Installare e configurare un punto di aggiornamento software
Si applica a: Configuration Manager (Current Branch)
Importante
Prima di installare il ruolo del sistema del sito del punto di aggiornamento software, è necessario verificare che il server soddisfi le dipendenze necessarie e determina l'infrastruttura del punto di aggiornamento software nel sito. Per altre informazioni su come pianificare gli aggiornamenti software e determinare l'infrastruttura del punto di aggiornamento software, vedere Pianificare gli aggiornamenti software.
Il punto di aggiornamento software è necessario nel sito di amministrazione centrale e nei siti primari per abilitare la valutazione della conformità degli aggiornamenti software e distribuire gli aggiornamenti software ai client. Il punto di aggiornamento software è facoltativo nei siti secondari. Il ruolo del sistema del sito del punto di aggiornamento software deve essere creato in un server in cui è installato WSUS. Il punto di aggiornamento software interagisce con i servizi WSUS per configurare le impostazioni di aggiornamento software e richiedere la sincronizzazione dei metadati degli aggiornamenti software. Quando si dispone di una gerarchia Configuration Manager, installare e configurare prima il punto di aggiornamento software nel sito di amministrazione centrale, quindi nei siti primari figlio e, facoltativamente, nei siti secondari. Quando si dispone di un sito primario autonomo, non di un sito di amministrazione centrale, installare e configurare prima il punto di aggiornamento software nel sito primario e, facoltativamente, nei siti secondari. Alcune impostazioni sono disponibili solo quando si configura il punto di aggiornamento software in un sito di primo livello. Esistono diverse opzioni che è necessario considerare a seconda di dove è stato installato il punto di aggiornamento software.
Importante
- È possibile installare più punti di aggiornamento software in un sito. Il primo punto di aggiornamento software installato viene configurato come origine di sincronizzazione, che sincronizza gli aggiornamenti da Microsoft Update o dall'origine di sincronizzazione upstream. Gli altri punti di aggiornamento software nel sito vengono configurati come repliche del primo punto di aggiornamento software. Di conseguenza, alcune impostazioni non sono disponibili dopo l'installazione e la configurazione del punto di aggiornamento software iniziale.
- Non è supportato installare il ruolo del sistema del sito del punto di aggiornamento software in un server configurato e usato come server WSUS autonomo o usando un punto di aggiornamento software per gestire direttamente i client WSUS. I server WSUS esistenti sono supportati solo come origini di sincronizzazione upstream per il punto di aggiornamento software attivo. Vedere Synchronize from an upstream data source location (Sincronizza da un percorso di origine dati upstream)
È possibile aggiungere il ruolo del sistema del sito del punto di aggiornamento software a un server del sistema del sito esistente oppure crearne uno nuovo. Nella pagina Selezione ruolo di sistema della Creazione guidata server del sistema del sito o dell'Aggiunta guidata ruoli del sistema del sito, a seconda che il ruolo del sistema del sito venga aggiunto a un server del sito nuovo o esistente, selezionare Punto di aggiornamento software e quindi configurare le impostazioni del punto di aggiornamento software nella procedura guidata. Le impostazioni sono diverse a seconda della versione di Configuration Manager in uso. Per altre informazioni su come installare i ruoli del sistema del sito, vedere Installare i ruoli del sistema del sito.
Usare le sezioni seguenti per informazioni sulle impostazioni del punto di aggiornamento software in un sito.
Impostazioni del server proxy
È possibile configurare le impostazioni del server proxy in pagine diverse della Creazione guidata server del sistema del sito o dell'Aggiunta guidata ruoli del sistema del sito a seconda della versione di Configuration Manager in uso.
È necessario configurare il server proxy e quindi specificare quando usare il server proxy per gli aggiornamenti software. Configurare le seguenti impostazioni:
Configurare le impostazioni del server proxy nella pagina Proxy della procedura guidata o nella scheda Proxy in Proprietà sistema del sito. Le impostazioni del server proxy sono specifiche del sistema del sito, ovvero tutti i ruoli del sistema del sito usano le impostazioni del server proxy specificate.
Specificare se usare il server proxy quando Configuration Manager sincronizza gli aggiornamenti software e quando scarica il contenuto usando una regola di distribuzione automatica. Configurare le impostazioni del server proxy del punto di aggiornamento software nella pagina Impostazioni proxy e account della procedura guidata o nella scheda Impostazioni proxy e account in Proprietà punto di aggiornamento software.
L'impostazione Usa un proxy durante il download del contenuto usando le regole di distribuzione automatica è disponibile, ma non viene usata per un punto di aggiornamento software in un sito secondario. Solo il punto di aggiornamento software nel sito di amministrazione centrale e nel sito primario scarica il contenuto dalla pagina Microsoft Update.
Per impostazione predefinita, l'account del sistema locale per il server in cui è stata creata una regola di distribuzione automatica viene usato per connettersi a Internet e scaricare gli aggiornamenti software quando vengono eseguite le regole di distribuzione automatica. Quando questo account non ha accesso a Internet, gli aggiornamenti software non vengono scaricati e la voce seguente viene registrata in ruleengine.log: Impossibile scaricare l'aggiornamento da Internet. Errore = 12007. Configurare le credenziali per la connessione al server proxy quando l'account del sistema locale non ha accesso a Internet.
Impostazioni WSUS
È necessario configurare le impostazioni WSUS in pagine diverse della Creazione guidata server del sistema del sito o dell'Aggiunta guidata ruoli del sistema del sito a seconda della versione di Configuration Manager usata e, in alcuni casi, solo nelle proprietà del punto di aggiornamento software, note anche come Proprietà componente del punto di aggiornamento software. Usare le informazioni nelle sezioni seguenti per configurare le impostazioni WSUS.
Importante
Per assicurarsi che siano presenti i protocolli di sicurezza migliori, è consigliabile usare il protocollo TLS/SSL per proteggere l'infrastruttura di aggiornamento software. A partire dall'aggiornamento cumulativo di settembre 2020, i server WSUS basati su HTTP saranno protetti per impostazione predefinita. Per impostazione predefinita, un client che esegue l'analisi degli aggiornamenti in base a WSUS basato su HTTP non potrà più sfruttare un proxy utente. Se è ancora necessario un proxy utente nonostante i compromessi relativi alla sicurezza, è disponibile una nuova impostazione client degli aggiornamenti software per consentire queste connessioni. Per altre informazioni sulle modifiche per l'analisi di WSUS, vedere Modifiche di settembre 2020 per migliorare la sicurezza per i dispositivi Windows che analizzano WSUS.
Impostazioni della porta WSUS
È necessario configurare le impostazioni della porta WSUS nella pagina Punto di aggiornamento software della procedura guidata o nelle proprietà del punto di aggiornamento software. Usare la procedura seguente per determinare le impostazioni della porta usate da WSUS:
Determinare le impostazioni delle porte usate in IIS
- Nel server WSUS aprire Gestione Internet Information Services (IIS).
- Espandere Siti, selezionare il sito di amministrazione di WSUS e quindi selezionare Associazioni nel riquadro Azioni . Nella finestra di dialogo Associazioni sito i valori della porta HTTP e HTTPS vengono visualizzati nella colonna Porta .
Configurare le comunicazioni SSL a WSUS
Per assicurarsi che siano presenti i protocolli di sicurezza migliori, è consigliabile usare il protocollo TLS/SSL per proteggere l'infrastruttura di aggiornamento software. È possibile configurare la comunicazione SSL nella pagina Punto di aggiornamento software della procedura guidata o nella scheda Generale nelle proprietà del punto di aggiornamento software. Prima di selezionare, l'opzione Richiedi comunicazione SSL al server WSUS per il SUP, assicurarsi di aver abilitato la comunicazione SSL nei server WSUS.
Per altre informazioni su come usare SSL, vedere Decidere se configurare WSUS per l'uso di SSL e Configurare un punto di aggiornamento software per l'uso di TLS/SSL con un certificato PKI.
Consentire il traffico del gateway di gestione cloud
È possibile abilitare un punto di aggiornamento software per accettare la comunicazione dai client su Internet tramite un gateway di gestione cloud . Per altre informazioni su questa impostazione, vedere Configurare i ruoli con connessione client per il traffico cmg.
Regolare la velocità di download per usare la larghezza di banda di rete inutilizzata (WINDOWS LEDBAT)
(Introdotto nella versione 2203)
A partire da Configuration Manager versione 2203, è possibile abilitare Il trasporto in background con ritardo aggiuntivo di Windows (LEDBAT) per i punti di aggiornamento software eseguiti Windows Server 2016 o versioni successive. LEDBAT regola la velocità di download durante le analisi client su WSUS per controllare la congestione della rete.
Se un sistema del sito ha entrambi i ruoli del punto di distribuzione e del punto di aggiornamento software, è possibile configurare LEDBAT in modo indipendente nei ruoli. Ad esempio, se si abilita SOLO LEDBAT nel ruolo del punto di distribuzione, il ruolo del punto di aggiornamento software non eredita la stessa configurazione.
Per usare LEDBAT per i SUP eseguiti Windows Server 2016 o versioni successive, abilitare l'impostazione Regola la velocità di download per usare la larghezza di banda di rete inutilizzata (Windows LEDBAT) da una delle posizioni seguenti:
- Nella pagina Punto di aggiornamento software della procedura guidata installa il punto di aggiornamento software
- Nella scheda Generale delle proprietà del punto di aggiornamento software
Per informazioni più generali su LEDBAT di Windows, vedere Concetti fondamentali per la gestione del contenuto.
Account di connessione del server WSUS
È possibile configurare un account che verrà usato dal server del sito quando si connette a WSUS eseguito nel punto di aggiornamento software. Quando non si configura questo account, il Configuration Manager usa l'account computer per la connessione del server del sito a WSUS. Configurare l'account di connessione del server WSUS nella pagina Impostazioni proxy e account della procedura guidata oppure nella scheda Impostazioni proxy e account in Proprietà punto di aggiornamento software. È possibile configurare l'account in posizioni diverse della procedura guidata a seconda della versione di Configuration Manager in uso.
Per altre informazioni sugli account Configuration Manager, vedere Account usati.
Origine di sincronizzazione
È possibile configurare l'origine di sincronizzazione upstream per la sincronizzazione degli aggiornamenti software nella pagina Origine sincronizzazione della procedura guidata o nella scheda Impostazioni di sincronizzazione in Proprietà componente del punto di aggiornamento software. Le opzioni per l'origine di sincronizzazione variano a seconda del sito.
Usare la tabella seguente per le opzioni disponibili quando si configura il punto di aggiornamento software in un sito.
Sito | Opzioni dell'origine di sincronizzazione disponibili |
---|---|
- Sito di amministrazione centrale - Sito primario autonomo |
- Sincronizza dal sito Web Microsoft Update - Sincronizza da un percorso di origine dati upstream - Non eseguire la sincronizzazione dall'origine dati Microsoft Update o upstream |
- Punti di aggiornamento software aggiuntivi in un sito - Sito primario figlio - Sito secondario |
- Sincronizza da un percorso di origine dati upstream |
L'elenco seguente fornisce altre informazioni su ogni opzione che è possibile usare come origine di sincronizzazione:
Sincronizza da Microsoft Update: usare questa impostazione per sincronizzare i metadati degli aggiornamenti software da Microsoft Update. Il sito di amministrazione centrale deve avere accesso a Internet; in caso contrario, la sincronizzazione avrà esito negativo. Questa impostazione è disponibile solo quando si configura il punto di aggiornamento software nel sito di primo livello.
Quando è presente un firewall tra il punto di aggiornamento software e Internet, potrebbe essere necessario configurare il firewall per accettare le porte HTTP e HTTPS usate per il sito Web WSUS. È anche possibile scegliere di limitare l'accesso nel firewall a domini limitati. Per altre informazioni su come pianificare un firewall che supporta gli aggiornamenti software, vedere Configurare i firewall.
Se si condivide il database WSUS, tenere presente che Configuration Manager sceglie in modo casuale il punto di aggiornamento software tra i server WSUS front-end. Assicurarsi che i requisiti di accesso a Internet siano soddisfatti per ogni server WSUS. Se i requisiti di accesso a Internet non vengono soddisfatti, possono verificarsi errori di sincronizzazione. È possibile che vengano visualizzati diversi punti di aggiornamento software nella sincronizzazione del sito di primo livello con Microsoft.
Sincronizza da un percorso di origine dati upstream: usare questa impostazione per sincronizzare i metadati degli aggiornamenti software dall'origine di sincronizzazione upstream. I siti primari figlio e i siti secondari vengono configurati automaticamente per usare l'URL del sito padre per questa impostazione. È possibile sincronizzare gli aggiornamenti software da un server WSUS esistente. Specificare un URL, ad
https://WSUSServer:8531
esempio , dove 8531 è la porta usata per connettersi al server WSUS.Non eseguire la sincronizzazione da Microsoft'origine dati update o upstream: usare questa impostazione per sincronizzare manualmente gli aggiornamenti software quando il punto di aggiornamento software nel sito di primo livello è disconnesso da Internet. Per altre informazioni, vedere Sincronizzare gli aggiornamenti software da un punto di aggiornamento software disconnesso.
È anche possibile configurare se creare eventi di report WSUS nella pagina Origine sincronizzazione della procedura guidata o nella scheda Impostazioni di sincronizzazione in Proprietà componente del punto di aggiornamento software. Configuration Manager non usa questi eventi. Di conseguenza, in genere si sceglie l'impostazione predefinita Non creare eventi di creazione di report WSUS.
Pianificazione della sincronizzazione
Configurare la pianificazione della sincronizzazione nella pagina Pianificazione sincronizzazione della procedura guidata o nelle proprietà del componente del punto di aggiornamento software. Questa impostazione viene configurata solo nel punto di aggiornamento software nel sito di primo livello.
Se si abilita la pianificazione, è possibile configurare una pianificazione di sincronizzazione semplice o personalizzata ricorrente. Quando si configura una pianificazione semplice, l'ora di inizio si basa sull'ora locale per il computer che esegue la console Configuration Manager al momento della creazione della pianificazione. Quando si configura l'ora di inizio per una pianificazione personalizzata, è basata sull'ora locale per il computer che esegue la console Configuration Manager.
Consiglio
- Pianificare la sincronizzazione degli aggiornamenti software da eseguire usando un intervallo di tempo appropriato per l'ambiente. Uno scenario tipico consiste nell'impostare la pianificazione della sincronizzazione degli aggiornamenti software in modo che venga eseguita poco dopo l'Microsoft versione regolare degli aggiornamenti di sicurezza il secondo martedì di ogni mese, comunemente indicato come Patch Tuesday. Un altro scenario tipico consiste nell'impostare la pianificazione della sincronizzazione degli aggiornamenti software per l'esecuzione giornaliera quando si usano gli aggiornamenti software per distribuire la definizione di Endpoint Protection e gli aggiornamenti del motore.
- Quando si sceglie di non abilitare la sincronizzazione degli aggiornamenti software in base a una pianificazione, è possibile sincronizzare manualmente gli aggiornamenti software dal nodo All Software Aggiornamenti o Software Update Groups nell'area di lavoro Raccolta software. Per altre informazioni, vedere Sincronizzare gli aggiornamenti software.
Regole di sostituzione
Configurare le impostazioni di sostituzione nella pagina Regole di sostituzione della procedura guidata o nella scheda Regole di sostituzione in Proprietà componente del punto di aggiornamento software. È possibile configurare le regole di sostituzione solo nel sito di primo livello. È anche possibile specificare il comportamento delle regole di sostituzione per gli aggiornamenti delle funzionalità separatamente dagli aggiornamenti non delle funzionalità.
Nota
La pagina Regole di sostituzione della procedura guidata è disponibile solo quando si configura il primo punto di aggiornamento software nel sito. Questa pagina non viene visualizzata quando si installano altri punti di aggiornamento software.
In questa pagina è possibile specificare quando gli aggiornamenti software sostituiti sono scaduti in Configuration Manager, impedendone l'inclusione nelle nuove distribuzioni e contrassegnando le distribuzioni esistenti per indicare che gli aggiornamenti software sostituiti contengono uno o più aggiornamenti software scaduti. È possibile specificare un periodo di tempo prima della scadenza degli aggiornamenti software sostituiti, che consente di continuare a distribuirli. Per altre informazioni, vedere Regole di sostituzione.
L'impostazione predefinita prevede l'attesa di 3 mesi prima della scadenza di un aggiornamento sostituito. L'impostazione predefinita di 3 mesi consiste nel concedere il tempo necessario per verificare che l'aggiornamento non sia più necessario per nessuno dei computer client. È consigliabile non presupporre che gli aggiornamenti sostituiti debbano essere immediatamente scaduti a favore del nuovo aggiornamento sostituito. È possibile visualizzare un elenco degli aggiornamenti software che sostituiscono l'aggiornamento software nella scheda Informazioni di sostituzione nelle proprietà dell'aggiornamento software.
Manutenzione WSUS
Configuration Manager può eseguire automaticamente le attività di manutenzione WSUS più comuni. Per altre informazioni su queste attività, vedere Manutenzione degli aggiornamenti software.
Tempo di esecuzione massimo
È possibile specificare la quantità massima di tempo necessario per completare l'installazione di un aggiornamento software. È possibile specificare il tempo di esecuzione massimo per quanto segue:
Tempo di esecuzione massimo per gli aggiornamenti delle funzionalità di Windows (minuti)
-
Aggiornamenti delle funzionalità : aggiornamento incluso in una di queste tre classificazioni:
- Aggiornamenti
- Aggiornamenti cumulativi
- Service Pack
-
Aggiornamenti delle funzionalità : aggiornamento incluso in una di queste tre classificazioni:
Tempo di esecuzione massimo per gli aggiornamenti Office 365 e non delle funzionalità per Windows (minuti)
-
Aggiornamenti non delle funzionalità : aggiornamento che non è un aggiornamento delle funzionalità e il cui prodotto è elencato come uno dei seguenti:
- Windows 11
- Windows 10 (tutte le versioni)
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Office 365
-
Aggiornamenti non delle funzionalità : aggiornamento che non è un aggiornamento delle funzionalità e il cui prodotto è elencato come uno dei seguenti:
Tempo di esecuzione massimo per tutti gli altri aggiornamenti software esterni a queste categorie, ad esempio aggiornamenti di terze parti (minuti): il tempo di esecuzione massimo predefinito di questi aggiornamenti varia a seconda della prima sincronizzazione dell'aggiornamento nell'ambiente e della versione Configuration Manager. Usare il carrello seguente per determinare il valore di runtime massimo per questi aggiornamenti:
2203 o versioni successive 2103, 2107 o 2111 2010 Il tempo di esecuzione massimo per tutti gli altri aggiornamenti software è personalizzabile. Il valore predefinito corrisponde a 60 minuti. 60 minuti 10 minuti Importante
- Questa impostazione modifica solo il runtime massimo per i nuovi aggiornamenti sincronizzati in da SUP. Non modifica la fase di esecuzione degli aggiornamenti esistenti sincronizzati prima della modifica dell'ora di esecuzione. Ad esempio, se
Update 1
è stata sincronizzata per la prima volta in un ambiente 2111, il tempo di esecuzione massimo è di 60 minuti. Si aggiorna quindi l'ambiente alla versione 2203 e si imposta il tempo di esecuzione massimo su 30 minuti.Update 1
mantiene il runtime di 60 minuti. Tuttavia, quando un nuovo aggiornamento,Update 2
, esegue la sincronizzazione, viene assegnato il nuovo tempo di esecuzione di 30 minuti. - Se è necessario modificare manualmente il tempo di esecuzione massimo di un aggiornamento, è possibile configurare le impostazioni di aggiornamento software .
- Questa impostazione modifica solo il runtime massimo per i nuovi aggiornamenti sincronizzati in da SUP. Non modifica la fase di esecuzione degli aggiornamenti esistenti sincronizzati prima della modifica dell'ora di esecuzione. Ad esempio, se
Classificazioni
Configurare le impostazioni di classificazione nella pagina Classificazioni della procedura guidata o nella scheda Classificazioni in Proprietà componente del punto di aggiornamento software. Per altre informazioni sulle classificazioni degli aggiornamenti software, vedere Classificazioni degli aggiornamenti.
Consiglio
- La pagina Classificazioni della procedura guidata è disponibile solo quando si configura il primo punto di aggiornamento software nel sito. Questa pagina non viene visualizzata quando si installano altri punti di aggiornamento software.
- Quando si installa per la prima volta il punto di aggiornamento software nel sito di primo livello, deselezionare tutte le classificazioni degli aggiornamenti software. Dopo la sincronizzazione degli aggiornamenti software iniziali, configurare le classificazioni da un elenco aggiornato e quindi avviare nuovamente la sincronizzazione. Questa impostazione viene configurata solo nel punto di aggiornamento software nel sito di primo livello.
Prodotti
Configurare le impostazioni del prodotto nella pagina Prodotti della procedura guidata o nella scheda Prodotti in Proprietà componente del punto di aggiornamento software.
Consiglio
- La pagina Prodotti della procedura guidata è disponibile solo quando si configura il primo punto di aggiornamento software nel sito. Questa pagina non viene visualizzata quando si installano altri punti di aggiornamento software.
- Quando si installa per la prima volta il punto di aggiornamento software nel sito di primo livello, cancellare tutti i prodotti. Dopo la sincronizzazione degli aggiornamenti software iniziali, configurare i prodotti da un elenco aggiornato e quindi avviare di nuovo la sincronizzazione. Questa impostazione viene configurata solo nel punto di aggiornamento software nel sito di primo livello.
Lingue
Configurare le impostazioni della lingua nella pagina Lingue della procedura guidata o nella scheda Lingue in Proprietà componente del punto di aggiornamento software. Specificare le lingue per cui si desidera sincronizzare i file di aggiornamento software e i dettagli di riepilogo. L'impostazione File di aggiornamento software viene configurata in ogni punto di aggiornamento software nella gerarchia Configuration Manager. Le impostazioni dettagli riepilogativo sono configurate solo nel punto di aggiornamento software di primo livello. Per altre informazioni, vedere Lingue.
Nota
La pagina Lingue della procedura guidata è disponibile solo quando si installa il punto di aggiornamento software nel sito di amministrazione centrale. È possibile configurare le lingue dei file di aggiornamento software nei siti figlio dalla scheda Lingue in Proprietà componente del punto di aggiornamento software.
Aggiornamenti di terze parti
È possibile abilitare gli aggiornamenti di terze parti per i client Configuration Manager. Quando si abilitano gli aggiornamenti software di terze parti nelle proprietà del componente SUP, il sup scaricherà il certificato di firma usato da WSUS per gli aggiornamenti di terze parti. Questa opzione non è disponibile durante l'installazione del punto di aggiornamento software e deve essere configurata dopo l'installazione del PROVIDER. Per abilitare le impostazioni client per gli aggiornamenti di terze parti, vedere l'articolo Informazioni sulle impostazioni client .
Passaggi successivi
Il punto di aggiornamento software è stato installato a partire dal sito più in alto nella gerarchia di Configuration Manager. Ripetere le procedure in questo articolo per installare il punto di aggiornamento software nei siti figlio.
Dopo aver installato i punti di aggiornamento software, passare alla sincronizzazione degli aggiornamenti software.