安装和配置软件更新点
适用于: Configuration Manager(current branch)
重要
在安装软件更新点站点系统角色 (SUP) 之前,必须验证服务器是否满足所需的依赖项并确定站点上的软件更新点基础结构。 有关如何规划软件更新和确定软件更新点基础结构的详细信息,请参阅 规划软件更新。
管理中心站点和主站点上需要软件更新点,才能启用软件更新符合性评估和将软件更新部署到客户端。 软件更新点在辅助站点上是可选的。 必须在安装了 WSUS 的服务器上创建软件更新点站点系统角色。 软件更新点与 WSUS 服务交互,以配置软件更新设置并请求软件更新元数据的同步。 如果具有Configuration Manager层次结构,请先在管理中心站点上安装和配置软件更新点,然后在子主站点上安装并配置软件更新点,然后在辅助站点上安装和配置软件更新点。 如果你有独立主站点,而不是管理中心站点,请先在主站点上安装和配置软件更新点,然后选择性地在辅助站点上安装和配置软件更新点。 某些设置仅在顶级站点上配置软件更新点时可用。 根据软件更新点的安装位置,必须考虑不同的选项。
重要
- 可以在一个站点上安装多个软件更新点。 安装的第一个软件更新点配置为同步源,它将从 Microsoft Update 或上游同步源同步更新。 站点上的其他软件更新点配置为第一个软件更新点的副本。 因此,在安装和配置初始软件更新点后,某些设置不可用。
- 不支持在已配置为独立 WSUS 服务器的服务器上安装软件更新点站点系统角色,或使用软件更新点直接管理 WSUS 客户端。 现有 WSUS 服务器仅支持作为活动软件更新点的上游同步源。 请参阅 从上游数据源位置同步
可以将软件更新点站点系统角色添加到现有站点系统服务器,也可以创建新的站点系统服务器。 在“创建站点系统服务器向导”或“添加站点系统角色向导”的“系统角色选择”页上,根据是将站点系统角色添加到新的站点服务器还是现有站点服务器,选择“软件更新点”,然后在向导中配置软件更新点设置。 根据所使用的Configuration Manager版本,设置会有所不同。 有关如何安装站点系统角色的详细信息,请参阅 安装站点系统角色。
使用以下部分了解有关站点上的软件更新点设置的信息。
代理服务器设置
可以在“创建站点系统服务器向导”或“添加站点系统角色向导”的不同页面上配置代理服务器设置,具体取决于所使用的Configuration Manager的版本。
必须配置代理服务器,然后指定何时使用代理服务器进行软件更新。 配置以下设置:
在向导的“ 代理 ”页或“站点系统属性”中的“ 代理 ”选项卡上配置代理服务器设置。 代理服务器设置特定于站点系统,这意味着所有站点系统角色都使用指定的代理服务器设置。
指定在Configuration Manager同步软件更新以及使用自动部署规则下载内容时是否使用代理服务器。 在向导的“ 代理和帐户设置” 页上或“软件更新点属性”中的“ 代理和帐户设置” 选项卡上配置软件更新点代理服务器设置。
可以使用“ 使用自动部署规则下载内容时使用代理 ”设置,但它不用于辅助站点上的软件更新点。 只有管理中心站点和主站点上的软件更新点从“Microsoft更新”页下载内容。
默认情况下,在自动部署规则运行时,将使用创建自动部署规则的服务器的 本地系统 帐户连接到 Internet 并下载软件更新。 如果此帐户无权访问 Internet,则无法下载软件更新,并将以下条目记录到 ruleengine.log: 无法从 Internet 下载更新。错误 = 12007。 配置凭据以在本地系统帐户无法访问 Internet 时连接到代理服务器。
WSUS 设置
必须在“创建站点系统服务器向导”或“添加站点系统角色向导”的不同页面上配置 WSUS 设置,具体取决于所使用的Configuration Manager版本,在某些情况下,仅在软件更新点的属性中配置 WSUS 设置,也称为软件更新点组件属性。 使用以下部分中的信息配置 WSUS 设置。
重要
为确保最佳安全协议到位,强烈建议使用 TLS/SSL 协议来帮助保护软件更新基础结构。 从 2020 年 9 月累积更新开始,基于 HTTP 的 WSUS 服务器默认是安全的。 默认情况下,不再允许客户端针对基于 HTTP 的 WSUS 扫描更新,以利用用户代理。 如果尽管存在安全权衡,但仍需要用户代理,可以使用新的 软件更新客户端设置 来允许这些连接。 有关扫描 WSUS 的更改的详细信息,请参阅 2020 年 9 月更改以提高扫描 WSUS 的 Windows 设备的安全性。
WSUS 端口设置
必须在向导的 “软件更新点 ”页或软件更新点的属性中配置 WSUS 端口设置。 使用以下过程确定 WSUS 使用的端口设置:
确定 IIS 中使用的端口设置
- 在 WSUS 服务器上,打开“Internet Information Services (IIS) 管理器”。
- 展开“站点”,选择 WSUS 管理站点,然后从“操作”窗格中选择“绑定”。 在“ 网站绑定 ”对话框中,HTTP 和 HTTPS 端口值显示在“ 端口 ”列中。
配置到 WSUS 的 SSL 通信
为确保最佳安全协议到位,强烈建议使用 TLS/SSL 协议来帮助保护软件更新基础结构。 可以在向导的 “软件更新点 ”页或软件更新点属性的“ 常规 ”选项卡上配置 SSL 通信。 在选择“ 要求与 SUP 的 WSUS 服务器进行 SSL 通信 ”选项之前,请确保已在 WSUS 服务器上启用 SSL 通信。
有关如何使用 SSL 的详细信息,请参阅 决定是否将 WSUS 配置为使用 SSL 和 配置软件更新点以将 TLS/SSL 与 PKI 证书配合使用。
允许云管理网关流量
可以启用软件更新点,以通过云管理网关 (CMG) 接受来自 Internet 上的客户端的通信。 有关此设置的详细信息,请参阅 为 CMG 流量配置面向客户端的角色。
调整下载速度以使用未使用的网络带宽 (Windows LEDBAT)
(版本 2203) 中引入
从 Configuration Manager 版本 2203 开始,你可以为运行 Windows Server 2016 或更高版本的软件更新点启用 Windows 低额外延迟后台传输 (LEDBAT) 。 LEDBAT 在针对 WSUS 进行客户端扫描期间调整下载速度,以帮助控制网络拥塞。
如果站点系统同时具有分发点和软件更新点角色,则可以在角色上单独配置 LEDBAT。 例如,如果仅对分发点角色启用 LEDBAT,则软件更新点角色不会继承相同的配置。
若要将 LEDBAT 用于运行 Windows Server 2016 或更高版本的 SUP,请从以下位置之一启用“调整下载速度以使用未使用的网络带宽 (Windows LEDBAT) ”设置:
- 在安装 软件更新点 向导的“软件更新点”页上
- 在软件更新点属性的“ 常规 ”选项卡中
有关 Windows LEDBAT 的更多常规信息,请参阅 内容管理的基本概念。
WSUS 服务器连接帐户
可以配置站点服务器连接到在软件更新点上运行的 WSUS 时要使用的帐户。 如果未配置此帐户,Configuration Manager使用站点服务器的计算机帐户连接到 WSUS。 在向导的“ 代理和帐户设置” 页上,或者在软件更新点“属性”中的“ 代理和帐户设置” 选项卡上配置 WSUS 服务器连接帐户。 可以根据所使用的Configuration Manager版本,在向导的不同位置配置帐户。
有关Configuration Manager帐户的详细信息,请参阅使用的帐户。
同步源
可以在向导的“同步 源 ”页上或在“软件更新点组件属性 ”中的“同步设置” 选项卡上配置软件更新同步的上游同步源。 同步源的选项因站点而异。
在站点上配置软件更新点时,请使用下表中的可用选项。
Site | 可用的同步源选项 |
---|---|
- 管理中心站点 - 独立主站点 |
- 从Microsoft更新网站同步 - 从上游数据源位置同步 - 不从Microsoft更新或上游数据源同步 |
- 站点中的其他软件更新点 - 子主站点 - 辅助站点 |
- 从上游数据源位置同步 |
以下列表提供了有关可以用作同步源的每个选项的详细信息:
从Microsoft更新同步:使用此设置从Microsoft更新同步软件更新元数据。 管理中心站点必须具有 Internet 访问权限;否则,同步将失败。 仅当在顶级站点上配置软件更新点时,此设置才可用。
当软件更新点和 Internet 之间存在防火墙时,可能需要将防火墙配置为接受用于 WSUS 网站的 HTTP 和 HTTPS 端口。 还可以选择将防火墙上的访问限制为受限域。 有关如何规划支持软件更新的防火墙的详细信息,请参阅 配置防火墙。
如果要共享 WSUS 数据库,请注意,Configuration Manager在前端 WSUS 服务器之间随机选择软件更新点。 确保满足每个 WSUS 服务器的 Internet 访问要求 。 如果不满足 Internet 访问要求,则可能会出现同步失败。 你可能会在顶级站点中看到不同的软件更新点与Microsoft同步。
从上游数据源位置同步:使用此设置从上游同步源同步软件更新元数据。 子主站点和辅助站点会自动配置为使用此设置的父站点 URL。 可以选择从现有 WSUS 服务器同步软件更新。 指定 URL,例如
https://WSUSServer:8531
,其中 8531 是用于连接到 WSUS 服务器的端口。不要从Microsoft更新或上游数据源同步:在顶级站点的软件更新点与 Internet 断开连接时,使用此设置手动同步软件更新。 有关详细信息,请参阅 从断开连接的软件更新点同步软件更新。
还可以配置是在向导的 “同步源 ”页上还是在“软件更新点组件属性 ”中的“同步设置” 选项卡上创建 WSUS 报告事件。 Configuration Manager不使用这些事件;因此,通常选择默认设置“不创建 WSUS 报告事件”。
同步计划
在向导的“ 同步计划 ”页或“软件更新点组件属性”中配置同步计划。 此设置仅在顶层站点的软件更新点上配置。
如果启用计划,则可以配置重复的简单同步计划或自定义同步计划。 配置简单计划时,开始时间基于创建计划时运行 Configuration Manager 控制台的计算机的本地时间。 为自定义计划配置开始时间时,它将基于运行 Configuration Manager 控制台的计算机的本地时间。
提示
- 计划软件更新同步,以便使用适合你的环境的时间范围运行。 一种典型的方案是将软件更新同步计划设置为在每个月的第二个星期二(通常称为“星期二补丁星期二”)Microsoft定期安全更新发布后不久运行。 另一个典型方案是,在使用软件更新提供 Endpoint Protection 定义和引擎更新时,将软件更新同步计划设置为每天运行。
- 选择不按计划启用软件更新同步时,可以从“软件库”工作区中的“所有软件汇报或软件更新组”节点手动同步软件更新。 有关详细信息,请参阅 同步软件更新。
取代规则
在向导的“ 取代规则” 页上或“软件更新点组件属性”中的“ 取代规则 ”选项卡上配置取代设置。 只能在顶级站点上配置取代规则。 还可以单独指定功能更新和非功能更新的取代规则行为。
注意
仅当在站点中配置第一个软件更新点时,向导的“ 取代规则 ”页才可用。 安装其他软件更新点时,不会显示此页面。
在此页上,可以指定Configuration Manager中被取代的软件更新何时过期,这会阻止它们包含在新部署中,并标记现有部署以指示被取代的软件更新包含一个或多个过期的软件更新。 可以指定被取代的软件更新过期之前的一段时间,这样就可以继续部署它们。 有关详细信息,请参阅 取代规则。
默认设置是等待 3 个月,然后过期被取代的更新。 默认值为 3 个月,以便有时间验证任何客户端计算机不再需要更新。 建议不要假设取代的更新应立即过期,转而支持新的取代更新。 可以在软件更新属性中的“ 取代信息 ”选项卡上显示取代软件更新的软件更新列表。
WSUS 维护
Configuration Manager可以自动运行最常见的 WSUS 维护任务。 有关这些任务的详细信息,请参阅 软件更新维护。
最大运行时间
可以指定软件更新安装必须完成的最长时间。 可以指定以下内容的最大运行时间:
Windows 功能更新的最大运行时间 (分钟)
-
功能更新 - 这三种分类之一中的更新:
- 升级
- 更新汇总
- Service Pack
-
功能更新 - 这三种分类之一中的更新:
Windows Office 365更新和非功能更新的最大运行时间 (分钟)
-
非功能更新 - 不是功能升级的更新,其产品列为以下其中一项:
- Windows 11
- Windows 10 () 的所有版本
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Office 365
-
非功能更新 - 不是功能升级的更新,其产品列为以下其中一项:
这些类别以外的所有其他软件更新(例如第三方更新)的最大运行时间 (分钟) :这些更新的默认最大运行时间因更新首次同步到环境和Configuration Manager版本而异。 使用以下购物车确定这些更新的最大运行时值:
2203 或更高版本 2103、2107 或 2111 2010 所有其他软件更新的最大运行时间是可自定义的。 默认值为 60 分钟。 60 分钟 10 分钟 重要
- 此设置仅更改 SUP 同步的新更新的最大运行时。 它不会更改修改运行时间之前同步的现有更新的运行时。 例如,如果
Update 1
首先同步到 2111 环境,则最大运行时间为 60 分钟。 然后,将环境升级到版本 2203,并将最大运行时间设置为 30 分钟。Update 1
保留 60 分钟的运行时。 但是,当新的更新Update 2
同步到 时,会为它提供新的 30 分钟的运行时间。 - 如果需要手动更改更新的最大运行时间,可以为其 配置软件更新设置 。
- 此设置仅更改 SUP 同步的新更新的最大运行时。 它不会更改修改运行时间之前同步的现有更新的运行时。 例如,如果
分类
在向导的“ 分类 ”页上或“软件更新点组件属性”中的“ 分类 ”选项卡上配置分类设置。 有关软件更新分类的详细信息,请参阅 更新分类。
提示
- 仅当在站点中配置第一个软件更新点时,向导的“ 分类 ”页才可用。 安装其他软件更新点时,不会显示此页面。
- 首次在顶级站点上安装软件更新点时,请清除所有软件更新分类。 初始软件更新同步后,从更新的列表中配置分类,然后重新启动同步。 此设置仅在顶层站点的软件更新点上配置。
产品
在向导的“ 产品 ”页上或“软件更新点组件属性”中的“ 产品 ”选项卡上配置产品设置。
提示
- 仅当在站点中配置第一个软件更新点时,向导的“ 产品 ”页才可用。 安装其他软件更新点时,不会显示此页面。
- 首次在顶级站点上安装软件更新点时,请清除所有产品。 初始软件更新同步后,从更新的列表中配置产品,然后重新启动同步。 此设置仅在顶层站点的软件更新点上配置。
语言
在向导的 “语言 ”页上或“软件更新点组件属性”中的“语言”选项卡上配置 语言 设置。 指定要同步软件更新文件和摘要详细信息的语言。 软件更新文件设置在Configuration Manager层次结构中的每个软件更新点进行配置。 “ 摘要详细信息” 设置仅在顶级软件更新点上配置。 有关详细信息,请参阅 语言。
注意
仅当在管理中心站点中安装软件更新点时,向导的“ 语言 ”页才可用。 可以从“软件更新点组件属性”中的“ 语言 ”选项卡在子站点上配置软件更新文件语言。
第三方更新
可以为Configuration Manager客户端启用第三方更新。 在 SUP 组件属性中启用第三方软件更新时,SUP 将下载 WSUS 用于第三方更新的签名证书。 此选项在安装软件更新点期间不可用,应在安装 SUP 后进行配置。 若要为第三方更新启用客户端设置,请参阅 关于客户端设置 一文。
后续步骤
你从Configuration Manager层次结构中最顶层的站点开始安装了软件更新点。 重复本文中的过程,在子站点上安装软件更新点。
安装软件更新点后,请转到 同步软件更新。