Предварительные требования для обновлений программного обеспечения в Configuration Manager

Относится к Configuration Manager (Current Branch)

В этой статье перечислены предварительные требования для обновлений программного обеспечения в Configuration Manager. Для каждого из предварительных требований внешние зависимости и внутренние зависимости перечислены в отдельных таблицах.

Зависимости обновления программного обеспечения, которые являются внешними для Configuration Manager

В следующих разделах перечислены внешние зависимости для обновлений программного обеспечения.

Службы IIS

Службы IIS должны быть установлены на серверах системы сайта для запуска точки обновления программного обеспечения, точки управления и точки распространения. Дополнительные сведения см. в разделе Предварительные требования для ролей системы сайта.

Примечание.

• Если вы столкнулись с ошибкой не удается добавить повторяющуюся запись коллекции типа mimeMap, см. раздел Советы по устранению неполадок WSUS .

Службы Windows Server Update Services

Windows Server Update Services (WSUS) требуется для синхронизации обновлений программного обеспечения и проверки применимости обновлений программного обеспечения на клиентах. Перед созданием роли точки обновления программного обеспечения необходимо установить сервер WSUS. Для точки обновления программного обеспечения поддерживаются следующие версии WSUS:

• WSUS 10.0.14393 (роль в Windows Server 2016) (накопительное обновление 2023-02 или более поздней версии накопительного обновления)
• WSUS 10.0.17763 (роль в Windows Server 2019) (требуется Configuration Manager 1810 или более поздней версии) (накопительное обновление 2023-02 или более поздней версии)
• WSUS 10.0.20348 (роль в Windows Server 2022) (накопительное обновление 2023-02 или более поздней версии)
• WSUS 6.2 и 6.3 (роль в Windows Server 2012 и Windows Server 2012 R2) (накопительное обновление 2023-03 или более поздней версии накопительного обновления)
  • Kb 3095113 и KB 3159706 (или эквивалентное обновление) необходимы для WSUS 6.2 и 6.3 при развертывании обновлений Windows.

Примечание.

• Начиная с 28 марта 2023 г. локальные Windows 11, устройства версии 22H2 будут получать обновления качества через Единую платформу обновлений (UUP), накопительное обновление 2023-02 необходимо. Если вы не можете установить эти обновления, вы можете вручную добавить необходимые типы MIME для UUP на сервер WSUS.
• При наличии нескольких точек обновления программного обеспечения на сайте убедитесь, что все они работают под одной и той же версией WSUS.

Консоль администрирования WSUS

Консоль администрирования WSUS требуется на сервере сайта Configuration Manager, если точка обновления программного обеспечения находится на удаленном сервере системы сайта, а службы WSUS еще не установлены на сервере сайта.

Важно!

• Версия WSUS на сервере сайта должна совпадать с версией WSUS, выполняемой в точках обновления программного обеспечения.
• Не используйте консоль администрирования WSUS для настройки параметров WSUS. Configuration Manager подключается к экземпляру WSUS, работающему в точке обновления программного обеспечения, и настраивает соответствующие параметры.

Агент Центра обновления Windows

Клиент агента клиентский компонент Центра обновления Windows (WUA) требуется на клиентах, чтобы они могли подключаться к серверу WSUS. WUA получает список обновлений программного обеспечения, которые должны быть проверены на соответствие требованиям.

При установке Configuration Manager загружается последняя версия WUA. Затем при установке клиента Configuration Manager при необходимости обновляется WUA. В случае сбоя установки необходимо использовать другой метод для обновления WUA.

Зависимости обновления программного обеспечения, которые являются внутренними для Configuration Manager

В следующих разделах перечислены внутренние зависимости для обновлений программного обеспечения в Configuration Manager.

Точки управления

Точки управления передают сведения между клиентскими компьютерами и сайтом Configuration Manager. Точки управления требуются для обновлений программного обеспечения.

Точки обновления программного обеспечения

Для развертывания обновлений программного обеспечения в Configuration Manager необходимо установить точку обновления программного обеспечения на сервере WSUS. Дополнительные сведения см. в статье Установка и настройка точки обновления программного обеспечения.

Точки распространения

Точки распространения необходимы для хранения содержимого обновлений программного обеспечения. Дополнительные сведения об установке точек распространения и управлении содержимым см. в разделе Управление содержимым и инфраструктурой содержимого.

Параметры клиента для обновлений программного обеспечения

Обновления программного обеспечения включены для клиентов по умолчанию. Существуют и другие доступные параметры, которые определяют, как и когда клиенты оценивают соответствие обновлений программного обеспечения, а также управляют установкой обновлений программного обеспечения.

Дополнительные сведения см. в следующих статьях:

• Параметры клиента для обновлений программного обеспечения

• Параметры клиента обновлений программного обеспечения

Важно!

Начиная с накопительного обновления за сентябрь 2020 г. серверы WSUS на основе HTTP будут по умолчанию защищены. Клиент, проверяющий наличие обновлений для СЛУЖБ WSUS на основе HTTP, больше не будет разрешено использовать прокси-сервер пользователя по умолчанию. Если вам по-прежнему требуется пользовательский прокси-сервер, несмотря на компромиссы по безопасности, доступен новый параметр клиента обновлений программного обеспечения , позволяющий разрешить эти подключения. Дополнительные сведения об изменениях для проверки WSUS см. в статье Изменения, внесенные в систему для повышения безопасности устройств Windows, сканирующих WSUS, за сентябрь 2020 г. Чтобы обеспечить наличие наилучших протоколов безопасности, настоятельно рекомендуется использовать протокол TLS/SSL для защиты инфраструктуры обновлений программного обеспечения.

Точки служб Reporting Services

Роль системы сайта точек служб отчетов может отображать отчеты об обновлениях программного обеспечения. Эта роль необязательна, но рекомендуется. Дополнительные сведения о создании точки служб отчетов см. в разделе Настройка отчетов.

Какие обновления требуются для WSUS 6.2 и 6.3?

Для синхронизации классификации обновлений в WSUS 6.2 и 6.3 требуются два обновления. Иногда может возникать ошибка при скачивании или развертывании обновлений, если они синхронизировались до установки KB3095113 и KB3159706. Сведения о возможных проблемах приведены в следующем разделе.

• Перед синхронизацией классификации обновлений необходимо установить 3095113 базы знаний, выпущенные в октябре 2015 г., на точки обновления программного обеспечения и серверы сайта.
  • Это обновление включает классификацию обновлений .
• Для обслуживания клиентов Windows 10 или более поздних версий необходимо установить и настроить 3159706 базы знаний. KB 3159706 выпущен в мае 2016 г.
  • Это обновление позволяет службам WSUS расшифровывать файлы, используемые для обновления Windows 10 версии 1607 и более поздних.

Важно!

Как kb 3095113, так и KB 3159706 включены в ежемесячный накопительный пакет исправлений безопасности , начиная с июля 2017 г. Это означает, что 3095113 базы знаний и 3159706 базы знаний могут не отображаться как установленные обновления, так как они могли быть установлены с накопительным пакетом. Однако если вам нужно одно из этих обновлений, рекомендуется установить ежемесячный накопительный пакет исправлений безопасности , выпущенный после октября 2017 г., так как он содержит дополнительное обновление WSUS для снижения использования памяти в clientwebservice WSUS.

Скачивание обновлений Windows завершается ошибкой "Ошибка: недопустимая подпись сертификата" или 0xc1800118

Описанные в этом разделе обновления и проблемы применяются только к службам WSUS, работающим на компьютерах Windows Server 2012 или Windows Server 2012 R2 (WSUS 6.2 и 6.3). Как правило, проблемы, описанные в этом разделе, отображаются только в том случае, если службы WSUS установлены до июля 2017 г. и недавно включили классификацию обновлений . Однако эти проблемы можно увидеть и в других ситуациях.

Исторические сведения о 3095113 базы знаний

KB 3095113 был выпущен в качестве исправления в октябре 2015 г., чтобы добавить поддержку Windows 10 обновлений для WSUS. Это обновление позволяет WSUS синхронизировать и распространять обновления в классификации обновлений для Windows.

При синхронизации обновлений без предварительной установки kb 3095113 вы заполняете базу данных WSUS (SUSDB) непригодными для использования данными. Эти данные должны быть очищены до правильного развертывания обновлений. Обновления Windows в этом состоянии нельзя скачать с помощью мастера загрузки программного обеспечения Обновления.

На странице Завершение мастера загрузки программного обеспечения Обновления отображаются ошибки, похожие на следующие:

Error: Upgrade to Windows 10 Pro, version 1511, 10586
Failed to download content id {content_id}. Error: Invalid certificate signature

Кроме того, в файле PatchDownloader.log регистрируются ошибки, похожие на следующие:

Download http://wsus.ds.b1.download.windowsupdate.com/d/upgr/2015/12/10586.0.151029-1700.th2_release_...esd...
Authentication of file C:\Users\{username}\AppData\Local\Temp\2\{temporary_filename}.tmp failed, error 0x800b0004
ERROR: DownloadContentFiles() failed with hr=0x80073633
# This log is truncated for readability.

Исторически сложилось так, что при возникновении этих ошибок их можно было бы устранить, выполнив измененную версию шагов по устранению для WSUS. Так как эти шаги похожи на решение для того, чтобы не выполнять действия вручную, необходимые после установки базы знаний 3159706 установки, мы объединили оба набора шагов в единое решение в разделе ниже.

• Восстановление после синхронизации обновлений перед установкой kb 3095113 или KB 3159706.

Исторические сведения о 3159706 базы знаний

KB 3148812 был первоначально выпущен в апреле 2016 г., чтобы позволить WSUS расшифровывать ESD-файлы, используемые для обновления Windows 10 пакетов. База знаний 3148812 вызвала проблемы у некоторых клиентов и была заменена 3159706 базы знаний. Базы знаний 3159706 необходимо установить на всех точках обновления программного обеспечения и серверах сайта, прежде чем вы сможете обслуживать устройства Windows 10 версии 1607 и более поздних версий. Однако проблемы могут возникнуть, если вы не понимаете, что после установки базы знаний требуются следующие действия вручную:

1. В командной строке с повышенными привилегиями выполните команду "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing.
2. Перезапустите службу WSUS на всех серверах WSUS.

Если вы не знаете, что 3159706 базы знаний выполняли действия вручную после установки, или вы синхронизировались в обновлениях перед установкой базы знаний 3159706, у вас возникнут проблемы при подключении к консоли WSUS и развертывании обновления соответственно. Когда клиент скачал файл обновления, он получает код ошибки 0xC1800118 .

Так как шаги по разрешению похожи на разрешение для синхронизации обновлений до установки базы знаний 3095113, мы объединили оба набора шагов в одно разрешение в следующем разделе.

Восстановление после синхронизации обновлений перед установкой kb 3095113 или KB 3159706

Выполните следующие действия, чтобы устранить ошибку 0xc1800118 и ошибку "Ошибка: недопустимая подпись сертификата".

1. Отключите классификацию обновлений как в WSUS, так и в Configuration Manager. Вы не хотите, чтобы синхронизация происходила до тех пор, пока вы не будете перенаправлены с помощью этих инструкций.
   • Снимите флажок Классификация обновлений в свойствах компонента точки обновления программного обеспечения на сайте верхнего уровня.
     • Дополнительные сведения см. в разделе Настройка классификаций и продуктов.
   • Снимите флажок Классификация обновлений из WSUS в разделе Продукты и классификации на странице Параметры или используйте среду интегрированной среды сценариев PowerShell, запущенную от имени администратора.

     Get-WsusClassification | Where-Object -FilterScript {$_.Classification.Title -Eq "Upgrades"} | Set-WsusClassification -Disable
     

     • При совместном использовании базы данных WSUS между несколькими серверами WSUS необходимо снять флажок Обновления только один раз для каждой базы данных.
2. На каждом сервере WSUS из командной строки с повышенными привилегиями выполните команду . "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing Затем перезапустите службу WSUS на всех серверах WSUS.
   • СЛУЖБЫ WSUS помещает базу данных в однопользовательский режим , прежде чем она проверяет, требуется ли обслуживание. Обслуживание выполняется или не выполняется на основе результатов проверка. Затем база данных снова переводится в многопользовательский режим.
   • При совместном использовании базы данных WSUS между несколькими серверами WSUS необходимо выполнить это обслуживание только один раз для каждой базы данных.
3. Удалите все обновления Windows 10 из каждой базы данных WSUS с помощью интегрированной среды сценариев PowerShell, работающей от имени администратора.

   [reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
   $wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer();
   $wsus.GetUpdates() | Where {$_.UpdateClassificationTitle -eq 'Upgrades' -and $_.Title -match 'Windows 10'} `
   | ForEach-Object {$wsus.DeleteUpdate($_.Id.UpdateId.ToString()); Write-Host $_.Title removed}
   

4. Удалите файлы из таблицы tbFile из каждой базы данных WSUS, используемой точками обновления программного обеспечения. В базе данных WSUS выполните следующие команды из SQL Server Management Studio:

   declare @NotNeededFiles table (FileDigest binary(20) UNIQUE)
   insert into @NotNeededFiles(FileDigest) (select FileDigest from tbFile where FileName like '%.esd%'  except select FileDigest from tbFileForRevision)
   delete from tbFileOnServer where FileDigest in (select FileDigest from @NotNeededFiles)
   delete from tbFile where FileDigest in (select FileDigest from @NotNeededFiles)
   

5. Запустите синхронизацию обновлений программного обеспечения на сайте верхнего уровня в Configuration Manager и дождитесь ее завершения. Полная синхронизация происходит потому, что мы внесли изменения в классификации Configuration Manager при удалении обновлений. (Дополнительные сведения см. в разделе Синхронизация обновлений программного обеспечения.
6. Выберите классификацию обновлений в свойствах компонента точки обновления программного обеспечения. Затем запустите другую синхронизацию обновлений программного обеспечения, чтобы вернуть обновления в WSUS и Configuration Manager. Вам не нужно включать классификацию обновлений в WSUS, так как Configuration Manager сделает это за вас.
7. Если клиенты получили код ошибки 0xC1800118 при скачивании обновления, необходимо удалить хранилище данных, используемое агентом клиентский компонент Центра обновления Windows. Также может потребоваться удалить скрытую папку ~BT на устройстве. При следующем сканировании клиента это будет полная проверка сервера WSUS, а не разностная проверка. Можно использовать скрипт PowerShell, аналогичный следующему примеру скрипта:

   stop-service wuauserv
   remove-item -path c:\windows\softwaredistribution\datastore -recurse -force
   # If the device has a hidden ~BT folder on the c drive, delete it too by uncommenting the next line.
   # remove-item -path c:\~BT -recurse -force
   start-service wuauserv
   

Дальнейшие действия

Подготовка к управлению обновлением программного обеспечения