Problemen met software-updatebeheer in Configuration Manager oplossen

Dit artikel helpt u bij het oplossen van problemen met het beheerproces voor software-updates in Configuration Manager. Het omvat het scannen van clientsoftware-updates, synchronisatieproblemen en detectieproblemen met specifieke updates.

Oorspronkelijke productversie: Configuration Manager (current branch), System Center 2012 R2 Configuration Manager, System Center 2012 Configuration Manager
Origineel KB-nummer: 4505440

Bereik van uw probleem

In deze handleiding wordt ervan uitgegaan dat een software-updatepunt al is geïnstalleerd en geconfigureerd. Zie Voorbereiden voor software-updatebeheer voor meer informatie over het configureren van software-updates in Configuration Manager.

Voordat u begint met het oplossen van problemen, is het belangrijk om te benadrukken dat hoe beter u het probleem begrijpt dat u ondervindt, hoe sneller en gemakkelijker u het kunt oplossen. Of u nu een probleem moet oplossen dat u ondervindt of een probleem dat u hebt gemeld door iemand in uw organisatie, neem even de tijd om de volgende vragen te beantwoorden:

1. Wat werkt er specifiek niet en/of wat is je doel?
2. Wat is de frequentie of het patroon voor het probleem? Doet het probleem zich nog steeds voor?
3. Hoe bent u er van op de hoogte geraakt dat het probleem bestaat?
4. Heeft het ooit gewerkt? Zo ja, wanneer is het gestopt? Is er iets gewijzigd in de omgeving voordat deze niet meer werkte?
5. Welk percentage clients wordt beïnvloed?
6. Wat is er al gedaan (als er iets is) om het probleem op te lossen?
7. De exacte versie van de client en de versie van de server kennen. Zijn deze systemen up-to-date?
8. Wat hebben betrokken clients gemeen? Bijvoorbeeld hetzelfde subnet, AD-site, domein, fysieke locatie, site, sitesysteem.

Als u de antwoorden op deze vragen kent en begrijpt, bent u op het beste pad voor een snelle en eenvoudige oplossing voor elk probleem dat u ondervindt.

Als u het specifieke gebied binnen het software-updatebeheerproces kent dat u wilt oplossen, selecteert u dit hieronder. Begin met het scannen van clientsoftware-updates als u dit niet zeker weet en we doorlopen het hele proces van begin tot eind.

• Scannen van clientsoftware-updates
• Synchronisatie van WSUS naar Microsoft Update
• Installatie-, vervangings- of detectieproblemen met specifieke updates

Scannen van clientsoftware-updates

Het scanproces van de client wordt beschreven in de volgende stappen. Bevestig elke stap om goed vast te stellen waar het probleem zich bevindt.

Stap 1: De client verzendt een WSUS-locatieaanvraag naar het beheerpunt

Het eerste wat de client doet, is de WSUS-server instellen die de updatebron wordt voor software-updatescans. Dit proces wordt hieronder beschreven.

1. Wanneer de Configuration Manager-client een software-updatescan moet verwerken, maakt scanagent een scanaanvraag op basis van het beschikbare beleid zoals vermeld in ScanAgent.log:

   CScanAgent::ScanByUpdates- Policy available for UpdateSourceID={SourceID}  
   ContentVersion=38  
   CScanAgent::ScanByUpdates- Added Policy to final ScanRequest List UpdateSourceID={SourceID}, Policy-ContentVersion=38, Required-ContentVersion=38
   

2. Scan Agent verzendt nu een WSUS-locatieaanvraag naar Location Services, zoals vermeld in ScanAgent.log:

   Inside CScanAgent::ProcessScanRequest()  
   CScanJobManager::Scan- entered  
   ScanJob({JobID}): CScanJob::Initialize- entered  
   ScanJob({JobID}): CScanJob::Scan- entered  
   ScanJob({JobID}): CScanJob::RequestLocations- entered  
   - - - - - -Requesting WSUS Server Locations from LS for {WSUSLocationID} version 38  
   - - - - - -Location Request ID = {LocationRequestID}  
   CScanAgentCache::PersistInstanceInCache- Persisted Instance CCM_ScanJobInstance  
   ScanJob({JobID}): - - - - - -Locations requested for ScanJobID={JobID} (LocationRequestID={LocationRequestID}), will process the scan request once locations are available.
   

   Tip

   Elke scantaak wordt opgeslagen in WMI in de CCM_ScanJobInstance klasse:

   Naamruimte: root\CCM\ScanAgent Klasse: CCM_ScanJobInstance

3. Location Services maakt een locatieaanvraag en verzendt deze naar het beheerpunt. De pakket-id voor een WSUS-locatieaanvraag is de unieke id van de updatebron. In LocationServices.log:

   CCCMWSUSLocation::GetLocationsAsyncEx  
   Attempting to persist WSUS location request for ContentID='{ContentID}' and ContentVersion='38'  
   Persisted WSUS location request LocationServices  
   Attempting to send WSUS Location Request for ContentID='{ContentID}'
   WSUSLocationRequest : <WSUSLocationRequest SchemaVersion="1.00"><Content ID="{ContentID}" Version="38"/><AssignedSite SiteCode="PS1"/><ClientLocationInfo OnInternet="0"><ADSite Name="CM12-R2PS1"/><Forest Name="CONTOSO.COM"/><Domain Name="CONTOSO.COM"/><IPAddresses><IPAddress SubnetAddress="192.168.2.0" Address="192.168.2.62"/></IPAddresses></ClientLocationInfo></WSUSLocationRequest>  
   Created and Sent Location Request '{LocationRequestID}' for package {ContentID}
   

4. CCM Messaging verzendt het bericht over de locatieaanvraag naar het beheerpunt. In CcmMessaging.log:

   Sending async message '{Message}' to outgoing queue 'mp:[http]mp_locationmanager'  
   Sending outgoing message '{Message}'. Flags 0x200, sender account empty
   

5. Het beheerpunt parseert deze aanvraag en roept de MP_GetWSUSServerLocations opgeslagen procedure aan om de WSUS-locaties uit de database op te halen. In MP_Location.log:

   MP LM: Message Body : \<WSUSLocationRequest SchemaVersion="1.00"><Content ID="{ContentID}" Version="38"/><AssignedSite SiteCode="PS1"/><ClientLocationInfo OnInternet="0"><ADSite Name="CM12-R2PS1"/><Forest Name="CONTOSO.COM"/><Domain Name="CONTOSO.COM"/><IPAddresses><IPAddress SubnetAddress="192.168.2.0" Address="192.168.2.62"/></IPAddresses></ClientLocationInfo></WSUSLocationRequest> MP_LocationManager  
   MP LM: calling MP_GetWSUSServerLocations
   

   In SQL Server Profiler:

   exec MP_GetMPSitesFromAssignedSite N'PS1'  
   exec MP_GetSiteInfoUnified N'<ClientLocationInfo OnInternet="0"><ADSite Name="CM12-R2-PS1"/><Forest Name="CONTOSO.COM"/><Domain Name="CONTOSO.COM"/><IPAddresses><IPAddress SubnetAddress="192.168.2.0" Address="192.168.2.62"/></IPAddresses></ClientLocationInfo>'  
   exec MP_GetWSUSServerLocations N'{WSUSServerLocationsID}',N'38',N'PS1',N'PS1',N'0',N'CONTOSO.COM'
   

6. Nadat de resultaten van de opgeslagen procedure zijn opgehaald, verzendt het beheerpunt een antwoord naar de client. In MP_Location.log:

   MP LM: Reply message body: <WSUSLocationReply SchemaVersion="1.00"><Sites><Site><MPSite SiteCode="PS1"/><LocationRecords><LocationRecord WSUSURL="http://PS1SITE.CONTOSO.COM:8530" ServerName="PS1SITE.CONTOSO.COM" Version="38"/><LocationRecord WSUSURL="https://PS1SYS.CONTOSO.COM:8531" ServerName="PS1SYS.CONTOSO.COM" Version="38"/></LocationRecords></Site></Sites></WSUSLocationReply>
   

7. CCM Messaging ontvangt het antwoord en stuurt het terug naar Location Services. In CcmMessaging.log:

   Message '{Message1}' got reply '{Message2}' to local endpoint queue 'LS_ReplyLocations'  
   OutgoingMessage(Queue='mp_[http]mp_locationmanager', ID={*Message1*}):  
   Delivered successfully to host 'PS1SYS.CONTOSO.COM'.  
   Message '{Message2}' delivered to endpoint 'LS_ReplyLocations'
   

8. Location Services parseert het antwoord en stuurt de locatie terug naar de scanagent. In LocationServices.log:

   Processing Location reply message LocationServices  
   WSUSLocationReply : <WSUSLocationReply SchemaVersion="1.00"><Sites><Site><MPSite SiteCode="PS1"/><LocationRecords><LocationRecord WSUSURL="http://PS1SITE.CONTOSO.COM:8530" ServerName="PS1SITE.CONTOSO.COM" Version="38"/><LocationRecord WSUSURL="https://PS1SYS.CONTOSO.COM:8531" ServerName="PS1SYS.CONTOSO.COM" Version="38"/></LocationRecords></Site></Sites></WSUSLocationReply>  
   Calling back with the following WSUS locations  
   WSUS Path='http://PS1SITE.CONTOSO.COM:8530', Server='PS1SITE.CONTOSO.COM', Version='38'  
   WSUS Path='https://PS1SYS.CONTOSO.COM:8531', Server='PS1SYS.CONTOSO.COM', Version='38'  
   Calling back with locations for WSUS request {WSUSLocationID}
   

9. De scanagent heeft nu het beleid en de bronlocatie van de update met de juiste inhoudsversie. In ScanAgent.log:

   *****WSUSLocationUpdate received for location request guid={LocationGUID}  
   ScanJob({JobID}): CScanJob::OnLocationUpdate- Received  
   Location=<http://PS1SITE.CONTOSO.COM:8530>, Version=38  
   ScanJob({JobID}): CScanJob::Execute- Adding UpdateSource={SourceID}, ContentType=2, ContentLocation=<http://PS1SITE.CONTOSO.COM:8530>, ContentVersion=38
   

10. Scan Agent meldt WUAHandler om de updatebron toe te voegen. WUAHandler voegt de updatebron toe aan het register. Er wordt een groepsbeleid vernieuwing gestart als de client zich in het domein bevindt om te zien of groepsbeleid de toegevoegde updateserver overschrijft. De volgende vermeldingen worden geregistreerd in WUAHandler.log met een nieuwe updatebron die wordt toegevoegd:

    Its a WSUS Update Source type ({WSUSUpdateSource}), adding it  
    Its a completely new WSUS Update Source  
    Enabling WUA Managed server policy to use server: <http://PS1SITE.CONTOSO.COM:8530>
    Policy refresh forced  
    Waiting for 2 mins for Group Policy to notify of WUA policy change  
    Waiting for 30 secs for policy to take effect on WU Agent.  
    Added Update Source ({UpdateSource}) of content type: 2
    

    Gedurende deze tijd ziet de Windows Update Agent een WSUS-configuratiewijziging. In WindowsUpdate.log:

    * WSUS server: <http://PS1SITE.CONTOSO.COM:8530> (Changed)  
    * WSUS status server: <http://PS1SITE.CONTOSO.COM:8530> (Changed)  
    Sus server changed through policy.
    

    De volgende registersleutels worden gecontroleerd en ingesteld:

    Registersubsleutel	Waardenaam	Type	Gegevens
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\WindowsUpdate	WUServer	REG_SZ	De volledige URL van de WSUS-server, inclusief de poort. Bijvoorbeeld <http://PS1Site.Contoso.com:8530>
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\WindowsUpdate	WUStatusServer	REG_SZ	De volledige URL van de WSUS-server, inclusief de poort. Bijvoorbeeld <http://PS1Site.Contoso.com:8530>
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU	UseWUServer	REG_DWORD	0x1

    Voor een bestaande client kan het volgende bericht worden weergegeven in WUAHandler.log om aan te geven wanneer de inhoudsversie is verhoogd:

    Its a WSUS Update Source type ({WSUSUpdateSource}), adding it.  
    WSUS update source already exists, it has increased version to 38.
    

11. Nadat de updatebron is toegevoegd, genereert scanagent een statusbericht en start de scan. In ScanAgent.log:

    ScanJob({JobID}): Raised UpdateSource ({UpdateSource}) state message successfully. StateId = 2  
    ScanJob({JobID}): CScanJob::Execute - successfully requested Scan, ScanType=1
    

Problemen in stap 1 oplossen

Kwesties	Wat u moet controleren
ScanAgent.log toont geen beleid dat beschikbaar is voor een updatebron en er geen WUAHandler.log bestaat of geen huidige activiteit binnen WUAHandler.log	Controleer de instelling Software-updates op clients inschakelen .
Scan Agent of Location Services ontvangt de WSUS-serverlocatie niet	Is er een sup-rol (software-updatepunt) geïnstalleerd voor de site? Zo niet, installeert en configureert u een software-updatepunt en controleert u SUPSetup.log op voortgang. Zie Een software-updatepunt installeren en configureren voor meer informatie. Als een SUP-rol is geïnstalleerd, wordt deze dan geconfigureerd en gesynchroniseerd? Controleer WCM.log, WSUSCtrl.log en WSyncMgr.log op fouten. select * from WSUSServerLocations select * from Update_SyncStatus
Client ontvangt de WSUS-locatie, maar kan de WSUS-registersleutels niet configureren	Heeft groepsbeleid vernieuwing binnen de time-out van 2 minuten per WUAHandler.log gereageerd? Zo ja, geeft WUAHandler dan aan dat groepsbeleidsinstellingen zijn overschreven door een hogere instantie (domeincontroller)? Zie groepsbeleid de juiste WSUS-configuratiegegevens overschrijft voor meer informatie.

Zie Problemen met software-updatescans oplossen voor meer informatie over het oplossen van fouten bij het scannen van software-updates.

Stap 2: Scan Agent vraagt de scan aan en WUAHandler start de scan

Nadat de client de WSUS-server heeft geïdentificeerd en ingesteld die de updatebron voor software-updatescans wordt, vraagt scanagent de scan aan bij WUAHandler die gebruikmaakt van de Windows Update Agent-API om een software-updatescan aan te vragen bij de Windows Update Agent. Een scan kan het resultaat zijn van:

• Een geplande of handmatige scan van software-updates
• Een geplande of handmatig door software bijgewerkte implementatie opnieuw evalueren
• Een implementatie die actief wordt

De scan activeert een evaluatie. In ScanAgent.log:

ScanJob({JobID}): CScanJob::Execute - successfully requested Scan, ScanType=1

Scanresultaten bevatten alleen vervangen updates wanneer ze worden vervangen door servicepacks en definitie-updates. In WUAHandler.log:

Search Criteria is (DeploymentAction=* AND Type='Software') OR (DeploymentAction=* AND Type='Driver')  
Running single-call scan of updates.  
Async searching of updates using WUAgent started.

Tip

Controleer WUAHandler.log na een software-updatescan om te zien of er nieuwe vermeldingen optreden. Als er geen nieuwe vermeldingen optreden, geeft dit aan dat er geen SUP wordt geretourneerd door het beheerpunt.

Problemen in stap 2 oplossen

Veel problemen met het scannen van software-updates kunnen worden veroorzaakt door een van de volgende redenen:

• Ontbrekende of beschadigde bestanden of registersleutels.
• Problemen met de registratie van onderdelen.

Zie Scanfouten vanwege ontbrekende of beschadigde onderdelen om dergelijke problemen op te lossen.

Er is een bekend probleem dat een 32-bits Windows 7-ConfigMgr 2012 R2-client die een updatescan aanvraagt, geen scanresultaten retourneert naar Configuration Manager. Dit zorgt ervoor dat de client een onjuiste nalevingsstatus rapporteert en dat de updates niet kunnen worden geïnstalleerd wanneer Configuration Manager de updatecyclus aanvraagt. Als u echter de applet van het Windows Update configuratiescherm gebruikt, worden de updates meestal prima geïnstalleerd. Wanneer u dit probleem ondervindt, ontvangt u een bericht dat lijkt op het volgende in WindowsUpdate.log:

WARNING: ISusInternal::GetUpdateMetadata2 failed, hr=8007000E

Het is een probleem met geheugentoewijzing, 64-bits Windows 7-computers zien deze fout niet omdat hun adresruimte in feite onbeperkt is. Ze vertonen echter een hoog geheugen- en hoog CPU-gebruik, wat mogelijk van invloed is op de prestaties. X86-clients vertonen ook een hoog geheugengebruik (meestal ongeveer 1,2 GB tot 1,4 GB).

U kunt dit probleem oplossen door Windows Update Client voor Windows 7: juni 2015 toe te passen.

Wanneer u scanfouten wilt oplossen, controleert u de WUAHandler.log en WindowsUpdate.log bestanden. WUAHandler rapporteert gewoon wat Windows Update Agent heeft gerapporteerd. De fout in WUAHandler zou dus dezelfde fout zijn die is gerapporteerd door de Windows Update Agent zelf. Meer informatie over de fout vindt u in WindowsUpdate.log. Zie Windows Update logboekbestanden voor meer informatie over het lezen van WindowsUpdate.log.

De beste bron van informatie is afkomstig uit de logboeken en de foutcodes die ze bevatten. Zie Windows Update veelvoorkomende fouten en risicobeperking voor meer informatie over de foutcodes.

Stap 3: Windows Update Agent (WUA) start de scan op de WSUS-computer

Windows Update Agent start een scan na ontvangst van een aanvraag van de Configuration Manager-client (CcmExec). Als deze registerwaarden correct zijn ingesteld op een WSUS-computer die een geldige SUP voor de site is via een lokaal beleid, ziet u een COM API-zoekaanvraag van de Configuration Manager-client (ClientId = CcmExec). In WindowsUpdate.log:

COMAPI -- START -- COMAPI: Search [ClientId = CcmExec]  
COMAPI <<-- SUBMITTED -- COMAPI: Search [ClientId = CcmExec] PT + ServiceId = {ServiceID}, Server URL = <http://PS1.CONTOSO.COM:8530/ClientWebService/client.asmx>  
Agent ** START ** Agent: Finding updates [CallerId = CcmExec]  
Agent * Include potentially superseded updates  
Agent * Online = Yes; Ignore download priority = Yes  
Agent * Criteria = "(DeploymentAction=* AND Type='Software') OR (DeploymentAction=* AND Type='Driver')"  
Agent * ServiceID = {ServiceID} Managed  
Agent * Search Scope = {Machine}

PT + ServiceId = {ServiceID}, Server URL = <http://PS1.CONTOSO.COM:8530/ClientWebService/client.asmx>  
Agent * Added update {4AE85C00-0EAA-4BE0-B81B-DBD7053D5FAE}.104 to search result  
Agent * Added update {57260DFE-227C-45E3-9FFC-2FC77A67F95A}.104 to search result  
Agent * Found 163 updates and 70 categories in search; evaluated appl. rules of 622 out of 1150 deployed entities  
Agent ** END ** Agent: Finding updates [CallerId = CcmExec]  
COMAPI >>-- RESUMED -- COMAPI: Search [ClientId = CcmExec]  
COMAPI - Updates found = 163  
COMAPI -- END -- COMAPI: Search [ClientId = CcmExec]

Problemen in stap 3 oplossen

Tijdens een scan moet de Windows Update Agent communiceren met de ClientWebService virtuele mappen en SimpleAuthWebService op de WSUS-computer om een scan uit te voeren. Als de client niet kan communiceren met de WSUS-computer, mislukt de scan. Dit probleem kan verschillende oorzaken hebben, waaronder:

• Problemen met betrekking tot proxy's

  Zie Scanfouten vanwege proxy-gerelateerde problemen om deze problemen op te lossen.

  Zie de volgende artikelen voor meer informatie over proxyservers:

  • Hoe de Windows Update-client bepaalt welke proxyserver moet worden gebruikt om verbinding te maken met de Windows Update-website
  • DNS- en DHCP-ondersteuning voor webproxy en firewallclient autodiscovery

• HTTP-time-outfouten

  Als u HTTP-time-outfouten wilt oplossen, controleert u eerst de IIS-logboeken (Internet Information Services) op de WSUS-computer om te controleren of de fouten daadwerkelijk worden geretourneerd vanuit WSUS. Als de WSUS-computer de fout niet retourneert, wordt het probleem waarschijnlijk veroorzaakt door een tussenliggende firewall of proxy.

  Als de WSUS-computer de fout retourneert, controleert u de verbinding met de WSUS-computer. Dit doet u als volgt:

  1. Als u wilt controleren of de client verbinding maakt met de juiste WSUS-server, zoekt u de URL van de WSUS-computer die wordt gebruikt door de Windows Update Agent-client. Deze URL kunt u vinden door de HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate registersubsleutel te controleren of door het WindowsUpdate.log-bestand te bekijken.

     Veelvoorkomende redenen waarom de WSUS-toewijzing onjuist is, zijn onder andere:

     • groepsbeleid conflicten
     • De toevoeging van een SUP aan een secundaire site na de eerste clientinstallatie

     Opmerking

     Active Directory groepsbeleid kan het lokale WSUS-beleid overschrijven.

     De functie voor software-updates configureert automatisch een lokale groepsbeleid-instelling voor de Configuration Manager-client, zodat deze wordt geconfigureerd met de bronlocatie en het poortnummer van het software-updatepunt. Zowel de servernaam als het poortnummer zijn vereist voor de client om het software-updatepunt te vinden.

     Als een Active Directory-groepsbeleid-instelling wordt toegepast op computers voor de clientinstallatie van het software-updatepunt, wordt de instelling van de lokale groepsbeleid overschreven. Als de waarde van de instelling die is gedefinieerd in de Active Directory-groepsbeleid verschilt van de waarde die is ingesteld door Configuration Manager, mislukt de scan op de client omdat de juiste WSUS-computer niet kan worden gevonden. In deze situatie wordt WUAHandler.log het volgende bericht weergegeven:

     Groepsbeleidsinstellingen zijn overschreven door een hogere instantie (domeincontroller) naar: Server <http://server> en beleid INGESCHAKELD

     Het software-updatepunt voor clientinstallatie en software-updates moet dezelfde server zijn. En deze moet worden opgegeven in de Active Directory-groepsbeleid-instelling met de juiste naamindeling en poortgegevens. Het zou bijvoorbeeld zijn <http://server1.contoso.com:80> als het software-updatepunt de standaardwebsite gebruikt.

  2. Als de server-URL juist is, opent u de server met behulp van een URL die vergelijkbaar is met de volgende URL om de verbinding tussen de client en de WSUS-computer te controleren:

     <http://SUPSERVER.CONTOSO.COM:8530/Selfupdate/wuident.cab>

     Als u wilt controleren of de client toegang heeft tot de ClientWebService virtuele map, probeert u een URL te openen die vergelijkbaar is met deze:

     <http://SUPSERVER.CONTOSO.COM:8530/ClientWebService/wusserverversion.xml>

     Als u wilt controleren of de client toegang heeft tot de SimpleAuthWebService, probeert u een URL te openen die vergelijkbaar is met deze:

     <http://SUPSERVER.CONTOSO.COM:8530/SimpleAuthWebService/SimpleAuth.asmx>

     Als een van deze URL's mislukt, zijn enkele mogelijke redenen:

     • Problemen met naamomzetting op de client. Controleer of u de FQDN van de WSUS-computer kunt oplossen.

     • Problemen met proxyconfiguratie.

     • Andere netwerkgerelateerde verbindingsproblemen.

     • Problemen met poortconfiguratie, dus het is een goed idee om te controleren of de poortinstellingen juist zijn. WSUS kan worden geconfigureerd voor het gebruik van een van de volgende poorten: 80, 443 of 8530, 8531.

       Clients kunnen alleen communiceren met de WSUS-computer als de juiste poorten zijn toegestaan op de firewall op de WSUS-computer. Poortinstellingen worden geconfigureerd wanneer de sitesysteemrol van het software-updatepunt wordt gemaakt. Deze poortinstellingen moeten hetzelfde zijn als de poortinstellingen die worden gebruikt door de WSUS-website. Anders kan WSUS-synchronisatiebeheer geen verbinding maken met WSUS dat wordt uitgevoerd op het software-updatepunt om synchronisatie aan te vragen. De volgende procedures bevatten informatie over het controleren van de poortinstellingen die worden gebruikt door WSUS en het software-updatepunt.

       1. Bepaal de WSUS-poortinstellingen die worden gebruikt in IIS 7.0 en latere versies.

       2. Bepaal de WSUS-poortinstellingen in IIS 6.0.

       3. Configureer poorten voor het software-updatepunt.

       4. Poortconnectiviteit controleren

          Voer de volgende opdracht uit om de poortverbinding van de client te controleren:

          telnet SUPSERVER.CONTOSO.COM <portnumber>
          

          Voer bijvoorbeeld de volgende opdracht uit als de poort 8530 is:

          telnet SUPSERVER.CONTOSO.COM 8530
          

          Als de poort niet toegankelijk is, retourneert telnet een fout die lijkt op de volgende:

          Kan de verbinding met de host niet openen op port <PortNumber>

          Deze fout suggereert dat de firewallregels niet zijn geconfigureerd om communicatie voor de WSUS-computer toe te staan. Deze fout kan er ook op wijzen dat een tussenliggend netwerkapparaat die poort blokkeert. U kunt dit controleren door dezelfde test uit te voeren vanuit een client op hetzelfde lokale subnet. Als het werkt, zijn de computers correct geconfigureerd. Een router of firewall tussen segmenten blokkeert echter de poort en veroorzaakt de fout.

     • Problemen met iis-beschikbaarheid.

       1. Open Internet Information Services (IIS) Manager op de WSUS-computer.
       2. Vouw Sites uit, klik met de rechtermuisknop op de website voor de WSUS-computer en klik vervolgens op Bindingen bewerken.
       3. In het dialoogvenster Sitebindingen worden de http- en HTTPS-poortwaarden weergegeven in de kolom Poort .
       4. Open Internet Information Services (IIS) Manager op de WSUS-server.
       5. Vouw Websites uit, klik met de rechtermuisknop op de website voor de WSUS-computer en klik vervolgens op Eigenschappen.
       6. Klik op het tabblad Website . De instelling http-poort wordt weergegeven in de TCP-poort en de instelling voor de HTTPS-poort wordt weergegeven in de SSL-poort.
       7. Ga in de Configuration Manager-console naarBeheersiteconfiguratieservers>>en sitesysteemrollen en klik vervolgens op het < rechterdeelvenster SiteSystemName>.
       8. Klik in het onderste deelvenster met de rechtermuisknop op Software-updatepunt en klik vervolgens op Eigenschappen.
       9. Ga naar het tabblad Algemeen , geef de WSUS-configuratiepoortnummers op of controleer deze.

• Verificatiefouten

  Dit wordt meestal aangegeven wanneer de scan mislukt met verificatiefouten 0x80244017 (HTTP-status 401) of 0x80244018 (HTTP-status 403).

  Bevestig eerst de juiste WinHTTP-proxy-instellingen met behulp van de volgende opdrachten:

  • In Windows Vista of nieuwere versies: netsh winhttp show proxy
  • In Windows XP: proxycfg.exe

  Als de proxy-instellingen juist zijn, controleert u de verbinding met de WSUS-computer door de stappen in HTTP-time-outfouten uit te voeren. Controleer ook de IIS-logboeken op de WSUS-computer om te controleren of de HTTP-fouten worden geretourneerd vanuit WSUS. Als de WSUS-computer de fout niet retourneert, wordt het probleem waarschijnlijk veroorzaakt door een tussenliggende firewall of proxy.

• Certificaatproblemen

  Certificaatproblemen worden aangegeven door foutcode 0x80072F0C dat betekent dat 'een certificaat is vereist om clientverificatie te voltooien'. Zie Scannen mislukt met fout 0x80072f0c om dit probleem op te lossen.

Stap 4: WUAHandler ontvangt resultaten van Windows Update Agent en markeert de scan als voltooid

De volgende worden geregistreerd in WUAHandler.log:

Async searching completed.  
Finished searching for everything in single call.

Problemen in stap 4 oplossen

Problemen hier moeten op dezelfde manier worden opgelost als scanfouten in stap 3.

Zoals eerder in deze handleiding is vermeld, controleert u bij het oplossen van scanfouten de WUAHandler.log- en WindowsUpdate.log-bestanden. WUAHandler rapporteert gewoon wat Windows Update Agent heeft gerapporteerd. De fout in WUAHandler zou dus dezelfde fout zijn die is gerapporteerd door de Windows Update Agent zelf. Meer informatie over de fout vindt u in WindowsUpdate.log. Zie Windows Update logboekbestanden voor meer informatie over het lezen van WindowsUpdate.log.

Er zijn veel redenen waarom een scan van software-updates kan mislukken. Dit kan worden veroorzaakt door een van de eerder genoemde problemen of een communicatie- of firewallprobleem tussen de client en de computer met het software-updatepunt. De beste bron van informatie is afkomstig uit de logboeken en de foutcodes die ze bevatten. Zie Windows Update veelvoorkomende fouten en risicobeperking voor meer informatie over de foutcodes.

Stap 5: WUAHandler parseert de scanresultaten

WUAHandler parseert vervolgens de resultaten, waaronder de toepasbaarheidsstatus voor elke update. Als onderdeel van dit proces worden vervangen updates verwijderd. De toepasselijkheidsstatus wordt gecontroleerd voor alle updates die zijn afgestemd op de criteria die CCMExec heeft ingediend bij de Windows Update Agent. Het belangrijkste om hier te begrijpen is dat u de resultaten van de toepasselijkheid van updates ziet, ongeacht of deze updates zich in een implementatie bevinden of niet.

De volgende vermeldingen worden geregistreerd in WUAHandler.log:

> Pruning: update id (70f4f236-0248-4e84-b472-292913576fa1) is superseded by (726b7201-862a-4fde-9b12-f36b38323a6f).  
> ...  
> Update (Installed): Security Update for Windows 7 for x64-based Systems (KB2584146) (4ae85c00-0eaa-4be0-b81b-dbd7053d5fae, 104)  
> Update (Missing): Security Update for Windows 7 for x64-based Systems (KB2862152) (505fda07-b4f3-45fb-83d9-8642554e2773, 200)  
> ...  
> Successfully completed scan.

Problemen in stap 5 oplossen

Problemen kunnen op dezelfde manier worden opgelost als scanfouten in stap 3.

Zoals eerder in deze handleiding is vermeld, controleert u bij het oplossen van scanfouten de WUAHandler.log- en WindowsUpdate.log-bestanden. WUAHandler rapporteert gewoon wat Windows Update Agent heeft gerapporteerd. De fout in WUAHandler zou dus dezelfde fout zijn die is gerapporteerd door de Windows Update Agent zelf. Meer informatie over de fout vindt u in WindowsUpdate.log. Zie Windows Update logboekbestanden voor meer informatie over het lezen van WindowsUpdate.log.

Over het algemeen zijn er veel redenen waarom een scan van software-updates kan mislukken. Dit kan worden veroorzaakt door een van de eerder genoemde problemen of door een communicatie- of firewallprobleem tussen de client en de computer met het software-updatepunt. De beste bron van informatie is afkomstig uit de logboeken en de foutcodes die ze bevatten. Zie Windows Update veelvoorkomende fouten en risicobeperking als referentie.

Stap 6: Update Store registreert de status en genereert een statusbericht voor elke update in WMI

Zodra de scanresultaten beschikbaar zijn, worden deze resultaten opgeslagen in het updatearchief. Update store registreert de huidige status van elke update en maakt een statusbericht voor elke update. Deze statusberichten worden bulksgewijs doorgestuurd naar de siteserver aan het einde van de rapportagecyclus van statusberichten (standaard minuten). We verzenden alleen een statusbericht onder de volgende omstandigheden:

• Er is nog nooit een eerder statusbericht verzonden voor een update (logboekvermelding: is niet eerder gerapporteerd, nieuwe instantie gemaakt).
• De toepasselijkheidsstatus voor een update is gewijzigd sinds het laatste statusbericht is verzonden.

UpdatesStore.log met de status voor ontbrekende update (KB2862152) die wordt opgenomen en een statusbericht wordt weergegeven:

Processing update status from update (505fda07-b4f3-45fb-83d9-8642554e2773) with ProductID = 0fa1201d-4330-4fa8-8ae9b877473b6441  
Update status from update (505fda07-b4f3-45fb-83d9-8642554e2773) hasn't been reported before, creating new instance.  
Successfully raised state message for update (505fda07-b4f3-45fb-83d9-8642554e2773) with state (Missing).  
Successfully added WMI instance of update status (505fda07-b4f3-45fb-83d9-8642554e2773).

StateMessage.log waarin de status wordt weergegeven die wordt geregistreerd met status-id 2 (ontbreekt):

Adding message with TopicType 500 and TopicId 505fda07-b4f3-45fb-83d9-8642554e2773 to WMI  
State message(State ID : 2) with TopicType 500 and TopicId 505fda07-b4f3-45fb-83d9-8642554e2773 has been recorded for SYSTEM

Tip

Voor elke update wordt een exemplaar van de CCM_UpdateStatus klasse gemaakt of bijgewerkt en wordt de huidige status van de update opgeslagen. De CCM_UpdateStatus klasse bevindt zich in de ROOT\CCM\SoftwareUpdates\UpdatesStore naamruimte.

Problemen in stap 6 oplossen

Problemen hier moeten op dezelfde manier worden opgelost als scanfouten in stap 3.

Zoals eerder in deze handleiding is vermeld, controleert u bij het oplossen van scanfouten de WUAHandler.log- en WindowsUpdate.log-bestanden. WUAHandler rapporteert gewoon wat Windows Update Agent heeft gerapporteerd. De fout in WUAHandler zou dus dezelfde fout zijn die is gerapporteerd door de Windows Update Agent zelf. Meer informatie over de fout vindt u in WindowsUpdate.log. Zie Windows Update logboekbestanden voor meer informatie over het lezen van WindowsUpdate.log.

Over het algemeen zijn er veel redenen waarom een scan van software-updates kan mislukken. Dit kan worden veroorzaakt door een van de eerder genoemde problemen of door een communicatie- of firewallprobleem tussen de client en de computer met het software-updatepunt. De beste bron van informatie is afkomstig uit de logboeken en de foutcodes die ze bevatten. Zie Windows Update veelvoorkomende fouten en risicobeperking als referentie.

Stap 7: Statusberichten worden verzonden naar het beheerpunt

Wanneer WUAHandler de resultaten van de Windows Update Agent ontvangt, wordt de scan gemarkeerd als voltooid en wordt het volgende bericht in WUAHandler.log geregistreerd:

Async searching completed. WUAHandler  
Finished searching for everything in single call

Problemen in stap 7 oplossen

Problemen hier moeten op dezelfde manier worden opgelost als scanfouten in stap 3, hoewel fouten in deze fase waarschijnlijk specifiek in het WindowsUpdate.log-bestand worden weergegeven. Zie Windows Update logboekbestanden voor meer informatie over het lezen van WindowsUpdate.log.

Over het algemeen zijn er veel redenen waarom een scan van software-updates kan mislukken. Dit kan worden veroorzaakt door een van de eerder genoemde problemen of door een communicatie- of firewallprobleem tussen de client en de computer met het software-updatepunt. De beste bron van informatie is afkomstig uit de logboeken en de foutcodes die ze bevatten. Zie Windows Update veelvoorkomende fouten en risicobeperking als referentie.

Synchronisatie van WSUS naar Microsoft Update

Het synchroniseren van WSUS met Microsoft Update wordt beschreven in de volgende stappen. Bevestig elke stap om goed vast te stellen waar het probleem zich bevindt.

Stap 1: synchronisatie wordt gestart via een geplande of handmatige aanvraag

Wanneer een synchronisatie wordt geactiveerd, verwachten we de volgende berichten te zien in de SoftwareDistribution.log van de WSUS-server:

Voor handmatige synchronisatie:

Changew3wp.6AdminDataAccess.StartSubscriptionManuallySynchronization manually started  
Info WsusService.27EventLogEventReporter.ReportEvent  
EventId=382,Type=Information,Category=Synchronization,Message=A manual synchronization was started.

Voor geplande synchronisatie:

InfoWsusService.10EventLogEventReporter.ReportEvent  
EventId=381,Type=Information,Category=Synchronization,Message=A scheduled synchronization was started.

Problemen met handmatig synchroniseren in stap 1 oplossen

1. Controleer of de WSUS-service wordt uitgevoerd. Als een handmatige synchronisatie is gestart, maar op 0% blijft, komt dit doordat de WSUS-service (Update Services op WSUS 3.x; WSUSService op Windows Server 2012 en latere versies) heeft de status Gestopt.

2. Stel de MMC-cache van de WSUS-console opnieuw in door de volgende stappen uit te voeren:

   1. Sluit de WSUS-console.
   2. De WSUS-service stoppen (Update Services op WSUS 3.x; WSUS-service op Windows Server 2012 en latere versies).
   3. Blader naar %appdata%\Microsoft\mmc.
   4. Wijzig de naam van wsus in wsus_bak.
   5. Start de WSUS-service.
   6. Open de WSUS-console en probeer een andere handmatige synchronisatie.

Problemen met een geplande synchronisatie in stap 1 oplossen

1. Probeer een handmatige synchronisatie vanuit de WSUS-console.
2. Als een handmatige synchronisatie goed werkt, controleert u de geplande synchronisatie-instellingen.

Stap 2: WSUS maakt verbinding met Microsoft Update (MU)

Nadat een synchronisatie is gestart, probeert de WSUS-server een HTTP-verbinding te maken via WinHTTP. Houd rekening met de volgende factoren bij het oplossen van problemen met de verbinding:

WSUS <=winhttp=> Netwerkentiteiten <=> Internet

• Bestaat er een netwerkentiteit (proxy, firewall, beveiligingsfilter, enzovoort) tussen de WSUS-hostcomputer en internet?
• Als er een proxy bestaat en de WSUS-server is vereist om de proxy te gebruiken, is de proxy dan geconfigureerd binnen de juiste WSUS-instellingen?

Problemen met handmatige synchronisatie oplossen in stap 2

1. Controleer of de WSUS-service wordt uitgevoerd. Als een handmatige synchronisatie is gestart maar op 0% blijft, komt dit doordat de WSUS-service (Update Services op WSUS 3.x; WSUS-service op Windows Server 2012 en latere versies) heeft de status Gestopt.

2. Stel de MMC-cache van de WSUS-console opnieuw in door de volgende stappen uit te voeren:

   1. Sluit de WSUS-console.
   2. De WSUS-service stoppen (Update Services op WSUS 3.x; WSUS-service op Windows Server 2012 en latere versies).
   3. Blader naar %appdata%\Microsoft\mmc.
   4. Wijzig de naam van wsus in wsus_bak.
   5. Start de WSUS-service.
   6. Open de WSUS-console en probeer een andere handmatige synchronisatie.

Problemen met een geplande synchronisatie in stap 2 oplossen

1. Probeer een handmatige synchronisatie vanuit de WSUS-console.
2. Als een handmatige synchronisatie goed werkt, controleert u de geplande synchronisatie-instellingen.

Stap 3: De WSUS-computer ontvangt product- en classificatiegegevens van Microsoft Update en eventuele geabonneerde metagegevens

Nadat WSUS product- en classificatiegegevens en eventuele geabonneerde metagegevens van Microsoft Update heeft ontvangen, is de WSUS-synchronisatie voltooid.

Installatie-, vervangings- of detectieproblemen met specifieke updates

Implementatieproblemen die optreden bij specifieke updates kunnen worden onderverdeeld in de onderstaande gebieden. Wanneer u begint met het oplossen van problemen, moet u rekening houden met de volgende onderdelen die aan deze gebieden zijn gekoppeld.

Gebieden	Installatie	Opvolging	Detectie
Onderdelen	WUA Installatieprogramma voor updates (Component-Based Servicing), MSI CCMExec	Metagegevens bijwerken	WUA Metagegevens bijwerken Installatieprogramma bijwerken (CBS, MSI)

Installatieproblemen

Wat is het installatieprogramma (CBS, MSI, overig)?

CBS

Voor updates die van toepassing zijn op Windows Vista en latere versies, wordt CBS gebruikt om de installatie af te handelen.

1. Verzamel het CBS-logboek (%Windir%\Logs\Cbs\Cbs.log) en voer een eerste beoordeling uit om inzicht te krijgen in de oorzaak van de fout. Het oplossen van installatieproblemen via CBS-logboeken valt buiten het bereik van deze handleiding. Zie Windows-beschadigingsfouten oplossen met behulp van het hulpprogramma DISM of System Update Readiness voor meer informatie.
2. Wordt de update geïnstalleerd als aangemelde gebruiker? Zo ja, mislukt deze dan alleen wanneer het wordt geïnstalleerd in de systeemcontext? In dit geval richt u zich op het oplossen van de handmatige installatiefout in de systeemcontext.

MSI (Windows Installer)

Voor niet-Windows-software-updates wordt MSI gebruikt om de installatie af te handelen.

1. Verzamel en controleer de standaard MSI-logboeken voor de update. Controleer het bijbehorende KB-artikel voor de update op bekende problemen of veelgestelde vragen.

2. Schakel Windows Installer-logboekregistratie in en reproduceer de fout.

   Wanneer u de resulterende logboeken bekijkt, controleert u op retourwaarde 3 in het logboek en de regels voorafgaand aan die vermelding voor inzicht in de fout.

3. Controleer of dezelfde update niet handmatig kan worden geïnstalleerd in de lokale systeemcontext. Gebruik hiervoor dezelfde installatieswitches die zijn mislukt tijdens de implementatie van de software-update.

   Als dit mislukt, test u de installatie als de aangemelde gebruiker met dezelfde installatieswitches. Controleer of het een probleem is met installeren onder het lokale systeem. Als het werkt, kunt u het probleem vervolgens richten op het correct installeren van de update met behulp van de lokale systeemcontext. Het kan nodig zijn om te controleren op richtlijnen voor beheerimplementatie binnen de KB voor de update of online.

Problemen met vervangen

Probeer het probleem met betrekking tot vervanging te isoleren met behulp van de volgende vragen:

1. Zie Vervangingsregels voor vragen over het bepalen wanneer Configuration Manager een update verloopt.
2. Als een update is verlopen door Configuration Manager, raadt Microsoft aan de meest recente vervangingsupdate te implementeren. Als u de verlopen updates nog moet implementeren, kunnen deze buiten een software-update-implementatie worden geïmplementeerd via softwaredistributie of toepassingsbeheer.
3. Voor vragen die specifiek betrekking hebben op de vervangingslogica van een update, raadpleegt u eerst het KB-artikel voor de update voor meer informatie. U kunt vervanging ook controleren in de Microsoft Update-catalogus, WSUS-console of de Configuration Manager-console.

Detectieproblemen

Nalevingsstatus per update op een client bepalen

1. Raadpleeg het kb-artikel van de update voor bekende problemen met de update.
2. Voer de actie Software Updates Scancyclus uit op de Configuration Manager-client.
3. Bekijk UpdatesStore.log en WindowsUpdate.log.

Problemen met de toepasselijkheid van updates oplossen

1. Controleer of er vereisten ontbreken met behulp van het KB-artikel voor de update. Is voor de update bijvoorbeeld vereist dat de toepassing of het besturingssysteem wordt gepatcht naar een specifiek servicepackniveau?
2. Controleer of de unieke update-id van de betreffende update overeenkomt met wat is geïmplementeerd. Is de betreffende update bijvoorbeeld een 32-bits update, maar is deze gericht op een 64-bits host?

Meer informatie

Zie de volgende artikelen voor meer informatie over het configureren van software-updates in Configuration Manager:

• Software-updates plannen in Configuration Manager
• Een software-updatepunt configureren voor het gebruik van netwerktaakverdelingsclusters (NLB)
• CRL-controle op software-Updates inschakelen

U kunt hier ook een vraag stellen op ons Configuration Manager-ondersteuningsforum voor beveiliging, updates en naleving.

Ga naar onze blog voor het laatste nieuws, informatie en technische tips over Configuration Manager.