Problemen met software-updatebeheer in Configuration Manager oplossen

Dit artikel helpt u bij het oplossen van problemen met het software-updatebeheerproces in Configuration Manager. Het omvat scannen van clientsoftware-updates, synchronisatieproblemen en detectieproblemen met specifieke updates.

Oorspronkelijke productversie: Configuration Manager (huidige vertakking), System Center 2012 R2 Configuration Manager, System Center 2012 Configuration Manager
Oorspronkelijk KB-nummer: 4505440

Bereik van uw probleem

In deze handleiding wordt ervan uitgegaan dat er al een software-updatepunt is geïnstalleerd en geconfigureerd. Zie Voorbereiden voor software-updatesbeheer voor meer informatie over het configureren van software-updates in Configuration Manager.

Voordat u begint met het oplossen van problemen, is het belangrijk om te benadrukken dat, hoe beter u het probleem begrijpt dat u ondervindt, hoe sneller en eenvoudiger het voor u is om het probleem op te lossen. Of u nu de taak hebt om een probleem op te lossen dat u ondervindt of een probleem dat door iemand in uw organisatie aan u is gemeld, neem even de tijd en beantwoord de volgende vragen:

1. Wat werkt er specifiek niet en/of wat is uw doel?
2. Wat is de frequentie of het patroon voor het probleem? Treedt het probleem nog steeds op?
3. Hoe bent u zich bewust geworden dat het probleem bestaat?
4. Heeft het ooit gewerkt? Zo ja, wanneer stopte het? Is er iets veranderd in de omgeving voordat deze niet meer werkt?
5. Welk percentage van clients wordt beïnvloed?
6. Wat is er al gedaan (als er iets is) om het probleem op te lossen?
7. De exacte versie van de client en de versie van de server kennen. Zijn deze systemen up-to-date?
8. Wat hebben de betrokken clients gemeen? Bijvoorbeeld hetzelfde subnet, AD-site, domein, fysieke locatie, site, sitesysteem.

Als u de antwoorden op deze vragen kent en begrijpt, komt u op het beste pad voor een snelle en eenvoudige oplossing voor elk probleem dat u ondervindt.

Als u het specifieke gebied binnen het software-updatebeheerproces kent dat u wilt oplossen, selecteert u het hieronder. Begin met scannen van clientsoftware-updates als dit niet zeker is en we doorlopen het hele proces van begin tot eind.

• Scannen van clientsoftware-updates
• WSUS naar Microsoft Update-synchronisatie
• Installatie-, vervangings- of detectieproblemen met specifieke updates

Scannen van clientsoftware-updates

Het clientscanproces wordt beschreven in de volgende stappen. Bevestig elke stap om goed vast te stellen waar het probleem zich bevindt.

Stap 1: De client verzendt een WSUS-locatieaanvraag naar het beheerpunt

Het eerste wat de client doet, is de WSUS-server instellen die de updatebron is voor software-updatescans. Dit proces wordt hieronder beschreven.

1. Wanneer de Configuration Manager-client een software-updatescan moet verwerken, maakt scanagent een scanaanvraag op basis van het beschikbare beleid zoals vermeld in ScanAgent.log:

   CScanAgent::ScanByUpdates- Policy available for UpdateSourceID={SourceID}  
   ContentVersion=38  
   CScanAgent::ScanByUpdates- Added Policy to final ScanRequest List UpdateSourceID={SourceID}, Policy-ContentVersion=38, Required-ContentVersion=38
   

2. Scanagent verzendt nu een WSUS-locatieaanvraag naar Location Services, zoals vermeld in ScanAgent.log:

   Inside CScanAgent::ProcessScanRequest()  
   CScanJobManager::Scan- entered  
   ScanJob({JobID}): CScanJob::Initialize- entered  
   ScanJob({JobID}): CScanJob::Scan- entered  
   ScanJob({JobID}): CScanJob::RequestLocations- entered  
   - - - - - -Requesting WSUS Server Locations from LS for {WSUSLocationID} version 38  
   - - - - - -Location Request ID = {LocationRequestID}  
   CScanAgentCache::PersistInstanceInCache- Persisted Instance CCM_ScanJobInstance  
   ScanJob({JobID}): - - - - - -Locations requested for ScanJobID={JobID} (LocationRequestID={LocationRequestID}), will process the scan request once locations are available.
   

   Tip

   Elke scantaak wordt opgeslagen in WMI in de CCM_ScanJobInstance klasse:

   Naamruimte: root\CCM\ScanAgent klasse: CCM_ScanJobInstance

3. Location Services maakt een locatieaanvraag en verzendt deze naar het beheerpunt. De pakket-id voor een WSUS-locatieaanvraag is de unieke id van de updatebron. In LocationServices.log:

   CCCMWSUSLocation::GetLocationsAsyncEx  
   Attempting to persist WSUS location request for ContentID='{ContentID}' and ContentVersion='38'  
   Persisted WSUS location request LocationServices  
   Attempting to send WSUS Location Request for ContentID='{ContentID}'
   WSUSLocationRequest : <WSUSLocationRequest SchemaVersion="1.00"><Content ID="{ContentID}" Version="38"/><AssignedSite SiteCode="PS1"/><ClientLocationInfo OnInternet="0"><ADSite Name="CM12-R2PS1"/><Forest Name="CONTOSO.COM"/><Domain Name="CONTOSO.COM"/><IPAddresses><IPAddress SubnetAddress="192.168.2.0" Address="192.168.2.62"/></IPAddresses></ClientLocationInfo></WSUSLocationRequest>  
   Created and Sent Location Request '{LocationRequestID}' for package {ContentID}
   

4. CCM Messaging verzendt het locatieaanvraagbericht naar het beheerpunt. In CcmMessaging.log:

   Sending async message '{Message}' to outgoing queue 'mp:[http]mp_locationmanager'  
   Sending outgoing message '{Message}'. Flags 0x200, sender account empty
   

5. Het beheerpunt parseert deze aanvraag en roept de MP_GetWSUSServerLocations opgeslagen procedure aan om de WSUS-locaties op te halen uit de database. In MP_Location.log:

   MP LM: Message Body : \<WSUSLocationRequest SchemaVersion="1.00"><Content ID="{ContentID}" Version="38"/><AssignedSite SiteCode="PS1"/><ClientLocationInfo OnInternet="0"><ADSite Name="CM12-R2PS1"/><Forest Name="CONTOSO.COM"/><Domain Name="CONTOSO.COM"/><IPAddresses><IPAddress SubnetAddress="192.168.2.0" Address="192.168.2.62"/></IPAddresses></ClientLocationInfo></WSUSLocationRequest> MP_LocationManager  
   MP LM: calling MP_GetWSUSServerLocations
   

   In SQL Server Profiler:

   exec MP_GetMPSitesFromAssignedSite N'PS1'  
   exec MP_GetSiteInfoUnified N'<ClientLocationInfo OnInternet="0"><ADSite Name="CM12-R2-PS1"/><Forest Name="CONTOSO.COM"/><Domain Name="CONTOSO.COM"/><IPAddresses><IPAddress SubnetAddress="192.168.2.0" Address="192.168.2.62"/></IPAddresses></ClientLocationInfo>'  
   exec MP_GetWSUSServerLocations N'{WSUSServerLocationsID}',N'38',N'PS1',N'PS1',N'0',N'CONTOSO.COM'
   

6. Nadat de resultaten van de opgeslagen procedure zijn opgehaald, verzendt het beheerpunt een antwoord naar de client. In MP_Location.log:

   MP LM: Reply message body: <WSUSLocationReply SchemaVersion="1.00"><Sites><Site><MPSite SiteCode="PS1"/><LocationRecords><LocationRecord WSUSURL="http://PS1SITE.CONTOSO.COM:8530" ServerName="PS1SITE.CONTOSO.COM" Version="38"/><LocationRecord WSUSURL="https://PS1SYS.CONTOSO.COM:8531" ServerName="PS1SYS.CONTOSO.COM" Version="38"/></LocationRecords></Site></Sites></WSUSLocationReply>
   

7. CCM Messaging ontvangt het antwoord en stuurt het terug naar Location Services. In CcmMessaging.log:

   Message '{Message1}' got reply '{Message2}' to local endpoint queue 'LS_ReplyLocations'  
   OutgoingMessage(Queue='mp_[http]mp_locationmanager', ID={*Message1*}):  
   Delivered successfully to host 'PS1SYS.CONTOSO.COM'.  
   Message '{Message2}' delivered to endpoint 'LS_ReplyLocations'
   

8. Location Services parseert het antwoord en stuurt de locatie terug naar de scanagent. In LocationServices.log:

   Processing Location reply message LocationServices  
   WSUSLocationReply : <WSUSLocationReply SchemaVersion="1.00"><Sites><Site><MPSite SiteCode="PS1"/><LocationRecords><LocationRecord WSUSURL="http://PS1SITE.CONTOSO.COM:8530" ServerName="PS1SITE.CONTOSO.COM" Version="38"/><LocationRecord WSUSURL="https://PS1SYS.CONTOSO.COM:8531" ServerName="PS1SYS.CONTOSO.COM" Version="38"/></LocationRecords></Site></Sites></WSUSLocationReply>  
   Calling back with the following WSUS locations  
   WSUS Path='http://PS1SITE.CONTOSO.COM:8530', Server='PS1SITE.CONTOSO.COM', Version='38'  
   WSUS Path='https://PS1SYS.CONTOSO.COM:8531', Server='PS1SYS.CONTOSO.COM', Version='38'  
   Calling back with locations for WSUS request {WSUSLocationID}
   

9. De scanagent heeft nu het beleid en de bronlocatie van de update met de juiste inhoudsversie. In ScanAgent.log:

   *****WSUSLocationUpdate received for location request guid={LocationGUID}  
   ScanJob({JobID}): CScanJob::OnLocationUpdate- Received  
   Location=<http://PS1SITE.CONTOSO.COM:8530>, Version=38  
   ScanJob({JobID}): CScanJob::Execute- Adding UpdateSource={SourceID}, ContentType=2, ContentLocation=<http://PS1SITE.CONTOSO.COM:8530>, ContentVersion=38
   

10. Scanagent meldt WUAHandler om de updatebron toe te voegen. WUAHandler voegt de updatebron toe aan het register. Hiermee wordt een groepsbeleidsvernieuwing gestart als de client zich in het domein bevindt om te zien of Groepsbeleid de updateserver overschrijft die wordt toegevoegd. De volgende vermeldingen worden vastgelegd in WUAHandler.log met een nieuwe updatebron die wordt toegevoegd:

    Its a WSUS Update Source type ({WSUSUpdateSource}), adding it  
    Its a completely new WSUS Update Source  
    Enabling WUA Managed server policy to use server: <http://PS1SITE.CONTOSO.COM:8530>
    Policy refresh forced  
    Waiting for 2 mins for Group Policy to notify of WUA policy change  
    Waiting for 30 secs for policy to take effect on WU Agent.  
    Added Update Source ({UpdateSource}) of content type: 2
    

    Gedurende deze tijd ziet de Windows Update-agent een WSUS-configuratiewijziging. In WindowsUpdate.log:

    * WSUS server: <http://PS1SITE.CONTOSO.COM:8530> (Changed)  
    * WSUS status server: <http://PS1SITE.CONTOSO.COM:8530> (Changed)  
    Sus server changed through policy.
    

    De volgende registersleutels worden gecontroleerd en ingesteld:

    Registersubsleutel	Waardenaam	Type	Gegevens
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\WindowsUpdate	WUServer	REG_SZ	De volledige WSUS-server-URL, inclusief de poort. Bijvoorbeeld <http://PS1Site.Contoso.com:8530>
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\WindowsUpdate	WUStatusServer	REG_SZ	De volledige WSUS-server-URL, inclusief de poort. Bijvoorbeeld <http://PS1Site.Contoso.com:8530>
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU	UseWUServer	REG_DWORD	0x1

    Voor een bestaande client zien we het volgende bericht in WUAHandler.log om aan te geven wanneer de inhoudsversie is verhoogd:

    Its a WSUS Update Source type ({WSUSUpdateSource}), adding it.  
    WSUS update source already exists, it has increased version to 38.
    

11. Nadat de updatebron is toegevoegd, genereert ScanAgent een statusbericht en wordt de scan gestart. In ScanAgent.log:

    ScanJob({JobID}): Raised UpdateSource ({UpdateSource}) state message successfully. StateId = 2  
    ScanJob({JobID}): CScanJob::Execute - successfully requested Scan, ScanType=1
    

Problemen in stap 1 oplossen

Problemen	Wat u moet controleren
ScanAgent.log geeft geen beleid weer dat beschikbaar is voor een updatebron en er bestaat geen WUAHandler.log of geen huidige activiteit binnen WUAHandler.log	Controleer de instelling Software-updates inschakelen op clients .
Scanagent of Location Services ontvangt de WSUS-serverlocatie niet	Is er een SUP-rol (software-updatepunt) geïnstalleerd voor de site? Zo niet, installeert en configureert u een software-updatepunt en controleert u SUPSetup.log op voortgang. Zie Een software-updatepunt installeren en configureren voor meer informatie. Als een SUP-rol is geïnstalleerd, is deze geconfigureerd en gesynchroniseerd? Controleer WCM.log, WSUSCtrl.log en WSyncMgr.log op fouten. select * from WSUSServerLocations select * from Update_SyncStatus
Client ontvangt de WSUS-locatie, maar kan de WSUS-registersleutels niet configureren	Heeft groepsbeleid vernieuwd binnen de time-out van 2 minuten per WUAHandler.log? Als dat het geval is, worden groepsbeleidsinstellingen door WUAHandler overschreven door een hogere instantie (domeincontroller)? Zie Groepsbeleid overschrijft de juiste WSUS-configuratiegegevens voor meer informatie.

Zie Problemen met het scannen van software-updates oplossen voor meer informatie over het oplossen van problemen met het scannen van software-updates.

Stap 2: De scanagent vraagt de scan aan en WUAHandler start de scan

Nadat de client de WSUS-server heeft geïdentificeerd en ingesteld die de updatebron is voor software-updatescans, vraagt scanagent de scan aan bij WUAHandler die gebruikmaakt van de Windows Update Agent-API om een software-updatescan aan te vragen bij de Windows Update-agent. Een scan kan het gevolg zijn van:

• Een geplande of handmatige scan voor software-updates
• Een geplande of handmatige software-bijgewerkte implementatie opnieuw evalueren
• Een implementatie die actief wordt

De scan activeert een evaluatie. In ScanAgent.log:

ScanJob({JobID}): CScanJob::Execute - successfully requested Scan, ScanType=1

Scanresultaten bevatten alleen vervangen updates wanneer ze worden vervangen door servicepacks en definitie-updates. In WUAHandler.log:

Search Criteria is (DeploymentAction=* AND Type='Software') OR (DeploymentAction=* AND Type='Driver')  
Running single-call scan of updates.  
Async searching of updates using WUAgent started.

Tip

Controleer WUAHandler.log na een software-updatescan om te zien of er nieuwe vermeldingen optreden. Als er geen nieuwe vermeldingen optreden, geeft dit aan dat er geen SUP wordt geretourneerd door het beheerpunt.

Problemen in stap 2 oplossen

Veel problemen met het scannen van software-updates kunnen worden veroorzaakt door een van de volgende redenen:

• Ontbrekende of beschadigde bestanden of registersleutels.
• Problemen met onderdeelregistratie.

Zie Scanfouten vanwege ontbrekende of beschadigde onderdelen om dergelijke problemen op te lossen.

Er is een bekend probleem dat een 32-bits Windows 7 ConfigMgr 2012 R2-client die een updatescan aanvraagt, geen scanresultaten retourneert naar Configuration Manager. Dit zorgt ervoor dat de client onjuiste nalevingsstatus rapporteert en dat de updates niet kunnen worden geïnstalleerd wanneer Configuration Manager de updatecyclus aanvraagt. Als u echter het Windows Update-configuratiescherm-applet gebruikt, worden de updates meestal prima geïnstalleerd. Wanneer u dit probleem ondervindt, ontvangt u een bericht dat lijkt op de volgende in WindowsUpdate.log:

WARNING: ISusInternal::GetUpdateMetadata2 failed, hr=8007000E

Het is een probleem met geheugentoewijzing, 64-bits Windows 7-computers zien deze fout niet omdat hun adresruimte effectief onbeperkt is. Ze vertonen echter een hoog geheugen- en hoog CPU-gebruik, wat mogelijk van invloed is op de prestaties. X86-clients vertonen ook een hoog geheugengebruik (meestal ongeveer 1,2 GB tot 1,4 GB).

U kunt dit probleem oplossen door Windows Update Client voor Windows 7: juni 2015 toe te passen.

Bij het oplossen van scanfouten controleert u de WUAHandler.log- en WindowsUpdate.log-bestanden. WUAHandler rapporteert gewoon wat Windows Update Agent heeft gerapporteerd. De fout in WUAHandler zou dus dezelfde fout zijn die is gerapporteerd door de Windows Update-agent zelf. Meer informatie over de fout vindt u in WindowsUpdate.log. Zie Logboekbestanden van Windows Update voor meer informatie over het lezen van WindowsUpdate.log.

Uw beste informatiebron komt uit de logboeken en de foutcodes die ze bevatten. Zie veelvoorkomende fouten en oplossingen voor Windows Update voor meer informatie over de foutcodes.

Stap 3: Windows Update Agent (WUA) start de scan op de WSUS-computer

Windows Update Agent start een scan na ontvangst van een aanvraag van de Configuration Manager-client (CcmExec). Als deze registerwaarden correct zijn ingesteld op een WSUS-computer die een geldige SUP voor de site is via een lokaal beleid, ziet u een COM API-zoekaanvraag van de Configuration Manager-client (ClientId = CcmExec). In WindowsUpdate.log:

COMAPI -- START -- COMAPI: Search [ClientId = CcmExec]  
COMAPI <<-- SUBMITTED -- COMAPI: Search [ClientId = CcmExec] PT + ServiceId = {ServiceID}, Server URL = <http://PS1.CONTOSO.COM:8530/ClientWebService/client.asmx>  
Agent ** START ** Agent: Finding updates [CallerId = CcmExec]  
Agent * Include potentially superseded updates  
Agent * Online = Yes; Ignore download priority = Yes  
Agent * Criteria = "(DeploymentAction=* AND Type='Software') OR (DeploymentAction=* AND Type='Driver')"  
Agent * ServiceID = {ServiceID} Managed  
Agent * Search Scope = {Machine}

PT + ServiceId = {ServiceID}, Server URL = <http://PS1.CONTOSO.COM:8530/ClientWebService/client.asmx>  
Agent * Added update {4AE85C00-0EAA-4BE0-B81B-DBD7053D5FAE}.104 to search result  
Agent * Added update {57260DFE-227C-45E3-9FFC-2FC77A67F95A}.104 to search result  
Agent * Found 163 updates and 70 categories in search; evaluated appl. rules of 622 out of 1150 deployed entities  
Agent ** END ** Agent: Finding updates [CallerId = CcmExec]  
COMAPI >>-- RESUMED -- COMAPI: Search [ClientId = CcmExec]  
COMAPI - Updates found = 163  
COMAPI -- END -- COMAPI: Search [ClientId = CcmExec]

Problemen in stap 3 oplossen

Tijdens een scan moet de Windows Update-agent communiceren met de ClientWebService en SimpleAuthWebService virtuele mappen op de WSUS-computer om een scan uit te voeren. Als de client niet kan communiceren met de WSUS-computer, mislukt de scan. Dit probleem kan om verschillende redenen optreden, waaronder:

• Problemen met betrekking tot proxy

  Zie Scanfouten vanwege proxyproblemen om deze problemen op te lossen.

  Zie de volgende artikelen voor meer informatie over proxyservers:

  • Hoe de Windows Update-client bepaalt welke proxyserver moet worden gebruikt om verbinding te maken met de Windows Update-website
  • DNS- en DHCP-ondersteuning voor webproxy en firewallclient automatisch opsporen

• HTTP-time-outfouten

  Als u HTTP-time-outfouten wilt oplossen, controleert u eerst de IIS-logboeken (Internet Information Services) op de WSUS-computer om te bevestigen dat de fouten daadwerkelijk worden geretourneerd vanuit WSUS. Als de WSUS-computer de fout niet retourneert, is het probleem waarschijnlijk met een tussenliggende firewall of proxy.

  Als de WSUS-computer de fout retourneert, controleert u de verbinding met de WSUS-computer. Dit zijn de stappen:

  1. Als u wilt controleren of de client verbinding maakt met de juiste WSUS-server, zoekt u de URL van de WSUS-computer die wordt gebruikt door de Windows Update Agent-client. Deze URL vindt u door de HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate registersubsleutel te controleren of door het bestand WindowsUpdate.log te bekijken.

     Veelvoorkomende redenen waarom de WSUS-toewijzing mogelijk onjuist is, zijn onder andere:

     • Conflicten met groepsbeleid
     • De toevoeging van een SUP aan een secundaire site na de eerste clientinstallatie

     Notitie

     Active Directory-groepsbeleid kan het lokale WSUS-beleid overschrijven.

     De functie voor software-updates configureert automatisch een lokale groepsbeleidsinstelling voor de Configuration Manager-client, zodat deze is geconfigureerd met de bronlocatie en het poortnummer van het software-updatepunt. Zowel de servernaam als het poortnummer zijn vereist voor de client om het software-updatepunt te vinden.

     Als een Active Directory-groepsbeleidsinstelling wordt toegepast op computers voor clientinstallatie van software-updatepunten, wordt de lokale groepsbeleidsinstelling overschreven. Als de waarde van de instelling die is gedefinieerd in het Active Directory-groepsbeleid verschilt van de instelling die door Configuration Manager is ingesteld, mislukt de scan op de client omdat de juiste WSUS-computer niet kan worden gevonden. In dit geval wordt het volgende bericht weergegeven WUAHandler.log:

     Groepsbeleidsinstellingen zijn overschreven door een hogere instantie (domeincontroller) voor: Server <http://server> en Beleid INGESCHAKELD

     Het software-updatepunt voor clientinstallatie en software-updates moet dezelfde server zijn. En deze moet worden opgegeven in de active Directory-groepsbeleidsinstelling met de juiste naamnotatie en poortgegevens. Het zou bijvoorbeeld zijn <http://server1.contoso.com:80> als het software-updatepunt de standaardwebsite gebruikte.

  2. Als de server-URL juist is, opent u de server met behulp van een URL die vergelijkbaar is met de volgende url om de verbinding tussen de client en de WSUS-computer te controleren:

     <http://SUPSERVER.CONTOSO.COM:8530/Selfupdate/wuident.cab>

     Als u wilt controleren of de client toegang heeft tot de ClientWebService virtuele map, probeert u toegang te krijgen tot een URL die vergelijkbaar is met deze:

     <http://SUPSERVER.CONTOSO.COM:8530/ClientWebService/wusserverversion.xml>

     Als u wilt controleren of de client toegang heeft tot de SimpleAuthWebServiceclient, probeert u toegang te krijgen tot een URL die vergelijkbaar is met deze:

     <http://SUPSERVER.CONTOSO.COM:8530/SimpleAuthWebService/SimpleAuth.asmx>

     Als een van deze URL's mislukt, zijn enkele van de mogelijke redenen:

     • Problemen met naamomzetting op de client. Controleer of u de FQDN-naam van de WSUS-computer kunt oplossen.

     • Problemen met proxyconfiguratie.

     • Andere netwerkgerelateerde verbindingsproblemen.

     • Poortconfiguratieproblemen, dus het is een goed idee om te controleren of de poortinstellingen juist zijn. WSUS kan worden geconfigureerd voor gebruik van een van de volgende poorten: 80, 443 of 8530, 8531.

       Clients die met de WSUS-computer kunnen communiceren, moeten de juiste poorten zijn toegestaan op de firewall op de WSUS-computer. Poortinstellingen worden geconfigureerd wanneer de sitesysteemrol van het software-updatepunt wordt gemaakt. Deze poortinstellingen moeten hetzelfde zijn als de poortinstellingen die door de WSUS-website worden gebruikt. Anders kan WSUS-synchronisatiebeheer geen verbinding maken met WSUS dat wordt uitgevoerd op het software-updatepunt om synchronisatie aan te vragen. De volgende procedures bevatten informatie over het controleren van de poortinstellingen die worden gebruikt door WSUS en het software-updatepunt.

       1. Bepaal de WSUS-poortinstellingen die worden gebruikt in IIS 7.0 en nieuwere versies.

       2. Bepaal de WSUS-poortinstellingen in IIS 6.0.

       3. Configureer poorten voor het software-updatepunt.

       4. Poortconnectiviteit controleren

          Voer de volgende opdracht uit om de poortconnectiviteit van de client te controleren:

          telnet SUPSERVER.CONTOSO.COM <portnumber>
          

          Voer bijvoorbeeld de volgende opdracht uit als de poort 8530 is:

          telnet SUPSERVER.CONTOSO.COM 8530
          

          Als de poort niet toegankelijk is, retourneert Telnet een fout die lijkt op de volgende:

          Kan de verbinding met de host niet openen op poort <PortNumber>

          Deze fout geeft aan dat de firewallregels niet zijn geconfigureerd om communicatie voor de WSUS-computer toe te staan. Deze fout kan ook voorstellen dat een tussenliggend netwerkapparaat die poort blokkeert. Als u dit wilt controleren, probeert u dezelfde test van een client op hetzelfde lokale subnet. Als dit werkt, zijn de computers correct geconfigureerd. Een router of firewall tussen segmenten blokkeert echter de poort en veroorzaakt de fout.

     • Problemen met iis-beschikbaarheid.

       1. Open IiS-beheer (Internet Information Services) op de WSUS-computer.
       2. Vouw Sites uit, klik met de rechtermuisknop op de website voor de WSUS-computer en klik vervolgens op Bindingen bewerken.
       3. In het dialoogvenster Sitebindingen worden de HTTP- en HTTPS-poortwaarden weergegeven in de kolom Poort .
       4. Open IIS-beheer (Internet Information Services) op de WSUS-server.
       5. Vouw websites uit, klik met de rechtermuisknop op de website voor de WSUS-computer en klik vervolgens op Eigenschappen.
       6. Klik op het tabblad Website . De HTTP-poortinstelling wordt weergegeven in TCP-poort en de HTTPS-poortinstelling wordt weergegeven in de SSL-poort.
       7. Ga in de Configuration Manager-console naar beheersiteconfiguratieservers>>en sitesysteemrollen en klik vervolgens op het< rechterdeelvenster SiteSystemName.>
       8. Klik in het onderste deelvenster met de rechtermuisknop op Software-updatepunt en klik vervolgens op Eigenschappen.
       9. Ga naar het tabblad Algemeen , geef de WSUS-configuratiepoortnummers op of controleer deze.

• Verificatiefouten

  Dit wordt meestal aangegeven wanneer de scan mislukt met verificatiefouten 0x80244017 (HTTP-status 401) of 0x80244018 (HTTP-status 403).

  Bevestig eerst de juiste WinHTTP-proxyinstellingen met behulp van de volgende opdrachten:

  • Op Windows Vista of latere versies: netsh winhttp show proxy
  • Op Windows XP: proxycfg.exe

  Als de proxy-instellingen juist zijn, controleert u de verbinding met de WSUS-computer door de stappen in HTTP-time-outfouten uit te voeren. Controleer ook de IIS-logboeken op de WSUS-computer om te bevestigen dat de HTTP-fouten worden geretourneerd vanuit WSUS. Als de WSUS-computer de fout niet retourneert, is het probleem waarschijnlijk met een tussenliggende firewall of proxy.

• Certificaatproblemen

  Certificaatproblemen worden aangegeven door foutcode 0x80072F0C dat betekent dat een certificaat is vereist voor het voltooien van clientverificatie. Zie Scan mislukt met fout 0x80072f0c om dit probleem op te lossen.

Stap 4: WUAHandler ontvangt resultaten van Windows Update Agent en markeert de scan als voltooid

Het volgende wordt vastgelegd in WUAHandler.log:

Async searching completed.  
Finished searching for everything in single call.

Problemen in stap 4 oplossen

Problemen hier moeten op dezelfde manier worden opgelost als scanfouten in stap 3.

Zoals eerder in deze handleiding is vermeld, controleert u de WUAHandler.log en WindowsUpdate.log bestanden bij het oplossen van scanfouten. WUAHandler rapporteert gewoon wat Windows Update Agent heeft gerapporteerd. De fout in WUAHandler zou dus dezelfde fout zijn die is gerapporteerd door de Windows Update-agent zelf. Meer informatie over de fout vindt u in WindowsUpdate.log. Zie Logboekbestanden van Windows Update voor meer informatie over het lezen van WindowsUpdate.log.

Er zijn veel redenen waarom een software-updatescan kan mislukken. Dit kan worden veroorzaakt door een van de eerder genoemde problemen, of een communicatie- of firewallprobleem tussen de client en de computer van het software-updatepunt. Uw beste informatiebron komt uit de logboeken en de foutcodes die ze bevatten. Zie veelvoorkomende fouten en oplossingen voor Windows Update voor meer informatie over de foutcodes.

Stap 5: WUAHandler parseert de scanresultaten

WUAHandler parseert vervolgens de resultaten, waaronder de toepasbaarheidsstatus voor elke update. Als onderdeel van dit proces worden vervangen updates verwijderd. De toepasselijkheidsstatus wordt gecontroleerd op alle updates die zijn afgestemd op de criteria die door CCMExec zijn ingediend bij de Windows Update-agent. Het belangrijkste dat u hier moet begrijpen, is dat u toepasselijkheidsresultaten moet zien voor updates, ongeacht of deze updates zich in een implementatie bevinden of niet.

De volgende vermeldingen worden vastgelegd in WUAHandler.log:

> Pruning: update id (70f4f236-0248-4e84-b472-292913576fa1) is superseded by (726b7201-862a-4fde-9b12-f36b38323a6f).  
> ...  
> Update (Installed): Security Update for Windows 7 for x64-based Systems (KB2584146) (4ae85c00-0eaa-4be0-b81b-dbd7053d5fae, 104)  
> Update (Missing): Security Update for Windows 7 for x64-based Systems (KB2862152) (505fda07-b4f3-45fb-83d9-8642554e2773, 200)  
> ...  
> Successfully completed scan.

Problemen in stap 5 oplossen

Problemen kunnen op dezelfde manier worden opgelost als scanfouten in stap 3.

Zoals eerder in deze handleiding is vermeld, controleert u de WUAHandler.log en WindowsUpdate.log bestanden bij het oplossen van scanfouten. WUAHandler rapporteert gewoon wat Windows Update Agent heeft gerapporteerd. De fout in WUAHandler zou dus dezelfde fout zijn die is gerapporteerd door de Windows Update-agent zelf. Meer informatie over de fout vindt u in WindowsUpdate.log. Zie Logboekbestanden van Windows Update voor meer informatie over het lezen van WindowsUpdate.log.

Over het algemeen zijn er veel redenen waarom een scan van een software-update kan mislukken. Dit kan worden veroorzaakt door een van de eerder genoemde problemen, of door een communicatie- of firewallprobleem tussen de client en de computer van het software-updatepunt. Uw beste informatiebron komt uit de logboeken en de foutcodes die ze bevatten. Zie veelvoorkomende fouten en oplossingen voor Windows Update als referentie.

Stap 6: Bijwerken slaat de status op en genereert een statusbericht voor elke update in WMI

Zodra de scanresultaten beschikbaar zijn, worden deze resultaten opgeslagen in het updatearchief. Update store registreert de huidige status van elke update en maakt een statusbericht voor elke update. Deze statusberichten worden bulksgewijs doorgestuurd naar de siteserver aan het einde van de rapportagecyclus voor statusberichten (standaard minuten). We verzenden alleen een statusbericht onder de volgende omstandigheden:

• Een eerder statusbericht is nooit verzonden voor een update (logboekvermelding: is nog niet eerder gerapporteerd, waardoor er een nieuw exemplaar wordt gemaakt).
• De toepasselijkheidsstatus voor een update is gewijzigd sinds het laatste statusbericht is verzonden.

UpdatesStore.log met de status voor ontbrekende update (KB2862152) die wordt vastgelegd en een statusbericht wordt gegenereerd:

Processing update status from update (505fda07-b4f3-45fb-83d9-8642554e2773) with ProductID = 0fa1201d-4330-4fa8-8ae9b877473b6441  
Update status from update (505fda07-b4f3-45fb-83d9-8642554e2773) hasn't been reported before, creating new instance.  
Successfully raised state message for update (505fda07-b4f3-45fb-83d9-8642554e2773) with state (Missing).  
Successfully added WMI instance of update status (505fda07-b4f3-45fb-83d9-8642554e2773).

StateMessage.log met de status die wordt geregistreerd met status-id 2 (ontbreekt):

Adding message with TopicType 500 and TopicId 505fda07-b4f3-45fb-83d9-8642554e2773 to WMI  
State message(State ID : 2) with TopicType 500 and TopicId 505fda07-b4f3-45fb-83d9-8642554e2773 has been recorded for SYSTEM

Tip

Voor elke update wordt een exemplaar van de CCM_UpdateStatus klasse gemaakt of bijgewerkt en wordt de huidige status van de update opgeslagen. De CCM_UpdateStatus klasse bevindt zich in de ROOT\CCM\SoftwareUpdates\UpdatesStore naamruimte.

Problemen in stap 6 oplossen

Problemen hier moeten op dezelfde manier worden opgelost als scanfouten in stap 3.

Zoals eerder in deze handleiding is vermeld, controleert u de WUAHandler.log en WindowsUpdate.log bestanden bij het oplossen van scanfouten. WUAHandler rapporteert gewoon wat Windows Update Agent heeft gerapporteerd. De fout in WUAHandler zou dus dezelfde fout zijn die is gerapporteerd door de Windows Update-agent zelf. Meer informatie over de fout vindt u in WindowsUpdate.log. Zie Logboekbestanden van Windows Update voor meer informatie over het lezen van WindowsUpdate.log.

Over het algemeen zijn er veel redenen waarom een scan van een software-update kan mislukken. Dit kan worden veroorzaakt door een van de eerder genoemde problemen, of door een communicatie- of firewallprobleem tussen de client en de computer van het software-updatepunt. Uw beste informatiebron komt uit de logboeken en de foutcodes die ze bevatten. Zie veelvoorkomende fouten en oplossingen voor Windows Update als referentie.

Stap 7: Statusberichten worden verzonden naar het beheerpunt

Wanneer WUAHandler de resultaten van de Windows Update-agent ontvangt, wordt de scan gemarkeerd als voltooid en wordt het volgende bericht in WUAHandler.log in de logboeken opgeslagen:

Async searching completed. WUAHandler  
Finished searching for everything in single call

Problemen in stap 7 oplossen

Problemen hier moeten op dezelfde manier worden opgelost als scanfouten in stap 3, hoewel fouten in dit stadium waarschijnlijk in het WindowsUpdate.log bestand worden weergegeven. Zie Logboekbestanden van Windows Update voor meer informatie over het lezen van WindowsUpdate.log.

Over het algemeen zijn er veel redenen waarom een scan van een software-update kan mislukken. Dit kan worden veroorzaakt door een van de eerder genoemde problemen, of door een communicatie- of firewallprobleem tussen de client en de computer van het software-updatepunt. Uw beste informatiebron komt uit de logboeken en de foutcodes die ze bevatten. Zie veelvoorkomende fouten en oplossingen voor Windows Update als referentie.

WSUS naar Microsoft Update-synchronisatie

WSUS-synchronisatie met Microsoft Update wordt beschreven in de volgende stappen. Bevestig elke stap om goed vast te stellen waar het probleem zich bevindt.

Stap 1: Synchronisatie begint met een geplande of handmatige aanvraag

Wanneer een synchronisatie wordt geactiveerd, verwachten we dat de volgende berichten worden weergegeven in de SoftwareDistribution.log van de WSUS-server:

Voor handmatige synchronisatie:

Changew3wp.6AdminDataAccess.StartSubscriptionManuallySynchronization manually started  
Info WsusService.27EventLogEventReporter.ReportEvent  
EventId=382,Type=Information,Category=Synchronization,Message=A manual synchronization was started.

Voor geplande synchronisatie:

InfoWsusService.10EventLogEventReporter.ReportEvent  
EventId=381,Type=Information,Category=Synchronization,Message=A scheduled synchronization was started.

Problemen met handmatige synchronisatie in stap 1 oplossen

1. Controleer of de WSUS-service wordt uitgevoerd. Als een handmatige synchronisatie is gestart maar 0% blijft, komt dit doordat de WSUS-service (Update Services op WSUS 3.x; WSUSService op Windows Server 2012 en latere versies) heeft een gestopte status.

2. Stel de MMC-cache van de WSUS-console opnieuw in door de volgende stappen uit te voeren:

   1. Sluit de WSUS-console.
   2. De WSUS-service stoppen (Update Services op WSUS 3.x; WSUS-service op Windows Server 2012 en nieuwere versies).
   3. Blader naar %appdata%\Microsoft\mmc.
   4. Wijzig de naam van wsus in wsus_bak.
   5. Start de WSUS-service.
   6. Open de WSUS-console en probeer een andere handmatige synchronisatie uit te proberen.

Problemen met een geplande synchronisatie in stap 1 oplossen

1. Probeer een handmatige synchronisatie vanuit de WSUS-console.
2. Als een handmatige synchronisatie prima werkt, controleert u de geplande synchronisatie-instellingen.

Stap 2: WSUS spawt een verbinding met Microsoft Update (MU)

Nadat een synchronisatie is gestart, probeert de WSUS-server een HTTP-verbinding te maken via WinHTTP. Houd rekening met de volgende factoren bij het oplossen van problemen met de verbinding:

WSUS <=winhttp=> Netwerkentiteiten <=> Internet

• Bestaat er een netwerkentiteit (proxy, firewall, beveiligingsfilter, enzovoort) tussen de WSUS-hostcomputer en internet?
• Als er een proxy bestaat en de WSUS-server is vereist voor het gebruik van de proxy, is de proxy geconfigureerd binnen de juiste WSUS-instellingen?

Problemen met handmatige synchronisatie in stap 2 oplossen

1. Controleer of de WSUS-service wordt uitgevoerd. Als een handmatige synchronisatie is gestart maar 0% blijft, komt dit doordat de WSUS-service (Update Services op WSUS 3.x; WSUS-service op Windows Server 2012 en latere versies) heeft een gestopte status.

2. Stel de MMC-cache van de WSUS-console opnieuw in door de volgende stappen uit te voeren:

   1. Sluit de WSUS-console.
   2. De WSUS-service stoppen (Update Services op WSUS 3.x; WSUS-service op Windows Server 2012 en nieuwere versies).
   3. Blader naar %appdata%\Microsoft\mmc.
   4. Wijzig de naam van wsus in wsus_bak.
   5. Start de WSUS-service.
   6. Open de WSUS-console en probeer een andere handmatige synchronisatie uit te proberen.

Problemen met een geplande synchronisatie in stap 2 oplossen

1. Probeer een handmatige synchronisatie vanuit de WSUS-console.
2. Als een handmatige synchronisatie prima werkt, controleert u de geplande synchronisatie-instellingen.

Stap 3: De WSUS-computer ontvangt product- en classificatiegegevens van Microsoft Update en eventuele geabonneerde metagegevens

Nadat WSUS product- en classificatiegegevens en alle geabonneerde metagegevens van Microsoft Update heeft ontvangen, is de WSUS-synchronisatie voltooid.

Installatie-, vervangings- of detectieproblemen met specifieke updates

Implementatieproblemen die optreden met specifieke updates, kunnen worden onderverdeeld in de onderstaande gebieden. Wanneer u begint met het oplossen van problemen, moet u rekening houden met de volgende onderdelen die aan deze gebieden zijn gekoppeld.

Gebieden	Installatie	Opvolging	Detection
Onderdelen	WUA Installatieprogramma voor updates (CBS), MSI (Component Based Servicing) CCMExec	Metagegevens bijwerken	WUA Metagegevens bijwerken Installatieprogramma voor updates (CBS, MSI)

Installatieproblemen

Wat is het installatieprogramma (CBS, MSI, overig)?

CBS

Voor updates die van toepassing zijn op Windows Vista en latere versies, wordt CBS gebruikt om de installatie af te handelen.

1. Verzamel het CBS-logboek (%Windir%\Logs\Cbs\Cbs.log) en voer een eerste beoordeling uit om inzicht te krijgen in de oorzaak van de fout. Het oplossen van installatieproblemen via CBS-logboeken valt buiten het bereik van deze handleiding. Zie Windows-beschadigingsfouten oplossen met behulp van het hulpprogramma DISM of System Update Readiness voor meer informatie.
2. Wordt de update geïnstalleerd als aangemelde gebruiker? Als dat het geval is, mislukt dit alleen wanneer deze is geïnstalleerd onder de systeemcontext? In dit geval richt u zich op het oplossen van problemen met de handmatige installatie in de systeemcontext.

MSI (Windows Installer)

Voor niet-Windows-software-updates wordt MSI gebruikt om de installatie af te handelen.

1. Verzamel en controleer de standaard MSI-logboeken voor de update. Controleer het bijbehorende KB-artikel voor de update op bekende problemen of veelgestelde vragen.

2. Schakel logboekregistratie van Windows Installer in en reproduceer de fout.

   Wanneer u de resulterende logboeken bekijkt, controleert u in het logboek op retourwaarde 3 en de regels die voorafgaan aan die vermelding voor inzicht in de fout.

3. Controleer of dezelfde update niet handmatig kan worden geïnstalleerd in de lokale systeemcontext. Gebruik hiervoor dezelfde installatieswitches die zijn mislukt tijdens de implementatie van de software-update.

   Als dit mislukt, test u de installatie als de aangemelde gebruiker met dezelfde installatieswitches. Controleer of het een probleem is met het installeren onder het lokale systeem. Als dit werkt, kunt u het probleem vervolgens richten op het correct installeren van de update met behulp van de lokale systeemcontext. Het kan nodig zijn om te controleren op richtlijnen voor beheerimplementatie in de KB voor de update of online.

Vervangingsproblemen

Probeer het probleem dat betrekking heeft op vervanging te isoleren met behulp van de volgende vragen:

1. Zie Supersedence-regels voor vragen over hoe u kunt bepalen wanneer Configuration Manager een update verloopt.
2. Als een update is verlopen door Configuration Manager, raadt Microsoft aan om de meest recente vervangende update te implementeren. Als u de verlopen updates nog steeds moet implementeren, kunnen deze buiten een software-update-implementatie worden geïmplementeerd via softwaredistributie of toepassingsbeheer.
3. Raadpleeg eerst het KB-artikel voor de update voor meer informatie voor vragen met betrekking tot de vervangingslogica van een update. U kunt ook de vervanging controleren in de Microsoft Update-catalogus, WSUS-console of de Configuration Manager-console.

Detectieproblemen

Nalevingsstatus per update op een client bepalen

1. Raadpleeg het KB-artikel over updates voor bekende problemen met de update.
2. Voer de scancyclusactie software-updates uit op de Configuration Manager-client.
3. Bekijk UpdatesStore.log en WindowsUpdate.log.

Problemen met de toepasselijkheid van updates oplossen

1. Controleer of er vereisten ontbreken met behulp van het KB-artikel voor de update. Vereist de update bijvoorbeeld dat de toepassing of het besturingssysteem wordt gepatcht op een specifiek servicepackniveau?
2. Controleer of de unieke update-id van de betreffende update overeenkomt met wat er is geïmplementeerd. Is de update in kwestie bijvoorbeeld een 32-bits update, maar is gericht op een 64-bits host?

Meer informatie

Zie de volgende artikelen voor meer informatie over het configureren van software-updates in Configuration Manager:

• Software-updates plannen in Configuration Manager
• Een software-updatepunt configureren voor het gebruik van netwerktaakverdelingscluster (NLB)
• CRL-controle inschakelen voor software-updates

U kunt hier ook een vraag plaatsen in ons Configuration Manager-ondersteuningsforum voor beveiligingsupdates, updates en naleving.

Bezoek onze blog voor het laatste nieuws, informatie en technische tips over Configuration Manager.