Requisitos previos para las actualizaciones de software en Configuration Manager

Se aplica a: Configuration Manager (rama actual)

En este artículo se enumeran los requisitos previos para las actualizaciones de software en Configuration Manager. Para cada uno de los requisitos previos, las dependencias externas y las dependencias internas se enumeran en tablas independientes.

Dependencias de actualización de software que son externas a Configuration Manager

En las secciones siguientes se enumeran las dependencias externas para las actualizaciones de software.

Internet Information Services

Internet Information Services (IIS) debe instalarse en los servidores del sistema de sitio para ejecutar el punto de actualización de software, el punto de administración y el punto de distribución. Para obtener más información, consulte Requisitos previos para roles de sistema de sitio.

Nota:

• Si encuentra un error de tipo "mimeMap" que no puede agregar una entrada de recopilación duplicada, consulte Sugerencias para la solución de problemas de WSUS .

Windows Server Update Services

Windows Server Update Services (WSUS) es necesario para la sincronización de actualizaciones de software y para el examen de aplicabilidad de las actualizaciones de software en los clientes. El servidor WSUS debe instalarse antes de crear el rol de punto de actualización de software. Las siguientes versiones de WSUS son compatibles con un punto de actualización de software:

• WSUS 10.0.14393 (rol en Windows Server 2016) (actualización acumulativa 2023-02 o una actualización acumulativa posterior)
• WSUS 10.0.17763 (rol en Windows Server 2019) (requiere Configuration Manager 1810 o posterior) (actualización acumulativa 2023-02 o una actualización acumulativa posterior)
• WSUS 10.0.20348 (rol en Windows Server 2022) (actualización acumulativa 2023-02 o una actualización acumulativa posterior)
• WSUS 6.2 y 6.3 (rol en Windows Server 2012 y Windows Server 2012 R2) (actualización acumulativa 2023-03 o una actualización acumulativa posterior)
  • Se necesitan kb 3095113 y kb 3159706 (o una actualización equivalente) para WSUS 6.2 y 6.3 si implementa actualizaciones de Windows.

Nota:

• A partir del 28 de marzo de 2023, Windows 11 local, los dispositivos de la versión 22H2 recibirán actualizaciones de calidad a través de unified Update Platform (UUP), la actualización acumulativa 2023-02 es obligatoria Si no puede instalar estas actualizaciones, puede agregar manualmente los tipos MIME necesarios para UUP al servidor WSUS.
• Cuando tenga varios puntos de actualización de software en un sitio, asegúrese de que todos ejecutan la misma versión de WSUS.

Consola de administración de WSUS

La consola de administración de WSUS es necesaria en el servidor de sitio Configuration Manager cuando el punto de actualización de software está en un servidor de sistema de sitio remoto y WSUS no está instalado en el servidor de sitio.

Importante

• La versión de WSUS en el servidor de sitio debe ser la misma que la versión de WSUS que se ejecuta en los puntos de actualización de software.
• No use la consola de administración de WSUS para configurar los valores de WSUS. Configuration Manager se conecta a la instancia de WSUS que se ejecuta en el punto de actualización de software y configura los valores adecuados.

Agente de Windows Update

El cliente del agente de Windows Update (WUA) es necesario en los clientes para que puedan conectarse al servidor WSUS. WUA recupera la lista de actualizaciones de software que se deben examinar para determinar el cumplimiento.

Al instalar Configuration Manager, se descarga la versión más reciente de WUA. A continuación, al instalar el cliente de Configuration Manager, WUA se actualiza si es necesario. Si se produce un error en la instalación, debe usar un método diferente para actualizar WUA.

Dependencias de actualización de software que son internas para Configuration Manager

En las secciones siguientes se enumeran las dependencias internas de las actualizaciones de software en Configuration Manager.

Puntos de administración

Los puntos de administración transfieren información entre los equipos cliente y el sitio de Configuration Manager. Los puntos de administración son necesarios para las actualizaciones de software.

Punto de actualización de software

Debe instalar un punto de actualización de software en el servidor WSUS para implementar actualizaciones de software en Configuration Manager. Para obtener más información, consulte Instalación y configuración de un punto de actualización de software.

Puntos de distribución

Los puntos de distribución son necesarios para almacenar el contenido de las actualizaciones de software. Para obtener más información sobre cómo instalar puntos de distribución y administrar contenido, consulte Administración de contenido e infraestructura de contenido.

Configuración de cliente para las actualizaciones de software

Las actualizaciones de software están habilitadas para los clientes de forma predeterminada. Hay otras configuraciones disponibles que controlan cómo y cuándo los clientes evalúan el cumplimiento de las actualizaciones de software y controlan cómo se instalan las actualizaciones de software.

Para más información, consulte los siguientes artículos:

• Configuración de cliente para las actualizaciones de software

• Software actualiza la configuración del cliente

Importante

A partir de la actualización acumulativa de septiembre de 2020, los servidores WSUS basados en HTTP serán seguros de forma predeterminada. Un cliente que busque actualizaciones en un WSUS basado en HTTP ya no podrá aprovechar un proxy de usuario de forma predeterminada. Si todavía necesita un proxy de usuario a pesar de los inconvenientes de seguridad, hay disponible una nueva configuración de cliente de actualizaciones de software para permitir estas conexiones. Para obtener más información sobre los cambios para examinar WSUS, consulte Cambios de septiembre de 2020 para mejorar la seguridad de los dispositivos Windows que examinan WSUS. Para asegurarse de que se han implementado los mejores protocolos de seguridad, se recomienda encarecidamente usar el protocolo TLS/SSL para ayudar a proteger la infraestructura de actualización de software.

Puntos de Reporting Services

El rol de sistema de sitio de punto de Reporting Services puede mostrar informes para las actualizaciones de software. Este rol es opcional, pero se recomienda. Para obtener más información sobre cómo crear un punto de Reporting Services, consulte Configuración de informes.

¿Qué actualizaciones son necesarias en WSUS 6.2 y 6.3?

Se requieren dos actualizaciones para sincronizar la clasificación de actualizaciones en WSUS 6.2 y 6.3. En ocasiones, es posible que vea un error al descargar o implementar actualizaciones si se sincronizaron antes de instalar KB3095113 y KB3159706. La información sobre posibles problemas se encuentra en la sección siguiente.

• Debe instalar kb 3095113, publicado en octubre de 2015, en los puntos de actualización de software y servidores de sitio antes de sincronizar la clasificación de actualizaciones .
  • Esta actualización habilita la clasificación Actualizaciones .
• Para atender Windows 10 o clientes posteriores, debe instalar y configurar kb 3159706. KB 3159706 se publicó en mayo de 2016.
  • Esta actualización permite a WSUS descifrar de forma nativa los archivos usados para actualizar Windows 10 versión 1607 y posteriores.

Importante

Tanto el 3095113 kb como el 3159706 de KB se incluyen en el paquete acumulativo de actualizaciones de calidad mensual de seguridad a partir de julio de 2017. Esto significa que es posible que no vea kb 3095113 y KB 3159706 como actualizaciones instaladas, ya que pueden haberse instalado con un paquete acumulativo. Sin embargo, si necesita cualquiera de estas actualizaciones, se recomienda instalar un paquete acumulativo de actualizaciones de calidad mensual de seguridad publicado después de octubre de 2017, ya que contienen una actualización de WSUS adicional para reducir el uso de memoria en el clientewebservice de WSUS.

Se produce un error en la descarga de actualizaciones de Windows con "Error: Firma de certificado no válida" o 0xc1800118

Las actualizaciones y el problema descritos en esta sección solo se aplican a WSUS que se ejecuta en máquinas Windows Server 2012 o Windows Server 2012 R2 (WSUS 6.2 y 6.3). Normalmente, solo verá los problemas descritos en esta sección si instaló WSUS antes de julio de 2017 y ha habilitado recientemente la clasificación Actualizaciones . Sin embargo, también es posible ver estos problemas en otras situaciones.

Información histórica sobre kb 3095113

KB 3095113 se publicó como una revisión en octubre de 2015 para agregar compatibilidad con las actualizaciones de Windows 10 a WSUS. La actualización permite a WSUS sincronizar y distribuir actualizaciones en la clasificación Actualizaciones para Windows.

Si sincroniza las actualizaciones sin tener instalado primero kb 3095113, rellena la base de datos WSUS (SUSDB) con datos inutilizables. Esos datos deben borrarse antes de que las actualizaciones se puedan implementar correctamente. Las actualizaciones de Windows en este estado no se pueden descargar mediante el Asistente para descargar software Novedades.

Los errores similares a los siguientes aparecen en la página Finalización del Asistente para descargar software Novedades:

Error: Upgrade to Windows 10 Pro, version 1511, 10586
Failed to download content id {content_id}. Error: Invalid certificate signature

Además, los errores similares a los siguientes se registran en el archivo PatchDownloader.log:

Download http://wsus.ds.b1.download.windowsupdate.com/d/upgr/2015/12/10586.0.151029-1700.th2_release_...esd...
Authentication of file C:\Users\{username}\AppData\Local\Temp\2\{temporary_filename}.tmp failed, error 0x800b0004
ERROR: DownloadContentFiles() failed with hr=0x80073633
# This log is truncated for readability.

Históricamente, cuando se produjeron estos errores, se resolverían mediante una versión modificada de los pasos de resolución de WSUS. Dado que estos pasos son similares a la resolución para no realizar los pasos manuales necesarios después de kb 3159706 instalación, hemos combinado ambos conjuntos de pasos en una única resolución en la sección siguiente:

• Para recuperarse de la sincronización de las actualizaciones antes de instalar kb 3095113 o KB 3159706.

Información histórica sobre kb 3159706

Kb 3148812 se publicó inicialmente en abril de 2016 para permitir que WSUS descifre de forma nativa los archivos .esd usados para actualizar paquetes de Windows 10. KB 3148812 causaba problemas para algunos clientes y se reemplazaba por kb 3159706. Kb 3159706 debe instalarse en todos los puntos de actualización de software y servidores de sitio para poder atender Windows 10 versión 1607 y posteriores. Sin embargo, pueden surgir problemas si no se da cuenta de que la KB requiere los siguientes pasos manuales después de la instalación:

1. Desde un símbolo del sistema con privilegios elevados, ejecute "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing.
2. Reinicie el servicio WSUS en todos los servidores WSUS.

Si no se da cuenta de que KB 3159706 tenía pasos manuales después de la instalación, o si sincronizaba en las actualizaciones antes de instalar kb 3159706, tendría problemas para conectarse a la consola de WSUS e implementar la actualización respectivamente. Cuando un cliente descargó el archivo de actualización, obtendría un código de error 0xC1800118 .

Dado que los pasos de resolución son similares a la resolución para sincronizar las actualizaciones antes de la instalación de KB 3095113, hemos combinado ambos conjuntos de pasos en una única resolución en la sección siguiente.

Para recuperarse de la sincronización de las actualizaciones antes de instalar kb 3095113 o KB 3159706

Siga los pasos siguientes para resolver el error 0xc1800118 y "Error: Firma de certificado no válida":

1. Deshabilite la clasificación Actualizaciones en WSUS y Configuration Manager. No quiere que se produzca una sincronización hasta que estas instrucciones le dirijan.
   • Desactive la clasificación Actualizaciones en las propiedades del componente de punto de actualización de software en el sitio de nivel superior.
     • Para obtener más información, consulte Configuración de clasificaciones y productos.
   • Desactive la clasificación De actualizaciones de WSUS en Productos y clasificaciones en la página Opciones o use el ISE de PowerShell que se ejecuta como administrador.

     Get-WsusClassification | Where-Object -FilterScript {$_.Classification.Title -Eq "Upgrades"} | Set-WsusClassification -Disable
     

     • Si comparte la base de datos WSUS entre varios servidores WSUS, solo tendrá que desactivar Las actualizaciones una vez para cada base de datos.
2. En cada servidor WSUS, desde un símbolo del sistema con privilegios elevados, ejecute: "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing. A continuación, reinicie el servicio WSUS en todos los servidores WSUS.
   • WSUS coloca la base de datos en modo de usuario único antes de comprobar si es necesario realizar el mantenimiento. El mantenimiento se ejecuta o no se ejecuta en función de los resultados de la comprobación. A continuación, la base de datos se vuelve a poner en modo multiusuario.
   • Si comparte la base de datos WSUS entre varios servidores WSUS, solo tendrá que realizar este mantenimiento una vez para cada base de datos.
3. Elimine todas las actualizaciones de Windows 10 de cada base de datos WSUS mediante el ISE de PowerShell que se ejecuta como administrador.

   [reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
   $wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer();
   $wsus.GetUpdates() | Where {$_.UpdateClassificationTitle -eq 'Upgrades' -and $_.Title -match 'Windows 10'} `
   | ForEach-Object {$wsus.DeleteUpdate($_.Id.UpdateId.ToString()); Write-Host $_.Title removed}
   

4. Elimine archivos de la tabla tbFile de cada una de las bases de datos WSUS que usan los puntos de actualización de software. En la base de datos WSUS, ejecute los siguientes comandos desde SQL Server Management Studio:

   declare @NotNeededFiles table (FileDigest binary(20) UNIQUE)
   insert into @NotNeededFiles(FileDigest) (select FileDigest from tbFile where FileName like '%.esd%'  except select FileDigest from tbFileForRevision)
   delete from tbFileOnServer where FileDigest in (select FileDigest from @NotNeededFiles)
   delete from tbFile where FileDigest in (select FileDigest from @NotNeededFiles)
   

5. Inicie la sincronización de actualizaciones de software en el sitio de nivel superior en Configuration Manager y espere a que se complete. Se produce una sincronización completa porque hemos realizado un cambio en las clasificaciones Configuration Manager al quitar las actualizaciones. (Para obtener más información, consulte Sincronización de actualizaciones de software.
6. Seleccione la clasificación Actualizaciones en las propiedades del componente de punto de actualización de software. A continuación, inicie otra sincronización de actualizaciones de software para que las actualizaciones vuelvan a WSUS y Configuration Manager. No es necesario habilitar la clasificación De actualizaciones en WSUS, ya que Configuration Manager lo hará por usted.
7. Si los clientes recibieron el código de error 0xC1800118 al descargar una actualización, deberá eliminar el almacén de datos usado por el agente de Windows Update. También puede que tenga que eliminar la carpeta ~BT oculta en el dispositivo. La próxima vez que el cliente examine, será un examen completo en el servidor WSUS en lugar de un delta. Puede usar un script de PowerShell similar al siguiente script de ejemplo:

   stop-service wuauserv
   remove-item -path c:\windows\softwaredistribution\datastore -recurse -force
   # If the device has a hidden ~BT folder on the c drive, delete it too by uncommenting the next line.
   # remove-item -path c:\~BT -recurse -force
   start-service wuauserv
   

Pasos siguientes

Prepararse para la administración de actualizaciones de software