SCCM 2012: Установка SCUP 2011 — часть 2
В заметке рассмотрим процесс установки SCUP 2011 (System Center Updates Publisher), в связке с WSUS и SCCM 2012.
Что такое SCUP? Он позволяет управлять обновлениями стороннего ПО, затем импортировать его на ваш сервер WSUS, с последующим развертыванием на клиентах с помощью SCCM 07/12.
Что в итоге у нас получится? Мы автоматизируем процесс обновления ПО на примере продуктов компании Adobe, а точнее Adobe Flash Player.
Здесь можно посмотреть остальной список — Third-Party Custom Catalogs for Configuration Manager 2007 and System Center Essentials 2007, но этими каталогами SCUP 2011 не ограничивается.
Огорчу тех, у кого SCCM’a нет. Да, вы сможете публиковать обновления на WSUS сервере, но установить не получится. WSUS будет выдавать ошибку установки. Поэтому еще раз, SCUP 2011 работает в связке с SCСM или MSCE (Microsoft System Center Essentials).
Перед тем, как начать установку, надо подготовить систему. Топология может быть различная, у меня в демо-стенде все роли SCCM, WSUS, SCUP находятся на одном сервере. Если ваш сервер WSUS находится на другом сервере, то на сервере, где будет установлен SCUP необходимо установить административную консоль WSUS.
SCUP 2011 может быть установлен на следующие ОС: Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2008 SP2, Vista SP2.
Приступим. Скачиваем System Center Updates Publisher 2011.
Проверяем версию вашего сервера WSUS, поддерживается версия WSUS 3.0 с SP2. Открываем консоль WSUS и смотрим в Help – About Update Services.
Версии WSUS:
WSUS 2.0 (RC2) — Build 2.0.0.2340
WSUS 2.0 (RTW) — Build 2.0.0.2472
WSUS 2.0 (SP1) — Build 2.0.0.2620
WSUS 3.0 (RC) — Build 3.0.6000.318
WSUS 3.0 (RTW) — Build 3.0.6000.374
WSUS 3.0 (SP1) — Build 3.1.6001.65
WSUS 3.0 (SP1 + KB954960) — Build 3.1.6001.66
WSUS 3.0 (SP2 Beta) — Build 3.2.7000.84
WSUS 3.0 (SP2 RC) — Build 3.2.7085.146
WSUS 3.0 (SP2) — Build 3.2.7600.226
update 20.05.2014: WSUS 3.0 (SP2 + KB2720211) — Build 3.2.7600.251
Если ваша версия не совпадает с последней, тогда качаем Service Pack 2 для WSUS 3.0.
Затем обязательно скачиваем Hotfix KB2530678 для WSUS 3.0 SP2 и устанавливаем.
Запускаем под учетной записью Администратора файл установки SCUP 2011.
Установщик предлагает скачать hotfix, о котором мы позаботились заранее.
Все стандартно, выбираем нужную нам папку. Next, next, success.
Открываем Пуск, находим установленный System Center Updates Publisher 2011 и запускаем под Администратором. Я не зря обращаю на это внимание, т.к. при публикации обновлений у SCUP’a могут возникнуть проблемы сохранения во временную папку.
На главном экране выбираем Configure WSUS and Signing Certificate.
Здесь нас интересует пока 2 пункта, это настройка сервера обновлений WSUS и настройка для SCCM. Т.к. мой сервер WSUS находится на том же сервере, что и SCUP 2011, поэтому я оставляю “Connect to a local update server”. Если ваш WSUS установлен на другом сервере, здесь прописываем FQDN или NetBios имя компьютера с WSUS и указываем порт. Как узнать порт? Например, так, открыть консоль IIS, выбрать сайт WSUS’a и справа увидим порты – Browse Web Site.
Итак, выбираем где находится WSUS сервер и нажимаем Test Connection. Нас уведомляют, что соединение установлено, но нет сертификата.
Нажимаем Create.
И видим, что сертификат получили.
Повторяем процедуру с Test Connection и убеждаемся, что все прошло успешно.
Затем переходим на вкладку ConfigMgr Server, вводим FQDN или NetBios-имя вашего сервера SCCM и нажимаем Test Connection.
Теперь полученный сертификат необходимо добавить в контейнер Trusted Root и Trusted Publisher.
Открываем консоль mmc и добавляем оснастку Сертификаты.
Вот он наш сертификат.
Экспортируем сертификат.
Далее необходимо, чтобы клиенты понимали подписанные обновления с WSUS’a. Эту настройку мы раздадим через групповые политики на уровне всего леса Active Directory.
Откроем консоль управления групповыми политиками.
Создадим новую политику.
Назовем, например, wsusscup.
Изменим.
Переходим в Computer Configuration — Administrative Templates — Windows Components — Windows Update и открываем Allow signed content from intranet Microsoft update service location.
Выставляем Enabled.
Теперь нам необходимо доставить сертификаты для пользователей. Сделать можно это с помощью утилиты certutil.exe и configuration manager’a.
Нам нужны 2 файлика: certutil.exe и certadm.dll, которые находятся %windir%\system32. Копируем их в папку с сертификатом, чтобы получилось следующее.
Открываем консоль SCCM 2012, создаем новый пакет.
Называем, например, Install SCUP 2011 cert. Определяем сетевую папку, где лежит сертификат WSUS’a, который мы экспортировали.
Заполняем имя, в command line вводим certutil.exe -addstore Root wsuscert.cer и в program can run выбираем Whether or not a user is logged on.
Естественно, wsuscert.cer заменяем на имя вашего экспортированного сертификата.
Next, next…
Теперь добавим в этот же пакет еще одну строку запуска, для установки сертификата в Trusted Publishers. Выбираем наш созданный пакет и в риббоне — Create Program.
Заполняем имя, в command line вводим certutil.exe -addstore TrustedPublisher wsuscert.cer и в program can run выбираем Whether or not a user is logged on. Все это необходимо, чтобы установка прошла даже если пользователь не находится в системе.
На следующей вкладке необходимо выставить последовательность запуска, поэтому нажимаем Browse, открываем созданный нами пакет и в поле Program из списка выбираем первую программу (командную строку).
Готово.
Вот примерно, что должно у нас получится. Созданный пакет, а внутри просто вызов утилиты с параметрами установки сертификата. Фактически мы просто говорим SCCM’у, что ему необходимо выполнить на клиенте.
Теперь нам необходимо доставить этот пакет на точку распространения и применить на пользователей.
Выбираем точку, точки и группу точек распространения. У меня она одна.
Теперь развернем этот пакет на все компьютеры. Выбираем пакет и нажимаем Deploy.
В Collection выбираем browse и в списке находим All Desktop and Server Client.
Выбираем Required, чтобы этот пакет принудительно установился.
Далее нам необходимо как можно скорее этот пакет установить, поэтому нажимаем New и выбираем As soon as possible.
Готово.
Решил разбить на 2 части, т.к. слишком большая портянка получается. Итого, мы подготовили сервер SCUP 2011 к дальнейшей настройке, подготовили WSUS и клиентов. В части 2 приступим к публикации обновлений ПО, а точнее Adobe Flash Player для развертывания на клиентах с помощью System Center Configuration Manager 2012 и разберем типовые ошибки.
>> Огорчу тех, у кого SCCM’a нет. Да, вы сможете публиковать обновления на WSUS сервере, но установить не получится. WSUS будет выдавать ошибку установки. Поэтому еще раз, SCUP 2011 работает только в связке с SCMM и WSUS.
Это точно? В какой момент происходит проверка наличия SCCM? Инсталятор SCUP спокойно качается отдельно с сайта MS, лицензионные ограничения там в глаза не бросаются. Можно попробовать подешевле отскочить: например Microsoft System Center Essentials.
Спасибо, добавлю про MSCE.
А по лицензионным ограничениям ответ есть тут — http://social.technet.microsoft.com/Forums/en-US/winserverwsus/thread/642b93a3-e110-4bc4-bd15-c88e742bc1c2
сорри за старый коммент.
WSUS все-таки умеет распространять сторонние приложения без SCUP. Пример тому Local Update Publisher.
Так что дешевле отскочить можно)
вся проблема в том, что это стороннее решение и что делать с поддержкой, когда что-то пойдет не так? )
+ что будет, когда выйдет новая версия wsus с поддержкой, например windows 9 в 2015 году, будет ли работать это решение? Для организации в 50 человек возможно это не страшно.
[…] SCCM 2012: Установка SCUP 2011 — часть 1 SCCM 2012: Установка SCUP 2011 — часть 2 Метки: adobe, configmgr, reader, sccm, scup, update, обновление […]
Доброе время суток.
Подскажите, будет ли работать SCMM 2011 в такой связке: WSUS поднят на 2003 на VirtualPC, SCMM устаовить на Win7 Pro?
у кого проблемы с созданием самоподписанного сертификата wsus
http://blogs.technet.com/b/wsus/archive/2013/08/15/wsus-no-longer-issues-self-signed-certificates.aspx вам в помощь.
в частности:
While WSUS will not generate self-signed certificates by default, it is possible to restore the legacy behavior by setting the following registry key:
HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup\
Create DWORD value: EnableSelfSignedCertificates = 1
Please note that the CreateSelfSignedCertificate API is still considered deprecated and may be removed in a future version of Windows.
[…] Начало тут — SCCM 2012: Установка SCUP 2011 — часть 1 […]
Уважаемый Anton Masyan!!!
А не могли бы Вы опубликовать подробный пост про апдейт java через SCUP?
Я думаю многие были бы Вам благодарны включая и меня!!!
Заранее спасибо!!!!
А есть ли какие-то аналоги для 2012R2? А то хотфикс не устанавливается.
* Windows Server 2012R2
какая версия wsus у вас сейчас?
Version: 6.3.9600.16384
эти KB вам не нужны. Обязательно почитайте эту статью http://blogs.technet.com/b/wsus/archive/2013/08/15/wsus-no-longer-issues-self-signed-certificates.aspx она актуальна как раз для 2012 r2.
Эту статью уже читал. Проблема была не с сертификатом, разобрался, спасибо!
так вы напишите, что было, другим будет полезно, если столкнуться с похожей проблемой. )
Просто выполнил все шаги заново. И вуаля :) SCUP мне говорит, что 2 обновления опубликованы, но я их не вижу ни на WSUS, ни в SCCM.
а в списке продуктов в свойствах SUP выбрали, что их нужно обновления этого вендора?
Да, делал всё согласно данной статье. При этом обновление приехало на пользовательские компьютеры через WSUS. Смог увидеть обновления через данную программу http://wsuspackagepublisher.codeplex.com/releases/view/125901
а есть консоль для удаленного администрирования?
[…] SCCM 2012: Установка SCUP 2011 — часть 1 […]