启用和配置 SCCM 第三方软件更新

本文介绍使用 SCCM (ConfigMgr) 启用和配置第三方软件更新的步骤。您可以在企业中使用此 SCCM 第三方软件更新部署指南来通过 SCCM 设置第三方修补。

Configuration Manager 控制台中的第三方软件更新目录节点允许您订阅第三方目录，将其更新发布到软件更新点 (SUP)，然后将其部署到客户端。

如果您计划使用 SCCM 部署第三方软件更新，则需要进行一系列配置。我已经介绍了启用和配置 SCCM 第三方软件更新所需的步骤。请参阅有关使用 SCCM 部署软件更新的指南。

• 设置第三方软件更新的先决条件
• • 步骤 1：在软件更新点上启用 SSL
• 步骤 2：在软件更新点上启用第三方更新
• 步骤 3：配置 WSUS 签名证书
• 步骤 4：在客户端上启用第三方软件更新

设置第三方软件更新的先决条件

以下是在 SCCM 中设置第三方软件更新所需的先决条件列表。

• 确保顶级软件更新点的 WSUSContent 目录中有足够的磁盘空间来存储第三方软件更新的源二进制内容。
• 第三方软件更新同步服务需要连接互联网。
• 对于合作伙伴目录列表，需要通过 HTTPS 端口 443 的 download.microsoft.com。
• 通过 Internet 访问任何第三方目录并更新内容文件。除了 443 之外，可能还需要其他端口。
• 第三方更新使用与 SUP 相同的代理设置。

启用 SCCM 第三方软件更新的步骤

现在，我们将完成在服务器上启用 SCCM 第三方软件更新的步骤。按顺序执行每个步骤以配置第三方更新。

步骤 1：在软件更新点上启用 SSL

由于自定义 SCCM 目录需要 HTTPS，因此您必须在软件更新点上启用 SSL 通信。请注意，远程时必须在 SUP 上启用 SSL。

使用以下步骤在软件更新点上启用 SSL：

1. 转至管理 > 概述 > 站点配置 > 服务器和站点系统角色。
2. 选择服务器，然后在底部窗格中右键单击软件更新点，然后单击属性。
3. 在 WSUS 配置下，启用“需要与 WSUS 服务器进行 SSL 通信”。
4. 单击应用和确定。

步骤 2：在软件更新点上启用第三方更新

如果启用此选项，您可以在 Configuration Manager 控制台中订阅第三方更新目录。然后可以将更新发布到 WSUS 并分发给客户端。要启用并配置该功能以供使用，请为每个层次结构重复以下步骤一次。如果更换了顶级 SUP 的 WSUS 服务器，则可能需要重复这些步骤。

执行以下步骤以在软件更新点启用第三方软件更新：

• 启动配置管理器控制台。
• 导航至管理 > 概述 > 站点配置 > 站点。
• 选择站点，右键单击，然后选择配置站点组件 > 软件更新点。
• 切换到第三方更新选项卡，然后选择启用第三方软件更新选项。
• 单击应用和确定。

步骤 3：配置 WSUS 签名证书

在上面的步骤中，您在 SUP 上启用了第三方更新。下一步是配置 WSUS 签名证书。这很重要，因为自定义目录必须使用 HTTPS 并且更新必须经过数字签名。

在SUP 属性 > 第三方更新选项卡下，您将找到两个用于配置 WSUS 签名证书的选项。

• 配置管理器管理证书
• 手动管理证书

上述两个选项都是不言自明的。 Microsoft 为您提供了两种管理 WSUS 签名证书的选项。你可以告诉配置管理器使用自签名证书自动管理第三方 WSUS 签名证书。如果您需要手动配置证书，例如使用 PKI 证书，可以使用 SCUP 工具来完成。

步骤 4：在客户端上启用第三方软件更新

在此步骤中，您将了解如何在 SCCM 客户端设置中的客户端上启用第三方更新。该设置将 Windows 更新代理策略设置为允许对 Intranet Microsoft 更新服务位置进行签名更新。此客户端设置还会将 WSUS 签名证书安装到客户端上的受信任发布者存储中。

• 启动配置管理控制台。
• 导航至管理 > 概述 > 客户端设置。
• 右键单击“默认客户端设置”，然后单击属性。
• 单击左侧窗格中的软件更新。选择“是”在客户端上启用软件更新。
• 将启用第三方软件更新设置为是。单击应用和确定。

在 SCCM 中配置第三方更新的步骤

在 SCCM 中启用第三方更新后，我们将查看一些基本配置，包括添加自定义目录、同步第三方更新等。

第 1 步：在 SCCM 中添加自定义目录

在 SCCM 中添加自定义目录之前，您必须了解合作伙伴目录与自定义目录之间的差异。作为示例，我将向您展示如何导入自定义目录（基本上是 Adobe SCUP 目录），这将使我们能够使用 SCCM 部署 Adobe Reader 更新。

我将添加 URL 为 https://armmf.adobe.com/arm-manifests/win/SCUP/ReaderCatalog-2017.cab 的 Adobe 目录。

要在 SCCM 中导入自定义目录，请使用以下步骤：

• 转至软件库 > 软件更新 > 第三方软件更新目录。
• 右键单击第三方软件更新目录，然后单击添加自定义目录。

在第三方软件更新自定义目录向导的常规标签上，输入目录的下载 URL。您还必须输入目录说明。单击下一步。

在摘要页面上，查看您要导入的目录的设置，然后单击下一步。

在完成窗口中，单击关闭。这就完成了在 SCCM 中添加自定义目录的步骤。

步骤2：订阅SCCM第三方目录

在上面的步骤中，我们成功地将Adobe Reader自定义目录导入到SCCM中。导入目录后，下一步是订阅第三方目录。使用以下过程订阅 SCCM 中的第三方更新目录。

导航至软件库 > 软件更新 > 第三方软件更新目录。在右侧窗格中，右键单击 Adobe Reader 目录，然后选择订阅目录。

请注意，下载 URL 与您在添加目录时提供的 URL 相同。单击下一步。

目录下载成功。单击下一步。

在创建 Adobe Reader SCUP 目录订阅之前，您必须查看并批准目录签名证书。单击查看证书。在“证书”窗口中，单击安装证书。确保导入证书并关闭证书导入向导。

启用复选框“我已阅读并理解此消息”。单击下一步。

在摘要页面上，单击下一步。

单击关闭。这样就完成了订阅自定义目录的步骤。

步骤 3：在 SCCM 中同步第三方更新

成功订阅第三方更新目录后，您必须同步该目录，以便您看到该目录中包含的产品更新。为此，请右键单击 Adobe Reader 目录并选择立即同步。此时，执行手动软件更新同步。

步骤 4：发布和部署第三方软件更新

执行软件更新同步后，转到软件更新点组件属性。单击产品选项卡，您应该会发现Adobe作为列出的产品之一。选择Adobe Reader，然后单击确定。

在我们再次运行软件更新同步之前，我们仍然看不到第三方更新。在所有软件更新下，您将找到所有Adobe Reader 更新。等待同步完成并刷新软件更新节点。现在您看到了第三方更新，您可以使用 SCCM 轻松部署它们。

SCCM 第三方软件更新日志文件

在软件更新同步期间监视日志文件非常重要。在所有 SCCM 日志文件中，打开 wsyncmgr.log 文件以监视更新同步。

在下面的屏幕截图中，我们看到 Adobe Acrobat Reader DC 更新正在 SCCM 中同步。这些更新还将显示在 Configuration Manager 控制台的软件更新节点中。

第三方软件更新的同步由顶级默认软件更新点上的 SMS_ISVUPDATES_SYNCAGENT 组件处理。您可以查看位于

SMS_ISVUPDATES_SYNCAGENT.log 文件中的代码片段显示了将 Adobe Reader 第三方软件更新同步并下载到 SCCM 的过程。

SyncUpdateCatalog: Starting download for catalog 'Adobe Reader' from 'https://armmf.adobe.com/arm-manifests/win/SCUP/ReaderCatalog-2017.cab' ...	SMS_ISVUPDATES_SYNCAGENT
SyncUpdateCatalog: Downloading file: 'https://armmf.adobe.com/arm-manifests/win/SCUP/ReaderCatalog-2017.cab' to 'C:\Program Files\Microsoft Configuration Manager\ISVTemp\iydaylkb.q1m\ReaderCatalog-2017.cab'.
SyncUpdateCatalog: Download from 'https://armmf.adobe.com/arm-manifests/win/SCUP/ReaderCatalog-2017.cab' completed successfully.

阅读下一篇

• 如何使用 SCCM 部署第三方应用程序
• 使用 Patch Connect Plus 部署第三方更新
• Patch Connect Plus - 第三方应用程序修补
• 如何在 SCCM 中导入或添加补丁我的 PC 目录
• 在 ConfigMgr 中删除自定义目录的 3 个简单步骤