Se você aplicou a atualização fora de banda KB5039705 no Windows Server 2019 e agora vê a KB5037765 como “not applicable”, este guia explica o motivo, o que exatamente instalar e como comprovar a conformidade no próprio sistema, no WSUS e no MECM.
Resposta curta: instale apenas a KB5039705. Ela já inclui todo o conteúdo de segurança da KB5037765 e ainda corrige o problema específico que motivou o lançamento fora de banda. Após a instalação, a KB5037765 será marcada como superseded ou apresentada como “not applicable”.
Resumo prático para decisão imediata
| O que instalar | Por quê | O que esperar |
|---|---|---|
| Instalar somente KB5039705 | Inclui todos os mesmos patches de segurança que já estavam na KB5037765. Entrega uma correção adicional para o problema que motivou o lançamento fora de banda. | Nova tentativa de instalar a KB5037765 resultará em “not applicable”. Ferramentas de gerenciamento como WSUS e MECM indicarão a KB5037765 como superseded. |
Contexto essencial para administradores
As atualizações cumulativas mensais do Windows Server são, por definição, abrangentes. Isso significa que cada lançamento cumulativo traz consigo os componentes de segurança das versões anteriores. Quando a Microsoft publica uma atualização fora de banda, o objetivo é corrigir rapidamente um defeito importante introduzido recentemente, sem aguardar o próximo ciclo regular. No caso em pauta, a atualização fora de banda entrega o mesmo conteúdo de segurança que a atualização de ciclo anterior e ainda uma correção adicional para eliminar o efeito colateral observado após o lançamento de ciclo.
Por esse motivo, ao aplicar a atualização fora de banda, qualquer pacote anterior que traga apenas o conjunto de segurança original passa a ser considerado igual ou inferior em escopo. É por isso que o sistema exibe “not applicable” para a atualização de ciclo ao detectar que já existe um conjunto mais novo ou equivalente instalado.
Entendendo a substituição de pacotes
Em manutenção de sistemas, o termo supersedence indica que um pacote foi substituído por outro que contém tudo o que havia no original, mais algum conteúdo novo. Ao aprovar a atualização fora de banda no WSUS ou no MECM, o mecanismo de avaliação do cliente compara versões, componentes e metadados. Como a atualização mais recente abrange ou excede o escopo da anterior, ela prevalece.
Isso explica as duas situações típicas observadas após a implantação:
- Mensagem “not applicable” ao executar o instalador da atualização de ciclo: o instalador detecta que o sistema já está em um nível igual ou superior.
- Indicação de superseded no WSUS ou no MECM: as ferramentas sinalizam que a atualização de ciclo não precisa mais ser ofertada, pois foi substituída pela fora de banda.
Dica: a mensagem “not applicable” confirma que o seu servidor está em um build no mínimo equivalente ao que você tentou aplicar. Não é um erro de instalação.
Verificações rápidas no servidor
Há vários jeitos de comprovar localmente que a atualização fora de banda está presente e, portanto, que a atualização de ciclo foi superada.
Verificação com PowerShell
Get-HotFix -Id KB5039705
Se a atualização estiver instalada, o cmdlet retornará um objeto com HotFixID, InstalledOn e outras colunas. Caso não retorne nada, a atualização não foi encontrada no catálogo de hotfixes.
Consulta de pacotes com PowerShell
Get-WindowsPackage -Online | Where-Object { $_.PackageName -match 'KB5039705' } |
Select-Object PackageName, ReleaseType, InstallTime
Esse comando consulta o repositório de componentes. É útil para validar o estado em cenários em que o Get-HotFix não lista uma CU específica.
Verificação com DISM
dism /online /get-packages | findstr 5039705
O DISM retorna o nome interno do pacote e o estado de instalação. Verifique se o status está como Install Pending (antes do reinício) ou Installed (após o reinício).
Eventos de instalação
O log de eventos também ajuda a confirmar a conclusão:
- Visualizador de Eventos → Microsoft > Windows > WindowsUpdateClient > Operational.
- Eventos de instalação bem-sucedida são registrados com mensagens indicando que uma atualização cumulativa foi aplicada.
Verificações no wsus e no mecm
Para garantir que a atualização de ciclo não continue a ser ofertada após a implantação da fora de banda, confira os seguintes pontos:
Supressão por substituição no wsus
- Sincronize o catálogo e faça uma nova avaliação de computadores.
- Pesquise pela atualização de ciclo e verifique o campo de substituição indicando que ela foi superada pela fora de banda.
- Se a atualização de ciclo ainda estiver sendo oferecida, expirar o pacote antigo é prática comum quando o novo já está amplamente implantado.
Regras de substituição no mecm
- No ponto de atualização de software, revise as regras de substituição e a política de expiração para atualizações superadas.
- Republique coleções de atualizações, se necessário, para refletir a mudança de estado.
- Rode o Software Updates Deployment Evaluation nos clientes para acelerar a reavaliação.
Guia de implantação recomendado
Abaixo, um roteiro de referência para reduzir riscos em produção:
- Inventariar os servidores Windows Server 2019 que receberam a atualização de ciclo ou que ainda não foram atualizados.
- Validar em laboratório a atualização fora de banda com as cargas de trabalho críticas (IIS, SQL Server, AD DS, DFS, Hyper‑V e outras).
- Garantir pré‑requisitos como o Servicing Stack Update mais recente, espaço em disco suficiente e backups confiáveis.
- Aprovar e distribuir a atualização fora de banda para anéis de implantação: piloto, produção parcial e produção ampla.
- Reiniciar os nós de forma orquestrada, especialmente em clusters (rolling upgrade), mantendo disponibilidade.
- Confirmar conformidade com relatórios do WSUS/MECM e validações locais via PowerShell ou DISM.
Dicas de validação e reversão
Em situações específicas, pode ser necessário reverter. Tenha em mente:
- Reversão: é possível tentar remover a CU com o desinstalador integrado quando suportado.
wusa /uninstall /kb:5039705 /quiet /norestart
Algumas CUs não permitem desinstalação depois que novas CUs acumulativas são aplicadas. Por isso, o ideal é testar previamente e manter um snapshot ou backup consistente para retorno seguro.
Perguntas frequentes
Preciso instalar as duas atualizações
Não. A atualização fora de banda já contém todo o conteúdo de segurança da atualização de ciclo e ainda inclui a correção extra. Instalar a atualização de ciclo depois não traz benefício e resultará em “not applicable”.
Por que a mensagem “not applicable” aparece
O avaliador de atualizações conclui que o sistema já está em um nível igual ou superior ao pacote que você tentou aplicar. Isso é esperado quando uma atualização foi substituída por outra mais recente.
O que fazer se o wsus ou o mecm ainda oferecer a atualização de ciclo
Forçar uma nova sincronização, reavaliar conformidade dos clientes e verificar as regras de substituição geralmente resolvem. Se o ambiente usa aprovação automática, ajuste as prioridades para que a fora de banda entre antes nas coleções alvo. Expirar o pacote antigo pode ser apropriado após a estabilização.
É necessário atualizar o servicing stack
Manter o Servicing Stack Update mais recente é boa prática e evita problemas de detecção e de instalação. Em alguns ciclos, o SSU vem combinado com a CU; em outros, pode ser entregue separadamente. Inclua a verificação do SSU no seu checklist.
Impacto em edições core e desktop experience
As edições compartilham a mesma base de componentes. O comportamento de substituição é o mesmo, e a recomendação continua: implantar a fora de banda como atualização principal.
Reinício é obrigatório
Sim. Atualizações cumulativas alteram componentes do sistema operacional que exigem reinicialização. Planeje janelas de manutenção e, em clusters, faça reinícios alternados para manter a disponibilidade.
Boas práticas de atualização
- Validar em ambiente de testes com cargas críticas.
- Manter o servicing stack atualizado.
- Observar o relatório de substituição em WSUS/MECM antes de aprovar amplamente.
- Automatizar verificações com scripts de PowerShell que confirmem presença da KB fora de banda.
- Documentar janelas de manutenção, tempos de reinício e resultados por grupo de servidores.
Lista de verificação de pré e pós implantação
Pré implantação
| Tarefa | Estado | Responsável |
|---|---|---|
| Backup recente validado | ||
| Espaço em disco suficiente no volume do sistema | ||
| Servicing stack atualizado | ||
| Teste em laboratório concluído | ||
| Comunicação de janela de manutenção enviada |
Pós implantação
| Tarefa | Estado | Observações |
|---|---|---|
| Conferir presença da KB fora de banda com PowerShell | Get-HotFix -Id KB5039705 | |
| Revisar logs do Windows Update | Eventos de instalação bem-sucedida | |
| Verificar aplicativos críticos | Smoke tests de IIS, SQL, AD, etc. | |
| Atualizar relatórios de conformidade | WSUS/MECM marcando a atualização de ciclo como superada |
Diagnóstico de erros comuns
Se a instalação falhar com códigos como 0x800f0922 ou 0x800f0988, tente as ações abaixo:
- Executar
DISM /Online /Cleanup-Image /RestoreHealthe, em seguida,sfc /scannow. - Verificar espaço em disco no volume do sistema e em
\Windows\WinSxS. - Parar o serviço de atualização, limpar as pastas
SoftwareDistributioneCatroot2, e reavaliar. - Garantir que o servidor aponte corretamente para o WSUS (ou para a internet corporativa) e que não haja timeouts de proxy.
Automação para validação em escala
Em ambientes grandes, padronize a verificação com um script simples que reporte a presença da atualização fora de banda e o estado da atualização de ciclo como superada:
# Verificar presença da atualização fora de banda e superação da de ciclo
$servers = Get-Content .\lista-servidores.txt
$resultados = foreach ($s in $servers) {
try {
$oob = Invoke-Command -ComputerName $s -ScriptBlock {
Get-WindowsPackage -Online | Where-Object { $_.PackageName -match 'KB5039705' }
}
$legacy = Invoke-Command -ComputerName $s -ScriptBlock {
Get-WindowsPackage -Online | Where-Object { $_.PackageName -match 'KB5037765' }
}
[pscustomobject]@{
Servidor = $s
OOBInstalada = [bool]$oob
CicloDetectada = [bool]$legacy
Observacao = if ($oob -and -not $legacy) { 'OK: substituída' } else { 'Rever detecção' }
}
} catch {
[pscustomobject]@{
Servidor = $s
OOBInstalada = $false
CicloDetectada = $false
Observacao = 'Falha na conexão ou permissão'
}
}
}
$resultados | Format-Table -AutoSize
Esse relatório rápido ajuda a identificar máquinas que ainda não receberam a fora de banda ou que precisam de uma nova avaliação de atualizações.
Impacto operacional e continuidade
Como toda atualização cumulativa, haverá reinício. Em ambientes com alta disponibilidade, coordene a ordem dos nós para manter quorum e serviço. Em Hyper‑V, migre máquinas virtuais entre hosts para reduzir indisponibilidade. Em clusters de arquivos, orquestre drains para minimizar impacto nos usuários.
Conformidade e auditoria
Para auditoria, registre formalmente que a atualização fora de banda foi escolhida por supersedence técnica, cobrindo totalmente os patches de segurança e adicionando a correção necessária. Documente datas de aprovação, janelas de manutenção e resultados de validação. Guarde evidências com capturas do WSUS/MECM indicando a atualização de ciclo como superada e com saídas dos comandos de verificação executados em amostras representativas.
Conclusão
Para Windows Server 2019, a atualização fora de banda KB5039705 substitui integralmente a atualização de ciclo KB5037765: ela traz os mesmos patches de segurança e ainda corrige o problema que motivou a publicação extraordinária. Por isso, instale apenas a atualização fora de banda. Após a implantação e o reinício, é esperado que a atualização de ciclo apareça como “not applicable” no instalador e como superseded nas ferramentas de gerenciamento. Seguindo as práticas descritas aqui — validação prévia, verificação do servicing stack, planejamento de reinícios e automação de conferência — sua organização se mantém segura e em conformidade, sem duplicar trabalho ou gerar mudanças desnecessárias.