Включение обновлений продуктов сторонних поставщиков
Относится к Configuration Manager (Current Branch)
Узел Каталоги обновлений программного обеспечения сторонних производителей в консоли Configuration Manager позволяет подписываться на сторонние каталоги, публиковать их обновления в точке обновления программного обеспечения (SUP), а затем развертывать их на клиентах.
Примечание.
В версии 2006 и более ранних версиях Configuration Manager не включает эту функцию по умолчанию. Перед его использованием включите необязательную функцию Включить поддержку сторонних обновлений на клиентах. Дополнительные сведения см. в разделе Включение дополнительных функций из обновлений.
Предварительные условия
- Достаточно места на диске в каталоге точки
WSUSContent
обновления программного обеспечения верхнего уровня для хранения исходного двоичного содержимого для обновлений стороннего программного обеспечения.- Объем требуемого хранилища зависит от поставщика, типов обновлений и конкретных обновлений, публикуемых для развертывания.
- Если вам нужно переместить каталог на
WSUSContent
другой диск с большим объемом свободного места, см. статью Как изменить расположение, в котором службы WSUS локально хранят обновления .
- Сторонняя служба синхронизации обновлений программного обеспечения требует доступа к Интернету.
- Для списка каталогов партнеров требуется download.microsoft.com через порт HTTPS 443.
- Доступ к Интернету к любым сторонним каталогам и обновление файлов содержимого. Могут потребоваться дополнительные порты, отличные от 443.
- Сторонние обновления используют те же параметры прокси-сервера, что и sup.
Дополнительные требования при удаленном сервере сайта верхнего уровня
Протокол SSL должен быть включен в сервере SUP, если он удален. Для этого требуется сертификат проверки подлинности сервера, созданный из внутреннего центра сертификации или через общедоступный поставщик.
-
Настройка SSL в WSUS
- При настройке SSL в WSUS обратите внимание, что некоторые веб-службы и виртуальные каталоги всегда являются HTTP, а не HTTPS.
- Configuration Manager загружает стороннее содержимое пакетов обновлений программного обеспечения из каталога содержимого WSUS по протоколу HTTP.
- Настройка SSL в SUP
-
Настройка SSL в WSUS
Если настройка конфигурации сертификата подписи WSUS для сторонних обновлений в Configuration Manager управляет сертификатом в свойствах компонента точки обновления программного обеспечения, для создания самозаверяющего сертификата подписи WSUS требуются следующие конфигурации:
- Удаленный реестр должен быть включен на сервере SUP.
- Учетная запись подключения сервера WSUS должна иметь разрешения удаленного реестра на сервере SUP/WSUS.
Создайте следующий раздел реестра на сервере сайта Configuration Manager:
-
HKLM\Software\Microsoft\Update Services\Server\Setup
, создайте DWORD с именем EnableSelfSignedCertificates со значением1
.
-
Чтобы включить установку самозаверяющего сертификата подписи WSUS в доверенные издатели и доверенные корневые хранилища на удаленном сервере SUP:
Учетная запись подключения сервера WSUS должна иметь разрешения удаленного администрирования на сервере SUP.
Если этот элемент невозможен, экспортируйте сертификат из хранилища WSUS локального компьютера в доверенные хранилища издателя и доверенного корневого хранилища.
Примечание.
Учетную запись подключения сервера WSUS можно определить, перейдя на вкладку Параметры прокси-сервера и учетной записи в свойствах роли системы сайта sup. Если учетная запись не указана, используется учетная запись компьютера сервера сайта.
Включение сторонних обновлений в SUP
Если этот параметр включен, вы можете подписаться на сторонние каталоги обновлений в консоли Configuration Manager. Затем эти обновления можно опубликовать в WSUS и развернуть на клиентах. Чтобы включить и настроить функцию для использования, необходимо выполнить один раз для каждой иерархии. Если вы когда-нибудь замените сервер WSUS верхнего уровня, эти действия может потребоваться выполнить повторно.
В консоли Configuration Manager перейдите в рабочую область Администрирование . Разверните узел Конфигурация сайта и выберите узел Сайты .
Выберите сайт верхнего уровня в иерархии. На ленте выберите Настроить компоненты сайта и выберите Точка обновления программного обеспечения.
Перейдите на вкладку Сторонние обновления . Выберите параметр Включить обновления стороннего программного обеспечения.
Настройка сертификата подписи WSUS
Вам потребуется решить, хотите ли Configuration Manager автоматически управлять сертификатом подписи сторонних служб WSUS с помощью самозаверяющего сертификата или настроить сертификат вручную.
Автоматическое управление сертификатом подписи WSUS
Если у вас нет требования к использованию PKI-сертификатов, можно выбрать автоматическое управление сертификатами подписи для сторонних обновлений. Управление сертификатами WSUS выполняется в рамках цикла синхронизации и регистрируется в wsyncmgr.log
.
- В консоли Configuration Manager перейдите в рабочую область Администрирование . Разверните узел Конфигурация сайта и выберите узел Сайты .
- Выберите сайт верхнего уровня в иерархии. На ленте выберите Настроить компоненты сайта и выберите Точка обновления программного обеспечения.
- Перейдите на вкладку Сторонние обновления . Выберите параметр Configuration Manager для управления сертификатом.
- В узле Сертификаты в разделе Безопасность рабочей области Администрирование создается новый сертификат типа Подписывание сторонних служб WSUS.
Управление сертификатом подписи WSUS вручную
Если необходимо вручную настроить сертификат, например использовать PKI-сертификат, необходимо использовать издателя обновлений System Center или другое средство.
- Настройте сертификат подписи с помощью System Center Updates Publisher.
- В консоли Configuration Manager перейдите в рабочую область Администрирование . Разверните узел Конфигурация сайта и выберите узел Сайты .
- Выберите сайт верхнего уровня в иерархии. На ленте выберите Настроить компоненты сайта и выберите Точка обновления программного обеспечения.
- Перейдите на вкладку Сторонние обновления . Выберите параметр Вручную управлять сертификатом.
Включение сторонних обновлений на клиентах
Включите сторонние обновления на клиентах в параметрах клиента. Этот параметр задает политику агента Центра обновления Windows для параметра Разрешить подписанные обновления для расположения службы обновлений Майкрософт в интрасети. Этот параметр клиента также устанавливает сертификат подписи WSUS в хранилище доверенного издателя на клиенте. Ведение журнала управления сертификатами просматривается на updatesdeployment.log
клиентах. Выполните эти действия для каждого настраиваемого параметра клиента, который вы хотите использовать для сторонних обновлений. Дополнительные сведения см. в статье О параметрах клиента .
- В консоли Configuration Manager перейдите в рабочую область Администрирование и выберите узел Параметры клиента .
- Выберите существующий настраиваемый параметр клиента или создайте новый.
- Выберите вкладку Обновления программного обеспечения в левой части экрана. Если у вас нет этой вкладки, убедитесь, что установлен флажок Обновления программного обеспечения .
- Установите для параметра Включить обновления стороннего программного обеспечения значение Да.
Добавление пользовательского каталога
Каталоги партнеров — это каталоги поставщиков программного обеспечения, сведения о которых уже зарегистрированы в корпорации Майкрософт. С помощью партнерских каталогов вы можете подписаться на них, не указывая никаких дополнительных сведений. Добавляемые каталоги называются пользовательскими каталогами. Вы можете добавить настраиваемый каталог от стороннего поставщика обновлений в Configuration Manager. Пользовательские каталоги должны использовать https, а обновления должны быть подписаны цифровой подписью.
Перейдите в рабочую область Библиотека обновлений программного обеспечения , разверните узел Обновления программного обеспечения и выберите узел Сторонние каталоги обновлений программного обеспечения .
Выберите Добавить пользовательский каталог на ленте.
На странице Общие укажите следующие элементы:
- URL-адрес скачивания: допустимый HTTPS-адрес настраиваемого каталога.
- Издатель: название организации, которая публикует каталог.
- Имя: имя каталога, отображаемого в консоли Configuration Manager.
- Описание: описание каталога.
- URL-адрес поддержки (необязательно): допустимый HTTPS-адрес веб-сайта для получения справки по каталогу.
- Контакт в службу поддержки (необязательно): контактные данные для получения справки по каталогу.
Нажмите кнопку Далее , чтобы просмотреть сводку каталога и продолжить работу мастера пользовательского каталога обновлений программного обеспечения сторонних разработчиков.
Подписка на сторонний каталог и синхронизация обновлений
Когда вы подписываетесь на сторонний каталог в консоли Configuration Manager, метаданные для каждого обновления в каталоге синхронизируются с серверами WSUS для ваших SUP. Синхронизация метаданных позволяет клиентам определить, применимы ли какие-либо обновления. Выполните следующие действия для каждого стороннего каталога, на который вы хотите подписаться:
- В консоли Configuration Manager перейдите в рабочую область Библиотека программного обеспечения . Разверните узел Обновления программного обеспечения и выберите узел Сторонние каталоги обновлений программного обеспечения .
- Выберите каталог для подписки, а затем выберите Подписаться на каталог на ленте.
- Просмотрите и утвердите сертификат каталога на странице Проверка и утверждение мастера.
Примечание.
При подписке на сторонний каталог обновлений программного обеспечения на сайт добавляется сертификат, который вы просматриваете и утверждаете в мастере. Этот сертификат имеет тип Сторонний каталог обновлений программного обеспечения. Управлять им можно из узла Сертификаты в разделе Безопасность в рабочей области Администрирование .
- Если сторонний каталог имеет версию 3, вам будут предложены страницы выбора категорий и содержимого этапа. Дополнительные сведения о настройке этих параметров см. в разделе Параметры каталога сторонних производителей версии 3 .
- Выберите нужные параметры на странице Расписание :
- Простое расписание. Выберите интервал времени, дня или месяца. По умолчанию используется простое расписание, которое синхронизируется каждые 7 дней.
- Пользовательское расписание. Задайте сложное расписание.
- Просмотрите параметры на странице Сводка и завершите работу мастера.
- После скачивания каталога метаданные продукта должны быть синхронизированы из базы данных WSUS с базой данных Configuration Manager. Вручную запустите синхронизацию обновлений программного обеспечения , чтобы синхронизировать сведения о продукте.
- После синхронизации сведений о продукте настройте sup для синхронизации нужного продукта в Configuration Manager.
- Вручную запустите синхронизацию обновлений программного обеспечения , чтобы синхронизировать обновления нового продукта в Configuration Manager.
- После завершения синхронизации вы увидите сторонние обновления в узле Все обновления . Эти обновления публикуются в виде обновлений только для метаданных , пока вы не решите опубликовать их.
- Значок с синей стрелкой представляет обновление программного обеспечения только для метаданных.
Публикация и развертывание обновлений стороннего программного обеспечения
После того как сторонние обновления находятся в узле Все обновления , вы можете выбрать, какие обновления следует опубликовать для развертывания. При публикации обновления двоичные файлы скачиваются у поставщика и помещаются в WSUSContent
каталог на сервере SUP верхнего уровня.
В консоли Configuration Manager перейдите в рабочую область Библиотека программного обеспечения . Разверните узел Обновления программного обеспечения и выберите узел Все обновления программного обеспечения .
Выберите Добавить критерии , чтобы отфильтровать список обновлений. Например, добавьте Vendor for HP. для просмотра всех обновлений от HP.
Выберите обновления, необходимые вашей организации. Выберите Опубликовать содержимое обновлений стороннего программного обеспечения.
- Это действие скачивает двоичные файлы обновления от поставщика, а затем сохраняет их в
WSUSContent
каталоге в точке обновления программного обеспечения верхнего уровня.
- Это действие скачивает двоичные файлы обновления от поставщика, а затем сохраняет их в
Вручную запустите синхронизацию обновлений программного обеспечения , чтобы изменить состояние опубликованных обновлений с только метаданных на развертываемые обновления с содержимым.
Примечание.
При публикации содержимого сторонних обновлений программного обеспечения все сертификаты, используемые для подписи содержимого, добавляются на сайт. Эти сертификаты относятся к типу Содержимое обновлений стороннего программного обеспечения. Управлять ими можно из узла Сертификаты в разделе Безопасность в рабочей области Администрирование .
Просмотрите ход выполнения в
SMS_ISVUPDATES_SYNCAGENT.log
. Журнал находится в точке обновления программного обеспечения верхнего уровня в папке Журналы системы сайта.Разверните обновления с помощью процесса Развертывания обновлений программного обеспечения .
На странице Расположения загрузкимастера развертывания обновлений программного обеспечения выберите параметр по умолчанию Скачать обновления программного обеспечения из Интернета. В этом сценарии содержимое уже опубликовано в точке обновления программного обеспечения, которая используется для скачивания содержимого пакета развертывания.
Клиенты должны будут запустить проверку и оценить обновления, прежде чем вы увидите результаты соответствия. Этот цикл можно запустить вручную на панели управления Configuration Manager на клиенте, запустив действие "Цикл сканирования обновлений программного обеспечения ".
Варианты сторонних каталогов версии 3
Каталоги версии 3 позволяют выполнять обновления по категориям. При использовании каталогов, включающих классифицированные обновления, можно настроить синхронизацию так, чтобы они включали только определенные категории обновлений, чтобы избежать синхронизации всего каталога. Если вы уверены, что развернете категорию с помощью категорий, вы можете настроить ее для автоматического скачивания и публикации в WSUS.
Важно!
Этот параметр доступен только для сторонних каталогов обновлений версии 3, которые поддерживают категории обновлений. Эти параметры отключены для каталогов, которые не публикуются в формате версии 3.
В консоли Configuration Manager перейдите в рабочую область Библиотека программного обеспечения . Разверните узел Обновления программного обеспечения и выберите узел Сторонние каталоги обновлений программного обеспечения .
Выберите каталог для подписки и выберите Подписаться на каталог на ленте.
Выберите нужные параметры на странице Выбор категорий :
Синхронизация всех категорий обновлений (по умолчанию)
- Синхронизирует все обновления из стороннего каталога обновлений в Configuration Manager.
Выбор категорий для синхронизации
- Выберите, какие категории и дочерние категории следует синхронизировать с Configuration Manager.
Выберите, если вы хотите выполнить поэтапное обновление содержимого для каталога. При подготовке содержимого все обновления в выбранных категориях автоматически скачиваются в точку обновления программного обеспечения верхнего уровня, что означает, что вам не нужно убедиться, что они уже загружены перед развертыванием. Чтобы избежать чрезмерных требований к пропускной способности и хранилищу, следует автоматически подготавливать содержимое только для развертывания обновлений.
-
Не выполняйте этап содержимого, синхронизируйте только для сканирования (рекомендуется)
- Не скачивайте содержимое для обновлений в стороннем каталоге
-
Автоматическое размещение содержимого для выбранных категорий
- Выберите категории обновлений, которые будут автоматически загружать содержимое.
- Содержимое обновлений в выбранных категориях будет загружено в каталог содержимого WSUS точки обновления программного обеспечения верхнего уровня.
-
Не выполняйте этап содержимого, синхронизируйте только для сканирования (рекомендуется)
Задайте расписание синхронизации каталога, а затем завершите работу мастера.
Изменение существующей подписки
Вы можете изменить существующую подписку, выбрав свойства на ленте или в контекстном меню.
Важно!
Некоторые параметры доступны только для сторонних каталогов обновлений версии 3, которые поддерживают категории обновлений. Эти параметры отключены для каталогов, которые не публикуются в формате версии 3.
В узле Каталоги обновлений программного обеспечения сторонних разработчиков щелкните каталог правой кнопкой мыши и выберите Свойства или выберите свойства на ленте.
На вкладке Общие можно просмотреть следующие сведения, но не изменять их.
Примечание.
Если вам нужно изменить какие-либо сведения здесь, необходимо добавить новый пользовательский каталог.
При условии, что URL-адрес для скачивания не изменился, существующий каталог необходимо удалить, прежде чем можно будет добавить один с тем же URL-адресом для скачивания.- URL-адрес скачивания: HTTPS-адрес настраиваемого каталога.
- Издатель: название организации, которая публикует каталог.
- Имя: имя каталога, отображаемого в консоли Configuration Manager.
- Описание: описание каталога.
- URL-адрес поддержки: допустимый HTTPS-адрес веб-сайта для получения справки по каталогу.
- Контакт в службе поддержки: контактные данные для получения помощи по каталогу.
Выберите нужные параметры на вкладке Выбор категорий .
-
Синхронизация всех категорий обновлений (по умолчанию)
- Синхронизирует все обновления из стороннего каталога обновлений в Configuration Manager.
-
Выбор категорий для синхронизации
- Выберите, какие категории и дочерние категории следует синхронизировать с Configuration Manager.
-
Синхронизация всех категорий обновлений (по умолчанию)
Выберите нужные параметры на вкладке Содержимое обновления этапа .
-
Не выполняйте этап содержимого, синхронизируйте только для сканирования (рекомендуется)
- Не скачивайте содержимое для обновлений в стороннем каталоге
-
Автоматическое размещение содержимого для выбранных категорий
- Выберите категории обновлений, которые будут автоматически загружать содержимое.
- Содержимое обновлений в выбранных категориях будет загружено в каталог содержимого WSUS точки обновления программного обеспечения верхнего уровня.
-
Не выполняйте этап содержимого, синхронизируйте только для сканирования (рекомендуется)
Выберите частоту синхронизации каталога на вкладке Расписание .
- Простое расписание. Выберите интервал времени, дня или месяца.
- Пользовательское расписание. Задайте сложное расписание.
Отмена подписки на каталог и удаление пользовательских каталогов
В узле Каталоги обновлений программного обеспечения сторонних разработчиков щелкните каталог правой кнопкой мыши и выберите Отменить подписку , чтобы остановить синхронизацию каталога.
Вы также можете использовать параметр Отменить подписку на ленте. При отмене подписки на каталог утверждения для подписывания и обновления сертификатов содержимого каталога удаляются. Существующие обновления не удаляются, но вы не сможете их развернуть. При использовании пользовательских каталогов вы также можете удалить их после отмены подписки. Выберите Удалить пользовательский каталог на ленте или в контекстном меню каталога. При удалении пользовательского каталога он удаляется из представления в узле Каталоги обновлений программного обеспечения сторонних разработчиков .
Мониторинг хода выполнения обновлений стороннего программного обеспечения
Синхронизация обновлений стороннего программного обеспечения обрабатывается компонентом SMS_ISVUPDATES_SYNCAGENT в точке обновления программного обеспечения верхнего уровня по умолчанию. Вы можете просмотреть сообщения о состоянии из этого компонента или просмотреть более подробное состояние в SMS_ISVUPDATES_SYNCAGENT.log
. Этот журнал находится в точке обновления программного обеспечения верхнего уровня в папке Журналы системы сайта. По умолчанию это путь C:\Program Files\Microsoft Configuration Manager\Logs. Дополнительные сведения о мониторинге общего процесса управления обновлениями программного обеспечения см. в разделе Мониторинг обновлений программного обеспечения.
Список дополнительных каталогов обновлений сторонних производителей
Чтобы помочь вам найти пользовательские каталоги, которые можно импортировать для обновлений стороннего программного обеспечения, есть страница документации со ссылками на поставщиков каталогов. Начиная с Configuration Manager 2107, вы также можете выбрать Дополнительные каталоги на ленте в узле Каталоги обновлений программного обеспечения сторонних разработчиков . При щелчке правой кнопкой мыши на узле Каталоги обновлений программного обеспечения сторонних разработчиков отображается пункт меню Дополнительные каталоги . Если выбрать Другие каталоги , откроется ссылка на страницу документации, содержащую список дополнительных сторонних поставщиков каталогов обновлений программного обеспечения.
Известные проблемы
- Компьютер, на котором запущена консоль, используется для скачивания обновлений из WSUS и их добавления в пакет обновлений. Сертификат подписи WSUS должен быть доверенным на компьютере консоли. Если это не так, при скачивании сторонних обновлений могут возникнуть проблемы с проверкой подписи.
- Сторонняя служба синхронизации обновлений программного обеспечения не может публиковать содержимое в обновлениях только метаданных, которые были добавлены в WSUS другим приложением, средством или сценарием, например SCUP. Действие Опубликовать содержимое обновления стороннего программного обеспечения завершается сбоем при этих обновлениях. Если вам нужно развернуть сторонние обновления, которые эта функция еще не поддерживает, используйте существующий процесс в полном объеме для развертывания этих обновлений.
- Configuration Manager имеет новую версию для формата CAB-файла каталога. Новая версия включает сертификаты для двоичных файлов поставщика. Эти сертификаты добавляются в узел Сертификаты в разделе Безопасность в рабочей области Администрирование после утверждения каталога и доверия к этому каталогу.
- Вы по-прежнему можете использовать старую версию cab-файла каталога, если URL-адрес для скачивания https и обновления подписаны. Содержимое не будет опубликовано, так как сертификаты для двоичных файлов не находятся в CAB-файле и уже утверждены. Эту проблему можно обойти, найдя сертификат в узле Сертификаты , разблокируя его, а затем снова опубликуйте обновление. Если вы публикуете несколько обновлений, подписанных разными сертификатами, необходимо разблокировать каждый используемый сертификат.
- Дополнительные сведения см. в статье Сообщения о состоянии 11523 и 11524 в приведенной ниже таблице сообщений о состоянии.
- Если сторонняя служба синхронизации обновлений программного обеспечения в точке обновления программного обеспечения верхнего уровня требует прокси-сервера для доступа к Интернету, проверка цифровой подписи может завершиться ошибкой. Чтобы устранить эту проблему, настройте параметры прокси-сервера WinHTTP в системе сайта. Дополнительные сведения см. в статье Команды Netsh для WinHTTP.
- При использовании CMG для хранения содержимого содержимое для сторонних обновлений не будет скачиваться на клиенты, если включен параметр Скачать разностное содержимое при доступностиклиента .
- Если поставщик каталога изменил сертификат подписи каталога с момента его последнего утверждения или подписки, синхронизация каталога завершится ошибкой, пока сертификация не будет утверждена в узле Сертификаты . Дополнительные сведения см. в разделе MessageID 11508 в таблице сообщений о состоянии .
Сообщения о состоянии
MessageID | Severity | Описание | Возможная причина | Возможное решение |
---|---|---|---|---|
11508 | Error | Сбой при проверке сигнатуры для имени> каталога каталога <в WSUS. Убедитесь, что каталог подписан, а сертификат> сертификата <каталога не заблокирован. Дополнительные сведения см SMS_ISVUPDATES_SYNCAGENT.log . в этой статье. |
Сертификация подписывания в каталоге может измениться с момента первоначальной подписки или последнего утверждения. | Обязательно просмотрите и утвердите сертификат в узле Сертификаты , чтобы разрешить синхронизировать каталог. |
11516 | Error | Не удалось опубликовать содержимое для обновления "Идентификатор обновления", так как содержимое не подписано. Публиковать можно только содержимое с допустимыми сигнатурами. | Configuration Manager не разрешает публикацию неподписанных обновлений. | Опубликуйте обновление альтернативным способом.
Узнайте, доступно ли подписанное обновление от поставщика. |
11523 | Предупреждение | Каталог "X" не включает сертификаты подписи содержимого, попытки публикации содержимого обновления для обновлений из этого каталога могут быть неудачными до тех пор, пока не будут добавлены и утверждены сертификаты подписи содержимого. | Это сообщение может возникнуть при импорте каталога, который использует более раннюю версию cab-файла. | Обратитесь к поставщику каталога, чтобы получить обновленный каталог, включающий сертификаты подписи содержимого.
Сертификаты для двоичных файлов не включаются в CAB-файл, поэтому содержимое не будет опубликовано. Эту проблему можно обойти, найдя сертификат в узле Сертификаты , разблокируя его, а затем снова опубликуйте обновление. Если вы публикуете несколько обновлений, подписанных разными сертификатами, необходимо разблокировать каждый используемый сертификат. |
11524 | Error | Не удалось опубликовать обновление "ID" из-за отсутствия метаданных обновления. | Возможно, обновление было синхронизировано с WSUS за пределами Configuration Manager. | Синхронизируйте обновление с Configuration Manager, прежде чем пытаться опубликовать его содержимое.
Если внешний инструмент использовался для публикации обновления только в качестве метаданных, используйте то же средство для публикации содержимого обновления. |
Видео о работе со сторонними обновлениями
PowerShell
Для автоматизации управления сторонними обновлениями в Configuration Manager можно использовать следующие командлеты PowerShell:
- Get-CMThirdPartyUpdateCatalog
- New-CMThirdPartyUpdateCatalog
- Remove-CMThirdPartyUpdateCatalog
- Set-CMThirdPartyUpdateCatalog
- Publish-CMThirdPartySoftwareUpdateContent
- Get-CMThirdPartyUpdateCategory
- Set-CMThirdPartyUpdateCategory