通过

启用第三方更新

  • 项目

适用于: Configuration Manager(current branch)

Configuration Manager控制台中的第三方软件更新目录节点允许订阅第三方目录,将其更新发布到软件更新点 (SUP) ,然后将其部署到客户端。

先决条件

  • 顶级软件更新点 WSUSContent 目录上的足够磁盘空间,用于存储第三方软件更新的源二进制内容。
    • 所需存储量因供应商、更新类型以及为部署发布的特定更新而异。
    • 如果需要将 WSUSContent 目录移动到具有更多可用空间的另一个驱动器,请参阅 如何更改 WSUS 在本地存储更新的位置 博客文章。
  • 第三方软件更新同步服务需要 Internet 访问。
    • 对于合作伙伴目录列表,需要通过 HTTPS 端口 443 download.microsoft.com。
    • Internet 访问任何第三方目录并更新内容文件。 可能需要除 443 以外的其他端口。
    • 第三方更新使用与 SUP 相同的代理设置。

SUP 远离顶级站点服务器时的其他要求

  1. 当 SUP 为远程时,应在 SUP 上启用 SSL。 这需要从内部证书颁发机构或通过公共提供程序生成的服务器身份验证证书。

    • 在 WSUS 上配置 SSL
      • 在 WSUS 上配置 SSL 时,请注意,某些 Web 服务和虚拟目录始终是 HTTP 而不是 HTTPS。
      • Configuration Manager通过 HTTP 从 WSUS 内容目录下载软件更新包的第三方内容。
    • 在 SUP 上配置 SSL

  2. 在软件更新点组件属性中将第三方更新 WSUS 签名证书配置设置为Configuration Manager管理证书时,需要以下配置才能允许创建自签名 WSUS 签名证书:

    • 应在 SUP 服务器上启用远程注册表。
    • WSUS 服务器连接帐户应对 SUP/WSUS 服务器具有远程注册表权限。

  3. 在Configuration Manager站点服务器上创建以下注册表项:

    • HKLM\Software\Microsoft\Update Services\Server\Setup,创建名为 EnableSelfSignedCertificates 且值为 的新 1DWORD。

  4. 若要将自签名 WSUS 签名证书安装到远程 SUP 服务器上的受信任发布者和受信任的根存储,请执行以下操作:

    • WSUS 服务器连接帐户应对 SUP 服务器具有远程管理权限。

      如果此项不可行,请将证书从本地计算机的 WSUS 存储导出到受信任的发布服务器和受信任的根存储区。

注意

可以通过查看 SUP 的站点系统角色属性上的“代理和帐户设置”选项卡来标识 WSUS 服务器连接帐户。 如果未指定帐户,则使用站点服务器的计算机帐户。

在 SUP 上启用第三方更新

如果启用此选项,则可以在 Configuration Manager 控制台中订阅第三方更新目录。 然后,可以将这些更新发布到 WSUS,并将其部署到客户端。 应按层次结构运行以下步骤一次,以启用和设置要使用的功能。 如果更换顶级 SUP 的 WSUS 服务器,可能需要重新运行这些步骤。

  1. 在Configuration Manager控制台中,转到“管理”工作区。 展开 “站点配置”,然后选择“ 站点” 节点。

  2. 选择层次结构中的顶级站点。 在功能区中,选择“ 配置站点组件”,然后选择“ 软件更新点”。

  3. 切换到“第三方汇报”选项卡。选择“启用第三方软件更新”选项。

    第三方更新 SUP 属性屏幕截图

配置 WSUS 签名证书

需要确定是希望Configuration Manager使用自签名证书自动管理第三方 WSUS 签名证书,还是需要手动配置证书。

自动管理 WSUS 签名证书

如果不需要使用 PKI 证书,可以选择自动管理第三方更新的签名证书。 WSUS 证书管理作为同步周期的一部分完成,并记录在 中 wsyncmgr.log

  1. 在Configuration Manager控制台中,转到“管理”工作区。 展开 “站点配置”,然后选择“ 站点” 节点。
  2. 选择层次结构中的顶级站点。 在功能区中,选择“ 配置站点组件”,然后选择“ 软件更新点”。
  3. 切换到“第三方汇报”选项卡。选择Configuration Manager管理证书的选项
  4. “管理”工作区的“安全性”下的“证书”节点中创建第三方 WSUS 签名类型的新证书。

手动管理 WSUS 签名证书

如果需要手动配置证书(例如需要使用 PKI 证书),则需要使用 System Center 汇报 Publisher 或其他工具来执行此操作。

  1. 使用 System Center 汇报 Publisher 配置签名证书。
  2. 在Configuration Manager控制台中,转到“管理”工作区。 展开 “站点配置”,然后选择“ 站点” 节点。
  3. 选择层次结构中的顶级站点。 在功能区中,选择“ 配置站点组件”,然后选择“ 软件更新点”。
  4. 切换到“第三方汇报”选项卡。选择“手动管理证书”选项。

在客户端上启用第三方更新

在客户端设置中对客户端启用第三方更新。 设置设置允许 Intranet Microsoft更新服务位置的Windows 更新代理策略。 此客户端设置还会将 WSUS 签名证书安装到客户端上的受信任发布服务器存储。 证书管理日志记录在 客户端上可见 updatesdeployment.log 。 针对要用于第三方更新的每个自定义客户端设置运行这些步骤。 有关详细信息,请参阅 关于客户端设置 一文。

  1. 在Configuration Manager控制台中,转到“管理”工作区并选择“客户端设置”节点。
  2. 选择现有自定义客户端设置或创建新客户端设置。
  3. 选择左侧的“软件汇报”选项卡。 如果没有此选项卡,请确保已启用“软件汇报”框。
  4. “启用第三方软件更新” 设置为 “是”。

添加自定义目录

合作伙伴目录 是已向 Microsoft 注册其信息的软件供应商目录。 借助合作伙伴目录,无需指定任何其他信息即可订阅它们。 添加的目录称为 自定义目录。 可以将第三方更新供应商的自定义目录添加到Configuration Manager。 自定义目录必须使用 https,并且更新必须经过数字签名。

  1. 转到“软件汇报库”工作区,展开“软件更新”,然后选择“第三方软件更新目录”节点。

    第三方更新节点屏幕截图

  2. 在功能区中选择“ 添加自定义目录 ”。

    第三方更新添加自定义目录

  3. 在“ 常规 ”页上,指定以下项:

    • 下载 URL:自定义目录的有效 HTTPS 地址。
    • 发布者:发布目录的组织的名称。
    • 名称:要显示在Configuration Manager控制台中的目录的名称。
    • 说明:目录的说明。
    • 支持 URL (可选) :用于获取目录帮助的网站的有效 HTTPS 地址。
    • 支持联系人 (可选) :获取目录帮助的联系信息。

  4. 选择“下一步”查看目录摘要并继续完成第三方软件汇报自定义目录向导

订阅第三方目录并同步更新

在 Configuration Manager 控制台中订阅第三方目录时,目录中每个更新的元数据都会同步到 SUP 的 WSUS 服务器中。 通过同步元数据,客户端可以确定任何更新是否适用。 针对要订阅的每个第三方目录执行以下步骤:

  1. 在Configuration Manager控制台中,转到“软件库”工作区。 展开“软件汇报并选择”第三方软件更新目录“节点。
  2. 选择要订阅的目录,然后在功能区中选择“ 订阅目录 ”。 第三方更新订阅目录
  3. 在向导的“审阅和批准”页上 查看和批准 目录证书。

    注意

    订阅第三方软件更新目录时,将在向导中查看和批准的证书添加到站点。 此证书的类型为第三方软件汇报目录。 可以从“管理”工作区中“安全性”下的“证书”节点对其进行管理

  4. 如果第三方目录为 v3,则会向你提供 “选择类别阶段内容”页面。 有关配置这些选项的详细信息,请参阅 第三方 v3 目录选项 部分。
  5. “计划 ”页上选择选项:
    • 简单计划:选择小时、天或月间隔。 默认为简单计划,每 7 天同步一次。
    • 自定义计划:设置复杂计划。
  6. “摘要 ”页上查看设置并完成向导。
  7. 下载目录后,需要将产品元数据从 WSUS 数据库同步到Configuration Manager数据库。 手动启动软件更新同步 以同步产品信息。
  8. 同步产品信息后,配置 SUP 以将所需产品同步到Configuration Manager。
  9. 手动启动软件更新同步,将新产品的更新同步到Configuration Manager。
  10. 同步完成后,可以在“所有汇报”节点中看到第三方更新。 这些更新将作为 仅元数据 更新发布,直到你选择发布它们。
    • 带有蓝色箭头的图标表示仅限元数据的软件更新。 “仅元数据”软件更新“图标

发布和部署第三方软件更新

第三方更新进入“所有汇报”节点后,可以选择应发布哪些更新进行部署。 发布更新时,二进制文件将从供应商处下载并放入 WSUSContent 顶级 SUP 上的目录中。

  1. 在Configuration Manager控制台中,转到“软件库”工作区。 展开“软件汇报并选择”所有软件汇报“节点。

  2. 选择 “添加条件” 以筛选更新列表。 例如,为 HP 添加 Vendor。若要查看来自 HP 的所有更新。

  3. 选择组织所需的更新。 选择 “发布第三方软件更新内容”。

    • 此操作从供应商处下载更新二进制文件,然后将其存储在 WSUSContent 顶级软件更新点的目录中。

  4. 手动启动软件更新同步, 将已发布更新的状态从仅元数据更改为包含内容的可部署更新。

    注意

    发布第三方软件更新内容时,用于对内容进行签名的任何证书将添加到站点。 这些证书的类型为第三方软件汇报内容。 可以从“管理”工作区中“安全性”下的“证书”节点管理它们。

  5. 查看 中的 SMS_ISVUPDATES_SYNCAGENT.log进度。 日志位于站点系统日志文件夹中的顶级软件更新点上。

  6. 使用部署 软件更新过程部署更新

  7. “部署软件汇报向导”的“下载位置”页上,选择默认选项“从 Internet 下载软件更新”。 在此方案中,内容已发布到软件更新点,软件更新点用于下载部署包的内容。

  8. 客户端需要运行扫描并评估更新,然后才能看到符合性结果。 可以通过运行“软件汇报扫描周期”操作,从客户端上的Configuration Manager控制面板手动触发此周期。

第三方 v3 目录选项

V3 目录允许分类更新。 使用包含分类更新的目录时,可以将同步配置为仅包含特定类别的更新,以避免同步整个目录。 使用分类目录时,如果确信将部署类别,则可以将其配置为自动下载并发布到 WSUS。

重要

此选项仅适用于支持更新类别的 v3 第三方更新目录。 对于未以 v3 格式发布的目录,将禁用这些选项。

  1. 在Configuration Manager控制台中,转到“软件库”工作区。 展开“软件汇报并选择”第三方软件更新目录“节点。

  2. 选择要订阅的目录,然后在功能区中选择“ 订阅目录 ”。

  3. 在“ 选择类别” 页上选择选项:

    • 同步默认) (所有更新类别

      • 将第三方更新目录中的所有更新同步到Configuration Manager。

    • 选择要同步的类别

      • 选择要同步到Configuration Manager的类别和子类别。

      选择要同步到Configuration Manager的更新类别

  4. 选择是否要 暂存目录的更新内容 。 暂存内容时,所选类别中的所有更新都会自动下载到顶级软件更新点,这意味着在部署之前无需确保它们已下载。 应仅针对可能部署的更新自动暂存内容,以避免带宽和存储要求过高。

    • 不要暂存内容,同步以仅扫描 (建议)
      • 不要在第三方目录中下载任何更新内容
    • 自动暂存所选类别的内容
      • 选择将自动下载内容的更新类别。
      • 所选类别中的更新内容将下载到顶级软件更新点的 WSUS 内容目录。 选择要暂存内容的更新类别

  5. 设置目录同步 的计划 ,然后完成向导。

编辑现有订阅

可以通过从功能区或右键单击菜单中选择 “属性” 来编辑现有订阅。

重要

某些选项仅适用于支持更新类别的 v3 第三方更新目录。 对于未以 v3 格式发布的目录,将禁用这些选项。

  1. 在“ 第三方软件更新目录”节点中 ,右键单击目录并选择 “属性” 或从功能区中选择“ 属性 ”。

  2. 可以从 “常规”选项卡查看以下信息,但不能编辑信息:

    注意

    如果需要更改此处的任何信息,则必须添加新的自定义目录。
    如果下载 URL 保持不变,必须先删除现有目录,然后才能添加具有相同下载 URL 的目录。

    • 下载 URL:自定义目录的 HTTPS 地址。
    • 发布者:发布目录的组织的名称。
    • 名称:要显示在Configuration Manager控制台中的目录的名称。
    • 说明:目录的说明。
    • 支持 URL:网站的有效 HTTPS 地址,用于获取有关目录的帮助。
    • 支持联系人:获取目录帮助的联系信息。

  3. 在“ 选择类别 ”选项卡上选择选项。

    • 同步默认) (所有更新类别
      • 将第三方更新目录中的所有更新同步到Configuration Manager。
    • 选择要同步的类别
      • 选择要同步到Configuration Manager的类别和子类别。

  4. 选择“ 阶段更新内容 ”选项卡的选项。

    • 不要暂存内容,同步以仅扫描 (建议)
      • 不要在第三方目录中下载任何更新内容
    • 自动暂存所选类别的内容
      • 选择将自动下载内容的更新类别。
      • 所选类别中的更新内容将下载到顶级软件更新点的 WSUS 内容目录。

  5. 在“ 计划 ”选项卡上选择同步目录的频率。

    • 简单计划:选择小时、天或月间隔。
    • 自定义计划:设置复杂计划。

取消订阅目录并删除自定义目录

在“ 第三方软件更新目录”节点中 ,右键单击目录并选择“ 取消订阅 ”以停止同步目录。
还可以使用功能区中的 “取消订阅 ”选项。 取消订阅目录时,将删除对目录签名和更新内容证书的审批。 现有更新不会删除,但可能无法部署它们。 使用自定义目录时,还可以选择在取消订阅后将其删除。 从功能区或目录的右键单击菜单中选择 “删除自定义 目录”。 删除自定义目录会将其从 第三方软件更新目录 节点的视图中删除。

监视第三方软件更新的进度

第三方软件更新的同步由顶级默认软件更新点上的 SMS_ISVUPDATES_SYNCAGENT 组件处理。 可以查看此组件中的状态消息,或在 中 SMS_ISVUPDATES_SYNCAGENT.log查看更详细的状态。 此日志位于站点系统日志文件夹中的顶级软件更新点上。 默认情况下,此路径为 C:\Program Files\Microsoft Configuration Manager\Logs。 有关监视常规软件更新管理过程的详细信息,请参阅 监视软件更新

列出其他第三方更新目录

为了帮助你查找可以为第三方软件更新导入的自定义目录,有一个文档页面,其中包含指向目录提供程序的链接。 从 Configuration Manager 2107 开始,还可以从第三方软件更新目录节点的功能区中选择“更多目录”。 右键单击“ 第三方软件更新目录” 节点会显示“ 更多目录” 菜单项。 选择“ 更多目录 ”将打开文档页的链接,其中包含 其他第三方软件更新目录提供程序的列表

功能区中带有“更多目录”图标的第三方软件更新目录节点的屏幕截图

已知问题

  • 运行控制台的计算机用于从 WSUS 下载更新并将其添加到更新包。 必须在控制台计算机上信任 WSUS 签名证书。 否则,可能会在下载第三方更新期间看到签名检查问题。
  • 第三方软件更新同步服务无法将内容发布到其他应用程序、工具或脚本(如 SCUP)添加到 WSUS 的仅元数据更新。 发布 第三方软件更新内容 操作在这些更新上失败。 如果需要部署此功能尚不支持的第三方更新,请完全使用现有过程来部署这些更新。
  • Configuration Manager具有目录 cab 文件格式的新版本。 新版本包含供应商二进制文件的证书。 批准并信任目录后,这些证书将添加到“管理”工作区中“安全性”下的“证书”节点。
    • 只要下载 URL 为 https 且更新已签名,你仍然可以使用较旧的目录 cab 文件版本。 内容将无法发布,因为二进制文件的证书不在 cab 文件中,并且已获得批准。 可以通过在“ 证书” 节点中找到证书来解决此问题,取消阻止该证书,然后再次发布更新。 如果要发布使用不同证书签名的多个更新,则需要取消阻止使用的每个证书。
    • 有关详细信息,请参阅以下状态消息表中的状态消息 11523 和 11524。
  • 当顶级软件更新点上的第三方软件更新同步服务需要代理服务器进行 Internet 访问时,数字签名检查可能会失败。 若要缓解此问题,请在站点系统上配置 WinHTTP 代理设置。 有关详细信息,请参阅 WinHTTP 的 Netsh 命令
  • 将 CMG 用于内容存储时,如果启用了“在可用时下载增量内容客户端设置,则第三方更新的内容不会下载到客户端。
  • 如果目录提供程序自上次批准或订阅目录签名证书以来更改了目录的签名证书,则目录同步将失败,直到证书在 “证书” 节点中获得批准。 有关详细信息,请参阅 状态消息 表中的 MessageID 11508。

状态消息

MessageID Severity 说明 可能的原因 可能的解决方案
11508 错误 检查目录 <目录名称> 到 WSUS 的签名时失败。 确保目录已订阅,并且目录证书<>证书未阻止。 有关更多详细信息,请参阅 SMS_ISVUPDATES_SYNCAGENT.log 自最初订阅或上次批准以来,目录上的签名认证可能已更改。 请务必在“ 证书” 节点中查看和批准证书,以允许目录同步。
11516 错误 无法发布更新“更新 ID”的内容,因为内容未签名。 只能发布具有有效签名的内容。 Configuration Manager不允许发布未签名的更新。 以另一种方式发布更新。

查看供应商是否提供了已签名的更新。
11523 警告 目录“X”不包括内容签名证书,在添加和批准内容签名证书之前,尝试发布来自此目录的更新的更新内容可能会失败。 导入使用旧版 cab 文件格式的目录时,可能会出现此消息。 请联系目录提供程序以获取包含内容签名证书的更新目录。

二进制文件的证书未包含在 cab 文件中,因此内容将无法发布。 可以通过在“ 证书” 节点中找到证书来解决此问题,取消阻止该证书,然后再次发布更新。 如果要发布使用不同证书签名的多个更新,则需要取消阻止使用的每个证书。
11524 错误 由于缺少更新元数据,无法发布更新“ID”。 更新可能已在 Configuration Manager 外部同步到 WSUS。 在尝试发布更新内容之前,请将更新与Configuration Manager同步。

如果使用外部工具将更新仅发布为 元数据,则使用相同的工具发布更新内容。

使用第三方更新视频

PowerShell

可以使用以下 PowerShell cmdlet 在 Configuration Manager 中自动管理第三方更新:

后续步骤

部署软件更新