Behandeln von Fehlern bei der Überprüfung von Softwareupdates in Configuration Manager

In diesem Artikel wird beschrieben, wie Sie Fehler bei der Überprüfung von Softwareupdates in Configuration Manager beheben.

Ursprüngliche Produktversion: Microsoft System Center 2012 Configuration Manager, Microsoft System Center 2012 R2 Configuration Manager
Ursprüngliche KB-Nummer: 3090184

Zusammenfassung

Es gibt mehrere Gründe, warum ein Softwareupdatescan fehlschlagen kann. Die meisten Probleme umfassen Kommunikations- oder Firewallprobleme zwischen dem Client und dem Softwareupdatepunktcomputer. Hier werden einige der häufigsten Fehlerbedingungen sowie die zugehörigen Lösungen und Tipps zur Problembehandlung beschrieben. Weitere Informationen zu Windows Update häufigen Fehlern finden Sie unter Windows Update häufige Fehler und Risikominderung.

Weitere Informationen zu Softwareupdates in Configuration Manager finden Sie unter Einführung in Softwareupdates.

Wenn Sie Fehler bei der Überprüfung von Softwareupdates beheben, konzentrieren Sie sich auf die WUAHandler.log und WindowsUpdate.log Dateien. WUAHandler meldet nur, was der Windows Update-Agent gemeldet hat. Der Fehler in der WUAHandler.log-Datei wäre also derselbe Fehler, der vom Windows Update-Agent selbst gemeldet wurde. Die meisten Informationen zum Fehler finden Sie wahrscheinlich in der datei WindowsUpdate.log. Weitere Informationen zum Lesen der WindowsUpdate.log-Datei finden Sie unter Windows Update Protokolldateien.

Scanfehler aufgrund fehlender oder beschädigter Komponenten

Fehler 0x80245003, 0x80070514, 0x8DDD0018, 0x80246008, 0x80200013, 0x80004015, 0x800A0046, 0x800A01AD, 0x80070424, 0x800B0100 und 0x80248011 werden durch fehlende oder beschädigte Komponenten verursacht.

Mehrere Probleme können durch fehlende oder beschädigte Dateien oder Registrierungsschlüssel, Komponentenregistrierungen usw. verursacht werden. Ein guter Ausgangspunkt ist die Ausführung der Windows Update Problembehandlung, um diese Probleme automatisch zu erkennen und zu beheben.

Es ist auch eine gute Idee, sicherzustellen, dass Sie die neueste Version des Windows Update-Agents ausführen.

Wenn das Problem durch Ausführen der Windows Update Problembehandlung nicht behoben wird, setzen Sie den Windows Update-Agent-Datenspeicher auf dem Client zurück, indem Sie die folgenden Schritte ausführen:

1. Beenden Sie den Windows Update-Dienst, indem Sie den folgenden Befehl ausführen:

   net stop wuauserv
   

2. Benennen Sie den C:\Windows\SoftwareDistribution Ordner in um C:\Windows\SoftwareDistribution.old.

3. Starten Sie den Windows Update-Dienst, indem Sie den folgenden Befehl ausführen:

   net start wuauserv
   

4. Starten Sie einen Überprüfungszyklus für Softwareupdates.

Überprüfungsfehler aufgrund von Proxyproblemen

Fehler 0x80244021, 0x8024401B, 0x80240030 und 0x8024402C werden durch Proxyprobleme verursacht.

Überprüfen Sie die Proxyeinstellungen auf dem Client, und stellen Sie sicher, dass sie ordnungsgemäß konfiguriert sind. Der Windows Update-Agent verwendet WinHTTP, um nach verfügbaren Updates zu suchen. Wenn ein Proxyserver zwischen dem Client und dem WSUS-Computer vorhanden ist, müssen die Proxyeinstellungen auf den Clients ordnungsgemäß konfiguriert werden, damit sie mithilfe des FQDN des Computers mit WSUS kommunizieren können.

Bei Proxyproblemen können WindowsUpdate.log Fehler melden, die den folgenden ähneln:

0x80244021 oder HTTP-Fehler 502: Ungültiges Gateway

0x8024401B oder HTTP-Fehler 407 – Proxyauthentifizierung erforderlich

0x80240030 : Das Format der Proxyliste war ungültig.

0x8024402C: Der Name des Proxyservers oder Zielservers kann nicht aufgelöst werden.

In den meisten Fällen können Sie den Proxy für lokale Adressen umgehen, da sich der WSUS-Computer im Intranet befindet. Wenn der Client jedoch mit dem Internet verbunden ist, müssen Sie sicherstellen, dass der Proxyserver für diese Kommunikation konfiguriert ist.

Führen Sie zum Anzeigen der WinHTTP-Proxyeinstellungen einen der folgenden Befehle aus:

• Unter Windows XP: proxycfg.exe
• Unter Windows Vista und höheren Versionen: netsh winhttp show proxy

Proxyeinstellungen, die in Internet Explorer konfiguriert werden, sind Teil der WinINET-Proxyeinstellungen. WinHTTP-Proxyeinstellungen sind nicht unbedingt identisch mit den Proxyeinstellungen, die in Internet Explorer konfiguriert sind. Wenn die Proxyeinstellungen jedoch in Internet Explorer richtig festgelegt sind, können Sie die Proxykonfiguration aus Internet Explorer importieren. Führen Sie einen der folgenden Befehle aus, um die Proxykonfiguration aus internet Explorer zu importieren:

• Unter Windows XP: proxycfg.exe -u
• Unter Windows Vista und höheren Versionen: netsh winhttp import proxy source =ie

Weitere Informationen finden Sie unter So bestimmt der Windows Update-Client, welcher Proxyserver zum Herstellen einer Verbindung mit der Windows Update-Website verwendet werden soll.

Überprüfungsfehler im Zusammenhang mit HTTP-Timeout oder -Authentifizierung

Fehler: 0x80072ee2, 0x8024401C, 0x80244023 oder 0x80244017 (HTTP-Status 401), 0x80244018 (HTTP-Status 403)

Überprüfen Sie die Konnektivität mit dem WSUS-Computer. Während einer Überprüfung muss der Windows Update-Agent mit den ClientWebService virtuellen Verzeichnissen und SimpleAuthWebService auf dem WSUS-Computer kommunizieren, um eine Überprüfung auszuführen. Wenn der Client nicht mit dem WSUS-Computer kommunizieren kann, schlägt die Überprüfung fehl. Dieses Problem kann aus verschiedenen Gründen auftreten, z. B.:

• Portkonfiguration
• Proxykonfiguration
• Firewallprobleme
• Netzwerkkonnektivität

Suchen Sie zunächst die URL des WSUS-Computers, indem Sie den folgenden Registrierungsschlüssel überprüfen:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

Versuchen Sie, auf die URL zuzugreifen, um die Konnektivität zwischen dem Client und dem WSUS-Computer zu überprüfen. Die von Ihnen verwendete URL sollte z. B. der folgenden URL ähneln:
http://SUPSERVER.CONTOSO.COM:8530/Selfupdate/wuident.cab

Überprüfen Sie dann, ob der Client auf das ClientWebService virtuelle Verzeichnis zugreifen kann. Die URL sollte der folgenden URL ähneln:
http://SUPSERVER.CONTOSO.COM:8530/ClientWebService/wusserverversion.xml

Überprüfen Sie abschließend, ob der Client auf das SimpleAuthWebService virtuelle Verzeichnis zugreifen kann. Die URL sollte der folgenden URL ähneln: http://SUPSERVER.CONTOSO.COM:8530/SimpleAuthWebService/SimpleAuth.asmx

Wenn diese Tests erfolgreich sind, überprüfen Sie die IIS-Protokolle (Internet Information Services) auf dem WSUS-Computer, um zu bestätigen, dass die HTTP-Fehler von WSUS zurückgegeben werden. Wenn der WSUS-Computer den Fehler nicht zurückgibt, liegt das Problem wahrscheinlich an einer Zwischenfirewall oder einem Proxy.

Wenn einer dieser Tests fehlschlägt, überprüfen Sie, ob Probleme bei der Namensauflösung auf dem Client vorliegen. Vergewissern Sie sich, dass Sie den FQDN des WSUS-Computers auflösen können.

Überprüfen Sie auch die Proxyeinstellungen auf dem Client, um sicherzustellen, dass sie ordnungsgemäß konfiguriert sind. Weitere Informationen finden Sie im Abschnitt Überprüfungsfehler aufgrund von Proxyproblemen .

Überprüfen Sie abschließend, ob auf die WSUS-Ports zugegriffen werden kann. WSUS kann für die Verwendung eines der folgenden Ports konfiguriert werden:

• 80
• 443
• 8530
• 8531

Damit Clients mit dem WSUS-Computer kommunizieren können, müssen die entsprechenden Ports in jeder Firewall zwischen dem Client und dem WSUS-Computer aktiviert sein.

Ermitteln der von WSUS verwendeten Porteinstellungen und des Softwareupdatepunkts

Porteinstellungen werden konfiguriert, wenn die Standortsystemrolle des Softwareupdatepunkts erstellt wird. Diese Porteinstellungen müssen mit den Porteinstellungen übereinstimmen, die von der WSUS-Website verwendet werden. Andernfalls stellt der WSUS-Synchronisierungs-Manager keine Verbindung mit dem WSUS-Computer her, der auf dem Softwareupdatepunkt ausgeführt wird, um die Synchronisierung anzufordern. Die folgenden Verfahren zeigen, wie Sie die Porteinstellungen überprüfen, die von WSUS und dem Softwareupdatepunkt verwendet werden.

Ermitteln der WSUS-Porteinstellungen in IIS 6.0

1. Öffnen Sie auf dem WSUS-Server den IIS-Manager (Internetinformationsdienste).
2. Erweitern Sie Websites, klicken Sie mit der rechten Maustaste auf die Website für den WSUS-Server, und wählen Sie dann Eigenschaften aus.
3. Wählen Sie die Registerkarte Website aus.
4. Die HTTP-Porteinstellung wird im TCP-Port und die HTTPS-Porteinstellung im SSL-Port angezeigt.

Ermitteln der WSUS-Porteinstellungen in IIS 7.0 und höheren Versionen

1. Öffnen Sie auf dem WSUS-Server den IIS-Manager (Internetinformationsdienste).
2. Erweitern Sie Websites, klicken Sie mit der rechten Maustaste auf die Website für den WSUS-Server, und wählen Sie dann Bindungen bearbeiten aus.
3. Im Dialogfeld Websitebindungen werden die Http- und HTTPS-Portwerte in der Spalte Port angezeigt.

Überprüfen und Konfigurieren von Ports für den Softwareupdatepunkt

1. Wechseln Sie in der Configuration Manager-Konsole zu Verwaltung>Standortkonfigurationsserver>und Standortsystemrollen, und wählen Sie dann im rechten Bereich StandortSystemname> aus<.
2. Klicken Sie im unteren Bereich mit der rechten Maustaste auf Softwareupdatepunkt , und klicken Sie dann auf Eigenschaften.
3. Geben Oder überprüfen Sie auf der Registerkarte Allgemein die Portnummern der WSUS-Konfiguration.

Nachdem die Ports überprüft und ordnungsgemäß konfiguriert wurden, sollten Sie die Portkonnektivität vom Client überprüfen, indem Sie den folgenden Befehl ausführen:

telnet SUPSERVER.CONTOSO.COM <PortNumber>

Wenn auf den Port nicht zugegriffen werden kann, gibt telnet einen Fehler zurück, der dem folgenden ähnelt.

Die Verbindung mit dem Host konnte am Port <PortNummer nicht geöffnet werden.>

Dieser Fehler deutet darauf hin, dass Firewallregeln konfiguriert werden müssen, um die Kommunikation für die WSUS-Serverports zu ermöglichen.

Fehler bei der Überprüfung 0x80072f0c

Fehler 0x80072f0c übersetzt in Ein Zertifikat ist erforderlich, um die Clientauthentifizierung abzuschließen. Dieser Fehler sollte nur auftreten, wenn der WSUS-Computer für die Verwendung von SSL konfiguriert ist. Im Rahmen der SSL-Konfiguration müssen virtuelle WSUS-Verzeichnisse für die Verwendung von SSL konfiguriert und so festgelegt werden, dass Clientzertifikate ignoriert werden. Wenn die WSUS-Website oder eines der zuvor erwähnten virtuellen Verzeichnisse fälschlicherweise für Akzeptieren oder Anfordern von Clientzertifikaten konfiguriert ist, erhalten Sie diese Fehlermeldung.

Überprüfen der SSL-Konfiguration

Wenn der Standort im reinen HTTPS-Modus konfiguriert ist, wird der Softwareupdatepunkt automatisch für die Verwendung von SSL konfiguriert. Wenn sich der Standort im HTTPS- oder HTTP-Modus befindet, können Sie auswählen, ob der Softwareupdatepunkt für die Verwendung von SSL konfiguriert werden soll. Wenn der Softwareupdatepunkt für die Verwendung von SSL konfiguriert ist, muss der WSUS-Computer auch explizit für die Verwendung von SSL konfiguriert werden. Bevor Sie SSL konfigurieren, sollten Sie die Zertifikatanforderungen überprüfen. Stellen Sie außerdem sicher, dass auf dem Softwareupdatepunktserver ein Serverauthentifizierungszertifikat installiert ist.

Vergewissern Sie sich, dass der Softwareupdatepunkt für SSL konfiguriert ist.

1. Wechseln Sie in der Configuration Manager-Konsole zu Verwaltung>Standortkonfigurationsserver>und Standortsystemrollen, und wählen Sie dann im rechten Bereich StandortSystemname> aus<.
2. Klicken Sie im unteren Bereich mit der rechten Maustaste auf Softwareupdatepunkt, und wählen Sie dann Eigenschaften aus.
3. Überprüfen Sie auf der Registerkarte Allgemein , ob die folgende Option aktiviert ist:
   Anfordern der SSL-Kommunikation mit dem WSUS-Server

Vergewissern Sie sich, dass der WSUS-Computer für SSL konfiguriert ist.

1. Öffnen Sie die WSUS-Konsole am Softwareupdatepunkt für den Standort.
2. Wählen Sie im Konsolenstrukturbereich Optionen aus.
3. Wählen Sie im Anzeigebereich Quelle und Proxyserver aktualisieren aus.
4. Vergewissern Sie sich, dass die Option SSL beim Synchronisieren von Updateinformationen verwenden ausgewählt ist.

Hinzufügen des Serverauthentifizierungszertifikats zur WSUS-Verwaltungswebsite

1. Starten Sie auf dem WSUS-Computer den Internetinformationsdienste-Manager (IIS).
2. Erweitern Sie Websites, klicken Sie mit der rechten Maustaste auf Standardwebsite oder die WSUS-Verwaltungswebsite, wenn WSUS für die Verwendung einer benutzerdefinierten Website konfiguriert ist, und wählen Sie dann Bindungen bearbeiten aus.
3. Wählen Sie den Eintrag HTTPS und dann Bearbeiten aus.
4. Wählen Sie im Dialogfeld Websitebindung bearbeiten das Serverauthentifizierungszertifikat und dann OK aus.
5. Wählen Sie im Dialogfeld Websitebindung bearbeiten die Option OK und dann Schließen aus.
6. Beenden Sie den IIS-Manager.

Wichtig

Stellen Sie sicher, dass der in den Standortsystemeigenschaften angegebene FQDN dem im Zertifikat angegebenen FQDN entspricht. Wenn der Softwareupdatepunkt nur Verbindungen aus dem Intranet akzeptiert, muss der Antragstellername oder alternative Antragstellername den Intranet-FQDN enthalten. Wenn der Softwareupdatepunkt nur Clientverbindungen aus dem Internet akzeptiert, muss das Zertifikat weiterhin sowohl den Internet-FQDN als auch den Intranet-FQDN enthalten, da WCM und WSyncMgr weiterhin den Intranet-FQDN verwenden, um eine Verbindung mit dem Softwareupdatepunkt herzustellen. Wenn der Softwareupdatepunkt Verbindungen aus dem Internet und dem Intranet akzeptiert, müssen sowohl der Internet-FQDN als auch der Intranet-FQDN mithilfe des kaufmännischen Und-Zeichens (&) zwischen den beiden Namen angegeben werden.

Überprüfen, ob SSL auf dem WSUS-Computer konfiguriert ist

Weitere Informationen finden Sie unter Konfigurieren von SSL auf dem WSUS-Server.

Wichtig

Sie können nicht die gesamte WSUS-Website so konfigurieren, dass SSL erforderlich ist, da dann der gesamte Datenverkehr zur WSUS-Website verschlüsselt werden müsste. WSUS verschlüsselt nur Updatemetadaten. Wenn ein Computer versucht, Updatedateien über den HTTPS-Port abzurufen, tritt bei der Übertragung ein Fehler auf.

Gruppenrichtlinie überschreibt die richtigen WSUS-Konfigurationsinformationen.

Das Feature Software Updates konfiguriert automatisch eine lokale Gruppenrichtlinie-Einstellung für den Configuration Manager Client, sodass er für die Verwendung des Quellspeicherorts und der Portnummer des Softwareupdatepunkts konfiguriert ist. Sowohl der Servername als auch die Portnummer sind erforderlich, damit der Client den Softwareupdatepunkt finden kann.

Wenn eine Active Directory-Gruppenrichtlinie-Einstellung auf Computer für die Installation des Softwareupdatepunktclients angewendet wird, wird die Einstellung für die lokale Gruppenrichtlinie überschrieben. Sofern der Wert der Einstellung, die in Gruppenrichtlinie definiert ist, nicht mit dem Wert identisch ist, der von Configuration Manager (Servername und Port) festgelegt wird, schlägt die Configuration Manager Überprüfung des Softwareupdates auf dem Client fehl. In diesem Fall zeigt die WUAHandler.log-Datei den folgenden Eintrag an:

Group policy settings were overwritten by a higher authority (Domain Controller) to: Server http://server and Policy ENABLED

Um dieses Problem zu beheben, muss der Softwareupdatepunkt für clientinstallation und Softwareupdates derselbe Server sein. Außerdem muss er in der Einstellung Active Directory Gruppenrichtlinie angegeben werden, indem das richtige Namensformat und die richtigen Portinformationen verwendet werden. Wenn der Softwareupdatepunkt beispielsweise die Standardwebsite verwendet, wäre http://server1.contoso.com:80der Softwareupdatepunkt .

Clients können den WSUS-Serverspeicherort nicht finden.

1. Informationen dazu, wie Clients den WSUS-Serverspeicherort abrufen, finden Sie unter WSUS-Serverstandort. Überprüfen Sie außerdem die Client- und Verwaltungspunktprotokolle.
2. Aktivieren Sie die ausführliche Protokollierung und Debugprotokollierung auf dem Client und dem Verwaltungspunkt.
3. Stellen Sie sicher, dass keine Kommunikationsfehler in CcmMessaging.log auf dem Client vorliegen.
4. Wenn der Verwaltungspunkt eine leere WSUS-Standortantwort zurückgibt, kann es zu einem Konflikt in der Inhaltsversion von WSUS kommen. Dies kann das Ergebnis eines Fehlers bei der Synchronisierung sein. Um die Inhaltsversion des Softwareupdatepunkts zu ermitteln, wählen Sie in Configuration Manager Konsole Die OptionSynchronisierungsstatus des Softwareupdatepunktsüberwachen> aus.
5. Überprüfen Sie die Daten in CI_UpdateSourcesden Tabellen , WSUSServerLocations und Update_SyncStatus überprüfen Sie, ob die Eindeutige ID der Quelle aktualisieren und die Inhaltsversion in diesen Tabellen übereinstimmen.

Complianceergebnisse unbekannt

1. Überprüfen Sie die PolicyAgent.log-Datei auf dem Client, um sicherzustellen, dass der Client Richtlinien empfängt.
2. Vergewissern Sie sich, dass die Softwareupdatesynchronisierung auf dem Softwareupdatepunkt erfolgreich war. Wenn bei der Synchronisierung ein Fehler auftritt, beheben Sie Synchronisierungsprobleme.
3. Wenn die WUAHandler.log Datei nicht vorhanden ist und nicht erstellt wird, nachdem Sie einen Überprüfungszyklus gestartet haben, tritt das Problem höchstwahrscheinlich aus einem der folgenden Gründe auf:
   • Die Scanrichtlinie für Softwareupdates ist nicht verfügbar.
   • Clients können den WSUS-Serverspeicherort nicht finden.
4. Stellen Sie sicher, dass keine Kommunikationsfehler in der CcmMessaging.log-Datei auf dem Client vorhanden sind.
5. Wenn die Überprüfung erfolgreich ist, sollte der Client Zustandsmeldungen an den Verwaltungspunkt senden, um die Aktualisierung status anzugeben. Informationen zur Funktionsweise der Verarbeitung von Zustandsmeldungen finden Sie unter Zustandsnachrichtenverarbeitungsflow.

Andere Probleme

Weitere Informationen finden Sie unter Problembehandlung bei der Überprüfung von Clientsoftwareupdates.