Prérequis pour les mises à jour logicielles dans Configuration Manager

S’applique à : Gestionnaire de Configuration (branche actuelle)

Cet article répertorie les prérequis pour les mises à jour logicielles dans Configuration Manager. Pour chacun des prérequis, les dépendances externes et les dépendances internes sont répertoriées dans des tables distinctes.

Dépendances de mise à jour logicielle externes à Configuration Manager

Les sections suivantes répertorient les dépendances externes pour les mises à jour logicielles.

Services Internet (IIS)

Internet Information Services (IIS) doit être installé sur les serveurs de système de site pour exécuter le point de mise à jour logicielle, le point de gestion et le point de distribution. Pour plus d’informations, consultez Prérequis pour les rôles de système de site.

Remarque

• Si vous rencontrez une erreur impossible d’ajouter une entrée de collection en double de type « mimeMap », consultez Conseils de dépannage WSUS .

Windows Server Update Services

Windows Server Update Services (WSUS) est nécessaire pour la synchronisation des mises à jour logicielles et pour l’analyse de l’applicabilité des mises à jour logicielles sur les clients. Le serveur WSUS doit être installé avant de créer le rôle de point de mise à jour logicielle. Les versions suivantes de WSUS sont prises en charge pour un point de mise à jour logicielle :

• WSUS 10.0.14393 (rôle dans Windows Server 2016) (mise à jour cumulative 2023-02 ou mise à jour cumulative ultérieure)
• WSUS 10.0.17763 (rôle dans Windows Server 2019) (nécessite Configuration Manager 1810 ou version ultérieure) (mise à jour cumulative 2023-02 ou mise à jour cumulative ultérieure)
• WSUS 10.0.20348 (rôle dans Windows Server 2022) (mise à jour cumulative 2023-02 ou mise à jour cumulative ultérieure)
• WSUS 6.2 et 6.3 (rôle dans Windows Server 2012 et Windows Server 2012 R2) (mise à jour cumulative 2023-03 ou mise à jour cumulative ultérieure)
  • Les 3095113 ko et les 3159706 de base de connaissances (ou une mise à jour équivalente) sont nécessaires pour WSUS 6.2 et 6.3 si vous déployez des mises à niveau Windows.

Remarque

• À compter du 28 mars 2023, les appareils locaux Windows 11 version 22H2 recevront des mises à jour qualité via la plateforme de mise à jour unifiée (UUP). La mise à jour cumulative 2023-02 est obligatoire Si vous ne parvenez pas à installer ces mises à jour, vous pouvez ajouter manuellement les types MIME requis pour UUP au serveur WSUS.
• Lorsque vous avez plusieurs points de mise à jour logicielle sur un site, vérifiez qu’ils exécutent tous la même version de WSUS.

Console d’administration WSUS

La console d’administration WSUS est requise sur le serveur de site Configuration Manager lorsque le point de mise à jour logicielle se trouve sur un serveur de système de site distant et que WSUS n’est pas déjà installé sur le serveur de site.

Importante

• La version WSUS sur le serveur de site doit être identique à la version WSUS qui s’exécute sur les points de mise à jour logicielle.
• N’utilisez pas la console d’administration WSUS pour configurer les paramètres WSUS. Configuration Manager se connecte au instance de WSUS qui s’exécute sur le point de mise à jour logicielle et configure les paramètres appropriés.

Agent de mise à jour automatique Windows Update

Le client Windows Update Agent (WUA) est requis sur les clients afin qu’ils puissent se connecter au serveur WSUS. WUA récupère la liste des mises à jour logicielles qui doivent être analysées pour la conformité.

Lorsque vous installez Configuration Manager, la dernière version de WUA est téléchargée. Ensuite, lorsque vous installez le client Configuration Manager, WUA est mis à niveau si nécessaire. Si l’installation échoue, vous devez utiliser une autre méthode pour mettre à niveau WUA.

Dépendances de mise à jour logicielle internes à Configuration Manager

Les sections suivantes répertorient les dépendances internes pour les mises à jour logicielles dans Configuration Manager.

Points de gestion

Les points de gestion transfèrent des informations entre les ordinateurs clients et le site Configuration Manager. Les points de gestion sont requis pour les mises à jour logicielles.

Point de mise à jour logicielle

Vous devez installer un point de mise à jour logicielle sur le serveur WSUS pour déployer des mises à jour logicielles dans Configuration Manager. Pour plus d’informations, consultez Installer et configurer un point de mise à jour logicielle.

Points de distribution

Des points de distribution sont nécessaires pour stocker le contenu des mises à jour logicielles. Pour plus d’informations sur l’installation des points de distribution et la gestion du contenu, consultez Gérer le contenu et l’infrastructure de contenu.

Paramètres client pour les mises à jour logicielles

Les mises à jour logicielles sont activées pour les clients par défaut. Il existe d’autres paramètres disponibles qui contrôlent comment et quand les clients évaluent la conformité des mises à jour logicielles et contrôlent la façon dont les mises à jour logicielles sont installées.

Si vous souhaitez en savoir plus, consultez les articles suivants :

• Paramètres client pour les mises à jour logicielles

• Paramètres du client des mises à jour logicielles

Importante

À compter de la mise à jour cumulative de septembre 2020, les serveurs WSUS basés sur HTTP seront sécurisés par défaut. Un client qui analyse les mises à jour sur un WSUS basé sur HTTP n’est plus autorisé à tirer parti d’un proxy utilisateur par défaut. Si vous avez toujours besoin d’un proxy utilisateur malgré les compromis de sécurité, un nouveau paramètre client des mises à jour logicielles est disponible pour autoriser ces connexions. Pour plus d’informations sur les modifications apportées à l’analyse de WSUS, consultez Modifications de septembre 2020 pour améliorer la sécurité des appareils Windows analysant WSUS. Pour vous assurer que les meilleurs protocoles de sécurité sont en place, nous vous recommandons vivement d’utiliser le protocole TLS/SSL pour sécuriser votre infrastructure de mise à jour logicielle.

Points Reporting Services

Le rôle de système de site de point reporting Services peut afficher des rapports pour les mises à jour logicielles. Ce rôle est facultatif, mais recommandé. Pour plus d’informations sur la création d’un point Reporting Services, consultez Configuration de la création de rapports.

Quelles sont les mises à jour requises sur WSUS 6.2 et 6.3 ?

Deux mises à jour sont nécessaires pour synchroniser la classification des mises à niveau dans WSUS 6.2 et 6.3. Parfois, vous pouvez voir une erreur de téléchargement ou de déploiement des mises à niveau si elles étaient synchronisées avant l’installation de KB3095113 et KB3159706. Vous trouverez des informations sur les problèmes possibles dans la section suivante.

• Vous devez installer kb 3095113, publiée en octobre 2015, sur vos points de mise à jour logicielle et serveurs de site avant de synchroniser la classification mises à niveau .
  • Cette mise à jour active la classification Mises à niveau .
• Pour service Windows 10 ou des clients ultérieurs, vous devez installer et configurer la base de connaissances 3159706. Kb 3159706 a été publié en mai 2016.
  • Cette mise à jour permet à WSUS de déchiffrer en mode natif les fichiers utilisés pour la mise à niveau Windows 10 version 1607 et ultérieure.

Importante

Les 3095113 de base de connaissances et les 3159706 de base de connaissances sont inclus dans le correctif cumulatif de qualité mensuel de sécurité à compter de juillet 2017. Cela signifie que vous risquez de ne pas voir kb 3095113 et kb 3159706 comme mises à jour installées, car elles ont peut-être été installées avec un correctif cumulatif. Toutefois, si vous avez besoin de l’une de ces mises à jour, nous vous recommandons d’installer un correctif cumulatif de qualité mensuel de sécurité publié après octobre 2017, car ils contiennent une mise à jour WSUS supplémentaire pour réduire l’utilisation de la mémoire sur le clientwebservice WSUS.

Le téléchargement des mises à niveau Windows échoue avec « Erreur : signature de certificat non valide » ou 0xc1800118

Les mises à jour et le problème décrits dans cette section s’appliquent uniquement à WSUS exécuté sur des machines Windows Server 2012 ou Windows Server 2012 R2 (WSUS 6.2 et 6.3). En règle générale, les problèmes décrits dans cette section ne s’affichent que si vous avez installé WSUS avant juillet 2017 et que vous avez récemment activé la classification Mises à niveau . Toutefois, il est également possible de voir ces problèmes dans d’autres situations.

Informations historiques sur les 3095113 de la base de connaissances

Kb 3095113 a été publié en tant que correctif logiciel en octobre 2015 pour ajouter la prise en charge des mises à niveau Windows 10 vers WSUS. La mise à jour permet à WSUS de synchroniser et de distribuer les mises à jour dans la classification Mises à niveau pour Windows.

Si vous synchronisez des mises à niveau sans avoir d’abord installé la base de connaissances 3095113, vous remplissez la base de données WSUS (SUSDB) avec des données inutilisables. Ces données doivent être effacées avant que les mises à niveau puissent être correctement déployées. Les mises à niveau Windows dans cet état ne peuvent pas être téléchargées à l’aide de l’Assistant Téléchargement de logiciels Mises à jour.

Les erreurs qui ressemblent à ce qui suit s’affichent dans la page Saisie semi-automatique de l’Assistant Téléchargement de logiciels Mises à jour :

Error: Upgrade to Windows 10 Pro, version 1511, 10586
Failed to download content id {content_id}. Error: Invalid certificate signature

En outre, les erreurs semblables à ce qui suit sont consignées dans le fichier PatchDownloader.log :

Download http://wsus.ds.b1.download.windowsupdate.com/d/upgr/2015/12/10586.0.151029-1700.th2_release_...esd...
Authentication of file C:\Users\{username}\AppData\Local\Temp\2\{temporary_filename}.tmp failed, error 0x800b0004
ERROR: DownloadContentFiles() failed with hr=0x80073633
# This log is truncated for readability.

Historiquement, lorsque ces erreurs se produisaient, elles étaient résolues en effectuant une version modifiée des étapes de résolution pour WSUS. Étant donné que ces étapes sont similaires à la résolution pour ne pas effectuer les étapes manuelles requises après l’installation de la base de connaissances 3159706, nous avons combiné les deux ensembles d’étapes en une seule résolution dans la section ci-dessous :

• Pour récupérer après la synchronisation des mises à niveau avant d’installer kb 3095113 ou kb 3159706.

Informations historiques sur les 3159706 de la base de connaissances

Kb 3148812 a été initialement publié en avril 2016 pour permettre à WSUS de déchiffrer en mode natif les fichiers .esd utilisés pour la mise à niveau Windows 10 packages. La 3148812 de base de connaissances a causé des problèmes pour certains clients et a été remplacée par la base de connaissances 3159706. La base de connaissances 3159706 doit être installée sur tous vos points de mise à jour logicielle et serveurs de site avant de pouvoir traiter Windows 10 appareils version 1607 et ultérieures. Toutefois, des problèmes peuvent survenir si vous ne réalisez pas que la base de connaissances nécessite les étapes manuelles suivantes après l’installation :

1. À partir d’une invite de commandes avec élévation de privilèges, exécutez "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing.
2. Redémarrez le service WSUS sur tous les serveurs WSUS.

Si vous ne réalisez pas que kb 3159706 avait des étapes manuelles après l’installation, ou si vous avez synchronisé les mises à niveau avant d’installer kb 3159706, vous rencontrerez des problèmes de connexion à la console WSUS et de déploiement de la mise à niveau respectivement. Lorsqu’un client télécharge le fichier de mise à niveau, il obtient un code d’erreur 0xC1800118 .

Étant donné que les étapes de résolution sont similaires à la résolution de synchronisation des mises à niveau avant l’installation de la base de connaissances 3095113, nous avons combiné les deux ensembles d’étapes en une seule résolution dans la section suivante.

Pour récupérer après la synchronisation des mises à niveau avant d’installer kb 3095113 ou Kb 3159706

Suivez les étapes ci-dessous pour résoudre l’erreur 0xc1800118 et « Erreur : signature de certificat non valide » :

1. Désactivez la classification Mises à niveau dans WSUS et Configuration Manager. Vous ne souhaitez pas qu’une synchronisation se produise tant que vous n’êtes pas dirigé vers par ces instructions.
   • Décochez la classification Mises à niveau dans les propriétés du composant point de mise à jour logicielle sur le site de niveau supérieur.
     • Pour plus d’informations, consultez Configurer des classifications et des produits.
   • Décochez la classification Mises à niveau de WSUS sous Produits et classifications dans la page Options, ou utilisez PowerShell ISE en tant qu’administrateur.

     Get-WsusClassification | Where-Object -FilterScript {$_.Classification.Title -Eq "Upgrades"} | Set-WsusClassification -Disable
     

     • Si vous partagez la base de données WSUS entre plusieurs serveurs WSUS, vous ne devez cocher Mises à niveau qu’une seule fois pour chaque base de données.
2. Sur chaque serveur WSUS, à partir d’une invite de commandes avec élévation de privilèges, exécutez : "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing. Ensuite, redémarrez le service WSUS sur tous les serveurs WSUS.
   • WSUS place la base de données en mode mono-utilisateur avant de vérifier si une maintenance est nécessaire. La maintenance s’exécute ou ne s’exécute pas en fonction des résultats de l’case activée. Ensuite, la base de données est remise en mode multi-utilisateur.
   • Si vous partagez la base de données WSUS entre plusieurs serveurs WSUS, vous ne devez effectuer cette maintenance qu’une seule fois pour chaque base de données.
3. Supprimez toutes les mises à niveau Windows 10 de chaque base de données WSUS à l’aide de PowerShell ISE exécuté en tant qu’administrateur.

   [reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
   $wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer();
   $wsus.GetUpdates() | Where {$_.UpdateClassificationTitle -eq 'Upgrades' -and $_.Title -match 'Windows 10'} `
   | ForEach-Object {$wsus.DeleteUpdate($_.Id.UpdateId.ToString()); Write-Host $_.Title removed}
   

4. Supprimez les fichiers de la table tbFile de chacune des bases de données WSUS utilisées par vos points de mise à jour logicielle. Sur la base de données WSUS, exécutez les commandes suivantes à partir de SQL Server Management Studio :

   declare @NotNeededFiles table (FileDigest binary(20) UNIQUE)
   insert into @NotNeededFiles(FileDigest) (select FileDigest from tbFile where FileName like '%.esd%'  except select FileDigest from tbFileForRevision)
   delete from tbFileOnServer where FileDigest in (select FileDigest from @NotNeededFiles)
   delete from tbFile where FileDigest in (select FileDigest from @NotNeededFiles)
   

5. Démarrez la synchronisation des mises à jour logicielles sur votre site de niveau supérieur dans Configuration Manager et attendez qu’elle se termine. Une synchronisation complète se produit, car nous avons apporté une modification aux classifications Configuration Manager lors de la suppression des mises à niveau. (Pour plus d’informations, consultez Synchroniser les mises à jour logicielles.
6. Sélectionnez la classification Mises à niveau dans les propriétés du composant point de mise à jour logicielle. Ensuite, démarrez une autre synchronisation des mises à jour logicielles pour rétablir les mises à niveau dans WSUS et Configuration Manager. Vous n’avez pas besoin d’activer la classification Mises à niveau dans WSUS, car Configuration Manager le fera pour vous.
7. Si vos clients ont reçu le code d’erreur 0xC1800118 lors du téléchargement d’une mise à niveau, vous devez supprimer le magasin de données utilisé par l’agent Windows Update. Vous devrez peut-être également supprimer le dossier ~BT masqué sur l’appareil. La prochaine fois que le client analysera, il s’agira d’une analyse complète sur le serveur WSUS plutôt que sur un delta. Vous pouvez utiliser un script PowerShell similaire à l’exemple de script suivant :

   stop-service wuauserv
   remove-item -path c:\windows\softwaredistribution\datastore -recurse -force
   # If the device has a hidden ~BT folder on the c drive, delete it too by uncommenting the next line.
   # remove-item -path c:\~BT -recurse -force
   start-service wuauserv
   

Étapes suivantes

Préparer la gestion des mises à jour logicielles