Résoudre les échecs d’analyse des mises à jour logicielles dans Configuration Manager

  • Article

Cet article explique comment résoudre les échecs d’analyse des mises à jour logicielles dans Configuration Manager.

Version d’origine du produit : Microsoft System Center 2012 Configuration Manager, Microsoft System Center 2012 R2 Configuration Manager
Numéro de la base de connaissances d’origine : 3090184

Résumé

Plusieurs raisons peuvent expliquer l’échec d’une analyse des mises à jour logicielles. La plupart des problèmes concernent des problèmes de communication ou de pare-feu entre le client et l’ordinateur du point de mise à jour logicielle. Nous décrivons ici certaines des conditions d’erreur les plus courantes, ainsi que leurs résolutions et conseils de résolution des problèmes associés. Pour plus d’informations sur Windows Update erreurs courantes, consultez Windows Update erreurs courantes et atténuation.

Pour plus d’informations sur les mises à jour logicielles dans Configuration Manager, consultez Présentation des mises à jour logicielles.

Lorsque vous résolvez les problèmes d’analyse des mises à jour logicielles, concentrez-vous sur les fichiers WUAHandler.log et WindowsUpdate.log. WUAHandler signale simplement ce que l’agent Windows Update a signalé. Par conséquent, l’erreur dans le fichier WUAHandler.log serait la même que celle signalée par l’agent Windows Update lui-même. La plupart des informations sur l’erreur se trouvent probablement dans le fichier WindowsUpdate.log. Pour plus d’informations sur la lecture du fichier WindowsUpdate.log, consultez Windows Update fichiers journaux.

Échecs d’analyse en raison de composants manquants ou endommagés

Les erreurs 0x80245003, 0x80070514, 0x8DDD0018, 0x80246008, 0x80200013, 0x80004015, 0x800A0046, 0x800A01AD, 0x80070424, 0x800B0100 et 0x80248011 sont dues à des composants manquants ou endommagés.

Plusieurs problèmes peuvent être causés par des fichiers ou des clés de Registre manquants ou endommagés, des inscriptions de composants, etc. Un bon point de départ consiste à exécuter l’utilitaire de résolution des problèmes Windows Update pour détecter et résoudre ces problèmes automatiquement.

Il est également judicieux de vous assurer que vous exécutez la dernière version de l’agent Windows Update.

Si l’exécution de l’utilitaire de résolution des problèmes Windows Update ne résout pas le problème, réinitialisez le magasin de données de l’Agent Windows Update sur le client en procédant comme suit :

  1. Arrêtez le service Windows Update en exécutant la commande suivante :

    net stop wuauserv

  2. Renommez le C:\Windows\SoftwareDistribution dossier en C:\Windows\SoftwareDistribution.old.

  3. Démarrez le service Windows Update en exécutant la commande suivante :

    net start wuauserv

  4. Démarrez un cycle d’analyse des mises à jour logicielles.

Les erreurs 0x80244021, 0x8024401B, 0x80240030 et 0x8024402C sont dues à des problèmes liés au proxy.

Vérifiez les paramètres du proxy sur le client et assurez-vous qu’ils sont correctement configurés. L’agent Windows Update utilise WinHTTP pour rechercher les mises à jour disponibles. Lorsqu’il existe un serveur proxy entre le client et l’ordinateur WSUS, les paramètres de proxy doivent être configurés correctement sur les clients pour leur permettre de communiquer avec WSUS à l’aide du nom de domaine complet de l’ordinateur.

Pour les problèmes de proxy, WindowsUpdate.log pouvez signaler des erreurs qui ressemblent aux suivantes :

Erreur 0x80244021 ou HTTP 502 - Passerelle incorrecte

erreur 0x8024401B ou HTTP 407 - Authentification proxy requise

0x80240030 : le format de la liste des proxys n’est pas valide

0x8024402C : impossible de résoudre le nom du serveur proxy ou du serveur cible

Dans la plupart des cas, vous pouvez contourner le proxy pour les adresses locales, car l’ordinateur WSUS se trouve dans l’intranet. Toutefois, si le client est connecté à Internet, vous devez vous assurer que le serveur proxy est configuré pour activer cette communication.

Pour afficher les paramètres du proxy WinHTTP, exécutez l’une des commandes suivantes :

  • Sur Windows XP : proxycfg.exe
  • Sur Windows Vista et versions ultérieures : netsh winhttp show proxy

Les paramètres de proxy configurés dans Internet Explorer font partie des paramètres de proxy WinINET. Les paramètres de proxy WinHTTP ne sont pas nécessairement identiques aux paramètres de proxy configurés dans Internet Explorer. Toutefois, si les paramètres de proxy sont correctement définis dans Internet Explorer, vous pouvez importer la configuration du proxy à partir d’Internet Explorer. Pour importer la configuration du proxy à partir d’Internet Explorer, exécutez l’une des commandes suivantes :

  • Sur Windows XP : proxycfg.exe -u
  • Sur Windows Vista et versions ultérieures : netsh winhttp import proxy source =ie

Pour plus d’informations, consultez Comment le client Windows Update détermine le serveur proxy à utiliser pour se connecter au site web Windows Update.

Erreurs : 0x80072ee2, 0x8024401C, 0x80244023 ou 0x80244017 (état HTTP 401), 0x80244018 (état HTTP 403)

Vérifiez la connectivité avec l’ordinateur WSUS. Pendant une analyse, l’agent Windows Update doit communiquer avec les ClientWebService répertoires virtuels et SimpleAuthWebService sur l’ordinateur WSUS pour exécuter une analyse. Si le client ne peut pas communiquer avec l’ordinateur WSUS, l’analyse échoue. Ce problème peut se produire pour plusieurs raisons, notamment :

  • configuration du port
  • configuration du proxy
  • problèmes de pare-feu
  • connectivité réseau

Tout d’abord, recherchez l’URL de l’ordinateur WSUS en vérifiant la clé de Registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

Essayez d’accéder à l’URL pour vérifier la connectivité entre le client et l’ordinateur WSUS. Par exemple, l’URL que vous utilisez doit ressembler à l’URL suivante :
http://SUPSERVER.CONTOSO.COM:8530/Selfupdate/wuident.cab

Ensuite, case activée si le client peut accéder au ClientWebService répertoire virtuel. L’URL doit ressembler à l’URL suivante :
http://SUPSERVER.CONTOSO.COM:8530/ClientWebService/wusserverversion.xml

Enfin, case activée si le client peut accéder au SimpleAuthWebService répertoire virtuel. L’URL doit ressembler à l’URL suivante : http://SUPSERVER.CONTOSO.COM:8530/SimpleAuthWebService/SimpleAuth.asmx

Si ces tests réussissent, passez en revue les journaux IIS (Internet Information Services) sur l’ordinateur WSUS pour vérifier que les erreurs HTTP sont retournées par WSUS. Si l’ordinateur WSUS ne retourne pas l’erreur, le problème provient probablement d’un pare-feu ou d’un proxy intermédiaire.

Si l’un de ces tests échoue, case activée pour les problèmes de résolution de noms sur le client. Vérifiez que vous pouvez résoudre le nom de domaine complet de l’ordinateur WSUS.

Vérifiez également les paramètres du proxy sur le client pour vous assurer qu’ils sont correctement configurés. Pour plus d’informations, consultez la section Échecs d’analyse dus à des problèmes liés au proxy .

Enfin, vérifiez que les ports WSUS sont accessibles. WSUS peut être configuré pour utiliser l’un des ports suivants :

  • 80
  • 443
  • 8530
  • 8531

Pour que les clients communiquent avec l’ordinateur WSUS, les ports appropriés doivent être activés sur n’importe quel pare-feu entre le client et l’ordinateur WSUS.

Déterminer les paramètres de port utilisés par WSUS et le point de mise à jour logicielle

Les paramètres de port sont configurés lors de la création du rôle de système de site du point de mise à jour logicielle. Ces paramètres de port doivent être identiques aux paramètres de port utilisés par le site web WSUS. Sinon, le Gestionnaire de synchronisation WSUS ne se connectera pas à l’ordinateur WSUS qui s’exécute sur le point de mise à jour logicielle pour demander la synchronisation. Les procédures suivantes montrent comment vérifier les paramètres de port utilisés par WSUS et le point de mise à jour logicielle.

Déterminer les paramètres de port WSUS dans IIS 6.0

  1. Sur le serveur WSUS, ouvrez le Gestionnaire des services Internet (IIS).
  2. Développez Sites web, cliquez avec le bouton droit sur le site web du serveur WSUS, puis sélectionnez Propriétés.
  3. Sélectionnez l’onglet Site web .
  4. Le paramètre de port HTTP s’affiche dans le port TCP, et le paramètre de port HTTPS s’affiche dans le port SSL.

Déterminer les paramètres de port WSUS dans IIS 7.0 et versions ultérieures

  1. Sur le serveur WSUS, ouvrez le Gestionnaire des services Internet (IIS).
  2. Développez Sites, cliquez avec le bouton droit sur le site web du serveur WSUS, puis sélectionnez Modifier les liaisons.
  3. Dans la boîte de dialogue Liaisons de site, les valeurs de port HTTP et HTTPS sont affichées dans la colonne Port .

Vérifier et configurer des ports pour le point de mise à jour logicielle

  1. Dans la console Configuration Manager, accédez à Administration>Site Configuration>Serveurs et rôles de système de site, puis sélectionnez <SiteSystemName> dans le volet droit.
  2. Dans le volet inférieur, cliquez avec le bouton droit sur Point de mise à jour logicielle , puis cliquez sur Propriétés.
  3. Sous l’onglet Général , spécifiez ou vérifiez les numéros de port de configuration WSUS.

Une fois les ports vérifiés et configurés correctement, vous devez case activée connectivité des ports à partir du client en exécutant la commande suivante :

telnet SUPSERVER.CONTOSO.COM <PortNumber>

Si le port n’est pas accessible, telnet retourne une erreur semblable à ce qui suit.

Impossible d’ouvrir la connexion à l’hôte, sur le port <PortNumber>

Cette erreur suggère que les règles de pare-feu doivent être configurées pour activer la communication pour les ports du serveur WSUS.

L’analyse échoue avec l’erreur 0x80072f0c

Erreur 0x80072f0c se traduit par un certificat requis pour effectuer l’authentification du client. Cette erreur doit se produire uniquement si l’ordinateur WSUS est configuré pour utiliser SSL. Dans le cadre de la configuration SSL, les répertoires virtuels WSUS doivent être configurés pour utiliser SSL et doivent être définis pour ignorer les certificats clients. Si le site web WSUS ou l’un des répertoires virtuels mentionnés précédemment sont configurés de manière incorrecte pour Accepter ou Exiger des certificats clients, vous recevez cette erreur.

Vérifier la configuration SSL

Lorsque le site est configuré en mode HTTPS uniquement , le point de mise à jour logicielle est automatiquement configuré pour utiliser SSL. Lorsque le site est en mode HTTPS ou HTTP , vous pouvez choisir de configurer le point de mise à jour logicielle pour utiliser SSL. Lorsque le point de mise à jour logicielle est configuré pour utiliser SSL, l’ordinateur WSUS doit également être explicitement configuré pour utiliser SSL. Avant de configurer SSL, vous devez passer en revue les exigences du certificat. Assurez-vous également qu’un certificat d’authentification de serveur est installé sur le serveur du point de mise à jour logicielle.

Vérifiez que le point de mise à jour logicielle est configuré pour SSL

  1. Dans la console Configuration Manager, accédez à Administration>Configuration du site>Serveurs et rôles de système de site, puis sélectionnez <SiteSystemName> dans le volet droit.
  2. Dans le volet inférieur, cliquez avec le bouton droit sur Point de mise à jour logicielle, puis sélectionnez Propriétés.
  3. Sous l’onglet Général , vérifiez que l’option suivante est activée :
    Exiger une communication SSL avec le serveur WSUS

Vérifiez que l’ordinateur WSUS est configuré pour SSL

  1. Ouvrez la console WSUS sur le point de mise à jour logicielle du site.
  2. Dans le volet de l’arborescence de la console, sélectionnez Options.
  3. Dans le volet d’affichage, sélectionnez Mettre à jour la source et le serveur proxy.
  4. Vérifiez que l’option Utiliser SSL lors de la synchronisation des informations de mise à jour est sélectionnée.

Ajouter le certificat d’authentification du serveur au site web d’administration WSUS

  1. Sur l’ordinateur WSUS, démarrez le Gestionnaire des services Internet (IIS).
  2. Développez Sites, cliquez avec le bouton droit sur Site web par défaut ou sur le site web d’administration WSUS si WSUS est configuré pour utiliser un site web personnalisé, puis sélectionnez Modifier les liaisons.
  3. Sélectionnez l’entrée HTTPS , puis modifier.
  4. Dans la boîte de dialogue Modifier la liaison de site , sélectionnez le certificat d’authentification du serveur, puis sélectionnez OK.
  5. Dans la boîte de dialogue Modifier la liaison de site , sélectionnez OK, puis Fermer.
  6. Quittez le Gestionnaire des services Internet.

Importante

Assurez-vous que le nom de domaine complet spécifié dans les propriétés du système de site correspond au nom de domaine complet spécifié dans le certificat. Si le point de mise à jour logicielle accepte uniquement les connexions à partir de l’intranet, le nom de l’objet ou l’autre nom de l’objet doit contenir le nom de domaine complet de l’intranet. Lorsque le point de mise à jour logicielle accepte les connexions clientes à partir d’Internet uniquement, le certificat doit toujours contenir le nom de domaine complet Internet et le nom de domaine complet intranet, car WCM et WSyncMgr utilisent toujours le nom de domaine complet intranet pour se connecter au point de mise à jour logicielle. Si le point de mise à jour logicielle accepte les connexions à partir d’Internet et de l’intranet, le nom de domaine complet Internet et le nom de domaine complet intranet doivent être spécifiés à l’aide du séparateur de symboles esperluette (&) entre les deux noms.

Vérifier que SSL est configuré sur l’ordinateur WSUS

Pour plus d’informations, consultez Configurer SSL sur le serveur WSUS.

Importante

Vous ne pouvez pas configurer l’ensemble du site web WSUS pour exiger SSL, car tout le trafic vers le site WSUS doit être chiffré. WSUS chiffre uniquement les métadonnées de mise à jour. Si un ordinateur tente de récupérer des fichiers de mise à jour sur le port HTTPS, le transfert échoue.

stratégie de groupe remplace les informations de configuration WSUS correctes

La fonctionnalité Software Mises à jour configure automatiquement un paramètre de stratégie de groupe local pour le client Configuration Manager, afin qu’il soit configuré pour utiliser l’emplacement source et le numéro de port du point de mise à jour logicielle. Le nom du serveur et le numéro de port sont requis pour que le client trouve le point de mise à jour logicielle.

Si un paramètre d’stratégie de groupe Active Directory est appliqué aux ordinateurs pour l’installation du client du point de mise à jour logicielle, il remplace le paramètre stratégie de groupe local. Sauf si la valeur du paramètre défini dans stratégie de groupe est identique à celle définie par Configuration Manager (nom du serveur et port), l’analyse des mises à jour logicielles Configuration Manager échoue sur le client. Dans ce cas, le fichier WUAHandler.log affiche l’entrée suivante :

Group policy settings were overwritten by a higher authority (Domain Controller) to: Server http://server and Policy ENABLED

Pour résoudre ce problème, le point de mise à jour logicielle pour l’installation du client et les mises à jour logicielles doit être le même serveur. Et il doit être spécifié dans le paramètre stratégie de groupe Active Directory à l’aide du format de nom et des informations de port corrects. Par exemple, si le point de mise à jour logicielle utilisait le site web par défaut, le point de mise à jour logicielle est http://server1.contoso.com:80.

Les clients ne trouvent pas l’emplacement du serveur WSUS

  1. Pour comprendre comment les clients obtiennent l’emplacement du serveur WSUS, consultez Emplacement du serveur WSUS. Et passez en revue les journaux du client et du point de gestion.
  2. Activez la journalisation détaillée et déboguée sur le client et le point de gestion.
  3. Vérifiez qu’il n’y a aucune erreur de communication dans CcmMessaging.log sur le client.
  4. Si le point de gestion retourne une réponse d’emplacement WSUS vide, il se peut qu’il y ait une incompatibilité dans la version de contenu de WSUS. Il peut s’agir d’un échec de synchronisation. Pour rechercher la version de contenu du point de mise à jour logicielle, dans Configuration Manager console, sélectionnez Surveillance> del’état de synchronisation du point de mise à jour logicielle.
  5. Passez en revue les données dans CI_UpdateSourcesles tables et WSUSServerLocationsUpdate_SyncStatus , vérifiez que l’ID unique de la source de mise à jour et la version du contenu correspondent à ces tables.

Résultats de conformité inconnus

  1. Passez en revue le fichier PolicyAgent.log sur le client pour vérifier que le client reçoit des stratégies.
  2. Vérifiez que la synchronisation des mises à jour logicielles a réussi sur le point de mise à jour logicielle. Si la synchronisation échoue, résolvez les problèmes de synchronisation.
  3. Si le fichier WUAHandler.log n’existe pas et n’est pas créé après le démarrage d’un cycle d’analyse, le problème se produit probablement pour l’une des raisons suivantes :
  4. Vérifiez qu’il n’y a aucune erreur de communication dans le fichier CcmMessaging.log sur le client.
  5. Si l’analyse réussit, le client doit envoyer des messages d’état au point de gestion pour indiquer la mise à jour status. Pour comprendre le fonctionnement du traitement des messages d’état, consultez Flux de traitement des messages d’état.

Autres problèmes

Pour plus d’informations, consultez Résoudre les problèmes liés à l’analyse des mises à jour logicielles clientes.