Pré-requisitos para atualizações de software no Gestor de Configuração

Aplica-se a: Configuration Manager (ramo atual)

Este artigo lista os pré-requisitos para atualizações de software no Gestor de Configuração. Para cada um dos pré-requisitos, as dependências externas e dependências internas são listadas em tabelas separadas.

Dependências de atualização de software que são externas ao Gestor de Configuração

As secções seguintes listam as dependências externas para atualizações de software.

Internet Information Services

Serviços de Informação Internet (IIS) devem ser instalados nos servidores do sistema de site para executar o ponto de atualização do software, o ponto de gestão e o ponto de distribuição. Para obter mais informações, veja Pré-requisitos das funções do sistema de sites.

Windows Server Update Services

Windows Server Update Services (WSUS) é necessário para a sincronização de atualizações de software e para a aplicabilidade das atualizações de software nos clientes. O servidor WSUS tem de ser instalado antes de criar a função de ponto de atualização do software. As seguintes versões da WSUS são suportadas para um ponto de atualização de software:

• WSUS 10.0.14393 (papel na Windows Server 2016)
• WSUS 10.0.17763 (função no Windows Server 2019) (Requer o Gestor de Configuração 1810 ou mais tarde)
• WSUS 6.2 e 6.3 (papel na Windows Server 2012 e Windows Server 2012 R2)
  • KB 3095113 e KB 3159706 (ou uma atualização equivalente) são necessários para as WSUS 6.2 e 6.3 se implementar Windows 10 atualizações.

Nota

• Quando tiver vários pontos de atualização de software num site, certifique-se de que todos estão a executar a mesma versão da WSUS.

Consola de Administração do WSUS

A Consola de Administração WSUS é necessária no servidor do site do Gestor de Configuração quando o ponto de atualização do software está num servidor de sistema de site remoto e o WSUS ainda não está instalado no servidor do site.

Importante

• A versão WSUS no servidor do site deve ser a mesma que a versão WSUS que está a ser executada nos pontos de atualização do software.
• Não utilize a consola de administração WSUS para configurar as definições WSUS. O Gestor de Configuração conecta-se à instância do WSUS que está a ser executada no ponto de atualização do software e configura as definições apropriadas.

Windows Update Agent

O cliente Windows Update Agent (WUA) é necessário para os clientes para que possam ligar-se ao servidor WSUS. A WUA recupera a lista de atualizações de software que devem ser digitalizadas para conformidade.

Quando instala o Gestor de Configuração, a versão mais recente do WUA é descarregada. Em seguida, quando instala o cliente Gestor de Configuração, a WUA é atualizada se necessário. Se a instalação falhar, deve utilizar um método diferente para atualizar a WUA.

Dependências de atualização de software que são internas para o Gestor de Configuração

As secções seguintes listam as dependências internas para atualizações de software no Gestor de Configuração.

Pontos de gestão

Os pontos de gestão transferem informação entre computadores clientes e o site do Gestor de Configuração. Os pontos de gestão são necessários para atualizações de software.

Pontos de atualização de software

Tem de instalar um ponto de atualização de software no servidor WSUS para implementar atualizações de software no Gestor de Configurações. Para obter mais informações, consulte instalar e configurar um ponto de atualização de software.

Pontos de distribuição

Os pontos de distribuição são necessários para armazenar o conteúdo para atualizações de software. Para obter mais informações sobre como instalar pontos de distribuição e gerir conteúdos, consulte Gerir conteúdos e infraestruturas de conteúdos.

Definições de cliente para atualizações de software

As atualizações de software são ativadas para clientes por padrão. Existem outras definições disponíveis que controlam como e quando os clientes avaliam a conformidade com as atualizações do software e controlam a forma como as atualizações de software são instaladas.

Para obter mais informações, veja os seguintes artigos:

• Definições de cliente para atualizações de software

• Software atualiza as definições do cliente

Importante

A partir da atualização cumulativa de setembro de 2020, os servidores WSUS baseados em HTTP estarão seguros por padrão. Um cliente que procure atualizações contra uma WSUS baseada em HTTP deixará de ser autorizado a alavancar um representante do utilizador por padrão. Se ainda necessitar de um representante do utilizador apesar das compensações de segurança, está disponível uma nova definição de cliente de atualizações de software para permitir estas ligações. Para obter mais informações sobre as alterações à varredura da WSUS, consulte as alterações de setembro de 2020 para melhorar a segurança dos dispositivos Windows que estão a digitalizar a WSUS. Para garantir que os melhores protocolos de segurança estão em vigor, recomendamos vivamente que utilize o protocolo TLS/SSL para ajudar a proteger a sua infraestrutura de atualização de software.

Pontos do Reporting Services

A função do sistema de sites do ponto do Reporting Services pode apresentar relatórios de atualizações de software. Este papel é opcional, mas recomendado. Para obter mais informações sobre como criar um ponto de serviços de reporte, consulte relatórios de configuração.

Quais as atualizações necessárias na WSUS 6.2 e 6.3?

São necessárias duas atualizações para sincronizar a classificação de Upgrades na WSUS 6.2 e 6.3. Ocasionalmente, poderá ver um erro a descarregar ou a implementar atualizações se sincronizarem antes da instalação de KB3095113 e KBB3159706. A informação sobre possíveis problemas está na secção seguinte.

• Tem de instalar o KB 3095113, lançado em outubro de 2015, nos pontos de atualização do software e nos servidores do site antes de sincronizar a classificação de Upgrades.
  • Esta atualização permite a classificação de Upgrades.
• Para o serviço Windows 10 versão 1607 e posterior, tem de instalar e configurar o KB 3159706. KB 3159706 foi lançado em maio de 2016.
  • Esta atualização permite à WSUS desencriptar de forma nativa os ficheiros utilizados para atualizar Windows 10 versão 1607 e posteriormente.

Importante

Tanto o KB 3095113 como o KB 3159706 estão incluídos no Rollup de Qualidade Mensal de Segurança a partir de julho de 2017. Isto significa que pode não ver o KB 3095113 e o KB 3159706 como atualizações instaladas, uma vez que podem ter sido instaladas com um rollup. No entanto, se precisar de qualquer uma destas atualizações, recomendamos a instalação de um Rollup de Qualidade Mensal de Segurança lançado após outubro de 2017, uma vez que contêm uma atualização adicional da WSUS para diminuir a utilização da memória no serviço de clientes da WSUS.

O download de atualizações de Windows 10 falha com "Erro: Assinatura de certificado inválido" ou 0xc1800118

As atualizações e a emissão descritas nesta secção aplicam-se apenas às WSUS em funcionamento nas máquinas Windows Server 2012 ou Windows Server 2012 R2 (WSUS 6.2 e 6.3). Normalmente, só verá os problemas descritos nesta secção se instalou o WSUS antes de julho de 2017 e recentemente ativou a classificação de Upgrades. No entanto, é possível ver estas questões em outras situações também.

Informação histórica sobre o KB 3095113

O KB 3095113 foi lançado como hotfix em outubro de 2015 para adicionar suporte para upgrades de Windows 10 para a WSUS. A atualização permite à WSUS sincronizar e distribuir atualizações na classificação de Upgrades para Windows 10.

Se sincronizar quaisquer atualizações sem ter instalado primeiro o KB 3095113,preenche a base de dados WSUS (SUSDB) com dados inutilizáveis. Esses dados devem ser limpos antes de as atualizações poderem ser corretamente implementadas. Windows 10 atualizações neste estado não podem ser descarregadas utilizando o Assistente de Atualizações de Software de Descarregamento.

Erros que se assemelham à página de Conclusão do Assistente de Atualizações de Software de Descarregamento:

Error: Upgrade to Windows 10 Pro, version 1511, 10586
Failed to download content id {content_id}. Error: Invalid certificate signature

Além disso, os erros que se assemelham ao seguinte são registados no ficheiro PatchDownloader.log:

Download http://wsus.ds.b1.download.windowsupdate.com/d/upgr/2015/12/10586.0.151029-1700.th2_release_...esd...
Authentication of file C:\Users\{username}\AppData\Local\Temp\2\{temporary_filename}.tmp failed, error 0x800b0004
ERROR: DownloadContentFiles() failed with hr=0x80073633
# This log is truncated for readability.

Historicamente, quando estes erros ocorreram, seriam resolvidos através de uma versão modificada das etapas de resolução para a WSUS. Como estes passos são semelhantes à resolução para não fazer os passos manuais necessários após a instalação do KB 3159706, combinamos ambos os conjuntos de passos numa única resolução na secção abaixo:

• Para recuperar da sincronização das atualizações antes de instalar 3095113 3159706 KB ou KB.

Informação histórica sobre o KB 3159706

O KB 3148812 foi lançado inicialmente em abril de 2016 para permitir à WSUS desencriptar de forma nativa os ficheiros .esd usados para atualizar pacotes de Windows 10. O KB 3148812 causou problemas a alguns clientes e foi substituído por 3159706 KB. O KB 3159706 precisa de ser instalado em todos os pontos de atualização do seu software e servidores de sites antes de poder ser reparado Windows 10 versão 1607 e dispositivos posteriores. No entanto, podem surgir problemas se não perceber que o KB requer os seguintes passos manuais após a instalação:

1. A partir de uma corrida rápida de comando elevada "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing .
2. Reinicie o serviço WSUS em todos os servidores WSUS.

Se não se aperceber que o KB 3159706 teve passos manuais após a instalação, ou sincronizado na atualização para Windows 10 1607 antes de instalar o KB 3159706, iria encontrar problemas ligados à consola WSUS e implantando a atualização respectivamente. Quando um cliente descarregou o ficheiro de atualização, obteria um código de erro 0xC1800118.

Como os passos de resolução são semelhantes à resolução para sincronizar atualizações antes da instalação do KB 3095113, combinamos ambos os conjuntos de passos numa única resolução na secção seguinte.

Para recuperar da sincronização das atualizações antes de instalar o KB 3095113 ou kb 3159706

Siga os passos abaixo para resolver tanto o erro 0xc1800118 como "Erro: Assinatura de certificado inválido":

1. Desative a classificação de Upgrades tanto na WSUS como no Gestor de Configuração. Não quer que ocorra uma sincronização até que seja direcionado para estas instruções.
   • Desmarque a classificação de Upgrades nas propriedades componentes do ponto de atualização do software no site de nível superior.
     • Para mais informações, consulte classificações e produtos configure.
   • Desmarque a classificação de Upgrades da WSUS em Produtos e Classificações na página Opções,ou utilize o PowerShell ISE em execução como administrador.

     Get-WsusClassification | Where-Object -FilterScript {$_.Classification.Title -Eq "Upgrades"} | Set-WsusClassification -Disable
     

     • Se partilhar a base de dados WSUS entre vários servidores WSUS, só precisa de desmarcar as atualizações uma vez para cada base de dados.
2. Em cada servidor WSUS, a partir de uma execução de pedido de comando elevado: "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing . Em seguida, reinicie o serviço WSUS em todos os servidores WSUS.
   • A WSUS coloca a base de dados num único modo de utilizador antes de verificar se é necessário fazer assistência. A manutenção ou funciona ou não funciona com base nos resultados da verificação. Em seguida, a base de dados é colocada novamente no modo multiutilizador.
   • Se partilhar a base de dados WSUS entre vários servidores WSUS, só precisa de fazer este serviço uma vez para cada base de dados.
3. Elimine todas as atualizações Windows 10 de cada base de dados WSUS utilizando o PowerShell ISE em execução como administrador.

   [reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
   $wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer();
   $wsus.GetUpdates() | Where {$_.UpdateClassificationTitle -eq 'Upgrades' -and $_.Title -match 'Windows 10'} `
   | ForEach-Object {$wsus.DeleteUpdate($_.Id.UpdateId.ToString()); Write-Host $_.Title removed}
   

4. Elimine os ficheiros da tabela TbFile de cada uma das bases de dados WSUS utilizadas pelos pontos de atualização do seu software. Na base de dados WSUS, execute os seguintes comandos a partir de SQL Server Management Studio:

   declare @NotNeededFiles table (FileDigest binary(20) UNIQUE)
   insert into @NotNeededFiles(FileDigest) (select FileDigest from tbFile where FileName like '%.esd%'  except select FileDigest from tbFileForRevision)
   delete from tbFileOnServer where FileDigest in (select FileDigest from @NotNeededFiles)
   delete from tbFile where FileDigest in (select FileDigest from @NotNeededFiles)
   

5. Inicie a sincronização de atualizações de software no seu site de nível superior no Gestor de Configuração e aguarde que esteja concluída. Uma sincronização completa ocorre porque fizemos uma alteração ao Gestor de Configurações de classificações quando removemos upgrades. (Para obter mais informações, consulte atualizações de software sincronizadas.
6. Selecione a classificação de Upgrades nas propriedades componentes do ponto de atualização do software. Em seguida, inicie outra sincronização de atualizações de software para trazer as Atualizações de volta para wSUS e Gestor de Configuração. Não precisa de ativar a classificação de Upgrades na WSUS, uma vez que o Gestor de Configuração o fará por si.
7. Se os seus clientes receberam o código de erro 0xC1800118 ao descarregar uma atualização, terá de eliminar a loja de dados utilizada pelo Agente de Atualização Windows. Também pode ter de eliminar a pasta ~BT escondida no dispositivo. Da próxima vez que o cliente digitalizar, será uma varredura completa contra o servidor WSUS em vez de um delta. Pode utilizar um script PowerShell semelhante ao seguinte script de amostra:

   stop-service wuauserv
   remove-item -path c:\windows\softwaredistribution\datastore -recurse -force
   # If the device has a hidden ~BT folder on the c drive, delete it too by uncommenting the next line.
   # remove-item -path c:\~BT -recurse -force
   start-service wuauserv
   

Passos seguintes

Preparar a gestão de atualizações de software