啟用第三方更新

  • 發行項

適用於:Configuration Manager (目前的分支)

Configuration Manager 主控台中的[協力廠商軟體更新類別目錄] 節點可讓您訂閱協力廠商目錄、將其更新發佈至您的軟體更新點 (SUP) ,然後將其部署至用戶端。

注意事項

在 2006 版和更早版本中,Configuration Manager預設不會啟用此功能。 使用它之前,請先啟用選擇性功能 [在用戶端上啟用協力廠商更新支援]。 如需詳細資訊,請 參閱從更新啟用選擇性功能

先決條件

  • 最上層軟體更新點 WSUSContent 目錄上有足夠的磁碟空間,可儲存協力廠商軟體更新的來源二進位內容。
    • 所需的儲存體數量會根據廠商、更新類型,以及您發佈以進行部署的特定更新而有所不同。
    • 如果您需要將目錄移 WSUSContent 至另一個具有更多可用空間的磁片磁碟機,請參閱 如何變更 WSUS 在本機儲存更新的位置 部落格文章。
  • 協力廠商軟體更新同步處理服務需要網際網路存取。
    • 針對合作夥伴目錄清單,需要透過 HTTPS 埠 443 download.microsoft.com。
    • 網際網路存取任何協力廠商目錄並更新內容檔案。 可能需要 443 以外的其他埠。
    • 協力廠商更新使用與 SUP 相同的 Proxy 設定。

當 SUP 從最上層月臺伺服器遠端時的其他需求

  1. SSL 在遠端時應該在 SUP 上啟用。 這需要從內部憑證授權單位單位或透過公用提供者產生的伺服器驗證憑證。

    • 在 WSUS 上設定 SSL
      • 當您在 WSUS 上設定 SSL 時,請注意某些 Web 服務和虛擬目錄一律是 HTTP,而不是 HTTPS。
      • Configuration Manager透過 HTTP 從 WSUS 內容目錄下載軟體更新套件的協力廠商內容。
    • 在 SUP 上設定 SSL

  2. 當設定協力廠商將 WSUS 簽署憑證組態更新為Configuration Manager在軟體更新點元件屬性中管理憑證時,需要下列設定才能允許建立自我簽署 WSUS 簽署憑證:

    • 應在 SUP 伺服器上啟用遠端登入。
    • WSUS 伺服器線上帳戶應該具有 SUP/WSUS 伺服器的遠端登入權利。

  3. 在Configuration Manager月臺伺服器上建立下列登錄機碼:

    • HKLM\Software\Microsoft\Update Services\Server\Setup,建立名為 EnableSelfSignedCertificates 且值為 1 的新 DWORD。

  4. 若要啟用將自我簽署 WSUS 簽署憑證安裝到遠端 SUP 伺服器上受信任的發行者和受根信任存放區:

    • WSUS 伺服器線上帳戶應該具有 SUP 伺服器的遠端系統管理許可權。

      如果無法使用此專案,請將憑證從本機電腦的 WSUS 存放區匯出至受信任的發行者和受信任的根存放區。

注意事項

您可以檢視 SUP 之 [月臺系統] 角色屬性上的 [Proxy 和帳戶設定] 索引標籤,來識別WSUS 伺服器線上帳戶。 如果未指定帳戶,則會使用月臺伺服器的電腦帳戶。

在 SUP 上啟用協力廠商更新

如果啟用此選項,您可以在 Configuration Manager 主控台中訂閱協力廠商更新目錄。 然後,您可以將這些更新發佈至 WSUS,並將其部署至用戶端。 下列步驟應該針對每個階層執行一次,以啟用和設定要使用的功能。 如果您曾經取代最上層 SUP 的 WSUS 伺服器,則可能需要重新執行這些步驟。

  1. 在 Configuration Manager 主控台中,移至 [系統管理] 工作區。 展開 [月臺設定],然後選取 [ 月臺 ] 節點。

  2. 選取階層中的頂層月臺。 在功能區中,選取 [ 設定月臺元件],然後選取 [ 軟體更新點]

  3. 切換至 [協力廠商更新] 索引標籤。選取 [啟用協力廠商軟體更新]選項。

    協力廠商更新 SUP 屬性螢幕擷取畫面

設定 WSUS 簽署憑證

您必須決定要Configuration Manager使用自我簽署憑證自動管理協力廠商 WSUS 簽署憑證,還是需要手動設定憑證。

自動管理 WSUS 簽署憑證

如果您不需要使用 PKI 憑證,您可以選擇自動管理協力廠商更新的簽署憑證。 WSUS 憑證管理會在同步處理週期中完成,並記錄在 中 wsyncmgr.log

  1. 在 Configuration Manager 主控台中,移至 [系統管理] 工作區。 展開 [月臺設定],然後選取 [ 月臺 ] 節點。
  2. 選取階層中的頂層月臺。 在功能區中,選取 [ 設定月臺元件],然後選取 [ 軟體更新點]
  3. 切換至 [協力廠商更新] 索引標籤。選取Configuration Manager管理憑證的選項。
  4. 系統會在 [系統管理] 工作區中 [安全性] 下的 [憑證] 節點中,建立第三方 WSUS 簽署類型的新憑證。

手動管理 WSUS 簽署憑證

如果您需要手動設定憑證,例如需要使用 PKI 憑證,則必須使用System Center 更新 Publisher或其他工具來執行此動作。

  1. 使用System Center 更新 Publisher設定簽署憑證。
  2. 在 Configuration Manager 主控台中,移至 [系統管理] 工作區。 展開 [月臺設定],然後選取 [ 月臺 ] 節點。
  3. 選取階層中的頂層月臺。 在功能區中,選取 [ 設定月臺元件],然後選取 [ 軟體更新點]
  4. 切換至[協力廠商更新] 索引標籤。選取[手動管理憑證] 的選項。

在用戶端上啟用協力廠商更新

在用戶端設定中啟用用戶端的協力廠商更新。 設定會設定 [允許內部網路Microsoft更新服務位置的已簽署更新] Windows Update代理程式原則。 此用戶端設定也會將 WSUS 簽署憑證安裝到用戶端上受信任的發行者存放區。 憑證記錄管理會顯示在 updatesdeployment.log 用戶端上。 針對您想要用於協力廠商更新的每個自訂用戶端設定執行這些步驟。 如需詳細資訊,請參閱 關於用戶端設定一 文。

  1. 在 Configuration Manager 主控台中,移至 [系統管理] 工作區,然後選取 [用戶端設定]節點。
  2. 選取現有的自訂用戶端設定,或建立新的自訂用戶端設定。
  3. 選取左側的 [軟體更新] 索引標籤。 如果您沒有此索引標籤,請確定 [軟體更新] 方塊已啟用。
  4. [啟用協力廠商軟體更新 ] 設定為 [ 是]

新增自訂目錄

合作夥伴類別目錄是已向 Microsoft 註冊其資訊的軟體廠商目錄。 透過合作夥伴目錄,您可以訂閱它們,而不需要指定任何其他資訊。 您新增的目錄稱為 自訂目錄。 您可以從協力廠商更新廠商將自訂目錄新增至Configuration Manager。 自訂目錄必須使用 HTTPs,且更新必須經過數位簽署。

  1. 移至 [軟體更新程式庫] 工作區,展開 [軟體更新],然後選取 [協力廠商軟體更新類別目錄] 節點

    協力廠商更新節點螢幕擷取畫面

  2. 選取功能區中的 [新增自訂目錄 ]。

    協力廠商更新新增自訂目錄

  3. 在 [ 一般] 頁面上,指定下列專案:

    • 下載 URL:自訂目錄的有效 HTTPS 位址。
    • 發行者:發佈目錄的組織名稱。
    • 名稱:要在 Configuration Manager 主控台中顯示的目錄名稱。
    • 描述:目錄的描述。
    • 支援 URL (選擇性) :網站的有效 HTTPS 位址,以取得目錄的協助。
    • 支援聯繫 人 (選擇性) :連絡資訊以取得目錄的說明。

  4. 選取[下一步] 以檢閱目錄摘要,並繼續完成協力廠商軟體更新自訂類別目錄精靈

訂閱協力廠商目錄和同步更新

當您在 Configuration Manager 主控台中訂閱協力廠商目錄時,目錄中每個更新的中繼資料都會同步處理到您 SUP 的 WSUS 伺服器。 中繼資料的同步可讓用戶端判斷是否有任何更新適用。 針對您要訂閱的每個協力廠商目錄執行下列步驟:

  1. 在 Configuration Manager 主控台中,移至 [軟體程式庫] 工作區。 展開[軟體更新],然後選取 [協力廠商軟體更新類別目錄] 節點
  2. 選取要訂閱的目錄,然後選取功能區中的 [訂閱目錄 ]。 協力廠商更新訂閱目錄
  3. 在精靈的 [ 檢閱和核准 ] 頁面上檢閱和核准類別目錄憑證。

    注意事項

    當您訂閱協力廠商軟體更新目錄時,您在精靈中檢閱和核准的憑證會新增至網站。 此憑證的類型為協力廠商軟體更新目錄。 您可以從 [系統管理] 工作區中 [安全性] 下的 [憑證] 節點管理它。

  4. 如果協力廠商目錄是 v3,系統會提供您選取 類別階段內容的頁面。 如需設定這些選項的詳細資訊,請參閱 協力廠商 v3 目錄選項 一節。
  5. 在 [ 排程 ] 頁面上選擇您的選項:
    • 簡單排程:選擇小時、日或月間隔。 預設值是每 7 天同步處理一次的簡單排程。
    • 自訂排程:設定複雜的排程。
  6. 在 [ 摘要 ] 頁面上檢閱您的設定,並完成精靈。
  7. 下載目錄之後,必須將產品中繼資料從 WSUS 資料庫同步至Configuration Manager資料庫。 手動啟動軟體更新同步處理 ,以同步處理產品資訊。
  8. 同步處理產品資訊之後,請設定 SUP 將所需的產品同步至 Configuration Manager。
  9. 手動啟動軟體更新同步處理,以將新產品的更新同步至Configuration Manager。
  10. 同步處理完成時,您可以在 [所有更新] 節點中看到協力廠商更新。 這些更新會發佈為 僅限中繼資料 的更新,直到您選擇發佈它們為止。
    • 藍色箭號的圖示代表僅限中繼資料的軟體更新。 僅中繼資料軟體更新圖示

發佈和部署協力廠商軟體更新

一旦協力廠商更新位於 [所有更新] 節點中,您就可以選擇要發佈哪些更新以進行部署。 當您發佈更新時,二進位檔案會從廠商下載,並放在 WSUSContent 最上層 SUP 的目錄中。

  1. 在 Configuration Manager 主控台中,移至 [軟體程式庫] 工作區。 展開[軟體更新],然後選取 [所有軟體更新節點。

  2. 取 [新增準則 ] 以篩選更新清單。 例如,為HP新增廠商。檢視 HP 的所有更新。

  3. 選取組織所需的更新。 選 取 [發佈協力廠商軟體更新內容]

    • 此動作會從廠商下載更新二進位檔,然後將它們儲存在 WSUSContent 最上層軟體更新點的目錄中。

  4. 手動啟動軟體更新同步處理 ,以將已發佈更新的狀態從僅限中繼資料變更為具有內容的可部署更新。

    注意事項

    當您發佈協力廠商軟體更新內容時,用來簽署內容的任何憑證都會新增至網站。 這些憑證的類型為協力廠商軟體更新內容。 您可以從 [系統管理] 工作區中 [安全性] 下的 [憑證] 節點管理它們。

  5. 檢閱 中的 SMS_ISVUPDATES_SYNCAGENT.log 進度。 記錄位於月臺系統 Logs 資料夾的最上層軟體更新點。

  6. 使用部署 軟體更新程式來部署更新

  7. 在 [部署軟體更新精靈] 的 [下載位置] 頁面上,選取[從網際網路下載軟體更新] 的預設選項。 在此案例中,內容已發佈至軟體更新點,用來下載部署套件的內容。

  8. 用戶端必須先執行掃描並評估更新,才能看到合規性結果。 您可以執行 [軟體更新掃描週期] 動作,從用戶端上的Configuration Manager控制台手動觸發此迴圈。

協力廠商 v3 目錄選項

V3 目錄允許分類的更新。 使用包含分類更新的目錄時,您可以將同步處理設定為只包含特定類別的更新,以避免同步處理整個目錄。 使用分類目錄時,當您確信將部署類別時,您可以將它設定為自動下載併發布至 WSUS。

重要事項

此選項僅適用于支援更新類別的 v3 協力廠商更新目錄。 這些選項會針對未以 v3 格式發佈的目錄停用。

  1. 在 Configuration Manager 主控台中,移至 [軟體程式庫] 工作區。 展開[軟體更新],然後選取 [協力廠商軟體更新類別目錄] 節點

  2. 選取要訂閱的目錄,然後選取功能區中的 [訂閱目錄 ]。

  3. 在 [ 選取類別 ] 頁面上選擇您的選項:

    • 同步處理所有更新類別 (預設)

      • 將協力廠商更新目錄中的所有更新同步至Configuration Manager。

    • 選取用於同步處理的類別

      • 選擇要同步至Configuration Manager的類別和子類別。

      選取要同步處理至 Configuration Manager 的更新類別

  4. 選擇是否要暫存 目錄的更新內容 。 當您暫存內容時,所選類別中的所有更新都會自動下載到您的最上層軟體更新點,這表示您不需要在部署之前確保它們已下載。 您應該只自動暫存您可能要部署之更新的內容,以避免過多的頻寬和儲存體需求。

    • 請勿暫存內容,只同步處理掃描 (建議的)
      • 請勿下載協力廠商目錄中更新的任何內容
    • 自動暫存所選類別的內容
      • 選擇將自動下載內容的更新類別。
      • 所選類別中更新的內容將會下載到最上層軟體更新點的 WSUS 內容目錄。 選取更新類別以暫存內容

  5. 設定 目錄同步 處理的排程,然後完成精靈。

編輯現有的訂用帳戶

您可以從功能區選取 [ 屬性 ] 或按一下滑鼠右鍵功能表,以編輯現有的訂閱。

重要事項

有些選項僅適用于支援更新類別的 v3 協力廠商更新目錄。 這些選項會針對未以 v3 格式發佈的目錄停用。

  1. 在第 三方軟體更新類別目錄 節點中,以滑鼠右鍵按一下目錄,然後選取 [ 屬性 ],或從功能區選取 [ 屬性 ]。

  2. 您可以從 [ 一般] 索引標籤檢視下列資訊,但無法編輯資訊。

    注意事項

    如果您需要變更此處的任何資訊,您必須新增新的自訂目錄。
    如果下載 URL 未變更,則必須先移除現有的目錄,才能新增具有相同下載 URL 的目錄。

    • 下載 URL:自訂目錄的 HTTPS 位址。
    • 發行者:發佈目錄的組織名稱。
    • 名稱:要在 Configuration Manager 主控台中顯示的目錄名稱。
    • 描述:目錄的描述。
    • 支援 URL:網站的有效 HTTPS 位址,以取得目錄的說明。
    • 支援連絡人:連絡資訊以取得目錄的說明。

  3. 在 [ 選取類別] 索引 標籤上選擇您的選項。

    • 同步處理所有更新類別 (預設)
      • 將協力廠商更新目錄中的所有更新同步至Configuration Manager。
    • 選取用於同步處理的類別
      • 選擇要同步至Configuration Manager的類別和子類別。

  4. 選擇 [ 階段更新內容] 索 引標籤的選項。

    • 請勿暫存內容,只同步處理掃描 (建議的)
      • 請勿下載協力廠商目錄中更新的任何內容
    • 自動暫存所選類別的內容
      • 選擇將自動下載內容的更新類別。
      • 所選類別中更新的內容將會下載到最上層軟體更新點的 WSUS 內容目錄。

  5. 在 [排程] 索引 標籤上 ,選取同步處理目錄的頻率。

    • 簡單排程:選擇小時、日或月間隔。
    • 自訂排程:設定複雜的排程。

取消訂閱目錄並刪除自訂目錄

在 [ 協力廠商軟體更新類別目錄 ] 節點中,以滑鼠右鍵按一下目錄,然後選取 [ 取消訂閱 ] 以停止同步處理目錄。
您也可以從功能區使用 [取消訂閱 ] 選項。 當您取消訂閱目錄時,會移除目錄簽署和更新內容憑證的核准。 不會移除現有的更新,但您可能無法部署它們。 使用自訂目錄時,您也可以選擇在取消訂閱之後加以刪除。 從功能區選 取 [刪除自訂目錄 ],或選取目錄的右鍵功能表。 刪除自訂目錄會將它從 [協力廠商軟體更新類別目錄 ] 節點的檢視中移除。

監視協力廠商軟體更新的進度

協力廠商軟體更新的同步處理是由最上層預設軟體更新點上的SMS_ISVUPDATES_SYNCAGENT元件處理。 您可以檢視此元件的狀態訊息,或在 中查看更詳細的 SMS_ISVUPDATES_SYNCAGENT.log 狀態。 此記錄位於月臺系統 Logs 資料夾的最上層軟體更新點上。 根據預設,此路徑為 C:\Program Files\Microsoft Configuration Manager\Logs。 如需監視一般軟體更新管理程式的詳細資訊,請參 閱監視軟體更新

列出其他協力廠商更新目錄

為了協助您尋找可匯入以進行協力廠商軟體更新的自訂目錄,有一個檔頁面,其中包含目錄提供者的連結。 從 2107 Configuration Manager開始,您也可以在第三方軟體更新類別目錄節點的功能區中選擇 [更多類別目錄]。 以滑鼠右鍵按一下 [協力廠商軟體更新類別目錄 ] 節點會顯示 [ 更多類別目錄] 功能表項目。 選 取 [更多目錄] 會 開啟檔頁面的連結,其中包含 其他協力廠商軟體更新類別目錄提供者的清單

功能區中具有 [更多類別目錄] 圖示的協力廠商軟體更新類別目錄節點螢幕擷取畫面

已知問題

  • 執行主控台的電腦是用來從 WSUS 下載更新,並將其新增至更新套件。 主控台電腦上必須信任 WSUS 簽署憑證。 如果不是,您可能會在下載協力廠商更新期間看到簽章檢查的問題。
  • 協力廠商軟體更新同步處理服務無法將內容發佈至其他應用程式、工具或腳本新增到 WSUS 的僅中繼資料更新,例如 SCUP。 在這些更新上 ,發佈協力廠商軟體更新內容 動作會失敗。 如果您需要部署此功能尚不支援的協力廠商更新,請完整使用您現有的程式來部署這些更新。
  • Configuration Manager有目錄 cab 檔案格式的新版本。 新版本包含廠商二進位檔案的憑證。 這些憑證會在您核准並信任目錄之後,新增至 [系統管理] 工作區中 [安全性] 下的 [憑證] 節點。
    • 只要下載 URL 是 HTTPs 且更新已簽署,您仍然可以使用舊版的目錄 cab 檔案版本。 內容將無法發佈,因為二進位檔的憑證不在 cab 檔案中且已核准。 您可以在 [憑證] 節點中尋找憑 、解除封鎖,然後再次發佈更新,以解決此問題。 如果您要發佈多個以不同憑證簽署的更新,則必須解除封鎖所使用的每個憑證。
    • 如需詳細資訊,請參閱下列狀態訊息表中的狀態訊息 11523 和 11524。
  • 當最上層軟體更新點上的協力廠商軟體更新同步處理服務需要 Proxy 伺服器進行網際網路存取時,數位簽章檢查可能會失敗。 若要減輕此問題,請在月臺系統上設定 WinHTTP Proxy 設定。 如需詳細資訊,請參閱 WinHTTP 的 Netsh 命令
  • 針對內容儲存體使用 CMG 時,如果啟用 [在可用的用戶端時下載差異內容] 設定,則協力廠商更新的內容將不會下載至客戶端。
  • 如果目錄提供者已變更目錄的簽署憑證,因為您上次核准或訂閱,目錄同步會失敗,直到憑證在 [ 憑證 ] 節點中核准為止。 如需詳細資訊,請參閱狀態訊息資料表中的 MessageID 11508。

狀態訊息

MessageID 嚴重性 描述 可能的原因 可能的解決方案
11508 錯誤 檢查 WSUS 目錄名稱 > 的簽章 < 時失敗。 請確定已訂閱目錄,且不會封鎖目錄憑證 <> 。 如需進一步的詳細資料,請參閱 SMS_ISVUPDATES_SYNCAGENT.log 目錄上的簽署憑證可能已變更,因為它原本是訂閱或上次核准。 請務必檢閱並核准 [憑證] 節點中的 憑證 ,以允許目錄同步處理。
11516 錯誤 無法發佈更新「更新識別碼」的內容,因為內容未簽署。 只能發佈具有有效簽章的內容。 Configuration Manager不允許發佈未簽署的更新。 以替代方式發佈更新。

查看廠商是否提供已簽署的更新。
11523 警告 目錄 「X」 不包含內容簽署憑證,在新增並核准內容簽署憑證之前,嘗試發佈此目錄中更新的更新內容可能會失敗。 當您匯入使用舊版 cab 檔案格式的目錄時,可能會發生此訊息。 請連絡目錄提供者,以取得包含內容簽署憑證的更新型錄。

二進位檔的憑證不包含在 cab 檔案中,因此內容將無法發佈。 您可以在 [憑證] 節點中尋找憑 、解除封鎖,然後再次發佈更新,以解決此問題。 如果您要發佈多個以不同憑證簽署的更新,則必須解除封鎖所使用的每個憑證。
11524 錯誤 因為遺漏更新中繼資料,所以無法發佈更新 「識別碼」。 更新可能已同步至Configuration Manager以外的 WSUS。 在嘗試發佈更新的內容之前,請先將更新與Configuration Manager同步處理。

如果外部工具是用來將更新發佈為僅元 資料,則請使用相同的工具來發佈更新內容。

使用協力廠商更新影片

PowerShell

您可以使用下列 PowerShell Cmdlet,在 Configuration Manager 中自動管理協力廠商更新:

下一步

部署軟體更新