共用方式為

針對 Configuration Manager 中的軟體更新掃描失敗進行疑難解答

  • 發行項

本文說明如何針對 Configuration Manager 中的軟體更新掃描失敗進行疑難解答。

原始產品版本: Microsoft System Center 2012 Configuration Manager,Microsoft System Center 2012 R2 Configuration Manager
原始 KB 編號: 3090184

摘要

軟體更新掃描可能會失敗有幾個原因。 大部分的問題都牽涉到用戶端與軟體更新點計算機之間的通訊或防火牆問題。 我們會在這裡描述一些最常見的錯誤狀況及其相關解決方式和疑難解答秘訣。 如需 Windows Update 常見錯誤的詳細資訊,請參閱 Windows Update 常見錯誤和風險降低

如需 Configuration Manager 中軟體更新的詳細資訊,請參閱 軟體更新簡介

當您針對軟體更新掃描失敗進行疑難解答時,請專注於WUAHandler.log和WindowsUpdate.log檔案。 WUAHandler 只會報告 Windows Update 代理程式所報告的內容。 因此,WUAHandler.log檔案中的錯誤會是 Windows Update 代理程式本身所回報的相同錯誤。 在WindowsUpdate.log檔案中,可能會找到有關錯誤的大部分資訊。 如需如何讀取WindowsUpdate.log檔案的詳細資訊,請參閱 Windows Update 記錄檔

掃描失敗,因為元件遺失或損毀

錯誤0x80245003、0x80070514、0x8DDD0018、0x80246008、0x80200013、0x80004015、0x800A0046、0x800A01AD、0x80070424、0x800B0100和0x80248011是由遺失或損毀的元件所造成。

遺失或損毀的檔案或登錄機碼、元件註冊等等,可能會導致數個問題。 若要開始,最好是執行 Windows Update 疑難解答員 ,以自動偵測並修正這些問題。

也建議您確定您執行 的是最新版本的 Windows Update 代理程式

如果執行 Windows Update 疑難解答員無法修正問題,請依照下列步驟重設用戶端上的 Windows Update 代理程式數據存放區:

  1. 執行下列命令來停止 Windows Update 服務:

    net stop wuauserv

  2. C:\Windows\SoftwareDistribution 資料夾重新命名為 C:\Windows\SoftwareDistribution.old

  3. 執行下列命令來啟動 Windows Update 服務:

    net start wuauserv

  4. 啟動軟體更新掃描週期。

0x80244021、0x8024401B、0x80240030和0x8024402C錯誤是由 Proxy 相關問題所造成。

確認用戶端上的 Proxy 設定,並確定它們已正確設定。 Windows Update 代理程式會使用 WinHTTP 掃描可用的更新。 當用戶端與 WSUS 計算機之間有 Proxy 伺服器時,必須在用戶端上正確設定 Proxy 設定,才能使用電腦的 FQDN 與 WSUS 通訊。

針對 Proxy 問題,WindowsUpdate.log可能會回報類似下列的錯誤:

0x80244021或 HTTP 錯誤 502 - 閘道不正確

0x8024401B或 HTTP 錯誤 407 - 需要 Proxy 驗證

0x80240030 - Proxy 清單的格式無效

0x8024402C - 無法解析 Proxy 伺服器或目標伺服器名稱

在大部分情況下,您可以略過本機位址的 Proxy,因為 WSUS 計算機位於內部網路內。 但是,如果用戶端連線到因特網,您必須確定 Proxy 伺服器已設定為啟用該通訊。

若要檢視 WinHTTP Proxy 設定,請執行下列其中一個命令:

  • 在 Windows XP 上: proxycfg.exe
  • 在 Windows Vista 和更新版本上: netsh winhttp show proxy

Internet Explorer 中設定的 Proxy 設定是 WinINET Proxy 設定的一部分。 WinHTTP Proxy 設定不一定與 Internet Explorer 中設定的 Proxy 設定相同。 不過,如果在 Internet Explorer 中正確設定 Proxy 設定,您可以從 Internet Explorer 匯入 Proxy 組態。 若要從 Internet Explorer 匯入 Proxy 組態,請執行下列其中一個命令:

  • 在 Windows XP 上: proxycfg.exe -u
  • 在 Windows Vista 和更新版本上: netsh winhttp import proxy source =ie

如需詳細資訊,請參閱 Windows Update 用戶端如何判斷要用來連線到 Windows Update 網站的 Proxy 伺服器。

錯誤:0x80072ee2、0x8024401C、0x80244023或0x80244017(HTTP 狀態 401)、0x80244018 (HTTP 狀態 403)

確認與 WSUS 電腦的連線。 在掃描期間,Windows Update 代理程式必須與 WSUS 計算機上的 和 SimpleAuthWebService 虛擬目錄通訊ClientWebService,才能執行掃描。 如果客戶端無法與 WSUS 計算機通訊,掃描就會失敗。 此問題可能會因為數個原因而發生,包括:

  • 埠組態
  • Proxy 組態
  • 防火牆問題
  • 網路連線能力

首先,藉由檢查下列登錄機碼來尋找 WSUS 計算機的 URL:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

嘗試存取 URL,以確認用戶端與 WSUS 計算機之間的連線。 例如,您使用的 URL 應該類似下列 URL:
http://SUPSERVER.CONTOSO.COM:8530/Selfupdate/wuident.cab

然後檢查用戶端是否可以存取 ClientWebService 虛擬目錄。 URL 應該類似下列 URL:
http://SUPSERVER.CONTOSO.COM:8530/ClientWebService/wusserverversion.xml

最後,檢查用戶端是否可以存取 SimpleAuthWebService 虛擬目錄。 URL 應該類似下列 URL: http://SUPSERVER.CONTOSO.COM:8530/SimpleAuthWebService/SimpleAuth.asmx

如果這些測試成功,請檢閱 WSUS 電腦上的 網際網路資訊服務 (IIS) 記錄,以確認 HTTP 錯誤是從 WSUS 傳回。 如果 WSUS 電腦未傳回錯誤,問題可能是中繼防火牆或 Proxy。

如果其中任何一項測試失敗,請檢查用戶端上的名稱解析問題。 確認您可以解析 WSUS 計算機的 FQDN。

此外,請確認用戶端上的 Proxy 設定,以確定它們已正確設定。 如需詳細資訊,請參閱 因 Proxy 相關問題 而造成的掃描失敗一節。

最後,確認可以存取 WSUS 埠。 WSUS 可以設定為使用下列任一埠:

  • 80
  • 443
  • 8530
  • 8531

若要讓用戶端與 WSUS 計算機通訊,必須在用戶端與 WSUS 計算機之間的任何防火牆上啟用適當的埠。

判斷 WSUS 和軟體更新點所使用的埠設定

建立軟體更新點站台系統角色時,會設定埠設定。 這些埠設定必須與 WSUS 網站所使用的埠設定相同。 否則,WSUS 同步處理管理員將不會連線到軟體更新點上執行的 WSUS 計算機,以要求同步處理。 下列程式示範如何驗證 WSUS 和軟體更新點所使用的埠設定。

判斷 IIS 6.0 中的 WSUS 埠設定

  1. 在 WSUS 伺服器上,開啟 Internet Information Services (IIS) Manager。
  2. 展開 [網站],以滑鼠右鍵按兩下 WSUS 伺服器的網站,然後選取 [ 屬性]。
  3. 選取 [ 網站] 索引標籤
  4. HTTP 連接埠設定會顯示在 TCP 連接埠中,而 HTTPS 連接埠設定會顯示在 SSL 埠

判斷 IIS 7.0 和更新版本中的 WSUS 埠設定

  1. 在 WSUS 伺服器上,開啟 Internet Information Services (IIS) Manager。
  2. 展開 [月臺],以滑鼠右鍵按兩下 WSUS 伺服器的網站,然後選取 [ 編輯系結]。
  3. 在 [網站系結] 對話框中,HTTP 和 HTTPS 連接埠值會顯示在 [埠] 資料行中

確認並設定軟體更新點的埠

  1. 在 Configuration Manager 控制台中,移至 [系統管理>站台設定>伺服器和站台系統角色],然後在右窗格中選取< [SiteSystemName]。>
  2. 在底部窗格中,以滑鼠右鍵按兩下 [軟體更新點 ],然後按兩下 [ 內容]。
  3. 在 [ 一般] 索引標籤上,指定或驗證 WSUS 組態埠號碼。

正確驗證並設定埠之後,您應該執行下列命令來檢查來自用戶端的埠連線:

telnet SUPSERVER.CONTOSO.COM <PortNumber>

如果無法存取埠,telnet 會傳回類似下列的錯誤。

無法在埠 <PortNumber 上開啟與主機的連線>

此錯誤表示必須設定防火牆規則,才能啟用WSUS伺服器埠的通訊。

掃描失敗,錯誤0x80072f0c

0x80072f0c轉譯為 憑證時發生錯誤,才能完成客戶端驗證。 只有在 WSUS 計算機設定為使用 SSL 時,才會發生此錯誤。 在 SSL 設定中,WSUS 虛擬目錄必須設定為使用 SSL,而且必須設定為忽略客戶端憑證。 如果 WSUS 網站或先前提及的任何虛擬目錄設定不正確為 [接受 ] 或 [需要 用戶端憑證],您會收到此錯誤。

檢查 SSL 設定

當月臺設定為 僅限 HTTPS 模式時,軟體更新點會自動設定為使用 SSL。 當月台處於 HTTPS 或 HTTP 模式時,您可以選擇是否要將軟體更新點設定為使用 SSL。 當軟體更新點設定為使用 SSL 時,WSUS 計算機也必須明確設定為使用 SSL。 設定 SSL 之前,您應該先檢閱 憑證需求。 並確定已在軟體更新點伺服器上安裝伺服器驗證憑證。

確認已針對 SSL 設定軟體更新點

  1. 在 Configuration Manager 控制臺上,移至 [系統管理>站臺設定>伺服器和站台系統角色],然後在右窗格中選取< [SiteSystemName]。>
  2. 在底部窗格中,以滑鼠右鍵按兩下 [軟體更新點],然後選取 [ 屬性]。
  3. 在 [ 一般] 索引標籤上,確認已啟用下列選項:
    需要與 WSUS 伺服器的 SSL 通訊

確認 WSUS 計算機已針對 SSL 設定

  1. 在月臺的軟體更新點上開啟WSUS控制台。
  2. 在控制台樹窗格中,選取 [ 選項]。
  3. 在顯示窗格中,選取 [更新來源和 Proxy 伺服器]。
  4. 確認已 選取 [同步處理更新資訊 時使用 SSL] 選項。

將伺服器驗證憑證新增至 WSUS 系統管理網站

  1. 在 WSUS 電腦上,啟動 網際網路資訊服務 (IIS) 管理員。
  2. 展開 [網站],以滑鼠右鍵按兩下 [預設網站],如果 WSUS 設定為使用自定義網站,請以滑鼠右鍵按兩下 [預設網站 ] 或 [WSUS 系統管理網站],然後選取 [ 編輯系結]。
  3. 選取 HTTPS 專案,然後選取 [編輯]。
  4. 在 [ 編輯網站系結 ] 對話框中,選取伺服器驗證憑證,然後選取 [ 確定]。
  5. 在 [ 編輯網站系結 ] 對話框中,選取 [ 確定],然後選取 [ 關閉]。
  6. 結束 IIS 管理員。

重要

請確定在月台系統屬性中指定的 FQDN 符合憑證中指定的 FQDN。 如果軟體更新點只接受來自內部網路的連線, 主體名稱主體別名 必須包含內部網路 FQDN。 當軟體更新點只接受來自因特網的用戶端連線時,憑證仍必須同時包含因特網 FQDN 和內部網路 FQDN,因為 WCM 和 WSyncMgr 仍會使用內部網路 FQDN 連線到軟體更新點。 如果軟體更新點接受來自因特網和內部網路的連線,則必須使用兩個名稱之間的和符號分隔符來指定因特網 FQDN 和內部網路 FQDN。

確認 WSUS 電腦上已設定 SSL

如需詳細資訊,請參閱 在 WSUS 伺服器上設定 SSL。

重要

您無法將整個 WSUS 網站設定為需要 SSL,因為 WSUS 網站的所有流量都必須加密。 WSUS 僅會加密更新中繼資料。 如果計算機嘗試擷取 HTTPS 連接埠上的更新檔案,傳輸將會失敗。

組策略會覆寫正確的 WSUS 組態資訊

軟體更新功能會自動設定 Configuration Manager 用戶端的本機組策略設定,使其設定為使用軟體更新點來源位置和埠號碼。 用戶端需要伺服器名稱和埠號碼,才能尋找軟體更新點。

如果 Active Directory 組策略設定套用至電腦進行軟體更新點用戶端安裝,則會覆寫本機組策略設定。 除非組策略中定義的設定值與 Configuration Manager 所設定的值相同(伺服器名稱和埠),否則 Configuration Manager 軟體更新掃描將會在用戶端上失敗。 在此情況下,WUAHandler.log檔案會顯示下列專案:

Group policy settings were overwritten by a higher authority (Domain Controller) to: Server http://server and Policy ENABLED

若要修正此問題,用戶端安裝和軟體更新的軟體更新點必須是相同的伺服器。 而且必須使用正確的名稱格式和埠資訊,在 Active Directory 組策略設定中指定它。 例如,如果軟體更新點使用預設網站,則軟體更新點會是 http://server1.contoso.com:80

用戶端找不到 WSUS 伺服器位置

  1. 若要瞭解用戶端如何取得 WSUS 伺服器位置,請參閱 WSUS 伺服器位置。 並檢閱用戶端和管理點記錄。
  2. 在用戶端和管理點上啟用詳細資訊和偵錯記錄。
  3. 確認用戶端上CcmMessaging.log沒有通訊錯誤。
  4. 如果管理點傳回空的 WSUS 位置回應,WSUS 的內容版本可能會不符。 這可能是同步處理失敗的結果。 若要尋找軟體更新點的內容版本,請在 Configuration Manager 控制台中,選取 [監視>軟體更新點同步處理狀態]。
  5. 檢閱、 WSUSServerLocationsUpdate_SyncStatus 數據表中的數據CI_UpdateSources,確認更新來源唯一標識符和內容版本符合這些數據表。

合規性結果不明

  1. 檢閱用戶端上的PolicyAgent.log檔案,以確認用戶端正在接收原則。
  2. 確認軟體更新同步處理在軟體更新點上是否成功。 如果同步處理失敗, 請針對同步處理問題進行疑難解答。
  3. 如果WUAHandler.log檔案不存在,而且在您啟動掃描周期之後未建立,則問題很可能是因為下列其中一個原因而發生:
  4. 確認用戶端上CcmMessaging.log檔案中沒有任何通訊錯誤。
  5. 如果掃描成功,客戶端應該將狀態消息傳送至管理點,以指出更新狀態。 若要了解狀態消息處理的運作方式,請參閱 狀態消息處理流程

其他問題

如需詳細資訊,請參閱 針對用戶端軟體更新掃描進行疑難解答。