Compartir a través de

Solución de errores de examen de actualizaciones de software en Configuration Manager

  • Artículo

En este artículo se describe cómo solucionar errores de examen de actualizaciones de software en Configuration Manager.

Versión original del producto: Microsoft System Center 2012 Configuration Manager, Microsoft System Center 2012 R2 Configuration Manager
Número de KB original: 3090184

Resumen

Hay varias razones por las que se podría producir un error en un examen de actualización de software. La mayoría de los problemas implican problemas de comunicación o firewall entre el cliente y el equipo del punto de actualización de software. Aquí se describen algunas de las condiciones de error más comunes y sus soluciones asociadas y sugerencias de solución de problemas. Para obtener más información sobre los errores comunes de Windows Update, consulta Errores comunes y mitigación de Windows Update.

Para obtener más información sobre las actualizaciones de software en Configuration Manager, consulte Introducción a las actualizaciones de software.

Al solucionar problemas de errores de examen de actualizaciones de software, céntrese en los archivos WUAHandler.log y WindowsUpdate.log. WUAHandler simplemente informa de lo que informó el Agente de Windows Update. Por lo tanto, el error en el archivo WUAHandler.log sería el mismo error notificado por el propio Agente de Windows Update. Es probable que la mayoría de la información sobre el error se encuentre en el archivo WindowsUpdate.log. Para obtener más información sobre cómo leer el archivo de WindowsUpdate.log, consulta Archivos de registro de Windows Update.

Errores de examen debido a componentes que faltan o están dañados

Los errores 0x80245003, 0x80070514, 0x8DDD0018, 0x80246008, 0x80200013, 0x80004015, 0x800A0046, 0x800A01AD, 0x80070424, 0x800B0100 y 0x80248011 están causados por componentes que faltan o están dañados.

Varios problemas pueden deberse a la falta de archivos o claves del Registro o a archivos dañados, registros de componentes, etc. Un buen punto de partida es ejecutar el solucionador de problemas de Windows Update para detectar y corregir estos problemas automáticamente.

También es una buena idea asegurarse de que está ejecutando la versión más reciente del Agente de Windows Update.

Si la ejecución del solucionador de problemas de Windows Update no corrige el problema, restablezca el almacén de datos del Agente de Windows Update en el cliente siguiendo estos pasos:

  1. Detenga el servicio Windows Update ejecutando el siguiente comando:

    net stop wuauserv

  2. Cambie el nombre de la C:\Windows\SoftwareDistribution carpeta a C:\Windows\SoftwareDistribution.old.

  3. Ejecute el siguiente comando para iniciar el servicio Windows Update:

    net start wuauserv

  4. Inicie un ciclo de examen de actualizaciones de software.

Los errores 0x80244021, 0x8024401B, 0x80240030 y 0x8024402C se deben a problemas relacionados con el proxy.

Compruebe la configuración del proxy en el cliente y asegúrese de que están configuradas correctamente. El Agente de Windows Update usa WinHTTP para buscar actualizaciones disponibles. Cuando hay un servidor proxy entre el cliente y el equipo WSUS, la configuración del proxy debe configurarse correctamente en los clientes para permitir que se comuniquen con WSUS mediante el FQDN del equipo.

En el caso de los problemas de proxy, WindowsUpdate.log pueden notificar errores similares a los siguientes:

0x80244021 o error HTTP 502: puerta de enlace incorrecta

0x8024401B o error HTTP 407: se requiere autenticación de proxy

0x80240030: el formato de la lista de proxy no era válido

0x8024402C: no se puede resolver el nombre del servidor proxy o del servidor de destino.

En la mayoría de los casos, puede omitir el proxy para las direcciones locales porque el equipo WSUS se encuentra dentro de la intranet. Pero si el cliente está conectado a Internet, debe asegurarse de que el servidor proxy está configurado para habilitar esa comunicación.

Para ver la configuración del proxy WinHTTP, ejecute uno de los siguientes comandos:

  • En Windows XP: proxycfg.exe
  • En Windows Vista y versiones posteriores: netsh winhttp show proxy

Las opciones de proxy que se configuran en Internet Explorer forman parte de la configuración del proxy winINET. La configuración del proxy WinHTTP no es necesariamente la misma que la configuración de proxy que se configura en Internet Explorer. Sin embargo, si la configuración del proxy se establece correctamente en Internet Explorer, puede importar la configuración del proxy desde Internet Explorer. Para importar la configuración de proxy desde Internet Explorer, ejecute uno de los siguientes comandos:

  • En Windows XP: proxycfg.exe -u
  • En Windows Vista y versiones posteriores: netsh winhttp import proxy source =ie

Para obtener más información, vea Cómo determina el cliente de Windows Update qué servidor proxy usar para conectarse al sitio web de Windows Update.

Errores: 0x80072ee2, 0x8024401C, 0x80244023 o 0x80244017 (estado HTTP 401), 0x80244018 (estado HTTP 403)

Compruebe la conectividad con el equipo WSUS. Durante un examen, el Agente de Windows Update debe comunicarse con los ClientWebService directorios virtuales y SimpleAuthWebService en el equipo WSUS para ejecutar un examen. Si el cliente no puede comunicarse con el equipo WSUS, se produce un error en el examen. Este problema puede producirse por varios motivos, entre los que se incluyen:

  • configuración de puerto
  • configuración de proxy
  • problemas de firewall
  • conectividad de red

En primer lugar, busque la dirección URL del equipo WSUS comprobando la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

Intente acceder a la dirección URL para comprobar la conectividad entre el cliente y el equipo WSUS. Por ejemplo, la dirección URL que use debe ser similar a la siguiente:
http://SUPSERVER.CONTOSO.COM:8530/Selfupdate/wuident.cab

A continuación, compruebe si el cliente puede acceder al ClientWebService directorio virtual. La dirección URL debe ser similar a la siguiente:
http://SUPSERVER.CONTOSO.COM:8530/ClientWebService/wusserverversion.xml

Por último, compruebe si el cliente puede acceder al SimpleAuthWebService directorio virtual. La dirección URL debe ser similar a la siguiente: http://SUPSERVER.CONTOSO.COM:8530/SimpleAuthWebService/SimpleAuth.asmx

Si estas pruebas se realizan correctamente, revise los registros de Internet Information Services (IIS) en el equipo WSUS para confirmar que se devuelven los errores HTTP de WSUS. Si el equipo WSUS no devuelve el error, es probable que el problema se produzca con un firewall o proxy intermedios.

Si se produce un error en alguna de estas pruebas, compruebe si hay problemas de resolución de nombres en el cliente. Compruebe que puede resolver el FQDN del equipo WSUS.

Compruebe también la configuración del proxy en el cliente para asegurarse de que están configurados correctamente. Para obtener más información, consulte la sección Errores de examen debido a problemas relacionados con el proxy.

Por último, compruebe que se puede acceder a los puertos WSUS. WSUS se puede configurar para usar cualquiera de los puertos siguientes:

  • 80
  • 443
  • 8530
  • 8531

Para que los clientes se comuniquen con el equipo WSUS, los puertos adecuados deben estar habilitados en cualquier firewall entre el cliente y el equipo WSUS.

Determinar la configuración de puerto usada por WSUS y el punto de actualización de software

Los valores de puerto se configuran cuando se crea el rol de sistema de sitio del punto de actualización de software. Esta configuración de puerto debe ser la misma que la configuración de puerto que usa el sitio web de WSUS. De lo contrario, el Administrador de sincronización de WSUS no se conectará al equipo WSUS que se ejecuta en el punto de actualización de software para solicitar la sincronización. Los procedimientos siguientes muestran cómo comprobar la configuración de puerto que usa WSUS y el punto de actualización de software.

Determinación de la configuración del puerto WSUS en IIS 6.0

  1. En el servidor WSUS, abra administrador de Internet Information Services (IIS).
  2. Expanda Sitios web, haga clic con el botón derecho en el sitio web del servidor WSUS y, a continuación, seleccione Propiedades.
  3. Seleccione la pestaña Sitio web.
  4. La configuración del puerto HTTP se muestra en el puerto TCP y la configuración del puerto HTTPS se muestra en el puerto SSL.

Determinación de la configuración del puerto WSUS en IIS 7.0 y versiones posteriores

  1. En el servidor WSUS, abra administrador de Internet Information Services (IIS).
  2. Expanda Sitios, haga clic con el botón derecho en el sitio web del servidor WSUS y seleccione Editar enlaces.
  3. En el cuadro de diálogo Enlaces de sitio, los valores de puerto HTTP y HTTPS se muestran en la columna Puerto .

Comprobación y configuración de puertos para el punto de actualización de software

  1. En la consola de Configuration Manager, vaya a Administración>Servidores de configuración>del sitio y Roles de sistema de sitio y< seleccione SiteSystemName> en el panel derecho.
  2. En el panel inferior, haga clic con el botón derecho en Punto de actualización de software y, a continuación, haga clic en Propiedades.
  3. En la pestaña General , especifique o compruebe los números de puerto de configuración de WSUS.

Una vez comprobados y configurados correctamente los puertos, debe comprobar la conectividad del puerto desde el cliente mediante la ejecución del comando siguiente:

telnet SUPSERVER.CONTOSO.COM <PortNumber>

Si el puerto no es accesible, telnet devuelve un error similar al siguiente.

No se pudo abrir la conexión con el host, en el puerto <PortNumber>

Este error sugiere que las reglas de firewall deben configurarse para habilitar la comunicación para los puertos del servidor WSUS.

Error en el examen con 0x80072f0c de error

El error 0x80072f0c se traduce en un certificado A para completar la autenticación de cliente. Este error solo debe producirse si el equipo WSUS está configurado para usar SSL. Como parte de la configuración de SSL, los directorios virtuales de WSUS deben configurarse para usar SSL y deben establecerse para omitir los certificados de cliente. Si el sitio web de WSUS o cualquiera de los directorios virtuales mencionados anteriormente se configuran incorrectamente para Aceptar o Requerir certificados de cliente, recibirá este error.

Comprobación de la configuración de SSL

Cuando el sitio está configurado en modo de solo HTTPS, el punto de actualización de software se configura automáticamente para usar SSL. Cuando el sitio está en modo HTTPS o HTTP , puede elegir si desea configurar el punto de actualización de software para usar SSL. Cuando el punto de actualización de software está configurado para usar SSL, el equipo WSUS también debe configurarse explícitamente para usar SSL. Antes de configurar SSL, debe revisar los requisitos del certificado. Y asegúrese de que un certificado de autenticación de servidor esté instalado en el servidor de punto de actualización de software.

Compruebe que el punto de actualización de software está configurado para SSL

  1. En la consola de Configuration Manager, vaya a Administración>Servidores de configuración>del sitio y Roles de sistema de sitio y< seleccione SiteSystemName> en el panel derecho.
  2. En el panel inferior, haga clic con el botón derecho en Punto de actualización de software y, a continuación, seleccione Propiedades.
  3. En la pestaña General , compruebe que la opción siguiente está habilitada:
    Requerir comunicación SSL con el servidor WSUS

Compruebe que el equipo WSUS está configurado para SSL

  1. Abra la consola WSUS en el punto de actualización de software del sitio.
  2. En el panel de árbol de consola, seleccione Opciones.
  3. En el panel de presentación, seleccione Actualizar origen y servidor proxy.
  4. Compruebe que la opción Usar SSL al sincronizar la información de actualización está seleccionada.

Adición del certificado de autenticación de servidor al sitio web de administración de WSUS

  1. En el equipo WSUS, inicie el Administrador de Internet Information Services (IIS).
  2. Expanda Sitios, haga clic con el botón derecho en Sitio web predeterminado o el sitio web de administración de WSUS si WSUS está configurado para usar un sitio web personalizado y, a continuación, seleccione Editar enlaces.
  3. Seleccione la entrada HTTPS y, a continuación, seleccione Editar.
  4. En el cuadro de diálogo Editar enlace de sitio , seleccione el certificado de autenticación del servidor y, a continuación, seleccione Aceptar.
  5. En el cuadro de diálogo Editar enlace de sitio , seleccione Aceptar y, a continuación, seleccione Cerrar.
  6. Salga del Administrador de IIS.

Importante

Asegúrese de que el FQDN especificado en las propiedades del sistema de sitio coincide con el FQDN especificado en el certificado. Si el punto de actualización de software solo acepta conexiones de la intranet, el nombre del firmante o el nombre alternativo del firmante deben contener el FQDN de la intranet. Cuando el punto de actualización de software acepta conexiones de cliente solo desde Internet, el certificado todavía debe contener el FQDN de Internet y el FQDN de la intranet, ya que WCM y WSyncMgr siguen usando el FQDN de intranet para conectarse al punto de actualización de software. Si el punto de actualización de software acepta conexiones tanto de Internet como de la intranet, tanto el FQDN de Internet como el FQDN de la intranet deben especificarse mediante el delimitador de símbolos y (&) delimitador de símbolos de Internet entre los dos nombres.

Comprobación de que SSL está configurado en el equipo WSUS

Para obtener más información, consulte Configuración de SSL en el servidor WSUS.

Importante

No puede configurar todo el sitio web de WSUS para requerir SSL, ya que todo el tráfico al sitio de WSUS tendría que cifrarse. WSUS solo cifra los metadatos de actualización. Si un equipo intenta recuperar archivos de actualización en el puerto HTTPS, se producirá un error en la transferencia.

La directiva de grupo invalida la información de configuración de WSUS correcta.

La característica Actualizaciones de software configura automáticamente una configuración de directiva de grupo local para el cliente de Configuration Manager, de modo que esté configurada para usar la ubicación de origen del punto de actualización de software y el número de puerto. Tanto el nombre del servidor como el número de puerto son necesarios para que el cliente encuentre el punto de actualización de software.

Si se aplica una configuración de directiva de grupo de Active Directory a los equipos para la instalación de cliente del punto de actualización de software, invalida la configuración de directiva de grupo local. A menos que el valor de la configuración definida en la directiva de grupo sea idéntica a la establecida por Configuration Manager (nombre del servidor y puerto), se producirá un error en el examen de actualización de software de Configuration Manager en el cliente. En este caso, el archivo WUAHandler.log muestra la siguiente entrada:

Group policy settings were overwritten by a higher authority (Domain Controller) to: Server http://server and Policy ENABLED

Para corregir este problema, el punto de actualización de software para la instalación del cliente y las actualizaciones de software deben ser el mismo servidor. Y debe especificarse en la configuración de directiva de grupo de Active Directory mediante el formato de nombre correcto y la información del puerto. Por ejemplo, si el punto de actualización de software usaba el sitio web predeterminado, el punto de actualización de software sería http://server1.contoso.com:80.

Los clientes no pueden encontrar la ubicación del servidor WSUS

  1. Para comprender cómo los clientes obtienen la ubicación del servidor WSUS, consulte Ubicación del servidor WSUS. Y revise los registros de cliente y punto de administración.
  2. Habilite el registro detallado y de depuración en el cliente y el punto de administración.
  3. Compruebe que no hay errores de comunicación en CcmMessaging.log en el cliente.
  4. Si el punto de administración devuelve una respuesta de ubicación de WSUS vacía, puede haber un error de coincidencia en la versión de contenido de WSUS. Podría ser el resultado de la sincronización con errores. Para buscar la versión de contenido del punto de actualización de software, en la consola de Configuration Manager, seleccione Supervisar>estado de sincronización de punto de actualización de software.
  5. Revise los datos de CI_UpdateSourceslas tablas y WSUSServerLocations Update_SyncStatus , compruebe que el identificador único de origen de actualización y la versión de contenido coinciden en estas tablas.

Resultados de cumplimiento desconocidos

  1. Revise el archivo PolicyAgent.log en el cliente para comprobar que el cliente está recibiendo directivas.
  2. Compruebe que la sincronización de actualizaciones de software se realiza correctamente en el punto de actualización de software. Si se produce un error en la sincronización, solucione problemas de sincronización.
  3. Si el archivo WUAHandler.log no existe y no se crea después de iniciar un ciclo de examen, lo más probable es que el problema se produzca debido a uno de los siguientes motivos:
    • La directiva de examen de actualizaciones de software no está disponible
    • Los clientes no pueden encontrar la ubicación del servidor WSUS
  4. Compruebe que no hay errores de comunicación en el archivo CcmMessaging.log en el cliente.
  5. Si el examen se realiza correctamente, el cliente debe enviar mensajes de estado al punto de administración para indicar el estado de actualización. Para comprender cómo funciona el procesamiento de mensajes de estado, consulte flujo de procesamiento de mensajes de estado.

Otros problemas

Para obtener más información, consulte Solución de problemas de examen de actualizaciones de software cliente.