啟用第三方更新
適用於:Configuration Manager (目前的分支)
Configuration Manager 控制台中的 [第三方軟體更新類別目錄] 節點可讓您訂閱第三方目錄、將其更新發佈至軟體更新點 (SUP) ,然後將其部署至用戶端。
必要條件
- 最上層軟體更新點
WSUSContent
目錄上有足夠的磁碟空間,可儲存第三方軟體更新的來源二進位內容。- 所需的記憶體數量會根據廠商、更新類型,以及您針對部署發佈的特定更新而有所不同。
- 如果您需要將目錄移
WSUSContent
至另一個具有更多可用空間的磁碟驅動器,請參閱 如何變更 WSUS 在本機儲存更新的位置 部落格文章。
- 第三方軟體更新同步處理服務需要因特網存取。
- 針對合作夥伴目錄清單,需要透過 HTTPS 連接埠 443 download.microsoft.com。
- 因特網存取任何第三方目錄並更新內容檔案。 可能需要 443 以外的其他埠。
- 第三方更新使用與 SUP 相同的 Proxy 設定。
當 SUP 從最上層站台伺服器遠端時的其他需求
SSL 在遠程時應該在 SUP 上啟用。 這需要從內部證書頒發機構單位或透過公用提供者產生的伺服器驗證憑證。
-
在 WSUS 上設定 SSL
- 當您在 WSUS 上設定 SSL 時,請注意某些 Web 服務和虛擬目錄一律是 HTTP,而不是 HTTPS。
- Configuration Manager 透過 HTTP 從 WSUS 內容目錄下載軟體更新套件的第三方內容。
- 在 SUP 上設定 SSL
-
在 WSUS 上設定 SSL
當設定第三方將 WSUS 簽署憑證設定更新為 Configuration Manager 管理軟體更新點元件屬性中的憑證時,需要下列設定才能允許建立自我簽署 WSUS 簽署憑證:
- 應在 SUP 伺服器上啟用遠端登錄。
- WSUS 伺服器連線帳戶應該具有 SUP/WSUS 伺服器的遠端登錄許可權。
在 Configuration Manager 月台伺服器上建立下列登入機碼:
-
HKLM\Software\Microsoft\Update Services\Server\Setup
,建立名為 EnableSelfSignedCertificates 且值為1
的新 DWORD。
-
若要啟用將自我簽署 WSUS 簽署憑證安裝到遠端 SUP 伺服器上受信任的發行者和受信任根存放區:
WSUS 伺服器連線帳戶應該具有 SUP 伺服器的遠端管理許可權。
如果無法使用此專案,請將憑證從本機計算機的 WSUS 存放區匯出至受信任的發行者和受信任的根存放區。
注意事項
您可以檢視 SUP 之 [站台系統] 角色屬性上的 [Proxy 和帳戶設定] 索引標籤,來識別 WSUS 伺服器連線帳戶。 如果未指定帳戶,則會使用月臺伺服器的電腦帳戶。
在 SUP 上啟用第三方更新
如果啟用此選項,您可以在 Configuration Manager 控制台中訂閱第三方更新目錄。 然後,您可以將這些更新發佈至 WSUS,並將其部署至用戶端。 下列步驟應該針對每個階層執行一次,以啟用和設定要使用的功能。 如果您曾經取代最上層 SUP 的 WSUS 伺服器,可能需要重新執行這些步驟。
在 Configuration Manager 控制台中,移至 [系統管理] 工作區。 展開 [月臺設定],然後選取 [ 月臺 ] 節點。
選取階層中的頂層月臺。 在功能區中,選取 [ 設定月臺元件],然後選取 [ 軟體更新點]。
切換至 [第三方 匯報] 索引標籤。選取 [啟用第三方軟體更新] 選項。
設定 WSUS 簽署憑證
您必須決定要 Configuration Manager 使用自我簽署憑證自動管理第三方 WSUS 簽署憑證,還是需要手動設定憑證。
自動管理 WSUS 簽署憑證
如果您不需要使用 PKI 憑證,您可以選擇自動管理第三方更新的簽署憑證。 WSUS 憑證管理會在同步處理週期中完成,並記錄在 中 wsyncmgr.log
。
- 在 Configuration Manager 控制台中,移至 [系統管理] 工作區。 展開 [月臺設定],然後選取 [ 月臺 ] 節點。
- 選取階層中的頂層月臺。 在功能區中,選取 [ 設定月臺元件],然後選取 [ 軟體更新點]。
- 切換至 [第三方 匯報] 索引標籤。選取 Configuration Manager 管理憑證的選項。
- 系統會在 [系統管理] 工作區中 [安全性] 下的 [憑證] 節點中,建立第三方 WSUS 簽署類型的新憑證。
手動管理 WSUS 簽署憑證
如果您需要手動設定憑證,例如需要使用 PKI 憑證,則必須使用 System Center 匯報 Publisher 或其他工具來執行此動作。
- 使用 System Center 匯報 Publisher 設定簽署憑證。
- 在 Configuration Manager 控制台中,移至 [系統管理] 工作區。 展開 [月臺設定],然後選取 [ 月臺 ] 節點。
- 選取階層中的頂層月臺。 在功能區中,選取 [ 設定月臺元件],然後選取 [ 軟體更新點]。
- 切換至 [第三方 匯報] 索引標籤。選取 [手動管理憑證] 的選項。
在用戶端上啟用第三方更新
在客戶端設定中啟用用戶端的第三方更新。 設定會設定 [允許內部網络Microsoft更新服務位置的已簽署更新] Windows Update 代理程序原則。 此客戶端設定也會將 WSUS 簽署憑證安裝到用戶端上受信任的發行者存放區。 憑證管理記錄會顯示在 updatesdeployment.log
用戶端上。 針對您想要用於第三方更新的每個自訂客戶端設定執行這些步驟。 如需詳細資訊,請參閱 關於用戶端設定一 文。
- 在 Configuration Manager 控制台中,移至 [系統管理] 工作區,然後選取 [客戶端設定] 節點。
- 選取現有的自定義用戶端設定,或建立新的自定義客戶端設定。
- 選取左側的 [軟體 匯報] 索引標籤。 如果您沒有此索引標籤,請確定 [軟體 匯報] 方塊已啟用。
- 將 [啟用第三方軟體更新 ] 設定為 [ 是]。
新增自訂目錄
合作夥伴類別目錄 是軟體廠商目錄,其資訊已向Microsoft註冊。 透過合作夥伴目錄,您可以訂閱它們,而不需要指定任何其他資訊。 您新增的目錄稱為 自訂目錄。 您可以從第三方更新廠商將自定義目錄新增至 Configuration Manager。 自定義目錄必須使用 HTTPs,且更新必須經過數字簽署。
移至 [軟體 匯報 連結庫] 工作區,展開 [軟體更新],然後選取 [第三方軟體更新類別目錄] 節點。
選取功能區中的 [新增自定義目錄 ]。
在 [ 一般] 頁面上,指定下列專案:
- 下載 URL:自訂目錄的有效 HTTPS 位址。
- 發行者:發佈目錄的組織名稱。
- 名稱:要顯示在 Configuration Manager 控制台中的目錄名稱。
- 描述:目錄的描述。
- 支援 URL (選擇性) :網站的有效 HTTPS 位址,以取得目錄的協助。
- 支援連 絡人 (選擇性) :連絡資訊以取得目錄的說明。
選取 [下一步] 以檢閱目錄摘要,並繼續完成第三方軟體 匯報 自定義類別目錄精靈。
訂閱第三方目錄和同步更新
當您在 Configuration Manager 控制台中訂閱第三方目錄時,目錄中每個更新的元數據都會同步處理到您 SUP 的 WSUS 伺服器。 元數據的同步可讓客戶端判斷是否有任何更新適用。 針對您要訂閱的每個第三方目錄執行下列步驟:
- 在 Configuration Manager 控制台中,移至 [軟體連結庫] 工作區。 展開 [軟體 匯報],然後選取 [第三方軟體更新類別目錄] 節點。
- 選取要訂閱的目錄,然後選取功能區中的 [訂閱目錄 ]。
- 在精靈的 [ 檢閱和核准 ] 頁面上檢閱和核准類別目錄憑證。
注意事項
當您訂閱第三方軟體更新目錄時,您在精靈中檢閱和核准的憑證會新增至網站。 此憑證的類型為第三方軟體 匯報 目錄。 您可以從 [系統管理] 工作區中 [安全性] 下的 [憑證] 節點管理它。
- 如果第三方目錄是 v3,系統會提供您選取 類別 和 階段內容的頁面。 如需設定這些選項的詳細資訊,請參閱 第三方 v3 目錄選項 一節。
- 在 [ 排程 ] 頁面上選擇您的選項:
- 簡單排程:選擇小時、日或月間隔。 預設值是每 7 天同步處理一次的簡單排程。
- 自定義排程:設定複雜的排程。
- 在 [ 摘要 ] 頁面上檢閱您的設定,並完成精靈。
- 下載目錄之後,必須將產品元數據從WSUS資料庫同步至 Configuration Manager 資料庫。 手動啟動軟體更新同步處理 ,以同步處理產品資訊。
- 一旦同步處理產品資訊,請設定 SUP 將所需的產品同步至 Configuration Manager。
- 手動啟動軟體更新同步處理,以將新產品的更新同步至 Configuration Manager。
- 同步處理完成時,您可以在 [所有 匯報] 節點中看到第三方更新。 這些更新會發佈為 僅限元數據 的更新,直到您選擇發佈它們為止。
- 藍色箭號的圖示代表僅限元數據的軟體更新。
發佈和部署第三方軟體更新
一旦第三方更新位於 [所有 匯報] 節點中,您就可以選擇要發佈哪些更新以進行部署。 當您發佈更新時,二進位檔會從廠商下載,並放在 WSUSContent
最上層 SUP 的目錄中。
在 Configuration Manager 控制台中,移至 [軟體連結庫] 工作區。 展開 [軟體 匯報],然後選取 [所有軟體 匯報 節點。
選 取 [新增準則 ] 以篩選更新清單。 例如,為 HP 新增廠商。檢視 HP 的所有更新。
選取組織所需的更新。 選 取 [發佈第三方軟體更新內容]。
- 此動作會從廠商下載更新二進位檔,然後將它們儲存在
WSUSContent
最上層軟體更新點的目錄中。
- 此動作會從廠商下載更新二進位檔,然後將它們儲存在
手動啟動軟體更新同步處理 ,以將已發佈更新的狀態從僅限元數據變更為具有內容的可部署更新。
注意事項
當您發佈第三方軟體更新內容時,用來簽署內容的任何憑證都會新增至網站。 這些憑證屬於第三方軟體 匯報 內容類型。 您可以從 [系統管理] 工作區中 [安全性] 下的 [憑證] 節點管理它們。
檢閱 中的
SMS_ISVUPDATES_SYNCAGENT.log
進度。 記錄位於站台系統 Logs 資料夾的最上層軟體更新點。使用部署 軟體更新程式來部署更新 。
在 [部署軟體 匯報 精靈] 的 [下載位置] 頁面上,選取 [從因特網下載軟體更新] 的默認選項。 在此案例中,內容已發佈至軟體更新點,用來下載部署套件的內容。
客戶端必須先執行掃描並評估更新,才能看到合規性結果。 您可以執行 [軟體 匯報 掃描週期] 動作,從用戶端上的 [Configuration Manager 控制面板] 手動觸發此迴圈。
第三方 v3 目錄選項
V3 目錄允許分類的更新。 使用包含分類更新的目錄時,您可以將同步處理設定為只包含特定類別的更新,以避免同步處理整個目錄。 使用分類目錄時,當您確信將部署類別時,您可以將它設定為自動下載併發佈至 WSUS。
重要事項
此選項僅適用於支援更新類別的 v3 第三方更新目錄。 這些選項會針對未以 v3 格式發佈的目錄停用。
在 Configuration Manager 控制台中,移至 [軟體連結庫] 工作區。 展開 [軟體 匯報],然後選取 [第三方軟體更新類別目錄] 節點。
選取要訂閱的目錄,然後選取功能區中的 [訂閱目錄 ]。
在 [ 選取類別 ] 頁面上選擇您的選項:
同步處理所有更新類別 (預設)
- 將第三方更新目錄中的所有更新同步至 Configuration Manager。
選取用於同步處理的類別
- 選擇要同步至 Configuration Manager的類別和子類別。
選擇是否要暫存 目錄的更新內容 。 當您暫存內容時,所選類別中的所有更新都會自動下載到您的最上層軟體更新點,這表示您不需要在部署之前確保它們已下載。 您應該只自動暫存您可能要部署之更新的內容,以避免過多的頻寬和記憶體需求。
-
請勿暫存內容,只同步處理掃描 (建議的)
- 請勿下載第三方目錄中更新的任何內容
-
自動暫存所選類別的內容
- 選擇將自動下載內容的更新類別。
- 所選類別中更新的內容將會下載到最上層軟體更新點的 WSUS 內容目錄。
-
請勿暫存內容,只同步處理掃描 (建議的)
設定 目錄同步 處理的排程,然後完成精靈。
編輯現有的訂用帳戶
您可以從功能區選取 [ 屬性 ] 或按下滑鼠右鍵功能表,以編輯現有的訂閱。
重要事項
有些選項僅適用於支援更新類別的 v3 第三方更新目錄。 這些選項會針對未以 v3 格式發佈的目錄停用。
在第 三方軟體更新類別目錄 節點中,以滑鼠右鍵按兩下目錄,然後選取 [ 屬性 ],或從功能區選取 [ 屬性 ]。
您可以從 [ 一般] 索引標籤檢視下列資訊,但無法編輯資訊:
注意事項
如果您需要變更此處的任何資訊,您必須新增新的自定義目錄。
如果下載 URL 未變更,則必須先移除現有的目錄,才能新增具有相同下載 URL 的目錄。- 下載 URL:自訂目錄的 HTTPS 位址。
- 發行者:發佈目錄的組織名稱。
- 名稱:要顯示在 Configuration Manager 控制台中的目錄名稱。
- 描述:目錄的描述。
- 支援 URL:網站的有效 HTTPS 位址,以取得目錄的說明。
- 支援連絡資訊以取得目錄的說明。
在 [ 選取類別] 索引 標籤上選擇您的選項。
-
同步處理所有更新類別 (預設)
- 將第三方更新目錄中的所有更新同步至 Configuration Manager。
-
選取用於同步處理的類別
- 選擇要同步至 Configuration Manager的類別和子類別。
-
同步處理所有更新類別 (預設)
選擇 [ 階段更新內容] 索 引標籤的選項。
-
請勿暫存內容,只同步處理掃描 (建議的)
- 請勿下載第三方目錄中更新的任何內容
-
自動暫存所選類別的內容
- 選擇將自動下載內容的更新類別。
- 所選類別中更新的內容將會下載到最上層軟體更新點的 WSUS 內容目錄。
-
請勿暫存內容,只同步處理掃描 (建議的)
在 [排程] 索引 標籤上 ,選取同步處理目錄的頻率。
- 簡單排程:選擇小時、日或月間隔。
- 自定義排程:設定複雜的排程。
取消訂閱目錄並刪除自訂目錄
在 [ 第三方軟體更新類別目錄 ] 節點中,以滑鼠右鍵按兩下目錄,然後選取 [ 取消訂閱 ] 以停止同步處理目錄。
您也可以從功能區使用 [取消訂閱 ] 選項。 當您取消訂閱目錄時,會移除目錄簽署和更新內容憑證的核准。 不會移除現有的更新,但您可能無法部署它們。 使用自訂目錄時,您也可以選擇在取消訂閱之後加以刪除。 從功能區選 取 [刪除自定義目錄 ],或選取目錄的右鍵功能表。 刪除自訂目錄會將它從 [第三方軟體更新類別目錄 ] 節點的檢視中移除。
監視第三方軟體更新的進度
第三方軟體更新的同步處理是由最上層默認軟體更新點上的SMS_ISVUPDATES_SYNCAGENT元件處理。 您可以檢視此元件的狀態消息,或在 中查看更詳細的 SMS_ISVUPDATES_SYNCAGENT.log
狀態。 此記錄位於站台系統 Logs 資料夾的最上層軟體更新點上。 根據預設,此路徑為 C:\Program Files\Microsoft Configuration Manager\Logs。 如需監視一般軟體更新管理程式的詳細資訊,請參 閱監視軟體更新。
列出其他第三方更新目錄
為了協助您尋找可匯入以進行第三方軟體更新的自定義目錄,有一個檔頁面,其中包含目錄提供者的連結。 從 Configuration Manager 2107 開始,您也可以在第三方軟體更新類別目錄節點的功能區中選擇 [更多類別目錄]。 以滑鼠右鍵按兩下 [第三方軟體更新類別目錄 ] 節點會顯示 [ 更多類別目錄] 選單項。 選 取 [更多類別目錄] 會 開啟文件頁面的連結,其中包含 其他第三方軟體更新類別目錄提供者的清單。
已知問題
- 主控台執行所在的電腦是用來從WSUS 下載更新,並將其新增至更新套件。 控制台電腦上必須信任 WSUS 簽署憑證。 如果不是,您可能會在下載第三方更新期間看到簽章檢查的問題。
- 第三方軟體更新同步處理服務無法將內容發佈至其他應用程式、工具或腳本新增至 WSUS 的僅元數據更新,例如 SCUP。 在這些更新上 ,發佈第三方軟體更新內容 動作會失敗。 如果您需要部署此功能尚不支援的第三方更新,請完整使用您現有的程式來部署這些更新。
- Configuration Manager 有新版本的目錄 cab 檔案格式。 新版本包含廠商二進位檔的憑證。 這些憑證會在您核准並信任目錄之後,新增至 [系統管理] 工作區中 [安全性] 下的 [憑證] 節點。
- 只要下載 URL 為 https 且已簽署更新,您仍然可以使用舊版的目錄 cab 檔案版本。 內容將無法發佈,因為二進位檔的憑證不在 cab 檔案中且已核准。 您可以在 [憑證] 節點中尋找 憑證 、解除封鎖,然後再次發佈更新,以解決此問題。 如果您要發佈多個以不同憑證簽署的更新,則必須解除封鎖所使用的每個憑證。
- 如需詳細資訊,請參閱下列狀態消息表中的狀態消息 11523 和 11524。
- 當最上層軟體更新點上的第三方軟體更新同步處理服務需要 Proxy 伺服器進行因特網存取時,數位簽名檢查可能會失敗。 若要減輕此問題,請在月臺系統上設定 WinHTTP Proxy 設定。 如需詳細資訊,請參閱 WinHTTP 的 Netsh 命令。
- 針對內容記憶體使用 CMG 時,如果啟用 [在可用的用戶端時下載差異內容] 設定,則第三方更新的內容將不會下載至客戶端。
- 如果目錄提供者已變更目錄的簽署憑證,因為您上次核准或訂閱該憑證,則目錄同步會失敗,直到憑證在 [ 憑證 ] 節點中核准為止。 如需詳細資訊,請參閱狀態消息數據表中的 MessageID 11508。
狀態消息
MessageID | 嚴重性 | 描述 | 可能的原因 | 可能的解決方案 |
---|---|---|---|---|
11508 | 錯誤 | 檢查 WSUS 目錄名稱>的簽章<時失敗。 請確定已訂閱目錄,且不會封鎖目錄憑證<>。 如需進一步的詳細資料,請參閱 SMS_ISVUPDATES_SYNCAGENT.log 。 |
目錄上的簽署憑證可能已變更,因為它原本是訂閱或上次核准。 | 請務必檢閱並核准 [憑證] 節點中的 憑證 ,以允許目錄同步處理。 |
11516 | 錯誤 | 無法發佈更新「更新標識碼」的內容,因為內容未簽署。 只能發佈具有有效簽章的內容。 | Configuration Manager 不允許發佈未簽署的更新。 | 以替代方式發佈更新。
查看廠商是否提供已簽署的更新。 |
11523 | 警告 | 目錄 「X」 不包含內容簽署憑證,在新增並核准內容簽署憑證之前,嘗試發佈此目錄中更新的更新內容可能會失敗。 | 當您匯入使用舊版 cab 檔案格式的目錄時,可能會發生此訊息。 | 請連絡目錄提供者,以取得包含內容簽署憑證的更新型錄。
二進位檔的憑證不包含在 cab 檔案中,因此內容將無法發佈。 您可以在 [憑證] 節點中尋找 憑證 、解除封鎖,然後再次發佈更新,以解決此問題。 如果您要發佈多個以不同憑證簽署的更新,則必須解除封鎖所使用的每個憑證。 |
11524 | 錯誤 | 因為遺漏更新元數據,所以無法發佈更新 「標識符」。 | 更新可能已同步至 Configuration Manager 以外的 WSUS。 | 在嘗試發佈更新的內容之前,請先將更新與 Configuration Manager 同步處理。
如果外部工具是用來將更新發佈為僅元 數據,則請使用相同的工具來發佈更新內容。 |
使用第三方更新影片
PowerShell
您可以使用下列 PowerShell Cmdlet,在 Configuration Manager 中自動管理第三方更新:
- Get-CMThirdPartyUpdateCatalog
- New-CMThirdPartyUpdateCatalog
- Remove-CMThirdPartyUpdateCatalog
- Set-CMThirdPartyUpdateCatalog
- Publish-CMThirdPartySoftwareUpdateContent
- Get-CMThirdPartyUpdateCategory
- Set-CMThirdPartyUpdateCategory