Habilitar actualizaciones de terceros
Se aplica a: Configuration Manager (rama actual)
El nodo Catálogos de actualizaciones de software de terceros de la consola de Configuration Manager permite suscribirse a catálogos de terceros, publicar sus actualizaciones en el punto de actualización de software (SUP) y, a continuación, implementarlas en los clientes.
Requisitos previos
- Espacio en disco suficiente en el directorio del punto de actualización de software de
WSUSContent
nivel superior para almacenar el contenido binario de origen para las actualizaciones de software de terceros.- La cantidad de almacenamiento necesario varía en función del proveedor, los tipos de actualizaciones y las actualizaciones específicas que publique para la implementación.
- Si necesita mover el
WSUSContent
directorio a otra unidad con más espacio libre, consulte la entrada de blog Cómo cambiar la ubicación donde WSUS almacena las actualizaciones localmente .
- El servicio de sincronización de actualizaciones de software de terceros requiere acceso a Internet.
- Para la lista de catálogos de asociados, se necesita download.microsoft.com a través del puerto HTTPS 443.
- Acceso a Internet a cualquier catálogo de terceros y actualizar archivos de contenido. Es posible que se necesiten puertos adicionales distintos de 443.
- Las actualizaciones de terceros usan la misma configuración de proxy que el SUP.
Requisitos adicionales cuando el SUP es remoto desde el servidor de sitio de nivel superior
SSL debe estar habilitado en el SUP cuando es remoto. Esto requiere un certificado de autenticación de servidor generado a partir de una entidad de certificación interna o a través de un proveedor público.
-
Configuración de SSL en WSUS
- Al configurar SSL en WSUS, tenga en cuenta que algunos de los servicios web y los directorios virtuales siempre son HTTP y no HTTPS.
- Configuration Manager descarga contenido de terceros para paquetes de actualización de software desde el directorio de contenido de WSUS a través de HTTP.
- Configuración de SSL en el SUP
-
Configuración de SSL en WSUS
Al establecer el tercero actualiza la configuración del certificado de firma de WSUS para Configuration Manager administra el certificado en las propiedades del componente de punto de actualización de software, se requieren las siguientes configuraciones para permitir la creación del certificado de firma de WSUS autofirmado:
- El registro remoto debe estar habilitado en el servidor SUP.
- La cuenta de conexión del servidor WSUS debe tener permisos de registro remotos en el servidor SUP/WSUS.
Cree la siguiente clave del Registro en el servidor de sitio de Configuration Manager:
-
HKLM\Software\Microsoft\Update Services\Server\Setup
, cree un nuevo DWORD denominado EnableSelfSignedCertificates con un valor de1
.
-
Para habilitar la instalación del certificado de firma de WSUS autofirmado en los publicadores de confianza y en los almacenes raíz de confianza en el servidor SUP remoto:
La cuenta de conexión del servidor WSUS debe tener permisos de administración remota en el servidor SUP.
Si este elemento no es posible, exporte el certificado desde el almacén WSUS del equipo local al publicador de confianza y a los almacenes raíz de confianza.
Nota:
La cuenta de conexión del servidor WSUS se puede identificar mediante la visualización de la pestaña Configuración de proxy y cuenta en las propiedades del rol Sistema de sitio del SUP. Si no se especifica una cuenta, se usa la cuenta de equipo del servidor de sitio.
Habilitación de actualizaciones de terceros en el SUP
Si habilita esta opción, puede suscribirse a catálogos de actualizaciones de terceros en la consola de Configuration Manager. A continuación, puede publicar esas actualizaciones en WSUS e implementarlas en los clientes. Los pasos siguientes se deben ejecutar una vez por jerarquía para habilitar y configurar la característica para su uso. Es posible que deba volver a ejecutar los pasos si alguna vez reemplaza el servidor WSUS del SUP de nivel superior.
En la consola de Configuration Manager, vaya al área de trabajo Administración. Expanda Configuración del sitio y seleccione el nodo Sitios .
Seleccione el sitio de nivel superior en la jerarquía. En la cinta de opciones, seleccione Configurar componentes de sitio y seleccione Punto de actualización de software.
Cambie a la pestaña Novedades de terceros. Seleccione la opción Habilitar actualizaciones de software de terceros.
Configuración del certificado de firma de WSUS
Tendrá que decidir si desea que Configuration Manager administre automáticamente el certificado de firma wsus de terceros mediante un certificado autofirmado o si necesita configurar manualmente el certificado.
Administrar automáticamente el certificado de firma de WSUS
Si no tiene un requisito para usar certificados PKI, puede optar por administrar automáticamente los certificados de firma para las actualizaciones de terceros. La administración de certificados WSUS se realiza como parte del ciclo de sincronización y se registra en wsyncmgr.log
.
- En la consola de Configuration Manager, vaya al área de trabajo Administración. Expanda Configuración del sitio y seleccione el nodo Sitios .
- Seleccione el sitio de nivel superior en la jerarquía. En la cinta de opciones, seleccione Configurar componentes de sitio y seleccione Punto de actualización de software.
- Cambie a la pestaña Novedades de terceros. Seleccione la opción Configuration Manager administre el certificado.
- Se crea un nuevo certificado de tipo Firma de WSUS de terceros en el nodo Certificados en Seguridad en el área de trabajo Administración .
Administrar manualmente el certificado de firma de WSUS
Si necesita configurar manualmente el certificado, como la necesidad de usar un certificado PKI, deberá usar System Center Novedades Publisher u otra herramienta para hacerlo.
- Configure el certificado de firma mediante System Center Novedades Publisher.
- En la consola de Configuration Manager, vaya al área de trabajo Administración. Expanda Configuración del sitio y seleccione el nodo Sitios .
- Seleccione el sitio de nivel superior en la jerarquía. En la cinta de opciones, seleccione Configurar componentes de sitio y seleccione Punto de actualización de software.
- Cambie a la pestaña Novedades de terceros. Seleccione la opción Administrar manualmente el certificado.
Habilitación de actualizaciones de terceros en los clientes
Habilite las actualizaciones de terceros en los clientes en la configuración del cliente. La configuración establece la directiva de agente de Windows Update para Permitir actualizaciones firmadas para una ubicación del servicio Microsoft Update de intranet. Esta configuración de cliente también instala el certificado de firma de WSUS en el almacén del publicador de confianza en el cliente. El registro de administración de certificados se muestra en en updatesdeployment.log
los clientes. Ejecute estos pasos para cada configuración de cliente personalizada que quiera usar para las actualizaciones de terceros. Para obtener más información, consulte el artículo Acerca de la configuración de cliente .
- En la consola de Configuration Manager, vaya al área de trabajo Administración y seleccione el nodo Configuración de cliente.
- Seleccione una configuración de cliente personalizada existente o cree una nueva.
- Seleccione la pestaña Software Novedades en el lado izquierdo. Si no tiene esta pestaña, asegúrese de que el cuadro Software Novedades está habilitado.
- Establezca Habilitar actualizaciones de software de terceros en Sí.
Adición de un catálogo personalizado
Los catálogos de asociados son catálogos de proveedores de software que tienen su información ya registrada en Microsoft. Con los catálogos de asociados, puede suscribirse a ellos sin tener que especificar información adicional. Los catálogos que agregue se denominan catálogos personalizados. Puede agregar un catálogo personalizado de un proveedor de actualizaciones de terceros a Configuration Manager. Los catálogos personalizados deben usar https y las actualizaciones deben estar firmadas digitalmente.
Vaya al área de trabajo Biblioteca de software Novedades, expanda Actualizaciones de software y seleccione el nodo Catálogos de actualizaciones de software de terceros.
seleccione Agregar catálogo personalizado en la cinta de opciones.
En la página General , especifique los siguientes elementos:
- Dirección URL de descarga: dirección HTTPS válida del catálogo personalizado.
- Publicador: nombre de la organización que publica el catálogo.
- Nombre: nombre del catálogo que se va a mostrar en la consola de Configuration Manager.
- Descripción: descripción del catálogo.
- Dirección URL de soporte técnico (opcional): dirección HTTPS válida de un sitio web para obtener ayuda con el catálogo.
- Contacto de soporte técnico (opcional): información de contacto para obtener ayuda con el catálogo.
Seleccione Siguiente para revisar el resumen del catálogo y continuar con la finalización del Asistente para catálogo personalizado de software de terceros Novedades.
Suscribirse a un catálogo de terceros y sincronizar actualizaciones
Al suscribirse a un catálogo de terceros en la consola de Configuration Manager, los metadatos de cada actualización del catálogo se sincronizan en los servidores WSUS para los SUP. La sincronización de los metadatos permite a los clientes determinar si alguna de las actualizaciones es aplicable. Realice los pasos siguientes para cada catálogo de terceros al que quiera suscribirse:
- En la consola de Configuration Manager, vaya al área de trabajo Biblioteca de software. Expanda Software Novedades y seleccione el nodo Catálogos de actualizaciones de software de terceros.
- Seleccione el catálogo para suscribirse y, a continuación, seleccione Suscribirse al catálogo en la cinta de opciones.
- Revise y apruebe el certificado de catálogo en la página Revisar y aprobar del asistente.
Nota:
Cuando se suscribe a un catálogo de actualizaciones de software de terceros, el certificado que revisa y aprueba en el asistente se agrega al sitio. Este certificado es de tipo Catálogo de software de terceros Novedades. Puede administrarlo desde el nodo Certificados en Seguridad en el área de trabajo Administración .
- Si el catálogo de terceros es v3, se le ofrecerán páginas para seleccionar categorías y contenido de fase. Para obtener más información sobre cómo configurar estas opciones, consulte la sección Opciones del catálogo v3 de terceros .
- Elija las opciones en la página Programación :
- Programación sencilla: elija el intervalo de hora, día o mes. El valor predeterminado es una programación sencilla que se sincroniza cada 7 días.
- Programación personalizada: establezca una programación compleja.
- Revise la configuración en la página Resumen y complete el asistente.
- Una vez descargado el catálogo, los metadatos del producto deben sincronizarse desde la base de datos WSUS en la base de datos Configuration Manager. Inicie manualmente la sincronización de actualizaciones de software para sincronizar la información del producto.
- Una vez sincronizada la información del producto, configure el SUP para sincronizar el producto deseado en Configuration Manager.
- Inicie manualmente la sincronización de actualizaciones de software para sincronizar las actualizaciones del nuevo producto en Configuration Manager.
- Cuando se complete la sincronización, puede ver las actualizaciones de terceros en el nodo Todo Novedades. Estas actualizaciones se publican como actualizaciones de solo metadatos hasta que decida publicarlas.
- El icono con la flecha azul representa una actualización de software de solo metadatos.
Publicación e implementación de actualizaciones de software de terceros
Una vez que las actualizaciones de terceros están en el nodo Todos Novedades, puede elegir qué actualizaciones se deben publicar para la implementación. Al publicar una actualización, los archivos binarios se descargan del proveedor y se colocan en el WSUSContent
directorio del SUP de nivel superior.
En la consola de Configuration Manager, vaya al área de trabajo Biblioteca de software. Expanda Software Novedades y seleccione el nodo Todo el software Novedades.
Seleccione Agregar criterios para filtrar la lista de actualizaciones. Por ejemplo, agregue Proveedor para HP. para ver todas las actualizaciones de HP.
Seleccione las actualizaciones necesarias para su organización. Seleccione Publicar contenido de actualización de software de terceros.
- Esta acción descarga los archivos binarios de actualización del proveedor y, a continuación, los almacena en el
WSUSContent
directorio del punto de actualización de software de nivel superior.
- Esta acción descarga los archivos binarios de actualización del proveedor y, a continuación, los almacena en el
Inicie manualmente la sincronización de actualizaciones de software para cambiar el estado de las actualizaciones publicadas de solo metadatos a actualizaciones implementables con contenido.
Nota:
Al publicar contenido de actualización de software de terceros, los certificados usados para firmar el contenido se agregan al sitio. Estos certificados son de tipo Contenido de software Novedades de terceros. Puede administrarlos desde el nodo Certificados en Seguridad en el área de trabajo Administración .
Revise el progreso en .
SMS_ISVUPDATES_SYNCAGENT.log
El registro se encuentra en el punto de actualización de software de nivel superior de la carpeta Registros del sistema de sitio.Implemente las actualizaciones mediante el proceso Implementar actualizaciones de software .
En la página Descargar ubicaciones del Asistente para implementar software Novedades, seleccione la opción predeterminada Descargar actualizaciones de software desde Internet. En este escenario, el contenido ya está publicado en el punto de actualización de software, que se usa para descargar el contenido del paquete de implementación.
Los clientes tendrán que ejecutar un examen y evaluar las actualizaciones para poder ver los resultados de cumplimiento. Puede desencadenar manualmente este ciclo desde el panel de control de Configuration Manager en un cliente ejecutando la acción Ciclo de examen de software Novedades.
Opciones de catálogo v3 de terceros
Los catálogos V3 permiten actualizaciones por categorías. Al usar catálogos que incluyen actualizaciones categorizadas, puede configurar la sincronización para incluir solo categorías específicas de actualizaciones para evitar la sincronización de todo el catálogo. Con los catálogos clasificados, cuando esté seguro de que implementará una categoría, puede configurarla para que se descargue y publique automáticamente en WSUS.
Importante
Esta opción solo está disponible para catálogos de actualizaciones de terceros v3, que admiten categorías para actualizaciones. Estas opciones están deshabilitadas para los catálogos que no se publican en el formato v3.
En la consola de Configuration Manager, vaya al área de trabajo Biblioteca de software. Expanda Software Novedades y seleccione el nodo Catálogos de actualizaciones de software de terceros.
Seleccione el catálogo para suscribirse y seleccione Suscribirse al catálogo en la cinta de opciones.
Elija las opciones en la página Seleccionar categorías :
Sincronizar todas las categorías de actualización (valor predeterminado)
- Sincroniza todas las actualizaciones del catálogo de actualizaciones de terceros en Configuration Manager.
Selección de categorías para la sincronización
- Elija qué categorías y categorías secundarias se van a sincronizar en Configuration Manager.
Elija si desea almacenar provisionalmente el contenido de actualización del catálogo. Al almacenar provisionalmente el contenido, todas las actualizaciones de las categorías seleccionadas se descargan automáticamente en el punto de actualización de software de nivel superior, lo que significa que no es necesario asegurarse de que ya se han descargado antes de la implementación. Solo debe almacenar automáticamente el contenido de las actualizaciones que es probable que implemente para evitar los requisitos excesivos de ancho de banda y almacenamiento.
-
No preconfigure el contenido, sincronice solo para el examen (recomendado)
- No descargar contenido para actualizaciones en el catálogo de terceros
-
Almacenar automáticamente el contenido de las categorías seleccionadas
- Elija las categorías de actualización que descargarán automáticamente el contenido.
- El contenido de las actualizaciones de las categorías seleccionadas se descargará en el directorio de contenido WSUS del punto de actualización de software de nivel superior.
-
No preconfigure el contenido, sincronice solo para el examen (recomendado)
Establezca la programación para la sincronización de catálogos y, a continuación, complete el asistente.
Edición de una suscripción existente
Para editar una suscripción existente, seleccione Propiedades en la cinta de opciones o en el menú contextual.
Importante
Algunas opciones solo están disponibles para catálogos de actualizaciones de terceros v3, que admiten categorías para actualizaciones. Estas opciones están deshabilitadas para los catálogos que no se publican en el formato v3.
En el nodo Catálogos de actualizaciones de software de terceros , haga clic con el botón derecho en el catálogo y seleccione Propiedades o seleccione Propiedades en la cinta de opciones.
Puede ver la siguiente información desde la pestaña General, pero no editar la información:
Nota:
Si necesita cambiar cualquiera de la información aquí, tiene que agregar un nuevo catálogo personalizado.
Siempre que la dirección URL de descarga no cambie, el catálogo existente debe quitarse antes de que se pueda agregar uno con la misma dirección URL de descarga.- Dirección URL de descarga: dirección HTTPS del catálogo personalizado.
- Publicador: nombre de la organización que publica el catálogo.
- Nombre: nombre del catálogo que se va a mostrar en la consola de Configuration Manager.
- Descripción: descripción del catálogo.
- Dirección URL de soporte técnico: dirección HTTPS válida de un sitio web para obtener ayuda con el catálogo.
- Contacto de soporte técnico: información de contacto para obtener ayuda con el catálogo.
Elija las opciones en la pestaña Seleccionar categorías .
-
Sincronizar todas las categorías de actualización (valor predeterminado)
- Sincroniza todas las actualizaciones del catálogo de actualizaciones de terceros en Configuration Manager.
-
Selección de categorías para la sincronización
- Elija qué categorías y categorías secundarias se van a sincronizar en Configuration Manager.
-
Sincronizar todas las categorías de actualización (valor predeterminado)
Elija las opciones de la pestaña Stage update content (Actualizar contenido de fase).
-
No preconfigure el contenido, sincronice solo para el examen (recomendado)
- No descargar contenido para actualizaciones en el catálogo de terceros
-
Almacenar automáticamente el contenido de las categorías seleccionadas
- Elija las categorías de actualización que descargarán automáticamente el contenido.
- El contenido de las actualizaciones de las categorías seleccionadas se descargará en el directorio de contenido WSUS del punto de actualización de software de nivel superior.
-
No preconfigure el contenido, sincronice solo para el examen (recomendado)
Seleccione la frecuencia con la que se sincroniza el catálogo en la pestaña Programación .
- Programación sencilla: elija el intervalo de hora, día o mes.
- Programación personalizada: establezca una programación compleja.
Cancelar la suscripción al catálogo y eliminar catálogos personalizados
En el nodo Catálogos de actualizaciones de software de terceros , haga clic con el botón derecho en el catálogo y seleccione Cancelar suscripción para dejar de sincronizar el catálogo.
También puede usar la opción Cancelar suscripción de la cinta de opciones. Al cancelar la suscripción de un catálogo, se quita la aprobación para la firma del catálogo y los certificados de contenido de actualización. Las actualizaciones existentes no se quitan, pero es posible que no pueda implementarlas. Con los catálogos personalizados, también tiene la opción de eliminarlo después de cancelar la suscripción. Seleccione Eliminar catálogo personalizado en la cinta de opciones o en el menú contextual del catálogo. Al eliminar el catálogo personalizado, se quita de la vista en el nodo Catálogos de actualizaciones de software de terceros .
Supervisión del progreso de las actualizaciones de software de terceros
La sincronización de actualizaciones de software de terceros se controla mediante el componente de SMS_ISVUPDATES_SYNCAGENT en el punto de actualización de software predeterminado de nivel superior. Puede ver los mensajes de estado de este componente o ver un estado más detallado en .SMS_ISVUPDATES_SYNCAGENT.log
Este registro se encuentra en el punto de actualización de software de nivel superior de la carpeta Registros del sistema de sitio. De forma predeterminada, esta ruta de acceso es C:\Archivos de programa\Microsoft Configuration Manager\Logs. Para obtener más información sobre la supervisión del proceso general de administración de actualizaciones de software, consulte Supervisión de actualizaciones de software.
Enumerar catálogos adicionales de actualizaciones de terceros
Para ayudarle a encontrar catálogos personalizados que puede importar para actualizaciones de software de terceros, hay una página de documentación con vínculos a proveedores de catálogos. A partir de Configuration Manager 2107, también puede elegir Más catálogos en la cinta de opciones del nodo Catálogos de actualizaciones de software de terceros. Al hacer clic con el botón derecho en el nodo Catálogos de actualizaciones de software de terceros , se muestra un elemento de menú Más catálogos . Al seleccionar Más catálogos , se abre un vínculo a una página de documentación que contiene una lista de proveedores de catálogos de actualizaciones de software de terceros adicionales.
Problemas conocidos
- La máquina en la que se ejecuta la consola se usa para descargar las actualizaciones de WSUS y agregarla al paquete de actualizaciones. El certificado de firma wsus debe ser de confianza en la máquina de consola. Si no es así, es posible que vea problemas con la comprobación de firma durante la descarga de actualizaciones de terceros.
- El servicio de sincronización de actualizaciones de software de terceros no puede publicar contenido en actualizaciones de solo metadatos agregadas a WSUS por otra aplicación, herramienta o script, como SCUP. Se produce un error en la acción Publicar contenido de actualización de software de terceros en estas actualizaciones. Si necesita implementar actualizaciones de terceros que esta característica aún no admite, use el proceso existente en su totalidad para implementar esas actualizaciones.
- Configuration Manager tiene una nueva versión para el formato de archivo cab del catálogo. La nueva versión incluye los certificados de los archivos binarios del proveedor. Estos certificados se agregan al nodo Certificados en Seguridad en el área de trabajo Administración una vez que aprueba y confía en el catálogo.
- Puede seguir usando la versión anterior del archivo cab del catálogo siempre que la dirección URL de descarga sea https y las actualizaciones estén firmadas. El contenido no se publicará porque los certificados de los archivos binarios no están en el archivo cab y ya están aprobados. Para solucionar este problema, busque el certificado en el nodo Certificados , desbloquee y vuelva a publicar la actualización. Si va a publicar varias actualizaciones firmadas con certificados diferentes, deberá desbloquear cada certificado que se use.
- Para obtener más información, vea mensajes de estado 11523 y 11524 en la tabla de mensajes de estado siguiente.
- Cuando el servicio de sincronización de actualizaciones de software de terceros en el punto de actualización de software de nivel superior requiere un servidor proxy para el acceso a Internet, es posible que se produzcan errores en las comprobaciones de firma digital. Para mitigar este problema, configure los valores del proxy WinHTTP en el sistema de sitio. Para obtener más información, vea Comandos de Netsh para WinHTTP.
- Al usar una instancia de CMG para el almacenamiento de contenido, el contenido de las actualizaciones de terceros no se descargará en los clientes si la opciónDescargar contenido delta cuando esté disponible está habilitada.
- Si el proveedor de catálogos ha cambiado el certificado de firma del catálogo desde que lo aprobó por última vez o se suscribió, se producirá un error en la sincronización del catálogo hasta que se apruebe la certificación en el nodo Certificados . Para obtener más información, vea MessageID 11508 en la tabla de mensajes de estado .
Mensajes de estado
MessageID | Severity | Descripción | Posible causa | Posible solución |
---|---|---|---|---|
11508 | Error | Error al comprobar la firma del nombre> del catálogo <en WSUS. Asegúrese de que el catálogo está suscrito y que el certificado> de certificado <de catálogo no está bloqueado. Consulte SMS_ISVUPDATES_SYNCAGENT.log para obtener más detalles. |
La certificación de firma en el catálogo puede haber cambiado desde que se suscribió originalmente o se aprobó por última vez. | Asegúrese de revisar y aprobar el certificado en el nodo Certificados para permitir que el catálogo se sincronice. |
11516 | Error | No se pudo publicar el contenido de la actualización "Id. de actualización" porque el contenido no está firmado. Solo se puede publicar el contenido con firmas válidas. | Configuration Manager no permite publicar actualizaciones sin firmar. | Publique la actualización de forma alternativa.
Vea si hay una actualización firmada disponible del proveedor. |
11523 | Advertencia | El catálogo "X" no incluye certificados de firma de contenido; es posible que los intentos de publicar contenido de actualización para las actualizaciones de este catálogo no se realicen correctamente hasta que se agreguen y aprueben los certificados de firma de contenido. | Este mensaje puede producirse al importar un catálogo que usa una versión anterior del formato de archivo cab. | Póngase en contacto con el proveedor de catálogos para obtener un catálogo actualizado que incluya los certificados de firma de contenido.
Los certificados de los archivos binarios no se incluyen en el archivo cab, por lo que el contenido no se publicará. Para solucionar este problema, busque el certificado en el nodo Certificados , desbloquee y vuelva a publicar la actualización. Si va a publicar varias actualizaciones firmadas con certificados diferentes, deberá desbloquear cada certificado que se use. |
11524 | Error | No se pudo publicar la actualización "ID" debido a que faltan metadatos de actualización. | Es posible que la actualización se haya sincronizado con WSUS fuera de Configuration Manager. | Sincronice la actualización con Configuration Manager antes de intentar publicar su contenido.
Si se usó una herramienta externa para publicar la actualización solo como metadatos, use la misma herramienta para publicar el contenido de la actualización. |
Vídeo de trabajo con actualizaciones de terceros
PowerShell
Puede usar los siguientes cmdlets de PowerShell para automatizar la administración de actualizaciones de terceros en Configuration Manager:
- Get-CMThirdPartyUpdateCatalog
- New-CMThirdPartyUpdateCatalog
- Remove-CMThirdPartyUpdateCatalog
- Set-CMThirdPartyUpdateCatalog
- Publish-CMThirdPartySoftwareUpdateContent
- Get-CMThirdPartyUpdateCategory
- Set-CMThirdPartyUpdateCategory