SCCM 2012: Установка SCUP 2011 — часть 2

В заметке рассмотрим процесс установки SCUP 2011 (System Center Updates Publisher), в связке с WSUS и SCCM 2012.

Что такое SCUP? Он позволяет управлять обновлениями стороннего ПО, затем импортировать его на ваш сервер WSUS, с последующим развертыванием на клиентах с помощью SCCM 07/12.

Что в итоге у нас получится? Мы автоматизируем процесс обновления ПО на примере продуктов компании Adobe, а точнее Adobe Flash Player.

Здесь можно посмотреть остальной список — Third-Party Custom Catalogs for Configuration Manager 2007 and System Center Essentials 2007, но этими каталогами SCUP 2011 не ограничивается.

Огорчу тех, у кого SCCM’a нет. Да, вы сможете публиковать обновления на WSUS сервере, но установить не получится. WSUS будет выдавать ошибку установки. Поэтому еще раз, SCUP 2011 работает в связке с SCСM или MSCE (Microsoft System Center Essentials).

wsus-scup-sccm

Перед тем, как начать установку, надо подготовить систему. Топология может быть различная, у меня в демо-стенде все роли SCCM, WSUS, SCUP находятся на одном сервере. Если ваш сервер WSUS находится на другом сервере, то на сервере, где будет установлен SCUP необходимо установить административную консоль WSUS.

SCUP 2011 может быть установлен на следующие ОС: Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2008 SP2, Vista SP2.

Приступим. Скачиваем System Center Updates Publisher 2011.

microsoft-00066

Проверяем версию вашего сервера WSUS, поддерживается версия WSUS 3.0 с SP2. Открываем консоль WSUS и смотрим в Help – About Update Services.

Версии WSUS:

WSUS 2.0 (RC2) — Build 2.0.0.2340
WSUS 2.0 (RTW) — Build 2.0.0.2472
WSUS 2.0 (SP1) — Build 2.0.0.2620
WSUS 3.0 (RC) — Build 3.0.6000.318
WSUS 3.0 (RTW) — Build 3.0.6000.374
WSUS 3.0 (SP1) — Build 3.1.6001.65
WSUS 3.0 (SP1 + KB954960) — Build 3.1.6001.66
WSUS 3.0 (SP2 Beta) — Build 3.2.7000.84
WSUS 3.0 (SP2 RC) — Build 3.2.7085.146
WSUS 3.0 (SP2) — Build 3.2.7600.226

update 20.05.2014: WSUS 3.0 (SP2 + KB2720211) — Build 3.2.7600.251

Если ваша версия не совпадает с последней, тогда качаем Service Pack 2 для WSUS 3.0.

Затем обязательно скачиваем Hotfix KB2530678 для WSUS 3.0 SP2 и устанавливаем.

Запускаем под учетной записью Администратора файл установки SCUP 2011.

microsoft-00064

Установщик предлагает скачать hotfix, о котором мы позаботились заранее.

microsoft-00065

Все стандартно, выбираем нужную нам папку. Next, next, success.

microsoft-00068

Открываем Пуск, находим установленный System Center Updates Publisher 2011 и запускаем под Администратором. Я не зря обращаю на это внимание, т.к. при публикации обновлений у SCUP’a могут возникнуть проблемы сохранения во временную папку.

microsoft-00069

На главном экране выбираем Configure WSUS and Signing Certificate.

microsoft-00070

Здесь нас интересует пока 2 пункта, это настройка сервера обновлений WSUS и настройка для SCCM. Т.к. мой сервер WSUS находится на том же сервере, что и SCUP 2011, поэтому я оставляю “Connect to a local update server”. Если ваш WSUS установлен на другом сервере, здесь прописываем FQDN или NetBios имя компьютера с WSUS и указываем порт. Как узнать порт? Например, так, открыть консоль IIS, выбрать сайт WSUS’a и справа увидим порты – Browse Web Site.

microsoft-00150

Итак, выбираем где находится WSUS сервер и нажимаем Test Connection. Нас уведомляют, что соединение установлено, но нет сертификата.

microsoft-00071

Нажимаем Create.

microsoft-00072

И видим, что сертификат получили.

microsoft-00074

Повторяем процедуру с Test Connection и убеждаемся, что все прошло успешно.

microsoft-00073

Затем переходим на вкладку ConfigMgr Server, вводим FQDN или NetBios-имя вашего сервера SCCM и нажимаем Test Connection.

microsoft-00076

Теперь полученный сертификат необходимо добавить в контейнер Trusted Root и Trusted Publisher.

Открываем консоль mmc и добавляем оснастку Сертификаты.

microsoft-00077

microsoft-00078

microsoft-00079

Вот он наш сертификат.

microsoft-00080

microsoft-00081 Выбираем сертификат и копируем.
microsoft-00082 Переходим в Trusted Root Certification Authority – Certificates и вставляем.
microsoft-00083 Аналогично для Trusted Publishers.
microsoft-00084 Затем делаем экспорт сертификата, он нам еще пригодится.

Экспортируем сертификат.

microsoft-00085

microsoft-00086

microsoft-00087

microsoft-00089

microsoft-00090

Далее необходимо, чтобы клиенты понимали подписанные обновления с WSUS’a. Эту настройку мы раздадим через групповые политики на уровне всего леса Active Directory.

Откроем консоль управления групповыми политиками.

microsoft-00092

Создадим новую политику.

microsoft-00093

Назовем, например, wsusscup.

microsoft-00094

Изменим.

microsoft-00095

Переходим в Computer Configuration — Administrative Templates — Windows Components — Windows Update и открываем Allow signed content from intranet Microsoft update service location.

microsoft-00096

Выставляем Enabled.

microsoft-00097

Теперь нам необходимо доставить сертификаты для пользователей. Сделать можно это с помощью утилиты certutil.exe и configuration manager’a.

Нам нужны 2 файлика: certutil.exe и certadm.dll, которые находятся %windir%\system32. Копируем их в папку с сертификатом, чтобы получилось следующее.

microsoft-00153

Открываем консоль SCCM 2012, создаем новый пакет.

microsoft-00098

Называем, например, Install SCUP 2011 cert. Определяем сетевую папку, где лежит сертификат WSUS’a, который мы экспортировали.

microsoft-00100

Заполняем имя, в command line вводим certutil.exe -addstore Root wsuscert.cer и в program can run выбираем Whether or not a user is logged on.

Естественно, wsuscert.cer заменяем на имя вашего экспортированного сертификата.

microsoft-00101

Next, next…

microsoft-00103

Теперь добавим в этот же пакет еще одну строку запуска, для установки сертификата в Trusted Publishers. Выбираем наш созданный пакет и в риббоне — Create Program.

microsoft-00104

microsoft-00106

Заполняем имя, в command line вводим certutil.exe -addstore TrustedPublisher wsuscert.cer и в program can run выбираем Whether or not a user is logged on. Все это необходимо, чтобы установка прошла даже если пользователь не находится в системе.

microsoft-00105

На следующей вкладке необходимо выставить последовательность запуска, поэтому нажимаем Browse, открываем созданный нами пакет и в поле Program из списка выбираем первую программу (командную строку).

microsoft-00151

Готово.

microsoft-00107

Вот примерно, что должно у нас получится. Созданный пакет, а внутри просто вызов утилиты с параметрами установки сертификата. Фактически мы просто говорим SCCM’у, что ему необходимо выполнить на клиенте.

microsoft-00109

Теперь нам необходимо доставить этот пакет на точку распространения и применить на пользователей.

microsoft-00110

Выбираем точку, точки и группу точек распространения. У меня она одна.

microsoft-00112

microsoft-00113

Теперь развернем этот пакет на все компьютеры. Выбираем пакет и нажимаем Deploy.

microsoft-00116

В Collection выбираем browse и в списке находим All Desktop and Server Client.

microsoft-00117

Выбираем Required, чтобы этот пакет принудительно установился.

microsoft-00119

Далее нам необходимо как можно скорее этот пакет установить, поэтому нажимаем New и выбираем As soon as possible.

microsoft-00121

Готово.

microsoft-00124

Решил разбить на 2 части, т.к. слишком большая портянка получается. Итого, мы подготовили сервер SCUP 2011 к дальнейшей настройке, подготовили WSUS  и клиентов. В части 2 приступим к публикации обновлений ПО, а точнее Adobe Flash Player для развертывания на клиентах с помощью System Center Configuration Manager 2012 и разберем типовые ошибки.

SCCM 2012: Установка SCUP 2011 — часть 2

19 КОММЕНТАРИИ

  1. >> Огорчу тех, у кого SCCM’a нет. Да, вы сможете публиковать обновления на WSUS сервере, но установить не получится. WSUS будет выдавать ошибку установки. Поэтому еще раз, SCUP 2011 работает только в связке с SCMM и WSUS.
    Это точно? В какой момент происходит проверка наличия SCCM? Инсталятор SCUP спокойно качается отдельно с сайта MS, лицензионные ограничения там в глаза не бросаются. Можно попробовать подешевле отскочить: например Microsoft System Center Essentials.

    • сорри за старый коммент.
      WSUS все-таки умеет распространять сторонние приложения без SCUP. Пример тому Local Update Publisher.
      Так что дешевле отскочить можно)

    • вся проблема в том, что это стороннее решение и что делать с поддержкой, когда что-то пойдет не так? )
      + что будет, когда выйдет новая версия wsus с поддержкой, например windows 9 в 2015 году, будет ли работать это решение? Для организации в 50 человек возможно это не страшно.

  2. Доброе время суток.
    Подскажите, будет ли работать SCMM 2011 в такой связке: WSUS поднят на 2003 на VirtualPC, SCMM устаовить на Win7 Pro?

  3. у кого проблемы с созданием самоподписанного сертификата wsus
    http://blogs.technet.com/b/wsus/archive/2013/08/15/wsus-no-longer-issues-self-signed-certificates.aspx вам в помощь.
    в частности:
    While WSUS will not generate self-signed certificates by default, it is possible to restore the legacy behavior by setting the following registry key:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup\
    Create DWORD value: EnableSelfSignedCertificates = 1

    Please note that the CreateSelfSignedCertificate API is still considered deprecated and may be removed in a future version of Windows.

  4. Уважаемый Anton Masyan!!!
    А не могли бы Вы опубликовать подробный пост про апдейт java через SCUP?
    Я думаю многие были бы Вам благодарны включая и меня!!!
    Заранее спасибо!!!!

Добавить комментарий