Rozwiązywanie problemów z błędami skanowania aktualizacji oprogramowania w programie Configuration Manager

W tym artykule opisano sposób rozwiązywania problemów z błędami skanowania aktualizacji oprogramowania w programie Configuration Manager.

Oryginalna wersja produktu: Microsoft System Center 2012 Configuration Manager, Microsoft System Center 2012 R2 Configuration Manager
Oryginalny numer KB: 3090184

Podsumowanie

Istnieje kilka powodów, dla których skanowanie aktualizacji oprogramowania może zakończyć się niepowodzeniem. Większość problemów dotyczy komunikacji lub problemów z zaporą między klientem a komputerem punktu aktualizacji oprogramowania. Poniżej opisano niektóre z najbardziej typowych warunków błędów oraz związane z nimi rozwiązania i porady dotyczące rozwiązywania problemów. Aby uzyskać więcej informacji na temat typowych błędów usługi Windows Update, zobacz Windows Update common errors and mitigation (Typowe błędy i środki zaradcze w usłudze Windows Update).

Aby uzyskać więcej informacji na temat aktualizacji oprogramowania w programie Configuration Manager, zobacz Wprowadzenie do aktualizacji oprogramowania.

Podczas rozwiązywania problemów z błędami skanowania aktualizacji oprogramowania należy skoncentrować się na plikach WUAHandler.log i WindowsUpdate.log. Program WUAHandler zgłasza tylko zgłaszane dane agenta usługi Windows Update. Dlatego błąd w pliku WUAHandler.log byłby tym samym błędem, który został zgłoszony przez samego agenta usługi Windows Update. Większość informacji o błędzie prawdopodobnie zostanie znaleziona w pliku WindowsUpdate.log. Aby uzyskać więcej informacji na temat odczytywania pliku WindowsUpdate.log, zobacz Pliki dziennika usługi Windows Update.

Błędy skanowania spowodowane brakującymi lub uszkodzonymi składnikami

Błędy 0x80245003, 0x80070514, 0x8DDD0018, 0x80246008, 0x80200013, 0x80004015, 0x800A0046, 0x800A01AD, 0x80070424, 0x800B0100 i 0x80248011 są spowodowane brakującymi lub uszkodzonymi składnikami.

Kilka problemów może być powodowanych przez brakujące lub uszkodzone pliki lub klucze rejestru, rejestracje składników itd. Dobrym miejscem do uruchomienia jest uruchomienie narzędzia do rozwiązywania problemów z usługą Windows Update w celu automatycznego wykrywania i rozwiązywania tych problemów.

Dobrym pomysłem jest również upewnienie się, że używasz najnowszej wersji agenta usługi Windows Update.

Jeśli narzędzie do rozwiązywania problemów z usługą Windows Update nie rozwiąże problemu, zresetuj magazyn danych agenta usługi Windows Update na kliencie, wykonując następujące kroki:

1. Zatrzymaj usługę Windows Update, uruchamiając następujące polecenie:

   net stop wuauserv
   

2. Zmień nazwę folderu na C:\Windows\SoftwareDistribution C:\Windows\SoftwareDistribution.old.

3. Uruchom usługę Windows Update, uruchamiając następujące polecenie:

   net start wuauserv
   

4. Uruchom cykl skanowania aktualizacji oprogramowania.

Błędy skanowania z powodu problemów związanych z serwerem proxy

Błędy 0x80244021, 0x8024401B, 0x80240030 i 0x8024402C są spowodowane problemami związanymi z serwerem proxy.

Sprawdź ustawienia serwera proxy na kliencie i upewnij się, że zostały prawidłowo skonfigurowane. Agent usługi Windows Update używa składnika WinHTTP do skanowania pod kątem dostępnych aktualizacji. Jeśli istnieje serwer proxy między klientem a komputerem WSUS, ustawienia serwera proxy muszą być poprawnie skonfigurowane na klientach, aby umożliwić im komunikowanie się z usługą WSUS przy użyciu nazwy FQDN komputera.

W przypadku problemów z serwerem proxy WindowsUpdate.log mogą zgłaszać błędy podobne do następujących:

0x80244021 lub błąd HTTP 502 — zła brama

0x8024401B lub błąd HTTP 407 — wymagane uwierzytelnianie serwera proxy

0x80240030 — format listy serwerów proxy był nieprawidłowy

0x8024402C — nie można rozpoznać nazwy serwera proxy lub serwera docelowego

W większości przypadków można pominąć serwer proxy dla adresów lokalnych, ponieważ komputer WSUS znajduje się w intranecie. Jeśli jednak klient jest połączony z Internetem, należy upewnić się, że serwer proxy jest skonfigurowany do włączenia tej komunikacji.

Aby wyświetlić ustawienia serwera proxy WinHTTP, uruchom jedno z następujących poleceń:

• W systemie Windows XP: proxycfg.exe
• W systemie Windows Vista i nowszych wersjach: netsh winhttp show proxy

Ustawienia serwera proxy skonfigurowane w programie Internet Explorer są częścią ustawień serwera proxy WinINET. Ustawienia serwera proxy WinHTTP nie muszą być takie same jak ustawienia serwera proxy skonfigurowane w programie Internet Explorer. Jeśli jednak ustawienia serwera proxy są poprawnie ustawione w programie Internet Explorer, możesz zaimportować konfigurację serwera proxy z programu Internet Explorer. Aby zaimportować konfigurację serwera proxy z programu Internet Explorer, uruchom jedno z następujących poleceń:

• W systemie Windows XP: proxycfg.exe -u
• W systemie Windows Vista i nowszych wersjach: netsh winhttp import proxy source =ie

Aby uzyskać więcej informacji, zobacz Jak klient usługi Windows Update określa, który serwer proxy ma być używany do łączenia się z witryną internetową usługi Windows Update.

Błędy skanowania związane z przekroczeniem limitu czasu http lub uwierzytelnianiem

Błędy: 0x80072ee2, 0x8024401C, 0x80244023 lub 0x80244017 (stan HTTP 401), 0x80244018 (stan HTTP 403)

Sprawdź łączność z komputerem WSUS. Podczas skanowania agent usługi Windows Update musi komunikować się z katalogami ClientWebService wirtualnymi i SimpleAuthWebService na komputerze programu WSUS w celu uruchomienia skanowania. Jeśli klient nie może komunikować się z komputerem programu WSUS, skanowanie zakończy się niepowodzeniem. Ten problem może wystąpić z kilku powodów, w tym:

• konfiguracja portu
• Konfiguracja serwera proxy
• problemy z zaporą
• łączność sieciowa

Najpierw znajdź adres URL komputera WSUS, sprawdzając następujący klucz rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

Spróbuj uzyskać dostęp do adresu URL, aby zweryfikować łączność między klientem a komputerem programu WSUS. Na przykład używany adres URL powinien przypominać następujący adres URL:
http://SUPSERVER.CONTOSO.COM:8530/Selfupdate/wuident.cab

Następnie sprawdź, czy klient może uzyskać dostęp do katalogu wirtualnego ClientWebService . Adres URL powinien przypominać następujący adres URL:
http://SUPSERVER.CONTOSO.COM:8530/ClientWebService/wusserverversion.xml

Na koniec sprawdź, czy klient może uzyskać dostęp do katalogu wirtualnego SimpleAuthWebService . Adres URL powinien przypominać następujący adres URL: http://SUPSERVER.CONTOSO.COM:8530/SimpleAuthWebService/SimpleAuth.asmx

Jeśli te testy zakończyły się pomyślnie, przejrzyj dzienniki usług Internet Information Services (IIS) na komputerze programu WSUS, aby potwierdzić, że błędy HTTP są zwracane z programu WSUS. Jeśli komputer WSUS nie zwraca błędu, problem prawdopodobnie dotyczy pośredniej zapory lub serwera proxy.

Jeśli którykolwiek z tych testów zakończy się niepowodzeniem, sprawdź, czy na kliencie nie występują problemy z rozpoznawaniem nazw. Sprawdź, czy można rozpoznać nazwę FQDN komputera programu WSUS.

Sprawdź również ustawienia serwera proxy na kliencie, aby upewnić się, że są one poprawnie skonfigurowane. Aby uzyskać więcej informacji, zobacz sekcję Błędy skanowania spowodowane problemami dotyczącymi serwera proxy.

Na koniec sprawdź, czy można uzyskać dostęp do portów programu WSUS. Usługę WSUS można skonfigurować do używania dowolnego z następujących portów:

• 80
• 443
• 8530
• 8531

Aby klienci komunikowali się z komputerem programu WSUS, odpowiednie porty muszą być włączone na dowolnej zaporze między klientem a komputerem programu WSUS.

Określanie ustawień portów używanych przez program WSUS i punkt aktualizacji oprogramowania

Ustawienia portów są konfigurowane podczas tworzenia roli systemu lokacji punktu aktualizacji oprogramowania. Te ustawienia portów muszą być takie same jak ustawienia portów używane przez witrynę internetową programu WSUS. W przeciwnym razie menedżer synchronizacji programu WSUS nie będzie łączyć się z komputerem programu WSUS uruchomionym w punkcie aktualizacji oprogramowania w celu żądania synchronizacji. Poniższe procedury pokazują, jak sprawdzić ustawienia portów używane przez program WSUS i punkt aktualizacji oprogramowania.

Określanie ustawień portów programu WSUS w usługach IIS 6.0

1. Otwórz Menedżera internetowych usług informacyjnych (IIS) na serwerze WSUS.
2. Rozwiń węzeł Witryny sieci Web, kliknij prawym przyciskiem myszy witrynę internetową serwera WSUS, a następnie wybierz polecenie Właściwości.
3. Wybierz kartę Witryna sieci Web.
4. Ustawienie Port HTTP jest wyświetlane na porcie TCP, a ustawienie portu HTTPS jest wyświetlane na porcie SSL.

Określanie ustawień portów programu WSUS w usługach IIS 7.0 i nowszych wersjach

1. Otwórz Menedżera internetowych usług informacyjnych (IIS) na serwerze WSUS.
2. Rozwiń węzeł Witryny, kliknij prawym przyciskiem myszy witrynę internetową serwera WSUS, a następnie wybierz polecenie Edytuj powiązania.
3. W oknie dialogowym Powiązania lokacji wartości portów HTTP i HTTPS są wyświetlane w kolumnie Port.

Weryfikowanie i konfigurowanie portów dla punktu aktualizacji oprogramowania

1. W konsoli programu Configuration Manager przejdź do pozycji Serwery konfiguracji>lokacji administracyjnej>i role systemu lokacji, a następnie wybierz pozycję< SiteSystemName> w okienku po prawej stronie.
2. W dolnym okienku kliknij prawym przyciskiem myszy punkt aktualizacji oprogramowania, a następnie kliknij polecenie Właściwości.
3. Na karcie Ogólne określ lub zweryfikuj numery portów konfiguracji programu WSUS.

Po zweryfikowaniu i poprawnym skonfigurowaniu portów należy sprawdzić łączność portów z klienta, uruchamiając następujące polecenie:

telnet SUPSERVER.CONTOSO.COM <PortNumber>

Jeśli port jest niedostępny, program telnet zwraca błąd podobny do poniższego.

Nie można otworzyć połączenia z hostem na porcie <PortNumber>

Ten błąd sugeruje, że reguły zapory muszą być skonfigurowane w celu włączenia komunikacji dla portów serwera WSUS.

Skanowanie kończy się niepowodzeniem z powodu błędu 0x80072f0c

Błąd 0x80072f0c przekłada się na certyfikat A jest wymagany do ukończenia uwierzytelniania klienta. Ten błąd powinien wystąpić tylko wtedy, gdy komputer WSUS jest skonfigurowany do używania protokołu SSL. W ramach konfiguracji protokołu SSL katalogi wirtualne programu WSUS muszą być skonfigurowane do używania protokołu SSL i muszą być ustawione tak, aby ignorowały certyfikaty klienta. Jeśli witryna internetowa programu WSUS lub dowolny z wymienionych wcześniej katalogów wirtualnych są niepoprawnie skonfigurowane do akceptowania lub wymagania certyfikatów klienta, zostanie wyświetlony ten błąd.

Sprawdzanie konfiguracji protokołu SSL

Po skonfigurowaniu lokacji w trybie tylko https punkt aktualizacji oprogramowania jest automatycznie skonfigurowany do używania protokołu SSL. Gdy lokacja jest w trybie HTTPS lub HTTP , możesz wybrać, czy skonfigurować punkt aktualizacji oprogramowania do używania protokołu SSL. Jeśli punkt aktualizacji oprogramowania jest skonfigurowany do używania protokołu SSL, komputer programu WSUS musi być również jawnie skonfigurowany do używania protokołu SSL. Przed skonfigurowaniem protokołu SSL należy zapoznać się z wymaganiami dotyczącymi certyfikatów. Upewnij się, że na serwerze punktu aktualizacji oprogramowania jest zainstalowany certyfikat uwierzytelniania serwera.

Sprawdź, czy punkt aktualizacji oprogramowania jest skonfigurowany dla protokołu SSL

1. W konsoli programu Configuration Manager przejdź do pozycji Serwery konfiguracji lokacji>administracyjnej>i Role systemu lokacji, a następnie wybierz pozycję< SiteSystemName> w okienku po prawej stronie.
2. W dolnym okienku kliknij prawym przyciskiem myszy punkt aktualizacji oprogramowania, a następnie wybierz polecenie Właściwości.
3. Na karcie Ogólne sprawdź, czy włączono następującą opcję:
   Wymaganie komunikacji SSL z serwerem WSUS

Sprawdź, czy komputer WSUS jest skonfigurowany pod kątem protokołu SSL

1. Otwórz konsolę programu WSUS w punkcie aktualizacji oprogramowania dla lokacji.
2. W okienku drzewa konsoli wybierz pozycję Opcje.
3. W okienku wyświetlania wybierz pozycję Aktualizuj źródło i serwer proxy.
4. Sprawdź, czy wybrano opcję Użyj protokołu SSL podczas synchronizowania informacji o aktualizacji.

Dodawanie certyfikatu uwierzytelniania serwera do witryny sieci Web Administracja usługą WSUS

1. Na komputerze programu WSUS uruchom Menedżera usług Internet Information Services (IIS).
2. Rozwiń węzeł Witryny, kliknij prawym przyciskiem myszy domyślną witrynę sieci Web lub witrynę sieci Web Administracja programu WSUS, jeśli program WSUS jest skonfigurowany do używania niestandardowej witryny internetowej, a następnie wybierz polecenie Edytuj powiązania.
3. Wybierz wpis HTTPS, a następnie wybierz pozycję Edytuj.
4. W oknie dialogowym Edytowanie powiązania witryny wybierz certyfikat uwierzytelniania serwera, a następnie wybierz przycisk OK.
5. W oknie dialogowym Edytowanie powiązania witryny wybierz przycisk OK, a następnie wybierz pozycję Zamknij.
6. Zamknij Menedżera usług IIS.

Ważne

Upewnij się, że nazwa FQDN określona we właściwościach systemu lokacji jest zgodna z nazwą FQDN określoną w certyfikacie. Jeśli punkt aktualizacji oprogramowania akceptuje połączenia tylko z intranetu, alternatywna nazwa podmiotu lub nazwa podmiotu musi zawierać intranetowa nazwa FQDN. Gdy punkt aktualizacji oprogramowania akceptuje połączenia klienckie tylko z Internetu, certyfikat musi nadal zawierać zarówno internetową nazwę FQDN, jak i intranetową nazwę FQDN, ponieważ usługi WCM i WSyncMgr nadal używają intranetowej nazwy FQDN do łączenia się z punktem aktualizacji oprogramowania. Jeśli punkt aktualizacji oprogramowania akceptuje połączenia zarówno z Internetu, jak i intranetu, zarówno internetowa nazwa FQDN, jak i intranetowa nazwa FQDN muszą być określone przy użyciu ogranicznika symboli ampersand (&) między dwiema nazwami.

Sprawdź, czy na komputerze programu WSUS skonfigurowano protokół SSL

Aby uzyskać więcej informacji, zobacz Konfigurowanie protokołu SSL na serwerze WSUS.

Ważne

Nie można skonfigurować całej witryny internetowej programu WSUS tak, aby wymagała protokołu SSL, ponieważ cały ruch do witryny programu WSUS musiałby zostać zaszyfrowany. Program WSUS szyfruje tylko metadane aktualizacji. Jeśli komputer spróbuje pobrać pliki aktualizacji na porcie HTTPS, transfer zakończy się niepowodzeniem.

Zasady grupy zastępują poprawne informacje o konfiguracji programu WSUS

Funkcja Aktualizacje oprogramowania automatycznie konfiguruje lokalne ustawienie zasad grupy dla klienta programu Configuration Manager, tak aby było skonfigurowane do używania lokalizacji źródłowej punktu aktualizacji oprogramowania i numeru portu. Zarówno nazwa serwera, jak i numer portu są wymagane, aby klient znalazł punkt aktualizacji oprogramowania.

Jeśli ustawienie zasad grupy usługi Active Directory jest stosowane do komputerów na potrzeby instalacji klienta punktu aktualizacji oprogramowania, zastępuje lokalne ustawienie zasad grupy. Jeśli wartość ustawienia zdefiniowanego w zasadach grupy jest taka sama jak wartość ustawiana przez program Configuration Manager (nazwa serwera i port), skanowanie aktualizacji oprogramowania programu Configuration Manager zakończy się niepowodzeniem na kliencie. W tym przypadku plik WUAHandler.log zawiera następujący wpis:

Group policy settings were overwritten by a higher authority (Domain Controller) to: Server http://server and Policy ENABLED

Aby rozwiązać ten problem, punkt aktualizacji oprogramowania dla instalacji klienta i aktualizacji oprogramowania musi być tym samym serwerem. Należy go określić w ustawieniu zasad grupy usługi Active Directory przy użyciu poprawnego formatu nazwy i informacji o porcie. Jeśli na przykład punkt aktualizacji oprogramowania używał domyślnej witryny sieci Web, punkt aktualizacji oprogramowania to http://server1.contoso.com:80.

Klienci nie mogą odnaleźć lokalizacji serwera programu WSUS

1. Aby dowiedzieć się, jak klienci uzyskują lokalizację serwera WSUS, zobacz Lokalizację serwera WSUS. Przejrzyj dzienniki klientów i punktów zarządzania.
2. Włącz pełne i debugowanie rejestrowania na kliencie i w punkcie zarządzania.
3. Sprawdź, czy na kliencie nie występują błędy komunikacji w CcmMessaging.log.
4. Jeśli punkt zarządzania zwraca pustą odpowiedź lokalizacji programu WSUS, może wystąpić niezgodność w wersji zawartości programu WSUS. Może to być wynikiem nieudanej synchronizacji. Aby znaleźć wersję zawartości punktu aktualizacji oprogramowania, w konsoli programu Configuration Manager wybierz pozycję Monitorowanie>stanu synchronizacji punktu aktualizacji oprogramowania.
5. Przejrzyj dane w CI_UpdateSourcesWSUSServerLocations tabelach i i Update_SyncStatus sprawdź, czy unikatowy identyfikator źródła aktualizacji i wersja zawartości są zgodne z tymi tabelami.

Nieznane wyniki zgodności

1. Przejrzyj plik PolicyAgent.log na kliencie, aby sprawdzić, czy klient otrzymuje zasady.
2. Sprawdź, czy synchronizacja aktualizacji oprogramowania zakończyła się pomyślnie w punkcie aktualizacji oprogramowania. Jeśli synchronizacja nie powiedzie się, rozwiąż problemy z synchronizacją.
3. Jeśli plik WUAHandler.log nie istnieje i nie został utworzony po rozpoczęciu cyklu skanowania, problem najprawdopodobniej występuje z jednego z następujących powodów:
   • Zasady skanowania aktualizacji oprogramowania nie są dostępne
   • Klienci nie mogą odnaleźć lokalizacji serwera programu WSUS
4. Sprawdź, czy w pliku CcmMessaging.log na kliencie nie występują błędy komunikacji.
5. Jeśli skanowanie zakończy się pomyślnie, klient powinien wysłać komunikaty o stanie do punktu zarządzania, aby wskazać stan aktualizacji. Aby dowiedzieć się, jak działa przetwarzanie komunikatów o stanie, zobacz Przepływ przetwarzania komunikatów o stanie.

Inne problemy

Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów ze skanowaniem aktualizacji oprogramowania klienckiego.