Voraussetzungen für Softwareupdates in Configuration Manager

Gilt für: Configuration Manager (Current Branch)

In diesem Artikel werden die Voraussetzungen für Softwareupdates in Configuration Manager aufgeführt. Für jede der Voraussetzungen werden die externen und internen Abhängigkeiten in separaten Tabellen aufgeführt.

Abhängigkeiten von Softwareupdates, die für Configuration Manager extern sind

In den folgenden Abschnitten sind die externen Abhängigkeiten für Softwareupdates aufgeführt.

Internetinformationsdienste

Internetinformationsdienste (IIS) müssen auf den Standortsystemservern installiert sein, um den Softwareupdatepunkt, den Verwaltungspunkt und den Verteilungspunkt auszuführen. Weitere Informationen finden Sie unter Voraussetzungen für Standortsystemrollen.

Windows Server Update Services

Windows Server Update Services (WSUS) ist für die Synchronisierung von Softwareupdates und für die Überprüfung der Anwendbarkeit von Softwareupdates auf Clients erforderlich. Der WSUS-Server muss installiert werden, bevor Sie die Softwareupdatepunktrolle erstellen. Die folgenden WSUS-Versionen werden für einen Softwareupdatepunkt unterstützt:

  • WSUS 10.0.14393 (Rolle in Windows Server 2016)
  • WSUS 10.0.17763 (Rolle in Windows Server 2019) (erfordert Configuration Manager 1810 oder höher)
  • WSUS 6.2 und 6.3 (Rolle in Windows Server 2012 und Windows Server 2012 R2)

Hinweis

  • Wenn Sie über mehrere Softwareupdatepunkte an einem Standort verfügen, stellen Sie sicher, dass alle die gleiche Version von WSUS ausführen.

WSUS-Verwaltungskonsole

Die WSUS-Verwaltungskonsole ist auf dem Configuration Manager Standortserver erforderlich, wenn sich der Softwareupdatepunkt auf einem Remotestandortsystemserver befindet und WSUS noch nicht auf dem Standortserver installiert ist.

Wichtig

  • Die WSUS-Version auf dem Standortserver muss mit der WSUS-Version identisch sein, die auf den Softwareupdatepunkten ausgeführt wird.
  • Verwenden Sie die WSUS-Verwaltungskonsole nicht, um WSUS-Einstellungen zu konfigurieren. Configuration Manager stellt eine Verbindung mit der WSUS-Instanz her, die auf dem Softwareupdatepunkt ausgeführt wird, und konfiguriert die entsprechenden Einstellungen.

Windows Update-Agent

Der Windows Update-Agent-Client (WUA) ist auf Clients erforderlich, damit sie eine Verbindung mit dem WSUS-Server herstellen können. WUA ruft die Liste der Softwareupdates ab, die auf Konformität überprüft werden müssen.

Wenn Sie Configuration Manager installieren, wird die neueste Version von WUA heruntergeladen. Wenn Sie dann den Configuration Manager-Client installieren, wird WUA bei Bedarf aktualisiert. Wenn die Installation fehlschlägt, müssen Sie eine andere Methode verwenden, um WUA zu aktualisieren.

Abhängigkeiten von Softwareupdates, die für Configuration Manager intern sind

In den folgenden Abschnitten werden die internen Abhängigkeiten für Softwareupdates in Configuration Manager aufgeführt.

Verwaltungspunkte

Verwaltungspunkte übertragen Informationen zwischen Clientcomputern und dem Configuration Manager Standort. Die Verwaltungspunkte sind für Softwareupdates erforderlich.

Softwareupdatepunkte

Sie müssen einen Softwareupdatepunkt auf dem WSUS-Server installieren, um Softwareupdates in Configuration Manager bereitzustellen. Weitere Informationen finden Sie unter Installieren und Konfigurieren eines Softwareupdatepunkts.

Verteilungspunkte

Verteilungspunkte sind erforderlich, um den Inhalt für Softwareupdates zu speichern. Weitere Informationen zum Installieren von Verteilungspunkten und zum Verwalten von Inhalten finden Sie unter Verwalten von Inhalten und Inhaltsinfrastrukturen.

Clienteinstellungen für Softwareupdates

Softwareupdates sind für Clients standardmäßig aktiviert. Es gibt weitere verfügbare Einstellungen, die steuern, wie und wann Clients die Konformität für die Softwareupdates bewerten und steuern, wie die Softwareupdates installiert werden.

Weitere Informationen finden Sie in den folgenden Artikeln:

Wichtig

Ab dem kumulativen Update vom September 2020 sind HTTP-basierte WSUS-Server standardmäßig sicher. Ein Client, der nach Updates für ein HTTP-basiertes WSUS sucht, darf einen Benutzerproxy standardmäßig nicht mehr nutzen. Wenn Sie trotz der Kompromisse bei der Sicherheit immer noch einen Benutzerproxy benötigen, ist eine neue Clienteinstellung für Softwareupdates verfügbar, um diese Verbindungen zuzulassen. Weitere Informationen zu den Änderungen für die Überprüfung von WSUS finden Sie unter Änderungen vom September 2020 zur Verbesserung der Sicherheit für Windows-Geräte, die WSUS überprüfen. Um sicherzustellen, dass die besten Sicherheitsprotokolle vorhanden sind, wird dringend empfohlen, das TLS/SSL-Protokoll zum Schutz Ihrer Softwareupdateinfrastruktur zu verwenden.

Reporting Services-Punkte

Die Standortsystemrolle des Reporting Services-Punkts kann Berichte für Softwareupdates anzeigen. Diese Rolle ist optional, wird jedoch empfohlen. Weitere Informationen zum Erstellen eines Reporting Services-Punkts finden Sie unter Konfigurieren der Berichterstellung.

Welche Updates sind für WSUS 6.2 und 6.3 erforderlich?

Für die Synchronisierung der Upgradesklassifizierung in WSUS 6.2 und 6.3 sind zwei Updates erforderlich. Gelegentlich kann beim Herunterladen oder Bereitstellen von Upgrades ein Fehler angezeigt werden, wenn sie vor der Installation von KB3095113 und KB3159706 synchronisiert wurden. Informationen zu möglichen Problemen sind im nächsten Abschnitt enthalten.

  • Sie müssen KB-3095113, die im Oktober 2015 veröffentlicht wurden, auf Ihren Softwareupdatepunkten und Standortservern installieren, bevor Sie die Klassifizierung Upgrades synchronisieren.
    • Dieses Update aktiviert die Klassifizierung Upgrades .
  • Um Windows 10 oder höher clients zu bedienen, müssen Sie KB-3159706 installieren und konfigurieren. KB-3159706 wurde im Mai 2016 veröffentlicht.
    • Dieses Update ermöglicht es WSUS, die Dateien, die für das Upgrade Windows 10 Version 1607 und höher verwendet werden, nativ zu entschlüsseln.

Wichtig

Sowohl KB-3095113 als auch KB-3159706 sind ab Juli 2017 im monatlichen Sicherheitsqualitätsrollup enthalten. Dies bedeutet, dass kb-3095113 und KB-3159706 möglicherweise nicht als installierte Updates angezeigt werden, da sie möglicherweise mit einem Rollup installiert wurden. Wenn Sie jedoch eines dieser Updates benötigen, empfehlen wir die Installation eines nach Oktober 2017 veröffentlichten monatlichen Sicherheitsqualitätsrollups , da es ein zusätzliches WSUS-Update enthält, um die Arbeitsspeicherauslastung im WSUS-Clientwebservice zu verringern.

Fehler beim Herunterladen von Windows-Upgrades mit "Fehler: Ungültige Zertifikatsignatur" oder 0xc1800118

Die in diesem Abschnitt beschriebenen Updates und Probleme gelten nur für WSUS, die auf Windows Server 2012 oder Windows Server 2012 R2-Computern (WSUS 6.2 und 6.3) ausgeführt werden. In der Regel werden die in diesem Abschnitt beschriebenen Probleme nur angezeigt, wenn Sie WSUS vor Juli 2017 installiert haben und kürzlich die Klassifizierung Upgrades aktiviert haben. Es ist jedoch möglich, diese Probleme auch in anderen Situationen zu sehen.

Verlaufsinformationen zu KB-3095113

KB-3095113 wurde im Oktober 2015 als Hotfix veröffentlicht, um Unterstützung für Windows 10 Upgrades auf WSUS hinzuzufügen. Das Update ermöglicht es WSUS, Updates in der Klassifizierung Upgrades für Windows zu synchronisieren und zu verteilen.

Wenn Sie Upgrades synchronisieren, ohne zuvor KB-3095113 installiert zu haben, füllen Sie die WSUS-Datenbank (SUSDB) mit nicht verwendbaren Daten auf. Diese Daten müssen gelöscht werden, bevor die Upgrades ordnungsgemäß bereitgestellt werden können. Windows-Upgrades in diesem Zustand können nicht mithilfe des Assistenten zum Herunterladen von Software Aktualisierungen heruntergeladen werden.

Fehler, die den folgenden ähneln, werden auf der Seite Abschluss des Assistenten zum Herunterladen von Software Aktualisierungen angezeigt:

Error: Upgrade to Windows 10 Pro, version 1511, 10586
Failed to download content id {content_id}. Error: Invalid certificate signature

Darüber hinaus werden Fehler, die den folgenden ähneln, in der Datei PatchDownloader.log protokolliert:

Download http://wsus.ds.b1.download.windowsupdate.com/d/upgr/2015/12/10586.0.151029-1700.th2_release_...esd...
Authentication of file C:\Users\{username}\AppData\Local\Temp\2\{temporary_filename}.tmp failed, error 0x800b0004
ERROR: DownloadContentFiles() failed with hr=0x80073633
# This log is truncated for readability.

Wenn diese Fehler aufgetreten sind, wurden sie in der Vergangenheit durch eine geänderte Version der Lösungsschritte für WSUS behoben. Da diese Schritte der Lösung für die Nichtbehebung der manuellen Schritte ähneln, die nach der Installation von KB 3159706 erforderlich sind, haben wir im folgenden Abschnitt beide Schritte in einer einzigen Auflösung zusammengefasst:

Verlaufsinformationen zu KB-3159706

KB-3148812 wurde ursprünglich im April 2016 veröffentlicht, damit WSUS die ESD-Dateien nativ entschlüsseln kann, die zum Aktualisieren von Windows 10-Paketen verwendet werden. KB-3148812 verursachte bei einigen Kunden Probleme und wurde durch KB-3159706 ersetzt. KB-3159706 müssen auf allen Softwareupdatepunkten und Standortservern installiert werden, bevor Sie Windows 10 Geräte der Version 1607 und höher bedienen können. Probleme können jedoch auftreten, wenn Sie nicht wissen, dass die Wissensdatenbank nach der Installation die folgenden manuellen Schritte erfordert:

  1. Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten aus "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing.
  2. Starten Sie den WSUS-Dienst auf allen WSUS-Servern neu.

Wenn Sie nicht feststellen, dass kb-3159706 nach der Installation manuelle Schritte ausgeführt haben oder sie in den Upgrades vor der Installation von KB-3159706 synchronisiert haben, treten Probleme beim Herstellen einer Verbindung mit der WSUS-Konsole bzw. beim Bereitstellen des Upgrades auf. Wenn ein Client die Upgradedatei heruntergeladen hat, erhält er einen 0xC1800118 Fehlercode.

Da die Lösungsschritte der Lösung für die Synchronisierung von Upgrades vor der Installation von KB 3095113 ähneln, haben wir im nächsten Abschnitt beide Schritte zu einer einzigen Auflösung kombiniert.

So stellen Sie die Synchronisierung der Upgrades vor der Installation von KB-3095113 oder KB-3159706

Führen Sie die folgenden Schritte aus, um sowohl den 0xc1800118 Fehler als auch "Fehler: Ungültige Zertifikatsignatur" zu beheben:

  1. Deaktivieren Sie die Klassifizierung Upgrades sowohl in WSUS als auch in Configuration Manager. Eine Synchronisierung soll erst erfolgen, wenn Sie durch diese Anweisungen weitergeleitet werden.
    • Deaktivieren Sie die Klassifizierung Upgrades in den Komponenteneigenschaften des Softwareupdatepunkts am Standort der obersten Ebene.
    • Deaktivieren Sie die Klassifizierung Upgrades von WSUS unter Produkte und Klassifizierungen auf der Seite Optionen, oder verwenden Sie die PowerShell ISE, die als Administrator ausgeführt wird.
      Get-WsusClassification | Where-Object -FilterScript {$_.Classification.Title -Eq "Upgrades"} | Set-WsusClassification -Disable
      
      • Wenn Sie die WSUS-Datenbank für mehrere WSUS-Server freigeben, müssen Sie upgrades nur einmal für jede Datenbank deaktivieren.
  2. Führen Sie auf jedem WSUS-Server an einer Eingabeaufforderung mit erhöhten Rechten Folgendes aus: "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing. Starten Sie dann den WSUS-Dienst auf allen WSUS-Servern neu.
    • WSUS versetzt die Datenbank in den Einzelbenutzermodus , bevor überprüft wird, ob eine Wartung erforderlich ist. Die Wartung wird entweder basierend auf den Ergebnissen der Überprüfung ausgeführt oder nicht ausgeführt. Anschließend wird die Datenbank wieder in den Mehrbenutzermodus versetzt.
    • Wenn Sie die WSUS-Datenbank für mehrere WSUS-Server freigeben, müssen Sie diese Wartung nur einmal für jede Datenbank durchführen.
  3. Löschen Sie alle Windows 10 Upgrades aus jeder WSUS-Datenbank mithilfe der PowerShell ISE, die als Administrator ausgeführt wird.
    [reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
    $wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer();
    $wsus.GetUpdates() | Where {$_.UpdateClassificationTitle -eq 'Upgrades' -and $_.Title -match 'Windows 10'} `
    | ForEach-Object {$wsus.DeleteUpdate($_.Id.UpdateId.ToString()); Write-Host $_.Title removed}
    
  4. Löschen Sie Dateien aus der tabelle tbFile aus jeder der WSUS-Datenbanken, die von Ihren Softwareupdatepunkten verwendet werden. Führen Sie in der WSUS-Datenbank die folgenden Befehle aus SQL Server Management Studio aus:
    declare @NotNeededFiles table (FileDigest binary(20) UNIQUE)
    insert into @NotNeededFiles(FileDigest) (select FileDigest from tbFile where FileName like '%.esd%'  except select FileDigest from tbFileForRevision)
    delete from tbFileOnServer where FileDigest in (select FileDigest from @NotNeededFiles)
    delete from tbFile where FileDigest in (select FileDigest from @NotNeededFiles)
    
  5. Starten Sie die Softwareupdatesynchronisierung an Ihrem Standort auf oberster Ebene in Configuration Manager, und warten Sie, bis sie abgeschlossen ist. Eine vollständige Synchronisierung erfolgt, weil wir beim Entfernen von Upgrades eine Änderung an den Klassifizierungen Configuration Manager vorgenommen haben. (Weitere Informationen finden Sie unter Synchronisieren von Softwareupdates.
  6. Wählen Sie die Klassifizierung Upgrades in den Eigenschaften der Softwareupdatepunktkomponente aus. Starten Sie dann eine weitere Softwareupdatesynchronisierung, um die Upgrades wieder in WSUS und Configuration Manager. Sie müssen die Klassifizierung Upgrades in WSUS nicht aktivieren, da Configuration Manager dies für Sie übernimmt.
  7. Wenn Ihre Clients beim Herunterladen eines Upgrades den 0xC1800118 Fehlercode erhalten haben, müssen Sie den vom Windows Update-Agent verwendeten Datenspeicher löschen. Möglicherweise müssen Sie auch den ausgeblendeten ~BT-Ordner auf dem Gerät löschen. Wenn der Client das nächste Mal scannt, ist es eine vollständige Überprüfung auf den WSUS-Server und nicht ein Delta. Sie können ein PowerShell-Skript verwenden, das dem folgenden Beispielskript ähnelt:
    stop-service wuauserv
    remove-item -path c:\windows\softwaredistribution\datastore -recurse -force
    # If the device has a hidden ~BT folder on the c drive, delete it too by uncommenting the next line.
    # remove-item -path c:\~BT -recurse -force
    start-service wuauserv
    

Nächste Schritte

Vorbereiten für die Softwareupdateverwaltung