1 votes

Clayton avatar

Mauvais serveur WSUS WUA assigné aux agents DMZ

Demandé el 14 de Avril, 2013
Quand la question a-t-elle été
3183 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai un problème avec la partie WSUS de SCCM 2012 qui ne fonctionne pas sur les agents dans notre DMZ. Ces agents ont des certificats PKI provenant de l'ICP interne, et apparaissent dans la console comme un inventaire actif.

Parce que de nombreuses parties des rôles SCCM doivent être configurées pour HTTP ou HTTPS et pas les deux en même temps :
1 - ces agents sont sur une frontière qui les affecte à un MP qui est configuré pour SSL. Le panneau de contrôle des agents montre le bon MP.
2 - ces agents sont également dans une collection avec des paramètres clients différents pour leur attribuer une appcat 8531.
SDCSCMP23 est le HTTP WSUS/Appcat/MP pour les agents internes.
SDCSCMP25 est le WSUS/Appcat/MP SSL avec des certs PKI pour les agents DMZ.

Le problème est que SCCM configure ces agents pour utiliser les parties HTTP de l'infrastructure pour WSUS, et non les parties HTTPS. Selon le document MS, les paramètres du client sont censés attribuer automatiquement un appcat HTTPS avant un appcat HTTP, mais cela ne se produisait pas, j'ai donc créé mes propres paramètres client pour attribuer l'appcat HTTPS.
Il n'est PAS possible de modifier la configuration du pare-feu pour autoriser les adresses 443 et 8531 vers cet autre serveur, car ces serveurs écoutent les adresses 80 et 8530 (pour les agents HTTP internes) et non 443 et 8531. Nous avons l'obligation d'utiliser uniquement 443, 8531 pour les agents de la DMZ. J'ai vérifié que 443, 8531 sont ouverts à travers le pare-feu à SDCSCMP25 à partir des agents. Il s'agit de SCCM 2012 SP1. Nous n'assignons PAS de serveurs WSUS par le biais de GPO.
Comment faire pour que SCCM affecte les bons serveurs WSUS à ces agents ? 

WUAHandler.log
Enabling WUA Managed server policy to use server: HTTP://SDCSCMP23.ACME.COM:8530
m_spSearchJobUpdateSearcher->EndSearch(m_spSearchJob, &spSearchResult), HRESULT=80072ee2 (e:\nts_sccm_release\sms\client\updatesmgmt\wuahandler\cwuahandler.cpp,3064)   WUAHandler  4/11/2013 6:09:59 PM    1480 (0x05C8)
OnSearchComplete - Failed to end search job. Error = 0x80072ee2.    WUAHandler  4/11/2013 6:09:59 PM    1480 (0x05C8)
Scan failed with error = 0x80072ee2.    WUAHandler  4/11/2013 6:09:59 PM    1480 (0x05C8)

WindowsUpdate.log
2013-04-11  18:09:05:376     828    15fc    Agent   ***********  Agent: Refreshing global settings cache  ***********
2013-04-11  18:09:05:376     828    15fc    Agent     * WSUS server: HTTP://SDCSCMP23.ACME.COM:8530 (Changed)
2013-04-11  18:09:05:376     828    15fc    Agent     * WSUS status server: HTTP://SDCSCMP23.ACME.COM:8530 (Changed)
2013-04-11  18:09:35:641     828    1668    PT  +++++++++++  PT: Synchronizing server updates  +++++++++++
2013-04-11  18:09:35:641     828    1668    PT    + ServiceId = {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}, Server URL = HTTP://SDCSCMP23.ACME.COM:8530/ClientWebService/client.asmx
2013-04-11  18:09:59:235     828    1668    Misc    WARNING: Send failed with hr = 80072ee2.
2013-04-11  18:09:59:235     828    1668    Misc    WARNING: SendRequest failed with hr = 80072ee2. Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <>
2013-04-11  18:09:59:235     828    1668    PT    + Last proxy send request failed with hr = 0x80072EE2, HTTP status code = 0
2013-04-11  18:09:59:235     828    1668    PT    + Caller provided credentials = No
2013-04-11  18:09:59:235     828    1668    PT    + Impersonate flags = 0
2013-04-11  18:09:59:235     828    1668    PT    + Possible authorization schemes used = 
2013-04-11  18:09:59:235     828    1668    PT  WARNING: GetConfig failure, error = 0x80072EE2, soap client error = 5, soap error code = 0, HTTP status code = 200
2013-04-11  18:09:59:235     828    1668    PT  WARNING: PTError: 0x80072ee2
2013-04-11  18:09:59:235     828    1668    PT  WARNING: GetConfig_WithRecovery failed: 0x80072ee2
2013-04-11  18:09:59:235     828    1668    PT  WARNING: RefreshConfig failed: 0x80072ee2
2013-04-11  18:09:59:235     828    1668    PT  WARNING: RefreshPTState failed: 0x80072ee2
2013-04-11  18:09:59:235     828    1668    PT  WARNING: Sync of Updates: 0x80072ee2
2013-04-11  18:09:59:235     828    1668    PT  WARNING: SyncServerUpdatesInternal failed: 0x80072ee2
2013-04-11  18:09:59:235     828    1668    Agent     * WARNING: Failed to synchronize, error = 0x80072EE2
2013-04-11  18:09:59:235     828    1668    Agent     * WARNING: Exit code = 0x80072EE2
Demandé el 14 de Avril, 2013 par Clayton

Réponse

Trop de publicités?

1voto

Sander avatar
Sander Points 1

Il me semble que le problème principal ici est la tentative de configurer plusieurs SUP (un SSL, un non) sur le site. Vous ne pouvez avoir qu'un seul point de mise à jour du logiciel (SUP) par site, et le SUP est soit activé par SSL, soit non.

Je ne vois que deux options possibles :

  1. Activez le SUP pour SSL et exigez SSL pour TOUS les clients.
  2. Installez un site secondaire dans votre DMZ avec son propre SUP.
Répondu el 16 de Avril, 2013 par Sander (1 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X