Résoudre les problèmes d’analyse des mises à jour logicielles dans Configuration Manager
Cet article explique comment résoudre les échecs d’analyse des mises à jour logicielles dans Configuration Manager.
Version du produit d’origine : Microsoft System Center 2012 Configuration Manager, Microsoft System Center 2012 R2 Configuration Manager
Numéro de base de connaissances d’origine : 3090184
Résumé
Il existe plusieurs raisons pour lesquelles une analyse de mise à jour logicielle peut échouer. La plupart des problèmes impliquent des problèmes de communication ou de pare-feu entre le client et l’ordinateur du point de mise à jour logicielle. Nous décrivons quelques-unes des conditions d’erreur les plus courantes et leurs résolutions et conseils de dépannage associés ici. Pour plus d’informations sur les erreurs courantes de Windows Update, consultez Les erreurs courantes et l’atténuation de Windows Update.
Pour plus d’informations sur les mises à jour logicielles dans Configuration Manager, consultez l’introduction des mises à jour logicielles.
Lorsque vous résolvez les échecs d’analyse des mises à jour logicielles, concentrez-vous sur les fichiers WUAHandler.log et WindowsUpdate.log. WUAHandler signale simplement ce que l’agent Windows Update a signalé. Par conséquent, l’erreur dans le fichier WUAHandler.log serait la même erreur que celle signalée par l’agent Windows Update lui-même. La plupart des informations sur l’erreur sont probablement trouvées dans le fichier WindowsUpdate.log. Pour plus d’informations sur la lecture du fichier WindowsUpdate.log, consultez les fichiers journaux Windows Update.
Échecs d’analyse en raison de composants manquants ou endommagés
Les erreurs 0x80245003, 0x80070514, 0x8DDD0018, 0x80246008, 0x80200013, 0x80004015, 0x800A0046, 0x800A01AD, 0x80070424, 0x800B0100 et 0x80248011 sont causées par des composants manquants ou endommagés.
Plusieurs problèmes peuvent être causés par des fichiers ou des clés de Registre manquants ou endommagés, des inscriptions de composants, et ainsi de suite. Un bon point de démarrage consiste à exécuter l’utilitaire de résolution des problèmes Windows Update pour détecter et résoudre ces problèmes automatiquement.
Il est également judicieux de vous assurer que vous exécutez la dernière version de l’agent Windows Update.
Si l’exécution de l’utilitaire de résolution des problèmes windows Update ne résout pas le problème, réinitialisez le magasin de données de l’Agent Windows Update sur le client en procédant comme suit :
Arrêtez le service Windows Update en exécutant la commande suivante :
net stop wuauserv
Renommez le
C:\Windows\SoftwareDistribution
dossier enC:\Windows\SoftwareDistribution.old
.Démarrez le service Windows Update en exécutant la commande suivante :
net start wuauserv
Démarrez un cycle d’analyse des mises à jour logicielles.
Échecs d’analyse en raison de problèmes liés au proxy
Les erreurs 0x80244021, 0x8024401B, 0x80240030 et 0x8024402C sont causées par des problèmes liés au proxy.
Vérifiez les paramètres du proxy sur le client et vérifiez qu’ils sont correctement configurés. L’agent Windows Update utilise WinHTTP pour rechercher les mises à jour disponibles. Lorsqu’il existe un serveur proxy entre le client et l’ordinateur WSUS, les paramètres de proxy doivent être configurés correctement sur les clients pour leur permettre de communiquer avec WSUS à l’aide du nom de domaine complet de l’ordinateur.
Pour les problèmes de proxy, WindowsUpdate.log peut signaler des erreurs qui ressemblent à celles suivantes :
0x80244021 ou l’erreur HTTP 502 - Passerelle incorrecte
0x8024401B ou l’erreur HTTP 407 - Authentification proxy requise
0x80240030 - Le format de la liste de proxy n’était pas valide
0x8024402C - Impossible de résoudre le nom du serveur proxy ou du serveur cible
Dans la plupart des cas, vous pouvez contourner le proxy pour les adresses locales, car l’ordinateur WSUS se trouve dans l’intranet. Toutefois, si le client est connecté à Internet, vous devez vous assurer que le serveur proxy est configuré pour activer cette communication.
Pour afficher les paramètres du proxy WinHTTP, exécutez l’une des commandes suivantes :
- Sur Windows XP :
proxycfg.exe
- Sur Windows Vista et versions ultérieures :
netsh winhttp show proxy
Les paramètres de proxy configurés dans Internet Explorer font partie des paramètres de proxy WinINET. Les paramètres de proxy WinHTTP ne sont pas nécessairement identiques aux paramètres de proxy configurés dans Internet Explorer. Toutefois, si les paramètres du proxy sont correctement définis dans Internet Explorer, vous pouvez importer la configuration du proxy à partir d’Internet Explorer. Pour importer la configuration du proxy à partir d’Internet Explorer, exécutez l’une des commandes suivantes :
- Sur Windows XP :
proxycfg.exe -u
- Sur Windows Vista et versions ultérieures :
netsh winhttp import proxy source =ie
Pour plus d’informations, consultez Comment le client Windows Update détermine le serveur proxy à utiliser pour se connecter au site web Windows Update.
Échecs d’analyse liés à l’expiration ou à l’authentification HTTP
Erreurs : 0x80072ee2, 0x8024401C, 0x80244023 ou 0x80244017 (état HTTP 401), 0x80244018 (état HTTP 403)
Vérifiez la connectivité avec l’ordinateur WSUS. Pendant une analyse, l’agent Windows Update doit communiquer avec les répertoires virtuels et SimpleAuthWebService
les ClientWebService
répertoires sur l’ordinateur WSUS pour exécuter une analyse. Si le client ne peut pas communiquer avec l’ordinateur WSUS, l’analyse échoue. Ce problème peut se produire pour plusieurs raisons, notamment :
- Configuration du port
- Configuration du proxy
- Problèmes de pare-feu
- connectivité réseau
Tout d’abord, recherchez l’URL de l’ordinateur WSUS en vérifiant la clé de Registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
Essayez d’accéder à l’URL pour vérifier la connectivité entre le client et l’ordinateur WSUS. Par exemple, l’URL que vous utilisez doit ressembler à l’URL suivante :
http://SUPSERVER.CONTOSO.COM:8530/Selfupdate/wuident.cab
Vérifiez ensuite si le client peut accéder au ClientWebService
répertoire virtuel. L’URL doit ressembler à l’URL suivante :
http://SUPSERVER.CONTOSO.COM:8530/ClientWebService/wusserverversion.xml
Enfin, vérifiez si le client peut accéder au SimpleAuthWebService
répertoire virtuel. L’URL doit ressembler à l’URL suivante : http://SUPSERVER.CONTOSO.COM:8530/SimpleAuthWebService/SimpleAuth.asmx
Si ces tests réussissent, passez en revue les journaux iis (Internet Information Services) sur l’ordinateur WSUS pour vérifier que les erreurs HTTP sont retournées par WSUS. Si l’ordinateur WSUS ne retourne pas l’erreur, le problème est probablement lié à un pare-feu ou un proxy intermédiaire.
Si l’un de ces tests échoue, vérifiez les problèmes de résolution de noms sur le client. Vérifiez que vous pouvez résoudre le nom de domaine complet de l’ordinateur WSUS.
Vérifiez également les paramètres du proxy sur le client pour vous assurer qu’ils sont correctement configurés. Pour plus d’informations, consultez la section Sur les échecs d’analyse en raison de problèmes liés au proxy.
Enfin, vérifiez que les ports WSUS sont accessibles. WSUS peut être configuré pour utiliser l’un des ports suivants :
- 80
- 443
- 8530
- 8531
Pour que les clients communiquent avec l’ordinateur WSUS, les ports appropriés doivent être activés sur n’importe quel pare-feu entre le client et l’ordinateur WSUS.
Déterminer les paramètres de port utilisés par WSUS et le point de mise à jour logicielle
Les paramètres de port sont configurés lorsque le rôle de système de site du point de mise à jour logicielle est créé. Ces paramètres de port doivent être identiques aux paramètres de port utilisés par le site web WSUS. Sinon, le Gestionnaire de synchronisation WSUS ne se connecte pas à l’ordinateur WSUS qui s’exécute sur le point de mise à jour logicielle pour demander la synchronisation. Les procédures suivantes montrent comment vérifier les paramètres de port utilisés par WSUS et le point de mise à jour logicielle.
Déterminer les paramètres de port WSUS dans IIS 6.0
- Sur le serveur WSUS, ouvrez le Gestionnaire des services Internet (IIS).
- Développez Sites web, cliquez avec le bouton droit sur le site web du serveur WSUS, puis sélectionnez Propriétés.
- Sélectionnez l’onglet Site web.
- Le paramètre de port HTTP s’affiche dans le port TCP et le paramètre de port HTTPS s’affiche dans le port SSL.
Déterminer les paramètres de port WSUS dans IIS 7.0 et versions ultérieures
- Sur le serveur WSUS, ouvrez le Gestionnaire des services Internet (IIS).
- Développez Sites, cliquez avec le bouton droit sur le site web du serveur WSUS, puis sélectionnez Modifier les liaisons.
- Dans la boîte de dialogue Liaisons de site, les valeurs de port HTTP et HTTPS sont affichées dans la colonne Port .
Vérifier et configurer des ports pour le point de mise à jour logicielle
- Dans la console Configuration Manager, accédez aux serveurs de configuration>de site d’administration>et aux rôles de système de site, puis sélectionnez< SiteSystemName> dans le volet droit.
- Dans le volet inférieur, cliquez avec le bouton droit sur Point de mise à jour logicielle, puis cliquez sur Propriétés.
- Sous l’onglet Général , spécifiez ou vérifiez les numéros de port de configuration WSUS.
Une fois les ports vérifiés et configurés correctement, vous devez vérifier la connectivité des ports à partir du client en exécutant la commande suivante :
telnet SUPSERVER.CONTOSO.COM <PortNumber>
Si le port est inaccessible, telnet retourne une erreur semblable à ce qui suit.
Impossible d’ouvrir la connexion à l’hôte, sur le port <PortNumber>
Cette erreur suggère que les règles de pare-feu doivent être configurées pour activer la communication pour les ports serveur WSUS.
L’analyse échoue avec l’erreur 0x80072f0c
L’erreur 0x80072f0c traduit en certificat A est nécessaire pour terminer l’authentification du client. Cette erreur ne doit se produire que si l’ordinateur WSUS est configuré pour utiliser SSL. Dans le cadre de la configuration SSL, les répertoires virtuels WSUS doivent être configurés pour utiliser SSL et ils doivent être définis pour ignorer les certificats clients. Si le site web WSUS ou l’un des répertoires virtuels mentionnés précédemment sont configurés de manière incorrecte pour accepter ou exiger des certificats clients, vous recevez cette erreur.
Vérifier la configuration SSL
Lorsque le site est configuré en mode HTTPS uniquement , le point de mise à jour logicielle est automatiquement configuré pour utiliser SSL. Lorsque le site est en mode HTTPS ou HTTP , vous pouvez choisir de configurer le point de mise à jour logicielle pour utiliser SSL. Lorsque le point de mise à jour logicielle est configuré pour utiliser SSL, l’ordinateur WSUS doit également être configuré explicitement pour utiliser SSL. Avant de configurer SSL, vous devez passer en revue les exigences du certificat. Assurez-vous qu’un certificat d’authentification de serveur est installé sur le serveur de point de mise à jour logicielle.
Vérifiez que le point de mise à jour logicielle est configuré pour SSL
- Dans la console Configuration Manager, accédez aux serveurs de configuration>de site d’administration>et aux rôles de système de site, puis sélectionnez< SiteSystemName> dans le volet droit.
- Dans le volet inférieur, cliquez avec le bouton droit sur Point de mise à jour logicielle, puis sélectionnez Propriétés.
- Sous l’onglet Général , vérifiez que l’option suivante est activée :
Exiger une communication SSL vers le serveur WSUS
Vérifier que l’ordinateur WSUS est configuré pour SSL
- Ouvrez la console WSUS sur le point de mise à jour logicielle du site.
- Dans le volet d’arborescence de la console, sélectionnez Options.
- Dans le volet d’affichage, sélectionnez Mettre à jour la source et le serveur proxy.
- Vérifiez que l’option Utiliser SSL lors de la synchronisation des informations de mise à jour est sélectionnée.
Ajouter le certificat d’authentification du serveur au site web d’administration WSUS
- Sur l’ordinateur WSUS, démarrez le Gestionnaire des services Internet (IIS).
- Développez Sites, cliquez avec le bouton droit sur Le site web par défaut ou le site web d’administration WSUS si WSUS est configuré pour utiliser un site web personnalisé, puis sélectionnez Modifier les liaisons.
- Sélectionnez l’entrée HTTPS , puis sélectionnez Modifier.
- Dans la boîte de dialogue Modifier la liaison de site, sélectionnez le certificat d’authentification du serveur, puis sélectionnez OK.
- Dans la boîte de dialogue Modifier la liaison de site, sélectionnez OK, puis fermez.
- Quittez le Gestionnaire IIS.
Important
Vérifiez que le nom de domaine complet spécifié dans les propriétés du système de site correspond au nom de domaine complet spécifié dans le certificat. Si le point de mise à jour logicielle accepte les connexions à partir de l’intranet uniquement, le nom de l’objet ou l’autre nom de l’objet doit contenir le nom de domaine complet intranet. Lorsque le point de mise à jour logicielle accepte les connexions clientes à partir d’Internet uniquement, le certificat doit toujours contenir le nom de domaine complet Internet et le nom de domaine complet intranet, car WCM et WSyncMgr utilisent toujours le nom de domaine complet intranet pour se connecter au point de mise à jour logicielle. Si le point de mise à jour logicielle accepte les connexions à partir d’Internet et de l’intranet, le nom de domaine complet Internet et le nom de domaine complet intranet doivent être spécifiés à l’aide du délimiteur de symboles ampersand (&) entre les deux noms.
Vérifier que SSL est configuré sur l’ordinateur WSUS
Pour plus d’informations, consultez Configurer SSL sur le serveur WSUS.
Important
Vous ne pouvez pas configurer l’ensemble du site web WSUS pour exiger SSL, car tout le trafic vers le site WSUS doit être chiffré. WSUS chiffre uniquement les métadonnées de mise à jour. Si un ordinateur tente de récupérer des fichiers de mise à jour sur le port HTTPS, le transfert échoue.
La stratégie de groupe remplace les informations de configuration WSUS appropriées
La fonctionnalité Mises à jour logicielles configure automatiquement un paramètre de stratégie de groupe local pour le client Configuration Manager afin qu’il soit configuré pour utiliser l’emplacement source du point de mise à jour logicielle et le numéro de port. Le nom du serveur et le numéro de port sont requis pour que le client recherche le point de mise à jour logicielle.
Si un paramètre de stratégie de groupe Active Directory est appliqué aux ordinateurs pour l’installation du client du point de mise à jour logicielle, il remplace le paramètre de stratégie de groupe local. Sauf si la valeur du paramètre défini dans la stratégie de groupe est identique à celle définie par Configuration Manager (nom du serveur et port), l’analyse des mises à jour logicielles Configuration Manager échoue sur le client. Dans ce cas, le fichier WUAHandler.log affiche l’entrée suivante :
Group policy settings were overwritten by a higher authority (Domain Controller) to: Server http://server and Policy ENABLED
Pour résoudre ce problème, le point de mise à jour logicielle pour l’installation du client et les mises à jour logicielles doivent être le même serveur. Il doit également être spécifié dans le paramètre de stratégie de groupe Active Directory à l’aide du format de nom et des informations de port correctes. Par exemple, si le point de mise à jour logicielle utilise le site web par défaut, le point de mise à jour logicielle est http://server1.contoso.com:80
.
Les clients ne peuvent pas trouver l’emplacement du serveur WSUS
- Pour comprendre comment les clients obtiennent l’emplacement du serveur WSUS, consultez l’emplacement du serveur WSUS. Et passez en revue les journaux des points de gestion et du client.
- Activez la journalisation détaillée et de débogage sur le client et le point de gestion.
- Vérifiez qu’il n’existe aucune erreur de communication dans CcmMessaging.log sur le client.
- Si le point de gestion retourne une réponse d’emplacement WSUS vide, il peut y avoir une incompatibilité dans la version de contenu de WSUS. Cela peut être le résultat d’une synchronisation ayant échoué. Pour rechercher la version de contenu du point de mise à jour logicielle, dans la console Configuration Manager, sélectionnez Surveillance>de l’état de synchronisation des points de mise à jour logicielle.
- Passez en revue les données dans
CI_UpdateSources
etWSUSServerLocations
Update_SyncStatus
les tables, vérifiez que l’ID unique de la source de mise à jour et la version de contenu correspondent entre ces tables.
Résultats de conformité inconnus
- Passez en revue le fichier PolicyAgent.log sur le client pour vérifier que le client reçoit des stratégies.
- Vérifiez que la synchronisation des mises à jour logicielles réussit sur le point de mise à jour logicielle. En cas d’échec de la synchronisation, résolvez les problèmes de synchronisation.
- Si le fichier WUAHandler.log n’existe pas et n’est pas créé après le démarrage d’un cycle d’analyse, le problème se produit probablement en raison de l’une des raisons suivantes :
- La stratégie d’analyse des mises à jour logicielles n’est pas disponible
- Les clients ne peuvent pas trouver l’emplacement du serveur WSUS
- Vérifiez qu’il n’existe aucune erreur de communication dans le fichier CcmMessaging.log sur le client.
- Si l’analyse réussit, le client doit envoyer des messages d’état au point de gestion pour indiquer l’état de mise à jour. Pour comprendre le fonctionnement du traitement des messages d’état, consultez le flux de traitement des messages d’état.
Autres problèmes
Pour plus d’informations, consultez Résoudre les problèmes d’analyse des mises à jour logicielles clientes.