Configuration Manager中軟體更新的必要條件

適用於：Configuration Manager (目前的分支)

本文列出Configuration Manager中軟體更新的必要條件。 針對每個必要條件，外部相依性和內部相依性會列在個別的資料表中。

Configuration Manager外部的軟體更新相依性

下列各節列出軟體更新的外部相依性。

網際網路資訊服務

Internet Information Services (IIS) 必須安裝在月臺系統伺服器上，才能執行軟體更新點、管理點和發佈點。 如需詳細資訊，請參閱 月臺系統角色的必要條件。

注意事項

• 如果您遇到無法新增 'mimeMap' 類型的重複集合專案錯誤，請參閱 WSUS 疑難排解 秘訣。

Windows Server Update Services

Windows Server Update Services (軟體更新同步處理和用戶端上的軟體更新適用性掃描需要 WSUS) 。 您必須先安裝 WSUS 伺服器，才能建立軟體更新點角色。 軟體更新點支援下列 WSUS 版本：

• WSUS 10.0.14393 (2023-02 累積更新中Windows Server 2016) (角色，或更新版本的累積更新)
• Windows Server 2019 中的 WSUS 10.0.17763 (角色) (需要Configuration Manager 1810 或更新版本) (2023-02 累積更新，或更新版本的累積更新)
• WSUS 10.0.20348 (Windows Server 2022) (2023-02 累積更新中的角色，或更新版本的累積更新)
• Windows Server 2012和 Windows Server 2012 R2) (2023-03 累積更新中的 WSUS 6.2 和 6.3 (角色，或更新版本的累積更新)
  • 如果您部署 Windows 升級，則 WSUS 6.2 和 6.3 需要KB 3095113和 KB 3159706 (或對等的更新) 。

注意事項

• 從 2023 年 3 月 28 日開始，內部部署Windows 11版本 22H2 裝置會透過整合更新平臺 (UUP) 接收品質更新，2023-02 累積更新必須是 ，如果您無法安裝這些更新，您可以手動將 UUP 所需的 MIME 類型新增至 WSUS 伺服器。
• 當您在一個月臺有多個軟體更新點時，請確定它們全都執行相同版本的 WSUS。

WSUS 管理主控台

當軟體更新點位於遠端月臺系統伺服器上，且 WSUS 尚未安裝在月臺伺服器上時，Configuration Manager月臺伺服器上需要 WSUS 管理主控台。

重要事項

• 月臺伺服器上的 WSUS 版本必須與軟體更新點上執行的 WSUS 版本相同。
• 請勿使用 WSUS 管理主控台來設定 WSUS 設定。 Configuration Manager連線到軟體更新點上執行的 WSUS 實例，並設定適當的設定。

Windows Update 代理程式

用戶端上需要Windows Update代理程式 (WUA) 用戶端，才能連線到 WSUS 伺服器。 WUA 會擷取必須掃描符合規範的軟體更新清單。

當您安裝 Configuration Manager 時，會下載最新版的 WUA。 然後，當您安裝Configuration Manager用戶端時，會視需要升級 WUA。 如果安裝失敗，您必須使用不同的方法來升級 WUA。

Configuration Manager內部的軟體更新相依性

下列各節列出Configuration Manager中軟體更新的內部相依性。

管理點

管理點會在用戶端電腦與Configuration Manager月臺之間傳輸資訊。 軟體更新需要管理點。

軟體更新點

您必須在 WSUS 伺服器上安裝軟體更新點，才能在 Configuration Manager 中部署軟體更新。 如需詳細資訊，請 參閱安裝和設定軟體更新點。

發佈點

需要發佈點才能儲存軟體更新的內容。 如需如何安裝發佈點和管理內容的詳細資訊，請參閱 管理內容和內容基礎結構。

軟體更新的用戶端設定

預設會為用戶端啟用軟體更新。 還有其他可用的設定可控制用戶端評估軟體更新合規性的方式和時機，以及控制軟體更新的安裝方式。

如需詳細資訊，請參閱下列文章：

• 軟體更新的用戶端設定

• 軟體更新用戶端設定

重要事項

從 2020 年 9 月的累積更新開始，根據預設，HTTP 型 WSUS 伺服器將會受到保護。 預設不會再允許用戶端針對 HTTP 型 WSUS 掃描更新以利用使用者 Proxy。 如果您在安全性取捨下仍需要使用者 Proxy，則可以使用新的 軟體更新用戶端設定 來允許這些連線。 如需掃描 WSUS 變更的詳細資訊，請參閱 2020 年 9 月變更，以改善 Windows 裝置掃描 WSUS 的安全性。 為了確保已備妥最佳的安全性通訊協定，強烈建議您使用 TLS/SSL 通訊協定來協助 保護軟體更新基礎結構。

Reporting Services 點

Reporting Services 點月臺系統角色可以顯示軟體更新的報告。 此角色是選擇性的，但建議使用。 如需如何建立 Reporting Services 點的詳細資訊，請參閱 設定報告。

WSUS 6.2 和 6.3 需要哪些更新？

在 WSUS 6.2 和 6.3 中 同步升級分類 需要兩個更新。 有時候，如果升級在 KB3095113 和 KB3159706 安裝之前同步，您可能會看到下載或部署升級時發生錯誤。 下一節將提供可能問題的相關資訊。

• 在同步處理升級分類之前，您必須在軟體更新點和月臺伺服器上安裝 2015 年 10 月發行的KB 3095113。
  • 此更新會啟用 升級 分類。
• 若要Windows 10或更新版本的用戶端提供服務，您必須安裝並設定KB 3159706。 KB 3159706已于 2016 年 5 月發行。
  • 此更新可讓 WSUS 原生解密用於升級 Windows 10 1607 版和更新版本的檔案。

重要事項

從 2017 年 7 月開始 ，安全性每月品質匯總 中包含 KB 3095113 和 KB 3159706。 這表示您可能看不到 KB 3095113和 KB 3159706為已安裝的更新，因為它們可能已與匯總一起安裝。 不過，如果您需要其中一個更新，建議您安裝 2017 年 10 月之後發行的 安全性每月品質匯 總，因為它們包含額外的 WSUS 更新，以降低 WSUS 用戶端webservice 上的記憶體使用率。

下載 Windows 升級失敗，並出現「錯誤：憑證簽章無效」或0xc1800118

本節所述的更新和問題僅適用于在 WSUS 6.2 和 6.3) (Windows Server 2012或Windows Server 2012 R2 電腦上執行的 WSUS。 一般而言，如果您在 2017 年 7 月之前安裝 WSUS，而且最近已啟用 升級 分類，您只會看到本節所述的問題。 不過，您也可以在其他情況下看到這些問題。

KB 3095113的歷史資訊

KB 3095113已于 2015 年 10 月發行為 Hotfix，以新增對 WSUS Windows 10升級的支援。 更新可讓 WSUS 同步處理及散發 Windows 升級分類中的 更新。

如果您在未先安裝 KB 3095113的情況下同步任何升級，則會將無法使用的資料填入 WSUS 資料庫 (SUSDB) 。 必須先清除該資料，才能正確部署升級。 無法使用 [下載軟體更新精靈下載處於此狀態的 Windows 升級。

類似下列的錯誤會出現在 [下載軟體更新精靈] 的 [完成] 頁面上：

Error: Upgrade to Windows 10 Pro, version 1511, 10586
Failed to download content id {content_id}. Error: Invalid certificate signature

此外，類似下列的錯誤會記錄在 PatchDownloader.log 檔案中：

Download http://wsus.ds.b1.download.windowsupdate.com/d/upgr/2015/12/10586.0.151029-1700.th2_release_...esd...
Authentication of file C:\Users\{username}\AppData\Local\Temp\2\{temporary_filename}.tmp failed, error 0x800b0004
ERROR: DownloadContentFiles() failed with hr=0x80073633
# This log is truncated for readability.

在過去，發生這些錯誤時，會藉由為 WSUS執行修改版本的解決步驟來解決這些錯誤。 由於這些步驟類似于在 KB 3159706安裝之後不執行手動步驟的解決方式，因此我們已將這兩組步驟合併成下一節中的單一解析度：

• 在安裝 KB 3095113或 KB 3159706之前，從同步處理升級復原。

KB 3159706的歷史資訊

KB 3148812最初于 2016 年 4 月發行，可讓 WSUS 原生解密用於升級Windows 10套件的 .esd 檔案。 KB 3148812造成某些客戶的問題 ，並已取代為 KB 3159706。 您必須先在所有軟體更新點和月臺伺服器上安裝 KB 3159706，才能Windows 10 1607 版和更新版本的裝置提供服務。 不過，如果您不知道 KB 在安裝之後需要下列手動步驟，可能會發生問題：

1. 從提升許可權的命令提示字元執行 "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing 。
2. 在所有 WSUS 伺服器上重新開機 WSUS 服務。

如果您不知道 KB 3159706在安裝之後有手動步驟，或您在安裝 KB 3159706之前先在升級中進行同步處理，則連線到 WSUS 主控台並分別部署升級時會遇到問題。 當用戶端下載升級檔案時，會收到 0xC1800118 錯誤碼。

由於解決步驟類似于 KB 3095113安裝之前同步升級的解決方式，所以我們已在下一節中將這兩組步驟合併成單一解析度。

若要在安裝 KB 3095113或 KB 3159706之前從同步處理升級中復原

請遵循下列步驟來解決0xc1800118錯誤和「錯誤：憑證簽章無效」：

1. 停用 WSUS 和 Configuration Manager 中的升級分類。 在這些指示引導您之前，您不會想要進行同步處理。
   • 取消核取頂層月臺上軟體更新點元件屬性中的升級分類。
     • 如需詳細資訊， 請參閱設定分類和產品。
   • 取消核取 [選項] 頁面上 [產品和分類] 底下的 [從 WSUS升級] 分類，或使用以系統管理員身分執行的 PowerShell ISE。

     Get-WsusClassification | Where-Object -FilterScript {$_.Classification.Title -Eq "Upgrades"} | Set-WsusClassification -Disable
     

     • 如果您在多部 WSUS 伺服器之間共用 WSUS 資料庫，則只需要取消核取每個資料庫 的 [升級 ] 一次。
2. 在每個 WSUS 伺服器上，從提升許可權的命令提示字元執行： "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing 。 然後，重新開機所有 WSUS 伺服器上的 WSUS 服務。
   • WSUS 會將資料庫置於 單一使用者模式 ，然後再檢查是否需要服務。 服務會根據檢查結果執行或不執行。 然後，資料庫會回到多使用者模式。
   • 如果您在多部 WSUS 伺服器之間共用 WSUS 資料庫，則只需要為每個資料庫執行此服務一次。
3. 使用以系統管理員身分執行的 PowerShell ISE，從每個 WSUS 資料庫刪除所有Windows 10升級。

   [reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
   $wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer();
   $wsus.GetUpdates() | Where {$_.UpdateClassificationTitle -eq 'Upgrades' -and $_.Title -match 'Windows 10'} `
   | ForEach-Object {$wsus.DeleteUpdate($_.Id.UpdateId.ToString()); Write-Host $_.Title removed}
   

4. 從您的軟體更新點所使用的每個 WSUS 資料庫中刪除 tbFile 資料表中的檔案。 在 WSUS 資料庫上，從 SQL Server Management Studio 執行下列命令：

   declare @NotNeededFiles table (FileDigest binary(20) UNIQUE)
   insert into @NotNeededFiles(FileDigest) (select FileDigest from tbFile where FileName like '%.esd%'  except select FileDigest from tbFileForRevision)
   delete from tbFileOnServer where FileDigest in (select FileDigest from @NotNeededFiles)
   delete from tbFile where FileDigest in (select FileDigest from @NotNeededFiles)
   

5. 在 Configuration Manager 中啟動頂層月臺上的軟體更新同步處理，並等候完成。 發生完整同步處理是因為我們在移除升級時對分類Configuration Manager進行變更。 (如需詳細資訊，請參閱 同步處理軟體更新。
6. 選取軟體更新點元件屬性中的 [ 升級 ] 分類。 然後，啟動另一個軟體更新同步處理，讓升級回到 WSUS 並Configuration Manager。 您不需要在 WSUS 中啟用升級分類，因為Configuration Manager會為您執行此動作。
7. 如果您的用戶端在下載升級時收到0xC1800118錯誤碼，您必須刪除Windows Update代理程式所使用的資料存放區。 您可能也必須刪除裝置上隱藏的 ~BT 資料夾。 下次用戶端掃描時，將會是 WSUS 伺服器的完整掃描，而不是差異。 您可以使用類似下列範例腳本的 PowerShell 腳本：

   stop-service wuauserv
   remove-item -path c:\windows\softwaredistribution\datastore -recurse -force
   # If the device has a hidden ~BT folder on the c drive, delete it too by uncommenting the next line.
   # remove-item -path c:\~BT -recurse -force
   start-service wuauserv
   

後續步驟

準備軟體更新管理