规划软件更新点安装

更新时间: 2009年10月

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

在 Configuration Manager 2007 中创建活动软件更新点站点系统角色之前，必须考虑多个要求，具体取决于您的 Configuration Manager 基础结构。在配置 Configuration Manager 2007 活动软件更新点以使用安全套接字层 (SSL) 进行通信时，或站点服务器处于纯模式下时，尤其应参阅本部分，因为必须采取其他步骤才能使层次结构中的软件更新点正常工作。本部分提供了成功规划和准备软件更新点安装所需的每个步骤的信息。软件更新点基础结构应当在层次结构中安装软件更新点之前确定。有关详细信息，请参阅确定软件更新点基础结构。

重要

当站点服务器处于纯模式时，请确保在实施本部分描述的步骤之前已满足纯模式的所有要求。有关详细信息，请参阅如何配置纯模式。

软件更新点系统要求

必须在符合 Windows Server Update Services (WSUS) 3.0 最低要求的计算机上安装软件更新点站点系统角色。有关最低要求的更多信息，请参阅 TechNet 中的 WSUS 3.0 安装要求，网址为 https://go.microsoft.com/fwlink/?LinkId=99233（可能为英文网页）。

备注

Configuration Manager 2007 Service Pack 1 (SP1) 需要 WSUS 3.0 SP1 或 WSUS 3.0 Service Pack 2 (SP2)。需要 WSUS 3.0 SP2 来支持 Windows 7 和 Windows Server 2008 R2 操作系统的 Configuration Manager 2007 SP2 软件更新管理。

在服务器上安装 WSUS

软件更新功能要求在配置为软件更新点站点系统角色的所有站点系统服务器上安装 WSUS 3.0。此外，当活动软件更新点远离站点服务器时，没有安装 WSUS 3.0 的站点服务器计算机上还需要 WSUS 3.0 管理控制台。

WSUS 3.0 管理控制台

如果要将软件更新点安装在远程站点系统服务器上，则必须在站点服务器上安装 WSUS 3.0 管理控制台。这样，站点服务器可以与活动软件更新点站点系统计算机上的 WSUS 组件通信。有关安装 WSUS 3.0 管理控制台的分步过程，请参阅如何安装 Windows Server Update Services 3.0 管理控制台。

WSUS 3.0 完全安装

在软件更新点站点系统角色可以成功添加到站点系统服务器之前，必须安装 WSUS 3.0。在将网络负载平衡 (NLB) 群集用作活动软件更新点或基于 Internet 的活动软件更新点时，必须在群集中定义的所有站点系统服务器上完全安装 WSUS 3.0。有关软件更新点、在层次结构中安装此站点系统角色的位置，以及是否为活动软件更新点使用 NLB 群集的详细信息，请参阅确定软件更新点基础结构。有关为软件更新安装 WSUS 3.0 的分步过程，请参阅如何安装 Windows Server Update Services 3.0。

使用 WSUS 3.0 网站

在安装 WSUS 3.0 时，您可以选择使用 Internet Information Services (IIS) 使用的默认网站或创建 WSUS 3.0 网站。建议创建 WSUS 3.0 网站，以便 Internet Information Services (IIS) 在专用网站上宿主 WSUS 3.0 服务，而不是共享由其他 Configuration Manager 2007 站点系统或其他应用程序使用的同一网站。在站点服务器上安装软件更新点时尤其如此。在为 WSUS 3.0 使用自定义网站时，用于 HTTP 协议的默认端口号是端口 8530，用于 HTTPS 协议的是端口 8531 (SSL)。在为站点创建活动软件更新点时需要指定这些端口设置。

将软件更新本地存储在 WSUS 服务器上

在安装 WSUS 3.0 期间，应该选择“在本地存储更新”以便在同步过程中，将与软件更新相关联的任何许可条款都下载并存储在 WSUS 服务器的本地硬盘上。如果未选择此设置，则客户端计算机可能无法扫描软件更新符合性以获取具有许可条款的更新。如果活动软件更新点已安装，则 WSUS 中的“在本地存储更新”设置已自动配置，并且在默认情况下，WSUS 同步管理器将每隔 60 分钟验证一次该设置是否已启用。

为软件更新点使用现有 WSUS 服务器

在安装 Configuration Manager 2007 之前，您可以使用环境中活动的 WSUS 服务器，但连接到 WSUS 服务器的客户端计算机将扫描 WSUS 数据库中的所有软件更新。这样可能导致客户端计算机返回配置的分类、类别和语言之外的软件更新的符合性状态信息。在将现有的 WSUS 服务器作为活动软件更新点站点系统使用之前，建议从 WSUS 数据库中删除软件更新元数据（如果可能）。WSUS 服务器将根据为活动的软件更新点配置的设置与新的软件更新元数据同步。

WSUS 配置为副本服务器

在主站点服务器上创建活动软件更新点站点系统角色时，不能使用配置为上游服务器副本的 WSUS 服务器。如果 WSUS 服务器配置为副本，Configuration Manager 将无法配置 WSUS 服务器，WSUS 同步将失败。如果在辅助站点上创建了活动软件更新点，WSUS 服务器将配置为副本服务器，以便 WSUS 在父主站点的活动软件更新点上运行。有关疑难解答信息，请参阅软件更新点配置问题疑难解答。

将 Web 服务器证书添加到自定义网站

当 Configuration Manager 2007 站点服务器处于纯模式或当活动软件更新点配置为使用 SSL 时，必须将 Web 服务器签名证书分配到 WSUS 使用的网站。当 WSUS 服务器使用自定义网站（建议配置）时，必须为 WSUS 网站分配 Web 服务器证书，其中，使用者名称或使用者备用名称包含完全限定域名 (FQDN)。上游 WSUS 服务器必须使用相同的证书设置，否则，服务器之间的 SSL 通信将失败。在每个客户端计算机可以访问 WSUS 网站之前，此证书还必须位于这些客户端计算机的计算机证书存储的受信任根证书颁发机构中。

当站点服务器处于纯模式时，用于 Configuration Manager 站点系统的 Web 服务器证书可以分配到 WSUS 网站。或者，当 WSUS 使用与 Configuration Manager 2007 站点服务器相同的网站且站点服务器配置为纯模式时，可能已为默认网站分配适当的 Web 服务器证书。在上游 WSUS 服务器上仍需设置此证书，但是，证书应已位于客户端计算机的本地存储中。

有关向 WSUS 网站添加 Web 服务器证书的分步过程，请参阅如何将 Web 服务器证书添加到自定义 WSUS 网站。有关向 Configuration Manager 2007 站点系统添加 Web 服务器证书的详细信息，请参阅将 Web 服务器证书部署到站点系统服务器。

在 WSUS 服务器上配置 SSL

当站点服务器处于纯模式或当活动软件更新点配置为使用 SSL 时，必须在 WSUS 服务器上为活动软件更新点和基于 Internet 的活动软件更新点（如已配置）配置 IIS 设置。您必须将以下每个虚拟目录配置为使用 SSL：

• APIRemoting30

• ClientWebService

• DSSAuthWebService

• ServerSyncWebService

• SimpleAuthWebService

软件更新要求不配置下列虚拟目录使用 SSL：

• Content

• Inventory

• ReportingWebService

• SelfUpdate

配置虚拟目录之后，您必须运行 WSUSUtil 工具让 WSUS 的健康监视组件知道它应使用 SSL。必须在 WSUS 服务器上运行的命令是：WSUSUtil.exe configuressl*<Web 服务器签名证书中的名称>*。有关配置虚拟根以使用安全通道的分步过程，请参阅如何将 WSUS 网站配置为使用 SSL。

客户端计算机上的证书

当站点处于纯模式或当活动软件更新点配置为使用 SSL 时，客户端计算机必须在本地受信任的根证书颁发机构存储中具有为 WSUS 网站配置的证书。如果此证书不在受信任的根证书颁发机构存储中，客户端计算机扫描软件更新符合性将失败。有关详细信息，请参阅将受信任的根证书颁发机构部署到 Configuration Manager 计算机。

配置防火墙

在 Configuration Manager 2007 中央站点上的软件更新与在活动软件更新点站点系统上运行的 WSUS 通信，后者与 Microsoft Update 通信以同步软件更新元数据。子站点与为父站点配置的活动软件更新点通信。当站点上有基于 Internet 的活动软件更新点时，站点服务器必须与基于 Internet 的活动软件更新点通信，而基于 Internet 的软件更新点必须与站点的活动软件更新点通信，同步才能成功。

当 Configuration Manager 2007 活动软件更新点和 Internet 之间、活动软件更新点与其上游服务器之间或基于 Internet 的活动软件更新点与该站点的活动软件更新点之间存在防火墙时，可能需要对防火墙进行配置以接受 WSUS 网站使用的 HTTP 或 HTTPS 端口。在同步过程中，基于 Internet 的软件更新点使用 HTTPS 连接到活动软件更新点。当您的安全策略不允许 HTTPS 连接从基于 Internet 的软件更新点指向 Intranet 上的活动软件更新点时，必须使用导出和导入同步方法。有关详细信息，请参阅如何使用导出和导入同步更新。默认情况下，配置为默认网站的 WSUS 服务器为 HTTP 使用端口 80，为 HTTPS 使用端口 443。如果使用 WSUS 自定义网站，默认情况下，WSUS 服务器使用端口 8530 (HTTP) 和端口 8531 (HTTPS)。有关详细信息，请参阅如何确定 WSUS 使用的端口设置。

如果您的组织不允许在活动软件更新点和 Internet 之间的防火墙上将这些端口和协议对所有地址开放，您可以将访问限制到以下域，以便 WSUS 和自动更新可以与 Microsoft Update 通信：

• https://windowsupdate.microsoft.com

• http://*.windowsupdate.microsoft.com

• https://*.windowsupdate.microsoft.com

• http://*.update.microsoft.com

• https://*.update.microsoft.com

• http://*.windowsupdate.com

• http://download.windowsupdate.com

• https://download.microsoft.com

• http://*.download.windowsupdate.com

• http://test.stats.update.microsoft.com

• http://ntservicepack.microsoft.com

当存在基于 Internet 的活动软件更新点或存在具有活动软件更新点的子站点时，可能还需要将下列地址添加到服务器间的所有防火墙：

子站点活动软件更新点

• http://<子站点上活动软件更新点的 FQDN>

• https://<子站点上活动软件更新点的 FQDN>

• http://<父站点上活动软件更新点的 FQDN>

• https://<父站点上活动软件更新点的 FQDN>

基于 Internet 的活动软件更新点

• http://<站点活动软件更新点的 FQDN>

• https://<站点活动软件更新点的 FQDN>

• http://<基于 Internet 的活动软件更新点的 FQDN>

• https://<基于 Internet 的活动软件更新点的 FQDN>

验证到远程 WSUS 服务器的连接

在安装软件更新点站点系统角色之前，您应在使用 SSL 时验证到远程 WSUS 服务器的连接是否成功。您可以从站点服务器打开 WSUS 管理控制台，并连接到远程 WSUS 服务器。或者，您可以通过使用 Web 浏览器并键入 **https://**WSUS 服务器名称来检查到远程 WSUS 服务器的 SSL 通信。如果连接成功，将出现显示“建设中”的网页。

备注

在软件更新操作期间，从站点服务器到 WSUS 服务器的连接位于计算机帐户的上下文中。本部分中的测试验证在用户上下文中是否可以连接到 WSUS 服务器。

安装软件更新点站点系统

需要软件更新点站点系统角色才可以对软件更新进行同步、评估客户端符合性以及部署。可能存在多个站点系统服务器具有该软件更新点站点系统角色，但是只能将一个站点系统服务器配置为活动的软件更新点。当站点处于纯模式时，活动软件更新点可配置为接受来自所有客户端计算机的通信。或者，可将基于 Internet 的活动软件更新点分配到仅接受来自基于 Internet 的客户端计算机通信的远程站点系统服务器，而活动软件更新点则接受来自 Intranet 上的客户端计算机的通信。此外，如果活动软件更新点被配置为 NLB 群集，则应为 NLB 群集中的每个服务器创建具有软件更新点站点角色的站点系统服务器。

重要

每个站点系统服务器在分配软件更新点站点角色之前都必须安装 WSUS 3.0 并对其进行配置，否则，软件更新点组件安装将失败。

对于以下每种方案，请使用指向有关如何安装活动软件更新点的关联过程的链接：

软件更新点方案	指向过程的链接
创建非活动软件更新点站点角色。	如何将软件更新点站点角色添加到站点系统
创建和配置活动的软件更新点。	如何创建和配置活动的软件更新点
创建和配置基于 Internet 的活动软件更新点（如果需要）。	如何创建和配置基于 Internet 的活动软件更新点
创建配置为 NLB 群集的活动软件更新点（如果需要）。	如何将活动软件更新点组件配置为使用 NLB 群集

另请参阅

任务

如何将软件更新点站点角色添加到站点系统
如何将 Web 服务器证书添加到自定义 WSUS 网站
如何将活动软件更新点组件配置为使用 NLB 群集
如何将 WSUS 网站配置为使用 SSL
如何创建和配置基于 Internet 的活动软件更新点
如何创建和配置活动的软件更新点
如何安装 Windows Server Update Services 3.0 管理控制台
如何安装 Windows Server Update Services 3.0
软件更新点配置问题疑难解答

概念

关于软件更新点
管理员清单：配置软件更新
管理员清单：规划和准备软件更新
使用纯模式的优势
将受信任的根证书颁发机构部署到 Configuration Manager 计算机
将 Web 服务器证书部署到站点系统服务器
确定软件更新点基础结构
规划软件更新点设置

其他资源

配置基于 Internet 的客户端管理
如何配置纯模式
软件更新点组件属性

有关其他信息，请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系，请将电子邮件发送至 SMSdocs@microsoft.com。