sccm-logo

Развёртывание System Center Configuration Manager 1702. Часть 5 – установка Software Update Point

Software Update Point (SUP) — роль Configuration Manager, которая интегрируется с WSUS и позволяет управлять процессом обновления клиентов SCCM. Это не обязательная для установки роль и нужна в том случае, если вы решили управлять процессом обновления клиентов с помощью SCCM. В этой части цикла статей по развёртыванию Configuration Manager Current Branch версии 1702 мы рассмотрим процесс установки роли SUP на второй сервер сайта CM02. Для этого мы установим роль WSUS в качестве подготовительного шага и развернём роль Software Update Services через консоль Operation Manager.

Установка WSUS

В качестве сервера баз данных для базы данных WSUS я буду использовать SQL сервер, на котором размещена база данных сайта Operations Manager. В нашей конфигурации это сервер CMDB.
Для установки роли на сервере CM02 воспользуемся PowerShell:

sccm-part5-install-wsus

Далее нам необходимо создать контент директорию для хранения обновлений, если они будут храниться на данном сервере:

Настраиваем WSUS на использование созданной директории и указываем экземпляр SQL сервера:

sccm-part5-install-wsus-1
Проверяем создалась ли база данных SUSDB на сервере SQL:
sccm-part5-install-wsus-2
Дальнейшая настройка сервера WSUS осуществляется только через Configuration Manager. Не нужно запускать мастер настройки WSUS. В дальнейшем после конфигурирования WSUS через Configuration Manager, можно будет запустить консоль WSUS чтобы просмотреть обновления или статусы синхронизации, но управлять обновлениями (одобрять или отклонять) нельзя.

Установка Software Update Point

Открываем консоль Configuration Manager на сервере CM01 — основной сервер сайта, запускаем мастер Add Site System Role:
sccm-part5-install-sup-01
Указываем сервер, на котором мы установили роль WSUS, в нашем случае это CM02. Для установки роли используем учётную запись компьютера (в нашем случае это учётная запись CM01), т.к. мы её добавили в группу локальных администраторов на сервере CM02.
sccm-part5-install-sup-02.png
Страницу мастера с настройкой прокси сервера пропускаем, в нашем случае настройки прокси не нужны. Если в вашей инфраструктуре используется прокси сервер для доступа к Интернет — укажите эти настройки.
Выбираем роль Software Update Point:
sccm-part5-install-sup-03
Далее выбираем тип установленного WSUS сервера и какие типы подключения должна принимать наша SUP. Для WSUS, входящего в состав Windows Server 2016 порты те же, что и для Windows Server 2012 8530 и 8531. Если есть сомнения в используемых сервером WSUS портах их всегда можно проверить через IIS Manager, посмотрев Bindings для сайта WSUS Administration.
sccm-part5-install-sup-04
Указываем стоит ли использовать прокси сервер для синхронизации и скачивания обновлений, а также если необходимо, учётные данные для подключения к WSUS. Можно настроить учетную запись для подключения сервера сайта к службе WSUS, работающей в точке обновления ПО (SUP). Если эта учетная запись не настроена, для подключения к WSUS Configuration Manager использует учетную запись компьютера сервера сайта.
sccm-part5-install-sup-05
Далее выбираем источник синхронизации обновлений и определяем, следует ли клиентам отправлять отчёты о своём состоянии на сервер WSUS. Configuration Manager не использует эти события, поэтому можно оставить значение, заданное по умолчанию.
sccm-part5-install-sup-06
Далее настраиваем расписание автоматической синхронизации:
sccm-part5-install-sup-07
Настраиваем правила замены (Supersedence Rules). Первый вариант «Immediately expire a superseded software update» означает, что если вышло заменяющее (Superseded) обновление, то срок действия заменяемого обновления ПО немедленно истекает. Благодаря этому такие обновления ПО уже не включаются в новые развертывания, а для существующих развертываний отображается флаг, указывающий на наличие в них одного или нескольких обновлений ПО с истекшим сроком действия. Такой подход не всегда приемлем. В некоторых средах процедуры тестирования занимают довольно большое время, чтобы сразу отказываться от развёртывания заменяемого обновления. Поэтому есть вторая опция, где можно настроить срок в месяцах, по истечению которого заменяемое (superseded) обновление будет помечено как истёкшее. Предполагается, что за этот срок вы должны успеть провести тестирование и развёртывание обновления.

Галочка «Run WSUS cleanup wizard» позволяет автоматически удалять заменённые (superseded) и удалённые обновления из папки WSUS на диске, а также из базы данных WSUS.

Начиная с версии 1702 Configuration Manager поддерживает файлы экспресс-установки для обновлений Windows 10. Это позволяет Configuration Manager скачать только разницу между накопительным пакетом обновления Windows 10 за текущий месяц и обновлением за предыдущий месяц. Если не использовать файлы экспресс-установки, Configuration Manager каждый месяц скачивает весь накопительный пакет обновления Windows 10 (включая все обновления за предыдущие месяцы). Использование файлов экспресс-установки позволяет уменьшить объем скачиваемых данных.
Будьте осторожны с этим функционалом в версиях SCCM ниже 1706, т.к. в предыдущих версиях клиенты скачивали такие файлы очень медленно. Также хочу отметить, что файлы экспресс-установки призваны экономить пропускную способность и место на дисках, но сам процесс установки проходит с большими накладными расходами по CPU, т.е. установка проходит не быстрее, как можно было подумать.
sccm-part5-install-sup-09
Далее на странице классификации обновлений указываем какие классы мы будем синхронизировать. Для того, чтобы ещё раз вспомнить что есть что, можно заглянуть сюда: https://docs.microsoft.com/ru-ru/sccm/sum/plan-design/plan-for-software-updates#BKMK_UpdateClassifications
sccm-part5-install-sup-10
Далее указываем продукты, для которых мы будем качать обновления. На данном этапе могут не отображаться некоторые продукты, например Windows 10. Это нормально. Продолжаем установку и после первой синхронизации WSUS эти продукты появятся в списке.
sccm-part5-install-sup-11
Выбираем поддерживаемые языки:
sccm-part5-install-sup-12
Проверяем успешность завершения установки:
sccm-part5-install-sup-13
На нашем сервере CM02 появилась ещё одна роль:
sccm-part5-install-sup-14
После установки запустится первая синхронизация на сервере WSUS. Дожидаемся её завершения и снова открываем список продуктов для которых необходимо устанавливать обновления. Я включу в свой список продуктов Windows 10, которой не было в списке во время установки SUP. Для этого в разделе Administration раскрываем папку Site Configuration и встаём на объект Sites. Справа на нашем сайте выбираем настройку компонент сайта:
sccm-part5-install-sup-15
В открывшемся окне выбираем необходимые продукты:
sccm-part5-install-sup-16
Запускаем повторную синхронизацию:
sccm-part5-install-sup-17

Есть мнение, что выбор всех продуктов для синхронизации предпочтительнее, т.к. в таком случае у нас появляется возможность видеть реальную картину по развёрнутым и требующим обновлений продуктам в сети. Если выбрать корень дерева «все продукты», то в список синхронизируемых будут автоматически добавляться также новые продукты. В случае же выбора отдельных продуктов мы можем не знать, что на наших системах развёрнуто что-то ещё, что требует обновлений.

См. также SCCM: управление обновлениями клиентов

Развёртывание System Center Configuration Manager 1702. Часть 1 – планирование архитектуры

Развёртывание System Center Configuration Manager 1702. Часть 2 – подготовка инфраструктуры

Развёртывание System Center Configuration Manager 1702. Часть 3 – подготовка и установка первого сервера сайта

Развёртывание System Center Configuration Manager 1702. Часть 4 – подготовка и установка второго сервера сайта

Развёртывание System Center Configuration Manager 1702. Часть 5 – установка Software Update Point

Развёртывание System Center Configuration Manager 1702. Часть 6 – установка клиентов

Развёртывание System Center Configuration Manager 1702. Часть 7 – Настройка центра программного обеспечения и каталога приложений

Развёртывание System Center Configuration Manager 1702. Часть 8 – Установка точки служб отчётов

Добавить комментарий