Freigeben über

Behandeln von Fehlern bei der Überprüfung von Softwareupdates in Configuration Manager

  • Artikel

In diesem Artikel wird beschrieben, wie Sie Fehler bei der Überprüfung von Softwareupdates in Configuration Manager beheben.

Originalproduktversion: Microsoft System Center 2012 Configuration Manager, Microsoft System Center 2012 R2 Configuration Manager
Ursprüngliche KB-Nummer: 3090184

Zusammenfassung

Es gibt mehrere Gründe, aus denen ein Softwareupdatescan fehlschlägt. Die meisten Probleme umfassen Kommunikations- oder Firewallprobleme zwischen dem Client und dem Softwareupdatepunktcomputer. Hier werden einige der häufigsten Fehlerbedingungen und deren zugehörige Lösungen und Tipps zur Problembehandlung beschrieben. Weitere Informationen zu häufig auftretenden Windows Update-Fehlern finden Sie unter Windows Update häufige Fehler und Gegenmaßnahmen.

Weitere Informationen zu Softwareupdates in Configuration Manager finden Sie in der Einführung zu Softwareupdates.

Wenn Sie Fehler bei der Überprüfung von Softwareupdates beheben, konzentrieren Sie sich auf die WUAHandler.log und WindowsUpdate.log Dateien. WUAHandler meldet lediglich, was der Windows Update-Agent gemeldet hat. Der Fehler in der WUAHandler.log Datei wäre also derselbe Fehler, der vom Windows Update-Agent selbst gemeldet wurde. Die meisten Informationen zum Fehler werden wahrscheinlich in der datei WindowsUpdate.log gefunden. Weitere Informationen zum Lesen der WindowsUpdate.log-Datei finden Sie unter Windows Update-Protokolldateien.

Scanfehler aufgrund fehlender oder beschädigter Komponenten

Fehler 0x80245003, 0x80070514, 0x8DDD0018, 0x80246008, 0x80200013, 0x80004015, 0x800A0046, 0x800A01AD, 0x80070424, 0x800B0100 und 0x80248011 werden durch fehlende oder beschädigte Komponenten verursacht.

Mehrere Probleme können durch fehlende oder beschädigte Dateien oder Registrierungsschlüssel, Komponentenregistrierungen usw. verursacht werden. Ein guter Ausgangspunkt ist das Ausführen der Windows Update-Problembehandlung , um diese Probleme automatisch zu erkennen und zu beheben.

Außerdem empfiehlt es sich, sicherzustellen, dass Sie die neueste Version des Windows Update-Agents ausführen.

Wenn die Windows Update-Problembehandlung das Problem nicht behebt, setzen Sie den Windows Update Agent-Datenspeicher auf dem Client zurück, indem Sie die folgenden Schritte ausführen:

  1. Beenden Sie den Windows Update-Dienst, indem Sie den folgenden Befehl ausführen:

    net stop wuauserv

  2. Benennen Sie den C:\Windows\SoftwareDistribution Ordner in C:\Windows\SoftwareDistribution.old.

  3. Starten Sie den Windows Update-Dienst, indem Sie den folgenden Befehl ausführen:

    net start wuauserv

  4. Starten Sie einen Scanzyklus für Softwareupdates.

Fehler 0x80244021, 0x8024401B, 0x80240030 und 0x8024402C werden durch Proxyprobleme verursacht.

Überprüfen Sie die Proxyeinstellungen auf dem Client, und stellen Sie sicher, dass sie ordnungsgemäß konfiguriert sind. Der Windows Update-Agent verwendet WinHTTP, um nach verfügbaren Updates zu suchen. Wenn ein Proxyserver zwischen dem Client und dem WSUS-Computer vorhanden ist, müssen die Proxyeinstellungen auf den Clients ordnungsgemäß konfiguriert werden, damit sie mithilfe des FQDN des Computers mit WSUS kommunizieren können.

Bei Proxyproblemen können WindowsUpdate.log Fehler melden, die den folgenden ähneln:

0x80244021 oder HTTP-Fehler 502 – Ungültiges Gateway

0x8024401B oder HTTP-Fehler 407 – Proxyauthentifizierung erforderlich

0x80240030 – Das Format der Proxyliste war ungültig.

0x8024402C – Der Proxyserver- oder Zielservername kann nicht aufgelöst werden.

In den meisten Fällen können Sie den Proxy für lokale Adressen umgehen, da sich der WSUS-Computer im Intranet befindet. Wenn der Client jedoch mit dem Internet verbunden ist, müssen Sie sicherstellen, dass der Proxyserver so konfiguriert ist, dass diese Kommunikation aktiviert ist.

Führen Sie einen der folgenden Befehle aus, um WinHTTP-Proxyeinstellungen anzuzeigen:

  • Unter Windows XP: proxycfg.exe
  • Unter Windows Vista und höheren Versionen: netsh winhttp show proxy

Proxyeinstellungen, die in Internet Explorer konfiguriert sind, sind Teil der WinINET-Proxyeinstellungen. WinHTTP-Proxyeinstellungen sind nicht unbedingt mit den Proxyeinstellungen identisch, die in Internet Explorer konfiguriert sind. Wenn die Proxyeinstellungen jedoch in Internet Explorer ordnungsgemäß festgelegt sind, können Sie die Proxykonfiguration aus Internet Explorer importieren. Führen Sie einen der folgenden Befehle aus, um die Proxykonfiguration aus Internet Explorer zu importieren:

  • Unter Windows XP: proxycfg.exe -u
  • Unter Windows Vista und höheren Versionen: netsh winhttp import proxy source =ie

Weitere Informationen finden Sie unter How the Windows Update client determines which proxy server to use to connect to the Windows Update website.

Fehler: 0x80072ee2, 0x8024401C, 0x80244023 oder 0x80244017 (HTTP-Status 401), 0x80244018 (HTTP-Status 403)

Überprüfen Sie die Verbindung mit dem WSUS-Computer. Während einer Überprüfung muss der Windows Update-Agent mit den ClientWebService und SimpleAuthWebService virtuellen Verzeichnissen auf dem WSUS-Computer kommunizieren, um eine Überprüfung auszuführen. Wenn der Client nicht mit dem WSUS-Computer kommunizieren kann, schlägt die Überprüfung fehl. Dieses Problem kann aus mehreren Gründen auftreten, darunter:

  • Portkonfiguration
  • Proxykonfiguration
  • Firewallprobleme
  • Netzwerkverbindung

Suchen Sie zunächst die URL des WSUS-Computers, indem Sie den folgenden Registrierungsschlüssel überprüfen:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

Versuchen Sie, auf die URL zuzugreifen, um die Verbindung zwischen dem Client und dem WSUS-Computer zu überprüfen. Die verwendete URL sollte beispielsweise der folgenden URL ähneln:
http://SUPSERVER.CONTOSO.COM:8530/Selfupdate/wuident.cab

Überprüfen Sie dann, ob der Client auf das ClientWebService virtuelle Verzeichnis zugreifen kann. Die URL sollte der folgenden URL ähneln:
http://SUPSERVER.CONTOSO.COM:8530/ClientWebService/wusserverversion.xml

Überprüfen Sie schließlich, ob der Client auf das SimpleAuthWebService virtuelle Verzeichnis zugreifen kann. Die URL sollte der folgenden URL ähneln: http://SUPSERVER.CONTOSO.COM:8530/SimpleAuthWebService/SimpleAuth.asmx

Wenn diese Tests erfolgreich sind, überprüfen Sie die Internetinformationsdienste (IIS)-Protokolle auf dem WSUS-Computer, um zu bestätigen, dass die HTTP-Fehler von WSUS zurückgegeben werden. Wenn der WSUS-Computer den Fehler nicht zurückgibt, liegt das Problem wahrscheinlich bei einer Zwischenfirewall oder einem Proxy vor.

Wenn einer dieser Tests fehlschlägt, überprüfen Sie auf Namensauflösungsprobleme auf dem Client. Stellen Sie sicher, dass Sie den FQDN des WSUS-Computers auflösen können.

Überprüfen Sie außerdem die Proxyeinstellungen auf dem Client, um sicherzustellen, dass sie ordnungsgemäß konfiguriert sind. Weitere Informationen finden Sie im Abschnitt "Überprüfungsfehler aufgrund von Proxyproblemen ".

Überprüfen Sie schließlich, ob auf die WSUS-Ports zugegriffen werden kann. WSUS kann für die Verwendung der folgenden Ports konfiguriert werden:

  • 80
  • 443
  • 8530
  • 8531

Damit Clients mit dem WSUS-Computer kommunizieren können, müssen die entsprechenden Ports auf jeder Firewall zwischen dem Client und dem WSUS-Computer aktiviert sein.

Ermitteln der porteinstellungen, die von WSUS und dem Softwareupdatepunkt verwendet werden

Porteinstellungen werden konfiguriert, wenn die Softwareupdatepunkt-Standortsystemrolle erstellt wird. Diese Porteinstellungen müssen mit den Porteinstellungen übereinstimmen, die von der WSUS-Website verwendet werden. Andernfalls stellt der WSUS-Synchronisierungs-Manager keine Verbindung mit dem WSUS-Computer her, der auf dem Softwareupdatepunkt ausgeführt wird, um die Synchronisierung anzufordern. Die folgenden Verfahren zeigen, wie Sie die Porteinstellungen überprüfen, die von WSUS und dem Softwareupdatepunkt verwendet werden.

Ermitteln der WSUS-Porteinstellungen in IIS 6.0

  1. Öffnen Sie auf dem WSUS-Server Internetinformationsdienste(IIS)-Manager.
  2. Erweitern Sie Websites, klicken Sie mit der rechten Maustaste auf die Website für den WSUS-Server, und wählen Sie dann "Eigenschaften" aus.
  3. Wählen Sie die Registerkarte "Website " aus.
  4. Die HTTP-Porteinstellung wird im TCP-Port angezeigt, und die HTTPS-Porteinstellung wird im SSL-Port angezeigt.

Ermitteln der WSUS-Porteinstellungen in IIS 7.0 und höheren Versionen

  1. Öffnen Sie auf dem WSUS-Server Internetinformationsdienste(IIS)-Manager.
  2. Erweitern Sie "Websites", klicken Sie mit der rechten Maustaste auf die Website für den WSUS-Server, und wählen Sie dann "Bindungen bearbeiten" aus.
  3. Im Dialogfeld "Websitebindungen" werden die HTTP- und HTTPS-Portwerte in der Spalte "Port" angezeigt.

Überprüfen und Konfigurieren von Ports für den Softwareupdatepunkt

  1. Wechseln Sie in der Configuration Manager-Konsole zu Verwaltungsstandortkonfigurationsservern>>und Standortsystemrollen, und wählen Sie< dann "SiteSystemName>" im rechten Bereich aus.
  2. Klicken Sie im unteren Bereich mit der rechten Maustaste auf "Softwareupdatepunkt ", und klicken Sie dann auf "Eigenschaften".
  3. Geben Oder überprüfen Sie auf der Registerkarte "Allgemein " die WSUS-Konfigurationsportnummern.

Nachdem die Ports überprüft und ordnungsgemäß konfiguriert wurden, sollten Sie die Portkonnektivität vom Client überprüfen, indem Sie den folgenden Befehl ausführen:

telnet SUPSERVER.CONTOSO.COM <PortNumber>

Wenn auf den Port nicht zugegriffen werden kann, gibt Telnet einen Fehler zurück, der wie folgt aussieht.

Die Verbindung mit dem Host konnte im Port PortNummer <nicht geöffnet werden.>

Dieser Fehler deutet darauf hin, dass Firewallregeln so konfiguriert werden müssen, dass die Kommunikation für die WSUS-Serverports aktiviert wird.

Fehler beim Scannen 0x80072f0c

Fehler 0x80072f0c in ein Zertifikat übersetzt werden muss, um die Clientauthentifizierung abzuschließen. Dieser Fehler sollte nur auftreten, wenn der WSUS-Computer für die Verwendung von SSL konfiguriert ist. Im Rahmen der SSL-Konfiguration müssen virtuelle WSUS-Verzeichnisse für die Verwendung von SSL konfiguriert werden, und sie müssen so festgelegt werden, dass Clientzertifikate ignoriert werden. Wenn die WSUS-Website oder eines der zuvor erwähnten virtuellen Verzeichnisse fälschlicherweise so konfiguriert sind, dass Clientzertifikate akzeptiert oder erforderlich sind, erhalten Sie diesen Fehler.

Überprüfen der SSL-Konfiguration

Wenn die Website nur im HTTPS-Modus konfiguriert ist, wird der Softwareupdatepunkt automatisch für die Verwendung von SSL konfiguriert. Wenn sich die Website im HTTPS- oder HTTP-Modus befindet, können Sie auswählen, ob der Softwareupdatepunkt für die Verwendung von SSL konfiguriert werden soll. Wenn der Softwareupdatepunkt für die Verwendung von SSL konfiguriert ist, muss der WSUS-Computer auch explizit für die Verwendung von SSL konfiguriert sein. Bevor Sie SSL konfigurieren, sollten Sie die Zertifikatanforderungen überprüfen. Stellen Sie sicher, dass ein Serverauthentifizierungszertifikat auf dem Softwareupdatepunktserver installiert ist.

Überprüfen, ob der Softwareupdatepunkt für SSL konfiguriert ist

  1. Wechseln Sie auf der Configuration Manager-Konsole zu Verwaltungsstandortkonfigurationsservern>>und Standortsystemrollen, und wählen Sie< dann "SiteSystemName>" im rechten Bereich aus.
  2. Klicken Sie im unteren Bereich mit der rechten Maustaste auf "Softwareupdatepunkt", und wählen Sie dann "Eigenschaften" aus.
  3. Überprüfen Sie auf der Registerkarte "Allgemein ", ob die folgende Option aktiviert ist:
    Ssl-Kommunikation an den WSUS-Server erforderlich

Überprüfen, ob der WSUS-Computer für SSL konfiguriert ist

  1. Öffnen Sie die WSUS-Konsole auf dem Softwareupdatepunkt für die Website.
  2. Wählen Sie im Konsolenstrukturbereich "Optionen" aus.
  3. Wählen Sie im Anzeigebereich " Quelle und Proxyserver aktualisieren" aus.
  4. Vergewissern Sie sich, dass die Option "SSL beim Synchronisieren von Updateinformationen verwenden" ausgewählt ist.

Hinzufügen des Serverauthentifizierungszertifikats zur WSUS-Verwaltungswebsite

  1. Starten Sie auf dem WSUS-Computer Internetinformationsdienste(IIS)-Manager.
  2. Erweitern Sie Websites, klicken Sie mit der rechten Maustaste auf die Standardwebsite oder auf die WSUS-Verwaltungswebsite , wenn WSUS für die Verwendung einer benutzerdefinierten Website konfiguriert ist, und wählen Sie dann "Bindungen bearbeiten" aus.
  3. Wählen Sie den HTTPS-Eintrag und dann "Bearbeiten" aus.
  4. Wählen Sie im Dialogfeld "Websitebindung bearbeiten" das Serverauthentifizierungszertifikat und dann "OK" aus.
  5. Wählen Sie im Dialogfeld "Websitebindung bearbeiten" "OK" und dann "Schließen" aus.
  6. Beenden Sie den IIS-Manager.

Wichtig

Stellen Sie sicher, dass der in den Websitesystemeigenschaften angegebene FQDN dem im Zertifikat angegebenen FQDN entspricht. Wenn der Softwareupdatepunkt nur Verbindungen aus dem Intranet akzeptiert, muss der Antragstellername oder der alternative Antragstellername den Intranet-FQDN enthalten. Wenn der Softwareupdatepunkt nur Clientverbindungen aus dem Internet akzeptiert, muss das Zertifikat weiterhin sowohl den Internet-FQDN als auch den Intranet-FQDN enthalten, da WCM und WSyncMgr weiterhin den Intranet-FQDN zum Herstellen einer Verbindung mit dem Softwareupdatepunkt verwenden. Wenn der Softwareupdatepunkt Verbindungen sowohl vom Internet als auch vom Intranet akzeptiert, müssen sowohl der Internet-FQDN als auch der Intranet-FQDN mithilfe des kaufmännischen Und-Zeichens (&) zwischen den beiden Namen angegeben werden.

Überprüfen, ob SSL auf dem WSUS-Computer konfiguriert ist

Weitere Informationen finden Sie unter Konfigurieren von SSL auf dem WSUS-Server.

Wichtig

Sie können die gesamte WSUS-Website nicht so konfigurieren, dass SSL erforderlich ist, da dann der gesamte Datenverkehr an die WSUS-Website verschlüsselt werden muss. WSUS verschlüsselt nur Updatemetadaten. Wenn ein Computer versucht, Updatedateien im HTTPS-Port abzurufen, schlägt die Übertragung fehl.

Gruppenrichtlinie setzt die richtigen WSUS-Konfigurationsinformationen außer Kraft.

Das Feature "Softwareupdates" konfiguriert automatisch eine lokale Gruppenrichtlinieneinstellung für den Configuration Manager-Client, sodass sie für die Verwendung des Quellspeicherorts und der Portnummer des Softwareupdatepunkts konfiguriert ist. Sowohl der Servername als auch die Portnummer sind erforderlich, damit der Client den Softwareupdatepunkt finden kann.

Wenn eine Active Directory-Gruppenrichtlinieneinstellung auf Computer für die Installation des Softwareupdatepunktclients angewendet wird, setzt sie die lokale Gruppenrichtlinieneinstellung außer Kraft. Sofern der Wert der in der Gruppenrichtlinie definierten Einstellung nicht mit dem wert identisch ist, der vom Configuration Manager (Servername und Port) festgelegt wird, schlägt die Configuration Manager-Softwareupdateüberprüfung auf dem Client fehl. In diesem Fall zeigt die datei WUAHandler.log den folgenden Eintrag an:

Group policy settings were overwritten by a higher authority (Domain Controller) to: Server http://server and Policy ENABLED

Um dieses Problem zu beheben, muss der Softwareupdatepunkt für Clientinstallation und Softwareupdates derselbe Server sein. Außerdem muss sie in der Active Directory-Gruppenrichtlinieneinstellung mithilfe des richtigen Namensformats und der Portinformationen angegeben werden. Wenn beispielsweise der Softwareupdatepunkt die Standardwebsite verwendet hat, lautet http://server1.contoso.com:80der Softwareupdatepunkt .

Clients können den WSUS-Serverspeicherort nicht finden

  1. Informationen dazu, wie Clients den WSUS-Serverspeicherort abrufen, finden Sie unter WSUS-Serverspeicherort. Und überprüfen Sie die Client- und Verwaltungspunktprotokolle.
  2. Aktivieren Sie ausführliche und Debugprotokollierung auf dem Client- und Verwaltungspunkt.
  3. Stellen Sie sicher, dass auf dem Client keine Kommunikationsfehler in CcmMessaging.log vorhanden sind.
  4. Wenn der Verwaltungspunkt eine leere WSUS-Standortantwort zurückgibt, liegt möglicherweise ein Konflikt in der Inhaltsversion von WSUS vor. Dies kann ein Ergebnis einer fehlgeschlagenen Synchronisierung sein. Um die Inhaltsversion des Softwareupdatepunkts zu finden, wählen Sie in der Configuration Manager-Konsole den>Status der Überwachungssoftwareaktualisierungspunktsynchronisierung aus.
  5. Überprüfen Sie die Daten in CI_UpdateSourcesund Update_SyncStatus WSUSServerLocations Tabellen, überprüfen Sie, ob die eindeutige ID und die Inhaltsversion der Aktualisierung in diesen Tabellen übereinstimmen.

Complianceergebnisse unbekannt

  1. Überprüfen Sie die PolicyAgent.log Datei auf dem Client, um zu überprüfen, ob der Client Richtlinien empfängt.
  2. Überprüfen Sie, ob die Softwareupdatesynchronisierung erfolgreich auf dem Softwareupdatepunkt ist. Wenn die Synchronisierung fehlschlägt, beheben Sie Synchronisierungsprobleme.
  3. Wenn die datei WUAHandler.log nicht vorhanden ist und nach dem Starten eines Scanzyklus nicht erstellt wird, tritt das Problem wahrscheinlich aus einem der folgenden Gründe auf:
  4. Stellen Sie sicher, dass in der CcmMessaging.log Datei auf dem Client keine Kommunikationsfehler vorhanden sind.
  5. Wenn die Überprüfung erfolgreich ist, sollte der Client Statusmeldungen an den Verwaltungspunkt senden, um den Updatestatus anzugeben. Informationen dazu, wie die Verarbeitung von Statusnachrichten funktioniert, finden Sie unter Statusnachrichtenverarbeitungsfluss.

Andere Probleme

Weitere Informationen finden Sie unter "Problembehandlung bei der Überprüfung von Clientsoftwareupdates".