通过

排查 Configuration Manager 中的软件更新同步问题

  • 项目

本文可帮助你诊断和解决 Configuration Manager 中软件更新同步的一些常见问题。

首先,我们将询问是否满足软件更新同步的先决条件。 如果满足先决条件,但仍面临此问题,我们将引导你完成一系列步骤来解决你的问题。

原始产品版本: Configuration Manager(Current Branch),Microsoft System Center 2012 R2 Configuration Manager,Microsoft System Center 2012 Configuration Manager
原始 KB 数: 4505439

验证先决条件

排查同步问题的第一步是验证是否满足以下先决条件:

  • 验证是否满足 Configuration Manager 中软件更新的先决条件。

  • 在远程站点系统服务器上安装软件更新点时,必须在站点服务器上安装 WSUS 管理控制台。

  • 验证软件更新点上运行的 WSUS 是否未配置为副本。

    若要验证它,请在软件更新点上打开 WSUS 控制台。 在控制台树窗格中选择 “选项 ”,然后在显示窗格中选择“ 更新源”和“代理服务器 ”。

  • 验证 Update Services 服务是否在 WSUS 服务器上运行。

  • 验证默认网站或 WSUS 管理网站是否正在 WSUS 服务器上运行。

检查 WSUS 中的更新源设置

检查软件更新点站点系统服务器上的 WSUS 控制台中的更新源设置。 这些设置由 WSUS 配置管理器(WCM)自动设置。 如果这些设置不匹配,请查看WCM.log。

若要检查 WSUS 中的更新源设置,请在软件更新点站点系统服务器上打开 WSUS 控制台。 在控制台树窗格中选择 “选项 ”,然后在显示窗格中选择“ 更新源”和“代理服务器 ”。

验证是否已正确配置以下设置:

  • 从 Microsoft 更新同步

    通常,在顶层站点的软件更新点上的 WSUS 控制台中时,应选择此设置。 从 Configuration Manager 2012 SP1 开始,可以将现有 WSUS 服务器指定为顶级站点的上游同步源位置。 如果已将现有 WSUS 服务器指定为上游源位置,则不应选择此设置。

  • 从另一台 Windows Server Update Services 服务器同步

    通常,在 WSUS 控制台中为以下项选择此设置:

    • 如果指定上游源位置而不是Microsoft更新,则顶层站点的软件更新点。
    • 主站点的软件更新点。
    • 主站点中安装的其他软件更新点。
    • 基于 Internet 的软件更新点。
    • 辅助站点的软件更新点。

    服务器名称:它应该是上游更新源的完全限定域名(FQDN)。

    • 对于主站点中的第一个软件更新点,它应该是父站点的软件更新点。
    • 对于站点中的其他软件更新点,它应该是同一站点上的第一个软件更新点。
    • 对于基于 Internet 的软件更新点,它应该是同一站点上的第一个软件更新点。

    端口号:它应该是上游 WSUS 服务器的端口号。 若要确定上游 WSUS 服务器上的端口号,请参阅 确定 WSUS 和软件更新点使用的端口设置。

    同步更新信息时使用 SSL:当软件更新点处于 HTTPS 模式时,必须选择此设置。 使用安全套接字层(SSL)进行软件更新时,需要满足多个要求。 有关详细信息,请参阅 “检查 SSL 配置”。

    此服务器是上游服务器的副本:从不对顶层站点的软件更新点或主站点的第一个软件更新点选择此设置。 应选择此设置:

    • 基于 Internet 的软件更新点
    • 主站点的其他软件更新点。
    • 辅助站点的软件更新点

由于身份验证和代理问题,同步失败

WSUS Configuration Manager 每小时配置一次 WSUS 服务器。 这样做可确保在 WSUS 中配置的设置与 Configuration Manager 控制台中指定的设置匹配。

如果 WCM 无法正确配置 WSUS 服务器,同步尝试可能会失败,并出现类似于以下屏幕截图的错误:

“状态消息详细信息”对话框中失败错误的屏幕截图。

站点服务器上的WsyncMgr.log文件(位于 \Logs):

同步失败:未配置 WSUS 服务器。 有关配置错误的详细信息,请参阅WCM.log。 来源:CWSyncMgr::D oSync

同步失败。 将在 60 分钟内重试

由于身份验证或代理问题,同步可能会失败。 出现此问题时,WCM.log文件中会出现类似于以下错误的错误:

System.Net.WebException:请求失败,HTTP 状态为 502

此错误可能并不总是 HTTP 状态 502,实际上可能是以下错误之一:

  • HTTP 状态 401 未授权
  • HTTP 状态 403 禁止
  • 需要 HTTP 状态 407 代理身份验证
  • HTTP 状态 502 代理错误
  • 无法建立连接,因为目标计算机主动拒绝连接
  • 身份验证失败,因为远程方已关闭传输流

若要排查身份验证或代理问题,请执行以下步骤:

  1. 验证 Update Services 服务是否在 WSUS 服务器上运行。
  2. 验证默认网站或 WSUS 管理网站是否正在 WSUS 服务器上运行。
  3. 验证软件更新点站点系统服务器的完全限定域名(FQDN)是否正确,并且可从站点服务器访问。
  4. 如果软件更新点与站点服务器远程,请验证是否可以从站点服务器连接到 WSUS 服务器。 有关详细信息,请参阅 检查从站点服务器到 WSUS 服务器的连接。
  5. 检查为软件更新点配置的端口设置。 验证它们是否与为软件更新点上运行的 WSUS 使用的网站配置的端口设置相同。 有关详细信息,请参阅 确定 WSUS 和软件更新点使用的端口设置。
  6. 验证是否已为软件更新点正确配置代理和帐户设置。 有关详细信息,请参阅 配置软件更新点的代理设置。
  7. 验证是否已配置软件更新点连接帐户(如有必要)。 并验证它是否有权连接到 WSUS 服务器。 有关详细信息,请参阅 为软件更新点配置 WSUS 服务器连接帐户。
  8. 验证在 IIS 中是否正确设置了虚拟目录的权限 ApiRemoting30 。 当 WSUS 同步管理器开始同步时,计算机和管理员帐户必须有权访问 ApiRemoting30 IIS 中 WSUS 网站下的虚拟目录。 若要检查虚拟目录的权限 ApiRemoting30 ,请执行以下操作:
    1. 在 WSUS 服务器上,打开 IIS 管理器。
    2. 展开 “站点”,展开 WSUS 服务器的网站,右键单击 ApiRemoting30 虚拟目录,然后选择“ 编辑权限”。
  9. 如果为 SSL(HTTPS)配置了软件更新点,请验证是否为 SSL 正确配置了 WSUS。 有关详细信息,请参阅 “检查 SSL 配置”。
  10. 查看WSUSCtrl.log以查看错误。 有关详细信息,请参阅 WSUS 控制管理器报告错误

由于 Web 服务问题,同步失败

由于 Web 服务出现问题,同步可能会失败。 出现此问题时,你将在WCM.log文件中看到类似于以下错误的错误:

System.Net.WebException:请求失败,HTTP 状态为 500

System.Net.WebException:请求失败,HTTP 状态为 503

若要排查 Web 服务问题,请执行以下步骤:

  1. 验证 Update Services 服务是否在 WSUS 服务器上运行。
  2. 验证默认网站或 WSUS 管理网站是否正在 WSUS 服务器上运行。
  3. 检查为软件更新点配置的端口设置。 验证它们是否与为软件更新点上运行的 WSUS 使用的网站配置的端口设置相同。 有关详细信息,请参阅 确定 WSUS 和软件更新点使用的端口设置。
  4. 查看WSUSCtrl.log以查看错误。 有关详细信息,请参阅 WSUS 控制管理器报告错误

由于 SSL 问题,同步失败

如果使用 SSL,请验证以下设置:

  • 验证为 WSUS 网站配置的证书是否配置了正确的 FQDN。 如果证书没有正确的 FQDN,请参阅 向安全 LDAP 证书添加使用者可选名称。
  • 验证证书是否已过期。
  • 验证是否已为 SSL 正确配置 WSUS。 有关详细信息,请参阅 “检查 SSL 配置”。

由于 EULA 出现问题,同步失败

同步问题通常可追溯到与最终用户许可协议(EULA)相关的问题。 若要验证问题是否为问题,请执行以下步骤:

  1. 查看 WSUS 服务器上的SoftwareDistribution.log文件,了解为什么 EULA 无法下载。 在日志中查找 .txt 以查找相关条目。

  2. 验证防火墙是否已配置为允许与 Microsoft Update 通信。 有关详细信息,请参阅 从 WSUS 服务器到 Internet 的连接。

  3. 验证代理服务器设置

  4. 从命令提示符运行以下命令,让 WSUS 再次下载缺少的内容,包括 EULA:

    %ProgramFiles%\Update Services\Tools\wsusutil.exe reset

由于与 Microsoft 更新通信时出错,同步失败

出现此问题时,通常会收到以下错误:

连接尝试因连接的服务器在经过一段时间后未能正确响应而失败,或建立的连接因连接的主机未响应而失败。

0x80072EFE - 与服务器的连接异常终止

若要排查此问题,请执行以下步骤:

  1. 验证 WSUS 服务器是否可以连接到 Internet。
  2. 验证防火墙是否已配置为允许与 Microsoft Update 通信。 有关详细信息,请参阅 从 WSUS 服务器到 Internet 的连接。
  3. 验证代理服务器设置

WSUS 控制管理器报告错误

与 WCM 和 WSyncMgr 不同,WSUS 控制管理器(WSUSCtrl)本身驻留在软件更新点(SUP)上。 如果 SUP 是远程的,WSUSCtrl.log将出现在 SUP 上,而不是站点服务器上。 WSUS 控制管理器定期检查 WSUS,以确保 WSUS 组件正常运行。 如果 WSUS 组件不正常,WCM 和 WSyncMgr 无法与 WSUS 通信。 在大多数情况下,WCM.log中的错误类似于WsyncMgr.log中的错误。 但是,当 SUP 远离站点服务器时,可能会发生异常。 如果 WSUS 组件正常,则远程 SUP 上的WSUSCtrl.log不会报告任何错误。 但是,如果站点服务器无法远程连接到 WSUS 服务器,即使 WSUS 本身正常,也会在WCM.log和/或WSyncMgr.log中看到错误。

若要检查 WSUS 是否按预期运行,请在 WSUS 服务器上运行以下命令。 然后查看应用程序登录事件查看器中出现错误:

%ProgramFiles%\Update Services\Tools\wsusutil.exe checkhealth

检查从站点服务器到 WSUS 服务器的连接

如果 WSUS 服务器与站点服务器远程,则必须在站点服务器上安装 WSUS 管理控制台。 控制台安装 Configuration Manager 用于连接到 WSUS 服务器所需的 API。 若要测试 Configuration Manager 是否可以连接到 WSUS 服务器,请使用本地安装的 WSUS 管理控制台。

若要使用 WSUS 管理控制台连接到远程 WSUS 服务器,请执行以下步骤:

  1. 启动 WSUS 管理控制台。
  2. 右键单击 树视图中的“更新服务 ”,然后选择“ 连接到服务器”。
  3. 指定远程 WSUS 服务器的服务器名称和端口号,然后选择“连接”。 请确保指定 WSUS 服务器的 FQDN 和正确的端口号。

WSUS 连接失败

有关详细信息,请参阅 WSUS 连接失败疑难解答

详细信息

  • 有关软件更新同步过程的详细信息,请参阅 软件更新同步
  • 还可以在此的 Configuration Manager 支持论坛中发布问题,了解安全性、更新和合规性
  • 请访问 我们的博客 ,了解 Configuration Manager 上的所有最新新闻、信息和技术提示。