Samouczek: konfigurowanie punktu aktualizacji oprogramowania do korzystania z protokołu TLS/SSL z certyfikatem PKITutorial: Configure a software update point to use TLS/SSL with a PKI certificate

Dotyczy: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Skonfigurowanie serwerów Windows Server Update Services (WSUS) i odpowiednich punktów aktualizacji oprogramowania (SUP) do korzystania z protokołu TLS/SSL może ograniczyć możliwość zdalnego ataku na klienta i podniesienia uprawnień.Configuring Windows Server Update Services (WSUS) servers and their corresponding software update points (SUP) to use TLS/SSL may reduce the ability of a potential attacker to remotely compromise a client and elevate privileges. Aby zapewnić, że najlepsze protokoły zabezpieczeń są stosowane, zdecydowanie zalecamy użycie protokołu TLS/SSL, aby pomóc w zabezpieczeniu infrastruktury aktualizacji oprogramowania.To ensure that the best security protocols are in place, we highly recommend that you use the TLS/SSL protocol to help secure your software update infrastructure. W tym artykule przedstawiono kroki wymagane do skonfigurowania poszczególnych serwerów programu WSUS i punktu aktualizacji oprogramowania w celu korzystania z protokołu HTTPS.This article walks you through the steps required to configure each of your WSUS servers and the software update point to use HTTPS. Aby uzyskać więcej informacji na temat zabezpieczania programu WSUS, zobacz artykuł Secure WSUS with the SSL Protocol w dokumentacji usług WSUS.For more information about securing WSUS, see the Secure WSUS with the Secure Sockets Layer Protocol article in the WSUS documentation.

Ten samouczek obejmuje następujące kroki:In this tutorial, you will:

  • Uzyskaj certyfikat PKI, w razie koniecznościObtain a PKI certificate, if needed
  • Powiąż certyfikat z witryną administracyjną administracji WSUSBind the certificate to the WSUS Administration website
  • Konfigurowanie usług sieci Web programu WSUS w celu wymagania protokołu SSLConfigure the WSUS web services to require SSL
  • Konfigurowanie aplikacji programu WSUS do używania protokołu SSLConfigure the WSUS application to use SSL
  • Sprawdź, czy połączenie konsoli usług WSUS może korzystać z protokołu SSLVerify the WSUS console connection can use SSL
  • Konfigurowanie punktu aktualizacji oprogramowania w celu wymagania komunikacji SSL z serwerem WSUSConfigure the software update point to require SSL communication to the WSUS server
  • Weryfikacja funkcjonalności przy użyciu Configuration ManagerVerify functionality with Configuration Manager

Istotne zagadnienia i ograniczeniaConsiderations and limitations

Program WSUS używa protokołu TLS/SSL do uwierzytelniania komputerów klienckich i podrzędnych serwerów WSUS na nadrzędnym serwerze WSUS.WSUS uses TLS/SSL to authenticate client computers and downstream WSUS servers to the upstream WSUS server. Program WSUS używa protokołu TLS/SSL do szyfrowania metadanych aktualizacji.WSUS also uses TLS/SSL to encrypt update metadata. Usługi WSUS nie korzystają z protokołu TLS/SSL dla plików zawartości aktualizacji.WSUS doesn't use TLS/SSL for an update's content files. Pliki zawartości są podpisane i skrót pliku zostanie uwzględniony w metadanych aktualizacji.The content files are signed and the hash of the file is included in the update's metadata. Przed pobraniem i zainstalowaniem plików przez klienta sprawdzane są zarówno podpisy cyfrowe, jak i skróty.Before the files are downloaded and installed by the client, both the digital signature and hash are checked. Jeśli sprawdzenie zakończy się niepowodzeniem, aktualizacja nie zostanie zainstalowana.If either check fails, the update won't be installed.

Korzystając z protokołu TLS/SSL, należy wziąć pod uwagę następujące ograniczenia:Consider the following limitations when you use TLS/SSL to secure a WSUS deployment:

  • Użycie protokołu TLS/SSL zwiększa obciążenie serwera.Using TLS/SSL increases the server workload. Należy oczekiwać niskiej wydajności szyfrowania wszystkich metadanych przesyłanych przez sieć.You should expect a small performance loss from encrypting all the metadata that is sent over the network.
  • W przypadku korzystania z programu WSUS ze zdalną bazą danych SQL Server połączenie między serwerem programu WSUS a serwerem bazy danych nie jest zabezpieczone przez protokół TLS/SSL.If you use WSUS with a remote SQL Server database, the connection between the WSUS server and the database server isn't secured by TLS/SSL. Jeśli połączenie z bazą danych musi być zabezpieczone, należy wziąć pod uwagę następujące zalecenia:If the database connection must be secured, consider the following recommendations:
    • Przenieś bazę danych programu WSUS na serwer programu WSUS.Move the WSUS database to the WSUS server.
    • Przenieś zdalny serwer bazy danych i serwer WSUS do sieci prywatnej.Move the remote database server and the WSUS server to a private network.
    • Wdróż zabezpieczenia protokołu internetowego (IPsec), aby ułatwić zabezpieczenie ruchu sieciowego.Deploy Internet Protocol security (IPsec) to help secure network traffic.

Podczas konfigurowania serwerów WSUS i ich punktów aktualizacji oprogramowania do korzystania z protokołu TLS/SSL możesz chcieć przejść do zmian w przypadku dużych hierarchii Configuration Manager.When configuring WSUS servers and their software update points to use TLS/SSL, you may want to phase in the changes for large Configuration Manager hierarchies. Jeśli zdecydujesz się na przejście do tych zmian, Rozpocznij u dołu hierarchii i Przenieś w górę do końca w centralnej lokacji administracyjnej.If you choose to phase in these changes, start at the bottom of the hierarchy and move upwards ending with the central administration site.

Wymagania wstępnePrerequisites

Ten samouczek obejmuje najpopularniejszą metodę uzyskiwania certyfikatu do użycia z programem Internet Information Services (IIS).This tutorial covers the most common method to obtain a certificate for use with Internet Information Services (IIS). Niezależnie od metody używanej przez organizację upewnij się, że certyfikat spełnia wymagania dotyczące certyfikatu PKI dla Configuration Manager punktu aktualizacji oprogramowania.Whichever method your organization uses, ensure that the certificate meets the PKI certificate requirements for a Configuration Manager software update point. Podobnie jak w przypadku dowolnego certyfikatu urząd certyfikacji musi być zaufany przez urządzenia komunikujące się z serwerem WSUS.As with any certificate, the certificate authority must be trusted by devices communicating with the WSUS server.

  • Serwer programu WSUS z zainstalowaną rolą punktu aktualizacji oprogramowaniaA WSUS server with the software update point role installed
  • Przed włączeniem protokołu TLS/SSL upewnij się, że zostały wykonane najlepsze rozwiązania dotyczące wyłączania odtwarzania i konfigurowania limitów pamięci dla usług WSUS.Verify you've followed best practices on disabling recycling and configuring memory limits for WSUS before enabling TLS/SSL.
  • Jedną z dwóch następujących opcji:One of the two following options:
    • Odpowiedni certyfikat PKI już znajduje się w osobistym magazynie certyfikatów serwera programu WSUS.An appropriate PKI certificate already in the WSUS server's Personal certificate store.
    • Możliwość żądania i uzyskania odpowiedniego certyfikatu PKI dla serwera WSUS z głównego urzędu certyfikacji przedsiębiorstwa (CA).The ability to request and obtain an appropriate PKI certificate for the WSUS server from your Enterprise root certificate authority (CA).
      • Domyślnie większość szablonów certyfikatów, w tym szablonu certyfikatu WebServer, będzie wystawiać tylko dla administratorów domeny.By default, most certificate templates including the WebServer certificate template will only issue to Domain Admins. Jeśli zalogowany użytkownik nie jest administratorem domeny, konto użytkownika musi mieć przyznane uprawnienie rejestracja szablonu certyfikatu.If the logged in user isn't a domain admin, their user account will need to be granted the Enroll permission on the certificate template.

Uzyskaj certyfikat z urzędu certyfikacji w razie koniecznościObtain the certificate from the CA if needed

Jeśli masz już odpowiedni certyfikat w osobistym magazynie certyfikatów serwera programu WSUS, Pomiń tę sekcję i Rozpocznij od sekcji Powiązywanie certyfikatu .If you already have an appropriate certificate in the WSUS server's Personal certificate store, skip this section and start with the Bind the certificate section. Aby wysłać żądanie certyfikatu do wewnętrznego urzędu certyfikacji w celu zainstalowania nowego certyfikatu, postępuj zgodnie z instrukcjami w tej sekcji.To send a certificate request to your internal CA to install a new certificate, follow the instructions in this section.

  1. Na serwerze programu WSUS Otwórz wiersz polecenia z uprawnieniami administracyjnymi i uruchom polecenie certlm.msc .From the WSUS server, open an administrative command prompt and run certlm.msc. Twoje konto użytkownika musi być administratorem lokalnym, aby zarządzać certyfikatami dla komputera lokalnego.Your user account needs to be a local administrator to manage certificates for the local computer.

    Zostanie wyświetlone narzędzie Menedżer certyfikatów dla urządzenia lokalnego.The Certificate Manager tool for the local device appears.

  2. Rozwiń węzeł osobiste, a następnie kliknij prawym przyciskiem myszy pozycję Certyfikaty.Expand Personal, then right-click on Certificates.

  3. Wybierz pozycję wszystkie zadania , a następnie zażądaj nowego certyfikatu.Select All Tasks then Request New Certificate.

  4. Wybierz pozycję dalej , aby rozpocząć rejestrację certyfikatu.Choose Next to begin certificate enrollment.

  5. Wybierz typ certyfikatu do zarejestrowania.Choose the type of certificate to enroll. Celem certyfikatu jest uwierzytelnianie serwera , a szablon certyfikatu firmy Microsoft, który ma być używany, to serwer sieci Web lub szablon niestandardowy z uwierzytelnianiem serwera określony jako ulepszone użycie klucza.The certificate purpose is Server Authentication and the Microsoft certificate template to use is Web Server or a custom template that has Server Authentication specified as Enhanced Key Usage. Może zostać wyświetlony monit o podanie dodatkowych informacji w celu zarejestrowania certyfikatu.You may be prompted for additional information to enroll the certificate. Zazwyczaj należy określić następujące informacje:Typically, you'll specify the following information at minimum:

    • Nazwa pospolita: Na karcie podmiot ustaw wartość na nazwę FQDN serwera programu WSUS.Common name: Found on the Subject tab, set the value to the WSUS server's FQDN.
    • Przyjazna nazwa: Na karcie Ogólne ustaw wartość na opisową nazwę, aby ułatwić identyfikację certyfikatu.Friendly name: Found on the General tab, set the value to a descriptive name to help you identify the certificate later.

    Okno właściwości certyfikatu w celu określenia dodatkowych informacji na potrzeby rejestracji

  6. Wybierz pozycję zarejestruj , a następnie Zakończ , aby zakończyć rejestrację.Select Enroll then Finish to complete the enrollment.

  7. Otwórz certyfikat, aby wyświetlić jego szczegóły, takie jak odcisk palca certyfikatu.Open the certificate if you want to see details about it such as the certificate's thumbprint.

Porada

Jeśli Twój serwer programu WSUS jest połączony z Internetem, będzie potrzebna zewnętrzna nazwa FQDN w temacie lub alternatywna nazwa podmiotu (SAN) w certyfikacie.If your WSUS server is internet facing, you'll need the external FQDN in the Subject or Subject Alternative Name (SAN) in your certificate.

Powiąż certyfikat z witryną administracyjną programu WSUSBind the certificate to the WSUS Administration site

Po uzyskaniu certyfikatu w osobistym magazynie certyfikatów serwera WSUS należy powiązać go z lokacją administracyjną programu WSUS w programie IIS.Once you have the certificate in the WSUS server's personal certificate store, bind it to the WSUS Administration site in IIS.

  1. Otwórz Menedżera internetowych usług informacyjnych (IIS) na serwerze WSUS.On the WSUS server, open Internet Information Services (IIS) Manager.

  2. Przejdź do witryny > Administracja usług WSUS.Go to Sites > WSUS Administration.

  3. Wybierz opcję powiązania z menu Akcja lub klikając prawym przyciskiem myszy witrynę.Select Bindings from either the action menu or by right-clicking on the site.

  4. W oknie powiązania witryny wybierz wiersz protokołu HTTPS, a następnie wybierz pozycję Edytuj....In the Site Bindings window, select the line for https, then select Edit....

    • Nie usuwaj powiązania witryny HTTP.Don't remove the HTTP site binding. Program WSUS używa protokołu HTTP dla plików zawartości aktualizacji.WSUS uses HTTP for the update content files.
  5. W obszarze certyfikat SSL wybierz certyfikat, który ma zostać powiązany z lokacją administracyjną programu WSUS.Under the SSL certificate option, choose the certificate to bind to the WSUS Administration site. Przyjazna nazwa certyfikatu jest wyświetlana w menu rozwijanym.The certificate's friendly name is shown in the drop-down menu. Jeśli przyjazna nazwa nie została określona, zostanie IssuedTo wyświetlone pole certyfikatu.If a friendly name wasn't specified, then the certificate's IssuedTo field is shown. Jeśli nie masz pewności, którego certyfikatu użyć, wybierz pozycję Wyświetl i sprawdź, czy odcisk palca jest zgodny z uzyskanym przez Ciebie.If you're not sure which certificate to use, select View and verify the thumbprint matches the one you obtained.

    Okno właściwości certyfikatu w celu określenia dodatkowych informacji na potrzeby rejestracji

  6. Po zakończeniu wybierz przycisk OK , a następnie Zamknij , aby zamknąć powiązania witryny.Select OK when you're done, then Close to exit the site bindings. Aby wykonać kolejne kroki, należy pozostawić otwarty Menedżer Internet Information Services (IIS).Keep Internet Information Services (IIS) Manager open for the next steps.

Konfigurowanie usług sieci Web programu WSUS w celu wymagania protokołu SSLConfigure the WSUS web services to require SSL

  1. W Menedżerze usług IIS na serwerze WSUS przejdź do witryny > Administracja WSUS.In IIS Manager on the WSUS server, go to Sites > WSUS Administration.

  2. Rozwiń lokację administracyjną programu WSUS, aby wyświetlić listę usług sieci Web i katalogów wirtualnych dla usług WSUS.Expand the WSUS Administration site so you see the list of web services and virtual directories for WSUS.

  3. Dla każdej z poniższych usług sieci Web programu WSUS:For each of the below WSUS web services:

    • ApiRemoting30ApiRemoting30
    • ClientWebServiceClientWebService
    • DSSAuthWebServiceDSSAuthWebService
    • ServerSyncWebServiceServerSyncWebService
    • SimpleAuthWebServiceSimpleAuthWebService

    Wprowadź następujące zmiany:Make the following changes:

    1. Wybierz pozycję Ustawienia protokołu SSL.Select SSL Settings.
    2. Włącz opcję Wymagaj protokołu SSL .Enable the Require SSL option.
    3. Sprawdź, czy opcja Certyfikaty klienta jest ustawiona na wartość Ignoruj.Verify the Client certificates option is set to Ignore.
    4. Wybierz przycisk Zastosuj.Select Apply.

Nie ustawiaj ustawień protokołu SSL w lokacji administracyjnej usług WSUS najwyższego poziomu, ponieważ niektóre funkcje, takie jak zawartość, muszą używać protokołu HTTP.Don't set the SSL settings at the top-level WSUS Administration site since certain functions, such as content, need to use HTTP.

Konfigurowanie aplikacji programu WSUS do używania protokołu SSLConfigure the WSUS application to use SSL

Gdy usługi sieci Web są ustawione tak, aby wymagały protokołu SSL, należy powiadomić aplikację programu WSUS, aby mogła ona obsługiwać zmianę.Once the web services are set to require SSL, the WSUS application needs to be notified so it can do some additional configuration to support the change.

  1. Otwórz wiersz polecenia administratora na serwerze programu WSUS.Open an admin command prompt on the WSUS server. Konto użytkownika uruchamiające to polecenie musi być członkiem grupy Administratorzy WSUS lub lokalnej grupy administratorów.The user account running this command must be a member of either the WSUS Administrators group or the local Administrators group.

  2. Zmień katalog na folder Tools dla usług WSUS:Change directory to the tools folder for WSUS:

    cd "c:\Program Files\Update Services\Tools"

  3. Skonfiguruj program WSUS do używania protokołu SSL za pomocą następującego polecenia:Configure WSUS to use SSL with the following command:

    WsusUtil.exe configuressl server.contoso.com

    Gdzie Server.contoso.com jest nazwą FQDN serwera programu WSUS.Where server.contoso.com is the FQDN of the WSUS server.

  4. WsusUtil zwraca adres URL serwera programu WSUS z numerem portu określonym na końcu.WsusUtil returns the URL of the WSUS server with the port number specified at the end. Port będzie mieć wartość 8531 (wartość domyślna) lub 443.The port will be either 8531 (default) or 443. Sprawdź, czy zwrócony adres URL jest oczekiwany.Verify the URL returned is what you expected. Jeśli coś było błędnie wpisane, można uruchomić polecenie ponownie.If something was mistyped, you can run the command again.

    Okno właściwości certyfikatu w celu określenia dodatkowych informacji na potrzeby rejestracji

Porada

Jeśli serwer programu WSUS jest połączony z Internetem, należy określić zewnętrzną nazwę FQDN podczas uruchamiania WsusUtil.exe configuressl .If your WSUS server is internet facing, specify the external FQDN when running WsusUtil.exe configuressl.

Sprawdź, czy konsola programu WSUS może nawiązać połączenie przy użyciu protokołu SSLVerify the WSUS console can connect using SSL

Konsola programu WSUS używa usługi sieci Web ApiRemoting30 w celu nawiązania połączenia.The WSUS console uses the ApiRemoting30 web service for connection. Configuration Manager punkt aktualizacji oprogramowania (SUP) używa również tej samej usługi sieci Web do bezpośredniego programu WSUS, aby wykonywać pewne czynności, takie jak:The Configuration Manager software update point (SUP) also uses this same web service to direct WSUS to take certain actions such as:

  • Inicjowanie synchronizacji aktualizacji oprogramowaniaInitiating a software update synchronization
  • Ustawianie odpowiedniego serwera nadrzędnego dla usług WSUS, który jest zależny od tego, gdzie znajduje się lokacja usługi SUP w hierarchii Configuration ManagerSetting the proper upstream server for WSUS, which is dependent on where the SUP's site resides in your Configuration Manager hierarchy
  • Dodawanie lub usuwanie produktów i klasyfikacji na potrzeby synchronizacji z serwera WSUS najwyższego poziomu w hierarchii.Adding or removing products and classifications for synchronization from the hierarchy's top-level WSUS server.
  • Usuwanie wygasłych aktualizacjiRemoving expired updates

Otwórz konsolę programu WSUS, aby sprawdzić, czy można użyć połączenia SSL z usługą sieci Web ApiRemoting30 serwera WSUS.Open the WSUS console to verify you can use an SSL connection to the WSUS server's ApiRemoting30 web service. Przetestuje niektóre inne usługi sieci Web później.We'll test some of the other web services later.

  1. Otwórz konsolę programu WSUS i wybierz pozycję Akcja > Połącz z serwerem.Open the WSUS console and select Action > Connect to Server.

  2. Wprowadź nazwę FQDN serwera WSUS dla opcji Nazwa serwera .Enter the FQDN of the WSUS server for the Server name option.

  3. Wybierz numer portu zwrócony w adresie URL z WSUSutil.Choose the Port number returned in the URL from WSUSutil.

  4. Opcja użyj SSL (SSL) do łączenia się z tym serwerem automatycznie włącza, gdy wybrano opcję 8531 (wartość domyślna) lub 443.The Use Secure Sockets Layer (SSL) to connect to this server option automatically enables when either 8531 (default) or 443 are chosen.

    Okno właściwości certyfikatu w celu określenia dodatkowych informacji na potrzeby rejestracji

  5. Jeśli serwer lokacji Configuration Manager znajduje się w punkcie aktualizacji oprogramowania, uruchom konsolę programu WSUS z serwera lokacji i sprawdź, czy konsola programu WSUS może nawiązać połączenie za pośrednictwem protokołu SSL.If your Configuration Manager site server is remote from the software update point, launch the WSUS console from the site server and verify the WSUS console can connect over SSL.

    • Jeśli zdalna konsola programu WSUS nie może nawiązać połączenia, prawdopodobnie wskazuje problem z zaufaniem do certyfikatu, rozpoznawania nazw lub zablokowanym portem.If the remote WSUS console can't connect, it likely indicates a problem with either trusting the certificate, name resolution, or the port being blocked.

Konfigurowanie punktu aktualizacji oprogramowania w celu wymagania komunikacji SSL z serwerem WSUSConfigure the software update point to require SSL communication to the WSUS server

Po skonfigurowaniu usług WSUS do korzystania z protokołu TLS/SSL należy zaktualizować odpowiedni Configuration Manager punkt aktualizacji oprogramowania, aby wymagać protokołu SSL.Once WSUS is set up to use TLS/SSL, you'll need to update the corresponding Configuration Manager software update point to require SSL too. Po wprowadzeniu tej zmiany Configuration Manager będzie:When you make this change, Configuration Manager will:

  • Sprawdź, czy może skonfigurować serwer WSUS dla punktu aktualizacji oprogramowaniaVerify it can configure the WSUS server for the software update point
  • Kierowanie klientów do korzystania z portu SSL, gdy są one powiadamiane o przeskanowaniu na ten serwer programu WSUS.Direct clients to use the SSL port when they're told to scan against this WSUS server.

Aby skonfigurować punkt aktualizacji oprogramowania w celu wymagania komunikacji SSL z serwerem programu WSUS, wykonaj następujące czynności:To configure the software update point to require SSL communication to the WSUS server, do the following steps:

  1. Otwórz konsolę Configuration Manager i nawiąż połączenie z centralną lokacją administracyjną lub serwerem lokacji głównej dla punktu aktualizacji oprogramowania, który chcesz edytować.Open the Configuration Manager console and connect to either your central administration site or the primary site server for the software update point you need to edit.

  2. Przejdź do pozycji Administracja > Przegląd > serwerykonfiguracji lokacji > i role systemu lokacji.Go to Administration > Overview > Site Configuration > Servers and Site System Roles.

  3. Wybierz serwer systemu lokacji, na którym zainstalowano program WSUS, a następnie wybierz rolę systemu lokacji punktu aktualizacji oprogramowania.Select the site system server where WSUS is installed, then select the software update point site system role.

  4. Na wstążce wybierz pozycję Właściwości.From the ribbon, choose Properties.

  5. Włącz opcję Wymagaj komunikacji SSL z serwerem WSUS .Enable the Require SSL communication to the WSUS server option.

    Okno właściwości certyfikatu w celu określenia dodatkowych informacji na potrzeby rejestracji

  6. W dzienniku plik WCM. log dla lokacji zobaczysz następujące wpisy podczas stosowania zmiany:In the WCM.log for the site, you'll see the following entries when you apply the change:

    SCF change notification triggered.
    Populating config from SCF
    Setting new configuration state to 1 (WSUS_CONFIG_PENDING)
    ...
    Attempting connection to local WSUS server
    Successfully connected to local WSUS server
    ...
    Setting new configuration state to 2 (WSUS_CONFIG_SUCCESS)
    

Przykłady pliku dziennika zostały zmodyfikowane w celu usunięcia niepotrzebnych informacji w tym scenariuszu.Log file examples have been edited to remove unneeded information for this scenario.

Weryfikacja funkcjonalności przy użyciu Configuration ManagerVerify functionality with Configuration Manager

Sprawdź, czy serwer lokacji może synchronizować aktualizacjeVerify the site server can sync updates

  1. Połącz konsolę Configuration Manager z lokacją najwyższego poziomu.Connect the Configuration Manager console to the top-level site.

  2. Przejdź do pozycji Biblioteka oprogramowania > Omówienie > aktualizacje oprogramowania > wszystkie aktualizacje oprogramowania.Go to Software Library > Overview > Software Updates > All Software Updates.

  3. Na wstążce wybierz pozycję Synchronizuj aktualizacje oprogramowania.From the ribbon, select Synchronize Software Updates.

  4. Wybierz opcję tak , aby powiadomić o tym, czy chcesz zainicjować synchronizację aktualizacji oprogramowania w całej lokacji.Select Yes to the notification asking if you want to initiate a site-wide synchronization for software updates.

    • Ponieważ konfiguracja programu WSUS została zmieniona, wykonywana jest pełna synchronizacja aktualizacji oprogramowania zamiast synchronizacji różnicowej.Since the WSUS configuration changed, a full software updates synchronization will occur rather than a delta synchronization.
  5. Otwórz Dziennik plik Wsyncmgr. log dla witryny.Open the wsyncmgr.log for the site. Jeśli monitorowana jest lokacja podrzędna, należy poczekać, aż lokacja nadrzędna zakończy synchronizację w pierwszej kolejności.If you're monitoring a child site, you'll need to wait for the parent site to finish synchronization first. Sprawdź, czy serwer został pomyślnie zsynchronizowany, przeglądając dziennik pod kątem wpisów podobnych do następujących:Verify that the server syncs successfully by reviewing the log for entries similar to the following:

    Starting Sync
    ...
    Full sync required due to changes in main WSUS server location.
    ...
    Found active SUP SERVER.CONTOSO.COM from SCF File.
    ...
    https://SERVER.CONTOSO.COM:8531
    ...
    Done synchronizing WSUS Server SERVER.CONTOSO.COM
    ...
    sync: Starting SMS database synchronization
    ...
    Done synchronizing SMS with WSUS Server SERVER.CONTOSO.COM
    

Weryfikowanie, czy klient może skanować w poszukiwaniu aktualizacjiVerify a client can scan for updates

W przypadku zmiany punktu aktualizacji oprogramowania w celu wymagania protokołu SSL Configuration Manager klienci otrzymują zaktualizowany adres URL programu WSUS, gdy wysyła żądanie lokalizacji dla punktu aktualizacji oprogramowania.When you change the software update point to require SSL, Configuration Manager clients receive the updated WSUS URL when it makes a location request for a software update point. Testując klienta, możemy:By testing a client, we can:

  • Ustal, czy klient ufa certyfikatowi serwera programu WSUS.Determine if the client trusts the WSUS server's certificate.
  • Jeśli SimpleAuthWebService i ClientWebService dla usług WSUS są funkcjonalne.If the SimpleAuthWebService and the ClientWebService for WSUS are functional.
  • Czy katalog wirtualny zawartości programu WSUS jest funkcjonalny, jeśli podczas skanowania klient wystąpił w celu uzyskania umowy EULAThat the WSUS content virtual directory is functional, if the client happened to get a EULA during the scan
  1. Zidentyfikuj klienta, który skanuje się w punkcie aktualizacji oprogramowania ostatnio został zmieniony, aby użyć protokołu TLS/SSL.Identify a client that scans against the software update point recently changed to use TLS/SSL. Jeśli potrzebujesz pomocy dotyczącej identyfikacji klienta, użyj polecenia Uruchom skrypty z poniższym skryptem programu PowerShell:Use Run scripts with the below PowerShell script if you need help with identifying a client:

    $Last = (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").LastSuccessScanPath
    $Current= Write-Output (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").CurrentScanPath
    Write-Host "LastGoodSUP- $last"
    Write-Host "CurrentSUP- $current"
    

    Porada

    Otwórz ten skrypt w centrum społeczności.Open this script in community hub. Aby uzyskać więcej informacji, zobacz bezpośrednie linki do elementów centrum społeczności.For more information, see Direct links to community hub items.

  2. Uruchom cykl skanowania aktualizacji oprogramowania na kliencie testowym.Run a software update scan cycle on your test client. Można wymusić skanowanie przy użyciu następującego skryptu programu PowerShell:You can force a scan with the following PowerShell script:

    Invoke-WMIMethod -Namespace root\ccm -Class SMS_CLIENT -Name TriggerSchedule "{00000000-0000-0000-0000-000000000113}"
    

    Porada

    Otwórz ten skrypt w centrum społeczności.Open this script in community hub. Aby uzyskać więcej informacji, zobacz bezpośrednie linki do elementów centrum społeczności.For more information, see Direct links to community hub items.

  3. Przejrzyj Dziennik ScanAgent. log klienta, aby sprawdzić, czy otrzymano komunikat o przeskanowaniu względem punktu aktualizacji oprogramowania.Review the client's ScanAgent.log to verify the message to scan against the software update point was received.

    Message received: '<?xml version='1.0' ?>
    <UpdateSourceMessage MessageType='ScanByUpdateSource'>
       <ForceScan>TRUE</ForceScan>
       <UpdateSourceIDs>
             <ID>{A1B2C3D4-1234-1234-A1B2-A1B2C3D41234}</ID>
       </UpdateSourceIDs>
     </UpdateSourceMessage>'
    
  4. Przejrzyj Dziennik LocationServices. log , aby sprawdzić, czy klient widzi prawidłowy adres URL usług WSUS.Review the LocationServices.log to verify that the client sees the correct WSUS URL. LocationServices.logLocationServices.log

    WSUSLocationReply : <WSUSLocationReply SchemaVersion="1
    ...
    <LocationRecord WSUSURL="https://SERVER.CONTOSO.COM:8531" ServerName="SERVER.CONTOSO.COM"
    ...
    </WSUSLocationReply>
    
  5. Przejrzyj Dziennik WUAHandler. log , aby sprawdzić, czy klient programu może pomyślnie przeprowadzić skanowanie.Review the WUAHandler.log to verify that the client can successfully scan.

    Enabling WUA Managed server policy to use server: https://SERVER.CONTOSO.COM:8531
    ...
    Successfully completed scan.
    

Następne krokiNext steps

Wdrażanie aktualizacji oprogramowaniaDeploy software updates