System Center Configuration Manager и как с ним бороться

Установить обновления перед захватом эталонного образа очень просто: через Windows Update или WSUS, а потом вручную запускать sysprep, монтировать capture .iso или иной вариант. У меня же была другая задача: в процессе Build and Capture через MDT подключиться к локальному WSUS, который существует в компании, и установить обновления оттуда, т.е. провести установку обновлений в полностью автоматическом режиме.

Во-первых, в процессе скачивания обновлений можно получить ошибку.

BDD.log и ZTIWindowsUpdate.log:

INSTALL — f49a461d-9fa0-484b-9db5-b14e9a3d9bd3 — Security Update for Windows 7 for x64-based Systems (KB2922229) — 1 MB

INSTALL — 9a5132e4-ca62-4f66-bbe2-d920e6252678 — Update for Microsoft PowerPoint 2010 (KB2837579) 32-Bit Edition — 14 MB

INSTALL — 952c45be-a107-4dae-8ccb-b3c91688bcd2 — Cumulative Security Update for Internet Explorer 8 for Windows 7 for x64-based Systems (KB2936068) — 16 MB

Scan complete, ready to install updates. Count = 181

Begin Downloading…

ZTI ERROR — Unhandled error returned by ZTIWindowsUpdate: Object doesn’t support this property or method (438)

Этот баг пришёл в MDT 2013 с MDT 2012 Update 1. Для исправления бага со скачиванием обновлений нужно исправить в файле ZTIWindowsUpdate.wsf строку:

result(» & UpdateResult.GetUpdateResult(item).ResultCode & «) : » & UpdatesToDownload.Item(item).Title, MSIT_LogType

на

result(» & UpdateResult.GetProgress.GetUpdateResult(item).ResultCode & «) : » & UpdatesToDownload.Item(item).Title, MSIT_LogType

Во-вторых, мой WSUS работал через https.

Для настройки обновлений нужно экспортировать корневой сертификат:

Next-Next-задать имя сертификата-Next-Finish.

В свойствах DeploymentShare задаём адрес WSUS вида WSUSServer=http://имя сервера:порт или https, как в моём случае:

В Task Sequence включаем шаги Windows Update (Pre-Application Installation) и Windows Update (Post-Application Installation). Импорт сертификата через командную строку и запуск certutil.exe в процессе установки не получался, поэтому я решил импортировать сертификаты через создание приложения и простейший батник:

certutil.exe -addstore Root \\server\h$\Applications\root.cer
certutil.exe -addstore TrustedPublisher \\server\h$\Applications\root.cer

Соответственно, перед этим я поместил экспортированный сертификат в общую папку. Создание приложения затруднений не вызывает, в качестве строки запуска указываем созданный .bat-файл:

И добавляем установку этого приложения в Task Sequence:

Если же WSUS работает по http, то достаточно просто указать его адрес в свойствах DeploymentShare и активировать два шага в Task Sequence.

Закончилась самая крупная конференция, которую проводит Microsoft, — Microsoft Management Summit 2013. Я собрал ссылки на записи всех докладов, которые относятся к ConfigMgr 2012, MDT 2012 и установке операционных систем:

• SQL Server 2012 for System Center Administrators;
• Managing Third Party Updates with System Center 2012 Configuration Manager SP1;
• Configuration Manager 2012: MVP Experts Panel;
• Demonstrations of Assessment and Deployment Kit Tools;
• Choosing the Right OS Deployment Tool;
• System Center 2012 Configuration Manager SP1 Overview;
• Configuration Manager 2012 and Orchestrator 2012;
• Deploying and Configuring Mobile Device Management Infrastructure;
• Deploy All of System Center: Two Real World Examples;
• Migration Best Practices from System Center Configuration Manager 2007 to 2012;
• What’s New with Microsoft Deployment Toolkit 2012 Update 1;
• System Center 2012 Configuration Manager SP1 and Windows Intune: Unified Modern Device Management;
• Documentation, Disaster Recovery, and Using Scripts as Time Savers;

Continue reading ‘доклады с MMS 2013’ »

• A Drivers Saga – Mastering Windows Deployment;
• Inside Windows 8 – Mastering Windows Deployment Services and MDT 2012 Update 1;
• Moving from Device Centric to a User Centric Management;
• SCCM 2012 SP1 and the new way handling Software Updates explained.

Все уже написали об этом два дня назад, но лучше поздно, чем никогда.

Microsoft на этой неделе выпустила накопительное обновление KB2775511 для Windows 7 SP1 и Windows Server 2008 R2 SP1, включающее в себя 90 обновлений и недоступное через WSUS и, соответственно, недоступное для установки через ConfigMgr. Как его установить?

Импортируем обновление через оснастку WSUS:

На сайте Microsoft Update Catalog ищем KB2775511:

Нажимаем Add All — view basket — Import:

Continue reading ‘установка накопительного обновления KB2775511’ »

wsyncmgr.log:

Sync failed: UssCommunicationError: WebException: Unable to connect to the remote server —> System.Net.Sockets.SocketException: No connection could be made because the target machine actively refused it 157.55.60.56:443~~at System.Net.HttpWebRequest.GetRequestStream(TransportContext& context). Source: Microsoft.SystemsManagementServer.SoftwareUpdatesManagement.WsusSyncAction.WSyncAction.SyncWSUS

STATMSG: ID=6703 SEV=E LEV=M SOURCE=»SMS Server» COMP=»SMS_WSUS_SYNC_MANAGER» SYS=sccmcas.firma.local SITE=GGG PID=2056 TID=3872 GMTDATE=Wed Jan 23 08:02:37.219 2013 ISTR0=»Microsoft.SystemsManagementServer.SoftwareUpdatesManagement.WsusSyncAction.WSyncAction.SyncWSUS» ISTR1=»UssCommunicationError: WebException: Unable to connect to the remote server —> System.Net.Sockets.SocketException: No connection could be made because the target machine actively refused it 157.55.60.56:443~~at System.Net.HttpWebRequest.GetRequestStream(TransportContext& context)» ISTR2=»» ISTR3=»» ISTR4=»» ISTR5=»» ISTR6=»» ISTR7=»» ISTR8=»» ISTR9=»» NUMATTRS=0

Sync failed. Will retry in 60 minutes

В 2012 SP1 изменили интерфейс и настройки синхронизации SUP. Если ваш сервер, на котором размещены WSUS+SUP, ходит в интернет через прокси, то сначала в свойствах Site system укажите параметры подключения:

А потом в свойствах Software update point укажите использование прокси-сервера при скачивании метаданных и обновлений:

После обновления до 2012 SP1 перестаёт синхронизироваться WSUS, сигнализируя следующими статусными сообщениями:

SMS_WSUS_CONFIGURATION_MANAGER, Message ID 6600:

WSUS Configuration Manager failed to configure upstream server settings on WSUS Server «sccmcas.firma.local».

Possible cause: WSUS Server version 3.0 SP2 or above is not installed or cannot be contacted.
Solution: Verify that the WSUS Server version 3.0 SP2 or greater is installed. Verify that the IIS ports configured in the site are same as those configured on the WSUS IIS website.

SMS_WSUS_SYNC_MANAGER, Message ID 6703:

WSUS Synchronization failed.
Message: WSUS server not configured. Please refer to WCM.log for configuration error details..
Source: CWSyncMgr::DoSync.
The operating system reported error 2147500037: Unspecified error

Это происходит из-за того, что порты WSUS принимают значения по умолчанию:

Решение — после установки SP1 изменить значения портов SUP на те, которые были до инсталляции. В моём случае — 8530/8531.

Компания Adobe выпустила каталог для SCUP, позволяющий обновлять Reader 9.x/10.x до версии XI:

Скачать можно здесь.

Дано: CAS+SUP+System Center Updates Publisher 2011 и PS+SUP. SCUP интегрирован с CAS.

Связка работает, если используется ручной метод установки обновлений. В случае создания ADR (правила автоматического обновления), получаем следующие ошибки на первичном сайте.

SMS_RULE_ENGINE:

Message ID 8706

Content download failed.

Message: Failed to download one or more content files.
Source: SMS Rule Engine.

ruleengine.log:

Failed to download the update from internet. Error = 504

Failed to download ContentID 37146 for UpdateID 41671. Error code = 504

PatchDownloader.log:

Download destination = \\sccm12\updates\Adobe\6d8590bd-038e-4455-9764-30875ccbf0c7.1\AdbeRdrUpd1014.cab .

Contentsource = http://sccmcas.firma.local:8530/Content/E2/AD981696E0A92EBA42A1EF35B32472387DC315E2.cab  .

Downloading content for ContentID = 37144,  FileName = AdbeRdrUpd1014.cab.

Try username corp\ololo

Proxy enabled proxy server 10.0.1.5:3128

HttpSendRequest failed 504

Download http://sccmcas.firma.local:8530/Content/E2/AD981696E0A92EBA42A1EF35B32472387DC315E2.cab to C:\Windows\TEMP\CABA891.tmp returns 504

ERROR: DownloadContentFiles() failed with hr=0x800701f8

Как видно, задача подчинённого WSUS’а первичного сервера — синхронизировать заплатку Adobe Reader 10.1.4 с CAS, которая уже скачалась и лежит в базе WSUS’a CAS’a, но первичный сервер воспринимает CAS, как интернет, потому что в мастере создания ADR было указано «скачивать из интернета». В результате этого первичный сервер пытается обратиться по http к CAS, используя прокси-сервер и учётные данные, которые указаны в свойствах его точки обновления программного обеспечения. Первичный сервер создаёт пакет, создаёт нужную структуру папок, но сами файлы скачать не может.

Решение — «переключить» правило с HTTP на SMB, указав в мастере создания путь к файлам WSUS’а CAS’a:

PatchDownloader.log:

Download destination = \\sccm12\updates\Adobe\6d8590bd-038e-4455-9764-30875ccbf0c7.1\AdbeRdrUpd1014.cab .

Contentsource = \\sccmcas\WsusContent\AdbeRdrUpd1014.cab .

Contentsource = \\sccmcas\WsusContent\AD981696E0A92EBA42A1EF35B32472387DC315E2.cab .

Contentsource = \\sccmcas\WsusContent\WsusContent\E2\AD981696E0A92EBA42A1EF35B32472387DC315E2.cab .

Contentsource = \\sccmcas\WsusContent\E2\AD981696E0A92EBA42A1EF35B32472387DC315E2.cab .

Downloading content for ContentID = 37144,  FileName = AdbeRdrUpd1014.cab.

ScanAgent.log:

ScanJob({EC19BED4-59D5-4CB2-B8E8-D580885303B9}): — — — — — -Locations requested for ScanJobID={EC19BED4-59D5-4CB2-B8E8-D580885303B9} (LocationRequestID={91151789-DBD2-4C05-B71B-10638A2FB419}), will process the scan request once locations are available.
Message received: ‘<?xml version=’1.0′ ?> <UpdateSourceMessage MessageType=’ScanByUpdateSource’>
<ForceScan>TRUE</ForceScan>
<UpdateSourceIDs>
<ID>{462361AE-432D-40C6-8317-496F0AB94884} </ID>
</UpdateSourceIDs>
</UpdateSourceMessage>’

*****ScanByUpdateSource request received with ForceReScan=2, ScanOptions=0x0000000a, WSUSLocationTimeout = 604800
Sources are not current

Клиенты не могут отсинхронизироваться с SUP, хотя установка обновлений активирована в настройках агента и SUP корректно настроена. Если проверить локальные политики, то там нет информации об адресе WSUS:

Выполнив PowerShell-запрос Get-WmiObject -Namespace ‘root\cimv2\sms’ -Class ‘Win32_WindowsUpdateAgentVersion’ -ComputerName имя_компьютера, не видно информации о WMI-классе, описывающем WUA:

WUAHandler.log:

CWuaHandler::SetCategoriesForLeafStateReportingExclusion called with E0789628-CE08-4437-BE74-2495B842F43B

Решение: обновить Windows Update Agent на сайт-сервере.

В логе видно, что после безуспешных попыток SUP была найдена и синхронизация началась:

Полтора месяца назад столкнулся с ошибкой синхронизации WSUS в SCCM 2007.

wsyncmgr.log:

Sync failed: WSUS server not configured. Source: CWSyncMgr::DoSync SMS_WSUS_SYNC_MANAGER Status message 6703: SMS_WSUS_SYNC_MANAGER SMS WSUS Synchronization failed. Message: WSUS server not configured. Source: CWSyncMgr::DoSync. The operating system reported error 2147500037: Unspecified error

WCM.log:

System.Net.WebException: The request failed with HTTP status 502: Proxy Error ( The host was not found. ).~~ at Microsoft.UpdateServices.Administration.AdminProxy.CreateUpdateServer(Object[] args)~~ at Microsoft.UpdateServices.Administration.AdminProxy.GetUpdateServer(String serverName, Boolean useSecureConnection, Int32 portNumber)~~ at Microsoft.SystemsManagementServer.WSUS.WSUSServer.ConnectToWSUSServer(String ServerName, Boolean UseSSL, Int32 PortNumber) Remote configuration failed on WSUS Server.

Т.е. отконфигурированная «по книге» SUP просто не хочет синхронизироваться. Тогда я поговорил с Лёшей Тараненко (он в это же время столкнулся с этой же ошибкой) и он предложил решение — http://blogs.technet.com/b/syscenter/archive/2012/03/21/sup-configmgr-2007-2012-windows-update.aspx

На днях мы с коллегой одновременно столкнулись с похожей ошибкой, но уже в ConfigMgr 2012 и в разных лабах: SUP на CAS таким же загадочным образом не хотела синхронизироваться.

wsyncmgr.log:

STATMSG: ID=6701 SEV=I LEV=M SOURCE=»SMS Server» COMP=»SMS_WSUS_SYNC_MANAGER» SYS=sccmcas.firma.local SITE=ZZZ PID=2260 TID=1396 GMTDATE=Sun May 13 13:00:01.019 2012 ISTR0=»» ISTR1=»» ISTR2=»» ISTR3=»» ISTR4=»» ISTR5=»» ISTR6=»» ISTR7=»» ISTR8=»» ISTR9=»» NUMATTRS=0
Sync failed: WSUS server not configured. Please refer to WCM.log for configuration error details.. Source: CWSyncMgr::DoSync
STATMSG: ID=6703 SEV=E LEV=M SOURCE=»SMS Server» COMP=»SMS_WSUS_SYNC_MANAGER» SYS=sccmcas.firma.local SITE=ZZZ PID=2260 TID=1396 GMTDATE=Sun May 13 13:05:01.321 2012 ISTR0=»CWSyncMgr::DoSync» ISTR1=»WSUS server not configured. Please refer to WCM.log for configuration error details.» ISTR2=»» ISTR3=»» ISTR4=»» ISTR5=»» ISTR6=»» ISTR7=»» ISTR8=»» ISTR9=»» NUMATTRS=0

WCM.log:

System.Net.WebException: The request failed with HTTP status 417: Expectation failed.~~ at Microsoft.UpdateServices.Administration.AdminProxy.CreateUpdateServer(Object[] args)~~ at Microsoft.UpdateServices.Administration.AdminProxy.GetUpdateServer(String serverName, Boolean useSecureConnection, Int32 portNumber)~~ at Microsoft.SystemsManagementServer.WSUS.WSUSServer.ConnectToWSUSServer(String ServerName, Boolean UseSSL, Int32 PortNumber)
Remote configuration failed on WSUS Server.
STATMSG: ID=6600 SEV=E LEV=M SOURCE=»SMS Server» COMP=»SMS_WSUS_CONFIGURATION_MANAGER» SYS=sccmcas.firma.local SITE=ZZZ PID=2260 TID=3492 GMTDATE=Fri May 11 18:40:10.404 2012 ISTR0=»sccmcas.firma.local» ISTR1=»» ISTR2=»» ISTR3=»» ISTR4=»» ISTR5=»» ISTR6=»» ISTR7=»» ISTR8=»» ISTR9=»» NUMATTRS=0

Т.е. ошибка «плавающая» и непонятно, почему возникающая в случае корректных настроек прокси (эти же настройки использует IE). Иногда SUP решает использовать настройки IE системного аккаунта, которые определены как Automatically detect settings.

При помощи PsExec открываем командную строку для пользователя System, запускаем IE и просто убираем галочку: