Prerequisiti per gli aggiornamenti software in Configuration Manager

Si applica a: Configuration Manager (Current Branch)

Questo articolo elenca i prerequisiti per gli aggiornamenti software in Configuration Manager. Per ognuno dei prerequisiti, le dipendenze esterne e le dipendenze interne sono elencate in tabelle separate.

Dipendenze di aggiornamento software esterne a Configuration Manager

Le sezioni seguenti elencano le dipendenze esterne per gli aggiornamenti software.

Internet Information Services

Internet Information Services (IIS) deve essere installato nei server del sistema del sito per eseguire il punto di aggiornamento software, il punto di gestione e il punto di distribuzione. Per altre informazioni, vedere Prerequisiti per i ruoli del sistema del sito.

Nota

• Se non è possibile aggiungere una voce di raccolta duplicata di tipo 'mimeMap', vedere Suggerimenti per la risoluzione dei problemi di WSUS .

Windows Server Update Services

Windows Server Update Services (WSUS) è necessario per la sincronizzazione degli aggiornamenti software e per l'analisi dell'applicabilità degli aggiornamenti software nei client. Il server WSUS deve essere installato prima di creare il ruolo del punto di aggiornamento software. Le versioni seguenti di WSUS sono supportate per un punto di aggiornamento software:

• WSUS 10.0.14393 (ruolo in Windows Server 2016) (aggiornamento cumulativo 2023-02 o un aggiornamento cumulativo successivo)
• WSUS 10.0.17763 (ruolo in Windows Server 2019) (Richiede Configuration Manager 1810 o versioni successive) (aggiornamento cumulativo 2023-02 o un aggiornamento cumulativo successivo)
• WSUS 10.0.20348 (ruolo in Windows Server 2022) (aggiornamento cumulativo 2023-02 o un aggiornamento cumulativo successivo)
• WSUS 6.2 e 6.3 (ruolo in Windows Server 2012 e Windows Server 2012 R2) (aggiornamento cumulativo 2023-03 o un aggiornamento cumulativo successivo)
  • I 3159706 KB 3095113 e KB (o un aggiornamento equivalente) sono necessari per WSUS 6.2 e 6.3 se si distribuiscono gli aggiornamenti di Windows.

Nota

• A partire dal 28 marzo 2023, i dispositivi Windows 11 locali versione 22H2 riceveranno gli aggiornamenti qualitativi tramite UUP (Unified Update Platform), l'aggiornamento cumulativo 2023-02 è un must Se non è possibile installare questi aggiornamenti, è possibile aggiungere manualmente i tipi MIME necessari per UUP al server WSUS.
• Quando sono presenti più punti di aggiornamento software in un sito, assicurarsi che tutti eseguano la stessa versione di WSUS.

Console di amministrazione di WSUS

La console di amministrazione di WSUS è necessaria nel server del sito Configuration Manager quando il punto di aggiornamento software si trova in un server di sistema del sito remoto e WSUS non è già installato nel server del sito.

Importante

• La versione di WSUS nel server del sito deve essere la stessa della versione WSUS in esecuzione nei punti di aggiornamento software.
• Non usare la console di amministrazione di WSUS per configurare le impostazioni WSUS. Configuration Manager si connette all'istanza di WSUS in esecuzione nel punto di aggiornamento software e configura le impostazioni appropriate.

Agente di Windows Update

Il client dell'agente Windows Update (WUA) è necessario nei client in modo che possano connettersi al server WSUS. WUA recupera l'elenco degli aggiornamenti software che devono essere analizzati per la conformità.

Quando si installa Configuration Manager, viene scaricata la versione più recente di WUA. Quindi, quando si installa il client Configuration Manager, WUA viene aggiornato, se necessario. Se l'installazione non riesce, è necessario usare un metodo diverso per aggiornare WUA.

Dipendenze di aggiornamento software interne a Configuration Manager

Le sezioni seguenti elencano le dipendenze interne per gli aggiornamenti software in Configuration Manager.

Punti di gestione

I punti di gestione trasferiscono informazioni tra i computer client e il sito Configuration Manager. I punti di gestione sono necessari per gli aggiornamenti software.

Punti di aggiornamento software

È necessario installare un punto di aggiornamento software nel server WSUS per distribuire gli aggiornamenti software in Configuration Manager. Per altre informazioni, vedere Installare e configurare un punto di aggiornamento software.

Punti di distribuzione

I punti di distribuzione sono necessari per archiviare il contenuto per gli aggiornamenti software. Per altre informazioni su come installare i punti di distribuzione e gestire il contenuto, vedere Gestire il contenuto e l'infrastruttura del contenuto.

Impostazioni client per gli aggiornamenti software

Gli aggiornamenti software sono abilitati per i client per impostazione predefinita. Sono disponibili altre impostazioni che controllano come e quando i client valutano la conformità per gli aggiornamenti software e controllano il modo in cui vengono installati gli aggiornamenti software.

Per altre informazioni, vedere gli articoli seguenti:

• Impostazioni client per gli aggiornamenti software

• Aggiornamenti software delle impostazioni client

Importante

A partire dall'aggiornamento cumulativo di settembre 2020, i server WSUS basati su HTTP saranno protetti per impostazione predefinita. Per impostazione predefinita, un client che esegue l'analisi degli aggiornamenti in base a WSUS basato su HTTP non potrà più sfruttare un proxy utente. Se è ancora necessario un proxy utente nonostante i compromessi relativi alla sicurezza, è disponibile una nuova impostazione client degli aggiornamenti software per consentire queste connessioni. Per altre informazioni sulle modifiche per l'analisi di WSUS, vedere Modifiche di settembre 2020 per migliorare la sicurezza per i dispositivi Windows che analizzano WSUS. Per assicurarsi che siano presenti i protocolli di sicurezza migliori, è consigliabile usare il protocollo TLS/SSL per proteggere l'infrastruttura di aggiornamento software.

Punti di Reporting Services

Il ruolo del sistema del sito del punto di Reporting Services può visualizzare i report per gli aggiornamenti software. Questo ruolo è facoltativo ma consigliato. Per altre informazioni su come creare un punto di Reporting Services, vedere Configurazione dei report.

Quali aggiornamenti sono necessari in WSUS 6.2 e 6.3?

Sono necessari due aggiornamenti per la sincronizzazione della classificazione degli aggiornamenti in WSUS 6.2 e 6.3. In alcuni casi, potrebbe essere visualizzato un errore durante il download o la distribuzione degli aggiornamenti se sono stati sincronizzati prima dell'installazione di KB3095113 e KB3159706. Le informazioni sui possibili problemi sono disponibili nella sezione successiva.

• È necessario installare KB 3095113, rilasciato nell'ottobre 2015, nei punti di aggiornamento software e nei server del sito prima di sincronizzare la classificazione aggiornamenti .
  • Questo aggiornamento abilita la classificazione Aggiornamenti .
• Per gestire i client Windows 10 o versioni successive, è necessario installare e configurare 3159706 KB. KB 3159706 è stato rilasciato nel maggio 2016.
  • Questo aggiornamento consente a WSUS di decrittografare in modo nativo i file usati per l'aggiornamento Windows 10 versione 1607 e successive.

Importante

I 3159706 KB 3095113 e KB sono inclusi nel rollup qualità mensile della sicurezza a partire da luglio 2017. Ciò significa che potrebbero non essere visualizzati 3095113 KB e KB 3159706 come aggiornamenti installati perché potrebbero essere stati installati con un rollup. Tuttavia, se è necessario uno di questi aggiornamenti, è consigliabile installare un rollup di qualità mensile della sicurezza rilasciato dopo ottobre 2017 poiché contengono un aggiornamento WSUS aggiuntivo per ridurre l'utilizzo della memoria nel servizio client web di WSUS.

Il download degli aggiornamenti di Windows non riesce con "Errore: firma del certificato non valida" o 0xc1800118

Gli aggiornamenti e il problema descritti in questa sezione si applicano solo a WSUS in esecuzione in computer Windows Server 2012 o Windows Server 2012 R2 (WSUS 6.2 e 6.3). In genere, verranno visualizzati i problemi descritti in questa sezione solo se WSUS è stato installato prima di luglio 2017 e di recente è stata abilitata la classificazione Aggiornamenti . Tuttavia, è possibile vedere questi problemi anche in altre situazioni.

Informazioni cronologica sui 3095113 DELLA KNOWLEDGE BASE

KB 3095113 è stato rilasciato come hotfix nell'ottobre 2015 per aggiungere il supporto per gli aggiornamenti Windows 10 a WSUS. L'aggiornamento consente a WSUS di sincronizzare e distribuire gli aggiornamenti nella classificazione Aggiornamenti per Windows.

Se si sincronizzano gli aggiornamenti senza aver prima installato kb 3095113, popolare il database WSUS (SUSDB) con dati inutilizzabili. Tali dati devono essere cancellati prima che gli aggiornamenti possano essere distribuiti correttamente. Gli aggiornamenti di Windows in questo stato non possono essere scaricati tramite la Procedura guidata Scarica software Aggiornamenti.

Gli errori simili ai seguenti vengono visualizzati nella pagina Completamento della Procedura guidata Download software Aggiornamenti:

Error: Upgrade to Windows 10 Pro, version 1511, 10586
Failed to download content id {content_id}. Error: Invalid certificate signature

Inoltre, nel file PatchDownloader.log vengono registrati errori simili ai seguenti:

Download http://wsus.ds.b1.download.windowsupdate.com/d/upgr/2015/12/10586.0.151029-1700.th2_release_...esd...
Authentication of file C:\Users\{username}\AppData\Local\Temp\2\{temporary_filename}.tmp failed, error 0x800b0004
ERROR: DownloadContentFiles() failed with hr=0x80073633
# This log is truncated for readability.

In passato, quando si verificavano questi errori, questi errori sarebbero stati risolti eseguendo una versione modificata dei passaggi di risoluzione per WSUS. Poiché questi passaggi sono simili alla risoluzione per non eseguire i passaggi manuali necessari dopo l'installazione di KB 3159706, entrambi i set di passaggi sono stati combinati in un'unica risoluzione nella sezione seguente:

• Per eseguire il ripristino dalla sincronizzazione degli aggiornamenti prima di installare kb 3095113 o KB 3159706.

Informazioni cronologica sui 3159706 KB

KB 3148812 è stato rilasciato inizialmente nell'aprile 2016 per consentire a WSUS di decrittografare in modo nativo i file con estensione esd usati per l'aggiornamento dei pacchetti Windows 10. KB 3148812 causato problemi per alcuni clienti ed è stato sostituito con KB 3159706. KB 3159706 deve essere installato in tutti i punti di aggiornamento software e nei server del sito prima di poter gestire Windows 10 dispositivi versione 1607 e successive. Tuttavia, possono verificarsi problemi se non si è consapevoli che la knowledge base richiede i passaggi manuali seguenti dopo l'installazione:

1. Da un prompt dei comandi con privilegi elevati eseguire "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing.
2. Riavviare il servizio WSUS in tutti i server WSUS.

Se non ci si rende conto che kb 3159706 aveva passaggi manuali dopo l'installazione o si sincronizza negli aggiornamenti prima di installare kb 3159706, si verificano problemi di connessione alla console WSUS e distribuzione dell'aggiornamento rispettivamente. Quando un client scarica il file di aggiornamento, ottiene un codice di errore 0xC1800118 .

Poiché i passaggi di risoluzione sono simili alla risoluzione per la sincronizzazione degli aggiornamenti prima dell'installazione di KB 3095113, entrambi i set di passaggi sono stati combinati in un'unica risoluzione nella sezione successiva.

Per eseguire il ripristino dalla sincronizzazione degli aggiornamenti prima di installare kb 3095113 o KB 3159706

Seguire la procedura seguente per risolvere sia l'errore 0xc1800118 che "Errore: Firma del certificato non valida":

1. Disabilitare la classificazione Aggiornamenti sia in WSUS che in Configuration Manager. Non si vuole che venga eseguita una sincronizzazione fino a quando non si viene indirizzati a da queste istruzioni.
   • Deselezionare la classificazione Aggiornamenti nelle proprietà del componente del punto di aggiornamento software nel sito di primo livello.
     • Per altre informazioni, vedere Configurare classificazioni e prodotti.
   • Deselezionare la classificazione Aggiornamenti da WSUS in Prodotti e classificazioni nella pagina Opzioni oppure usare PowerShell ISE in esecuzione come amministratore.

     Get-WsusClassification | Where-Object -FilterScript {$_.Classification.Title -Eq "Upgrades"} | Set-WsusClassification -Disable
     

     • Se si condivide il database WSUS tra più server WSUS, è necessario deselezionare gli aggiornamenti una sola volta per ogni database.
2. In ogni server WSUS, da un prompt dei comandi con privilegi elevati eseguire: "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing. Riavviare quindi il servizio WSUS in tutti i server WSUS.
   • WSUS inserisce il database in modalità utente singolo prima di controllare se è necessaria la manutenzione. La manutenzione viene eseguita o non viene eseguita in base ai risultati del controllo. Il database viene quindi reinserto in modalitàmultio.
   • Se si condivide il database WSUS tra più server WSUS, è necessario eseguire questa manutenzione una sola volta per ogni database.
3. Eliminare tutti gli aggiornamenti Windows 10 da ogni database WSUS usando PowerShell ISE in esecuzione come amministratore.

   [reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
   $wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer();
   $wsus.GetUpdates() | Where {$_.UpdateClassificationTitle -eq 'Upgrades' -and $_.Title -match 'Windows 10'} `
   | ForEach-Object {$wsus.DeleteUpdate($_.Id.UpdateId.ToString()); Write-Host $_.Title removed}
   

4. Eliminare i file dalla tabella tbFile da ognuno dei database WSUS usati dai punti di aggiornamento software. Nel database WSUS eseguire i comandi seguenti da SQL Server Management Studio:

   declare @NotNeededFiles table (FileDigest binary(20) UNIQUE)
   insert into @NotNeededFiles(FileDigest) (select FileDigest from tbFile where FileName like '%.esd%'  except select FileDigest from tbFileForRevision)
   delete from tbFileOnServer where FileDigest in (select FileDigest from @NotNeededFiles)
   delete from tbFile where FileDigest in (select FileDigest from @NotNeededFiles)
   

5. Avviare la sincronizzazione degli aggiornamenti software nel sito di primo livello in Configuration Manager e attendere il completamento. Si verifica una sincronizzazione completa perché è stata apportata una modifica alle classificazioni Configuration Manager quando sono stati rimossi gli aggiornamenti. Per altre informazioni, vedere Sincronizzare gli aggiornamenti software.
6. Selezionare la classificazione Aggiornamenti nelle proprietà del componente del punto di aggiornamento software. Avviare quindi un'altra sincronizzazione degli aggiornamenti software per riportare gli aggiornamenti in WSUS e Configuration Manager. Non è necessario abilitare la classificazione Aggiornamenti in WSUS perché Configuration Manager lo farà automaticamente.
7. Se i client hanno ricevuto il codice di errore 0xC1800118 durante il download di un aggiornamento, sarà necessario eliminare l'archivio dati usato dall'agente Windows Update. Potrebbe anche essere necessario eliminare la cartella ~BT nascosta nel dispositivo. La prossima volta che il client esegue l'analisi, si tratta di un'analisi completa sul server WSUS anziché su un delta. È possibile usare uno script di PowerShell simile allo script di esempio seguente:

   stop-service wuauserv
   remove-item -path c:\windows\softwaredistribution\datastore -recurse -force
   # If the device has a hidden ~BT folder on the c drive, delete it too by uncommenting the next line.
   # remove-item -path c:\~BT -recurse -force
   start-service wuauserv
   

Passaggi successivi

Prepararsi per la gestione degli aggiornamenti software