安装 SCCM 软件更新点角色 |配置管理器SUP

本文介绍安装 SCCM 软件更新点 (SUP) 角色的步骤。让我们看看如何安装和配置 ConfigMgr SUP（软件更新点）角色。

软件更新点 (SUP) 与 Windows Server 更新服务 (WSUS) 集成，为 Configuration Manager 客户端提供软件更新。

如果您决定使用 SCCM 将软件更新部署到客户端，则必须确保正确安装和配置软件更新点角色。您可以按照本指南在 SCCM 中安装 SUP 角色。

配置管理器中的软件更新点是什么？

软件更新点是由配置管理器控制的 WSUS 服务器。我们知道 WSUS 是一个独立的解决方案，使管理员能够部署最新的 Microsoft 产品更新。

与 WSUS 不同，客户端不会直接从软件更新点下载或安装更新。相反，客户端从软件更新点下载的唯一数据是更新元数据。

要将更新部署到客户端计算机，管理中心站点和主站点上需要软件更新点角色。虽然 ConfigMgr SUP 角色安装在辅助站点上是可选的。

规划新的软件更新点安装

因此，如果您拥有由 CAS、主站点和辅助站点组成的 SCCM 层次结构，则首先在 CAS 上安装 ConfigMgr SUP 角色，然后在主站点和辅助站点上安装。

大多数组织没有 CAS，并且更喜欢独立的主站点。当您有独立的主站点时，必须首先在主站点上安装和配置软件更新点，然后可以选择在辅助站点上安装和配置软件更新点。

软件更新点站点系统角色必须安装在安装了 WSUS 角色的服务器上。我在当前的大多数分支基准安装指南中都介绍了 WSUS 角色安装。

对于独立 WSUS 安装，请检查以下 Windows Server 2019 上的 WSUS 安装后内容。

ConfigMgr 软件更新点与 WSUS 服务交互以配置软件更新设置并请求同步软件更新元数据。我建议阅读 Microsoft 的“软件更新计划”文章。

软件更新点要求

在 Windows Server 上的 SCCM 中安装 SCCM SUP 角色之前，请确保阅读下面列出的先决条件。

• 在 Windows 服务器上安装站点系统服务器和角色之前，请务必参阅本文。这很重要，因为您打算安装的角色必须位于受支持的 Windows Server 操作系统上。
• 确保在 Windows Server 角色和功能下启用 .NET Framework 3.5。此外，安装受支持的 .NET Framework 版本 4.5 或更高版本。从版本 1906 开始，配置管理器支持 .NET Framework 4.8。
• 安装软件更新点之前，请在计算机上安装 Windows Server Update Services。这是一个关键的先决条件。
• 如果您计划在分发点服务器上安装 WSUS 和 SUP 角色，则支持。
• 当您安装新站点时，ConfigMgr 会自动安装 SQL Server Native Client。但是，配置管理器不会升级 SQL Server Native Client。确保该组件是最新的。

提示：在 Windows Server 2019 或 2022 上安装 WSUS 角色时，WSUS 版本为 10.0.17763.1。当您在 Windows Server 2016 上安装 WSUS 角色时，它的版本是 10.0.14393。

安装 SCCM 软件更新点角色

使用以下步骤，在 SCCM 中安装软件更新点角色。

• 启动 SCCM 控制台。
• 导航到管理 > 概述 > 站点配置 > 服务器和站点系统角色。
• 右键单击要安装软件更新点角色的服务器，然后单击添加站点系统角色。

在常规页面上，单击下一步。

在代理页面上，您可以指定代理服务器详细信息（如果您的设置中有）。否则，请单击下一步。

最后，我们进入系统角色选择页面。从可用角色列表中，选择软件更新点。这将在 SCCM 中安装 SUP 角色。单击下一步。

指定软件更新点设置

在指定软件更新点设置页面上的 WSUS 配置下，您可以找到两个选项。

• WSUS 配置为使用端口 80 和 443 进行客户端通信。
• WSUS 配置为使用端口 8530 和 8531 进行客户端通信。

WSUS 上游和下游服务器将在 WSUS 管理员配置的端口上同步。此处选择第二个选项，因为它是 Windows Server 2012 及更高版本上安装的 WSUS 的默认设置。 WSUS 服务器上的防火墙必须配置为允许这些端口上的入站流量。

我们还看到其他两个选项：-

• 需要与 WSUS 服务器进行 SSL 通信 - 选中或启用此选项后，您可以使用 SSL 协议来帮助保护在软件更新点上运行的 WSUS。 WSUS 使用 SSL 对 WSUS 服务器的客户端计算机和下游 WSUS 服务器进行身份验证。
• 允许 Configuration Manager 云管理网关流量 - 启用此选项以使软件更新点站点系统接受 CMG 流量。

单击下一步。

软件更新点代理服务器设置

如果您在设置中配置了代理服务器，请指定 SUP 的代理服务器设置。这些选项呈灰色，因为您必须首先将站点系统角色配置为使用代理服务器。

WSUS 服务器连接帐户

您可以配置站点服务器连接到在软件更新点上运行的 WSUS 时使用的帐户。如果不配置此帐户，配置管理器将使用站点服务器的计算机帐户连接到 WSUS。

单击下一步。

SUP 同步源设置

在此步骤中，您为软件更新点选择同步源。换句话说，您可以定义下载更新的来源。

• 从 Microsoft 更新同步 - 使用此设置可从 Microsoft 更新同步软件更新元数据。如果您配置了上游软件更新点，则此选项不可用。请注意，仅当您在顶级站点上配置软件更新点时，此设置才可用。
• 从上游数据源位置同步 - 使用此选项可从上游同步源同步软件更新元数据。如果选择此选项，请指定 URL，例如 https://WSUSServer:8531，其中 8531 是用于连接到 WSUS 服务器的端口。
• 不从 Microsoft 更新或上游数据源同步 - 当顶级站点的软件更新点与 Internet 断开连接时，使用此选项可以手动同步软件更新。

WSUS 报告事件

您可以在向导的“同步源”页面或“软件更新点组件属性”中的“同步设置”选项卡上创建 WSUS 报告事件。

• 不创建 WSUS 报告事件
• 仅创建 WSUS 状态报告事件
• 创建所有 WSUS 报告事件

由于配置管理器不使用这些事件，因此您可以启用默认选项 - 不创建 WSUS 报告事件。单击下一步。

SUP 同步设置

您可以定义同步计划并将软件更新配置为自动同步。单击在计划框中启用同步并配置同步计划。

您可以选择简单计划（也称为循环计划）或使用自定义计划。默认情况下，每 7 天进行一次同步。如果需要，您可以更改它。

您还可以让配置管理器在站点同步失败时创建警报。我更喜欢启用此选项，因为我会在 Configuration Manager 控制台中看到 SUP 同步失败警报。

单击下一步。

SUP 取代规则

在此页面上，您可以将软件更新配置为在被最近的更新取代后立即过期。您还可以将软件更新设置为在特定时间段后过期。

从 Configuration Manager 版本 1810 开始，你可以为功能更新和非功能更新单独指定取代规则行为。这是一个很好的补充。

在更新和功能更新的取代行为下，您可以找到以下选项。

• 被取代的软件更新立即失效
• 在软件更新在特定期限内被取代之前，不要让被取代的软件更新过期。当您选择此选项时，您必须指定被取代的软件更新到期之前要等待的月份。默认设置为 3 个月。

此时，我将使用默认设置并单击下一步。

WSUS 维护选项

为了在每次同步后自动执行清理过程，Microsoft 添加了一些很酷的 WSUS 维护选项。如果您使用的是 Configuration Manager 版本 1906 或更高版本，您将在 WSUS 设置下找到这些新选项。

安装 ConfigMgr SUP 时获得的 WSUS 维护选项如下：

• 根据取代规则拒绝 WSUS 中过期的更新
• 向 WSUS 数据库添加非聚集索引
• 从 WSUS 数据库中删除过时的更新

由于我们要在新服务器上安装 SUP，因此您可以不选中这些选项。我们可以稍后重新访问并启用它们。

单击下一步。

配置软件更新安装的最长运行时间

指定完成软件更新安装的最长时间。我将把这些值保留为默认值，因为它们对我来说看起来很好。但是，您可以根据需要更改这些值。

• Windows 功能更新的最长运行时间 - 120 分钟
• Office 365 更新和 Windows 非功能更新的最长运行时间 - 60 分钟。

单击下一步。

软件更新内容配置

在此页面上，您必须选择是要部署已批准更新的完整文件还是同时部署完整文件和快速安装文件。

快速安装文件由于尺寸较小，下载速度很快，安装速度也很快。我将选择下载所有已批准更新的完整文件，然后单击下一步。

软件更新点分类

当您说部署软件更新时，它实际上是一个非常广泛的术语。这是因为每个软件更新都定义有更新分类。这有助于组织不同类型的更新。

安装 SCCM 软件更新点时，在同步过程中，站点会同步指定分类的元数据。

一旦您知道需要什么分类，您就可以在所有分类下启用它们。

等一下，让我在这里讲一些重要的事情。首次在顶级站点上安装软件更新点时，必须清除所有软件更新分类。

初始软件更新同步后，从更新列表中配置分类，然后重新启动同步。

单击下一步。

ConfigMgr SUP 产品选择

由于我们没有从“所有分类”中选择任何产品，因此我们暂时不会选择任何这些产品。此外，您可能看不到列出的所有产品，因为我们尚未执行初始 SUP 同步。

完成初始 SUP 同步后，我们将选择产品。单击下一步。

SCCM SUP 过滤器产品

在 ConfigMgr 2203 版本中，在软件更新点属性 > 产品选项卡下，提供了一个新的过滤器产品选项。

在过滤器搜索框中，您可以输入任何产品的名称，系统会从 SUP 产品列表中填充或过滤该名称。

要了解有关 SUP 筛选器产品选项的更多信息，请阅读 ConfigMgr 软件更新点筛选器产品文章。

软件更新点语言

您可以在此处为软件更新点属性中的软件更新文件设置配置语言。对于每种语言，您都可以选择要下载的软件更新文件和摘要信息。

在此示例中，我将仅选择英语作为软件更新点语言。单击下一步。

在摘要页面上，单击下一步。

单击添加站点系统角色向导完成框中的关闭。这样就完成了 SCCM 中软件更新点角色的安装。

验证软件更新点角色安装

SCCM 日志文件是查找 SUP 角色安装状态的最佳方法。在我的其他博客中，我列出了与软件更新相关的日志文件，您可以在软件更新故障排除期间参考这些文件。

在大多数情况下，安装进展顺利，但如果失败，您必须知道要检查哪个日志文件。 SUP 日志文件位于 \Program Files\Microsoft Configuration Manager\Logs 下

因此，您必须打开的第一个日志文件是SUPSetup.log。查找安装成功行。这样我们就可以确保 SCCM 中的软件更新点角色安装成功。

======== Installing Pre Reqs for Role SMSWSUS ========
Found 1 Pre Reqs for Role SMSWSUS 
Pre Req SqlNativeClient found.
SqlNativeClient is already installed (Product Code: {9D93D367-A2CC-4378-BD63-79EF3FE76C78}). But to support TLS1.2, a new version with Product Code: {B9274744-8BAE-4874-8E59-2610919CD419} needs to be manually installed 
Pre Req SqlNativeClient is already installed. Skipping it.
======== Completed Installation of Pre Reqs for Role SMSWSUS ========
Installing the SMSWSUS
Checking for supported version of WSUS (min WSUS 3.0 SP2 + KB2720211 + KB2734608)
Checking runtime v4.0.30319...
Found supported assembly Microsoft.UpdateServices.Administration version 4.0.0.0, file version 6.2.17763.1
Found supported assembly Microsoft.UpdateServices.BaseApi version 4.0.0.0, file version 6.2.17763.678
Supported WSUS version found
Supported WSUS Server version (6.2.17763.678) is installed.
CTool::RegisterManagedBinary: run command line: "C:\Windows\Microsoft.NET\Framework64\v2.0.50727\RegAsm.exe" "C:\Program Files\Microsoft Configuration Manager\bin\x64\wsusmsp.dll"
CTool::RegisterManagedBinary: Failed to register C:\Program Files\Microsoft Configuration Manager\bin\x64\wsusmsp.dll with .Net Fx 2.0
CTool::RegisterManagedBinary: run command line: "C:\Windows\Microsoft.NET\Framework64\v4.0.30319\RegAsm.exe" "C:\Program Files\Microsoft Configuration Manager\bin\x64\wsusmsp.dll"
CTool::RegisterManagedBinary: Registered C:\Program Files\Microsoft Configuration Manager\bin\x64\wsusmsp.dll successfully
Registered DLL C:\Program Files\Microsoft Configuration Manager\bin\x64\wsusmsp.dll
Installation was successful.
~RoleSetup().

执行初始 SUP 同步

软件更新同步是检索满足您配置的条件的软件更新元数据的过程。在同步软件更新之前，软件更新不会显示在 Configuration Manager 控制台中。

以下是在 SCCM 中安装 SUP 角色后执行初始软件更新同步的方法。

• 首先启动 SCCM 控制台。
• 转至软件库 > 概述 > 软件更新 > 所有软件更新。
• 在顶部功能区上，单击同步软件更新。

在确认框中，单击是。

当您运行初始 SUP 同步时，它会尝试同步类别，但请注意会发生什么。如果您打开 wsyncmgr.log 文件，它会告诉您请求过滤器不包含任何已知类别或分类。因此同步不会执行任何操作。

此时，让同步完成。如果您看到“完成与 WSUS 服务器同步 SMS”行，则表示 SUP 同步已完成。

sync: SMS synchronizing categories	SMS_WSUS_SYNC_MANAGER
sync: SMS synchronizing categories, processed 0 out of 355 items (0%)
sync: SMS synchronizing categories, processed 355 out of 355 items (100%)
sync: SMS synchronizing categories, processed 355 out of 355 items (100%)
WARNING: Request filter does not contain any known classifications. Sync will do nothing.
WARNING: Request filter does not contain any known categories. Sync will do nothing.
Done synchronizing SMS with WSUS Server

启用 SUP 分类和产品

初始 WSUS 同步完成后，让我们在软件更新点角色下启用分类和产品。

在 Configuration Manager 控制台中，导航到管理 > 概述 > 站点配置 > 站点。选择站点，右键单击并单击配置站点组件 > 软件更新点。

在“软件更新点组件属性”框中，选择分类选项卡。启用您需要的那些。在此示例中，我选择重要更新和安全更新。

接下来，单击产品选项卡并选择产品。在此示例中，我选择 Windows 10 产品。完成选择后，单击应用和确定。

选择分类和产品后，必须再次运行软件更新点同步。只有这样，您才会在控制台中看到所选产品的更新。

打开wsyncmgr.log 文件，您将注意到更新同步开始。根据您选择的产品和分类，完成该过程需要一些时间。

在同步过程中，您可能找不到所有软件更新下列出的任何更新。

SUP 同步完成后，请注意软件更新下列出的更新。

下一步是什么

让我列出一些有用的帖子，您在设置 SCCM 软件更新点角色后可以参考这些帖子。

• 如何使用 SCCM 部署软件更新
• 使用 ConfigMgr 部署 Office 365 更新
• 第三方软件更新的 SCCM 目录