Instalace a konfigurace bodu aktualizace softwaru

Platí pro: Správce konfigurace (aktuální větev)

Důležité

Před instalací role systému lokality bodu aktualizace softwaru (SUP) musíte ověřit, že server splňuje požadované závislosti, a určit infrastrukturu bodu aktualizace softwaru na webu. Další informace o plánování aktualizací softwaru a určení infrastruktury bodů aktualizace softwaru najdete v tématu Plánování aktualizací softwaru.

Bod aktualizace softwaru je povinný v lokalitě centrální správy a na primárních webech, aby bylo možné povolit hodnocení dodržování předpisů aktualizací softwaru a nasadit aktualizace softwaru pro klienty. Bod aktualizace softwaru je nepovinný na sekundárních webech. Role systému lokality bodu aktualizace softwaru musí být vytvořena na serveru s nainstalovanou službou WSUS. Bod aktualizace softwaru spolupracuje se službami WSUS, aby nakonfiguruje nastavení aktualizací softwaru a vyžádal si synchronizaci metadat aktualizací softwaru. Pokud máte hierarchii Správce konfigurace, nainstalujte a nakonfigurujte bod aktualizace softwaru na webu centrální správy, potom na podřízených primárních webech a volitelně na sekundárních webech. Pokud máte samostatnou primární lokalitu, ne lokalitu centrální správy, nainstalujte a nakonfigurujte bod aktualizace softwaru na primární web a pak volitelně na sekundární weby. Některá nastavení jsou dostupná jenom v případě, že nakonfigurujete bod aktualizace softwaru na webu nejvyšší úrovně. V závislosti na tom, kde jste nainstalovali bod aktualizace softwaru, je nutné zvážit různé možnosti.

Důležité

  • Na web můžete nainstalovat víc než jeden bod aktualizace softwaru. První bod aktualizace softwaru, který nainstalujete, je nakonfigurovaný jako zdroj synchronizace, který synchronizuje aktualizace ze služby Microsoft Update nebo z nadřazeného zdroje synchronizace. Ostatní body aktualizace softwaru na webu jsou nakonfigurované jako repliky prvního bodu aktualizace softwaru. Některá nastavení proto nejsou po instalaci a konfiguraci počátečního bodu aktualizace softwaru dostupná.
  • Není podporované instalovat roli systému lokality bodu aktualizace softwaru na server, který je nakonfigurovaný a používaný jako samostatný server SLUŽBY WSUS, nebo pomocí bodu aktualizace softwaru přímo spravovat klienty služby WSUS. Existující servery SLUŽBY WSUS jsou podporované jenom jako zdroje synchronizace před proudu pro aktivní bod aktualizace softwaru. Viz Synchronizovat z nadřazeného umístění zdroje dat

Roli systému lokality bodu aktualizace softwaru můžete přidat na existující server systému webu nebo můžete vytvořit novou. Na stránce Výběr systémových rolí v Průvodci vytvořením serveru systému webu nebo Průvodce přidáním rolí systému lokality v závislosti na tom, jestli přidáte roli systému webu na nový nebo existující server webu, vyberte Bod aktualizace softwaru a potom nakonfigurujte nastavení bodu aktualizace softwaru v průvodci. Nastavení se liší v závislosti na verzi Správce konfigurace, kterou používáte. Další informace o tom, jak nainstalovat role systému webu, najdete v tématu Instalace rolí systému webu.

Informace o nastavení bodu aktualizace softwaru na webu najdete v následujících částech.

Nastavení proxy serveru

Nastavení proxy serveru můžete nakonfigurovat na různých stránkách Průvodce vytvořením serveru systému webu nebo Průvodce přidáním rolí systému webu v závislosti na Správce konfigurace, kterou používáte.

  • Musíte nakonfigurovat proxy server a určit, kdy se má proxy server používat pro aktualizace softwaru. Nakonfigurujte následující nastavení:

    • Nakonfigurujte nastavení proxy serveru na stránce Proxy v průvodci nebo na kartě Proxy v části Vlastnosti systému webu. Nastavení proxy serveru jsou specifická pro systém webu, což znamená, že všechny role systému webu používají nastavení proxy serveru, které zadáte.

    • Určete, jestli se má proxy server používat při Správce konfigurace synchronizuje aktualizace softwaru a při stahování obsahu pomocí pravidla automatického nasazení. Nakonfigurujte nastavení proxy serveru bodu aktualizace softwaru na stránce Proxy Nastavení Account Nastavení nebo na kartě Proxy and Account Nastavení (Vlastnosti bodu aktualizace softwaru).

    • Nastavení Použít proxy server při stahování obsahu pomocí pravidel automatického nasazení je dostupné, ale není použito pro bod aktualizace softwaru na sekundárním webu. Obsah ze stránky Microsoft Update stáhne jenom bod aktualizace softwaru na webu centrální správy a primární web.

    • Ve výchozím nastavení se účet Local System pro server, na kterém bylo vytvořeno pravidlo automatického nasazení, používá k připojení k internetu a stahování aktualizací softwaru při spuštění pravidel automatického nasazení. Pokud tento účet nemá přístup k internetu, aktualizace softwaru se nedaří stáhnout a do souboru ruleengine.log se zaprotokoluje následující položka: Nepodařilo se stáhnout aktualizaci z internetu. Chyba = 12007. Nakonfigurujte přihlašovací údaje tak, aby se připojují k proxy serveru, když účet Local System nemá přístup k internetu.

Nastavení služby WSUS

Nastavení služby WSUS je nutné nakonfigurovat na různých stránkách Průvodce vytvořením serveru systému webu nebo Průvodce přidáním rolí systému webu v závislosti na verzi Správce konfigurace, kterou používáte, a v některých případech jenom ve vlastnostech bodu aktualizace softwaru, označované také jako Vlastnosti součásti bodu aktualizace softwaru. Pomocí informací v následujících částech nakonfigurujte nastavení služby WSUS.

Důležité

Abyste měli zajištěné nejlepší protokoly zabezpečení, doporučujeme k zabezpečení infrastruktury aktualizací softwaru použít protokol TLS/SSL. Od kumulativní aktualizace ze září 2020 budou servery WSUS založené na protokolu HTTP ve výchozím nastavení zabezpečené. Klient, který ve výchozím nastavení naskenuje aktualizace proti službě WSUS založené na protokolu HTTP, už nebude moci používat proxy server uživatele. Pokud i přes bezpečnostní promyšly potřebujete uživatelský proxy server, je k dispozici nové nastavení klienta aktualizací softwaru, které tato připojení povolí. Další informace o změnách pro skenování služby WSUS najdete v článku Změny v září 2020,které zlepšují zabezpečení Windows zařízení, která kontrolujou službu WSUS .

Nastavení portů služby WSUS

Nastavení portu služby WSUS je nutné nakonfigurovat na stránce Bod aktualizace softwaru v průvodci nebo ve vlastnostech bodu aktualizace softwaru. Pomocí následujícího postupu můžete určit nastavení portů, která služba WSUS používá.

Určení nastavení portů používaných ve službě IIS

  1. Na serveru SLUŽBY WSUS otevřete Správce Internetová informační služba (IIS).

  2. Rozbalte položku Weby, klikněte pravým tlačítkem myši na web serveru SLUŽBY WSUS a potom klikněte na příkaz Upravit vazby. V dialogovém okně Vazby webu se ve sloupci Port zobrazují hodnoty portů HTTP a HTTPS.

Konfigurace komunikace SSL ve službě WSUS

Abyste měli zajištěné nejlepší protokoly zabezpečení, doporučujeme k zabezpečení infrastruktury aktualizací softwaru použít protokol TLS/SSL. Komunikaci SSL můžete nakonfigurovat na stránce Obecné v průvodci nebo na kartě Obecné ve vlastnostech bodu aktualizace softwaru.

Další informace o používání protokolu SSL najdete v článku Rozhodnutí o konfiguraci služby WSUS pro použití protokolu SSL a Konfigurace bodu aktualizace softwaru pro použití protokolu TLS/SSL s certifikátem PKI.

Povolení provozu brány pro správu cloudu

Bod aktualizace softwaru můžete povolit tak, aby přijímal komunikaci od klientů na internetu přes bránu pro správu cloudu (CMG). Další informace o tomto nastavení najdete v tématu Konfigurace rolí klientů pro přenosy CMG.

Účet připojení k serveru SLUŽBY WSUS

Účet můžete nakonfigurovat tak, aby ho server webu používal, když se připojí k službě WSUS, která běží v bodě aktualizace softwaru. Pokud tento účet nenakonfigurujete, použije Správce konfigurace účet počítače pro server webu pro připojení k službě WSUS. Nakonfigurujte účet připojení serveru SLUŽBY WSUS na stránce proxy serveru a účtu Nastavení průvodce nebo na kartě Proxy and Account Nastavení v části Vlastnosti bodu aktualizace softwaru. Účet můžete nakonfigurovat na různých místech průvodce v závislosti na Správce konfigurace, kterou používáte.

Další informace o účtech Správce konfigurace najdete v tématu Použité účty.

Zdroj synchronizace

Zdroj předákové synchronizace můžete nakonfigurovat pro synchronizaci aktualizací softwaru na stránce Zdroj synchronizace průvodce nebo na kartě Synchronizovat Nastavení v části Vlastnosti součásti bodu aktualizace softwaru. Možnosti zdroje synchronizace se liší v závislosti na webu.

Dostupné možnosti najdete v následující tabulce při konfiguraci bodu aktualizace softwaru na webu.

Web Dostupné možnosti zdroje synchronizace
- Web centrální správy
- Samostatný primární web
– Synchronizace z webu Microsoft Update
- Synchronizovat z nadřazeného umístění zdroje dat
- Nesynchronizační ze zdroje dat Microsoft Update ani z nadřazeného zdroje dat
– Další body aktualizace softwaru na webu
- Podřízený primární web
- Sekundární web
- Synchronizovat z nadřazeného umístění zdroje dat

Následující seznam obsahuje další informace o jednotlivých možnostech, které můžete použít jako zdroj synchronizace:

  • Synchronizovat z webu Microsoft Update: Pomocí tohoto nastavení můžete synchronizovat metadata aktualizací softwaru z webu Microsoft Update. Web centrální správy musí mít přístup k internetu. v opačném případě synchronizace selže. Toto nastavení je dostupné jenom v případě, že nakonfigurujete bod aktualizace softwaru na webu nejvyšší úrovně.

    • Pokud je mezi bodem aktualizace softwaru a internetem brána firewall, může být potřeba bránu firewall nakonfigurovat tak, aby přijímal porty HTTP a HTTPS, které se používají pro web služby WSUS. Můžete také omezit přístup brány firewall na omezené domény. Další informace o plánování brány firewall, která podporuje aktualizace softwaru, najdete v tématu Konfigurace bran firewall.

    • Pokud sdílíte databázi služby WSUS, uvědomte si, že Správce konfigurace náhodně vybere bod aktualizace softwaru mezi front-end servery SLUŽBY WSUS. Ujistěte se, že jsou požadavky na přístup k internetu splněné pro každý ze serverů SLUŽBY WSUS. Pokud nejsou splněné požadavky na přístup k internetu, může dojít k selhání synchronizace. Na webu nejvyšší úrovně se vidíte různé body aktualizace softwaru, které se synchronizují s Microsoftem.

  • Synchronizace z nadřazeného umístění zdroje dat: Toto nastavení použijte k synchronizaci metadat aktualizací softwaru z nadřazeného zdroje synchronizace. Podřízené primární weby a sekundární weby se automaticky konfigurují tak, aby pro toto nastavení používejte adresu URL nadřazeného webu. Máte možnost synchronizovat aktualizace softwaru ze stávajícího serveru SLUŽBY WSUS. Zadejte adresu URL, například , kde 8531 je port, který se používá k připojení https://WSUSServer:8531 k serveru SLUŽBY WSUS.

  • Nesynchronujte ze služby Microsoft Update ani z nadřazeného zdroje dat: Toto nastavení použijte k ruční synchronizaci aktualizací softwaru, když je bod aktualizace softwaru na webu nejvyšší úrovně odpojen od internetu. Další informace najdete v tématu Synchronizace aktualizací softwaru z odpojených bodů aktualizace softwaru.

Můžete taky nakonfigurovat, jestli se mají vytvářet události sestav služby WSUS na stránce Zdroj synchronizace v průvodci nebo na kartě Synchronizovat Nastavení v části Vlastnosti součásti bodu aktualizace softwaru. Správce konfigurace tyto události nepou3/4ít; Proto obvykle zvolíte výchozí nastavení Nevytvářejte události vytváření sestav služby WSUS.

Plán synchronizace

Nakonfigurujte plán synchronizace na stránce Plán synchronizace v průvodci nebo ve vlastnostech součásti Bod aktualizace softwaru. Toto nastavení je nakonfigurované jenom v bodě aktualizace softwaru na webu nejvyšší úrovně.

Pokud plán povolíte, můžete nakonfigurovat opakovaný plán jednoduché nebo vlastní synchronizace. Když nakonfigurujete jednoduchý plán, je čas zahájení založený na místním čase počítače, který spouští Správce konfigurace v okamžiku vytvoření plánu. Když nakonfigurujete čas zahájení vlastního plánu, bude založený na místním čase počítače, ve Správce konfigurace konzole.

Tip

Naplánujte synchronizaci aktualizací softwaru tak, aby se spouštěl pomocí časového rámce, který je vhodný pro vaše prostředí. Jednou z typických scénářů je nastavit plán synchronizace aktualizací softwaru tak, aby se spouštěl krátce po vydání pravidelné aktualizace zabezpečení microsoftu druhé úterý každého měsíce, které se obvykle označuje jako Oprava úterý. Dalším typickým scénářem je nastavit plán synchronizace aktualizací softwaru tak, aby se spouštěl denně, když používáte aktualizace softwaru k poskytování Endpoint Protection definic a aktualizací modulu.

Poznámka

Pokud se rozhodnete nepou3/4ít synchronizaci aktualizací softwaru podle plánu, můžete ručně synchronizovat aktualizace softwaru z uzlu Všechny aktualizace softwaru nebo Skupiny aktualizací softwaru v pracovním prostoru Softwarová knihovna. Další informace najdete v tématu Synchronizace aktualizací softwaru.

Pravidla pro nahlaování

Nakonfigurujte nastavení nahlašování na stránce Pravidla nahlašování v průvodci nebo na kartě Pravidla nahlašování ve vlastnostech součásti Bod aktualizace softwaru. Pravidla nahnání můžete nakonfigurovat jenom na webu nejvyšší úrovně. U aktualizací funkcí můžete také určit chování pravidel nahřešování nezávisle na aktualizacích, které nejsou funkcemi.

Na této stránce můžete určit, kdy vypršela platnost nahrání aktualizací softwaru v aplikaci Správce konfigurace, což jim zabrání v nových nasazeních a označí stávající nasazení příznakem, že nahrazuje aktualizace softwaru obsahují jednu nebo více aktualizací softwaru s vypršenou platností. Můžete zadat dobu před vypršením platnosti nahřešovaných aktualizací softwaru, která vám umožní pokračovat v jejich nasazení. Další informace najdete v tématu Pravidla nahlašování.

Výchozí nastavení je počkat 3 měsíce, než vyprší platnost nahnána aktualizace. Ve výchozím nastavení na 3 měsíce máte čas ověřit, že aktualizace už nepotřebujete v žádném klientském počítači. Nedoporučuje se předpokládat, že by měla být nahnána aktualizace okamžitě ukončena ve prospěch nové, nahrazujecí aktualizace. Seznam aktualizací softwaru, které nahrazuje aktualizaci softwaru, můžete zobrazit na kartě Informace o nahlašování ve vlastnostech aktualizace softwaru.

Poznámka

Stránka Pravidla nahlašování průvodce je dostupná jenom v případě, že nakonfigurujete první bod aktualizace softwaru na webu. Tato stránka se nezobrazuje při instalaci dalších bodů aktualizace softwaru.

Klasifikace

Nakonfigurujte nastavení klasifikace na stránce Klasifikace v průvodci nebo na kartě Klasifikace v části Vlastnosti součásti bodu aktualizace softwaru. Další informace o klasifikacích aktualizací softwaru najdete v tématu Aktualizace klasifikací.

Poznámka

Stránka Klasifikace průvodce je dostupná jenom v případě, že nakonfigurujete první bod aktualizace softwaru na webu. Tato stránka se nezobrazuje při instalaci dalších bodů aktualizace softwaru.

Tip

Při první instalaci bodu aktualizace softwaru na webu nejvyšší úrovně zrušte zaškrtnutí všech klasifikací aktualizací softwaru. Po počáteční synchronizaci aktualizací softwaru nakonfigurujte klasifikace z aktualizovaného seznamu a pak synchronizaci znovu spusťte. Toto nastavení je nakonfigurované jenom v bodě aktualizace softwaru na webu nejvyšší úrovně.

Produkty

Nakonfigurujte nastavení produktu na stránce Produkty v průvodci nebo na kartě Produkty v části Vlastnosti součásti bodu aktualizace softwaru.

Poznámka

Stránka Produkty v průvodci je dostupná jenom v případě, že nakonfigurujete první bod aktualizace softwaru na webu. Tato stránka se nezobrazuje při instalaci dalších bodů aktualizace softwaru.

Tip

Při první instalaci bodu aktualizace softwaru na webu nejvyšší úrovně zrušte zaškrtnutí všech produktů. Po počáteční synchronizaci aktualizací softwaru nakonfigurujte produkty z aktualizovaného seznamu a pak synchronizaci znovu spusťte. Toto nastavení je nakonfigurované jenom v bodě aktualizace softwaru na webu nejvyšší úrovně.

Jazyky

Nakonfigurujte nastavení jazyka na stránce Jazyky v průvodci nebo na kartě Jazyky ve vlastnostech součásti Bod aktualizace softwaru. Zadejte jazyky, pro které chcete synchronizovat soubory aktualizací softwaru a souhrnné podrobnosti. Nastavení Soubor aktualizace softwaru je nakonfigurované v každém bodě aktualizace softwaru v Správce konfigurace hierarchii. Nastavení Souhrnné podrobnosti se konfiguruje jenom v bodě aktualizace softwaru nejvyšší úrovně. Další informace najdete v tématu Jazyky.

Poznámka

Stránka Jazyky průvodce je dostupná jenom v případě, že nainstalujete bod aktualizace softwaru na webu centrální správy. Jazyky souborů aktualizace softwaru na podřízených webech můžete nakonfigurovat na kartě Jazyky ve vlastnostech součásti Bod aktualizace softwaru.

Aktualizace třetích stran

Od Správce konfigurace verze 1802 můžete povolit aktualizace třetích stran pro Správce konfigurace klienty. Když povolíte aktualizace softwaru třetích stran ve vlastnostech komponent SUP, stáhne si sup podpisový certifikát používaný službou WSUS pro aktualizace třetích stran. Tato možnost není dostupná během instalace bodu aktualizace softwaru a měla by být nakonfigurovaná po instalaci sup. Pokud chcete povolit nastavení klienta pro aktualizace třetích stran, podívejte se na článek o nastavení klienta.

Další kroky

Nainstalovali jste bod aktualizace softwaru od nejvyššího webu v hierarchii Správce konfigurace softwaru. Opakováním postupů v tomto článku nainstalujte bod aktualizace softwaru na podřízené weby.

Až budete mít nainstalované body aktualizace softwaru, přejděte na synchronizaci aktualizací softwaru.