Configuration Managerでのソフトウェア更新プログラムのスキャンエラーのトラブルシューティング

この記事では、Configuration Managerでソフトウェア更新プログラムのスキャンエラーのトラブルシューティングを行う方法について説明します。

元の製品バージョン:Microsoft System Center 2012 Configuration Manager、Microsoft System Center 2012 R2 Configuration Manager
元の KB 番号: 3090184

概要

ソフトウェア更新プログラムのスキャンが失敗する理由はいくつかあります。 ほとんどの問題には、クライアントとソフトウェアの更新ポイント コンピューター間の通信またはファイアウォールの問題が含まれます。 ここでは、最も一般的なエラー状態とそれに関連する解決策とトラブルシューティングのヒントについて説明します。 一般的なエラー Windows Update詳細については、「一般的なエラーと軽減策Windows Update」を参照してください。

Configuration Managerのソフトウェア更新プログラムの詳細については、「ソフトウェア更新プログラムの概要」を参照してください。

ソフトウェア更新プログラムのスキャンエラーのトラブルシューティングを行う場合は、WUAHandler.logファイルとWindowsUpdate.log ファイルに焦点を当てます。 WUAHandler は、Windows Update エージェントが報告した内容のみを報告します。 そのため、WUAHandler.log ファイル内のエラーは、Windows Update エージェント自体によって報告されたエラーと同じになります。 エラーに関するほとんどの情報は、WindowsUpdate.logファイルにあります。 WindowsUpdate.log ファイルの読み取り方法の詳細については、「ログ ファイルのWindows Update」を参照してください。

コンポーネントの欠落または破損によるスキャン エラー

0x80245003、0x80070514、0x8DDD0018、0x80246008、0x80200013、0x80004015、0x800A0046、0x800A01AD、0x80070424、0x800B0100、および0x80248011のエラーは、コンポーネントが見つからないか破損していることが原因で発生します。

ファイルまたはレジストリ キーの欠落や破損、コンポーネントの登録などが原因で、いくつかの問題が発生する可能性があります。 開始するには、Windows Updateトラブルシューティング ツールを実行して、これらの問題を自動的に検出して修正することをお勧めします。

また、Windows Update エージェントの最新バージョンを実行していることを確認することをお勧めします。

Windows Updateトラブルシューティング ツールを実行しても問題が解決しない場合は、次の手順に従って、クライアント上のWindows Update エージェント データ ストアをリセットします。

1. 次のコマンドを実行して、Windows Update サービスを停止します。

   net stop wuauserv
   

2. フォルダーの名前を C:\Windows\SoftwareDistribution に C:\Windows\SoftwareDistribution.old変更します。

3. 次のコマンドを実行して、Windows Update サービスを開始します。

   net start wuauserv
   

4. ソフトウェア更新プログラムのスキャン サイクルを開始します。

プロキシ関連の問題によるスキャン エラー

エラー 0x80244021、0x8024401B、0x80240030、および0x8024402Cは、プロキシ関連の問題によって発生します。

クライアントのプロキシ設定を確認し、正しく構成されていることを確認します。 Windows Update エージェントは、WinHTTP を使用して使用可能な更新プログラムをスキャンします。 クライアントと WSUS コンピューターの間にプロキシ サーバーがある場合は、クライアントでプロキシ設定を正しく構成して、コンピューターの FQDN を使用して WSUS と通信できるようにする必要があります。

プロキシの問題の場合、WindowsUpdate.logは次のようなエラーを報告する可能性があります。

0x80244021または HTTP エラー 502 - ゲートウェイが正しくありません

0x8024401Bまたは HTTP エラー 407 - プロキシ認証が必要

0x80240030 - プロキシ リストの形式が無効でした

0x8024402C - プロキシ サーバーまたはターゲット サーバー名を解決できません

ほとんどの場合、WSUS コンピューターはイントラネット内にあるため、ローカル アドレスのプロキシをバイパスできます。 ただし、クライアントがインターネットに接続されている場合は、プロキシ サーバーがその通信を有効にするように構成されていることを確認する必要があります。

WinHTTP プロキシ設定を表示するには、次のいずれかのコマンドを実行します。

• Windows XP の場合: proxycfg.exe
• Windows Vista 以降のバージョンでは、次の手順を実行します。 netsh winhttp show proxy

インターネット エクスプローラーで構成されているプロキシ設定は、WinINET プロキシ設定の一部です。 WinHTTP プロキシ設定は、インターネット エクスプローラーで構成されているプロキシ設定と必ずしも同じではありません。 ただし、インターネット エクスプローラーでプロキシ設定が正しく設定されている場合は、インターネット エクスプローラーからプロキシ構成をインポートできます。 インターネット エクスプローラーからプロキシ構成をインポートするには、次のいずれかのコマンドを実行します。

• Windows XP の場合: proxycfg.exe -u
• Windows Vista 以降のバージョンでは、次の手順を実行します。 netsh winhttp import proxy source =ie

詳細については、「Windows Update クライアントが、Windows Update Web サイトへの接続に使用するプロキシ サーバーを決定する方法」を参照してください。

HTTP タイムアウトまたは認証に関連するスキャン エラー

エラー: 0x80072ee2、0x8024401C、0x80244023、または0x80244017 (HTTP 状態 401)、0x80244018 (HTTP 状態 403)

WSUS コンピューターとの接続を確認します。 スキャン中、Windows Update エージェントは WSUS コンピューター上のClientWebServiceおよび仮想ディレクトリとSimpleAuthWebService通信してスキャンを実行する必要があります。 クライアントが WSUS コンピューターと通信できない場合、スキャンは失敗します。 この問題は、次のようないくつかの理由で発生する可能性があります。

• ポート構成
• プロキシ構成
• ファイアウォールの問題
• ネットワーク接続

まず、次のレジストリ キーを確認して、WSUS コンピューターの URL を見つけます。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

URL にアクセスして、クライアントと WSUS コンピューター間の接続を確認してみてください。 たとえば、使用する URL は次の URL のようになります。
http://SUPSERVER.CONTOSO.COM:8530/Selfupdate/wuident.cab

次に、クライアントが仮想ディレクトリにアクセスClientWebServiceできるかどうかをチェックします。 URL は次の URL のようになります。
http://SUPSERVER.CONTOSO.COM:8530/ClientWebService/wusserverversion.xml

最後に、クライアントが仮想ディレクトリにアクセスSimpleAuthWebServiceできるかどうかをチェックします。 URL は次の URL のようになります。 http://SUPSERVER.CONTOSO.COM:8530/SimpleAuthWebService/SimpleAuth.asmx

これらのテストが成功した場合は、WSUS コンピューターのインターネット インフォメーション サービス (IIS) ログを確認して、HTTP エラーが WSUS から返されていることを確認します。 WSUS コンピューターがエラーを返さない場合、問題はおそらく中間ファイアウォールまたはプロキシです。

これらのテストのいずれかが失敗した場合は、クライアントで名前解決の問題をチェックします。 WSUS コンピューターの FQDN を解決できることを確認します。

また、クライアントのプロキシ設定を確認して、それらが正しく構成されていることを確認します。 詳細については、「 プロキシ関連の問題によるスキャン エラー 」セクションを参照してください。

最後に、WSUS ポートにアクセスできることを確認します。 WSUS は、次のいずれかのポートを使用するように構成できます。

• 80
• 443
• 8530
• 8531

クライアントが WSUS コンピューターと通信するには、クライアントと WSUS コンピューターの間のファイアウォールで適切なポートを有効にする必要があります。

WSUS とソフトウェアの更新ポイントで使用されるポート設定を決定する

ポート設定は、ソフトウェアの更新ポイント サイト システムの役割が作成されるときに構成されます。 これらのポート設定は、WSUS Web サイトで使用されるポート設定と同じである必要があります。 そうしないと、WSUS 同期マネージャーは、ソフトウェアの更新ポイントで実行されている WSUS コンピューターに接続して同期を要求しません。 次の手順では、WSUS とソフトウェアの更新ポイントで使用されるポート設定を確認する方法を示します。

IIS 6.0 で WSUS ポートの設定を決定する

1. WSUS サーバーで、インターネット インフォメーション サービス (IIS) マネージャーを開きます。
2. [ Web サイト] を展開し、WSUS サーバーの Web サイトを右クリックし、[プロパティ] を選択 します。
3. [ Web サイト ] タブを選択します。
4. HTTP ポート設定は TCP ポートで表示され、HTTPS ポート設定は SSL ポートで表示されます。

IIS 7.0 以降のバージョンで WSUS ポートの設定を決定する

1. WSUS サーバーで、インターネット インフォメーション サービス (IIS) マネージャーを開きます。
2. [ サイト] を展開し、WSUS サーバーの Web サイトを右クリックし、[ バインドの編集] を選択します。
3. [ サイト バインド ] ダイアログ ボックスの [ポート] 列に HTTP ポートと HTTPS ポート の値が表示されます。

ソフトウェアの更新ポイントのポートを確認して構成する

1. Configuration Manager コンソールで、[管理>サイト構成>サーバー] と [サイト システムの役割] に移動し、右側のウィンドウで [SiteSystemName>] を選択<します。
2. 下部のウィンドウで、[ ソフトウェアの更新ポイント ] を右クリックし、[ プロパティ] をクリックします。
3. [ 全般 ] タブで、WSUS 構成ポート番号を指定または確認します。

ポートが検証され、正しく構成されたら、次のコマンドを実行して、クライアントからポート接続をチェックする必要があります。

telnet SUPSERVER.CONTOSO.COM <PortNumber>

ポートにアクセスできない場合、telnet は次のようなエラーを返します。

ポート <PortNumber でホストへの接続を開けませんでした>

このエラーは、WSUS サーバー ポートの通信を有効にするためにファイアウォール規則を構成する必要があることを示しています。

エラー 0x80072f0cでスキャンが失敗する

クライアント認証0x80072f0c完了するには、証明書に変換されるエラーが必要です。 このエラーは、WSUS コンピューターが SSL を使用するように構成されている場合にのみ発生します。 SSL 構成の一部として、SSL を使用するように WSUS 仮想ディレクトリを構成し、クライアント証明書を無視するように設定する必要があります。 WSUS Web サイトまたは前述の仮想ディレクトリのいずれかが、クライアント証明書を 受け入れる か 要求 するように正しく構成されていない場合は、このエラーが発生します。

SSL 構成を確認する

サイトが HTTPS のみの モードで構成されている場合、ソフトウェアの更新ポイントは SSL を使用するように自動的に構成されます。 サイトが HTTPS または HTTP モードの場合は、SSL を使用するようにソフトウェアの更新ポイントを構成するかどうかを選択できます。 ソフトウェアの更新ポイントが SSL を使用するように構成されている場合は、SSL を使用するように WSUS コンピューターも明示的に構成する必要があります。 SSL を構成する前に、証明書の 要件を確認する必要があります。 また、サーバー認証証明書がソフトウェア更新ポイント サーバーにインストールされていることを確認します。

ソフトウェアの更新ポイントが SSL 用に構成されていることを確認する

1. Configuration Manager コンソールで、[管理>サイト構成>サーバー] と [サイト システムの役割] に移動し、右側のウィンドウで [SiteSystemName>] を選択<します。
2. 下部のウィンドウで、[ ソフトウェアの更新ポイント] を右クリックし、[ プロパティ] を選択します。
3. [ 全般 ] タブで、次のオプションが有効になっていることを確認します。
   WSUS サーバーへの SSL 通信を要求する

WSUS コンピューターが SSL 用に構成されていることを確認する

1. サイトのソフトウェアの更新ポイントで WSUS コンソールを開きます。
2. コンソール ツリー ウィンドウで、[オプション] を選択 します。
3. 表示ウィンドウで、[ ソースとプロキシ サーバーの更新] を選択します。
4. [ 更新情報の同期時に SSL を使用する ] オプションが選択されていることを確認します。

WSUS 管理 Web サイトにサーバー認証証明書を追加する

1. WSUS コンピューターで、インターネット インフォメーション サービス (IIS) マネージャーを起動します。
2. [ サイト] を展開し、WSUS がカスタム Web サイトを使用するように構成されている場合は 、[ 既定の Web サイト ] または [WSUS 管理 Web サイト] を右クリックし、[ バインドの編集] を選択します。
3. HTTPS エントリを選択し、[編集] を選択します。
4. [ サイト バインドの編集 ] ダイアログ ボックスで、サーバー認証証明書を選択し、[ OK] を選択します。
5. [ サイト バインドの編集 ] ダイアログ ボックスで、[ OK] を選択し、[ 閉じる] を選択します。
6. IIS マネージャーを終了します。

重要

サイト システムのプロパティで指定されている FQDN が、証明書で指定されている FQDN と一致していることを確認します。 ソフトウェアの更新ポイントがイントラネットからの接続のみを受け入れる場合は、 サブジェクト名 または サブジェクトの別名 にイントラネット FQDN が含まれている必要があります。 ソフトウェアの更新ポイントがインターネットからのクライアント接続のみを受け入れる場合、WCM と WSyncMgr はイントラネット FQDN を引き続き使用してソフトウェアの更新ポイントに接続するため、証明書にはインターネット FQDN とイントラネット FQDN の両方が含まれている必要があります。 ソフトウェアの更新ポイントがインターネットとイントラネットの両方からの接続を受け入れる場合は、2 つの名前の間のアンパサンド (&) 記号区切り記号を使用して、インターネット FQDN とイントラネット FQDN の両方を指定する必要があります。

WSUS コンピューターで SSL が構成されていることを確認する

詳細については、「 WSUS サーバーで SSL を構成する」を参照してください。

重要

WSUS サイトへのすべてのトラフィックを暗号化する必要があるため、WSUS Web サイト全体で SSL を必要とするように構成することはできません。 WSUS では、更新プログラムのメタデータのみが暗号化されます。 コンピューターが HTTPS ポートで更新ファイルを取得しようとすると、転送は失敗します。

グループ ポリシーは、正しい WSUS 構成情報をオーバーライドします

ソフトウェア 更新機能では、Configuration Manager クライアントのローカル グループ ポリシー設定が自動的に構成され、ソフトウェアの更新ポイントのソースの場所とポート番号を使用するように構成されます。 クライアントがソフトウェアの更新ポイントを見つけるには、サーバー名とポート番号の両方が必要です。

Active Directory グループ ポリシー設定がソフトウェアの更新ポイント クライアント インストールのコンピューターに適用されている場合は、ローカルのグループ ポリシー設定をオーバーライドします。 グループ ポリシーで定義されている設定の値が、Configuration Manager (サーバー名とポート) によって設定されている設定と同じでない限り、Configuration Managerソフトウェア更新プログラムのスキャンはクライアントで失敗します。 この場合、WUAHandler.log ファイルには次のエントリが表示されます。

Group policy settings were overwritten by a higher authority (Domain Controller) to: Server http://server and Policy ENABLED

この問題を解決するには、クライアントのインストールとソフトウェア更新プログラムのソフトウェア更新ポイントが同じサーバーである必要があります。 また、正しい名前形式とポート情報を使用して、Active Directory グループ ポリシー設定で指定する必要があります。 たとえば、ソフトウェアの更新ポイントが既定の Web サイトを使用していた場合、ソフトウェアの更新ポイントは になります http://server1.contoso.com:80。

クライアントで WSUS サーバーの場所が見つかりません

1. クライアントが WSUS サーバーの場所を取得する方法については、「 WSUS サーバーの場所」を参照してください。 クライアントと管理ポイントのログを確認します。
2. クライアントと管理ポイントで詳細ログとデバッグ ログを有効にします。
3. クライアントのCcmMessaging.logに通信エラーがないことを確認します。
4. 管理ポイントから空の WSUS の場所の応答が返された場合、WSUS のコンテンツ バージョンに不一致がある可能性があります。 これは、同期が失敗した結果である可能性があります。 ソフトウェアの更新ポイントのコンテンツ バージョンを確認するには、Configuration Managerコンソールで [ソフトウェアの更新ポイントの同期状態の監視>] を選択します。
5. テーブルと テーブルのデータをCI_UpdateSourcesWSUSServerLocations確認しUpdate_SyncStatus、更新元の一意の ID とコンテンツ バージョンがこれらのテーブル間で一致することを確認します。

コンプライアンスの結果が不明

1. クライアントでPolicyAgent.log ファイルを確認して、クライアントがポリシーを受信していることを確認します。
2. ソフトウェア更新ポイントでソフトウェア更新プログラムの同期が成功したことを確認します。 同期が失敗した場合は、 同期の問題のトラブルシューティングを行います。
3. WUAHandler.log ファイルが存在せず、スキャン サイクルを開始した後に作成されない場合は、次のいずれかの理由で問題が発生する可能性が最も高くなります。
   • ソフトウェア更新プログラムのスキャン ポリシーは使用できません
   • クライアントで WSUS サーバーの場所が見つかりません
4. クライアントのCcmMessaging.log ファイルに通信エラーがないことを確認します。
5. スキャンが成功した場合、クライアントは状態メッセージを管理ポイントに送信して更新状態を示す必要があります。 状態メッセージ処理のしくみについては、 状態メッセージ処理フローに関するページを参照してください。

その他の問題

詳細については、「 クライアント ソフトウェア更新プログラムのスキャンのトラブルシューティング」を参照してください。