Vereisten voor software-updates in Configuration Manager

Van toepassing op: Configuration Manager (current branch)

In dit artikel vindt u de vereisten voor software-updates in Configuration Manager. Voor elk van de vereisten worden de externe afhankelijkheden en interne afhankelijkheden vermeld in afzonderlijke tabellen.

Afhankelijkheden van software-updates die buiten Configuration Manager

In de volgende secties worden de externe afhankelijkheden voor software-updates vermeld.

Internet Information Services

Internet Information Services (IIS) moet worden geïnstalleerd op de sitesysteemservers om het software-updatepunt, het beheerpunt en het distributiepunt uit te voeren. Zie Vereisten voor sitesysteemrollen voor meer informatie.

Opmerking

• Als er een fout optreedt dat geen dubbele verzameling kan worden toegevoegd van het type mimeMap, raadpleegt u WSUS Probleemoplossingstips .

Windows Server Update Services

Windows Server Update Services (WSUS) is nodig voor synchronisatie van software-updates en voor de scan van de toepasselijkheid van software-updates op clients. De WSUS-server moet zijn geïnstalleerd voordat u de rol software-updatepunt maakt. De volgende versies van WSUS worden ondersteund voor een software-updatepunt:

• WSUS 10.0.14393 (rol in Windows Server 2016) (cumulatieve update 2023-02 of een latere cumulatieve update)
• WSUS 10.0.17763 (functie in Windows Server 2019) (vereist Configuration Manager 1810 of hoger) (cumulatieve update 2023-02 of een latere cumulatieve update)
• WSUS 10.0.20348 (rol in Windows Server 2022) (cumulatieve update 2023-02 of een latere cumulatieve update)
• WSUS 6.2 en 6.3 (rol in Windows Server 2012 en Windows Server 2012 R2) (cumulatieve update 2023-03 of een latere cumulatieve update)
  • KB-3095113 en KB-3159706 (of een equivalente update) zijn nodig voor WSUS 6.2 en 6.3 als u Windows-upgrades implementeert.

Opmerking

• Vanaf 28 maart 2023 ontvangen on-premises Windows 11, versie 22H2-apparaten kwaliteitsupdates via het Unified Update Platform (UUP), cumulatieve update 2023-02 is een must Als u deze updates niet kunt installeren, kunt u de vereiste MIME-typen voor UUP handmatig toevoegen aan de WSUS-server.
• Wanneer u meerdere software-updatepunten op een site hebt, moet u ervoor zorgen dat ze allemaal dezelfde versie van WSUS gebruiken.

WSUS-beheerconsole

De WSUS-beheerconsole is vereist op de Configuration Manager siteserver wanneer het software-updatepunt zich op een externe sitesysteemserver bevindt en WSUS nog niet is geïnstalleerd op de siteserver.

Belangrijk

• De WSUS-versie op de siteserver moet hetzelfde zijn als de WSUS-versie die wordt uitgevoerd op de software-updatepunten.
• Gebruik de WSUS-beheerconsole niet om WSUS-instellingen te configureren. Configuration Manager maakt verbinding met het exemplaar van WSUS dat wordt uitgevoerd op het software-updatepunt en configureert de juiste instellingen.

Windows Update agent

De wua-client (Windows Update agent) is vereist op clients zodat ze verbinding kunnen maken met de WSUS-server. WUA haalt de lijst met software-updates op die moeten worden gescand op naleving.

Wanneer u Configuration Manager installeert, wordt de nieuwste versie van WUA gedownload. Wanneer u vervolgens de Configuration Manager-client installeert, wordt WUA indien nodig bijgewerkt. Als de installatie mislukt, moet u een andere methode gebruiken om WUA te upgraden.

Afhankelijkheden van software-updates die intern zijn voor Configuration Manager

De volgende secties bevatten de interne afhankelijkheden voor software-updates in Configuration Manager.

Beheerpunten

Beheerpunten dragen informatie over tussen clientcomputers en de Configuration Manager site. De beheerpunten zijn vereist voor software-updates.

Software-updatepunten

U moet een software-updatepunt installeren op de WSUS-server om software-updates in Configuration Manager te implementeren. Zie Een software-updatepunt installeren en configureren voor meer informatie.

Distributiepunten

Distributiepunten zijn vereist voor het opslaan van de inhoud voor software-updates. Zie Infrastructuur voor inhoud en inhoud beheren voor meer informatie over het installeren van distributiepunten en het beheren van inhoud.

Clientinstellingen voor software-updates

Software-updates zijn standaard ingeschakeld voor clients. Er zijn andere beschikbare instellingen die bepalen hoe en wanneer clients naleving van de software-updates beoordelen en bepalen hoe de software-updates worden geïnstalleerd.

Zie de volgende artikelen voor meer informatie:

• Clientinstellingen voor software-updates

• Clientinstellingen voor software-updates

Belangrijk

Vanaf de cumulatieve update van september 2020 zijn OP HTTP gebaseerde WSUS-servers standaard beveiligd. Een client die zoekt naar updates op basis van een OP HTTP gebaseerde WSUS, mag niet langer standaard gebruikmaken van een gebruikersproxy. Als u ondanks de beveiligingsproblemen nog steeds een gebruikersproxy nodig hebt, is er een nieuwe clientinstelling voor software-updates beschikbaar om deze verbindingen toe te staan. Zie Wijzigingen van september 2020 om de beveiliging te verbeteren voor Windows-apparaten die WSUS scannen voor meer informatie over de wijzigingen voor het scannen van WSUS. Om ervoor te zorgen dat de beste beveiligingsprotocollen aanwezig zijn, raden we u ten zeerste aan om het TLS/SSL-protocol te gebruiken om uw software-update-infrastructuur te beveiligen.

Reporting Services-punten

De sitesysteemrol reporting services-punt kan rapporten voor software-updates weergeven. Deze rol is optioneel, maar wordt aanbevolen. Zie Rapportage configureren voor meer informatie over het maken van een Reporting Services-punt.

Welke updates zijn vereist voor WSUS 6.2 en 6.3?

Er zijn twee updates vereist voor het synchroniseren van de upgradesclassificatie in WSUS 6.2 en 6.3. Af en toe ziet u een fout bij het downloaden of implementeren van upgrades als deze zijn gesynchroniseerd voordat KB3095113 en KB3159706 zijn geïnstalleerd. Informatie over mogelijke problemen vindt u in de volgende sectie.

• U moet KB 3095113, uitgebracht in oktober 2015, installeren op uw software-updatepunten en siteservers voordat u de classificatie Upgrades synchroniseert.
  • Met deze update wordt de classificatie Upgrades ingeschakeld.
• Als u Windows 10 of nieuwere clients wilt onderhouden, moet u KB-3159706 installeren en configureren. KB 3159706 is uitgebracht in mei 2016.
  • Met deze update kan WSUS de bestanden die worden gebruikt voor het upgraden van Windows 10 versie 1607 en hoger, systeemeigen ontsleutelen.

Belangrijk

Zowel KB 3095113 als KB-3159706 zijn opgenomen in het maandelijkse updatepakket voor beveiliging vanaf juli 2017. Dit betekent dat u KB 3095113 en KB-3159706 mogelijk niet ziet als geïnstalleerde updates, omdat deze mogelijk zijn geïnstalleerd met een samengeteld updatepakket. Als u echter een van deze updates nodig hebt, raden we u aan een maandelijks beveiligingspakket te installeren dat is uitgebracht na oktober 2017, omdat deze een extra WSUS-update bevatten om het geheugengebruik op de clientwebservice van WSUS te verminderen.

Downloaden van Windows-upgrades mislukt met 'Fout: ongeldige certificaathandtekening' of 0xc1800118

De updates en het probleem dat in deze sectie wordt beschreven, zijn alleen van toepassing op WSUS die wordt uitgevoerd op Windows Server 2012- of Windows Server 2012 R2-machines (WSUS 6.2 en 6.3). Normaal gesproken ziet u alleen de problemen die in deze sectie worden beschreven als u WSUS vóór juli 2017 hebt geïnstalleerd en u onlangs de classificatie Upgrades hebt ingeschakeld. Het is echter mogelijk om deze problemen ook in andere situaties te zien.

Historische informatie over KB-3095113

KB 3095113 is in oktober 2015 als hotfix uitgebracht om ondersteuning toe te voegen voor Windows 10 upgrades naar WSUS. Met de update kan WSUS updates synchroniseren en distribueren in de classificatie Upgrades voor Windows.

Als u upgrades synchroniseert zonder kb-3095113 eerst te hebben geïnstalleerd, vult u de WSUS-database (SUSDB) met onbruikbare gegevens. Deze gegevens moeten worden gewist voordat de upgrades correct kunnen worden geïmplementeerd. Windows-upgrades in deze status kunnen niet worden gedownload met behulp van de wizard Software Updates downloaden.

Fouten die er ongeveer als volgt uitzien, worden weergegeven op de pagina Voltooiing van de wizard Software Updates downloaden:

Error: Upgrade to Windows 10 Pro, version 1511, 10586
Failed to download content id {content_id}. Error: Invalid certificate signature

Bovendien worden fouten die lijken op de volgende, vastgelegd in het bestand PatchDownloader.log:

Download http://wsus.ds.b1.download.windowsupdate.com/d/upgr/2015/12/10586.0.151029-1700.th2_release_...esd...
Authentication of file C:\Users\{username}\AppData\Local\Temp\2\{temporary_filename}.tmp failed, error 0x800b0004
ERROR: DownloadContentFiles() failed with hr=0x80073633
# This log is truncated for readability.

In het verleden, wanneer deze fouten optrad, zouden ze worden opgelost door een aangepaste versie van de oplossingsstappen voor WSUS uit te voeren. Omdat deze stappen vergelijkbaar zijn met de oplossing voor het niet uitvoeren van de handmatige stappen die nodig zijn na de installatie van KB 3159706, hebben we beide sets stappen gecombineerd in één oplossing in de onderstaande sectie:

• Als u wilt herstellen van het synchroniseren van de upgrades voordat u KB 3095113 of KB-3159706 installeert.

Historische informatie over KB-3159706

KB 3148812 is in april 2016 uitgebracht om WSUS in staat te stellen om de .esd-bestanden die worden gebruikt voor het upgraden van Windows 10-pakketten, systeemeigen te ontsleutelen. KB-3148812 voor sommige klanten problemen veroorzaakt en is vervangen door KB-3159706. KB 3159706 moet worden geïnstalleerd op al uw software-updatepunten en siteservers voordat u Windows 10 versie 1607 en nieuwere apparaten kunt onderhouden. Er kunnen echter problemen optreden als u zich niet realiseert dat de KB na de installatie de volgende handmatige stappen vereist:

1. Voer vanaf een opdrachtprompt met verhoogde bevoegdheid uit "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing.
2. Start de WSUS-service opnieuw op alle WSUS-servers.

Als u zich niet realiseert dat KB 3159706 handmatige stappen had na de installatie, of als u de upgrades hebt gesynchroniseerd voordat u KB 3159706 installeerde, zou u problemen ondervinden bij het maken van verbinding met de WSUS-console en het implementeren van de upgrade. Wanneer een client het upgradebestand downloadt, krijgt het een 0xC1800118 foutcode.

Omdat de oplossingsstappen vergelijkbaar zijn met de resolutie voor het synchroniseren van upgrades voordat KB 3095113 installatie, hebben we beide sets stappen in één oplossing gecombineerd in de volgende sectie.

Als u wilt herstellen van het synchroniseren van de upgrades voordat u KB 3095113 of KB-3159706 installeert

Volg de onderstaande stappen om zowel de fout 0xc1800118 als 'Fout: ongeldige certificaathandtekening' op te lossen:

1. Schakel de classificatie Upgrades uit in zowel WSUS als Configuration Manager. U wilt niet dat er een synchronisatie plaatsvindt totdat u door deze instructies wordt omgeleid.
   • Schakel de classificatie Upgrades uit in de eigenschappen van het software-updatepuntonderdeel op de site op het hoogste niveau.
     • Zie Classificaties en producten configureren voor meer informatie.
   • Schakel de classificatie Upgrades van WSUS uit onder Producten en classificaties op de pagina Opties of gebruik de PowerShell ISE die als beheerder wordt uitgevoerd.

     Get-WsusClassification | Where-Object -FilterScript {$_.Classification.Title -Eq "Upgrades"} | Set-WsusClassification -Disable
     

     • Als u de WSUS-database deelt tussen meerdere WSUS-servers, hoeft u upgrades slechts eenmaal voor elke database uit te schakelen.
2. Voer op elke WSUS-server vanaf een opdrachtprompt met verhoogde bevoegdheid uit: "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing. Start vervolgens de WSUS-service opnieuw op alle WSUS-servers.
   • WSUS plaatst de database in de modus voor één gebruiker voordat wordt gecontroleerd of onderhoud nodig is. De service wordt uitgevoerd of niet uitgevoerd op basis van de resultaten van de controle. Vervolgens wordt de database weer in de modus voor meerdere gebruikers geplaatst.
   • Als u de WSUS-database deelt tussen meerdere WSUS-servers, hoeft u deze service slechts één keer voor elke database uit te voeren.
3. Verwijder alle Windows 10 upgrades uit elke WSUS-database met behulp van de PowerShell ISE die als beheerder wordt uitgevoerd.

   [reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
   $wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer();
   $wsus.GetUpdates() | Where {$_.UpdateClassificationTitle -eq 'Upgrades' -and $_.Title -match 'Windows 10'} `
   | ForEach-Object {$wsus.DeleteUpdate($_.Id.UpdateId.ToString()); Write-Host $_.Title removed}
   

4. Verwijder bestanden uit de tabel tbFile uit elk van de WSUS-databases die worden gebruikt door uw software-updatepunten. Voer op de WSUS-database de volgende opdrachten uit vanuit SQL Server Management Studio:

   declare @NotNeededFiles table (FileDigest binary(20) UNIQUE)
   insert into @NotNeededFiles(FileDigest) (select FileDigest from tbFile where FileName like '%.esd%'  except select FileDigest from tbFileForRevision)
   delete from tbFileOnServer where FileDigest in (select FileDigest from @NotNeededFiles)
   delete from tbFile where FileDigest in (select FileDigest from @NotNeededFiles)
   

5. Start de synchronisatie van software-updates op uw site op het hoogste niveau in Configuration Manager en wacht totdat deze is voltooid. Een volledige synchronisatie vindt plaats omdat we een wijziging hebben aangebracht in de classificaties Configuration Manager toen we Upgrades verwijderden. (Zie Software-updates synchroniseren voor meer informatie.
6. Selecteer de classificatie Upgrades in de eigenschappen van het software-updatepuntonderdeel. Start vervolgens een andere synchronisatie van software-updates om de upgrades terug te brengen naar WSUS en Configuration Manager. U hoeft de classificatie Upgrades niet in te schakelen in WSUS, omdat Configuration Manager dit voor u doet.
7. Als uw clients de 0xC1800118 foutcode hebben ontvangen bij het downloaden van een upgrade, moet u het gegevensarchief verwijderen dat wordt gebruikt door de Windows Update Agent. Mogelijk moet u ook de verborgen map ~BT op het apparaat verwijderen. De volgende keer dat de client scant, is dit een volledige scan op de WSUS-server in plaats van een delta. U kunt een PowerShell-script gebruiken dat vergelijkbaar is met het volgende voorbeeldscript:

   stop-service wuauserv
   remove-item -path c:\windows\softwaredistribution\datastore -recurse -force
   # If the device has a hidden ~BT folder on the c drive, delete it too by uncommenting the next line.
   # remove-item -path c:\~BT -recurse -force
   start-service wuauserv
   

Volgende stappen

Software-updatebeheer voorbereiden