Partilhar via

Solucionar problemas de falhas de verificação de atualização de software no Configuration Manager

  • Artigo

Este artigo descreve como solucionar problemas de falhas de verificação de atualização de software no Configuration Manager.

Versão original do produto: Microsoft System Center 2012 Configuration Manager, Microsoft System Center 2012 R2 Configuration Manager
Número de KB original: 3090184

Resumo

Há vários motivos para que uma verificação de atualização de software possa falhar. A maioria dos problemas envolve problemas de comunicação ou firewall entre o cliente e o computador de ponto de atualização de software. Descrevemos algumas das condições de erro mais comuns e suas resoluções associadas e dicas de solução de problemas aqui. Para obter mais informações sobre Windows Update erros comuns, consulte Windows Update erros comuns e mitigação.

Para obter mais informações sobre atualizações de software no Configuration Manager, consulte Introdução às atualizações de software.

Ao solucionar problemas de falhas de verificação de atualização de software, concentre-se nos arquivos WUAHandler.log e WindowsUpdate.log. WUAHandler apenas relata o que o agente Windows Update relatou. Portanto, o erro no arquivo WUAHandler.log seria o mesmo erro relatado pelo próprio Agente Windows Update. A maioria das informações sobre o erro provavelmente será encontrada no arquivo WindowsUpdate.log. Para obter mais informações sobre como ler o arquivo WindowsUpdate.log, consulte Windows Update arquivos de log.

Verificar falhas devido a componentes ausentes ou corrompidos

Erros 0x80245003, 0x80070514, 0x8DDD0018, 0x80246008, 0x80200013, 0x80004015, 0x800A0046, 0x800A01AD, 0x80070424, 0x800B0100 e 0x80248011 são causados por componentes ausentes ou corrompidos.

Vários problemas podem ser causados por arquivos ausentes ou corrompidos ou chaves de registro, registros de componentes e assim por diante. Um bom lugar para iniciar é executar o Windows Update solução de problemas para detectar e corrigir esses problemas automaticamente.

Também é uma boa ideia verificar se você está executando a versão mais recente do agente Windows Update.

Se a execução da solução de problemas Windows Update não corrigir o problema, reinicie o armazenamento de dados do Agente Windows Update no cliente seguindo estas etapas:

  1. Pare o serviço Windows Update executando o seguinte comando:

    net stop wuauserv

  2. Renomeie a C:\Windows\SoftwareDistribution pasta como C:\Windows\SoftwareDistribution.old.

  3. Inicie o serviço Windows Update executando o seguinte comando:

    net start wuauserv

  4. Inicie um ciclo de verificação de atualização de software.

Erros 0x80244021, 0x8024401B, 0x80240030 e 0x8024402C são causados por problemas relacionados ao proxy.

Verifique as configurações de proxy no cliente e verifique se elas estão configuradas corretamente. O Agente Windows Update usa o WinHTTP para verificar as atualizações disponíveis. Quando há um servidor proxy entre o cliente e o computador WSUS, as configurações de proxy devem ser configuradas corretamente nos clientes para permitir que eles se comuniquem com o WSUS usando o FQDN do computador.

Para problemas de proxy, WindowsUpdate.log pode relatar erros que se assemelham aos seguintes:

0x80244021 ou ERRO HTTP 502 – Gateway ruim

0x8024401B ou erro HTTP 407 – Autenticação de proxy necessária

0x80240030 - O formato da lista de proxy era inválido

0x8024402C – O servidor proxy ou o nome do servidor de destino não podem ser resolvidos

Na maioria dos casos, você pode ignorar o proxy para endereços locais porque o computador WSUS está localizado dentro da intranet. Mas se o cliente estiver conectado à Internet, você deverá verificar se o servidor proxy está configurado para habilitar essa comunicação.

Para exibir as configurações de proxy do WinHTTP, execute um dos seguintes comandos:

  • No Windows XP: proxycfg.exe
  • No Windows Vista e em versões posteriores: netsh winhttp show proxy

As configurações de proxy configuradas na Internet Explorer fazem parte das configurações de proxy WinINET. As configurações de proxy WinHTTP não são necessariamente as mesmas que as configurações de proxy configuradas no Explorer da Internet. No entanto, se as configurações de proxy forem definidas corretamente na Internet Explorer, você poderá importar a configuração de proxy da Internet Explorer. Para importar a configuração de proxy da Internet Explorer, execute um dos seguintes comandos:

  • No Windows XP: proxycfg.exe -u
  • No Windows Vista e em versões posteriores: netsh winhttp import proxy source =ie

Para obter mais informações, consulte Como o cliente Windows Update determina qual servidor proxy usar para se conectar ao site Windows Update.

Erros: 0x80072ee2, 0x8024401C, 0x80244023 ou 0x80244017 (STATUS HTTP 401), 0x80244018 (STATUS HTTP 403)

Verifique a conectividade com o computador WSUS. Durante uma verificação, o agente Windows Update deve se comunicar com os ClientWebService diretórios virtuais e SimpleAuthWebService no computador WSUS para executar uma verificação. Se o cliente não puder se comunicar com o computador WSUS, a verificação falhará. Esse problema pode ocorrer por vários motivos, incluindo:

  • configuração da porta
  • configuração de proxy
  • problemas de firewall
  • conectividade de rede

Primeiro, localize a URL do computador WSUS verificando a seguinte chave do registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

Tente acessar a URL para verificar a conectividade entre o cliente e o computador WSUS. Por exemplo, a URL que você usa deve se assemelhar à seguinte URL:
http://SUPSERVER.CONTOSO.COM:8530/Selfupdate/wuident.cab

Em seguida, marcar se o cliente pode acessar o ClientWebService diretório virtual. A URL deve se assemelhar à seguinte URL:
http://SUPSERVER.CONTOSO.COM:8530/ClientWebService/wusserverversion.xml

Por fim, marcar se o cliente pode acessar o SimpleAuthWebService diretório virtual. A URL deve se assemelhar à seguinte URL: http://SUPSERVER.CONTOSO.COM:8530/SimpleAuthWebService/SimpleAuth.asmx

Se esses testes forem bem-sucedidos, examine os logs dos Serviços de Informações da Internet (IIS) no computador WSUS para confirmar se os erros HTTP estão sendo retornados do WSUS. Se o computador WSUS não retornar o erro, o problema provavelmente será com um firewall ou proxy intermediário.

Se algum desses testes falhar, marcar para problemas de resolução de nomes no cliente. Verifique se você pode resolve o FQDN do computador WSUS.

Verifique também as configurações de proxy no cliente para verificar se elas estão configuradas corretamente. Para obter mais informações, confira a seção Verificar falhas devido a problemas relacionados ao proxy .

Por fim, verifique se as portas WSUS podem ser acessadas. O WSUS pode ser configurado para usar qualquer uma das seguintes portas:

  • 80
  • 443
  • 8530
  • 8531

Para que os clientes se comuniquem com o computador WSUS, as portas apropriadas devem ser habilitadas em qualquer firewall entre o cliente e o computador WSUS.

Determinar as configurações de porta usadas pelo WSUS e o ponto de atualização de software

As configurações da porta são configuradas quando a função do sistema do site de ponto de atualização de software é criada. Essas configurações de porta devem ser as mesmas que as configurações de porta usadas pelo site do WSUS. Caso contrário, o WSUS Synchronization Manager não se conectará ao computador WSUS que está em execução no ponto de atualização de software para solicitar a sincronização. Os procedimentos a seguir mostram como verificar as configurações de porta usadas pelo WSUS e o ponto de atualização de software.

Determinar as configurações da porta WSUS no IIS 6.0

  1. No servidor WSUS, abra o Gerenciador de Serviços de Informações da Internet (IIS).
  2. Expanda Sites da Web, clique com o botão direito do mouse no site do servidor WSUS e selecione Propriedades.
  3. Selecione a guia Site da Web .
  4. A configuração da porta HTTP é exibida na porta TCP e a configuração da porta HTTPS é exibida na porta SSL.

Determinar as configurações da porta WSUS nas versões IIS 7.0 e posteriores

  1. No servidor WSUS, abra o Gerenciador de Serviços de Informações da Internet (IIS).
  2. Expanda Sites, clique com o botão direito do mouse no site do servidor WSUS e selecione Editar Associações.
  3. Na caixa de diálogo Associações do Site , os valores da porta HTTP e HTTPS são exibidos na coluna Porta .

Verificar e configurar portas para o ponto de atualização de software

  1. No console Configuration Manager, acesse Administração> Servidores deConfiguração> de Sitee Funções do Sistema de Site e selecione <SiteSystemName> no painel direito.
  2. No painel inferior, clique com o botão direito do mouse no Ponto de Atualização de Software e clique em Propriedades.
  3. Na guia Geral , especifique ou verifique os números da porta de configuração do WSUS.

Depois que as portas forem verificadas e configuradas corretamente, você deverá marcar conectividade de porta do cliente executando o seguinte comando:

telnet SUPSERVER.CONTOSO.COM <PortNumber>

Se a porta estiver inacessível, a telnet retornará um erro que se assemelha ao seguinte.

Não foi possível abrir conexão com o host, na porta <PortNumber>

Esse erro sugere que as regras de firewall devem ser configuradas para habilitar a comunicação para as portas do Servidor WSUS.

Falha na verificação com 0x80072f0c de erro

O erro 0x80072f0c se traduz em Um certificado é necessário para concluir a autenticação do cliente. Esse erro só deve ocorrer se o computador WSUS estiver configurado para usar o SSL. Como parte da configuração do SSL, os diretórios virtuais do WSUS devem ser configurados para usar o SSL e devem ser definidos para ignorar certificados de cliente. Se o site do WSUS ou qualquer um dos diretórios virtuais mencionados anteriormente estiver configurado incorretamente para Aceitar ou Exigir certificados de cliente, você receberá esse erro.

Verificar a configuração do SSL

Quando o site está configurado no modo somente HTTPS , o ponto de atualização de software é configurado automaticamente para usar o SSL. Quando o site estiver no modo HTTPS ou HTTP , você pode escolher se deseja configurar o ponto de atualização de software para usar o SSL. Quando o ponto de atualização de software é configurado para usar o SSL, o computador WSUS também deve ser configurado explicitamente para usar o SSL. Antes de configurar o SSL, você deve examinar os requisitos de certificado. E verifique se um certificado de autenticação do servidor está instalado no servidor de ponto de atualização de software.

Verifique se o ponto de atualização de software está configurado para SSL

  1. No console Configuration Manager, acesse Administração Servidores de Configuração>>de Sitee Funções do Sistema de Site e selecione <SiteSystemName> no painel direito.
  2. No painel inferior, clique com o botão direito do mouse em Ponto de Atualização de Software e selecione Propriedades.
  3. Na guia Geral , verifique se a seguinte opção está habilitada:
    Exigir comunicação SSL com o servidor WSUS

Verifique se o computador WSUS está configurado para SSL

  1. Abra o console do WSUS no ponto de atualização de software para o site.
  2. No painel da árvore do console, selecione Opções.
  3. No painel de exibição, selecione Atualizar Fonte e Servidor proxy.
  4. Verifique se a opção Usar SSL ao sincronizar informações de atualização está selecionada.

Adicionar o certificado de autenticação do servidor ao site da Administração do WSUS

  1. No computador WSUS, inicie o Gerenciador dos Serviços de Informações da Internet (IIS).
  2. Expanda Sites, clique com o botão direito do mouse em Site Padrão ou no site da Administração do WSUS se o WSUS estiver configurado para usar um site personalizado e selecione Editar Associações.
  3. Selecione a entrada HTTPS e selecione Editar.
  4. Na caixa de diálogo Editar Associação de Site , selecione o certificado de autenticação do servidor e selecione OK.
  5. Na caixa de diálogo Editar Associação de Site , selecione OK e selecione Fechar.
  6. Sair do Gerenciador do IIS.

Importante

Verifique se o FQDN especificado nas propriedades do Sistema de Site corresponde ao FQDN especificado no certificado. Se o ponto de atualização de software aceitar conexões somente da intranet, o Nome do Assunto ou Nome Alternativo do Assunto deverá conter o FQDN da intranet. Quando o ponto de atualização de software aceita conexões de cliente somente da Internet, o certificado ainda deve conter o FQDN da Internet e o FQDN da intranet, pois WCM e WSyncMgr ainda usam o FQDN de intranet para se conectar ao ponto de atualização de software. Se o ponto de atualização de software aceitar conexões da Internet e da intranet, o FQDN da Internet e o FQDN da intranet devem ser especificados usando o delimitador de símbolos ampersand (&) entre os dois nomes.

Verifique se o SSL está configurado no computador WSUS

Para obter mais informações, consulte Configurar o SSL no servidor WSUS.

Importante

Você não pode configurar todo o site do WSUS para exigir SSL, pois todo o tráfego para o site do WSUS teria que ser criptografado. O WSUS criptografa apenas metadados de atualização. Se um computador tentar recuperar arquivos de atualização na porta HTTPS, a transferência falhará.

Política de Grupo substitui as informações corretas de configuração do WSUS

O recurso software Atualizações configura automaticamente uma configuração de Política de Grupo local para o cliente Configuration Manager, para que ele seja configurado para usar o local de origem do ponto de atualização de software e o número da porta. O nome do servidor e o número da porta são necessários para que o cliente localize o ponto de atualização de software.

Se uma configuração do Active Directory Política de Grupo for aplicada a computadores para instalação do cliente do ponto de atualização de software, ela substituirá a configuração de Política de Grupo local. A menos que o valor da configuração definida em Política de Grupo seja idêntico ao que está sendo definido por Configuration Manager (nome do servidor e porta), a verificação de atualização de software Configuration Manager falhará no cliente. Nesse caso, o arquivo WUAHandler.log mostra a seguinte entrada:

Group policy settings were overwritten by a higher authority (Domain Controller) to: Server http://server and Policy ENABLED

Para corrigir esse problema, o ponto de atualização de software para a instalação do cliente e as atualizações de software deve ser o mesmo servidor. E ele deve ser especificado na configuração Política de Grupo do Active Directory usando o formato de nome correto e as informações de porta. Por exemplo, se o ponto de atualização de software estivesse usando o site padrão, o ponto de atualização de software seria http://server1.contoso.com:80.

Os clientes não conseguem localizar o local do servidor WSUS

  1. Para entender como os clientes obtêm a localização do servidor WSUS, confira Localização do servidor WSUS. E examine os logs de ponto de gerenciamento e cliente.
  2. Habilite o log verboso e depurado no ponto de gerenciamento e do cliente.
  3. Verifique se não há erros de comunicação no CcmMessaging.log no cliente.
  4. Se o ponto de gerenciamento retornar uma resposta de localização WSUS vazia, poderá haver uma incompatibilidade na versão de conteúdo do WSUS. Pode ser resultado de uma sincronização com falha. Para localizar a Versão de Conteúdo do ponto de atualização de software, no console Configuration Manager, selecione Monitoramento> doStatus de Sincronização de Ponto de Atualização de Software.
  5. Examine os dados em CI_UpdateSources, WSUSServerLocations e Update_SyncStatus tabelas, verifique se a ID exclusiva da fonte de atualização e a versão do conteúdo correspondem a essas tabelas.

Resultados de conformidade desconhecidos

  1. Examine o arquivo PolicyAgent.log no cliente para verificar se o cliente está recebendo políticas.
  2. Verifique se a sincronização de atualização de software é bem-sucedida no ponto de atualização de software. Se a sincronização falhar, resolva problemas de sincronização.
  3. Se o arquivo WUAHandler.log não existir e não for criado após iniciar um ciclo de verificação, o problema provavelmente ocorrerá devido a um dos seguintes motivos:
  4. Verifique se não há erros de comunicação no arquivo CcmMessaging.log no cliente.
  5. Se a verificação for bem-sucedida, o cliente deverá enviar mensagens de estado para o ponto de gerenciamento para indicar a atualização status. Para entender como funciona o processamento de mensagens de estado, consulte fluxo de processamento de mensagens de estado.

Outros problemas

Para obter mais informações, consulte Solucionar problemas de verificação de atualização de software do cliente.