Solución de errores de examen de actualizaciones de software en Configuration Manager

En este artículo se describe cómo solucionar errores de examen de actualizaciones de software en Configuration Manager.

Versión original del producto: Microsoft System Center 2012 Configuration Manager, Microsoft System Center 2012 R2 Configuration Manager
Número de KB original: 3090184

Resumen

Hay varias razones por las que un examen de actualización de software podría producir un error. La mayoría de los problemas implican problemas de comunicación o firewall entre el cliente y el equipo del punto de actualización de software. Aquí se describen algunas de las condiciones de error más comunes y sus soluciones asociadas y sugerencias de solución de problemas. Para obtener más información sobre Windows Update errores comunes, consulte Windows Update errores comunes y mitigación.

Para obtener más información sobre las actualizaciones de software en Configuration Manager, consulte Introducción a las actualizaciones de software.

Al solucionar errores de examen de actualizaciones de software, céntrese en los archivos WUAHandler.log y WindowsUpdate.log. WUAHandler solo informa de lo que informó el agente de Windows Update. Por lo tanto, el error en el archivo WUAHandler.log sería el mismo error notificado por el propio agente de Windows Update. Es probable que la mayoría de la información sobre el error se encuentre en el archivo WindowsUpdate.log. Para obtener más información sobre cómo leer el archivo WindowsUpdate.log, consulte Windows Update archivos de registro.

Errores de examen debidos a componentes que faltan o están dañados

Los errores 0x80245003, 0x80070514, 0x8DDD0018, 0x80246008, 0x80200013, 0x80004015, 0x800A0046, 0x800A01AD, 0x80070424, 0x800B0100 y 0x80248011 se deben a componentes que faltan o están dañados.

Varios problemas pueden deberse a la falta de archivos o claves del Registro dañados, registros de componentes, etc. Un buen lugar para empezar es ejecutar el solucionador de problemas de Windows Update para detectar y corregir estos problemas automáticamente.

También es una buena idea asegurarse de que está ejecutando la versión más reciente del agente de Windows Update.

Si la ejecución del solucionador de problemas de Windows Update no soluciona el problema, restablezca el almacén de datos del agente de Windows Update en el cliente siguiendo estos pasos:

  1. Detenga el servicio Windows Update ejecutando el siguiente comando:

    net stop wuauserv
    
  2. Cambie el nombre de la C:\Windows\SoftwareDistribution carpeta a C:\Windows\SoftwareDistribution.old.

  3. Inicie el servicio Windows Update ejecutando el siguiente comando:

    net start wuauserv
    
  4. Inicie un ciclo de examen de actualización de software.

Los errores 0x80244021, 0x8024401B, 0x80240030 y 0x8024402C se deben a problemas relacionados con el proxy.

Compruebe la configuración del proxy en el cliente y asegúrese de que están configuradas correctamente. El agente de Windows Update usa WinHTTP para buscar actualizaciones disponibles. Cuando hay un servidor proxy entre el cliente y el equipo WSUS, la configuración del proxy debe configurarse correctamente en los clientes para permitir que se comuniquen con WSUS mediante el FQDN del equipo.

En el caso de problemas de proxy, WindowsUpdate.log puede notificar errores similares a los siguientes:

0x80244021 o error HTTP 502: puerta de enlace incorrecta

0x8024401B o error HTTP 407: autenticación de proxy requerida

0x80240030: el formato de la lista de proxy no era válido

0x8024402C: no se puede resolver el nombre del servidor proxy o del servidor de destino

En la mayoría de los casos, puede omitir el proxy de las direcciones locales porque el equipo WSUS se encuentra dentro de la intranet. Pero si el cliente está conectado a Internet, debe asegurarse de que el servidor proxy está configurado para habilitar esa comunicación.

Para ver la configuración del proxy WinHTTP, ejecute uno de los siguientes comandos:

  • En Windows XP: proxycfg.exe
  • En Windows Vista y versiones posteriores: netsh winhttp show proxy

La configuración de proxy que se configura en Internet Explorer forma parte de la configuración de proxy de WinINET. La configuración del proxy WinHTTP no es necesariamente la misma que la configuración de proxy configurada en Internet Explorer. Sin embargo, si la configuración del proxy se establece correctamente en Internet Explorer, puede importar la configuración de proxy desde Internet Explorer. Para importar la configuración de proxy desde Internet Explorer, ejecute uno de los siguientes comandos:

  • En Windows XP: proxycfg.exe -u
  • En Windows Vista y versiones posteriores: netsh winhttp import proxy source =ie

Para obtener más información, vea How the Windows Update client determine qué servidor proxy usar para conectarse al sitio web de Windows Update.

Errores: 0x80072ee2, 0x8024401C, 0x80244023 o 0x80244017 (estado HTTP 401), 0x80244018 (estado HTTP 403)

Compruebe la conectividad con el equipo WSUS. Durante un examen, el agente de Windows Update debe comunicarse con los ClientWebService directorios virtuales y SimpleAuthWebService del equipo WSUS para ejecutar un examen. Si el cliente no puede comunicarse con el equipo WSUS, se produce un error en el examen. Este problema puede producirse por varias razones, entre las que se incluyen:

  • configuración del puerto
  • Configuración del proxy
  • Problemas de firewall
  • conectividad de red

En primer lugar, busque la dirección URL del equipo WSUS comprobando la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

Intente acceder a la dirección URL para comprobar la conectividad entre el cliente y el equipo WSUS. Por ejemplo, la dirección URL que use debe ser similar a la siguiente:
http://SUPSERVER.CONTOSO.COM:8530/Selfupdate/wuident.cab

A continuación, compruebe si el cliente puede acceder al ClientWebService directorio virtual. La dirección URL debe ser similar a la siguiente:
http://SUPSERVER.CONTOSO.COM:8530/ClientWebService/wusserverversion.xml

Por último, compruebe si el cliente puede acceder al SimpleAuthWebService directorio virtual. La dirección URL debe ser similar a la siguiente: http://SUPSERVER.CONTOSO.COM:8530/SimpleAuthWebService/SimpleAuth.asmx

Si estas pruebas se realizan correctamente, revise los registros de Internet Information Services (IIS) en el equipo WSUS para confirmar que los errores HTTP se devuelven desde WSUS. Si el equipo WSUS no devuelve el error, es probable que el problema se produzca con un firewall o proxy intermedios.

Si se produce un error en cualquiera de estas pruebas, compruebe si hay problemas de resolución de nombres en el cliente. Compruebe que puede resolver el FQDN del equipo WSUS.

Compruebe también la configuración del proxy en el cliente para asegurarse de que están configuradas correctamente. Para obtener más información, consulte la sección Scan failures due to proxy-related issues (Errores de examen debidos a problemas relacionados con el proxy ).

Por último, compruebe que se puede acceder a los puertos WSUS. WSUS se puede configurar para usar cualquiera de los puertos siguientes:

  • 80
  • 443
  • 8530
  • 8531

Para que los clientes se comuniquen con el equipo WSUS, los puertos adecuados deben estar habilitados en cualquier firewall entre el cliente y el equipo WSUS.

Determinación de la configuración de puerto usada por WSUS y el punto de actualización de software

La configuración del puerto se configura cuando se crea el rol de sistema de sitio del punto de actualización de software. Esta configuración de puerto debe ser la misma que la configuración de puerto que usa el sitio web de WSUS. De lo contrario, el Administrador de sincronización de WSUS no se conectará al equipo WSUS que se ejecuta en el punto de actualización de software para solicitar la sincronización. En los procedimientos siguientes se muestra cómo comprobar la configuración de puerto que usan WSUS y el punto de actualización de software.

Determinación de la configuración del puerto WSUS en IIS 6.0

  1. En el servidor WSUS, abra el Administrador de Internet Information Services (IIS).
  2. Expanda Sitios web, haga clic con el botón derecho en el sitio web del servidor WSUS y, a continuación, seleccione Propiedades.
  3. Seleccione la pestaña Sitio web .
  4. La configuración del puerto HTTP se muestra en el puerto TCP y la configuración del puerto HTTPS se muestra en el puerto SSL.

Determinación de la configuración del puerto WSUS en IIS 7.0 y versiones posteriores

  1. En el servidor WSUS, abra el Administrador de Internet Information Services (IIS).
  2. Expanda Sitios, haga clic con el botón derecho en el sitio web del servidor WSUS y, a continuación, seleccione Editar enlaces.
  3. En el cuadro de diálogo Enlaces de sitio , los valores de puerto HTTP y HTTPS se muestran en la columna Puerto .

Comprobación y configuración de puertos para el punto de actualización de software

  1. En la consola de Configuration Manager, vaya a Servidores deconfiguración> de sitio de administración>y Roles de sistema de sitio y, a continuación, seleccione <SiteSystemName> en el panel derecho.
  2. En el panel inferior, haga clic con el botón derecho en Punto de actualización de software y, a continuación, haga clic en Propiedades.
  3. En la pestaña General , especifique o compruebe los números de puerto de configuración de WSUS.

Una vez comprobados y configurados correctamente los puertos, debe comprobar la conectividad de puertos desde el cliente mediante la ejecución del siguiente comando:

telnet SUPSERVER.CONTOSO.COM <PortNumber>

Si no se puede acceder al puerto, telnet devuelve un error similar al siguiente.

No se pudo abrir la conexión con el host, en el puerto <PortNumber>

Este error sugiere que las reglas de firewall deben configurarse para habilitar la comunicación para los puertos del servidor WSUS.

Se produce un error en el examen 0x80072f0c

El error 0x80072f0c se traduce en Un certificado es necesario para completar la autenticación del cliente. Este error solo debe producirse si el equipo WSUS está configurado para usar SSL. Como parte de la configuración SSL, los directorios virtuales WSUS deben configurarse para usar SSL y deben establecerse para omitir los certificados de cliente. Si el sitio web de WSUS o cualquiera de los directorios virtuales mencionados anteriormente están configurados incorrectamente para aceptar o requerir certificados de cliente, recibirá este error.

Comprobación de la configuración de SSL

Cuando el sitio está configurado en modo solo HTTPS , el punto de actualización de software se configura automáticamente para usar SSL. Cuando el sitio está en modo HTTPS o HTTP , puede elegir si desea configurar el punto de actualización de software para usar SSL. Cuando el punto de actualización de software está configurado para usar SSL, el equipo WSUS también debe configurarse explícitamente para usar SSL. Antes de configurar SSL, debe revisar los requisitos del certificado. Y asegúrese de que un certificado de autenticación de servidor está instalado en el servidor de punto de actualización de software.

Compruebe que el punto de actualización de software está configurado para SSL.

  1. En la consola de Configuration Manager, vaya a Servidores deconfiguración> del sitio de administración>y Roles de sistema de sitio y, a continuación, seleccione <SiteSystemName> en el panel derecho.
  2. En el panel inferior, haga clic con el botón derecho en Punto de actualización de software y, a continuación, seleccione Propiedades.
  3. En la pestaña General , compruebe que la opción siguiente está habilitada:
    Requerir comunicación SSL con el servidor WSUS

Comprobación de que el equipo WSUS está configurado para SSL

  1. Abra la consola de WSUS en el punto de actualización de software del sitio.
  2. En el panel del árbol de consola, seleccione Opciones.
  3. En el panel de presentación, seleccione Actualizar origen y servidor proxy.
  4. Compruebe que está seleccionada la opción Usar SSL al sincronizar la información de actualización .

Adición del certificado de autenticación de servidor al sitio web de administración de WSUS

  1. En el equipo WSUS, inicie el Administrador de Internet Information Services (IIS).
  2. Expanda Sitios, haga clic con el botón derecho en Sitio web predeterminado o en el sitio web de administración de WSUS si WSUS está configurado para usar un sitio web personalizado y, a continuación, seleccione Editar enlaces.
  3. Seleccione la entrada HTTPS y, a continuación, seleccione Editar.
  4. En el cuadro de diálogo Editar enlace de sitio , seleccione el certificado de autenticación del servidor y, a continuación, seleccione Aceptar.
  5. En el cuadro de diálogo Editar enlace de sitio , seleccione Aceptar y, a continuación, seleccione Cerrar.
  6. Salga del Administrador de IIS.

Importante

Asegúrese de que el FQDN especificado en las propiedades del sistema de sitio coincide con el FQDN especificado en el certificado. Si el punto de actualización de software solo acepta conexiones desde la intranet, el nombre del firmante o el nombre alternativo del firmante deben contener el FQDN de la intranet. Cuando el punto de actualización de software solo acepta conexiones de cliente desde Internet, el certificado debe contener el FQDN de Internet y el FQDN de intranet, ya que WCM y WSyncMgr siguen usando el FQDN de intranet para conectarse al punto de actualización de software. Si el punto de actualización de software acepta conexiones desde Internet y la intranet, tanto el FQDN de Internet como el FQDN de intranet deben especificarse mediante el delimitador de símbolos de ampersand (&) entre los dos nombres.

Compruebe que SSL está configurado en el equipo WSUS.

Para obtener más información, consulte Configuración de SSL en el servidor WSUS.

Importante

No se puede configurar todo el sitio web de WSUS para que requiera SSL, ya que todo el tráfico al sitio WSUS tendría que cifrarse. WSUS solo cifra los metadatos de actualización. Si un equipo intenta recuperar archivos de actualización en el puerto HTTPS, se producirá un error en la transferencia.

directiva de grupo invalida la información de configuración de WSUS correcta

La característica Software Novedades configura automáticamente una configuración de directiva de grupo local para el cliente de Configuration Manager, de modo que esté configurada para usar la ubicación de origen del punto de actualización de software y el número de puerto. Tanto el nombre del servidor como el número de puerto son necesarios para que el cliente encuentre el punto de actualización de software.

Si se aplica una configuración de directiva de grupo de Active Directory a los equipos para la instalación del cliente del punto de actualización de software, invalida la configuración de directiva de grupo local. A menos que el valor de la configuración definida en directiva de grupo sea idéntico al que establece Configuration Manager (nombre del servidor y puerto), el examen de actualización de software Configuration Manager producirá un error en el cliente. En este caso, el archivo WUAHandler.log muestra la entrada siguiente:

Group policy settings were overwritten by a higher authority (Domain Controller) to: Server http://server and Policy ENABLED

Para solucionar este problema, el punto de actualización de software para la instalación del cliente y las actualizaciones de software debe ser el mismo servidor. Y debe especificarse en la configuración de directiva de grupo de Active Directory con el formato de nombre y la información de puerto correctos. Por ejemplo, si el punto de actualización de software usaba el sitio web predeterminado, el punto de actualización de software sería http://server1.contoso.com:80.

Los clientes no pueden encontrar la ubicación del servidor WSUS

  1. Para comprender cómo los clientes obtienen la ubicación del servidor WSUS, consulte Ubicación del servidor WSUS. Y revise los registros de cliente y punto de administración.
  2. Habilite el registro detallado y de depuración en el cliente y el punto de administración.
  3. Compruebe que no hay errores de comunicación en CcmMessaging.log en el cliente.
  4. Si el punto de administración devuelve una respuesta de ubicación de WSUS vacía, puede haber una falta de coincidencia en la versión de contenido de WSUS. Podría ser el resultado de una sincronización errónea. Para buscar la versión de contenido del punto de actualización de software, en Configuration Manager consola, seleccione Supervisión>del estado de sincronización del punto de actualización de software.
  5. Revise los datos de CI_UpdateSourcesWSUSServerLocations las tablas y y Update_SyncStatus compruebe que el identificador único de origen de actualización y la versión de contenido coincidan entre estas tablas.

Resultados de cumplimiento desconocidos

  1. Revise el archivo PolicyAgent.log en el cliente para comprobar que el cliente está recibiendo directivas.
  2. Compruebe que la sincronización de actualizaciones de software se realiza correctamente en el punto de actualización de software. Si se produce un error en la sincronización, solucione los problemas de sincronización.
  3. Si el archivo WUAHandler.log no existe y no se crea después de iniciar un ciclo de examen, lo más probable es que el problema se produzca debido a uno de los siguientes motivos:
  4. Compruebe que no hay errores de comunicación en el archivo CcmMessaging.log en el cliente.
  5. Si el examen se realiza correctamente, el cliente debe enviar mensajes de estado al punto de administración para indicar el estado de la actualización. Para comprender cómo funciona el procesamiento de mensajes de estado, consulte flujo de procesamiento de mensajes de estado.

Otros problemas

Para obtener más información, consulte Solución de problemas de análisis de actualizaciones de software de cliente.