Wymagania wstępne dotyczące aktualizacji oprogramowania w Configuration Manager

Dotyczy: programu Configuration Manager (bieżąca gałąź)

W tym artykule wymieniono wymagania wstępne dotyczące aktualizacji oprogramowania w Configuration Manager. Dla każdego z wymagań wstępnych zależności zewnętrzne i zależności wewnętrzne są wymienione w oddzielnych tabelach.

Zależności aktualizacji oprogramowania, które są zewnętrzne dla Configuration Manager

W poniższych sekcjach wymieniono zależności zewnętrzne aktualizacji oprogramowania.

Internet Information Services

Usługi Internet Information Services (IIS) muszą być zainstalowane na serwerach systemu lokacji, aby uruchomić punkt aktualizacji oprogramowania, punkt zarządzania i punkt dystrybucji. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące ról systemu lokacji.

Uwaga

• Jeśli wystąpi błąd nie można dodać zduplikowanego wpisu kolekcji typu "mimeMap", zobacz WSUS Troubleshooting Tips (Porady dotyczące rozwiązywania problemów z usługą WSUS ).

Windows Server Update Services

Windows Server Update Services (WSUS) jest wymagany do synchronizacji aktualizacji oprogramowania i skanowania aplikacji aktualizacji oprogramowania na klientach. Przed utworzeniem roli punktu aktualizacji oprogramowania należy zainstalować serwer WSUS. Następujące wersje programu WSUS są obsługiwane w punkcie aktualizacji oprogramowania:

• WSUS 10.0.14393 (rola w Windows Server 2016) (aktualizacja zbiorcza 2023–02 lub późniejsza aktualizacja zbiorcza)
• WSUS 10.0.17763 (rola w systemie Windows Server 2019) (wymaga aktualizacji zbiorczej Configuration Manager 1810 lub nowszej) (aktualizacja zbiorcza 2023-02 lub późniejsza aktualizacja zbiorcza)
• WSUS 10.0.20348 (rola w systemie Windows Server 2022) (aktualizacja zbiorcza 2023-02 lub nowsza aktualizacja zbiorcza)
• WSUS 6.2 i 6.3 (rola w Windows Server 2012 i Windows Server 2012 R2) (aktualizacja zbiorcza 2023-03 lub późniejsza aktualizacja zbiorcza)
  • Kb 3095113 i KB 3159706 (lub równoważna aktualizacja) są potrzebne dla usług WSUS 6.2 i 6.3 podczas wdrażania uaktualnień systemu Windows.

Uwaga

• Od 28 marca 2023 r. lokalne urządzenia Windows 11 w wersji 22H2 będą otrzymywać aktualizacje jakości za pośrednictwem ujednoliconej platformy aktualizacji (UUP), aktualizacja zbiorcza 2023-02 jest koniecznością Jeśli nie możesz zainstalować tych aktualizacji, możesz ręcznie dodać wymagane typy MIME dla UUP do serwera WSUS.
• Jeśli w lokacji znajduje się wiele punktów aktualizacji oprogramowania, upewnij się, że wszystkie są uruchomione w tej samej wersji programu WSUS.

Konsola administracyjna programu WSUS

Konsola administracyjna programu WSUS jest wymagana na serwerze lokacji Configuration Manager, gdy punkt aktualizacji oprogramowania znajduje się na zdalnym serwerze systemu lokacji, a program WSUS nie jest jeszcze zainstalowany na serwerze lokacji.

Ważna

• Wersja programu WSUS na serwerze lokacji musi być taka sama jak wersja programu WSUS uruchomiona w punktach aktualizacji oprogramowania.
• Nie używaj konsoli administracyjnej programu WSUS do konfigurowania ustawień programu WSUS. Configuration Manager nawiązuje połączenie z wystąpieniem programu WSUS uruchomionego w punkcie aktualizacji oprogramowania i konfiguruje odpowiednie ustawienia.

agent Windows Update

Klient Windows Update Agent (WUA) jest wymagany na klientach, aby mogli łączyć się z serwerem WSUS. Usługa WUA pobiera listę aktualizacji oprogramowania, które muszą być skanowane pod kątem zgodności.

Podczas instalowania Configuration Manager pobierana jest najnowsza wersja programu WUA. Następnie podczas instalowania klienta Configuration Manager WUA jest uaktualniony w razie potrzeby. Jeśli instalacja nie powiedzie się, musisz użyć innej metody, aby uaktualnić usługę WUA.

Zależności aktualizacji oprogramowania, które są wewnętrzne, aby Configuration Manager

W poniższych sekcjach wymieniono wewnętrzne zależności aktualizacji oprogramowania w Configuration Manager.

Punkty zarządzania

Punkty zarządzania przesyłają informacje między komputerami klienckimi i lokacją Configuration Manager. Punkty zarządzania są wymagane w przypadku aktualizacji oprogramowania.

Punkty aktualizacji oprogramowania

Aby wdrożyć aktualizacje oprogramowania w Configuration Manager, należy zainstalować punkt aktualizacji oprogramowania na serwerze programu WSUS. Aby uzyskać więcej informacji, zobacz Instalowanie i konfigurowanie punktu aktualizacji oprogramowania.

Punkty dystrybucji

Punkty dystrybucji są wymagane do przechowywania zawartości aktualizacji oprogramowania. Aby uzyskać więcej informacji na temat instalowania punktów dystrybucji i zarządzania zawartością, zobacz Zarządzanie infrastrukturą zawartości i zawartości.

Ustawienia klienta aktualizacji oprogramowania

Aktualizacje oprogramowania są domyślnie włączone dla klientów. Istnieją inne dostępne ustawienia, które kontrolują, jak i kiedy klienci oceniają zgodność aktualizacji oprogramowania i kontrolują sposób instalowania aktualizacji oprogramowania.

Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

• Ustawienia klienta aktualizacji oprogramowania

• Ustawienia klienta aktualizacji oprogramowania

Ważna

Począwszy od aktualizacji zbiorczej z września 2020 r., serwery WSUS oparte na protokole HTTP będą domyślnie bezpieczne. Klient skanujący aktualizacje pod kątem usług WSUS opartych na protokole HTTP nie będzie już mógł domyślnie korzystać z serwera proxy użytkownika. Jeśli nadal potrzebujesz serwera proxy użytkownika pomimo kompromisów w zakresie zabezpieczeń, dostępne jest nowe ustawienie klienta aktualizacji oprogramowania , aby zezwolić na te połączenia. Aby uzyskać więcej informacji na temat zmian dotyczących skanowania programu WSUS, zobacz Zmiany z września 2020 r. w celu zwiększenia bezpieczeństwa urządzeń z systemem Windows skanujących program WSUS. Aby upewnić się, że istnieją najlepsze protokoły zabezpieczeń, zdecydowanie zalecamy użycie protokołu TLS/SSL w celu zabezpieczenia infrastruktury aktualizacji oprogramowania.

Punkty usług raportowania

Rola systemu lokacji punktu usług raportowania może wyświetlać raporty dotyczące aktualizacji oprogramowania. Ta rola jest opcjonalna, ale zalecana. Aby uzyskać więcej informacji na temat tworzenia punktu usług raportowania, zobacz Konfigurowanie raportowania.

Które aktualizacje są wymagane w programach WSUS 6.2 i 6.3?

Do synchronizacji klasyfikacji uaktualnień w programie WSUS 6.2 i 6.3 są wymagane dwie aktualizacje. Czasami może wystąpić błąd podczas pobierania lub wdrażania uaktualnień, jeśli zostały one zsynchronizowane przed zainstalowaniem kb3095113 i KB3159706. Informacje o możliwych problemach znajdują się w następnej sekcji.

• Przed zsynchronizowanie klasyfikacji uaktualnień należy zainstalować kb 3095113 wydaną w październiku 2015 r. na punktach aktualizacji oprogramowania i serwerach lokacji.
  • Ta aktualizacja umożliwia klasyfikację uaktualnień .
• Aby obsługiwać klientów Windows 10 lub nowszych, należy zainstalować i skonfigurować 3159706 KB. KB 3159706 została wydana w maju 2016 roku.
  • Ta aktualizacja umożliwia programowi WSUS natywne odszyfrowywanie plików używanych do uaktualniania Windows 10 wersji 1607 lub nowszej.

Ważna

Zarówno kb 3095113, jak i kb 3159706 są uwzględniane w miesięcznym zestawieniu jakości zabezpieczeń rozpoczynającym się w lipcu 2017 r. Oznacza to, że aktualizacje kb 3095113 i KB 3159706 mogą nie być wyświetlane jako zainstalowane, ponieważ mogły zostać zainstalowane z pakietem zbiorczym. Jeśli jednak potrzebujesz jednej z tych aktualizacji, zalecamy zainstalowanie miesięcznego zestawienia jakości zabezpieczeń wydanego po październiku 2017 r., ponieważ zawierają one dodatkową aktualizację programu WSUS, aby zmniejszyć wykorzystanie pamięci w usłudze clientwebservice programu WSUS.

Pobieranie uaktualnień systemu Windows kończy się niepowodzeniem z powodu błędu "Błąd: nieprawidłowy podpis certyfikatu" lub 0xc1800118

Aktualizacje i problem opisany w tej sekcji dotyczą tylko usług WSUS działających na maszynach Windows Server 2012 lub Windows Server 2012 R2 (WSUS 6.2 i 6.3). Zazwyczaj problemy opisane w tej sekcji są widoczne tylko wtedy, gdy zainstalowano program WSUS przed lipcem 2017 r. i niedawno włączono klasyfikację uaktualnień . Można jednak zobaczyć te problemy również w innych sytuacjach.

Informacje historyczne dotyczące bazy wiedzy 3095113

Kb 3095113 została wydana jako poprawka w październiku 2015 r. w celu dodania obsługi uaktualnień Windows 10 do programu WSUS. Aktualizacja umożliwia programowi WSUS synchronizowanie i dystrybucję aktualizacji w klasyfikacji Uaktualnienia dla systemu Windows.

Jeśli zsynchronizujesz uaktualnienia bez uprzedniej instalacji bazy wiedzy 3095113, wypełnisz bazę danych programu WSUS (SUSDB) nieużywanymi danymi. Te dane muszą zostać wyczyszczone przed prawidłowym wdrożeniem uaktualnień. Uaktualnień systemu Windows w tym stanie nie można pobrać za pomocą Kreatora pobierania oprogramowania Aktualizacje.

Na stronie Ukończenie Kreatora pobierania oprogramowania Aktualizacje pojawiają się błędy podobne do następujących:

Error: Upgrade to Windows 10 Pro, version 1511, 10586
Failed to download content id {content_id}. Error: Invalid certificate signature

Ponadto w pliku PatchDownloader.log są rejestrowane błędy podobne do następujących:

Download http://wsus.ds.b1.download.windowsupdate.com/d/upgr/2015/12/10586.0.151029-1700.th2_release_...esd...
Authentication of file C:\Users\{username}\AppData\Local\Temp\2\{temporary_filename}.tmp failed, error 0x800b0004
ERROR: DownloadContentFiles() failed with hr=0x80073633
# This log is truncated for readability.

W przeszłości, gdy te błędy wystąpiły, zostałyby one rozwiązane przez wykonanie zmodyfikowanej wersji kroków rozwiązywania dla programu WSUS. Ponieważ te kroki są podobne do rozwiązania problemu, aby nie wykonywać ręcznych kroków wymaganych po zainstalowaniu bazy wiedzy 3159706, w poniższej sekcji połączyliśmy oba zestawy kroków w jedną rozdzielczość:

• Aby odzyskać sprawności po synchronizacji uaktualnień przed zainstalowaniem bazy wiedzy 3095113 lub kb 3159706.

Informacje historyczne dotyczące bazy wiedzy 3159706

Baza wiedzy 3148812 została wydana w kwietniu 2016 r., aby umożliwić programowi WSUS natywne odszyfrowywanie plików .esd używanych do uaktualniania pakietów Windows 10. Kb 3148812 spowodował problemy dla niektórych klientów i został zastąpiony kb 3159706. Aby można było obsługiwać Windows 10 urządzenia w wersji 1607 lub nowszej, należy zainstalować 3159706 KB na wszystkich punktach aktualizacji oprogramowania i serwerach lokacji. Jednak problemy mogą wystąpić, jeśli nie zdajesz sobie sprawy, że baza wiedzy wymaga następujących ręcznych kroków po instalacji:

1. W wierszu polecenia z podwyższonym poziomem uprawnień uruchom polecenie "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing.
2. Uruchom ponownie usługę WSUS na wszystkich serwerach programu WSUS.

Jeśli nie zdajesz sobie sprawy, że kb 3159706 miał ręczne kroki po instalacji lub zsynchronizowane w uaktualnieniach przed zainstalowaniem kb 3159706, napotkasz problemy z nawiązywaniem połączenia z konsolą programu WSUS i wdrażaniem uaktualnienia odpowiednio. Gdy klient pobierze plik uaktualnienia, otrzyma kod błędu 0xC1800118 .

Ponieważ kroki rozwiązywania problemów są podobne do rozwiązania synchronizacji uaktualnień przed instalacją kb 3095113, w następnej sekcji połączyliśmy oba zestawy kroków w jedną rozdzielczość.

Aby odzyskać sprawności po synchronizacji uaktualnień przed zainstalowaniem bazy wiedzy 3095113 lub KB 3159706

Wykonaj poniższe kroki, aby rozwiązać zarówno błąd 0xc1800118, jak i "Błąd: nieprawidłowy podpis certyfikatu":

1. Wyłącz klasyfikację uaktualnień zarówno w programie WSUS, jak i w Configuration Manager. Nie chcesz, aby synchronizacja miała miejsce, dopóki nie zostanie przekierowana przez te instrukcje.
   • Usuń zaznaczenie klasyfikacji uaktualnień we właściwościach składnika punktu aktualizacji oprogramowania w lokacji najwyższego poziomu.
     • Aby uzyskać więcej informacji, zobacz Konfigurowanie klasyfikacji i produktów.
   • Usuń zaznaczenie klasyfikacji uaktualnień z programu WSUS w obszarze Produkty i klasyfikacje na stronie Opcje lub użyj środowiska ISE programu PowerShell działającego jako administrator.

     Get-WsusClassification | Where-Object -FilterScript {$_.Classification.Title -Eq "Upgrades"} | Set-WsusClassification -Disable
     

     • Jeśli udostępniasz bazę danych programu WSUS między wieloma serwerami programu WSUS, należy usunąć zaznaczenie pola Uaktualnienia tylko raz dla każdej bazy danych.
2. Na każdym serwerze WSUS uruchom polecenie z podwyższonym poziomem uprawnień: "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing. Następnie uruchom ponownie usługę WSUS na wszystkich serwerach programu WSUS.
   • Usługa WSUS umieszcza bazę danych w trybie pojedynczego użytkownika , zanim sprawdzi, czy wymagana jest obsługa. Obsługa jest uruchamiana lub nie jest uruchamiana na podstawie wyników sprawdzania. Następnie baza danych jest ponownie przełączana w tryb wielu użytkowników.
   • Jeśli współużytkujesz bazę danych programu WSUS między wieloma serwerami WSUS, musisz wykonać tę obsługę tylko raz dla każdej bazy danych.
3. Usuń wszystkie uaktualnienia Windows 10 z każdej bazy danych programu WSUS przy użyciu środowiska ISE programu PowerShell uruchomionego jako administrator.

   [reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
   $wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer();
   $wsus.GetUpdates() | Where {$_.UpdateClassificationTitle -eq 'Upgrades' -and $_.Title -match 'Windows 10'} `
   | ForEach-Object {$wsus.DeleteUpdate($_.Id.UpdateId.ToString()); Write-Host $_.Title removed}
   

4. Usuń pliki z tabeli tbFile z każdej bazy danych programu WSUS używanej przez punkty aktualizacji oprogramowania. W bazie danych programu WSUS uruchom następujące polecenia z SQL Server Management Studio:

   declare @NotNeededFiles table (FileDigest binary(20) UNIQUE)
   insert into @NotNeededFiles(FileDigest) (select FileDigest from tbFile where FileName like '%.esd%'  except select FileDigest from tbFileForRevision)
   delete from tbFileOnServer where FileDigest in (select FileDigest from @NotNeededFiles)
   delete from tbFile where FileDigest in (select FileDigest from @NotNeededFiles)
   

5. Rozpocznij synchronizację aktualizacji oprogramowania w lokacji najwyższego poziomu w Configuration Manager i poczekaj na jej ukończenie. Pełna synchronizacja następuje, ponieważ wprowadziliśmy zmianę klasyfikacji Configuration Manager po usunięciu uaktualnień. (Aby uzyskać więcej informacji, zobacz Synchronizowanie aktualizacji oprogramowania.
6. Wybierz klasyfikację Uaktualnienia we właściwościach składnika punktu aktualizacji oprogramowania. Następnie rozpocznij kolejną synchronizację aktualizacji oprogramowania, aby przywrócić uaktualnienia do programu WSUS i Configuration Manager. Nie musisz włączać klasyfikacji uaktualnień w programie WSUS, ponieważ Configuration Manager zrobi to za Ciebie.
7. Jeśli klienci otrzymali kod błędu 0xC1800118 podczas pobierania uaktualnienia, musisz usunąć magazyn danych używany przez agenta Windows Update. Może być również konieczne usunięcie ukrytego folderu ~BT na urządzeniu. Następnym razem, gdy klient skanuje, będzie to pełne skanowanie serwera WSUS, a nie delta. Możesz użyć skryptu programu PowerShell podobnego do następującego przykładowego skryptu:

   stop-service wuauserv
   remove-item -path c:\windows\softwaredistribution\datastore -recurse -force
   # If the device has a hidden ~BT folder on the c drive, delete it too by uncommenting the next line.
   # remove-item -path c:\~BT -recurse -force
   start-service wuauserv
   

Następne kroki

Przygotowanie do zarządzania aktualizacjami oprogramowania