SCCM Troubleshooting SUP Failover - Teil 2

Proxy-Einstellungen


Einige Fehlercodes lassen sich den Proxy-Einstellungen zuordnen. Sie sind wieder dem WindowsUpdate.log zu entnehmen.
0x80244021 or HTTP Error 502 - Bad gateway
0x8024401B or HTTP Error 407 - Proxy Authentication Required
0x80240030 - The format of the proxy list was invalid
0x8024402C - The proxy server or target server name cannot be resolved
Zunächst sollte man den Client dahingehend überprüfen, ob dieser die gewünschten Proxyeinstellungen korrekt übernommen hat.

Das Microsoft Windows Update-Clientprogramm benötigt zum Suchen nach verfügbaren Updates die Microsoft Windows HTTP-Dienste (WinHTTP). Außerdem greift der Windows Update-Client beim Downloaden der Updates auf den Intelligenten Hintergrundübertragungsdienst (BITS) zurück. Die Microsoft Windows HTTP-Dienste und BITS werden unabhängig von Microsoft Internet Explorer ausgeführt und beide Dienste müssen den oder die Proxyserver erkennen können, die in der jeweiligen Umgebung zur Verfügung stehen. Sollte also ein Proxyserver zwischen Client und WSUS stehen, müssen die Proxyeinstellungen auf den Clients so gewählt werden, dass diese fähig sind mit dem WSUS mittels FQDN zu kommunizieren.

Um sich die WinHTTP Proxy-Einstellungen anzeigen zu lassen gibt es ab Windows Vista den Befehl:
netsh winhttp show proxy
über
netsh winhttp reset proxy 
können die Proxyservereinstellungen auf dem Client gelöscht werden. Im Hintergrund wird der folgende Registry-Key angepasst:
HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\WinHttpSettings

Sollten nach Änderung der Einstellungen, weiterhin Proxyprobleme bestehen, bietet es sich an in die Registry zu schauen und zu überprüfen ob in der Registry auch die richtigen Werte übernommen wurden. Oft spielen die Proxyeinstellungen jedoch keine Rolle, da die Clients intern die Updates vom WSUS beziehen.

Zertifikatsfehler

Ein weiterer Fehler beruht auf Zertifikaten:
0x80072f0c "A certificate is required to complete client authentication."
Dieses Verhalten tritt auf, wenn WSUS konfiguriert wurde SSL zu verwenden. WSUS Virtual Directories müssen dann so konfiguriert, dass sie SSL verwenden und gleichzeitig Clientzertifikate ignorieren. Andernfalls erhält man die obige Fehlermeldung. Die SSL Einstellungen finden sich im WSUS, SUP und IIS wieder. Die Überprüfung der SSL Verwendung des Software Update Points erfolgt über die Configuration Manager Console.

Unter Administration -> Site Configuration -> Servers and Site System Roles, wählt man den SiteSystemNamen aus und navigiert in die Einstellungen des Software Update Points. Im General Tab ist entsprechend die Verwendung von SSL markiert, je nachdem ob man SSL verwendet bzw. diese Meldung erhalten hat.

Ob WSUS SSL verwendet, kann über die WSUS Console überprüft werden. Unter Optionen ->  Update Source and Proxy Server unter Use SSL when synchronizing update information

Im IIS muss das ganze natürlich auch hinterlegt sein. Unter Sites, befindet sich die Default Web Site oder eine bestimmte WSUS Administration Site. Je nachdem ob man eine extra Site definiert hat. Unter Edit Bindings befinden sich die HTTPS Einträge, die hier bearbeitet werden können und über das Server authentication certificate eingebunden werden.

HTTP Timeout

Und damit sind wir auch schon beim letzten Update Fehler angekommen, der häufig ein Failover zur Folge hat, HTTP Timeouts und Authentifizierung.
0x80072ee2, 0x8024401C, 0x80244023, 0x80244017 (HTTP Status 4019), 0x80244018 (HTTP Status 403)

Die Proxy Einstellungen wären eine Ursache, die wir bereits geklärt hatten. Firewalleinstellungen, Netzwerkverbindung und Porteinstellungen können des Weiteren diese Fehler hervorrufen. Während der Initiierung der Updateanforderung kommuniziert der Windows Update Agent mit den virtuellen Verzeichnissen ClientWebService und SimpleAuthWebService auf dem WSUS.

Daher sollte zunächst der Zugriff auf die virtuellen Verzeichnisse verifiziert werden. Die URL des WSUS ist beispielsweise in der Registry hinterlegt unter dem hier angegebenen Pfad.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
http://WSUSServer.Domain.com:8530/Selfupdate/wuident.cab

ClientWebService virtual directory
http://WSUSServer.Domain.com:8530/ClientWebService/wusserverversion.xml

SimpleAuthWebService virtual directory.
http://WSUSServer.Domain.com:8530/SimpleAuthWebService/SimpleAuth.asmx

Kann prinzipiell auf die Seiten zugegriffen werden, ist der nächste Schritt die IIS Logs auf dem WSUS zu überprüfen, um die Fehlerquelle zu identifizieren. Sind im IIS Log HTTP Fehler protokolliert, kommt der Fehler vom WSUS aus.

Geht der Fehler nicht vom WSUS aus, handelt es sich vermutlich um ein Firewall-, Client- oder Proxyproblem. In Bezug auf den Client ist wichtig, dass der FQDN des WSUS vom Client aufgelöst werden kann. Die Firewall muss die Ports 80 und 443 bis Windows Server 2008 R2 und 8530 und 8531 ab Windows Server 2012 freigegeben haben. Dies sind die Standardports. Die Konfiguration der Ports erfolgt bei der Erstellung der Software Update Points und muss denen der WSUS W ebsite entsprechen, da ansonsten keine Kommunikation stattfinden kann. Telnet kann hier bei der Überprüfung helfen.

SCCM Troubleshooting SUP Failover - Teil 1
Iris Gerlach