SCCM 2012的WSUS部分出现问题,无法在DMZ中的代理上工作。 这些代理具有来自内部PKI的PKI证书,并作为活动清单出现在控制台中。
由于SCCMangular色的许多部分必须针对HTTP或HTTPS进行configuration,而不是同时configuration两者:
1 – 这些代理位于将其分配给为SSLconfiguration的MP的边界上。 代理控制面板显示正确的MP。
2 – 这些代理也位于具有不同客户端设置的集合中,为其分配8531 appcat。
SDCSCMP23是用于内部代理的HTTP WSUS / Appcat / MP
SDCSCMP25是具有针对DMZ代理的PKI证书的SSL WSUS / Appcat / MP
问题在于SCCM正在configuration这些代理以使用WSUS的基础结构的HTTP部分,而不是HTTPS部分。 根据MS Doc,客户端设置应该在HTTP之前自动分配一个HTTPS appcat,但是这没有发生,所以我做了我自己的客户端设置来分配HTTPS appcat。
简单地修改防火墙configuration为允许443,8531到这个其他服务器不是一个选项,因为那些服务器正在侦听80,8530(对于内部HTTP代理)而不是443,8531。我们有一个要求,只使用443,8531 DMZ代理商。 已经validation了443,8531是通过防火墙从代理打开到SDCSCMP25的。 这是SCCM 2012 SP1。 我们不通过GPO分配WSUS服务器。
如何让SCCM将正确的WSUS服务器分配给这些代理?
WUAHandler.log Enabling WUA Managed server policy to use server: HTTP://SDCSCMP23.ACME.COM:8530 m_spSearchJobUpdateSearcher->EndSearch(m_spSearchJob, &spSearchResult), HRESULT=80072ee2 (e:\nts_sccm_release\sms\client\updatesmgmt\wuahandler\cwuahandler.cpp,3064) WUAHandler 4/11/2013 6:09:59 PM 1480 (0x05C8) OnSearchComplete - Failed to end search job. Error = 0x80072ee2. WUAHandler 4/11/2013 6:09:59 PM 1480 (0x05C8) Scan failed with error = 0x80072ee2. WUAHandler 4/11/2013 6:09:59 PM 1480 (0x05C8) WindowsUpdate.log 2013-04-11 18:09:05:376 828 15fc Agent *********** Agent: Refreshing global settings cache *********** 2013-04-11 18:09:05:376 828 15fc Agent * WSUS server: HTTP://SDCSCMP23.ACME.COM:8530 (Changed) 2013-04-11 18:09:05:376 828 15fc Agent * WSUS status server: HTTP://SDCSCMP23.ACME.COM:8530 (Changed) 2013-04-11 18:09:35:641 828 1668 PT +++++++++++ PT: Synchronizing server updates +++++++++++ 2013-04-11 18:09:35:641 828 1668 PT + ServiceId = {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}, Server URL = HTTP://SDCSCMP23.ACME.COM:8530/ClientWebService/client.asmx 2013-04-11 18:09:59:235 828 1668 Misc WARNING: Send failed with hr = 80072ee2. 2013-04-11 18:09:59:235 828 1668 Misc WARNING: SendRequest failed with hr = 80072ee2. Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <> 2013-04-11 18:09:59:235 828 1668 PT + Last proxy send request failed with hr = 0x80072EE2, HTTP status code = 0 2013-04-11 18:09:59:235 828 1668 PT + Caller provided credentials = No 2013-04-11 18:09:59:235 828 1668 PT + Impersonate flags = 0 2013-04-11 18:09:59:235 828 1668 PT + Possible authorization schemes used = 2013-04-11 18:09:59:235 828 1668 PT WARNING: GetConfig failure, error = 0x80072EE2, soap client error = 5, soap error code = 0, HTTP status code = 200 2013-04-11 18:09:59:235 828 1668 PT WARNING: PTError: 0x80072ee2 2013-04-11 18:09:59:235 828 1668 PT WARNING: GetConfig_WithRecovery failed: 0x80072ee2 2013-04-11 18:09:59:235 828 1668 PT WARNING: RefreshConfig failed: 0x80072ee2 2013-04-11 18:09:59:235 828 1668 PT WARNING: RefreshPTState failed: 0x80072ee2 2013-04-11 18:09:59:235 828 1668 PT WARNING: Sync of Updates: 0x80072ee2 2013-04-11 18:09:59:235 828 1668 PT WARNING: SyncServerUpdatesInternal failed: 0x80072ee2 2013-04-11 18:09:59:235 828 1668 Agent * WARNING: Failed to synchronize, error = 0x80072EE2 2013-04-11 18:09:59:235 828 1668 Agent * WARNING: Exit code = 0x80072EE2 在我看来,这里的核心问题是尝试在站点内configuration多个SUP(一个SSL,一个不是)。 每个站点只能有一个软件更新点(SUP),SUP可以启用或不启用。
我看到只有两个可能的select: