Installera och konfigurera en programuppdateringsplats
Gäller för: Konfigurationshanteraren (current branch)
Viktigt
Innan du installerar platssystemrollen för programuppdateringsplatsen (SUP) måste du kontrollera att servern uppfyller de nödvändiga beroendena och fastställa infrastrukturen för programuppdateringsplatsen på platsen. Mer information om hur du planerar för programuppdateringar och för att fastställa infrastrukturen för programuppdateringsplatsen finns i Planera för programuppdateringar.
Programuppdateringsplatsen krävs på den centrala administrationsplatsen och på de primära platserna för att aktivera kompatibilitetsbedömning av programuppdateringar och för att distribuera programuppdateringar till klienter. Programuppdateringsplatsen är valfri på sekundära platser. Platssystemrollen för programuppdateringsplatsen måste skapas på en server som har WSUS installerat. Programuppdateringsplatsen interagerar med WSUS-tjänsterna för att konfigurera programuppdateringsinställningarna och begära synkronisering av metadata för programuppdateringar. När du har en Configuration Manager-hierarki installerar och konfigurerar du programuppdateringsplatsen på den centrala administrationsplatsen först, sedan på underordnade primära platser, och sedan eventuellt på sekundära platser. När du har en fristående primär plats, inte en central administrationsplats, installerar och konfigurerar du programuppdateringsplatsen på den primära platsen först, och sedan eventuellt på sekundära platser. Vissa inställningar är bara tillgängliga när du konfigurerar programuppdateringsplatsen på en webbplats på den översta nivån. Det finns olika alternativ som du måste överväga beroende på var du installerade programuppdateringsplatsen.
Viktigt
- Du kan installera mer än en programuppdateringsplats på en plats. Den första programuppdateringsplatsen som du installerar konfigureras som synkroniseringskälla, som synkroniserar uppdateringarna från Microsoft Update eller från den överordnade synkroniseringskällan. De andra programuppdateringsplatserna på platsen konfigureras som repliker av den första programuppdateringsplatsen. Därför är vissa inställningar inte tillgängliga när du har installerat och konfigurerat den första programuppdateringsplatsen.
- Det går inte att installera platssystemrollen för programuppdateringsplatsen på en server som har konfigurerats och använts som en fristående WSUS-server eller använda en programuppdateringsplats för att direkt hantera WSUS-klienter. Befintliga WSUS-servrar stöds bara som överordnade synkroniseringskällor för den aktiva programuppdateringsplatsen. Se Synkronisera från en överordnad datakällplats
Du kan lägga till platssystemrollen för programuppdateringsplatsen till en befintlig platssystemserver eller skapa en ny. På sidan Val av systemroll i guiden Skapa platssystemserver eller Guiden Lägg till platssystemroller, beroende på om du lägger till platssystemrollen på en ny eller befintlig platsserver, väljer du Programuppdateringsplats och konfigurerar sedan inställningarna för programuppdateringsplatsen i guiden. Inställningarna är olika beroende på vilken version av Configuration Manager som du använder. Mer information om hur du installerar platssystemroller finns i Installera platssystemroller.
Använd följande avsnitt för information om inställningarna för programuppdateringsplatser på en webbplats.
Inställningar för proxyserver
Du kan konfigurera proxyserverinställningarna på olika sidor i guiden Skapa platssystemserver eller guiden Lägg till platssystemroller beroende på vilken version av Configuration Manager som du använder.
Du måste konfigurera proxyservern och sedan ange när proxyservern ska användas för programuppdateringar. Konfigurera följande inställningar:
Konfigurera proxyserverinställningarna på sidan Proxy i guiden eller på fliken Proxy i Egenskaper för platssystem. Proxyserverinställningarna är platssystemspecifika, vilket innebär att alla platssystemroller använder de proxyserverinställningar som du anger.
Ange om proxyservern ska användas när Configuration Manager synkroniserar programuppdateringarna och när innehållet laddas ned med hjälp av en regel för automatisk distribution. Konfigurera proxyserverinställningarna för programuppdateringsplatsen på sidan Proxy- och kontoinställningar i guiden eller på fliken Proxy- och kontoinställningar i Egenskaper för programuppdateringsplats.
Inställningen Använd en proxy när du laddar ned innehåll med hjälp av regler för automatisk distribution är tillgänglig, men den används inte för en programuppdateringsplats på en sekundär plats. Endast programuppdateringsplatsen på den centrala administrationsplatsen och den primära platsen laddar ned innehåll från sidan Microsoft Uppdatering.
Som standard används det lokala systemkontot för den server där en regel för automatisk distribution skapades för att ansluta till Internet och ladda ned programuppdateringar när reglerna för automatisk distribution körs. När det här kontot inte har åtkomst till Internet går det inte att ladda ned programuppdateringar och följande post loggas på ruleengine.log: Det gick inte att ladda ned uppdateringen från Internet. Fel = 12007. Konfigurera autentiseringsuppgifterna för att ansluta till proxyservern när det lokala systemkontot inte har Internetåtkomst.
WSUS-inställningar
Du måste konfigurera WSUS-inställningar på olika sidor i guiden Skapa platssystemserver eller guiden Lägg till platssystemroller beroende på vilken version av Configuration Manager du använder, och i vissa fall endast i egenskaperna för programuppdateringsplatsen, även kallat Egenskaper för platskomponent för programuppdatering. Använd informationen i följande avsnitt för att konfigurera WSUS-inställningarna.
Viktigt
För att säkerställa att de bästa säkerhetsprotokollen finns på plats rekommenderar vi starkt att du använder TLS/SSL-protokollet för att skydda infrastrukturen för programuppdatering. Från och med den kumulativa uppdateringen från september 2020 är HTTP-baserade WSUS-servrar säkra som standard. En klient som söker efter uppdateringar mot en HTTP-baserad WSUS kan inte längre använda en användarproxy som standard. Om du fortfarande behöver en användarproxy trots säkerhetsvägningarna är en ny klientinställning för programuppdateringar tillgänglig för att tillåta dessa anslutningar. Mer information om ändringarna för genomsökning av WSUS finns i Ändringar i september 2020 för att förbättra säkerheten för Windows-enheter som genomsöker WSUS.
WSUS-portinställningar
Du måste konfigurera WSUS-portinställningarna på sidan Programuppdateringsplats i guiden eller i egenskaperna för programuppdateringsplatsen. Använd följande procedur för att fastställa de portinställningar som används av WSUS:
Fastställa de portinställningar som används i IIS
- Öppna IIS-hanteraren (Internet Information Services) på WSUS-servern.
- Expandera Webbplatser, välj WSUS-administrationswebbplatsen och välj sedan Bindningar i fönstret Åtgärder . I dialogrutan Webbplatsbindningar visas http- och HTTPS-portvärdena i kolumnen Port .
Konfigurera SSL-kommunikation till WSUS
För att säkerställa att de bästa säkerhetsprotokollen finns på plats rekommenderar vi starkt att du använder TLS/SSL-protokollet för att skydda infrastrukturen för programuppdatering. Du kan konfigurera SSL-kommunikation på sidan Programuppdateringsplats i guiden eller på fliken Allmänt i egenskaperna för programuppdateringsplatsen. Innan du väljer alternativet Kräv SSL-kommunikation till WSUS-servern för din SUP kontrollerar du att du har aktiverat SSL-kommunikation på WSUS-servrarna.
Mer information om hur du använder SSL finns i Avgöra om WSUS ska konfigureras att använda SSL och Konfigurera en programuppdateringsplats för användning av TLS/SSL med ett PKI-certifikat.
Tillåt molnhanteringsgatewaytrafik
Du kan aktivera en programuppdateringsplats för att acceptera kommunikation från klienter på Internet via en molnhanteringsgateway (CMG). Mer information om den här inställningen finns i Konfigurera klientinriktade roller för CMG-trafik.
Justera nedladdningshastigheten för att använda den oanvända nätverksbandbredden (Windows LEDBAT)
(Introducerades i version 2203)
Från och med Configuration Manager version 2203 kan du aktivera Windows LEDBAT (Low Extra Delay Background Transport) för programuppdateringsplatser som körs Windows Server 2016 eller senare. LEDBAT justerar nedladdningshastigheten under klientgenomsökningar mot WSUS för att hjälpa till att kontrollera överbelastning i nätverket.
Om ett platssystem har roller för både distributionsplats och programuppdateringsplats kan du konfigurera LEDBAT oberoende av rollerna. Om du till exempel bara aktiverar LEDBAT för distributionsplatsrollen ärver inte programuppdateringsplatsrollen samma konfiguration.
Om du vill använda LEDBAT för dina SUP:er som körs Windows Server 2016 eller senare aktiverar du inställningen Justera nedladdningshastigheten för att använda den oanvända nätverksbandbredden (Windows LEDBAT) från någon av följande platser:
- På sidan Programuppdateringsplats i guiden installera programuppdateringsplats
- På fliken Allmänt i egenskaperna för programuppdateringsplatsen
Mer allmän information om Windows LEDBAT finns i Grundläggande begrepp för innehållshantering.
WSUS-serveranslutningskonto
Du kan konfigurera ett konto som ska användas av platsservern när det ansluter till WSUS som körs på programuppdateringsplatsen. När du inte konfigurerar det här kontot använder Configuration Manager datorkontot för platsservern för att ansluta till WSUS. Konfigurera WSUS-serveranslutningskontot på sidan Proxy- och kontoinställningar i guiden eller på fliken Proxy- och kontoinställningar i Egenskaper för programuppdateringsplats. Du kan konfigurera kontot på olika platser i guiden beroende på vilken version av Configuration Manager som du använder.
Mer information om Configuration Manager-konton finns i Konton som används.
Synkroniseringskälla
Du kan konfigurera den överordnade synkroniseringskällan för synkronisering av programuppdateringar på sidan Synkroniseringskälla i guiden eller på fliken Synkroniseringsinställningar i Egenskaper för programuppdateringsplatskomponent. Alternativen för synkroniseringskällan varierar beroende på webbplatsen.
Använd följande tabell för tillgängliga alternativ när du konfigurerar programuppdateringsplatsen på en plats.
Webbplats | Tillgängliga alternativ för synkroniseringskälla |
---|---|
– Central administrationsplats – Fristående primär plats |
– Synkronisera från webbplatsen Microsoft Update – Synkronisera från en överordnad datakällplats – Synkronisera inte från Microsoft Uppdatera eller överordnad datakälla |
– Ytterligare programuppdateringsplatser på en plats – Underordnad primär plats – Sekundär plats |
– Synkronisera från en överordnad datakällplats |
Följande lista innehåller mer information om varje alternativ som du kan använda som synkroniseringskälla:
Synkronisera från Microsoft Update: Använd den här inställningen för att synkronisera metadata för programuppdateringar från Microsoft Update. Den centrala administrationswebbplatsen måste ha Internetåtkomst. Annars misslyckas synkroniseringen. Den här inställningen är endast tillgänglig när du konfigurerar programuppdateringsplatsen på platsen på den översta nivån.
När det finns en brandvägg mellan programuppdateringsplatsen och Internet kan brandväggen behöva konfigureras för att acceptera HTTP- och HTTPS-portarna som används för WSUS-webbplatsen. Du kan också välja att begränsa åtkomsten till begränsade domäner i brandväggen. Mer information om hur du planerar för en brandvägg som stöder programuppdateringar finns i Konfigurera brandväggar.
Om du delar WSUS-databasen bör du vara medveten om att Configuration Manager slumpmässigt väljer programuppdateringsplatsen mellan klientdelens WSUS-servrar. Se till att internetåtkomstkraven uppfylls för var och en av WSUS-servrarna. Om internetåtkomstkraven inte uppfylls kan synkroniseringsfel inträffa. Du kan se olika programuppdateringsplatser på den översta nivån för webbplatssynkronisering med Microsoft.
Synkronisera från en överordnad datakällplats: Använd den här inställningen för att synkronisera programuppdateringsmetadata från den överordnade synkroniseringskällan. Underordnade primära platser och sekundära platser konfigureras automatiskt för att använda den överordnade plats-URL:en för den här inställningen. Du kan synkronisera programuppdateringar från en befintlig WSUS-server. Ange en URL, till exempel
https://WSUSServer:8531
, där 8531 är porten som används för att ansluta till WSUS-servern.Synkronisera inte från Microsoft Uppdatera eller överordnad datakälla: Använd den här inställningen om du vill synkronisera programuppdateringar manuellt när programuppdateringsplatsen på platsen på den översta nivån är frånkopplad från Internet. Mer information finns i Synkronisera programuppdateringar från en frånkopplad programuppdateringsplats.
Du kan också konfigurera om du vill skapa WSUS-rapporteringshändelser på sidan Synkroniseringskälla i guiden eller på fliken Synkroniseringsinställningar i Egenskaper för platskomponent för programuppdatering. Configuration Manager använder inte dessa händelser. Därför väljer du normalt standardinställningen Skapa inte WSUS-rapporteringshändelser.
Synkroniseringsschema
Konfigurera synkroniseringsschemat på sidan Synkroniseringsschema i guiden eller i egenskaperna för komponenten För programuppdateringsplats. Den här inställningen konfigureras endast på programuppdateringsplatsen på platsen på den översta nivån.
Om du aktiverar schemat kan du konfigurera ett återkommande enkelt eller anpassat synkroniseringsschema. När du konfigurerar ett enkelt schema baseras starttiden på den lokala tiden för den dator som kör Configuration Manager-konsolen när du skapar schemat. När du konfigurerar starttiden för ett anpassat schema baseras det på den lokala tiden för den dator som kör Configuration Manager-konsolen.
Tips
- Schemalägg synkronisering av programuppdateringar så att den körs med hjälp av en tidsram som är lämplig för din miljö. Ett vanligt scenario är att ställa in synkroniseringsschemat för programuppdateringar så att det körs strax efter den Microsoft regelbundna versionen av säkerhetsuppdateringen den andra tisdagen i varje månad, vilket ofta kallas korrigeringstisdagen. Ett annat vanligt scenario är att ställa in synkroniseringsschemat för programuppdateringar så att det körs dagligen när du använder programuppdateringar för att leverera Endpoint Protection-definitions- och motoruppdateringarna.
- När du väljer att inte aktivera synkronisering av programuppdateringar enligt ett schema kan du synkronisera programuppdateringar manuellt från noden All Software Uppdateringar or Software Update Groups (Programuppdateringsgrupper) på arbetsytan Programvarubibliotek. Mer information finns i synkronisera programuppdateringar.
Ersättningsregler
Konfigurera ersättningsinställningarna på sidan Ersättande regler i guiden eller på fliken Ersättningsregler i Egenskaper för platskomponent för programuppdatering. Du kan bara konfigurera ersättningsregler på webbplatsen på den översta nivån. Du kan också ange beteendet för ersättningsregler för funktionsuppdateringar separat från icke-funktionsuppdateringar.
Obs!
Sidan Ersättningsregler i guiden är endast tillgänglig när du konfigurerar den första programuppdateringsplatsen på platsen. Den här sidan visas inte när du installerar ytterligare programuppdateringsplatser.
På den här sidan kan du ange när ersatta programuppdateringar har upphört att gälla i Configuration Manager, vilket förhindrar att de inkluderas i nya distributioner och flaggar befintliga distributioner för att indikera att de ersatta programuppdateringarna innehåller en eller flera utgångna programuppdateringar. Du kan ange en tidsperiod innan de ersatta programuppdateringarna har upphört att gälla, vilket gör att du kan fortsätta att distribuera dem. Mer information finns i Ersättningsregler.
Standardinställningen är att vänta 3 månader innan en ersatt uppdatering upphör att gälla. Standardvärdet på 3 månader är att ge dig tid att kontrollera att uppdateringen inte längre behövs av någon av klientdatorerna. Vi rekommenderar att du inte antar att ersatta uppdateringar omedelbart ska upphöra att gälla till förmån för den nya, ersatta uppdateringen. Du kan visa en lista över de programuppdateringar som ersätter programuppdateringen på fliken Ersättningsinformation i egenskaperna för programuppdateringen.
WSUS-underhåll
Configuration Manager kan automatiskt köra de vanligaste WSUS-underhållsaktiviteterna åt dig. Mer information om dessa uppgifter finns i Underhåll av programuppdateringar.
Maximal körningstid
Du kan ange hur lång tid en programuppdateringsinstallation måste slutföras. Du kan ange den maximala körningstiden för följande:
Maximal körningstid för Windows-funktionsuppdateringar (minuter)
-
Funktionsuppdateringar – en uppdatering som finns i någon av dessa tre klassificeringar:
- Uppgraderingar
- Samlade uppdateringar
- Service Pack
-
Funktionsuppdateringar – en uppdatering som finns i någon av dessa tre klassificeringar:
Maximal körningstid för Office 365 uppdateringar och icke-funktionsuppdateringar för Windows (minuter)
-
Icke-funktionsuppdateringar – En uppdatering som inte är en funktionsuppgradering och vars produkt visas som något av följande:
- Windows 11
- Windows 10 (alla versioner)
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Office 365
-
Icke-funktionsuppdateringar – En uppdatering som inte är en funktionsuppgradering och vars produkt visas som något av följande:
Maximal körningstid för alla andra programuppdateringar utanför dessa kategorier, till exempel uppdateringar från tredje part (minuter): Standardtiden för maximal körningstid för dessa uppdateringar varierar beroende på när uppdateringen först synkroniserades i miljön och Configuration Manager version. Använd kundvagnen nedan för att fastställa det maximala körningsvärdet för dessa uppdateringar:
2203 eller senare 2103, 2107 eller 2111 2010 Den maximala körningstiden för alla andra programuppdateringar är anpassningsbar. Standardvärdet är 60 minuter. 60 minuter 10 minuter Viktigt
- Den här inställningen ändrar bara den maximala körningen för nya uppdateringar som synkroniseras i av SUP. Den ändrar inte körningstiden för befintliga uppdateringar som synkroniserades innan körningstiden ändrades. Om
Update 1
till exempel först synkroniserades i en 2111-miljö är den maximala körningstiden 60 minuter. Sedan uppgraderar du miljön till version 2203 och anger den maximala körningstiden till 30 minuter.Update 1
behåller körningen på 60 minuter. Men när en ny uppdatering,Update 2
, synkroniseras i, ges den nya körningstiden på 30 minuter. - Om du behöver ändra den maximala körningstiden för en uppdatering manuellt kan du konfigurera programuppdateringsinställningarna för den.
- Den här inställningen ändrar bara den maximala körningen för nya uppdateringar som synkroniseras i av SUP. Den ändrar inte körningstiden för befintliga uppdateringar som synkroniserades innan körningstiden ändrades. Om
Klassificeringar
Konfigurera klassificeringsinställningarna på sidan Klassificeringar i guiden eller på fliken Klassificeringar i Egenskaper för platskomponent för programuppdateringsplats. Mer information om klassificeringar av programuppdateringar finns i Uppdatera klassificeringar.
Tips
- Sidan Klassificeringar i guiden är endast tillgänglig när du konfigurerar den första programuppdateringsplatsen på platsen. Den här sidan visas inte när du installerar ytterligare programuppdateringsplatser.
- När du först installerar programuppdateringsplatsen på den översta nivån rensar du alla klassificeringar av programuppdateringar. Efter den första synkroniseringen av programuppdateringar konfigurerar du klassificeringarna från en uppdaterad lista och initierar sedan om synkroniseringen. Den här inställningen konfigureras endast på programuppdateringsplatsen på platsen på den översta nivån.
Produkter
Konfigurera produktinställningarna på sidan Produkter i guiden eller på fliken Produkter i Egenskaper för platskomponent för programuppdatering.
Tips
- Sidan Produkter i guiden är endast tillgänglig när du konfigurerar den första programuppdateringsplatsen på platsen. Den här sidan visas inte när du installerar ytterligare programuppdateringsplatser.
- När du först installerar programuppdateringsplatsen på den översta nivån rensar du alla produkter. Efter den första synkroniseringen av programuppdateringar konfigurerar du produkterna från en uppdaterad lista och initierar sedan om synkroniseringen. Den här inställningen konfigureras endast på programuppdateringsplatsen på platsen på den översta nivån.
Språk
Konfigurera språkinställningarna på sidan Språk i guiden eller på fliken Språk i Egenskaper för platskomponent för programuppdatering. Ange de språk som du vill synkronisera programuppdateringsfiler och sammanfattningsinformation för. Inställningen Programuppdateringsfil konfigureras vid varje programuppdateringsplats i Configuration Manager-hierarkin. Inställningarna för sammanfattningsinformation konfigureras endast på programuppdateringsplatsen på den översta nivån. Mer information finns i Språk.
Obs!
Sidan Språk i guiden är endast tillgänglig när du installerar programuppdateringsplatsen på den centrala administrationswebbplatsen. Du kan konfigurera filspråken för programuppdatering på underordnade platser på fliken Språk i Egenskaper för komponent för programuppdateringsplats.
Uppdateringar från tredje part
Du kan aktivera uppdateringar från tredje part för Configuration Manager klienter. När du aktiverar programuppdateringar från tredje part i SUP-komponentegenskaperna laddar SUP ned signeringscertifikatet som används av WSUS för uppdateringar från tredje part. Det här alternativet är inte tillgängligt under installationen av programuppdateringsplatsen och bör konfigureras när SUP har installerats. Information om hur du aktiverar klientinställningarna för uppdateringar från tredje part finns i artikeln Om klientinställningar .
Nästa steg
Du har installerat programuppdateringsplatsen med början på den översta platsen i Configuration Manager-hierarkin. Upprepa procedurerna i den här artikeln för att installera programuppdateringsplatsen på underordnade platser.
När du har installerat programuppdateringsplatserna går du till Synkronisera programuppdateringar.