Planen der Installation des Softwareupdatepunkts

Letzte Aktualisierung: Oktober 2009

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Bevor Sie die Standortsystemrolle „Aktiver Softwareupdatepunkt“ in Configuration Manager 2007 erstellen, müssen Sie entsprechend der Configuration Manager-Infrastruktur verschiedene Anforderungen beachten. Wenn der aktive Configuration Manager 2007-Softwareupdatepunkt für die Kommunikation mit Secure Sockets Layer (SSL) konfiguriert wird oder wenn sich der Standortserver im einheitlichen Modus befindet, ist dieser Abschnitt besonders wichtig, da zunächst zusätzliche Schritte ausgeführt werden müssen, bevor die Softwareupdatepunkte in der Hierarchie ordnungsgemäß ausgeführt werden. Dieser Abschnitt enthält Informationen zu jedem Schritt, der für die erfolgreiche Planung und Vorbereitung der Softwareupdatepunkt-Installation erforderlich ist. Die Softwareupdatepunkt-Infrastruktur sollte bestimmt werden, bevor die Softwareupdatepunkte in der Hierarchie installiert werden. Weitere Informationen finden Sie unter Bestimmen der Softwareupdatepunkt-Infrastruktur.

ImportantWichtig
Wenn sich der Standortserver im einheitlichen Modus befindet, vergewissern Sie sich, dass alle Anforderungen für den einheitlichen Modus erfüllt sind, bevor die in diesem Abschnitt beschriebenen Schritte ausgeführt werden. Weitere Informationen finden Sie unter Konfigurieren des einheitlichen Modus.

Systemanforderungen für den Softwareupdatepunkt

Die Softwareupdatepunkt-Standortsystemrolle muss auf einem Computer installiert sein, der die Mindestanforderungen für Windows Server Update Services (WSUS) 3.0 erfüllt. Weitere Informationen zu den Mindestanforderungen finden Sie im TechNet in den WSUS 3.0-Installationsanforderungen (http://go.microsoft.com/fwlink/?LinkId=99233, möglicherweise in englischer Sprache).

noteHinweis
Configuration Manager 2007 Service Pack 1 (SP1) erfordert WSUS 3.0 SP1 oder WSUS 3.0 Service Pack 2 (SP2). WSUS 3.0 SP2 ist zur Unterstützung der Configuration Manager 2007 SP2-Softwareupdateverwaltung unter Windows 7 und Windows Server 2008 R2 erforderlich.

Installieren von WSUS auf Servern

Für das Softwareupdatefeature ist es erforderlich, dass WSUS 3.0 auf allen Standortsystemservern installiert ist, die für die Softwareupdatepunkt-Standortsystemrolle konfiguriert sind. Wenn sich der aktive Softwareupdatepunkt auf einem Remote-Standortsystemserver befindet, muss die WSUS 3.0-Verwaltungskonsole zusätzlich auf dem Standortservercomputer installiert werden, falls WSUS 3.0 nicht bereits installiert ist.

WSUS 3.0-Verwaltungskonsole

Die WSUS 3.0-Verwaltungskonsole muss auf dem Standortserver installiert sein, falls der Softwareupdatepunkt auf einem Remote-Standortsystemserver installiert wird. Hierdurch kann der Standortserver eine Verbindung mit den WSUS-Komponenten auf dem aktiven Softwareupdatepunkt-Standortsystemcomputer herstellen. Eine schrittweise Anleitung zum Installieren der WSUS 3.0-Verwaltungskonsole finden Sie unter Installieren der WSUS 3.0-Verwaltungskonsole (Windows Server Update Services).

Vollständige WSUS 3.0-Installation

Die Softwareupdatepunkt-Standortsystemrolle kann erst dann erfolgreich dem Standortsystemserver hinzugefügt werden, wenn WSUS 3.0 installiert ist. Wenn ein NLB-Cluster (Network Load Balancing, Netzwerklastenausgleich) als aktiver Softwareupdatepunkt oder aktiver internetbasierter Softwareupdatepunkt verwendet wird, ist die vollständige Installation von WSUS 3.0 auf allen Standortsystemservern erforderlich, die im Cluster definiert sind. Weitere Informationen zum Softwareupdatepunkt sowie darüber, wo in der Hierarchie die Standortsystemrolle installiert werden soll und ob ein NLB-Cluster als aktiver Softwareupdatepunkt empfehlenswert ist, finden Sie unter Bestimmen der Softwareupdatepunkt-Infrastruktur. Eine schrittweise Anleitung zum Installieren von WSUS 3.0 für Softwareupdates finden Sie unter Installieren von WSUS 3.0 (Windows Server Update Services).

Verwenden einer WSUS 3.0-Website

Bei der WSUS 3.0-Installation können Sie wählen, ob Sie die Standardwebsite der Internetinformationsdienste (IIS) verwenden oder eine WSUS 3.0-Website erstellen möchten. Sie sollten eine WSUS 3.0-Website erstellen, damit IIS die WSUS 3.0-Dienste auf einer eigenen Website hostet und nicht dieselbe Website wie andere Configuration Manager 2007-Standortsysteme oder andere Anwendungen verwendet. Dies trifft besonders auf Installationen des Softwareupdatepunkts auf dem Standortserver zu. Wenn Sie eine benutzerdefinierte Website für WSUS 3.0 verwenden, sind die Standardportnummern Port 8530 für HTTP und Port 8531 für HTTPS (SSL). Diese Porteinstellungen müssen beim Erstellen des aktiven Softwareupdatepunkts für den Standort angegeben werden.

Lokales Speichern von Softwareupdates auf dem WSUS-Server

Sie sollten bei der WSUS 3.0-Installation die Option Updates lokal speichern wählen, damit alle Lizenzbedingungen für Softwareupdates während des Synchronisierungsprozesses heruntergeladen und auf der lokalen Festplatte des WSUS-Servers gespeichert werden. Wenn diese Einstellung nicht aktiviert wird, können Clientcomputer möglicherweise die Softwareupdatekompatibilität für Updates mit Lizenzbedingungen nicht überprüfen. Wenn der aktive Softwareupdatepunkt installiert ist, wird die Option Updates lokal speichern automatisch in WSUS konfiguriert, und der WSUS-Synchronisierungs-Manager überprüft standardmäßig alle 60 Minuten, ob die Option aktiviert ist.

Verwenden eines vorhandenen WSUS-Servers für einen Softwareupdatepunkt

Sie können einen WSUS-Server wählen, der in Ihrer Umgebung vor der Installation von Configuration Manager 2007 verwendet wurde, jedoch durchsuchen Clientcomputer, die eine Verbindung zum WSUS-Server herstellen, die WSUS-Datenbank nach allen Softwareupdates. Daher geben Clientcomputer gegebenenfalls Informationen zum Kompatibilitätszustand für Softwareupdates aus, die außerhalb der konfigurierten Klassifizierungen, Kategorien und Sprachen liegen. Vor der Verwendung eines vorhandenen WSUS-Servers als aktives Softwareupdatepunkt-Standortsystem sollten die Softwareupdate-Metadaten wenn möglich aus der WSUS-Datenbank gelöscht werden. Der WSUS-Server führt auf der Grundlage der für den aktiven Softwareupdatepunkt konfigurierten Einstellungen eine Synchronisierung mit den neuen Softwareupdate-Metadaten durch.

Konfiguration von WSUS als Replikatserver

Beim Erstellen der aktiven Softwareupdatepunkt-Standortsystemrolle auf einem primären Standortserver kann kein WSUS-Server verwendet werden, der als Replikat des Upstreamservers konfiguriert ist. Ist der WSUS-Server als Replikat konfiguriert, kann Configuration Manager den WSUS-Server nicht konfigurieren, und die WSUS-Synchronisierung schlägt fehl. Wenn ein aktiver Softwareupdatepunkt an einem sekundären Standort erstellt wird, ist der WSUS-Server als Replikatserver für die Instanz von WSUS konfiguriert, die auf dem aktiven Softwareupdatepunkt am übergeordneten primären Standort ausgeführt wird. Informationen zur Problembehandlung finden Sie unter Problembehandlung bei der Softwareupdatepunkt-Konfiguration.

Hinzufügen des Webserverzertifikats zur benutzerdefinierten Website

Wenn sich der Configuration Manager 2007-Standortserver im einheitlichen Modus befindet oder wenn der aktive Softwareupdatepunkt für die Verwendung von SSL konfiguriert ist, muss der von WSUS verwendeten Website ein Webserver-Signaturzertifikat zugewiesen werden. Wenn der WSUS-Server eine benutzerdefinierte Website verwendet (empfohlene Konfiguration), muss der WSUS-Website ein Webserverzertifikat zugewiesen werden, in dem der Antragstellername oder der alternative Antragstellername den vollständig qualifizierten Domänennamen (FQDN) enthält. Der WSUS-Upstreamserver muss das gleiche Zertifikat erhalten, sonst kann keine Verbindung zwischen den Servern hergestellt werden. Das Zertifikat muss außerdem in den vertrauenswürdigen Stammzertifizierungsstellen im Computerzertifikatspeicher auf jedem Clientcomputer gespeichert sein, bevor auf die WSUS-Website zugegriffen werden kann.

Wenn sich der Standortserver im einheitlichen Modus befindet, kann das für die Configuration Manager-Standortsysteme verwendete Webserverzertifikat der WSUS-Website zugewiesen werden. Wenn WSUS dieselbe Website wie der Configuration Manager 2007-Standortserver verwendet und sich der Standortserver im einheitlichen Modus befindet, ist die Standardwebsite möglicherweise bereits dem entsprechenden Webserverzertifikat zugewiesen. Das Zertifikat muss dennoch auf dem WSUS-Upstreamserver bereitgestellt werden, es sollte sich aber bereits im lokalen Speicher auf Clientcomputern befinden.

Eine schrittweise Anleitung zum Hinzufügen des Webserverzertifikats zur WSUS-Website finden Sie unter Hinzufügen des Webserverzertifikats zur benutzerdefinierten WSUS-Website. Weitere Informationen zum Hinzufügen des Webserverzertifikats zu Configuration Manager 2007-Standortsystemen finden Sie unter Bereitstellen der Webserverzertifikate für Standortsystemserver.

Konfigurieren von SSL auf dem WSUS-Server

Wenn sich der Standortserver im einheitlichen Modus befindet, oder wenn der aktive Softwareupdatepunkt für die Verwendung von SSL konfiguriert ist, müssen die IIS-Einstellungen auf dem WSUS-Server für den aktiven Softwareupdatepunkt und den aktiven internetbasierten Softwareupdatepunkt (falls vorhanden) konfiguriert werden. Sie müssen die folgenden virtuellen Verzeichnisse für die Verwendung von SSL konfigurieren:

  • APIRemoting30

  • ClientWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • SimpleAuthWebService

Für Softwareupdates ist es erforderlich, dass die folgenden virtuellen Verzeichnisse nicht SSL verwenden:

  • Content

  • Inventur

  • ReportingWebService

  • SelfUpdate

Nach dem Konfigurieren der virtuellen Verzeichnisse müssen Sie das Tool „WSUSUtil“ ausführen, damit die Integritätsüberwachungskomponente von WSUS für die Verwendung von SSL vorbereitet wird. Auf dem WSUS-Server muss folgender Befehl ausgeführt werden: WSUSUtil.exe configuressl<Name im Webserver-Signaturzertifikat>. Eine schrittweise Anleitung zum Konfigurieren der virtuellen Stammverzeichnisse für die Verwendung einer sicheren Verbindung finden Sie unter Konfigurieren der WSUS-Website zur Verwendung von SSL.

Zertifikate auf Clientcomputern

Wenn sich der Standortserver im einheitlichen Modus befindet oder wenn der aktive Softwareupdatepunkt für die Verwendung von SSL konfiguriert ist, müssen Clientcomputer das Zertifikat aufweisen, das für die WSUS-Website im lokalen Speicherort der vertrauenswürdigen Stammzertifizierungsstellen konfiguriert wurde. Wenn sich das Zertifikat nicht im Speicherort der vertrauenswürdigen Stammzertifizierungsstellen befindet, können Clientcomputer keine Überprüfung der Softwareupdatekompatibilität ausführen. Weitere Informationen finden Sie unter Bereitstellen einer vertrauenswürdigen Stammzertifizierungsstelle für Configuration Manager-Computer.

Konfigurieren von Firewalls

Softwareupdates an einem zentralen Configuration Manager 2007-Standort kommunizieren mit der Instanz von WSUS, die auf dem aktiven Softwareupdatepunkt-Standortsystem ausgeführt wird. Diese Instanz kommuniziert wiederum mit Microsoft Update und synchronisiert die Softwareupdate-Metadaten. Die untergeordneten Standorte kommunizieren mit dem für den übergeordneten Standort konfigurierten aktiven Softwareupdatepunkt. Wenn sich ein aktiver internetbasierter Softwareupdatepunkt auf einem Standort befindet, muss der Standortserver mit dem aktiven internetbasierten Softwareupdatepunkt und dieser mit dem aktiven Softwareupdatepunkt des Standorts eine Verbindung herstellen, damit die Synchronisierung erfolgreich ausgeführt werden kann.

Wenn sich zwischen dem aktiven Configuration Manager 2007-Softwareupdatepunkt und dem Internet, zwischen einem aktiven Softwareupdatepunkt und dem Upstreamserver oder zwischen einem aktiven internetbasierten Softwareupdatepunkt und dem aktiven Softwareupdatepunkt für den Standort eine Firewall befindet, muss diese möglicherweise so konfiguriert werden, dass die von der WSUS-Website verwendeten HTTP- bzw. HTTPS-Ports zugelassen werden. Während des Synchronisierungsprozesses wird der internetbasierte Softwareupdatepunkt über HTTPS mit dem aktiven Softwareupdatepunkt verbunden. Wenn Ihre Sicherheitsrichtlinie keine HTTPS-Verbindung vom internetbasierten Softwareupdatepunkt mit dem aktiven Softwareupdatepunkt im Intranet erlaubt, verwenden Sie das Export- und Importverfahren für die Synchronisierung. Weitere Informationen finden Sie unter Synchronisieren von Updates mittels Export und Import. Standardmäßig verwendet ein WSUS-Server, der für die Standardwebsite konfiguriert ist, Port 80 für HTTP und Port 443 für HTTPS. Für die benutzerdefinierte Website verwendet der WSUS-Server Port 8530 für HTTP und Port 8531 für HTTPS. Weitere Informationen finden Sie unter Bestimmen der Porteinstellungen für WSUS-Server.

Wenn Ihre Organisation nicht zulässt, dass diese Ports und Protokolle für alle Adressen der Firewall zwischen dem aktiven Softwareupdatepunkt und dem Internet offen sind, können Sie den Zugriff auf die folgenden Domänen beschränken, sodass WSUS und Automatische Updates eine Verbindung mit Microsoft Update herstellen können:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • http://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://test.stats.update.microsoft.com

  • http://ntservicepack.microsoft.com

Wenn ein aktiver internetbasierter Softwareupdatepunkt oder untergeordnete Standorte mit einem aktiven Softwareupdatepunkt vorhanden sind, müssen die folgenden Adressen möglicherweise auch jeder Firewall zwischen den Servern hinzugefügt werden:

Aktiver Softwareupdatepunkt des untergeordneten Standpunkts

  • http://<FQDN des aktiven Softwareupdatepunkts an untergeordnetem Standort>

  • https://<FQDN des aktiven Softwareupdatepunkts an untergeordnetem Standort>

  • http://<FQDN des aktiven Softwareupdatepunkts an übergeordnetem Standort>

  • https://<FQDN des aktiven Softwareupdatepunkts an übergeordnetem Standort>

Aktiver internetbasierter Softwareupdatepunkt

  • http://<FQDN des aktiven Softwareupdatepunkts des Standorts>

  • https://<FQDN des aktiven Softwareupdatepunkts des Standorts>

  • http://<FQDN des aktiven internetbasierten Softwareupdatepunkts>

  • https://<FQDN des aktiven internetbasierten Softwareupdatepunkts>

Überprüfen der Verbindungen mit Remote-WSUS-Servern

Bevor Sie die Softwareupdatepunkt-Standortsystemrolle installieren, sollten Sie überprüfen, ob die Verbindungen mit dem Remote-WSUS-Server unter Verwendung von SSL erfolgreich hergestellt werden können. Auf dem Standortserver können Sie die WSUS-Verwaltungskonsole öffnen und eine Verbindung mit dem Remote-WSUS-Server herstellen. Alternativ können Sie die SSL-Kommunikation mit dem Remote-WSUS-Server überprüfen, indem Sie in einen Webbrowser die Adresse https://WSUSServerName eingeben. Ist der Verbindungsaufbau erfolgreich, wird eine Webseite In Bearbeitung angezeigt.

noteHinweis
Bei Softwareupdateoperationen wird die Verbindung vom Standortserver mit dem WSUS-Server im Kontext des Computerkontos hergestellt. Die Überprüfungen in diesem Abschnitt stellen sicher, dass die Verbindung mit dem WSUS-Server im Benutzerkontext hergestellt werden kann.

Installieren des Softwareupdatepunkt-Standortsystems

Die Softwareupdatepunkt-Standortsystemrolle ist erforderlich, bevor Softwareupdates synchronisiert, auf die Kompatibilität auf Clients hin bewertet und bereitgestellt werden können. Es können mehrere Standortsystemserver mit der Softwareupdatepunkt-Standortsystemrolle vorhanden sein, aber nur ein Standortsystemserver kann als aktiver Softwareupdatepunkt konfiguriert werden. Bei einem Standort im einheitlichen Modus kann ein aktiver Softwareupdatepunkt so konfiguriert werden, dass er Verbindungen von allen Clientcomputern zulässt. Alternativ kann ein aktiver internetbasierter Softwareupdatepunkt einem Remote-Standortsystemserver zugewiesen werden, der nur Kommunikation mit internetbasierten Clientcomputern zulässt. Der aktive Softwareupdatepunkt lässt dann Kommunikation vom Clientcomputer im Intranet zu. Wenn der aktive Softwareupdatepunkt als Netzwerklastenausgleich-Cluster (Network Load Balancing, NLB) konfiguriert wird, sollte zudem für jeden Server im NLB ein Standortsystemserver mit der Softwareupdatepunkt-Standortrolle erstellt werden.

ImportantWichtig
Auf jedem Standortsystemserver muss WSUS 3.0 installiert und konfiguriert sein, bevor die Softwareupdatepunkt-Standortrolle zugewiesen wird. Ist dies nicht der Fall, kann die Installation der Softwareupdatepunkt-Komponenten nicht ausgeführt werden.

Für jedes der folgenden Szenarien können Sie über den Link zur zugehörigen Vorgehensweise Informationen zur Installation des aktiven Softwareupdatepunkts erhalten:

 

Softwareupdatepunkt-Szenario Link zur Vorgehensweise

Eine nicht aktive Softwareupdatepunkt-Standortrolle erstellen.

Hinzufügen der Softwareupdatepunkt-Standortrolle zu einem Standortsystem

Einen aktiven Softwareupdatepunkt erstellen und konfigurieren.

Erstellen und Konfigurieren eines aktiven Softwareupdatepunkts

Einen aktiven internetbasierten Softwareupdatepunkt erstellen und konfigurieren, falls erforderlich.

Erstellen und Konfigurieren eines aktiven internetbasierten Softwareupdatepunkts

Einen aktiven als NLB-Cluster konfigurierten Softwareupdatepunkt erstellen, falls erforderlich.

Konfigurieren der aktiven Softwareupdatepunkt-Komponente für die Verwendung eines NLB-Clusters

Siehe auch

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com
Anzeigen: