排查Configuration Manager中的软件更新同步问题
本文可帮助你诊断和解决Configuration Manager中的软件更新同步的一些常见问题。
首先,我们将询问是否满足软件更新同步的先决条件。 如果你满足先决条件但仍遇到问题,我们将指导你完成一系列步骤来解决问题。
原始产品版本:Configuration Manager (Current Branch) 、Microsoft System Center 2012 R2 Configuration Manager、Microsoft System Center 2012 Configuration Manager
原始 KB 编号: 4505439
验证先决条件
排查同步问题的第一步是验证是否满足以下先决条件:
在远程站点系统服务器上安装软件更新点时,必须在站点服务器上安装 WSUS 管理控制台。
验证软件更新点上运行的 WSUS 未配置为副本 (replica) 。
若要进行验证,请在软件更新点上打开 WSUS 控制台。 在控制台树窗格中选择 “选项 ”,然后在显示窗格中选择“ 更新源和代理服务器 ”。
验证 更新服务 服务是否在 WSUS 服务器上运行。
验证默认网站或 WSUS 管理网站是否在 WSUS 服务器上运行。
检查 WSUS 中的“更新源”设置
检查软件更新点站点系统服务器上的 WSUS 控制台中的“更新源”设置。 这些设置由 WSUS Configuration Manager (WCM) 自动设置。 如果这些设置不匹配,请查看WCM.log。
若要在 WSUS 中检查更新源设置,请在软件更新点站点系统服务器上打开 WSUS 控制台。 在控制台树窗格中选择 “选项 ”,然后在显示窗格中选择“ 更新源和代理服务器 ”。
验证是否正确配置了以下设置:
从 Microsoft 更新同步
通常,在顶层站点的软件更新点上的 WSUS 控制台中时,应选择此设置。 从 Configuration Manager 2012 SP1 开始,可以将现有 WSUS 服务器指定为顶级站点的上游同步源位置。 如果已将现有 WSUS 服务器指定为上游源位置,则不应选择此设置。
从另一台Windows Server Update Services服务器同步
通常,在 WSUS 控制台中时,应选择此设置:
- 如果指定了上游源位置而不是 Microsoft 更新,则顶级站点的软件更新点。
- 主站点的软件更新点。
- 主站点中安装的其他软件更新点。
- 基于 Internet 的软件更新点。
- 辅助站点的软件更新点。
服务器名称:它应该是上游更新源 (FQDN) 的完全限定域名。
- 对于主站点中的第一个软件更新点,它应该是父站点的软件更新点。
- 对于站点中的其他软件更新点,它应该是同一站点上的第一个软件更新点。
- 对于基于 Internet 的软件更新点,它应该是同一站点上的第一个软件更新点。
端口号:它应该是上游 WSUS 服务器的端口号。 若要确定上游 WSUS 服务器上的端口号,请参阅确定 WSUS 和软件更新点使用的端口设置。
同步更新信息时使用 SSL:当软件更新点处于 HTTPS 模式时,必须选择此设置。 使用安全套接字层 (SSL) 进行软件更新时,有几个要求适用。 有关详细信息,请参阅 检查 SSL 配置。
此服务器是上游服务器的副本 (replica) :切勿在顶级站点的软件更新点或主站点的第一个软件更新点上选择此设置。 应在以下项上选择此设置:
- 基于 Internet 的软件更新点
- 主站点的其他软件更新点。
- 辅助站点的软件更新点
由于身份验证和代理问题,同步失败
WSUS Configuration Manager每小时配置一次 WSUS 服务器。 这样做是为了确保 WSUS 中配置的设置与Configuration Manager控制台中指定的设置匹配。
如果 WCM 未能正确配置 WSUS 服务器,同步尝试可能会失败,并显示类似于以下屏幕截图的错误:
还会在站点服务器上的 WsyncMgr.log 文件中发现以下错误, (位于 \Logs
) :
同步失败:未配置 WSUS 服务器。 有关配置错误的详细信息,请参阅WCM.log。 源:CWSyncMgr::D oSync
同步失败。 将在 60 分钟内重试
由于身份验证或代理问题,同步可能会失败。 发生此问题时,你将在 WCM.log 文件中看到类似于以下错误的错误:
System.Net.WebException:请求失败,HTTP 状态为 502
此错误可能并不总是 HTTP 状态 502,实际上可能是以下错误之一:
- HTTP 状态 401 未授权
- HTTP 状态 403 禁止
- 需要 HTTP 状态 407 代理身份验证
- HTTP 状态 502 代理错误
- 无法建立连接,因为目标计算机主动拒绝连接
- 身份验证失败,因为远程方已关闭传输流
若要排查身份验证或代理问题,请执行以下步骤:
- 验证 更新服务 服务是否在 WSUS 服务器上运行。
- 验证默认网站或 WSUS 管理网站是否在 WSUS 服务器上运行。
- 验证软件更新点站点系统服务器的完全限定域名 (FQDN) 是否正确且可从站点服务器访问。
- 如果软件更新点远离站点服务器,请验证是否可以从站点服务器连接到 WSUS 服务器。 有关详细信息,请参阅 检查从站点服务器到 WSUS 服务器的连接。
- 检查为软件更新点配置的端口设置。 验证它们是否与为在软件更新点上运行的 WSUS 使用的网站配置的端口设置相同。 有关详细信息,请参阅 确定 WSUS 使用的端口设置和软件更新点。
- 验证是否已为软件更新点正确配置代理和帐户设置。 有关详细信息,请参阅 为软件更新点配置代理设置。
- 如有必要,请验证软件更新点连接帐户是否已配置 () 。 并验证它是否有权连接到 WSUS 服务器。 有关详细信息,请参阅 为软件更新点配置 WSUS 服务器连接帐户。
- 验证是否在 IIS 中正确设置了对虚拟目录的权限
ApiRemoting30
。 当 WSUS 同步管理器启动同步时,计算机和管理员帐户必须有权访问ApiRemoting30
IIS 中 WSUS 网站下的虚拟目录。 若要对虚拟目录检查权限,请执行以下操作ApiRemoting30
:- 在 WSUS 服务器上,打开 IIS 管理器。
- 展开 “站点”,展开 WSUS 服务器的网站,右键单击虚拟
ApiRemoting30
目录,然后选择“ 编辑权限”。
- 如果为 SSL (HTTPS) 配置了软件更新点,请验证是否已为 SSL 正确配置 WSUS。 有关详细信息,请参阅 检查 SSL 配置。
- 查看WSUSCtrl.log以查看错误。 有关详细信息,请参阅 WSUS 控制管理器报告错误。
由于 Web 服务问题,同步失败
由于 Web 服务出现问题,同步可能会失败。 发生此问题时,你将在 WCM.log 文件中看到类似于以下错误的错误:
System.Net.WebException:请求失败, HTTP 状态为 500
System.Net.WebException:请求失败,HTTP 状态为 503
若要排查 Web 服务问题,请执行以下步骤:
- 验证 更新服务 服务是否在 WSUS 服务器上运行。
- 验证默认网站或 WSUS 管理网站是否在 WSUS 服务器上运行。
- 检查为软件更新点配置的端口设置。 验证它们是否与为在软件更新点上运行的 WSUS 使用的网站配置的端口设置相同。 有关详细信息,请参阅 确定 WSUS 使用的端口设置和软件更新点。
- 查看WSUSCtrl.log以查看错误。 有关详细信息,请参阅 WSUS 控制管理器报告错误。
由于 SSL 问题,同步失败
如果使用 SSL,请验证以下设置:
- 验证为 WSUS 网站配置的证书是否配置了正确的 FQDN。 如果证书没有正确的 FQDN,请参阅 向安全 LDAP 证书添加使用者可选名称。
- 验证证书是否未过期。
- 验证是否已为 SSL 正确配置 WSUS。 有关详细信息,请参阅 检查 SSL 配置。
由于 EULA 问题,同步失败
同步问题通常可追溯到与最终用户许可协议 (EULA) 相关的问题。 若要验证问题是否是你的问题,请执行以下步骤:
查看 WSUS 服务器上的SoftwareDistribution.log文件,了解 EULA 未下载的原因。 在日志中查找
.txt
以查找相关条目。验证防火墙是否已配置为允许与 Microsoft 更新通信。 有关详细信息,请参阅 从 WSUS 服务器连接到 Internet。
验证 代理服务器设置。
从命令提示符运行以下命令,让 WSUS 再次下载缺少的内容,包括 EULA:
%ProgramFiles%\Update Services\Tools\wsusutil.exe reset
同步失败,因为与 Microsoft 更新通信时出错
发生此问题时,通常会收到以下错误:
连接尝试失败,因为连接方在一段时间后没有正确响应,或者由于连接的主机无法响应而建立连接失败。
0x80072EFE - 与服务器的连接异常终止
要解决此问题,请执行下列步骤:
- 验证 WSUS 服务器是否可以连接到 Internet。
- 验证防火墙是否已配置为允许与 Microsoft 更新通信。 有关详细信息,请参阅 从 WSUS 服务器连接到 Internet。
- 验证 代理服务器设置。
WSUS 控制管理器报告错误
与 WCM 和 WSyncMgr 不同,WSUS 控制管理器 (WSUSCtrl) 驻留在软件更新点上, (SUP) 本身。 如果 SUP 是远程的,WSUSCtrl.log将出现在 SUP 上,而不是站点服务器上。 WSUS 控制管理器会定期检查 WSUS,以确保 WSUS 组件正常运行。 如果 WSUS 组件运行不正常,则 WCM 和 WSyncMgr 无法与 WSUS 通信。 在大多数情况下,WCM.log中的错误类似于WsyncMgr.log中的错误。 但是,当 SUP 远离站点服务器时,可能会有异常。 如果 WSUS 组件正常运行,则远程 SUP 上的WSUSCtrl.log不会报告任何错误。 但是,如果站点服务器无法远程连接到 WSUS 服务器,则即使 WSUS 本身正常,也会在WCM.log和/或WSyncMgr.log中看到错误。
若要检查 WSUS 是否按预期运行,请在 WSUS 服务器上运行以下命令。 然后,在事件查看器查看应用程序日志中的错误:
%ProgramFiles%\Update Services\Tools\wsusutil.exe checkhealth
检查从站点服务器到 WSUS 服务器的连接
如果 WSUS 服务器远离站点服务器,则必须在站点服务器上安装 WSUS 管理控制台。 控制台安装Configuration Manager用来连接到 WSUS 服务器所需的 API。 若要测试Configuration Manager是否可以连接到 WSUS 服务器,请使用本地安装的 WSUS 管理控制台。
若要使用 WSUS 管理控制台连接到远程 WSUS 服务器,请执行以下步骤:
- 启动 WSUS 管理控制台。
- 右键单击树视图中的“ 更新服务 ”,然后选择“ 连接到服务器”。
- 指定远程 WSUS 服务器的服务器名称和端口号,然后选择“连接”。 请确保指定 WSUS 服务器的 FQDN 和正确的端口号。
WSUS 连接失败
有关详细信息,请参阅 排查 WSUS 连接失败问题。