你目前正处于脱机状态,正在等待 Internet 重新连接

如何解决在 System Center 2012 配置管理器软件更新扫描失败

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 3090184
概要
有几个软件更新扫描操作可能会失败的原因。多数问题涉及通信或防火墙客户端软件更新点计算机之间的问题。我们将介绍一些最常见的错误情况及其关联的解决方法和故障排除提示这里。

注意:有关软件更新的 Microsoft System Center 2012 配置管理器的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
3092358故障排除和维护在 System Center 2012 配置管理器的软件更新

背景

在解决软件更新扫描失败时,应该关注的 WUAHandler.log 和 WindowsUpdate.log 文件。因为 WUAHandlerjust 报告 Windows 更新代理的报告,WUAHandler.logfile 中的错误会相同 Windows 更新代理本身报告的错误。因此,有可能将在 WindowsUpdate.log 文件中找到大多数有关错误的信息。有关如何读取 WindowsUpdate.log 文件的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
902093 如何读取 WindowsUpdate.log 文件
更多信息

扫描失败引起的丢失或损坏的组件

0x80245003、 0x80070514、 0x8DDD0018、 0x80246008、 0x80200013、 0x80004015、 0x800A0046、 0x800A01AD、 0x80070424、 0x800B0100 和 0x80248011 的错误被由于丢失或损坏组件。

丢失或损坏的文件或注册表项、 组件登记等可能导致软件更新扫描的几个问题。良好开端是运行 Windows 更新疑难解答来检测和自动修复这些问题。您可以找到 Windows 更新故障诊断,以及它检测到下列文档中的错误代码的列表:
2714434 Windows 更新故障诊断程序的说明

它也是一个好主意,以确保您正在运行最新版本的 Windows 更新代理。有关如何更新 Windows 更新代理的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
949104 如何更新到最新版本的 Windows 更新代理

如果运行 Windows 更新疑难解答没有解决问题,重置 Windows 更新代理数据存储在客户端上。要重置 Windows 更新代理数据存储区,请执行以下步骤:
  1. 通过运行以下命令来停止 Windows 更新服务:
    NET STOP 没有帮助的 WUAUSERV
  2. 将 C:\Windows\SoftwareDistribution 文件夹重命名为 C:\Windows\SoftwareDistribution.old。
  3. 开始 Windows 更新服务,通过运行以下命令:
    NET START 没有帮助的 WUAUSERV
  4. 启动一个软件更新扫描周期。

扫描失败引起的与代理相关的问题

0x80244021、 0x8024401B、 0x80240030 和 0x8024402C 的错误被由于代理服务器相关的问题。

验证客户端的代理设置,请确保配置正确。Windows 更新代理使用 WinHTTP 扫描可用的更新。因此,当代理服务器客户端和 WSUS 计算机之间,代理设置必须正确配置的客户机,使他们可以使用计算机的 FQDN 与 WSUS 进行通信。

有关代理问题,WindowsUpdate.log 报告可能类似于以下内容的错误:

0x80244021 或 HTTP 错误 502-网关错误
0x8024401B 或 HTTP 错误 407-代理服务器身份验证要求
0x80240030-代理服务器列表的格式无效
0x8024402C-无法解析代理服务器或目标服务器名称

在大多数情况下,因为与 WSUS 计算机位于内联网中仍可以忽略本地地址的代理服务器。但是,如果客户端连接到 Internet 时,必须确保代理服务器被配置为允许的通信。

若要查看 WinHTTP 代理设置,请运行以下命令,具体取决于您的操作系统之一:
Windows XP:proxycfg.exe
Windows Vista 或更高版本:netsh winhttp 显示代理服务器

因为在 Internet Explorer 中配置的代理服务器设置 WinINET 代理设置的一部分,WinHTTP 代理设置不一定在 Internet Explorer 中配置代理服务器设置相同。但是,如果在 Internet Explorer 中正确设置的代理设置,您可以从 Internet Explorer 导的代理配置。从 Internet Explorer 中导入代理配置,请运行以下命令,具体取决于您的操作系统:
Windows XP:proxycfg.exe u
Windows Vista 或更高版本:netsh winhttp 导入代理源 = ie
有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
900935Windows 更新客户端是如何确定哪些代理服务器用来连接到 Windows Update 网站

扫描失败引起的与 HTTP 超时或身份验证相关的问题

错误: 0x80072ee2、 0x8024401C、 0x80244023,或0x80244017 (HTTP 状态为 401) (HTTP 状态 403) 0x80244018

验证与 WSUS 计算机建立连接。在扫描过程中 Windows 更新代理已与 WSUS 计算机上的 ClientWebService 和 SimpleAuthWebService 虚拟目录通信才能运行扫描。如果客户端无法与 WSUS 计算机进行通信,则扫描失败。原因可能有几个原因。其中包括端口配置、 代理配置、 防火墙问题和网络连接。

首先,我们需要找到 WSUS 计算机的 URL。我们可以检查以下注册表项来执行此操作:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate


尝试访问的 URL,以验证客户端和 WSUS 计算机之间的连接。例如,您使用的 URL 应如下所示:
http://SUPSERVER.CONTOSO.COM:8530/Selfupdate/wuident.cab

请检查客户端是否可以访问 ClientWebService 虚拟目录。此 URL 应如下所示:
http://SUPSERVER.CONTOSO.COM:8530/ClientWebService/wusserverversion.xml

最后,检查客户端是否可以访问 SimpleAuthWebService 虚拟目录。此测试的 URL 应如下所示:
http://SUPSERVER.CONTOSO.COM:8530/SimpleAuthWebService/SimpleAuth.asmx

如果这些测试均成功完成,检查以确认正在从 WSUS 返回 HTTP 错误的 WSUS 计算机上的 IIS 日志。如果 WSUS 计算机没有返回错误,则问题可能是与中间防火墙或代理服务器。

如果其中的任何失败,检查客户端上的名称解析问题。请验证您可以解析 WSUS 计算机的 FQDN。

同时,验证在客户端,以确保配置正确的代理服务器设置。有关详细信息,请参阅"扫描失败是由于与代理相关的问题"一节。

最后,验证可以访问 WSUS 端口。WSUS 可以将配置为使用任何以下端口:
  • 80
  • 443
  • 8530
  • 8531
对于 WSUS 计算机进行通信的客户端,客户端和 WSUS 计算机之间的任何防火墙上必须启用相应的端口。

软件更新点站点系统角色创建时配置端口设置。这些端口设置必须与 WSUS 网站所使用的端口设置相同。否则,WSUS 同步管理器将无法连接到 WSUS 计算机上的软件更新点,请求同步运行的。下面的过程介绍如何验证端口设置使用 WSUS 和软件的更新点。

确定在 IIS 6.0 中的 WSUS 端口设置。
  1. 在 WSUS 服务器上,打开 Internet Information Services (IIS) 管理器。
  2. 展开Web 站点,右键单击的网站对于 WSUS 服务器,然后单击属性
  3. 单击网站选项卡。
  4. HTTP 端口设置将显示在TCP 端口和 HTTPS 端口设置将显示在SSL 端口
确定在 IIS 7.0 及更高版本的 WSUS 端口设置。
  1. 在 WSUS 服务器上,打开 Internet Information Services (IIS) 管理器。
  2. 展开网站,网站以获取 WSUS 服务器上,用鼠标右键单击,然后单击编辑绑定
  3. 站点绑定对话框中的 HTTP 和 HTTPS 端口值显示在端口列。

验证和配置端口用于软件更新点。
  1. 在配置管理器控制台中,浏览到->服务器和站点系统角色站点配置管理窗格,然后单击SiteSystemName> 在右窗格中。
  2. 在底部窗格中,用鼠标右键单击软件更新点,然后单击属性
  3. 常规选项卡,指定/确认 WSUS 配置端口号。
端口已验证并且正确配置后,您应检查来自客户端的端口连接通过运行以下命令:
telnet SUPSERVER。CONTOSO.COM<PortNumber>
</PortNumber>

如果不能访问该端口,telnet 将返回类似于以下内容的错误。(此错误情况表明,必须配置防火墙规则以允许 WSUS 服务器端口的通信)。

无法打开到主机,端口上的连接端口号>

扫描失败并出现错误 0x80072f0c


错误 0x80072f0c 转换为"证书是必需到完整的客户端身份验证"。WSUS 计算机被配置为使用 SSL 的情况下,才应该发生该错误。为 SSL 配置的一部分,必须将 WSUS 虚拟目录配置为使用 SSL,并且它们必须设置为忽略客户证书。如果 WSUS 网站或任何虚拟目录提到以前是 configuredincorrectly"接受"或"要求"客户端证书,您将收到此错误。

当站点配置为"只用于 HTTPS"模式时,软件更新点被自动配置为使用 SSL。如果网站是以"HTTPS 或 HTTP"模式,您可以选择是否配置为使用 SSL 的软件更新点。当软件更新点被配置为使用 SSL 时,WSUS 计算机必须还明确配置为使用 SSL。配置 SSL 之前,您应该查看的证书要求,并确保软件更新点服务器上安装了的服务器身份验证证书。

验证软件更新点已配置的 SSL。
  1. 在配置管理器控制台中,浏览到管理网站配置服务器和站点系统角色,->,然后单击SiteSystemName> 在右窗格中。
  2. 在底部窗格中,软件更新点,用鼠标右键单击,然后单击属性
  3. 常规选项卡上单击需要 SSL 通信到 WSUS 服务器
验证 WSUS 计算机配置了 SSL。
  1. 打开该站点的软件更新点上的 WSUS 控制台。
  2. 在控制台树窗格中,单击选项
  3. 在显示窗格中,单击更新源和代理服务器
  4. 验证已选择使用 SSL 时进行同步更新信息选项。
将服务器身份验证证书添加到 WSUS 管理网站。
  1. 在 WSUS 计算机上,启动 Internet Information Services (IIS) 管理器。
  2. 展开网站,用鼠标右键单击默认的 Web 站点或 WSUS 管理网站如果将 WSUS 配置为使用一个自定义的网站,然后选择编辑绑定
  3. HTTPS 条目中,请单击,然后单击编辑
  4. 编辑网站绑定对话框中,选择服务器身份验证证书,然后单击确定
  5. 编辑网站绑定对话框中,单击确定,然后单击关闭
  6. IIS 管理器中退出。
重要:请确保指定的站点系统属性中的 FQDN 匹配的证书中指定的 FQDN。如果软件更新点接受连接的 intranet,主题名称或者主题备用名称必须包含 intranet FQDN。当软件更新点接受来自 Internet 的客户端连接时,证书必须仍然包含 Internet FQDN 和 intranet FQDN,因为 WCM 和 WSyncMgr 仍然使用 intranet FQDN 连接到软件更新点。如果软件更新点接受连接互联网和内联网,从 Internet FQDN 和内联网,必须使用两个名称之间的 and 符 (&) 符号分隔符指定 FQDN。
在 WSUS 计算机上配置 SSL。
下面的链接将应用于系统中心配置管理器 2007年。但是,您可以按照相同的步骤,在 2012年在 WSUS 上配置 SSL 配置管理器和 2012 R2 配置管理器。

如何配置 WSUS 网站使用 SSL

重要:因为您不能配置整个 WSUS 网站要求使用 SSL,然后者必须到 WSUS 网站的所有通信进行加密。WSUS 加密更新元数据。如果一台计算机试图检索 HTTPS 端口上的更新文件,则传输将会失败。

组策略将覆盖 WSUS 配置信息正确无误

软件更新功能自动配置本地组策略设置为配置管理器客户端,以便它被配置为使用软件更新点源位置和端口号。服务器名称和端口号所需的客户端软件更新点。

但是,如果 活动目录(AD) 组策略设置应用到计算机的软件更新点客户端安装,这将覆盖本地组策略设置。除非组策略中定义的设置值相同所设置的配置管理器 (服务器名称和端口),配置管理器软件更新扫描将在客户端失败。在这种情况下,WUAHandler.log 文件显示以下信息:

组策略设置被覆盖到更高权力 (域控制器): 服务器 http://server 和启用策略

若要解决此问题,客户端安装和软件更新的软件更新点必须指定 活动目录(AD) 组策略设置中使用正确的名称格式和端口信息。例如,此软件更新点使用的默认网站,如果软件更新点是 http://server1.contoso.com:80。

要检查的其他事项

如果其他所有方法均失败,请检查下列内容:
  1. 查看客户端验证客户端在接收策略上的 PolicyAgent.log 文件。
  2. 验证软件更新同步成功的软件更新点。
  3. 如果 WUAHandler.log 文件不存在,并开始扫描周期之后,并不创建,最有可能的问题发生的原因之一不可用:
    • 软件更新扫描策略
    • WSUS 服务器位置
  4. 验证在客户端上的 CcmMessaging.log 文件中没有任何通信错误。
  5. 如果管理点将返回一个空的 WSUS 位置响应,WSUS 的内容版本中可能会不匹配。反过来,这可能被致失败的同步。若要查找软件更新位置的内容的版本,请转到配置管理器控制台>监视窗格>软件更新点同步状态

备注:

可以在下面的 Microsoft 知识库文章中找到 Windows Update 错误代码的完整列表:
938205 Windows Update 错误代码列表
SUP

警告:本文已自动翻译

属性

文章 ID:3090184 - 上次审阅时间:09/15/2015 04:55:00 - 修订版本: 2.0

Microsoft System Center 2012 Configuration Manager, Microsoft System Center 2012 Configuration Manager Service Pack 1, Microsoft System Center 2012 Configuration Manager Service Pack 2, Microsoft System Center 2012 R2 Configuration Manager

  • kbhowto kbexpertiseadvanced kbsurveynew kbinfo kbmt KB3090184 KbMtzh
反馈
="https://c.microsoft.com/ms.js">