Delen via

Problemen met het scannen van software-updates in Configuration Manager oplossen

  • Artikel

In dit artikel wordt beschreven hoe u scanfouten met software-updates in Configuration Manager kunt oplossen.

Oorspronkelijke productversie: Microsoft System Center 2012 Configuration Manager, Microsoft System Center 2012 R2 Configuration Manager
Oorspronkelijk KB-nummer: 3090184

Samenvatting

Er zijn verschillende redenen waarom een software-updatescan kan mislukken. De meeste problemen hebben betrekking op communicatie- of firewallproblemen tussen de client en de computer van het software-updatepunt. Hier worden enkele van de meest voorkomende foutvoorwaarden en de bijbehorende oplossingen en tips voor probleemoplossing beschreven. Zie veelvoorkomende fouten en oplossingen voor Windows Update voor meer informatie over veelvoorkomende fouten in Windows Update.

Zie De inleiding tot software-updates voor meer informatie over software-updates in Configuration Manager.

Wanneer u scanfouten met software-updates oplost, richt u zich op de WUAHandler.log- en WindowsUpdate.log-bestanden. WUAHandler rapporteert alleen wat de Windows Update-agent heeft gerapporteerd. De fout in het WUAHandler.log-bestand zou dus dezelfde fout zijn die is gerapporteerd door de Windows Update-agent zelf. De meeste informatie over de fout wordt waarschijnlijk gevonden in het bestand WindowsUpdate.log. Zie Logboekbestanden van Windows Update voor meer informatie over het lezen van het WindowsUpdate.log-bestand.

Scanfouten vanwege ontbrekende of beschadigde onderdelen

Fouten 0x80245003, 0x80070514, 0x8DDD0018, 0x80246008, 0x80200013, 0x80004015, 0x800A0046, 0x800A01AD, 0x80070424, 0x800B0100 en 0x80248011 worden veroorzaakt door ontbrekende of beschadigde onderdelen.

Verschillende problemen kunnen worden veroorzaakt door ontbrekende of beschadigde bestanden of registersleutels, onderdeelregistraties, enzovoort. Een goede plek om te beginnen is door de probleemoplosser voor Windows Update uit te voeren om deze problemen automatisch te detecteren en op te lossen.

Het is ook een goed idee om ervoor te zorgen dat u de nieuwste versie van de Windows Update-agent uitvoert.

Als het probleem niet wordt opgelost door de probleemoplosser voor Windows Update uit te voeren, stelt u het gegevensarchief van de Windows Update-agent op de client opnieuw in door de volgende stappen uit te voeren:

  1. Stop de Windows Update-service door de volgende opdracht uit te voeren:

    net stop wuauserv

  2. Wijzig de naam van de C:\Windows\SoftwareDistribution map in C:\Windows\SoftwareDistribution.old.

  3. Start de Windows Update-service door de volgende opdracht uit te voeren:

    net start wuauserv

  4. Start een scancyclus voor software-updates.

Fouten 0x80244021, 0x8024401B, 0x80240030 en 0x8024402C worden veroorzaakt door proxyproblemen.

Controleer de proxy-instellingen op de client en zorg ervoor dat deze juist zijn geconfigureerd. De Windows Update-agent gebruikt WinHTTP om te scannen op beschikbare updates. Wanneer er een proxyserver is tussen de client en de WSUS-computer, moeten de proxy-instellingen correct worden geconfigureerd op de clients om ze in staat te stellen te communiceren met WSUS met behulp van de FQDN van de computer.

Voor proxyproblemen kan WindowsUpdate.log fouten melden die er ongeveer als volgt uitzien:

0x80244021 of HTTP-fout 502 - Ongeldige gateway

0x8024401B of HTTP-fout 407 : proxyverificatie vereist

0x80240030 : de indeling van de proxylijst is ongeldig

0x8024402C : de naam van de proxyserver of doelserver kan niet worden omgezet

In de meeste gevallen kunt u de proxy voor lokale adressen omzeilen omdat de WSUS-computer zich in het intranet bevindt. Maar als de client is verbonden met internet, moet u ervoor zorgen dat de proxyserver is geconfigureerd om die communicatie mogelijk te maken.

Voer een van de volgende opdrachten uit om winHTTP-proxyinstellingen weer te geven:

  • Op Windows XP: proxycfg.exe
  • Op Windows Vista en latere versies: netsh winhttp show proxy

Proxy-instellingen die zijn geconfigureerd in Internet Explorer, maken deel uit van de WinINET-proxyinstellingen. WinHTTP-proxyinstellingen zijn niet noodzakelijkerwijs hetzelfde als de proxy-instellingen die zijn geconfigureerd in Internet Explorer. Als de proxy-instellingen echter correct zijn ingesteld in Internet Explorer, kunt u de proxyconfiguratie importeren vanuit Internet Explorer. Voer een van de volgende opdrachten uit om de proxyconfiguratie vanuit Internet Explorer te importeren:

  • Op Windows XP: proxycfg.exe -u
  • Op Windows Vista en latere versies: netsh winhttp import proxy source =ie

Zie Hoe de Windows Update-client bepaalt welke proxyserver moet worden gebruikt om verbinding te maken met de Windows Update-website voor meer informatie.

Fouten: 0x80072ee2, 0x8024401C, 0x80244023 of 0x80244017 (HTTP-status 401), 0x80244018 (HTTP-status 403)

Controleer de verbinding met de WSUS-computer. Tijdens een scan moet de Windows Update-agent communiceren met de ClientWebService en SimpleAuthWebService virtuele mappen op de WSUS-computer om een scan uit te voeren. Als de client niet kan communiceren met de WSUS-computer, mislukt de scan. Dit probleem kan om verschillende redenen optreden, waaronder:

  • poortconfiguratie
  • proxyconfiguratie
  • firewallproblemen
  • Netwerkverbinding

Zoek eerst de URL van de WSUS-computer door de volgende registersleutel te controleren:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

Probeer toegang te krijgen tot de URL om de connectiviteit tussen de client en de WSUS-computer te verifiëren. De URL die u gebruikt, moet er bijvoorbeeld uitzien als de volgende URL:
http://SUPSERVER.CONTOSO.COM:8530/Selfupdate/wuident.cab

Controleer vervolgens of de client toegang heeft tot de ClientWebService virtuele map. De URL moet er ongeveer uitzien als de volgende URL:
http://SUPSERVER.CONTOSO.COM:8530/ClientWebService/wusserverversion.xml

Controleer ten slotte of de client toegang heeft tot de SimpleAuthWebService virtuele map. De URL moet er ongeveer uitzien als de volgende URL: http://SUPSERVER.CONTOSO.COM:8530/SimpleAuthWebService/SimpleAuth.asmx

Als deze tests zijn geslaagd, controleert u de IIS-logboeken (Internet Information Services) op de WSUS-computer om te controleren of de HTTP-fouten worden geretourneerd vanuit WSUS. Als de WSUS-computer de fout niet retourneert, is het probleem waarschijnlijk met een tussenliggende firewall of proxy.

Als een van deze tests mislukt, controleert u op problemen met naamomzetting op de client. Controleer of u de FQDN-naam van de WSUS-computer kunt oplossen.

Controleer ook de proxy-instellingen op de client om ervoor te zorgen dat ze correct zijn geconfigureerd. Zie de sectie Scanfouten vanwege problemen met proxy's voor meer informatie.

Controleer ten slotte of de WSUS-poorten toegankelijk zijn. WSUS kan worden geconfigureerd voor het gebruik van een van de volgende poorten:

  • 80
  • 443
  • 8530
  • 8531

Clients die met de WSUS-computer kunnen communiceren, moeten de juiste poorten zijn ingeschakeld op een firewall tussen de client en de WSUS-computer.

De poortinstellingen bepalen die worden gebruikt door WSUS en het software-updatepunt

Poortinstellingen worden geconfigureerd wanneer de sitesysteemrol van het software-updatepunt wordt gemaakt. Deze poortinstellingen moeten hetzelfde zijn als de poortinstellingen die door de WSUS-website worden gebruikt. Anders maakt WSUS-synchronisatiebeheer geen verbinding met de WSUS-computer die wordt uitgevoerd op het software-updatepunt om synchronisatie aan te vragen. De volgende procedures laten zien hoe u de poortinstellingen controleert die worden gebruikt door WSUS en het software-updatepunt.

De WSUS-poortinstellingen in IIS 6.0 bepalen

  1. Open IIS-beheer (Internet Information Services) op de WSUS-server.
  2. Vouw websites uit, klik met de rechtermuisknop op de website voor de WSUS-server en selecteer vervolgens Eigenschappen.
  3. Selecteer het tabblad Website .
  4. De HTTP-poortinstelling wordt weergegeven in TCP-poort en de HTTPS-poortinstelling wordt weergegeven in de SSL-poort.

De WSUS-poortinstellingen in IIS 7.0 en latere versies bepalen

  1. Open IIS-beheer (Internet Information Services) op de WSUS-server.
  2. Vouw Sites uit, klik met de rechtermuisknop op de website voor de WSUS-server en selecteer Bindingen bewerken.
  3. In het dialoogvenster Sitebindingen worden de HTTP- en HTTPS-poortwaarden weergegeven in de kolom Poort .

Poorten voor het software-updatepunt controleren en configureren

  1. Ga in de Configuration Manager-console naar Beheersiteconfiguratieservers>>en sitesysteemrollen en selecteer< vervolgens SiteSystemName> in het rechterdeelvenster.
  2. Klik in het onderste deelvenster met de rechtermuisknop op Software-updatepunt en klik vervolgens op Eigenschappen.
  3. Geef op het tabblad Algemeen de wsus-configuratiepoortnummers op of controleer deze.

Nadat de poorten correct zijn geverifieerd en geconfigureerd, moet u de poortverbinding van de client controleren door de volgende opdracht uit te voeren:

telnet SUPSERVER.CONTOSO.COM <PortNumber>

Als de poort niet toegankelijk is, retourneert Telnet een fout die lijkt op het volgende.

Kan de verbinding met de host niet openen op poort <PortNumber>

Deze fout geeft aan dat firewallregels moeten worden geconfigureerd om communicatie voor de WSUS-serverpoorten in te schakelen.

Scannen mislukt met fout 0x80072f0c

Fout 0x80072f0c wordt omgezet in een certificaat is vereist om clientverificatie te voltooien. Deze fout moet alleen optreden als de WSUS-computer is geconfigureerd voor het gebruik van SSL. Als onderdeel van de SSL-configuratie moeten virtuele WSUS-directory's worden geconfigureerd voor het gebruik van SSL en moeten ze worden ingesteld om clientcertificaten te negeren. Als de WSUS-website of een van de virtuele mappen die eerder zijn genoemd onjuist zijn geconfigureerd voor het accepteren of vereisen van clientcertificaten, ontvangt u deze fout.

SSL-configuratie controleren

Wanneer de site is geconfigureerd in alleen HTTPS-modus, wordt het software-updatepunt automatisch geconfigureerd voor het gebruik van SSL. Wanneer de site zich in de HTTPS- of HTTP-modus bevindt, kunt u kiezen of u het software-updatepunt wilt configureren voor het gebruik van SSL. Wanneer het software-updatepunt is geconfigureerd voor het gebruik van SSL, moet de WSUS-computer ook expliciet worden geconfigureerd voor het gebruik van SSL. Voordat u SSL configureert, moet u de certificaatvereisten controleren. En zorg ervoor dat een serververificatiecertificaat is geïnstalleerd op de software-updatepuntserver.

Controleer of het software-updatepunt is geconfigureerd voor SSL

  1. Ga in de Configuration Manager-console naar Beheersiteconfiguratieservers>>en sitesysteemrollen en selecteer< vervolgens SiteSystemName> in het rechterdeelvenster.
  2. Klik in het onderste deelvenster met de rechtermuisknop op Software-updatepunt en selecteer Eigenschappen.
  3. Controleer op het tabblad Algemeen of de volgende optie is ingeschakeld:
    SSL-communicatie met de WSUS-server vereisen

Controleer of de WSUS-computer is geconfigureerd voor SSL

  1. Open de WSUS-console op het software-updatepunt voor de site.
  2. Selecteer Opties in het consolestructuurvenster.
  3. Selecteer In het weergavevenster De bron - en proxyserver bijwerken.
  4. Controleer of de optie Ssl gebruiken bij het synchroniseren van updategegevens is geselecteerd.

Het serververificatiecertificaat toevoegen aan de website van WSUS-beheer

  1. Start Internet Information Services (IIS) Manager op de WSUS-computer.
  2. Vouw Sites uit, klik met de rechtermuisknop op Standaardwebsite of de WSUS-beheerwebsite als WSUS is geconfigureerd voor het gebruik van een aangepaste website en selecteer bindingen bewerken.
  3. Selecteer de HTTPS-vermelding en selecteer vervolgens Bewerken.
  4. Selecteer in het dialoogvenster Sitebinding bewerken het serververificatiecertificaat en selecteer vervolgens OK.
  5. Selecteer OK in het dialoogvenster Sitebinding bewerken en selecteer vervolgens Sluiten.
  6. Sluit IIS-beheer af.

Belangrijk

Zorg ervoor dat de FQDN die is opgegeven in de eigenschappen van het sitesysteem overeenkomt met de FQDN die is opgegeven in het certificaat. Als het software-updatepunt alleen verbindingen van het intranet accepteert, moet de onderwerpnaam of alternatieve onderwerpnaam de intranet-FQDN bevatten. Wanneer het software-updatepunt alleen clientverbindingen van internet accepteert, moet het certificaat nog steeds zowel de internet-FQDN als de intranet-FQDN bevatten, omdat WCM en WSyncMgr nog steeds de intranet-FQDN gebruiken om verbinding te maken met het software-updatepunt. Als het software-updatepunt verbindingen van zowel het internet als het intranet accepteert, moeten zowel de FQDN van internet als de intranet-FQDN worden opgegeven met behulp van het tekenscheidingsteken ampersand (&) tussen de twee namen.

Controleer of SSL is geconfigureerd op de WSUS-computer

Zie SSL configureren op de WSUS-server voor meer informatie.

Belangrijk

U kunt de hele WSUS-website niet configureren om SSL te vereisen, omdat dan al het verkeer naar de WSUS-site moet worden versleuteld. WSUS versleutelt alleen update-metagegevens. Als een computer updatebestanden op de HTTPS-poort probeert op te halen, mislukt de overdracht.

Groepsbeleid overschrijft de juiste WSUS-configuratiegegevens

De functie Software-updates configureert automatisch een lokale groepsbeleidsinstelling voor de Configuration Manager-client, zodat deze is geconfigureerd voor het gebruik van de bronlocatie en het poortnummer van het software-updatepunt. Zowel de servernaam als het poortnummer zijn vereist voor de client om het software-updatepunt te vinden.

Als een Active Directory-groepsbeleidsinstelling wordt toegepast op computers voor clientinstallatie van software-updatepunten, wordt de lokale groepsbeleidsinstelling overschreven. Tenzij de waarde van de instelling die is gedefinieerd in Groepsbeleid identiek is aan de instelling die wordt ingesteld door Configuration Manager (servernaam en poort), mislukt de scan van de Configuration Manager-software-update op de client. In dit geval wordt in het WUAHandler.log bestand de volgende vermelding weergegeven:

Group policy settings were overwritten by a higher authority (Domain Controller) to: Server http://server and Policy ENABLED

Om dit probleem op te lossen, moet het software-updatepunt voor clientinstallatie en software-updates dezelfde server zijn. En deze moet worden opgegeven in de instelling Active Directory-groepsbeleid met behulp van de juiste naamindeling en poortgegevens. Als het software-updatepunt bijvoorbeeld de standaardwebsite gebruikte, zou het software-updatepunt zijn http://server1.contoso.com:80.

Clients kunnen de locatie van de WSUS-server niet vinden

  1. Als u wilt weten hoe clients de WSUS-serverlocatie verkrijgen, raadpleegt u de LOCATIE van de WSUS-server. En bekijk de logboeken van het client- en beheerpunt.
  2. Schakel uitgebreide logboekregistratie en foutopsporing in op het client- en beheerpunt.
  3. Controleer of er geen communicatiefouten zijn in CcmMessaging.log op de client.
  4. Als het beheerpunt een leeg WSUS-locatieantwoord retourneert, komt de inhoudsversie van WSUS mogelijk niet overeen. Dit kan het gevolg zijn van mislukte synchronisatie. Als u de inhoudsversie van het software-updatepunt wilt vinden, selecteert u in de Configuration Manager-console De synchronisatiestatus van het software-updatepunt controleren>.
  5. Controleer de gegevens in CI_UpdateSourcesWSUSServerLocations en Update_SyncStatus tabellen om te controleren of de unieke id en inhoudsversie van update voor deze tabellen overeenkomen.

Nalevingsresultaten onbekend

  1. Controleer het bestand PolicyAgent.log op de client om te controleren of de client beleid ontvangt.
  2. Controleer of de synchronisatie van software-updates is geslaagd op het software-updatepunt. Als de synchronisatie mislukt, kunt u synchronisatieproblemen oplossen.
  3. Als het WUAHandler.log bestand niet bestaat en niet wordt gemaakt nadat u een scancyclus hebt gestart, treedt het probleem waarschijnlijk op vanwege een van de volgende redenen:
  4. Controleer of er geen communicatiefouten zijn opgetreden in het CcmMessaging.log-bestand op de client.
  5. Als de scan is geslaagd, moet de client statusberichten verzenden naar het beheerpunt om de updatestatus aan te geven. Als u wilt weten hoe statusberichten worden verwerkt, raadpleegt u de stroom voor de verwerking van statusberichten.

Overige problemen

Zie Problemen met scannen van clientsoftware-updates oplossen voor meer informatie.