Устранение неполадок проверки обновлений программного обеспечения в Configuration Manager

В этой статье описывается, как устранять сбои проверки обновлений программного обеспечения в Configuration Manager.

Оригинальная версия продукта: Microsoft System Center 2012 Configuration Manager, Microsoft System Center 2012 R2 Configuration Manager
Исходный номер базы знаний: 3090184

Итоги

Существует несколько причин, по которым может произойти сбой сканирования обновления программного обеспечения. Большинство проблем связаны с взаимодействием или брандмауэром между клиентом и компьютером точки обновления программного обеспечения. Мы описываем некоторые из наиболее распространенных условий ошибок и связанные с ними решения и советы по устранению неполадок здесь. Дополнительные сведения о распространенных ошибках клиентский компонент Центра обновления Windows см. в распространенные ошибки клиентский компонент Центра обновления Windows и способы их устранения.

Дополнительные сведения об обновлениях программного обеспечения в Configuration Manager см. в Введение в обновления программного обеспечения.

При устранении неполадок сканирования обновлений программного обеспечения сосредоточьтесь на WUAHandler.log и WindowsUpdate.log файлах. WUAHandler просто сообщает, что сообщил агент клиентский компонент Центра обновления Windows. Таким образом, ошибка в файле WUAHandler.log будет той же ошибкой, что и сам агент клиентский компонент Центра обновления Windows. Большинство сведений об ошибке, скорее всего, будут найдены в файле WindowsUpdate.log. Дополнительные сведения о том, как прочитать файл WindowsUpdate.log, см. в файлы журнала обновлений Windows.

Сбои сканирования из-за отсутствия или поврежденного компонента

Ошибки 0x80245003, 0x80070514, 0x8DDD0018, 0x80246008, 0x80200013 0x80004015, 0x80004015, 0x800A0046, 0x800A01AD, 0x80070424, 0x800B0100 и 0x80248011 вызваны отсутствием или поврежденными компонентами.

Некоторые проблемы могут возникать из-за отсутствия или повреждения файлов или разделов реестра, регистрации компонентов и т. д. Рекомендуется запустить средство устранения неполадок клиентский компонент Центра обновления Windows для автоматического обнаружения и устранения этих проблем.

Кроме того, рекомендуется убедиться, что вы используете последнюю версию агента клиентский компонент Центра обновления Windows.

Если средство устранения неполадок клиентский компонент Центра обновления Windows не устраняет проблему, сбросьте хранилище данных агента клиентский компонент Центра обновления Windows на клиенте, выполнив следующие действия.

  1. Остановите службу клиентский компонент Центра обновления Windows, выполнив следующую команду:

    net stop wuauserv

  2. Переименуйте папку C:\Windows\SoftwareDistribution в C:\Windows\SoftwareDistribution.old.

  3. Запустите службу клиентский компонент Центра обновления Windows, выполнив следующую команду:

    net start wuauserv

  4. Запустите цикл сканирования обновлений программного обеспечения.

Ошибки 0x80244021, 0x8024401B, 0x80240030 и 0x8024402C вызваны проблемами, связанными с прокси-сервером.

Проверьте параметры прокси-сервера на клиенте и убедитесь, что они настроены правильно. Агент клиентский компонент Центра обновления Windows использует WinHTTP для проверки доступных обновлений. При наличии прокси-сервера между клиентом и компьютером WSUS параметры прокси-сервера должны быть настроены правильно на клиентах, чтобы разрешить им взаимодействовать с WSUS с помощью полного доменного имени компьютера.

При возникновении проблем с прокси-сервером WindowsUpdate.log могут сообщать об ошибках, которые похожи на следующие:

0x80244021 или ошибка HTTP 502 — недопустимый шлюз

0x8024401B или ошибка HTTP 407 — требуется проверка подлинности прокси-сервера

0x80240030. Недопустимый формат списка прокси-сервера

0x8024402C. Не удается разрешить имя прокси-сервера или адрес целевого сервера.

В большинстве случаев прокси-сервер можно обойти для локальных адресов, так как компьютер WSUS находится в интрасети. Но если клиент подключен к Интернету, необходимо убедиться, что прокси-сервер настроен для включения этого взаимодействия.

Чтобы просмотреть параметры прокси-сервера WinHTTP, выполните одну из следующих команд:

  • В Windows XP: proxycfg.exe
  • В Windows Vista и более поздних версиях: netsh winhttp show proxy

Параметры прокси-сервера, настроенные в Internet Explorer, являются частью параметров прокси-сервера WinINET. Параметры прокси-сервера WinHTTP не обязательно совпадают с параметрами прокси-сервера, настроенными в Internet Explorer. Однако если параметры прокси-сервера заданы правильно в Internet Explorer, можно импортировать конфигурацию прокси-сервера из Internet Explorer. Чтобы импортировать конфигурацию прокси-сервера из Internet Explorer, выполните одну из следующих команд:

  • В Windows XP: proxycfg.exe -u
  • В Windows Vista и более поздних версиях: netsh winhttp import proxy source =ie

Дополнительные сведения см. в разделе Как клиент клиентский компонент Центра обновления Windows определяет, какой прокси-сервер будет использоваться для подключения к веб-сайту клиентский компонент Центра обновления Windows.

Ошибки: 0x80072ee2, 0x8024401C, 0x80244023 или 0x80244017 (состояние HTTP 401), 0x80244018 (состояние HTTP 403)

Проверьте подключение с компьютером WSUS. Во время проверки агент клиентский компонент Центра обновления Windows должен взаимодействовать с ClientWebService и виртуальными каталогами SimpleAuthWebService на компьютере WSUS для выполнения проверки. Если клиент не может взаимодействовать с компьютером WSUS, проверка завершается ошибкой. Эта проблема может возникать по нескольким причинам, в том числе:

  • Конфигурация порта
  • Конфигурация прокси-сервера
  • Проблемы с брандмауэром
  • сетевое подключение

Сначала найдите URL-адрес компьютера WSUS, проверив следующий раздел реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

Попробуйте получить доступ к URL-адресу, чтобы проверить подключение между клиентом и компьютером WSUS. Например, используемый URL-адрес должен выглядеть следующим образом:
http://SUPSERVER.CONTOSO.COM:8530/Selfupdate/wuident.cab

Затем проверьте, может ли клиент получить доступ к виртуальному каталогу ClientWebService . URL-адрес должен выглядеть следующим образом:
http://SUPSERVER.CONTOSO.COM:8530/ClientWebService/wusserverversion.xml

Наконец, проверьте, может ли клиент получить доступ к виртуальному каталогу SimpleAuthWebService . URL-адрес должен выглядеть следующим образом: http://SUPSERVER.CONTOSO.COM:8530/SimpleAuthWebService/SimpleAuth.asmx

Если эти тесты успешны, просмотрите журналы Internet Information Services (IIS) на компьютере WSUS, чтобы убедиться, что ошибки HTTP возвращаются из WSUS. Если компьютер WSUS не возвращает ошибку, проблема, вероятно, связана с промежуточным брандмауэром или прокси-сервером.

Если любой из этих тестов завершается сбоем, проверьте наличие проблем с разрешением имен на клиенте. Убедитесь, что вы можете разрешить FQDN компьютера WSUS.

Также проверьте параметры прокси-сервера на клиенте, чтобы убедиться, что они настроены правильно. Дополнительные сведения см. в разделе "Сбои сканирования из-за проблем , связанных с прокси-сервером".

Наконец, убедитесь, что к портам WSUS можно получить доступ. Службы WSUS можно настроить для использования любого из следующих портов:

  • 80
  • 443
  • 8530
  • 8531

Чтобы клиенты взаимодействовали с компьютером WSUS, соответствующие порты должны быть включены на любом брандмауэре между клиентом и компьютером WSUS.

Определение параметров порта, используемых службами WSUS и точкой обновления программного обеспечения

Параметры порта настраиваются при создании роли системы сайта точки обновления программного обеспечения. Эти параметры порта должны совпадать с параметрами порта, используемыми веб-сайтом WSUS. В противном случае диспетчер синхронизации WSUS не подключается к компьютеру WSUS, работающему на точке обновления программного обеспечения, для запроса синхронизации. В следующих процедурах показано, как проверить параметры порта, используемые службами WSUS и точкой обновления программного обеспечения.

Определение параметров порта WSUS в IIS 6.0

  1. На сервере WSUS откройте диспетчер Internet Information Services (IIS).
  2. Разверните веб-сайты, щелкните правой кнопкой мыши веб-сайт сервера WSUS и выберите пункт "Свойства".
  3. Перейдите на вкладку "Веб-сайт ".
  4. Параметр HTTP-порта отображается в TCP-порту, а параметр порта HTTPS отображается в SSL-порту.

Определение параметров порта WSUS в службах IIS 7.0 и более поздних версий

  1. На сервере WSUS откройте диспетчер Internet Information Services (IIS).
  2. Разверните сайты, щелкните правой кнопкой мыши веб-сайт сервера WSUS и выберите пункт "Изменить привязки".
  3. В диалоговом окне "Привязки сайта" значения портов HTTP и HTTPS отображаются в столбце "Порт".

Проверка и настройка портов для точки обновления программного обеспечения

  1. В консоли Configuration Manager перейдите в раздел Administration>Site Configuration>Servers and Site System Role, а затем выберите <SiteSystemName> в правой области.
  2. В нижней области щелкните правой кнопкой мыши точку обновления программного обеспечения и выберите пункт "Свойства".
  3. На вкладке "Общие " укажите или проверьте номера портов конфигурации WSUS.

После проверки и правильной настройки портов необходимо проверить подключение портов от клиента, выполнив следующую команду:

telnet SUPSERVER.CONTOSO.COM <PortNumber>

Если порт недоступен, telnet возвращает ошибку, похожую на следующую.

Не удалось открыть подключение к узлу в порте <PortNumber>

Эта ошибка предполагает, что правила брандмауэра должны быть настроены для включения связи для портов сервера WSUS.

Сканирование завершилось неудачей с ошибкой 0x80072f0c

Ошибка 0x80072f0c переводится как Для завершения проверки подлинности клиента требуется сертификат. Эта ошибка должна возникать только в том случае, если компьютер WSUS настроен на использование SSL. В рамках конфигурации SSL виртуальные каталоги WSUS должны быть настроены для использования SSL, и они должны быть заданы для пропуска сертификатов клиента. Если веб-сайт WSUS или любой из упомянутых ранее виртуальных каталогов настроен неправильно для принятия или требования сертификатов клиента, вы получите эту ошибку.

Проверка конфигурации SSL

Если сайт настроен только в режиме HTTPS , точка обновления программного обеспечения автоматически настраивается для использования SSL. Если сайт находится в режиме HTTPS или HTTP , можно выбрать, следует ли настроить точку обновления программного обеспечения для использования SSL. Если точка обновления программного обеспечения настроена для использования SSL, компьютер WSUS также должен быть явно настроен для использования SSL. Перед настройкой SSL необходимо проверить требования к сертификату. Убедитесь, что на сервере точки обновления программного обеспечения установлен сертификат проверки подлинности сервера.

Убедитесь, что точка обновления программного обеспечения настроена для SSL

  1. В консоли Configuration Manager перейдите в раздел Administration>Site Configuration>Servers and Site System Role, а затем выберите <SiteSystemName> в правой области.
  2. В нижней области щелкните правой кнопкой мыши точку обновления программного обеспечения и выберите пункт "Свойства".
  3. На вкладке "Общие" убедитесь, что включен следующий параметр:
    Требовать ssl-связь с сервером WSUS

Убедитесь, что компьютер WSUS настроен для SSL

  1. Откройте консоль WSUS в точке обновления программного обеспечения для сайта.
  2. В области дерева консоли выберите "Параметры".
  3. В области отображения выберите "Источник обновления" и "Прокси-сервер".
  4. Убедитесь, что выбран параметр "Использовать SSL при синхронизации данных об обновлении".

Добавление сертификата проверки подлинности сервера на веб-сайт администрирования WSUS

  1. На компьютере WSUS запустите диспетчер Internet Information Services (IIS).
  2. Разверните Сайты, нажмите правой кнопкой мыши на Default Web Site или веб-сайт администрирования WSUS, если WSUS настроен на использование пользовательского веб-сайта, а затем выберите пункт "Изменить привязки".
  3. Выберите запись HTTPS и нажмите кнопку "Изменить".
  4. В диалоговом окне "Изменение привязки сайта" выберите сертификат проверки подлинности сервера и нажмите кнопку "ОК".
  5. В диалоговом окне "Изменить привязку сайта" нажмите кнопку "ОК" и нажмите кнопку "Закрыть".
  6. Выход из диспетчера IIS.

Внимание

Убедитесь, что полное доменное имя, указанное в свойствах системы сайта, соответствует полному доменному имени, указанному в сертификате. Если точка обновления программного обеспечения принимает подключения только из интрасети, имя субъекта или альтернативное имя субъекта должно содержать полное доменное имя интрасети. Если точка обновления программного обеспечения принимает клиентские подключения только из Интернета, сертификат по-прежнему должен содержать полное доменное имя Интернета и полное доменное имя интрасети, так как WCM и WSyncMgr по-прежнему используют полное доменное имя интрасети для подключения к точке обновления программного обеспечения. Если точка обновления программного обеспечения принимает подключения как из Интернета, так и из интрасети, необходимо указать полное доменное имя Интернета и полное доменное имя интрасети с помощью разделителя символов ampersand (&) между двумя именами.

Убедитесь, что ssl настроен на компьютере WSUS

Дополнительные сведения см. в разделе "Настройка SSL" на сервере WSUS.

Внимание

Вы не можете настроить весь веб-сайт WSUS, чтобы требовать SSL, так как затем весь трафик на сайт WSUS должен быть зашифрован. Службы WSUS шифруют только метаданные обновлений. Если компьютер пытается получить файлы обновления через порт HTTPS, передача завершится ошибкой.

Групповая политика изменяет правильные сведения о конфигурации WSUS

Функция "Обновления программного обеспечения" автоматически настраивает локальный параметр групповой политики для клиента Configuration Manager, чтобы он использовал исходное расположение точки обновления программного обеспечения и номер порта. Имя сервера и номер порта необходимы для поиска точки обновления программного обеспечения.

Если параметр групповой политики Active Directory применяется к компьютерам для установки клиента точки обновления программного обеспечения, он переопределяет локальный параметр групповой политики. Если значение параметра, определенного в групповой политике, не идентично тому, которое устанавливается Configuration Manager (имя сервера и порт), то проверка обновления программного обеспечения Configuration Manager завершится ошибкой на клиенте. В этом случае файл WUAHandler.log отображает следующую запись:

Group policy settings were overwritten by a higher authority (Domain Controller) to: Server http://server and Policy ENABLED

Чтобы устранить эту проблему, точка обновления программного обеспечения для установки клиента и обновлений программного обеспечения должна быть одной и той же серверой. И его необходимо указать в параметре групповой политики Active Directory с помощью правильного формата имени и сведений о порту. Например, если точка обновления программного обеспечения использовала веб-сайт по умолчанию, точка обновления программного обеспечения будет http://server1.contoso.com:80.

Клиенты не могут найти расположение сервера WSUS

  1. Сведения о том, как клиенты получают расположение сервера WSUS, см. в разделе "Расположение сервера WSUS". И просмотрите журналы клиента и точек управления.
  2. Включите подробное и отладочное журналирование на клиенте и точке управления.
  3. Убедитесь, что в CcmMessaging.log клиента нет ошибок связи.
  4. Если точка управления возвращает пустой ответ о расположении WSUS, может возникнуть несоответствие в версии содержимого WSUS. Это может быть результатом неудачной синхронизации. Чтобы найти версию содержимого точки обновления программного обеспечения, в консоли Configuration Manager выберите Monitoring> Состояние синхронизации точки обновления Программного обеспечения.
  5. Проверьте данные в CI_UpdateSourcesWSUSServerLocations таблицах и Update_SyncStatus убедитесь, что в этих таблицах совпадают уникальные идентификаторы источника обновления и версия содержимого.

Неизвестные результаты соответствия

  1. Просмотрите файл PolicyAgent.log на клиенте, чтобы убедиться, что клиент получает политики.
  2. Убедитесь, что синхронизация обновлений программного обеспечения успешно выполнена в точке обновления программного обеспечения. Если синхронизация завершается сбоем, устраните неполадки синхронизации.
  3. Если файл WUAHandler.log не существует и не создается после запуска цикла сканирования, проблема, скорее всего, возникает из-за одной из следующих причин:
  4. Убедитесь, что в файле CcmMessaging.log клиента нет ошибок связи.
  5. Если проверка выполнена успешно, клиент должен отправлять сообщения о состоянии в точку управления, чтобы указать состояние обновления. Сведения о том, как работает обработка сообщений о состоянии, см. поток обработки сообщений о состоянии.

Другие проблемы

Дополнительные сведения см. в разделе «Устранение неполадок при сканировании обновлений клиентского программного обеспечения».

  • Last updated on