Požadavky na aktualizace softwaru v Configuration Manager

Platí pro: Configuration Manager (Current Branch)

Tento článek uvádí požadavky na aktualizace softwaru v Configuration Manager. Pro každý z požadavků jsou externí závislosti a interní závislosti uvedeny v samostatných tabulkách.

Závislosti aktualizací softwaru, které jsou externí pro Configuration Manager

Následující části obsahují seznam externích závislostí aktualizací softwaru.

Internetová informační služba

Aby bylo možné spustit bod aktualizace softwaru, bod správy a distribuční bod, musí být na serverech systému lokality nainstalována Internetová informační služba (IIS). Další informace najdete v tématu Požadavky pro role systému lokality.

Poznámka

• Pokud narazíte na chybu typu mimeMap a nejde přidat duplicitní položku kolekce, projděte si tipy pro řešení potíží se službou WSUS .

Windows Server Update Services

Windows Server Update Services (WSUS) je potřeba pro synchronizaci aktualizací softwaru a pro kontrolu použitelnosti aktualizací softwaru na klientech. Před vytvořením role bodu aktualizace softwaru musí být nainstalován server WSUS. Pro bod aktualizace softwaru jsou podporovány následující verze služby WSUS:

• WSUS 10.0.14393 (role v Windows Server 2016) (kumulativní aktualizace z 2023 nebo novější)
• WSUS 10.0.17763 (role ve Windows Serveru 2019) (vyžaduje Configuration Manager 1810 nebo novější) (kumulativní aktualizace z 2. 2. 2023 nebo novější kumulativní aktualizace)
• WSUS 10.0.20348 (role v systému Windows Server 2022) (kumulativní aktualizace z 2023 nebo novější kumulativní aktualizace)
• WSUS 6.2 a 6.3 (role v Windows Server 2012 a Windows Server 2012 R2) (kumulativní aktualizace z 3. 2023 nebo novější kumulativní aktualizace)
  • Pokud nasazujete upgrady Windows, potřebujete 3095113 KB a KB 3159706 (nebo ekvivalentní aktualizaci) pro WSUS 6.2 a 6.3.

Poznámka

• Od 28. března 2023 budou místní zařízení Windows 11 verze 22H2 dostávat aktualizace pro zvýšení kvality prostřednictvím platformy UUP (Unified Update Platform). Kumulativní aktualizace 2023-02 je nutností Pokud tyto aktualizace nemůžete nainstalovat, můžete požadované typy MIME pro UUP přidat na server WSUS ručně.
• Pokud máte v lokalitě více bodů aktualizace softwaru, ujistěte se, že všechny používají stejnou verzi služby WSUS.

Konzola pro správu služby WSUS

Konzola pro správu služby WSUS je na serveru lokality Configuration Manager vyžadována, pokud je bod aktualizace softwaru na vzdáleném serveru systému lokality a služba WSUS na serveru lokality ještě není nainstalovaná.

Důležité

• Verze služby WSUS na serveru lokality musí být stejná jako verze wsus spuštěná v bodech aktualizace softwaru.
• Ke konfiguraci nastavení SLUŽBY WSUS nepoužívejte Konzolu pro správu služby WSUS. Configuration Manager se připojí k instanci služby WSUS spuštěné v bodě aktualizace softwaru a nakonfiguruje příslušná nastavení.

služba Windows Update Agent

Klienti služba Windows Update Agent (WUA) se vyžadují u klientů, aby se mohli připojit k serveru WSUS. Wua načte seznam aktualizací softwaru, u které je potřeba zkontrolovat dodržování předpisů.

Při instalaci Configuration Manager se stáhne nejnovější verze wua. Potom se při instalaci klienta Configuration Manager v případě potřeby upgraduje služba WUA. Pokud se instalace nezdaří, musíte k upgradu wua použít jinou metodu.

Závislosti aktualizací softwaru, které jsou interní pro Configuration Manager

V následujících částech jsou uvedené interní závislosti aktualizací softwaru v Configuration Manager.

Body správy

Body správy přenášejí informace mezi klientskými počítači a Configuration Manager lokalitou. Body správy se vyžadují pro aktualizace softwaru.

Body aktualizace softwaru

Pokud chcete nasadit aktualizace softwaru v Configuration Manager, musíte na server WSUS nainstalovat bod aktualizace softwaru. Další informace najdete v tématu Instalace a konfigurace bodu aktualizace softwaru.

Distribuční body

Distribuční body se vyžadují k ukládání obsahu pro aktualizace softwaru. Další informace o instalaci distribučních bodů a správě obsahu najdete v tématu Správa obsahu a infrastruktury obsahu.

Nastavení klienta pro aktualizace softwaru

Aktualizace softwaru jsou pro klienty ve výchozím nastavení povolené. Existují i další dostupná nastavení, která určují, jak a kdy klienti vyhodnocují kompatibilitu aktualizací softwaru a řídí způsob instalace aktualizací softwaru.

Další informace najdete v následujících článcích:

• Nastavení klienta pro aktualizace softwaru

• Nastavení klienta aktualizací softwaru

Důležité

Od kumulativní aktualizace ze září 2020 budou servery WSUS založené na protokolu HTTP ve výchozím nastavení zabezpečené. Klient, který hledá aktualizace pro službu WSUS založenou na protokolu HTTP, už ve výchozím nastavení nebude moct využívat uživatelský proxy server. Pokud i přes kompromisy zabezpečení stále potřebujete uživatelský proxy server, je k dispozici nové nastavení klienta aktualizací softwaru , které tato připojení povolí. Další informace o změnách pro kontrolu služby WSUS najdete v tématu Změny ze září 2020, které zlepšují zabezpečení zařízení s Windows, která kontroluje WSUS. Pokud chcete zajistit, aby byly zavedeny nejlepší protokoly zabezpečení, důrazně doporučujeme použít protokol TLS/SSL k zabezpečení infrastruktury aktualizací softwaru.

Body služby Reporting Services

Role systému lokality bodu služby Reporting Services může zobrazovat sestavy pro aktualizace softwaru. Tato role je nepovinná, ale doporučuje se. Další informace o tom, jak vytvořit bod služby Reporting Services, najdete v tématu Konfigurace generování sestav.

Které aktualizace se vyžadují ve službě WSUS 6.2 a 6.3?

Pro synchronizaci klasifikace upgradů ve službě WSUS 6.2 a 6.3 se vyžadují dvě aktualizace. Někdy se může zobrazit chyba při stahování nebo nasazování upgradů, pokud se synchronizovaly před instalací aktualizací KB3095113 a KB3159706. Informace o možných problémech najdete v další části.

• Před synchronizací klasifikace upgradů musíte na body aktualizace softwaru a servery lokality nainstalovat kb 3095113 vydané v říjnu 2015.
  • Tato aktualizace povoluje klasifikaci Upgrady .
• Pokud chcete obsluhovat Windows 10 nebo novější klienty, musíte nainstalovat a nakonfigurovat 3159706 KB. KB 3159706 byl vydán v květnu 2016.
  • Tato aktualizace umožňuje službě WSUS nativně dešifrovat soubory používané k upgradu Windows 10 verze 1607 a novější.

Důležité

Měsíční kumulativní aktualizace zabezpečení pro zvýšení kvality od července 2017 zahrnuje 3095113 i KB 3159706. To znamená, že 3095113 KB a KB 3159706 se nemusí zobrazit jako nainstalované aktualizace, protože mohly být nainstalovány s kumulativní aktualizací. Pokud ale potřebujete některou z těchto aktualizací, doporučujeme nainstalovat měsíční kumulativní aktualizaci zabezpečení pro zvýšení kvality vydanou po říjnu 2017, protože obsahují další aktualizaci WSUS, která snižuje využití paměti v klientské webové službě WSUS.

Stahování upgradů windows selže s chybou Chyba: Neplatný podpis certifikátu nebo 0xc1800118

Aktualizace a problém popsaný v této části se týkají pouze služby WSUS spuštěné na počítačích Windows Server 2012 nebo Windows Server 2012 R2 (WSUS 6.2 a 6.3). Problémy popsané v této části se obvykle zobrazí pouze v případě, že jste službu WSUS nainstalovali před červencem 2017 a nedávno jste povolili klasifikaci Upgrady . Tyto problémy se ale můžou zobrazit i v jiných situacích.

Historické informace o 3095113 KB

KB 3095113byla vydána jako oprava hotfix v říjnu 2015, aby se přidala podpora pro Windows 10 upgrady na WSUS. Aktualizace umožňuje službě WSUS synchronizovat a distribuovat aktualizace v klasifikaci Upgrady pro Windows.

Pokud synchronizujete upgrady, aniž byste nejprve nainstalovali kb 3095113, naplníte databázi WSUS (SUSDB) nepoužitelnými daty. Před správným nasazením upgradů je nutné tato data vymazat. Upgrady Systému Windows v tomto stavu nelze stáhnout pomocí Průvodce stažením softwaru Aktualizace.

Chyby podobné následující se zobrazí na stránce Dokončení Průvodce stažením softwaru Aktualizace:

Error: Upgrade to Windows 10 Pro, version 1511, 10586
Failed to download content id {content_id}. Error: Invalid certificate signature

Kromě toho se v souboru PatchDownloader.log zaprotokolují chyby podobné následujícímu:

Download http://wsus.ds.b1.download.windowsupdate.com/d/upgr/2015/12/10586.0.151029-1700.th2_release_...esd...
Authentication of file C:\Users\{username}\AppData\Local\Temp\2\{temporary_filename}.tmp failed, error 0x800b0004
ERROR: DownloadContentFiles() failed with hr=0x80073633
# This log is truncated for readability.

Historicky platí, že pokud k těmto chybám došlo, byly vyřešeny upravenou verzí kroků řešení pro službu WSUS. Vzhledem k tomu, že se tyto kroky podobají řešení pro neprovozování ručních kroků požadovaných po instalaci kb 3159706, zkombinovali jsme obě sady kroků do jednoho řešení v následující části:

• Obnovení ze synchronizace upgradů před instalací 3159706 kb 3095113 nebo KB.

Historické informace o 3159706 KB

KB 3148812 byla původně vydána v dubnu 2016, aby služba WSUS mohla nativně dešifrovat soubory .esd používané k upgradu balíčků Windows 10. Kb 3148812 způsobovala problémy u některých zákazníků a nahradila ji 3159706 KB. Než budete moct obsluhovat zařízení Windows 10 verze 1607 a novější, musí být kb 3159706 nainstalovaná na všech bodech aktualizace softwaru a serverech lokality. K problémům ale může dojít, pokud si neuvědomíte, že znalostní báze po instalaci vyžaduje následující ruční kroky:

1. Z příkazového řádku se zvýšenými oprávněními spusťte příkaz "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing.
2. Restartujte službu WSUS na všech serverech WSUS.

Pokud si neuvědomíte, že kb 3159706 po instalaci provedly ruční kroky, nebo jste se synchronizovali v upgradech před instalací kb 3159706, narazili byste na problémy s připojením ke konzole wsus a nasazením upgradu. Když klient stáhl soubor upgradu, zobrazil se 0xC1800118 kód chyby.

Vzhledem k tomu, že postup řešení je podobný řešení pro synchronizaci upgradů před instalací kb 3095113, zkombinovali jsme obě sady kroků do jednoho řešení v další části.

Obnovení ze synchronizace upgradů před instalací 3095113 kb nebo kb 3159706

Při řešení chyby 0xc1800118 i chyby Chyba: Neplatný podpis certifikátu postupujte následovně:

1. Zakažte klasifikaci Upgrady ve službě WSUS i Configuration Manager. Nechcete, aby k synchronizaci docházelo, dokud vás tyto pokyny neodsměrují k této synchronizaci.
   • Zrušte zaškrtnutí políčka Klasifikace upgradů ve vlastnostech komponenty bodu aktualizace softwaru v lokalitě nejvyšší úrovně.
     • Další informace najdete v tématu Konfigurace klasifikací a produktů.
   • Zrušte zaškrtnutí políčka Upgrades classification from WSUS (Upgrades classification from WSUS) v části Products and Classifications (Produkty a klasifikace) na stránce Options (Možnosti) nebo použijte integrované skripty (ISE) PowerShellu spuštěné jako správce.

     Get-WsusClassification | Where-Object -FilterScript {$_.Classification.Title -Eq "Upgrades"} | Set-WsusClassification -Disable
     

     • Pokud sdílíte databázi SLUŽBY WSUS mezi několika servery WSUS, stačí zrušit zaškrtnutí políčka Upgradovat pro každou databázi jen jednou.
2. Na každém serveru WSUS spusťte z příkazového řádku se zvýšenými oprávněními příkaz : "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing. Pak restartujte službu WSUS na všech serverech WSUS.
   • Služba WSUS umístí databázi do režimu jednoho uživatele předtím, než zkontroluje, jestli je potřeba údržba. Údržba se buď spustí, nebo nespustí na základě výsledků kontroly. Pak se databáze vrátí do režimu pro více uživatelů.
   • Pokud sdílíte databázi WSUS mezi několika servery WSUS, stačí tuto údržbu provést pouze jednou pro každou databázi.
3. Odstraňte všechny upgrady Windows 10 z každé databáze WSUS pomocí prostředí PowerShell ISE spuštěného jako správce.

   [reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
   $wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer();
   $wsus.GetUpdates() | Where {$_.UpdateClassificationTitle -eq 'Upgrades' -and $_.Title -match 'Windows 10'} `
   | ForEach-Object {$wsus.DeleteUpdate($_.Id.UpdateId.ToString()); Write-Host $_.Title removed}
   

4. Odstraňte soubory z tabulky tbFile z každé databáze WSUS používané body aktualizace softwaru. V databázi WSUS spusťte z SQL Server Management Studio následující příkazy:

   declare @NotNeededFiles table (FileDigest binary(20) UNIQUE)
   insert into @NotNeededFiles(FileDigest) (select FileDigest from tbFile where FileName like '%.esd%'  except select FileDigest from tbFileForRevision)
   delete from tbFileOnServer where FileDigest in (select FileDigest from @NotNeededFiles)
   delete from tbFile where FileDigest in (select FileDigest from @NotNeededFiles)
   

5. Spusťte synchronizaci aktualizací softwaru v lokalitě nejvyšší úrovně v Configuration Manager a počkejte, až se dokončí. K úplné synchronizaci dochází, protože jsme provedli změnu klasifikací Configuration Manager při odebrání upgradů. (Další informace najdete v tématu Synchronizace aktualizací softwaru.
6. Ve vlastnostech součásti bodu aktualizace softwaru vyberte klasifikaci Upgrady . Potom spusťte další synchronizaci aktualizací softwaru, abyste upgrady přenesli zpět do služby WSUS a Configuration Manager. Klasifikaci Upgrady ve službě WSUS nemusíte povolovat, protože Configuration Manager to udělá za vás.
7. Pokud se vašim klientům při stahování upgradu zobrazil kód chyby 0xC1800118, budete muset odstranit úložiště dat používané agentem služba Windows Update. Možná také budete muset odstranit skrytou složku ~BT na zařízení. Při příští kontrole klienta se bude jednat o úplnou kontrolu serveru WSUS, nikoli o rozdílovou kontrolu. Můžete použít skript PowerShellu, který se podobá následujícímu ukázkovém skriptu:

   stop-service wuauserv
   remove-item -path c:\windows\softwaredistribution\datastore -recurse -force
   # If the device has a hidden ~BT folder on the c drive, delete it too by uncommenting the next line.
   # remove-item -path c:\~BT -recurse -force
   start-service wuauserv
   

Další kroky

Příprava správy aktualizací softwaru