Pré-requisitos para atualizações de software no Configuration Manager

Aplica-se a: Gerenciador de Configurações (branch atual)

Este artigo lista os pré-requisitos para atualizações de software no Configuration Manager. Para cada um dos pré-requisitos, as dependências externas e as dependências internas são listadas em tabelas separadas.

Dependências de atualização de software que são externas a Configuration Manager

As seções a seguir listam as dependências externas para atualizações de software.

Serviços de Informações da Internet

O IIS (Serviços de Informações da Internet) deve ser instalado nos servidores do sistema de sites para executar o ponto de atualização de software, o ponto de gerenciamento e o ponto de distribuição. Para obter mais informações, consulte Pré-requisitos para funções do sistema de sites.

Observação

• Se você encontrar um erro não pode adicionar uma coleção duplicada do tipo 'mimeMap', consulte Dicas de solução de problemas do WSUS .

Windows Server Update Services

Windows Server Update Services (WSUS) é necessário para sincronização de atualizações de software e para a verificação de aplicabilidade de atualizações de software nos clientes. O servidor WSUS deve ser instalado antes de criar a função de ponto de atualização de software. As seguintes versões do WSUS têm suporte para um ponto de atualização de software:

• WSUS 10.0.14393 (função em Windows Server 2016) (Atualização Cumulativa 2023-02 ou uma atualização cumulativa posterior)
• WSUS 10.0.17763 (função no Windows Server 2019) (Requer Configuration Manager 1810 ou posterior) (Atualização Cumulativa 2023-02 ou uma atualização cumulativa posterior)
• WSUS 10.0.20348 (função no Windows Server 2022) (Atualização Cumulativa 2023-02 ou uma atualização cumulativa posterior)
• WSUS 6.2 e 6.3 (função em Windows Server 2012 e Windows Server 2012 R2) (Atualização Cumulativa 2023-03 ou uma atualização cumulativa posterior)
  • O 3095113 do KB e 3159706 de KB (ou uma atualização equivalente) são necessários para o WSUS 6.2 e 6.3 se você implantar atualizações do Windows.

Observação

• A partir de 28 de março de 2023, Windows 11 local, os dispositivos versão 22H2 receberão atualizações de qualidade por meio da UUP (Plataforma de Atualização Unificada), a atualização cumulativa 2023-02 é obrigatória Se você não conseguir instalar essas atualizações, poderá adicionar manualmente os tipos MIME necessários para UUP ao servidor WSUS.
• Quando você tiver vários pontos de atualização de software em um site, verifique se todos eles estão executando a mesma versão do WSUS.

Console de administração do WSUS

O Console de Administração do WSUS é necessário no servidor do site Configuration Manager quando o ponto de atualização de software estiver em um servidor de sistema de site remoto e o WSUS ainda não estiver instalado no servidor do site.

Importante

• A versão do WSUS no servidor do site deve ser a mesma que a versão do WSUS que está em execução nos pontos de atualização de software.
• Não use o Console de Administração do WSUS para configurar as configurações do WSUS. Configuration Manager se conecta à instância do WSUS que está em execução no ponto de atualização de software e configura as configurações apropriadas.

Windows Update Agent

O cliente WUA (Agente Windows Update) é necessário nos clientes para que eles possam se conectar ao servidor WSUS. O WUA recupera a lista de atualizações de software que devem ser examinadas em busca de conformidade.

Quando você instala Configuration Manager, a versão mais recente do WUA é baixada. Em seguida, quando você instala o cliente Configuration Manager, o WUA é atualizado, se necessário. Se a instalação falhar, você deverá usar um método diferente para atualizar o WUA.

Dependências de atualização de software internas para Configuration Manager

As seções a seguir listam as dependências internas para atualizações de software no Configuration Manager.

Pontos de gerenciamento

Os pontos de gerenciamento transferem informações entre computadores cliente e o site Configuration Manager. Os pontos de gerenciamento são necessários para atualizações de software.

Pontos de atualização de software

Você deve instalar um ponto de atualização de software no servidor WSUS para implantar atualizações de software no Configuration Manager. Para obter mais informações, consulte Instalar e configurar um ponto de atualização de software.

Pontos de distribuição

Os pontos de distribuição são necessários para armazenar o conteúdo para atualizações de software. Para obter mais informações sobre como instalar pontos de distribuição e gerenciar conteúdo, consulte Gerenciar conteúdo e infraestrutura de conteúdo.

Configurações do cliente para atualizações de software

As atualizações de software estão habilitadas para clientes por padrão. Há outras configurações disponíveis que controlam como e quando os clientes avaliam a conformidade para as atualizações de software e controlam como as atualizações de software são instaladas.

Para saber mais, confira os seguintes artigos:

• Configurações do cliente para atualizações de software

• O software atualiza as configurações do cliente

Importante

A partir da atualização cumulativa de setembro de 2020, os servidores WSUS baseados em HTTP estarão seguros por padrão. Um cliente que verifica atualizações em um WSUS baseado em HTTP não terá mais permissão para aproveitar um proxy de usuário por padrão. Se você ainda precisar de um proxy de usuário, apesar das compensações de segurança, uma nova configuração de cliente de atualizações de software estará disponível para permitir essas conexões. Para obter mais informações sobre as alterações para a verificação do WSUS, confira alterações de setembro de 2020 para melhorar a segurança dos dispositivos Windows que verificam o WSUS. Para garantir que os melhores protocolos de segurança estejam em vigor, é altamente recomendável usar o protocolo TLS/SSL para ajudar a proteger sua infraestrutura de atualização de software.

Relatórios de pontos de serviços

A função do sistema de site de ponto dos serviços de relatório pode exibir relatórios para atualizações de software. Essa função é opcional, mas recomendada. Para obter mais informações sobre como criar um ponto de serviços de relatório, consulte Configurando relatórios.

Quais atualizações são necessárias no WSUS 6.2 e 6.3?

Duas atualizações são necessárias para sincronizar a classificação de atualizações no WSUS 6.2 e 6.3. Ocasionalmente, você poderá ver um erro baixando ou implantando atualizações se elas forem sincronizadas antes de KB3095113 e KB3159706 serem instaladas. As informações sobre possíveis problemas estão na próxima seção.

• Você deve instalar o KB 3095113, lançado em outubro de 2015, em seus pontos de atualização de software e servidores de site antes de sincronizar a classificação de Atualizações .
  • Essa atualização habilita a classificação de Atualizações .
• Para atender Windows 10 ou clientes posteriores, você deve instalar e configurar 3159706 do KB. KB 3159706 foi lançado em maio de 2016.
  • Essa atualização permite que o WSUS descriptografe nativamente os arquivos usados para atualizar Windows 10 versão 1607 e posterior.

Importante

Os 3095113 do KB e os 3159706 de KB estão incluídos no Rollup de Qualidade Mensal de Segurança a partir de julho de 2017. Isso significa que você pode não ver o KB 3095113 e o KB 3159706 como atualizações instaladas, pois elas podem ter sido instaladas com uma rollup. No entanto, se você precisar de uma dessas atualizações, recomendamos instalar um Rollup de Qualidade Mensal de Segurança lançado após outubro de 2017, pois elas contêm uma atualização adicional do WSUS para diminuir a utilização de memória no serviço de teia de clientes do WSUS.

O download de atualizações do Windows falha com "Erro: assinatura de certificado inválida" ou 0xc1800118

As atualizações e o problema descritos nesta seção só se aplicam ao WSUS em execução em computadores Windows Server 2012 ou Windows Server 2012 R2 (WSUS 6.2 e 6.3). Normalmente, você só verá os problemas descritos nesta seção se instalou o WSUS antes de julho de 2017 e habilitou recentemente a classificação Upgrades . No entanto, também é possível ver esses problemas em outras situações.

Informações históricas sobre 3095113 do KB

O KB 3095113 foi lançado como um hotfix em outubro de 2015 para adicionar suporte para atualizações Windows 10 ao WSUS. A atualização permite que o WSUS sincronize e distribua atualizações na classificação de Atualizações para Windows.

Se você sincronizar quaisquer atualizações sem ter instalado primeiro o KB 3095113, você preencherá o SUSDB (banco de dados WSUS) com dados inutilizáveis. Esses dados devem ser limpos antes que as atualizações possam ser implantadas corretamente. As atualizações do Windows nesse estado não podem ser baixadas usando o Assistente de Baixar software Atualizações.

Erros semelhantes aos seguintes aparecem na página Conclusão do Assistente de Atualizações de Software de Download:

Error: Upgrade to Windows 10 Pro, version 1511, 10586
Failed to download content id {content_id}. Error: Invalid certificate signature

Além disso, erros semelhantes ao seguinte são registrados no arquivo PatchDownloader.log:

Download http://wsus.ds.b1.download.windowsupdate.com/d/upgr/2015/12/10586.0.151029-1700.th2_release_...esd...
Authentication of file C:\Users\{username}\AppData\Local\Temp\2\{temporary_filename}.tmp failed, error 0x800b0004
ERROR: DownloadContentFiles() failed with hr=0x80073633
# This log is truncated for readability.

Historicamente, quando esses erros ocorreram, eles seriam resolvidos fazendo uma versão modificada das etapas de resolução do WSUS. Como essas etapas são semelhantes à resolução para não executar as etapas manuais necessárias após a instalação do KB 3159706, combinamos ambos os conjuntos de etapas em uma única resolução na seção abaixo:

• Para se recuperar da sincronização das atualizações antes de instalar o KB 3095113 ou o KB 3159706.

Informações históricas sobre 3159706 do KB

O KB 3148812 foi lançado inicialmente em abril de 2016 para permitir que o WSUS descriptografe nativamente os arquivos .esd usados para atualizar pacotes Windows 10. O KB 3148812 causou problemas para alguns clientes e foi substituído por 3159706 do KB. O KB 3159706 precisa ser instalado em todos os seus pontos de atualização de software e servidores de site para que você possa atender Windows 10 versão 1607 e dispositivos posteriores. No entanto, problemas podem surgir se você não perceber que o KB requer as seguintes etapas manuais após a instalação:

1. De uma execução "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicingde prompt de comando elevada .
2. Reinicie o serviço WSUS em todos os servidores WSUS.

Se você não perceber que o KB 3159706 tinha etapas manuais após a instalação ou sincronizado nas atualizações antes de instalar o KB 3159706, você encontrará problemas ao se conectar ao console do WSUS e implantar a atualização, respectivamente. Quando um cliente baixava o arquivo de atualização, ele obtém um código de erro 0xC1800118 .

Como as etapas de resolução são semelhantes à resolução para sincronizar atualizações antes do KB 3095113 instalação, combinamos ambos os conjuntos de etapas em uma única resolução na próxima seção.

Para se recuperar da sincronização das atualizações antes de instalar o KB 3095113 ou o KB 3159706

Siga as etapas abaixo para resolve o erro 0xc1800118 e "Erro: assinatura de certificado inválida":

1. Desabilite a classificação Upgrades no WSUS e no Configuration Manager. Você não deseja que uma sincronização ocorra até que você seja direcionado por essas instruções.
   • Desmarque a classificação Atualizações nas propriedades do componente ponto de atualização de software no site de nível superior.
     • Para obter mais informações, consulte Configurar classificações e produtos.
   • Desmarque a classificação atualizações do WSUS em Produtos e Classificações na página Opções ou use o ISE do PowerShell em execução como administrador.

     Get-WsusClassification | Where-Object -FilterScript {$_.Classification.Title -Eq "Upgrades"} | Set-WsusClassification -Disable
     

     • Se você compartilhar o banco de dados WSUS entre vários servidores WSUS, só precisará desmarcar atualizações uma vez para cada banco de dados.
2. Em cada servidor WSUS, de uma execução de prompt de comando elevada: "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing. Em seguida, reinicie o serviço WSUS em todos os servidores WSUS.
   • O WSUS coloca o banco de dados no modo de usuário único antes de verificar se a manutenção é necessária. A manutenção é executada ou não é executada com base nos resultados do marcar. Em seguida, o banco de dados é colocado novamente no modo multiusuário.
   • Se você compartilhar o banco de dados WSUS entre vários servidores WSUS, só precisará fazer essa manutenção uma vez para cada banco de dados.
3. Exclua todas as atualizações Windows 10 de cada banco de dados WSUS usando o ISE do PowerShell em execução como administrador.

   [reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
   $wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer();
   $wsus.GetUpdates() | Where {$_.UpdateClassificationTitle -eq 'Upgrades' -and $_.Title -match 'Windows 10'} `
   | ForEach-Object {$wsus.DeleteUpdate($_.Id.UpdateId.ToString()); Write-Host $_.Title removed}
   

4. Exclua arquivos da tabela tbFile de cada um dos bancos de dados WSUS usados pelos pontos de atualização de software. No banco de dados WSUS, execute os seguintes comandos de SQL Server Management Studio:

   declare @NotNeededFiles table (FileDigest binary(20) UNIQUE)
   insert into @NotNeededFiles(FileDigest) (select FileDigest from tbFile where FileName like '%.esd%'  except select FileDigest from tbFileForRevision)
   delete from tbFileOnServer where FileDigest in (select FileDigest from @NotNeededFiles)
   delete from tbFile where FileDigest in (select FileDigest from @NotNeededFiles)
   

5. Inicie a sincronização de atualizações de software em seu site de nível superior no Configuration Manager e aguarde a conclusão. Ocorre uma sincronização completa porque fizemos uma alteração nas classificações Configuration Manager quando removemos Atualizações. (Para obter mais informações, consulte Sincronizar atualizações de software.
6. Selecione a classificação Atualizações nas propriedades do componente ponto de atualização de software. Em seguida, inicie outra sincronização de atualizações de software para trazer as Atualizações de volta ao WSUS e Configuration Manager. Você não precisa habilitar a classificação de Atualizações no WSUS, pois Configuration Manager fará isso por você.
7. Se seus clientes receberem o código de erro 0xC1800118 ao baixar uma atualização, você precisará excluir o armazenamento de dados usado pelo Agente Windows Update. Você também pode ter que excluir a pasta ~BT oculta no dispositivo. Na próxima vez que o cliente examinar, será uma verificação completa no servidor WSUS em vez de um delta. Você pode usar um script do PowerShell semelhante ao seguinte script de exemplo:

   stop-service wuauserv
   remove-item -path c:\windows\softwaredistribution\datastore -recurse -force
   # If the device has a hidden ~BT folder on the c drive, delete it too by uncommenting the next line.
   # remove-item -path c:\~BT -recurse -force
   start-service wuauserv
   

Próximas etapas

Preparar para o gerenciamento de atualizações de software