遇到 SCCM 2012 的 WSUS 部分无法在我们的 DMZ 中的代理上运行的问题。这些代理具有来自内部 PKI 的 PKI 证书,并在控制台中显示为活动清单。
因为 SCCM 角色的许多部分必须针对 HTTP 或 HTTPS 进行配置,而不能同时配置两者:
1 - 这些代理处于边界上,边界将它们分配给为 SSL 配置的 MP。代理控制面板显示正确的 MP。2
- 这些代理还位于具有不同客户端设置的集合中,以便为它们分配 8531 appcat。SDCSCMP23
是用于内部代理的 HTTP WSUS/Appcat/MP
SDCSCMP25 是用于 DMZ 代理的带有 PKI 证书的 SSL WSUS/Appcat/MP
问题是 SCCM 正在将这些代理配置为使用 WSUS 基础架构的 HTTP 部分,而不是 HTTPS 部分。根据 MS 文档,客户端设置应该在 HTTP 之前自动分配 HTTPS appcat,但这并没有发生,所以我自己设置了客户端以分配 HTTPS appcat。
简单地修改防火墙配置以允许 443、8531 到这台其他服务器不是一个选择,因为这些服务器正在监听 80、8530(用于内部 HTTP 代理),而不是 443、8531。我们要求 DMZ 代理只使用 443、8531。已验证 443、8531 通过防火墙从代理向 SDCSCMP25 开放。这是 SCCM 2012 SP1。我们没有通过 GPO 分配 WSUS 服务器。
如何让 SCCM 将正确的 WSUS 服务器分配给这些代理?
WUAHandler.log
Enabling WUA Managed server policy to use server: HTTP://SDCSCMP23.ACME.COM:8530
m_spSearchJobUpdateSearcher->EndSearch(m_spSearchJob, &spSearchResult), HRESULT=80072ee2 (e:\nts_sccm_release\sms\client\updatesmgmt\wuahandler\cwuahandler.cpp,3064) WUAHandler 4/11/2013 6:09:59 PM 1480 (0x05C8)
OnSearchComplete - Failed to end search job. Error = 0x80072ee2. WUAHandler 4/11/2013 6:09:59 PM 1480 (0x05C8)
Scan failed with error = 0x80072ee2. WUAHandler 4/11/2013 6:09:59 PM 1480 (0x05C8)
WindowsUpdate.log
2013-04-11 18:09:05:376 828 15fc Agent *********** Agent: Refreshing global settings cache ***********
2013-04-11 18:09:05:376 828 15fc Agent * WSUS server: HTTP://SDCSCMP23.ACME.COM:8530 (Changed)
2013-04-11 18:09:05:376 828 15fc Agent * WSUS status server: HTTP://SDCSCMP23.ACME.COM:8530 (Changed)
2013-04-11 18:09:35:641 828 1668 PT +++++++++++ PT: Synchronizing server updates +++++++++++
2013-04-11 18:09:35:641 828 1668 PT + ServiceId = {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}, Server URL = HTTP://SDCSCMP23.ACME.COM:8530/ClientWebService/client.asmx
2013-04-11 18:09:59:235 828 1668 Misc WARNING: Send failed with hr = 80072ee2.
2013-04-11 18:09:59:235 828 1668 Misc WARNING: SendRequest failed with hr = 80072ee2. Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <>
2013-04-11 18:09:59:235 828 1668 PT + Last proxy send request failed with hr = 0x80072EE2, HTTP status code = 0
2013-04-11 18:09:59:235 828 1668 PT + Caller provided credentials = No
2013-04-11 18:09:59:235 828 1668 PT + Impersonate flags = 0
2013-04-11 18:09:59:235 828 1668 PT + Possible authorization schemes used =
2013-04-11 18:09:59:235 828 1668 PT WARNING: GetConfig failure, error = 0x80072EE2, soap client error = 5, soap error code = 0, HTTP status code = 200
2013-04-11 18:09:59:235 828 1668 PT WARNING: PTError: 0x80072ee2
2013-04-11 18:09:59:235 828 1668 PT WARNING: GetConfig_WithRecovery failed: 0x80072ee2
2013-04-11 18:09:59:235 828 1668 PT WARNING: RefreshConfig failed: 0x80072ee2
2013-04-11 18:09:59:235 828 1668 PT WARNING: RefreshPTState failed: 0x80072ee2
2013-04-11 18:09:59:235 828 1668 PT WARNING: Sync of Updates: 0x80072ee2
2013-04-11 18:09:59:235 828 1668 PT WARNING: SyncServerUpdatesInternal failed: 0x80072ee2
2013-04-11 18:09:59:235 828 1668 Agent * WARNING: Failed to synchronize, error = 0x80072EE2
2013-04-11 18:09:59:235 828 1668 Agent * WARNING: Exit code = 0x80072EE2
答案1
在我看来,这里的核心问题是尝试在站点内配置多个 SUP(一个 SSL,一个不 SSL)。每个站点只能有一个软件更新点 (SUP),并且 SUP 要么启用 SSL,要么不启用。
我看到只有两种可能的选择:
- 启用 SSL 的 SUP 并要求所有客户端都使用 SSL。
- 在您的 DMZ 中安装具有自己的 SUP 的辅助站点。