Планирование установки точки обновления программного обеспечения

Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Перед созданием в Configuration Manager 2007 роли системы сайта активной точки обновления программного обеспечения необходимо учесть ряд требований, зависящих от инфраструктуры Configuration Manager. С этим разделом особенно важно ознакомиться, если активная точка обновления программного обеспечения Configuration Manager 2007 будет настроена для обмена данными по протоколу SSL или если сервер сайта будет работать в основном режиме, потому что для правильной работы точек обновления программного обеспечения в иерархии необходимо выполнить дополнительные действия. В этом разделе описываются все действия, необходимые для успешного планирования и подготовки к установке точки обновления программного обеспечения. Инфраструктура точек обновления программного обеспечения должна быть определена до установки точек обновления программного обеспечения в иерархии. Дополнительные сведения см. в разделе Определение инфраструктуры точки обновления программного обеспечения.

Важно!

Если сайт работает в основном режиме, перед выполнением тех действий, которые описаны в этом разделе, убедитесь в выполнении всех требований основного режима. Дополнительные сведения см. в разделе Настройка основного режима.

Требования к системе точки обновления программного обеспечения.

На компьютере, соответствующем минимальным требованиям служб обновления Windows Server Update Services (WSUS) 3.0, должна быть установлена системная роль сайта точки обновления программного обеспечения. Дополнительные сведения о минимальных требованиях см. в разделе "Требования для установки WSUS 3.0" на веб-узле TechNet (https://go.microsoft.com/fwlink/?LinkId=99233).

Примечание

Для Configuration Manager 2007 с пакетом обновления 1 (SP1) требуются службы WSUS 3.0 с пакетом обновления 1 (SP1) или WSUS 3.0 с пакетом обновления 2 (SP2). Службы WSUS 3.0 с пакетом обновления 2 (SP2) требуются для поддержки в Configuration Manager 2007 с пакетом обновления 2 (SP2) управления обновлениями программного обеспечения для операционных систем Windows 7 и Windows Server 2008 R2.

Установка WSUS на серверы

Для работы функции обновления программного обеспечения необходимо, чтобы на всех серверах системы сайта, настроенных для роли системы сайта точки обновления программного обеспечения, были установлены службы WSUS 3.0. Кроме того, если активная точка обновления программного обеспечения удалена c сервера сайта, а службы WSUS 3.0 еще не установлены, на компьютере сервера сайта должна быть установлена консоль администрирования WSUS 3.0.

Консоль администрирования WSUS 3.0

Консоль администрирования WSUS 3.0 должна быть установлена на сервере сайта в том случае, если точка обновления программного обеспечения будет устанавливаться на сервер системы удаленного сайта. Это позволит серверу сайта обмениваться данными с компонентами WSUS на компьютере системы сайта активной точки обновления программного обеспечения. Пошаговые процедуры установки консоли администрирования WSUS 3.0 см. в разделе Установка консоли администрирования служб Windows Server Update Services 3.0.

Полная установка WSUS 3.0

Прежде чем системную роль сайта точки обновления программного обеспечения можно будет успешно добавить на сервер системы сайта, должны быть уставлены службы WSUS 3.0. Если кластер балансировки сетевой нагрузки используется в качестве активной точки обновления программного обеспечения или активной интернет-точки обновления программного обеспечения, на всех серверах системы сайта, определенных в кластере, должна быть выполнена полная установка WSUS 3.0. Дополнительные сведения о точке обновления программного обеспечения в иерархии, на которую нужно установить эту системную роль сайта, а также о необходимости использования кластера балансировки сетевой нагрузки (NLB — Network Load Balancing) в качестве активной точки обновления программного обеспечения см. в разделе Определение инфраструктуры точки обновления программного обеспечения. Пошаговые процедуры установки WSUS 3.0 для обновления программного обеспечения см. в разделе Установка служб обновлений Windows Server Update Services 3.0.

Использование веб-сайта WSUS 3.0

Во время установки WSUS 3.0 можно выбрать, использовать ли веб-сайт по умолчанию, используемый службами IIS, или создать веб-сайт WSUS 3.0. Рекомендуется создать веб-сайт WSUS 3.0, чтобы веб-сервер IIS размещал службы WSUS 3.0 на выделенном веб-сайте, а не на общем, используемом другими системами сайта Configuration Manager 2007 или другими приложениями. Это особенно актуально при установке точки обновления программного обеспечения на сервер сайта. Если для WSUS 3.0 используется пользовательский веб-сайт, по умолчанию для протокола HTTP используется порт 8530, а для протокола HTTPS (SSL) — порт 8531. Эти параметры портов необходимо будет указать при создании активной точки обновления программного обеспечения для сайта.

Локальное хранение обновлений программного обеспечения на WSUS-сервере

Во время установки WSUS 3.0 необходимо установить флажок Хранить обновления локально, чтобы в процессе синхронизации все условия лицензии, связанные с обновлениями программного обеспечения, загружались и сохранялись на локальном жестком диске для WSUS-сервера. Если этот флажок не установлен, может произойти сбой при выполняемом клиентскими компьютерами сканировании на совместимость обновлений программного обеспечения, на которые распространяются условия лицензии. Если установлена активная точка обновления программного обеспечения, параметр WSUS Хранить обновления локально настроен автоматически, а диспетчер синхронизации WSUS по умолчанию каждые 60 минут проверяет, чтобы он был включен.

Использование существующего WSUS-сервера в качестве точки обновления программного обеспечения

Можно использовать WSUS-сервер, который был активным в среде до установки Configuration Manager 2007, но клиентские компьютеры, подключающиеся ко WSUS-серверу, будут искать все обновления в базе данных WSUS. В результате клиентские компьютеры могут вернуть сведения о состоянии соответствия для обновлений программного обеспечения, находящихся вне настроенных классификаций, категорий и языков. Перед использованием существующего WSUS-сервера в качестве системы сайта активной точки обновления программного обеспечения рекомендуется по возможности удалить из базы данных WSUS метаданные обновлений программного обеспечения. WSUS-сервер будет синхронизироваться с метаданными новых обновлений программного обеспечения на основании параметров, настроенных для активной точки обновления программного обеспечения.

WSUS-сервер, настроенный как сервер-реплика

При создании роли системы сайта активной точки обновления программного обеспечения на сервере основного сайта нельзя использовать WSUS-сервер, настроенный как реплика вышестоящего сервера. Если WSUS-сервер настроен как реплика, Configuration Manager не удастся настроить WSUS-сервер и произойдет сбой синхронизации WSUS. Если активная точка обновления программного обеспечения создается на дополнительном сайте, WSUS настраивается как сервер-реплика для WSUS-сервера, работающего в активной точке обновления программного обеспечения на родительском основном сайте. Сведения по устранению неполадок см. в разделе Устранение неполадок настройки точки обновления программного обеспечения.

Добавление сертификата веб-сервера на пользовательский веб-сайт

Если сервер сайта Configuration Manager 2007 работает в основном режиме или если активная точка обновления программного обеспечения настроена для использования SSL, веб-сайту, используемому WSUS, должен быть назначен сертификат подписи веб-сервера. Если WSUS-сервер использует пользовательский веб-сайт (рекомендуемая настройка), веб-сайту WSUS должен быть назначен сертификат веб-сервера, в котором имя субъекта или альтернативное имя субъекта содержит полное доменное имя в Интернете. На вышестоящем WSUS-сервере должен находиться такой же сертификат; в противном случае при обмене данными между серверами по SSL произойдет сбой. Сертификат также должен находиться в папке "Доверенные корневые центры сертификации" хранилища сертификатов для компьютеров на каждом клиентском компьютере, прежде чем они смогут получить доступ к веб-сайту WSUS.

Если сервер сайта работает в основном режиме, сертификат веб-сервера, используемый для систем сайта Configuration Manager, может быть назначен веб-сайту WSUS. В ином случае, если WSUS использует тот же веб-сайт, что и сервер сайта Configuration Manager 2007, и сервер сайта настроен для основного режима, используемому по умолчанию веб-сайту уже может быть назначен соответствующий сертификат веб-сервера. Сертификат по-прежнему должен быть размещен на вышестоящем WSUS-сервере, но он уже должен находиться в локальном хранилище на клиентских компьютерах.

Пошаговую процедуру добавления сертификата веб-сервера на веб-сайт WSUS см. в разделе Добавление сертификата веб-сервера на пользовательский веб-сайт WSUS. Дополнительные сведения о добавлении сертификата веб-сервера в системы сайта Configuration Manager 2007 см. в разделе Развертывание сертификатов веб-сервера на серверах системы сайта.

Настройка SSL на WSUS-сервере

Если сервер сайта работает в основном режиме или если активная точка обновления программного обеспечения настроена для использования SSL, на WSUS-сервере должны быть настроены параметры IIS для активной точки обновления программного обеспечения и активной интернет-точки обновления программного обеспечения (при соответствующей настройке). Для использования SSL необходимо настроить каждый из перечисленных ниже виртуальных каталогов.

• APIRemoting30

• ClientWebService

• DSSAuthWebService

• ServerSyncWebService

• SimpleAuthWebService

Для работы функции обновления программного обеспечения необходимо настроить для использования SSL перечисленные ниже виртуальные каталоги.

• Content

• Инвентаризация

• ReportingWebService

• SelfUpdate

После настройки виртуальных каталогов нужно запустить программу WSUSUtil, чтобы компонент WSUS для наблюдения за работоспособностью определил необходимость использования SSL. На WSUS-сервере необходимо запустить следующую команду: WSUSUtil.exe configuressl*<Имя в сертификате подписи веб-сервера>*. Пошаговую процедуру настройки виртуальных корневых каталогов для использования защищенного канала см. в разделе Настройка веб-сайта WSUS на использование протокола SSL.

Сертификаты на клиентских компьютерах

Если сервер сайта работает в основном режиме или если активная точка обновления программного обеспечения настроена для использования SSL, на каждом клиентском компьютере в локальном хранилище "Доверенные корневые центры сертификации" должен находиться сертификат, настроенный для веб-сайта WSUS. Если сертификат отсутствует в хранилище "Доверенные корневые центры сертификации", произойдет сбой при выполняемом клиентскими компьютерами сканировании на совместимость обновлений программного обеспечения. Дополнительные сведения см. в разделе Развертывание доверенного корневого центра сертификации на компьютерах Configuration Manager.

Настройка брандмауэров

Обновления программного обеспечения на центральном сайте Configuration Manager 2007 обмениваются данными с сервером WSUS, работающим в системе сайта активной точки обновления программного обеспечения, который, в свою очередь, обменивается данными с Центром обновления Майкрософт для синхронизации метаданных обновлений программного обеспечения. Дочерние сайты обмениваются данными с активной точкой обновления программного обеспечения, настроенной для родительского сайта. Если на сайте имеется активная интернет-точка обновления программного обеспечения, сервер сайта должен обмениваться данными с этой точкой, а сама точка для успешной синхронизации должна обмениваться данными с активной точкой обновления программного обеспечения сайта.

Если между активной точкой обновления программного обеспечения Configuration Manager 2007 и Интернетом, между активной точкой обновления программного обеспечения и вышестоящим сервером или между активной интернет-точкой обновления программного обеспечения и активной точкой обновления программного обеспечения для данного сайта имеется брандмауэр, возможно, в нем потребуется открыть порты HTTP или HTTPS, используемые веб-сайтом WSUS. Интернет-точка обновления программного обеспечения подключается к активной точке обновления программного обеспечения по протоколу HTTP в ходе процесса синхронизации. Если политика безопасности не допускает подключения по протоколу HTTPS от интернет-точки обновления программного обеспечения к активной точке обновления программного обеспечения в интрасети, необходимо использовать способ синхронизации с экспортом и импортом. Дополнительные сведения см. в разделе Синхронизация обновлений с помощью импорта и экспорта. По умолчанию сервер WSUS, настроенный для веб-сайта по умолчанию, использует для протокола HTTP порт 80, а для протокола HTTPS — порт 443. По умолчанию, если сервер WSUS использует нестандартный веб-сайт WSUS, для протокола HTTP используется порт 8530, а для протокола HTTPS — порт 8531. Дополнительные сведения см. в разделе Определение параметров портов, используемых WSUS.

Если правилами организации запрещается, чтобы в брандмауэре между активной точкой обновления программного обеспечения и Интернетом эти порты были открыты для всех адресов, можно ограничить доступ к перечисленным ниже доменам, чтобы WSUS и служба автоматического обновления могли обмениваться данными с Центром обновления Майкрософт.

• https://windowsupdate.microsoft.com

• http://*.windowsupdate.microsoft.com

• https://*.windowsupdate.microsoft.com

• http://*.update.microsoft.com

• https://*.update.microsoft.com

• http://*.windowsupdate.com

• http://download.windowsupdate.com

• https://download.microsoft.com

• http://*.download.windowsupdate.com

• http://test.stats.update.microsoft.com

• http://ntservicepack.microsoft.com

Если имеется активная интернет-точка обновления программного обеспечения, или дочерние сайты с активной точкой обновления программного обеспечения, во все брандмауэры, расположенные между серверами, также может потребоваться добавить перечисленные ниже адреса.

Активная точка обновления программного обеспечения на дочернем сайте

• http://<Полное доменное имя активной точки обновления программного обеспечения на дочернем сайте>

• https://<Полное доменное имя активной точки обновления программного обеспечения на дочернем сайте>

• http://<Полное доменное имя активной точки обновления программного обеспечения на родительском сайте>

• https://<Полное доменное имя активной точки обновления программного обеспечения на родительском сайте>

Активная интернет-точка обновления программного обеспечения

• http://<Полное доменное имя активной точки обновления программного обеспечения для сайта>

• https://<Полное доменное имя активной точки обновления программного обеспечения для сайта>

• http://<Полное доменное имя активной интернет-точки обновления программного обеспечения>

• https://<Полное доменное имя активной интернет-точки обновления программного обеспечения>

Проверка возможности подключения к удаленным WSUS-серверам

Перед установкой роли системы сайта точки обновления программного обеспечения нужно убедиться в успешности подключения к удаленному WSUS-серверу с использованием протокола SSL. На сервере сайта можно открыть консоль администрирования WSUS и подключиться к удаленному WSUS-серверу. Проверить SSL-подключение к удаленному WSUS-серверу также можно с помощью веб-браузера, введя URL-адрес **https://**ИмяWSUSСервера. В случае успешного подключения появится веб-сайт В разработке.

Примечание

При выполнении операций обновления программного обеспечения подключение сервера сайта к WSUS-серверу происходит в контексте учетной записи компьютера. Тесты из этого раздела проверяют возможность подключения ко WSUS-серверу в контексте пользователя.

Установка системы сайта точки обновления программного обеспечения

Для синхронизации обновлений программного обеспечения, оценки их соответствия на клиентах и развертывания необходимо определить роль системы сайта точки обновления программного обеспечения. Может быть несколько серверов системы сайта с ролью системы сайта точки обновления программного обеспечения, но только один сервер системы сайта можно настроить как активную точку обновления программного обеспечения. Если сайт работает в основном режиме, точку обмена активным программным обеспечением можно настроить так, чтобы она принимала подключения со всех клиентских компьютеров. Активную интернет-точку обновления программного обеспечения также можно назначить серверу системы удаленного сайта, который принимает подключения только с клиентских компьютеров, подключенных к Интернету, и активная точка обновления программного обеспечения будет принимать подключения с клиентских компьютеров в интрасети. Кроме того, если активная точка обновления программного обеспечения настроена как кластер балансировки сетевой нагрузки, то для каждого сервера в кластере NLB должен быть создан сервер системы сайта с ролью сайта точки обновления программного обеспечения.

Важно!

На каждом сервере системы службы WSUS 3.0 должны быть установлены и настроены до того, как будет назначена роль сайта точки обновления программного обеспечения; в противном случае произойдет сбой установки компонента точки обновления программного обеспечения.

Используйте ссылку на соответствующую процедуру установки активной точки обновления программного обеспечения для каждого из перечисленных ниже сценариев.

Сценарий установки точки обновления программного обеспечения	Ссылка на процедуру
Создание роли сайта неактивной точки обновления программного обеспечения	Добавление роли сайта точки обновления программного обеспечения к системе сайта
Создание и настройка активной точки обновления программного обеспечения.	Создание и настройка активной точки обновления программного обеспечения
Создание и настройка интернет-активной точки обновления программного обеспечения (при необходимости).	Создание и настройка активной интернет-точки обновления программного обеспечения
Создание активной точки обновления программного обеспечения, настроенной как кластер NLB (при необходимости).	Настройка компонента активной точки обновления программного обеспечения для использования кластера балансировки сетевой нагрузки

См. также

Задачи

Добавление роли сайта точки обновления программного обеспечения к системе сайта
Добавление сертификата веб-сервера на пользовательский веб-сайт WSUS
Настройка компонента активной точки обновления программного обеспечения для использования кластера балансировки сетевой нагрузки
Настройка веб-сайта WSUS на использование протокола SSL
Создание и настройка активной интернет-точки обновления программного обеспечения
Создание и настройка активной точки обновления программного обеспечения
Установка консоли администрирования служб Windows Server Update Services 3.0
Установка служб обновлений Windows Server Update Services 3.0
Устранение неполадок настройки точки обновления программного обеспечения

Основные понятия

Точка обновления программного обеспечения
Контрольный список администратора: настройка обновлений программного обеспечения
Контрольный список администратора: планирование и подготовка обновлений программного обеспечения
Преимущества использования основного режима
Развертывание доверенного корневого центра сертификации на компьютерах Configuration Manager
Развертывание сертификатов веб-сервера на серверах системы сайта
Определение инфраструктуры точки обновления программного обеспечения
Планирование для параметров точки обновления программного обеспечения

Другие ресурсы

Настройка клиентов для интернет-управления
Настройка основного режима
Свойства компонента точки обновления программного обеспечения

Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.