Habilitar atualizações de terceiros
Aplica-se a: Configuration Manager (branch atual)
O nó Catálogos de Atualizações de Software de Terceiros na consola do Configuration Manager permite-lhe subscrever catálogos de terceiros, publicar as atualizações no ponto de atualização de software (SUP) e, em seguida, implementá-los em clientes.
Pré-requisitos
- Espaço em disco suficiente no diretório do ponto de atualização de software de
WSUSContent
nível superior para armazenar o conteúdo binário de origem para atualizações de software de terceiros.- A quantidade de armazenamento necessário varia consoante o fornecedor, os tipos de atualizações e as atualizações específicas que publicar para implementação.
- Se precisar de mover o
WSUSContent
diretório para outra unidade com mais espaço livre, veja a mensagem de blogue Como alterar a localização onde o WSUS armazena atualizações localmente .
- O serviço de sincronização de atualizações de software de terceiros requer acesso à Internet.
- Para a lista de catálogos de parceiros, é necessário download.microsoft.com através da porta HTTPS 443.
- Acesso à Internet a catálogos de terceiros e ficheiros de conteúdo de atualização. Podem ser necessárias portas adicionais que não 443.
- As atualizações de terceiros utilizam as mesmas definições de proxy que o SUP.
Requisitos adicionais quando o SUP é remoto a partir do servidor de site de nível superior
O SSL deve ser ativado no SUP quando for remoto. Isto requer um certificado de autenticação de servidor gerado a partir de uma autoridade de certificação interna ou através de um fornecedor público.
-
Configurar o SSL no WSUS
- Quando configurar o SSL no WSUS, tenha em atenção que alguns dos serviços Web e os diretórios virtuais são sempre HTTP e não HTTPS.
- Configuration Manager transfere conteúdos de terceiros para pacotes de atualização de software do diretório de conteúdos do WSUS através de HTTP.
- Configurar o SSL no SUP
-
Configurar o SSL no WSUS
Ao definir as atualizações de terceiros da configuração do certificado de assinatura WSUS para Configuration Manager gere o certificado nas Propriedades do Componente do Ponto de Atualização de Software, são necessárias as seguintes configurações para permitir a criação do certificado de assinatura WSUS autoassinado:
- O registo remoto deve estar ativado no servidor SUP.
- A conta de ligação do servidor WSUS deve ter permissões de registo remoto no servidor SUP/WSUS.
Crie a seguinte chave de registo no Configuration Manager servidor do site:
-
HKLM\Software\Microsoft\Update Services\Server\Setup
, crie um novo DWORD com o nome EnableSelfSignedCertificates com um valor de1
.
-
Para ativar a instalação do certificado de assinatura WSUS autoassinado para os Fabricantes Fidedignos e arquivos de Raiz Fidedigna no servidor SUP remoto:
A conta de ligação do servidor WSUS deve ter permissões de administração remota no servidor SUP.
Se este item não for possível, exporte o certificado do arquivo WSUS do computador local para os arquivos Fabricante Fidedigno e Raiz Fidedigna.
Observação
A conta de ligação do servidor WSUS pode ser identificada ao visualizar o separador Proxy e Definições de Conta nas propriedades da função sistema de sites do SUP. Se não for especificada uma conta, é utilizada a conta de computador do servidor do site.
Ativar atualizações de terceiros no SUP
Se ativar esta opção, pode subscrever catálogos de atualizações de terceiros na consola do Configuration Manager. Em seguida, pode publicar essas atualizações no WSUS e implementá-las nos clientes. Os passos seguintes devem ser executados uma vez por hierarquia para ativar e configurar a funcionalidade para utilização. Os passos poderão ter de ser novamente executados se alguma vez substituir o servidor WSUS do SUP de nível superior.
Na consola do Configuration Manager, aceda à área de trabalho Administração. Expanda Configuração do Site e selecione o nó Sites .
Selecione o site de nível superior na hierarquia. No friso, selecione Configurar Componentes do Site e selecionePonto de Atualização de Software.
Mude para o separador Atualizações de terceiros. Selecione a opção Ativar atualizações de software de terceiros.
Configurar o certificado de assinatura WSUS
Terá de decidir se pretende Configuration Manager gerir automaticamente o certificado de assinatura WSUS de terceiros com um certificado autoassinado ou se precisa de configurar manualmente o certificado.
Gerir automaticamente o certificado de assinatura do WSUS
Se não tiver um requisito para utilizar certificados PKI, pode optar por gerir automaticamente os certificados de assinatura para atualizações de terceiros. A gestão de certificados WSUS é feita como parte do ciclo de sincronização e é registada no wsyncmgr.log
.
- Na consola do Configuration Manager, aceda à área de trabalho Administração. Expanda Configuração do Site e selecione o nó Sites .
- Selecione o site de nível superior na hierarquia. No friso, selecione Configurar Componentes do Site e selecionePonto de Atualização de Software.
- Mude para o separador Atualizações de Terceiros. Selecione a opção Configuration Manager gere o certificado.
- É criado um novo certificado do tipo Assinatura WSUS de Terceiros no nó Certificados em Segurança na área de trabalho Administração .
Gerir manualmente o certificado de assinatura do WSUS
Se precisar de configurar manualmente o certificado, como a necessidade de utilizar um certificado PKI, terá de utilizar o System Center Atualizações Publisher ou outra ferramenta para o fazer.
- Configure o certificado de assinatura com o System Center Atualizações Publisher.
- Na consola do Configuration Manager, aceda à área de trabalho Administração. Expanda Configuração do Site e selecione o nó Sites .
- Selecione o site de nível superior na hierarquia. No friso, selecione Configurar Componentes do Site e selecionePonto de Atualização de Software.
- Mude para o separador Atualizações de terceiros. Selecione a opção Gerir manualmente o certificado.
Ativar atualizações de terceiros nos clientes
Ative as atualizações de terceiros nos clientes nas definições do cliente. A definição define a política Windows Update agente para Permitir atualizações assinadas para uma localização do serviço de atualização da Microsoft na intranet. Esta definição de cliente também instala o certificado de assinatura WSUS no arquivo fabricante fidedigno no cliente. O registo de gestão de certificados é visto nos updatesdeployment.log
clientes. Execute estes passos para cada definição de cliente personalizada que pretende utilizar para atualizações de terceiros. Para obter mais informações, veja o artigo Acerca das definições do cliente .
- Na consola do Configuration Manager, aceda à área de trabalho Administração e selecione o nó Definições do Cliente.
- Selecione uma definição de cliente personalizada existente ou crie uma nova.
- Selecione o separador Software Atualizações no lado esquerdo. Se não tiver este separador, certifique-se de que a caixa Atualizações software está ativada.
- Defina Ativar atualizações de software de terceiros como Sim.
Adicionar um catálogo personalizado
Os catálogos de parceiros são catálogos de fornecedores de software que já têm as respetivas informações registadas na Microsoft. Com os catálogos de parceiros, pode subscrevê-los sem ter de especificar informações adicionais. Os catálogos que adicionar são denominados catálogos personalizados. Pode adicionar um catálogo personalizado a partir de um fornecedor de atualizações de terceiros para Configuration Manager. Os catálogos personalizados têm de utilizar https e as atualizações têm de estar assinadas digitalmente.
Aceda à área de trabalho Biblioteca de Atualizações de Software, expanda Atualizações de software e selecione o nó Catálogos de Atualizações de Software de Terceiros.
selecione Adicionar Catálogo Personalizado no friso.
Na página Geral , especifique os seguintes itens:
- TRANSFERIR URL: um endereço HTTPS válido do catálogo personalizado.
- Publisher: o nome da organização que publica o catálogo.
- Nome: o nome do catálogo a apresentar na Consola do Configuration Manager.
- Descrição: uma descrição do catálogo.
- URL de suporte (opcional): um endereço HTTPS válido de um site para obter ajuda com o catálogo.
- Contacto de Suporte (opcional): informações de contacto para obter ajuda com o catálogo.
Selecione Seguinte para rever o resumo do catálogo e para continuar a concluir o Assistente de Software Atualizações Catálogo Personalizado de Terceiros.
Subscrever um catálogo de terceiros e sincronizar atualizações
Quando subscreve um catálogo de terceiros na consola do Configuration Manager, os metadados de cada atualização no catálogo são sincronizados nos servidores WSUS para os seus SUPs. A sincronização dos metadados permite que os clientes determinem se alguma das atualizações é aplicável. Execute os seguintes passos para cada catálogo de terceiros ao qual pretende subscrever:
- Na consola do Configuration Manager, aceda à área de trabalho Biblioteca de Software. Expanda Software Atualizações e selecione o nó Catálogos de Atualização de Software de Terceiros.
- Selecione o catálogo a subscrever e, em seguida, selecione Subscrever Catálogo no friso.
- Reveja e aprove o certificado de catálogo na página Rever e aprovar do assistente.
Observação
Quando subscreve um catálogo de atualizações de software de terceiros, o certificado que rever e aprovar no assistente é adicionado ao site. Este certificado é do tipo Catálogo de Atualizações software de terceiros. Pode geri-lo a partir do nó Certificados em Segurança na área de trabalho Administração .
- Se o catálogo de terceiros for v3, ser-lhe-ão oferecidas páginas para Selecionar Categorias e Conteúdo de Fase. Para obter mais informações sobre como configurar estas opções, consulte a secção Opções do catálogo v3 de terceiros .
-
Selecione as suas opções na página Agenda:
- Agenda simples: selecione o intervalo de hora, dia ou mês. A predefinição é uma agenda simples que é sincronizada a cada 7 dias.
- Agenda personalizada: defina uma agenda complexa.
- Reveja as suas definições na página Resumo e conclua o assistente.
- Após a transferência do catálogo, os metadados do produto têm de ser sincronizados a partir da base de dados do WSUS para a base de dados Configuration Manager. Inicie manualmente a sincronização de atualizações de software para sincronizar as informações do produto.
- Depois de sincronizar as informações do produto, configure o SUP para sincronizar o produto pretendido com Configuration Manager.
- Inicie manualmente a sincronização de atualizações de software para sincronizar as atualizações do novo produto em Configuration Manager.
- Quando a sincronização estiver concluída, pode ver as atualizações de terceiros no nó Todos os Atualizações. Estas atualizações são publicadas como atualizações apenas de metadados até que opte por publicá-las.
- O ícone com a seta azul representa uma atualização de software apenas para metadados.
Publicar e implementar atualizações de software de terceiros
Assim que as atualizações de terceiros estiverem no nó Todos os Atualizações, pode escolher que atualizações devem ser publicadas para implementação. Quando publica uma atualização, os ficheiros binários são transferidos do fornecedor e colocados WSUSContent
no diretório no SUP de nível superior.
Na consola do Configuration Manager, aceda à área de trabalho Biblioteca de Software. Expanda Software Atualizações e selecione o nó Todo o Software Atualizações.
Selecione Adicionar Critérios para filtrar a lista de atualizações. Por exemplo, adicione Fornecedor para HP. para ver todas as atualizações da HP.
Selecione as atualizações necessárias para a sua organização. Selecione Publicar Conteúdo de Atualização de Software de Terceiros.
- Esta ação transfere os binários de atualização do fornecedor e, em seguida, armazena-os
WSUSContent
no diretório no ponto de atualização de software de nível superior.
- Esta ação transfere os binários de atualização do fornecedor e, em seguida, armazena-os
Inicie manualmente a sincronização de atualizações de software para alterar o estado das atualizações publicadas de metadados apenas para atualizações implementáveis com conteúdo.
Observação
Quando publica conteúdo de atualização de software de terceiros, todos os certificados utilizados para assinar o conteúdo são adicionados ao site. Estes certificados são do tipo Software Atualizações Conteúdo de Terceiros. Pode geri-los a partir do nó Certificados em Segurança na área de trabalho Administração .
Reveja o progresso no
SMS_ISVUPDATES_SYNCAGENT.log
. O registo está localizado no ponto de atualização de software de nível superior na pasta Registos do sistema de sites.Implemente as atualizações com o processo Implementar atualizações de software .
Na página Localizações de Transferência do Assistente para Implementar Software Atualizações, selecione a opção predefinida para Transferir atualizações de software a partir da Internet. Neste cenário, o conteúdo já está publicado no ponto de atualização de software, que é utilizado para transferir o conteúdo do pacote de implementação.
Os clientes terão de executar uma análise e avaliar as atualizações antes de poder ver os resultados de compatibilidade. Pode acionar manualmente este ciclo a partir do painel de controlo Configuration Manager num cliente ao executar a ação Ciclo de Análise de Atualizações software.
Opções de catálogo v3 de terceiros
Os catálogos V3 permitem atualizações categorizadas. Ao utilizar catálogos que incluem atualizações categorizadas, pode configurar a sincronização para incluir apenas categorias específicas de atualizações para evitar sincronizar todo o catálogo. Com catálogos categorizados, quando tiver a certeza de que irá implementar uma categoria, pode configurá-la para transferir e publicar automaticamente no WSUS.
Importante
Esta opção só está disponível para catálogos de atualizações de terceiros v3, que suportam categorias para atualizações. Estas opções estão desativadas para catálogos que não são publicados no formato v3.
Na consola do Configuration Manager, aceda à área de trabalho Biblioteca de Software. Expanda Software Atualizações e selecione o nó Catálogos de Atualização de Software de Terceiros.
Selecione o catálogo a subscrever e selecione Subscrever Catálogo no friso.
Selecione as suas opções na página Selecionar Categorias :
Sincronizar todas as categorias de atualização (predefinição)
- Sincroniza todas as atualizações no catálogo de atualizações de terceiros para Configuration Manager.
Selecionar categorias para sincronização
- Escolha as categorias e categorias subordinadas a sincronizar com Configuration Manager.
Escolha se pretende Preparar o conteúdo da atualização para o catálogo. Ao testar o conteúdo, todas as atualizações nas categorias selecionadas são transferidas automaticamente para o ponto de atualização de software de nível superior, o que significa que não precisa de garantir que já foram transferidas antes da implementação. Só deve preparar automaticamente o conteúdo para as atualizações que é provável que implemente para evitar requisitos de largura de banda e armazenamento excessivos.
-
Não preparar conteúdo, sincronizar apenas para análise (recomendado)
- Não transfira conteúdos para atualizações no catálogo de terceiros
-
Testar automaticamente o conteúdo das categorias selecionadas
- Selecione as categorias de atualização que irão transferir conteúdo automaticamente.
- O conteúdo das atualizações nas categorias selecionadas será transferido para o diretório de conteúdo WSUS do ponto de atualização de software de nível superior.
-
Não preparar conteúdo, sincronizar apenas para análise (recomendado)
Defina a sua Agenda para sincronização de catálogo e, em seguida, conclua o assistente.
Editar uma subscrição existente
Pode editar uma subscrição existente ao selecionar Propriedades no friso ou no menu de contexto.
Importante
Algumas opções só estão disponíveis para catálogos de atualizações de terceiros v3, que suportam categorias para atualizações. Estas opções estão desativadas para catálogos que não são publicados no formato v3.
No nó Catálogos de Atualização de Software de Terceiros , clique com o botão direito do rato no catálogo e selecione Propriedades ou selecione Propriedades no friso .
Pode ver as seguintes informações no separador Geral, mas não pode editar as informações:
Observação
Se precisar de alterar alguma das informações aqui, tem de adicionar um novo catálogo personalizado.
Desde que o URL de transferência não seja alterado, o catálogo existente tem de ser removido antes de ser adicionado um com o mesmo URL de transferência.- TRANSFERIR URL: o endereço HTTPS do catálogo personalizado.
- Publisher: o nome da organização que publica o catálogo.
- Nome: o nome do catálogo a apresentar na Consola do Configuration Manager.
- Descrição: uma descrição do catálogo.
- URL de suporte: um endereço HTTPS válido de um site para obter ajuda com o catálogo.
- Contacto de Suporte: informações de contacto para obter ajuda com o catálogo.
Selecione as suas opções no separador Selecionar Categorias .
-
Sincronizar todas as categorias de atualização (predefinição)
- Sincroniza todas as atualizações no catálogo de atualizações de terceiros para Configuration Manager.
-
Selecionar categorias para sincronização
- Escolha as categorias e categorias subordinadas a sincronizar com Configuration Manager.
-
Sincronizar todas as categorias de atualização (predefinição)
Selecione as suas opções para o separador Conteúdo da atualização de fase .
-
Não preparar conteúdo, sincronizar apenas para análise (recomendado)
- Não transfira conteúdos para atualizações no catálogo de terceiros
-
Testar automaticamente o conteúdo das categorias selecionadas
- Selecione as categorias de atualização que irão transferir conteúdo automaticamente.
- O conteúdo das atualizações nas categorias selecionadas será transferido para o diretório de conteúdo WSUS do ponto de atualização de software de nível superior.
-
Não preparar conteúdo, sincronizar apenas para análise (recomendado)
Selecione a frequência de sincronização do catálogo no separador Agenda .
- Agenda simples: selecione o intervalo de hora, dia ou mês.
- Agenda personalizada: defina uma agenda complexa.
Anular a subscrição do catálogo e eliminar catálogos personalizados
No nó Catálogos de Atualizações de Software de Terceiros , clique com o botão direito do rato no catálogo e selecione Anular a subscrição para parar de sincronizar o catálogo.
Também pode utilizar a opção Anular subscrição do friso . Quando anula a subscrição de um catálogo, a aprovação dos certificados de conteúdo de assinatura e atualização do catálogo é removida. As atualizações existentes não são removidas, mas poderá não conseguir implementá-las. Com catálogos personalizados, também tem a opção de eliminá-lo depois de anular a subscrição. Selecione Eliminar Catálogo Personalizado no friso ou no menu de contexto do catálogo. Eliminar o catálogo personalizado remove-o da vista no nó Catálogos de Atualizações de Software de Terceiros .
Monitorizar o progresso das atualizações de software de terceiros
A sincronização de atualizações de software de terceiros é processada pelo componente SMS_ISVUPDATES_SYNCAGENT no ponto de atualização de software predefinido de nível superior. Pode ver status mensagens deste componente ou ver status mais detalhadas no SMS_ISVUPDATES_SYNCAGENT.log
. Este registo está no ponto de atualização de software de nível superior na pasta Registos do sistema de sites. Por predefinição, este caminho é C:\Programas\Microsoft Configuration Manager\Registos. Para obter mais informações sobre como monitorizar o processo geral de gestão de atualizações de software, veja Monitorizar atualizações de software.
Listar catálogos de atualizações adicionais de terceiros
Para o ajudar a encontrar catálogos personalizados que pode importar para atualizações de software de terceiros, existe uma página de documentação com ligações para fornecedores de catálogo. A partir do Configuration Manager 2107, também pode escolher Mais Catálogos no friso no nó Catálogos de atualizações de software de terceiros. Clicar com o botão direito do rato no nó Catálogos de Atualização de Software de Terceiros apresenta um item de menu Mais Catálogos . Selecionar Mais Catálogos abre uma ligação para uma página de documentação que contém uma lista de fornecedores de catálogos de atualizações de software de terceiros adicionais.
Problemas conhecidos
- O computador onde a consola está em execução é utilizado para transferir as atualizações do WSUS e adicioná-la ao pacote de atualizações. O certificado de assinatura WSUS tem de ser considerado fidedigno no computador da consola. Se não estiver, poderá ver problemas com a assinatura marcar durante a transferência de atualizações de terceiros.
- O serviço de sincronização de atualizações de software de terceiros não consegue publicar conteúdos em atualizações apenas de metadados que foram adicionadas ao WSUS por outra aplicação, ferramenta ou script, como o SCUP. A ação Publicar conteúdo de atualização de software de terceiros falha nestas atualizações. Se precisar de implementar atualizações de terceiros que esta funcionalidade ainda não suporta, utilize o processo existente na íntegra para implementar essas atualizações.
- Configuration Manager tem uma nova versão para o formato de ficheiro cab do catálogo. A nova versão inclui os certificados para os ficheiros binários do fornecedor. Estes certificados são adicionados ao nó Certificados em Segurança na área de trabalho Administração assim que aprovar e confiar no catálogo.
- Ainda pode utilizar a versão mais antiga do ficheiro cab do catálogo, desde que o URL de transferência seja https e as atualizações estejam assinadas. O conteúdo não será publicado porque os certificados dos binários não estão no ficheiro cab e já estão aprovados. Pode contornar este problema ao localizar o certificado no nó Certificados , desbloqueá-lo e, em seguida, publicar novamente a atualização. Se estiver a publicar várias atualizações assinadas com certificados diferentes, terá de desbloquear cada certificado utilizado.
- Para obter mais informações, consulte status mensagens 11523 e 11524 na tabela de mensagens status abaixo.
- Quando o serviço de sincronização de atualizações de software de terceiros no ponto de atualização de software de nível superior requer um servidor proxy para acesso à Internet, as verificações de assinatura digital podem falhar. Para mitigar este problema, configure as definições de proxy WinHTTP no sistema de sites. Para obter mais informações, veja Comandos Netsh para WinHTTP.
- Ao utilizar um CMG para armazenamento de conteúdos, o conteúdo das atualizações de terceiros não será transferido para os clientes se a definiçãoTransferir conteúdo delta quando disponível estiver ativada.
- Se o fornecedor de catálogo tiver alterado o certificado de assinatura do catálogo desde a última vez que o aprovou ou subscreveu, a sincronização do catálogo falhará até que a certificação seja aprovada no nó Certificados . Para obter mais informações, consulte MessageID 11508 na status tabela de mensagens.
Mensagens de status
MessageID | Severity | Descrição | Causa possível | Solução possível |
---|---|---|---|---|
11508 | Erro | Falha ao verificar a assinatura do nome> do catálogo de catálogo <no WSUS. Confirme que o catálogo está subscrito e que o certificado> de catálogo <não está bloqueado. Veja SMS_ISVUPDATES_SYNCAGENT.log para obter mais detalhes. |
A certificação de assinatura no catálogo pode ter sido alterada desde que foi originalmente subscrita ou aprovada pela última vez. | Confirme que revê e aprova o certificado no nó Certificados para permitir a sincronização do catálogo. |
11516 | Erro | Falha ao publicar conteúdo para a atualização "ID de Atualização" porque o conteúdo não está assinado. Apenas os conteúdos com assinaturas válidas podem ser publicados. | Configuration Manager não permite a publicação de atualizações não assinadas. | Publique a atualização de forma alternativa.
Verifique se está disponível uma atualização assinada do fornecedor. |
11523 | Aviso | O catálogo "X" não inclui certificados de assinatura de conteúdos, as tentativas de publicar conteúdo de atualização para atualizações deste catálogo poderão não ter êxito até que os certificados de assinatura de conteúdos sejam adicionados e aprovados. | Esta mensagem pode ocorrer quando importa um catálogo que está a utilizar uma versão mais antiga do formato de ficheiro cab. | Contacte o fornecedor do catálogo para obter um catálogo atualizado que inclua os certificados de assinatura de conteúdos.
Os certificados para os binários não estão incluídos no ficheiro cab, pelo que o conteúdo não será publicado. Pode contornar este problema ao localizar o certificado no nó Certificados , desbloqueá-lo e, em seguida, publicar novamente a atualização. Se estiver a publicar várias atualizações assinadas com certificados diferentes, terá de desbloquear cada certificado utilizado. |
11524 | Erro | Falha ao publicar a atualização "ID" devido a metadados de atualização em falta. | A atualização pode ter sido sincronizada com o WSUS fora do Configuration Manager. | Sincronize a atualização com Configuration Manager antes de tentar publicar o conteúdo da mesma.
Se uma ferramenta externa tiver sido utilizada para publicar a atualização apenas como Metadados, utilize a mesma ferramenta para publicar o conteúdo da atualização. |
Vídeo sobre como trabalhar com atualizações de terceiros
PowerShell
Pode utilizar os seguintes cmdlets do PowerShell para automatizar a gestão de atualizações de terceiros no Configuration Manager:
- Get-CMThirdPartyUpdateCatalog
- New-CMThirdPartyUpdateCatalog
- Remove-CMThirdPartyUpdateCatalog
- Set-CMThirdPartyUpdateCatalog
- Publish-CMThirdPartySoftwareUpdateContent
- Get-CMThirdPartyUpdateCategory
- Set-CMThirdPartyUpdateCategory