обновления программного обеспечения. Используйте сведения, приведенные в следующих разделах, чтобы настроить параметры WSUS.
Важно!
Чтобы обеспечить наличие наилучших протоколов безопасности, настоятельно рекомендуется использовать протокол TLS/SSL для защиты инфраструктуры обновлений программного обеспечения. Начиная с накопительного обновления за сентябрь 2020 г. серверы WSUS на основе HTTP будут по умолчанию защищены. Клиент, проверяющий наличие обновлений для СЛУЖБ WSUS на основе HTTP, больше не будет разрешено использовать прокси-сервер пользователя по умолчанию. Если вам по-прежнему требуется пользовательский прокси-сервер, несмотря на компромиссы по безопасности, доступен новый параметр клиента обновлений программного обеспечения , позволяющий разрешить эти подключения. Дополнительные сведения об изменениях для проверки WSUS см. в статье Изменения, внесенные в систему для повышения безопасности устройств Windows, сканирующих WSUS, за сентябрь 2020 г.
Параметры порта WSUS
Необходимо настроить параметры порта WSUS на странице Точки обновления программного обеспечения мастера или в свойствах точки обновления программного обеспечения. Чтобы определить параметры порта, используемые WSUS, выполните следующую процедуру:
Определение параметров порта, используемых в IIS
- На сервере WSUS откройте диспетчер служб IIS.
- Разверните узел Сайты, выберите сайт администрирования WSUS , а затем выберите Привязки в области Действия . В диалоговом окне Привязки сайта значения портов HTTP и HTTPS отображаются в столбце Порт .
Настройка ssl-связи с WSUS
Чтобы обеспечить наличие наилучших протоколов безопасности, настоятельно рекомендуется использовать протокол TLS/SSL для защиты инфраструктуры обновлений программного обеспечения. Вы можете настроить ssl-связь на странице точки обновления программного обеспечения мастера или на вкладке Общие в свойствах точки обновления программного обеспечения. Прежде чем выбрать параметр Требовать ssl-связь с сервером WSUS для sup, убедитесь, что вы включили ssl-связь на серверах WSUS.
Дополнительные сведения об использовании SSL см. в разделах Решение о настройке WSUS для использования SSL и Настройка точки обновления программного обеспечения для использования TLS/SSL с PKI-сертификатом.
Разрешить трафик шлюза управления облаком
Вы можете включить точку обновления программного обеспечения для приема сообщений от клиентов в Интернете через шлюз управления облаком (CMG). Дополнительные сведения об этом параметре см. в разделе Настройка ролей, доступных для клиента, для трафика ШЛЮЗА управления облачными клиентами.
Настройка скорости скачивания для использования неиспользуемой пропускной способности сети (Windows LEDBAT)
(Представлено в версии 2203)
Начиная с Configuration Manager версии 2203, вы можете включить фоновый транспорт Windows с низкой дополнительной задержкой (LEDBAT) для точек обновления программного обеспечения, работающих Windows Server 2016 или более поздней версии. LEDBAT настраивает скорость загрузки во время сканирования клиента в wsus, чтобы контролировать перегрузку сети.
Если система сайта имеет роли точки распространения и точки обновления программного обеспечения, вы можете настроить LEDBAT независимо для ролей. Например, если включить LEDBAT только для роли точки распространения, то роль точки обновления программного обеспечения не наследует ту же конфигурацию.
Чтобы использовать LEDBAT для sups, которые выполняются Windows Server 2016 или более поздней версии, включите параметр Настроить скорость загрузки для использования неиспользуемой пропускной способности сети (Windows LEDBAT) из одного из следующих расположений:
- На странице Точка обновления программного обеспечения мастера установки точки обновления программного обеспечения
- На вкладке Общие свойств точки обновления программного обеспечения
Дополнительные общие сведения о Windows LEDBAT см. в статье Основные понятия для управления содержимым.
Учетная запись подключения сервера WSUS
Вы можете настроить учетную запись для использования сервером сайта при подключении к WSUS, запущенным в точке обновления программного обеспечения. Если эта учетная запись не настроена, Configuration Manager использует учетную запись компьютера для подключения сервера сайта к WSUS. Настройте учетную запись подключения сервера WSUS на странице Параметры прокси-сервера и учетной записи мастера или на вкладке Параметры прокси-сервера и учетной записи в разделе Свойства точки обновления программного обеспечения. Учетную запись можно настроить в разных местах мастера в зависимости от используемой версии Configuration Manager.
Дополнительные сведения об учетных записях Configuration Manager см. в разделе Используемые учетные записи.
Источник синхронизации
Вышестоящий источник синхронизации для синхронизации обновлений программного обеспечения можно настроить на странице Источник синхронизации мастера или на вкладке Параметры синхронизации в разделе Свойства компонента точки обновления программного обеспечения. Параметры источника синхронизации зависят от сайта.
Используйте следующую таблицу для доступных параметров при настройке точки обновления программного обеспечения на сайте.
Site | Доступные параметры источника синхронизации |
---|---|
— сайт центра администрирования — Автономный первичный сайт |
— Синхронизация с веб-сайта обновления Майкрософт — Синхронизация из вышестоящего источника данных — не синхронизируйте данные из Майкрософт Update или вышестоящего источника данных. |
— дополнительные точки обновления программного обеспечения на сайте — дочерний первичный сайт — Вторичный сайт |
— Синхронизация из вышестоящего источника данных |
В следующем списке приведены дополнительные сведения о каждом варианте, который можно использовать в качестве источника синхронизации.
Синхронизация из обновления Майкрософт. Используйте этот параметр для синхронизации метаданных обновлений программного обеспечения из обновления Майкрософт. Сайт центра администрирования должен иметь доступ к Интернету; В противном случае синхронизация завершится ошибкой. Этот параметр доступен только при настройке точки обновления программного обеспечения на сайте верхнего уровня.
При наличии брандмауэра между точкой обновления программного обеспечения и Интернетом может потребоваться настроить брандмауэр для приема портов HTTP и HTTPS, используемых для веб-сайта WSUS. Вы также можете ограничить доступ к брандмауэру ограниченными доменами. Дополнительные сведения о планировании брандмауэра, поддерживающего обновления программного обеспечения, см. в разделе Настройка брандмауэров.
Если вы предоставляете общий доступ к базе данных WSUS, имейте в виду, что Configuration Manager случайным образом выбирает точку обновления программного обеспечения между внешними серверами WSUS. Убедитесь, что для каждого сервера WSUS выполнены требования к доступу в Интернет . Если требования к доступу к Интернету не выполнены, могут возникнуть сбои синхронизации. На сайте верхнего уровня могут отображаться различные точки обновления программного обеспечения, синхронизирующиеся с Майкрософт.
Синхронизация из вышестоящего источника данных. Используйте этот параметр для синхронизации метаданных обновлений программного обеспечения из вышестоящего источника синхронизации. Дочерние первичные и вторичные сайты автоматически настраиваются на использование URL-адреса родительского сайта для этого параметра. Вы можете синхронизировать обновления программного обеспечения с существующего сервера WSUS. Укажите URL-адрес, например
https://WSUSServer:8531
, где 8531 — это порт, используемый для подключения к серверу WSUS.Не синхронизируйте данные из Майкрософт Update или вышестоящего источника данных. Используйте этот параметр для синхронизации обновлений программного обеспечения вручную, когда точка обновления программного обеспечения на сайте верхнего уровня отключена от Интернета. Дополнительные сведения см. в статье Синхронизация обновлений программного обеспечения с отключенной точки обновления программного обеспечения.
Вы также можете настроить создание событий отчетов WSUS на странице Источник синхронизации мастера или на вкладке Параметры синхронизации в разделе Свойства компонента точки обновления программного обеспечения. Configuration Manager эти события не используются. Поэтому обычно вы выбираете параметр по умолчанию Не создавать события отчетов WSUS.
Расписание синхронизации
Настройте расписание синхронизации на странице Расписание синхронизации мастера или в свойствах компонента точки обновления программного обеспечения. Этот параметр настраивается только в точке обновления программного обеспечения на сайте верхнего уровня.
Если включить расписание, можно настроить повторяющееся простое или настраиваемое расписание синхронизации. При настройке простого расписания время запуска зависит от локального времени компьютера, на котором запущена консоль Configuration Manager во время создания расписания. При настройке времени запуска для настраиваемого расписания оно зависит от местного времени для компьютера, на котором запущена консоль Configuration Manager.
Совет
- Запланируйте синхронизацию обновлений программного обеспечения для выполнения с использованием интервала времени, подходящего для вашей среды. Одним из типичных сценариев является установка расписания синхронизации обновлений программного обеспечения для запуска вскоре после Майкрософт регулярного выпуска обновлений для системы безопасности во второй вторник каждого месяца, который обычно называется вторником исправлений. Другой типичный сценарий — задать расписание синхронизации обновлений программного обеспечения, которое будет выполняться ежедневно при использовании обновлений программного обеспечения для доставки определений Endpoint Protection и обновлений ядра.
- Если вы решили не включать синхронизацию обновлений программного обеспечения по расписанию, вы можете вручную синхронизировать обновления программного обеспечения из узла Все Обновления программного обеспечения или Группы обновлений программного обеспечения в рабочей области Библиотека программного обеспечения. Дополнительные сведения см. в статье Синхронизация обновлений программного обеспечения.
Правила замены
Настройте параметры замены на странице Правила замены мастера или на вкладке Правила замены в разделе Свойства компонента точки обновления программного обеспечения. Правила замены можно настроить только на сайте верхнего уровня. Вы также можете указать поведение правил замены для обновлений компонентов отдельно от обновлений, не относящихся к функциям.
Примечание.
Страница Правила замены мастера доступна только при настройке первой точки обновления программного обеспечения на сайте. Эта страница не отображается при установке дополнительных точек обновления программного обеспечения.
На этой странице можно указать, когда истек срок действия заменяемых обновлений программного обеспечения в Configuration Manager, что предотвращает их включение в новые развертывания и помечает существующие развертывания, чтобы указать, что заменяемые обновления программного обеспечения содержат одно или несколько обновлений программного обеспечения с истекшим сроком действия. Вы можете указать период времени до истечения срока действия заменяемых обновлений программного обеспечения, что позволяет продолжить их развертывание. Дополнительные сведения см. в разделе Правила замены.
По умолчанию подождать 3 месяца до истечения срока действия заменяемого обновления. 3 месяца по умолчанию — это время, чтобы убедиться, что обновление больше не требуется ни одному из клиентских компьютеров. Рекомендуется не предполагать, что срок действия заменяемых обновлений должен быть немедленно истек в пользу нового заменяющего обновления. Список обновлений программного обеспечения, заменяющих обновление программного обеспечения, можно отобразить на вкладке Сведения о замене в свойствах обновления программного обеспечения.
Обслуживание WSUS
Configuration Manager может автоматически выполнять наиболее распространенные задачи обслуживания WSUS. Дополнительные сведения об этих задачах см. в разделе Обслуживание обновлений программного обеспечения.
Максимальное время выполнения
Вы можете указать максимальный период времени, в течение которого необходимо выполнить установку обновлений программного обеспечения. Максимальное время выполнения можно указать для следующего:
Максимальное время выполнения обновлений компонентов Windows (в минутах)
-
Обновления компонентов — обновление, которое находится в одной из следующих трех классификаций:
- Обновления
- Накопительные пакеты обновления
- Пакеты обновления
-
Обновления компонентов — обновление, которое находится в одной из следующих трех классификаций:
Максимальное время выполнения обновлений Office 365 и обновлений, не относящихся к функциям, для Windows (в минутах)
-
Обновления, не относящиеся к функциям. Обновление, которое не является обновлением компонентов и продукт которого указан как один из следующих:
- Windows 11
- Windows 10 (все версии)
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Office 365
-
Обновления, не относящиеся к функциям. Обновление, которое не является обновлением компонентов и продукт которого указан как один из следующих:
Максимальное время выполнения для всех других обновлений программного обеспечения за пределами этих категорий, таких как сторонние обновления (в минутах). Максимальное время выполнения этих обновлений по умолчанию зависит от того, когда обновление было впервые синхронизировано с средой и Configuration Manager версии. Используйте корзину ниже, чтобы определить максимальное значение среды выполнения для этих обновлений:
2203 или более поздней версии 2103, 2107 или 2111 2010 Максимальное время выполнения для всех остальных обновлений программного обеспечения можно настроить. Значение по умолчанию: 60 минут. 60 минут 10 минут Важно!
- Этот параметр изменяет только максимальную среду выполнения для новых обновлений, синхронизированных в SUP. Время выполнения для существующих обновлений, синхронизированных до изменения времени выполнения, не изменяется. Например, если
Update 1
сначала была синхронизирована со средой 2111, то максимальное время выполнения составляет 60 минут. Затем обновите среду до версии 2203 и установите максимальное время выполнения 30 минут.Update 1
сохраняет 60-минутную среду выполнения. Однако при синхронизацииUpdate 2
нового обновления ему предоставляется 30-минутное время выполнения. - Если необходимо изменить максимальное время выполнения обновления вручную, можно настроить для него параметры обновления программного обеспечения .
- Этот параметр изменяет только максимальную среду выполнения для новых обновлений, синхронизированных в SUP. Время выполнения для существующих обновлений, синхронизированных до изменения времени выполнения, не изменяется. Например, если
Классификации
Настройте параметры классификаций на странице Классификации мастера или на вкладке Классификации в разделе Свойства компонента точки обновления программного обеспечения. Дополнительные сведения о классификациях обновлений программного обеспечения см. в разделе Классификации обновлений.
Совет
- Страница "Классификации " мастера доступна только при настройке первой точки обновления программного обеспечения на сайте. Эта страница не отображается при установке дополнительных точек обновления программного обеспечения.
- При первой установке точки обновления программного обеспечения на сайте верхнего уровня очистите все классификации обновлений программного обеспечения. После начальной синхронизации обновлений программного обеспечения настройте классификации из обновленного списка, а затем повторно инициируйте синхронизацию. Этот параметр настраивается только в точке обновления программного обеспечения на сайте верхнего уровня.
Продукты
Настройте параметры продукта на странице Продукты мастера или на вкладке Продукты в разделе Свойства компонента точки обновления программного обеспечения.
Совет
- Страница "Продукты " мастера доступна только при настройке первой точки обновления программного обеспечения на сайте. Эта страница не отображается при установке дополнительных точек обновления программного обеспечения.
- При первой установке точки обновления программного обеспечения на сайте верхнего уровня очистите все продукты. После начальной синхронизации обновлений программного обеспечения настройте продукты из обновленного списка, а затем повторно инициируйте синхронизацию. Этот параметр настраивается только в точке обновления программного обеспечения на сайте верхнего уровня.
Языки
Настройте языковые параметры на странице Языки мастера или на вкладке Языки в разделе Свойства компонента точки обновления программного обеспечения. Укажите языки, для которых требуется синхронизировать файлы обновлений программного обеспечения, и сводные сведения. Параметр Файл обновления программного обеспечения настраивается в каждой точке обновления программного обеспечения в иерархии Configuration Manager. Параметры Сводки сведений настраиваются только в точке обновления программного обеспечения верхнего уровня. Дополнительные сведения см. в разделе Языки.
Примечание.
Страница Языки мастера доступна только при установке точки обновления программного обеспечения на сайте центра администрирования. Вы можете настроить языки файлов обновления программного обеспечения на дочерних сайтах на вкладке Языки в разделе Свойства компонента точки обновления программного обеспечения.
Сторонние обновления
Вы можете включить сторонние обновления для Configuration Manager клиентов. При включении обновлений стороннего программного обеспечения в свойствах компонента SUP приложение SUP загрузит сертификат подписи, используемый WSUS для сторонних обновлений. Этот параметр недоступен во время установки точки обновления программного обеспечения и должен быть настроен после установки SUP. Чтобы включить параметры клиента для сторонних обновлений, см. статью О параметрах клиента .
Дальнейшие действия
Вы установили точку обновления программного обеспечения, начиная с самого верхнего сайта в иерархии Configuration Manager. Повторите действия, описанные в этой статье, чтобы установить точку обновления программного обеспечения на дочерних сайтах.
После установки точек обновления программного обеспечения перейдите к синхронизации обновлений программного обеспечения.