Configuration Manager中软件更新的先决条件

适用于: Configuration Manager(current branch)

本文列出了Configuration Manager中软件更新的先决条件。 对于每个先决条件，外部依赖项和内部依赖项在单独的表中列出。

外部Configuration Manager的软件更新依赖项

以下部分列出了软件更新的外部依赖项。

Internet Information Services

必须在站点系统服务器上安装 Internet Information Services (IIS) 才能运行软件更新点、管理点和分发点。 有关详细信息，请参阅 站点系统角色的先决条件。

注意

• 如果遇到无法添加“mimeMap”类型的重复集合项错误，请参阅 WSUS 故障排除 提示。

Windows Server Update Services

Windows Server Update Services (WSUS) 是软件更新同步和客户端上的软件更新适用性扫描所必需的。 在创建软件更新点角色之前，必须安装 WSUS 服务器。 软件更新点支持以下版本的 WSUS：

• WSUS 10.0.14393 (角色Windows Server 2016) (2023-02 累积更新或更高版本的累积更新)
• Windows Server 2019) (中的 WSUS 10.0.17763 (角色需要Configuration Manager 1810 或更高版本) (2023-02 累积更新或更高版本的累积更新)
• WSUS 10.0.20348 (Windows Server 2022) (2023-02 累积更新或更高版本的累积更新)
• WSUS 6.2 和 6.3 (角色Windows Server 2012和Windows Server 2012 R2) (2023-03 累积更新或更高版本的累积更新)
  • 如果部署 Windows 升级，则 WSUS 6.2 和 6.3 需要 KB 3095113 和 KB 3159706 (或等效的更新) 。

注意

• 从 2023 年 3 月 28 日开始，本地Windows 11版本 22H2 设备将通过统一更新平台 (UUP) 接收质量更新，2023-02 累积更新是必需的 如果无法安装这些更新，可以手动将 UUP 所需的 MIME 类型添加到 WSUS 服务器。
• 如果站点中有多个软件更新点，请确保它们都运行相同版本的 WSUS。

WSUS 管理控制台

当软件更新点位于远程站点系统服务器上且站点服务器上尚未安装 WSUS 时，Configuration Manager站点服务器上需要 WSUS 管理控制台。

重要

• 站点服务器上的 WSUS 版本必须与软件更新点上运行的 WSUS 版本相同。
• 请勿使用 WSUS 管理控制台配置 WSUS 设置。 Configuration Manager连接到软件更新点上运行的 WSUS 实例，并配置相应的设置。

Windows Update 代理

客户端上需要 Windows 更新 代理 (WUA) 客户端，以便它们可以连接到 WSUS 服务器。 WUA 检索必须扫描的软件更新列表，以确保符合性。

安装 Configuration Manager 时，将下载最新版本的 WUA。 然后，在安装 Configuration Manager 客户端时，会根据需要升级 WUA。 如果安装失败，则必须使用其他方法来升级 WUA。

Configuration Manager内部的软件更新依赖项

以下部分列出了 Configuration Manager 中软件更新的内部依赖项。

管理点

管理点在客户端计算机与Configuration Manager站点之间传输信息。 软件更新需要管理点。

软件更新点

必须在 WSUS 服务器上安装软件更新点，才能在 Configuration Manager 中部署软件更新。 有关详细信息，请参阅 安装和配置软件更新点。

分发点

需要分发点来存储软件更新的内容。 有关如何安装分发点和管理内容的详细信息，请参阅 管理内容和内容基础结构。

软件更新的客户端设置

默认情况下，会为客户端启用软件更新。 还有其他可用的设置控制客户端评估软件更新符合性的方式和时间，以及控制软件更新的安装方式。

有关详细信息，请参阅以下文章：

• 软件更新的客户端设置

• 软件更新客户端设置

重要

从 2020 年 9 月累积更新开始，基于 HTTP 的 WSUS 服务器默认是安全的。 默认情况下，不再允许客户端针对基于 HTTP 的 WSUS 扫描更新，以利用用户代理。 如果尽管存在安全权衡，但仍需要用户代理，可以使用新的 软件更新客户端设置 来允许这些连接。 有关扫描 WSUS 的更改的详细信息，请参阅 2020 年 9 月更改以提高扫描 WSUS 的 Windows 设备的安全性。 为确保最佳安全协议到位，强烈建议使用 TLS/SSL 协议来帮助 保护软件更新基础结构。

Reporting Services 点

Reporting Services 点站点系统角色可以显示软件更新报表。 此角色是可选的，但建议使用。 有关如何创建 Reporting Services 点的详细信息，请参阅 配置报表。

WSUS 6.2 和 6.3 需要哪些更新？

在 WSUS 6.2 和 6.3 中同步 升级 分类需要两个更新。 有时，如果在安装 KB3095113 和 KB3159706 之前同步升级，则下载或部署升级时可能会看到错误。 有关可能问题的信息将位于下一部分。

• 在同步升级分类之前，必须在软件更新点和站点服务器上安装 2015 年 10 月发布的 KB 3095113。
  • 此更新启用 升级 分类。
• 若要为Windows 10或更高版本的客户端提供服务，必须安装和配置 KB 3159706。 KB 3159706于 2016 年 5 月发布。
  • 此更新使 WSUS 能够本机解密用于升级Windows 10版本 1607 及更高版本的文件。

重要

从 2017 年 7 月开始 的“安全质量月度汇总 ”中包括 KB 3095113 和 KB 3159706。 这意味着你可能看不到 KB 3095113 和 KB 3159706作为已安装的更新，因为它们可能已安装汇总。 但是，如果需要其中任一更新，我们建议安装 2017 年 10 月之后发布的 安全质量月度汇总， 因为它们包含额外的 WSUS 更新，以降低 WSUS 的 clientwebservice 上的内存利用率。

下载 Windows 升级失败，出现“错误：证书签名无效”或0xc1800118

本部分所述的更新和问题仅适用于在 WSUS 6.2 和 6.3) (Windows Server 2012 或 Windows Server 2012 R2 计算机上运行的 WSUS。 通常，如果你在 2017 年 7 月之前安装了 WSUS 并且最近启用了 升级 分类，则只会看到本节中所述的问题。 但是，在其他情况下也可能会看到这些问题。

有关 KB 3095113的历史信息

KB 3095113已于 2015 年 10 月作为修补程序发布，以添加对 WSUS Windows 10升级的支持。 此更新使 WSUS 能够同步和分发 Windows 升级 分类中的更新。

如果在未先安装 KB 3095113的情况下同步任何升级，则会使用不可用的数据 (SUSDB) 填充 WSUS 数据库。 必须先清除该数据，然后才能正确部署升级。 无法使用下载软件汇报向导下载处于此状态的 Windows 升级。

类似于以下内容的错误显示在下载软件汇报向导的“完成”页上：

Error: Upgrade to Windows 10 Pro, version 1511, 10586
Failed to download content id {content_id}. Error: Invalid certificate signature

此外，PatchDownloader.log 文件中记录了如下所示的错误：

Download http://wsus.ds.b1.download.windowsupdate.com/d/upgr/2015/12/10586.0.151029-1700.th2_release_...esd...
Authentication of file C:\Users\{username}\AppData\Local\Temp\2\{temporary_filename}.tmp failed, error 0x800b0004
ERROR: DownloadContentFiles() failed with hr=0x80073633
# This log is truncated for readability.

从历史上看，当发生这些错误时，可以通过执行 WSUS 的解决步骤的修改版本来解决这些错误。 由于这些步骤类似于在 KB 3159706安装后不执行所需手动步骤的解决方案，因此我们在以下部分中将这两组步骤合并为一个解决方法：

• 在安装 KB 3095113 或 KB 3159706之前恢复同步升级。

有关 KB 3159706 的历史信息

KB 3148812最初于 2016 年 4 月发布，使 WSUS 能够本机解密用于升级Windows 10包的 .esd 文件。 KB 3148812给一些客户带来了问题 ，并替换为 KB 3159706。 需要在所有软件更新点和站点服务器上安装 KB 3159706，然后才能Windows 10版本 1607 及更高版本的设备提供服务。 但是，如果未意识到 KB 在安装后需要执行以下手动步骤，则可能会出现问题：

1. 在提升的命令提示符下运行 "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing。
2. 在所有 WSUS 服务器上重启 WSUS 服务。

如果在安装后没有意识到 KB 3159706具有手动步骤，或者在安装 KB 3159706 之前在升级中同步，则连接到 WSUS 控制台和部署升级时会遇到问题。 客户端下载升级文件时，会收到 0xC1800118 错误代码。

由于解决步骤类似于在安装 KB 3095113 之前同步升级的解决方法，因此我们在下一部分将这两组步骤合并为一个解决方案。

在安装 KB 3095113 或 KB 3159706之前从同步升级中恢复

请按照以下步骤解决0xc1800118错误和“错误：证书签名无效”：

1. 在 WSUS 和 Configuration Manager中禁用升级分类。 在按照这些说明进行定向之前，你不希望同步发生。
   • 取消选中顶级站点上的软件更新点组件属性中的 升级 分类。
     • 有关详细信息，请参阅 配置分类和产品。
   • 取消选中“选项”页上“产品和分类”下的“从 WSUS 升级分类”，或使用以管理员身份运行的 PowerShell ISE。

     Get-WsusClassification | Where-Object -FilterScript {$_.Classification.Title -Eq "Upgrades"} | Set-WsusClassification -Disable
     

     • 如果在多个 WSUS 服务器之间共享 WSUS 数据库，则只需为每个数据库取消选中一次 升级 。
2. 在每个 WSUS 服务器上，从提升的命令提示符运行： "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing。 然后，在所有 WSUS 服务器上重启 WSUS 服务。
   • WSUS 先将数据库置于 单用户模式 ，然后检查是否需要维护。 服务要么运行，要么不基于检查的结果运行。 然后，数据库将重新置于多用户模式。
   • 如果在多个 WSUS 服务器之间共享 WSUS 数据库，则只需为每个数据库执行一次此服务。
3. 使用以管理员身份运行的 PowerShell ISE 从每个 WSUS 数据库删除所有Windows 10升级。

   [reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
   $wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer();
   $wsus.GetUpdates() | Where {$_.UpdateClassificationTitle -eq 'Upgrades' -and $_.Title -match 'Windows 10'} `
   | ForEach-Object {$wsus.DeleteUpdate($_.Id.UpdateId.ToString()); Write-Host $_.Title removed}
   

4. 从软件更新点使用的每个 WSUS 数据库中删除 tbFile 表中的文件。 在 WSUS 数据库上，从 SQL Server Management Studio 运行以下命令：

   declare @NotNeededFiles table (FileDigest binary(20) UNIQUE)
   insert into @NotNeededFiles(FileDigest) (select FileDigest from tbFile where FileName like '%.esd%'  except select FileDigest from tbFileForRevision)
   delete from tbFileOnServer where FileDigest in (select FileDigest from @NotNeededFiles)
   delete from tbFile where FileDigest in (select FileDigest from @NotNeededFiles)
   

5. 在 Configuration Manager 的顶级站点上启动软件更新同步，并等待完成。 发生完全同步是因为我们在删除升级时对分类Configuration Manager进行了更改。 (有关详细信息，请参阅 同步软件更新。
6. 在软件更新点组件属性中选择“ 升级 ”分类。 然后，启动另一个软件更新同步，将升级重新引入 WSUS 并Configuration Manager。 无需在 WSUS 中启用升级分类，因为Configuration Manager会为你启用升级分类。
7. 如果客户端在下载升级时收到0xC1800118错误代码，则需要删除 Windows 更新 代理使用的数据存储。 可能还需要删除设备上隐藏的 ~BT 文件夹。 下次客户端扫描时，它将针对 WSUS 服务器进行完整扫描，而不是增量扫描。 可以使用类似于以下示例脚本的 PowerShell 脚本：

   stop-service wuauserv
   remove-item -path c:\windows\softwaredistribution\datastore -recurse -force
   # If the device has a hidden ~BT folder on the c drive, delete it too by uncommenting the next line.
   # remove-item -path c:\~BT -recurse -force
   start-service wuauserv
   

后续步骤

准备软件更新管理