Назад | Перейти на главную страницу

Неправильный сервер WSUS WUA, назначенный агентам DMZ

Возникла проблема с WSUS, часть SCCM 2012 не работает с агентами в нашей DMZ. Эти агенты имеют сертификаты PKI от внутренней PKI и отображаются в консоли как активная инвентаризация.

Поскольку многие части ролей SCCM должны быть настроены для HTTP или HTTPS, а не для обоих одновременно:
1 - эти агенты находятся на границе, которая назначает их MP, настроенному для SSL. На панели управления агента отображается правильный MP.
2 - эти агенты также находятся в коллекции с разными настройками клиента, чтобы назначить им 8531 appcat.
SDCSCMP23 - это HTTP WSUS / Appcat / MP для внутренних агентов.
SDCSCMP25 - это SSL WSUS / Appcat / MP с сертификатами PKI для агентов DMZ

Проблема в том, что SCCM настраивает эти агенты для использования частей HTTP инфраструктуры для WSUS, а не частей HTTPS. Согласно документу MS, настройки клиента должны автоматически назначать HTTPS appcat перед HTTP, но этого не происходило, поэтому я сделал свои собственные настройки клиента, чтобы назначить HTTPS appcat.
Простое изменение конфигурации брандмауэра, чтобы разрешить 443, 8531 для этого другого сервера, НЕ вариант, потому что эти серверы прослушивают 80, 8530 (для внутренних агентов HTTP), а не 443, 8531. У нас есть требование использовать только 443, 8531 для агенты DMZ. Убедитесь, что 443, 8531 открыты через брандмауэр для SDCSCMP25 от агентов. Это SCCM 2012 SP1. Мы НЕ назначаем серверы WSUS через GPO.
Как мне заставить SCCM назначать правильные серверы WSUS этим агентам?

WUAHandler.log
Enabling WUA Managed server policy to use server: HTTP://SDCSCMP23.ACME.COM:8530
m_spSearchJobUpdateSearcher->EndSearch(m_spSearchJob, &spSearchResult), HRESULT=80072ee2 (e:\nts_sccm_release\sms\client\updatesmgmt\wuahandler\cwuahandler.cpp,3064)   WUAHandler  4/11/2013 6:09:59 PM    1480 (0x05C8)
OnSearchComplete - Failed to end search job. Error = 0x80072ee2.    WUAHandler  4/11/2013 6:09:59 PM    1480 (0x05C8)
Scan failed with error = 0x80072ee2.    WUAHandler  4/11/2013 6:09:59 PM    1480 (0x05C8)

WindowsUpdate.log
2013-04-11  18:09:05:376     828    15fc    Agent   ***********  Agent: Refreshing global settings cache  ***********
2013-04-11  18:09:05:376     828    15fc    Agent     * WSUS server: HTTP://SDCSCMP23.ACME.COM:8530 (Changed)
2013-04-11  18:09:05:376     828    15fc    Agent     * WSUS status server: HTTP://SDCSCMP23.ACME.COM:8530 (Changed)
2013-04-11  18:09:35:641     828    1668    PT  +++++++++++  PT: Synchronizing server updates  +++++++++++
2013-04-11  18:09:35:641     828    1668    PT    + ServiceId = {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}, Server URL = HTTP://SDCSCMP23.ACME.COM:8530/ClientWebService/client.asmx
2013-04-11  18:09:59:235     828    1668    Misc    WARNING: Send failed with hr = 80072ee2.
2013-04-11  18:09:59:235     828    1668    Misc    WARNING: SendRequest failed with hr = 80072ee2. Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <>
2013-04-11  18:09:59:235     828    1668    PT    + Last proxy send request failed with hr = 0x80072EE2, HTTP status code = 0
2013-04-11  18:09:59:235     828    1668    PT    + Caller provided credentials = No
2013-04-11  18:09:59:235     828    1668    PT    + Impersonate flags = 0
2013-04-11  18:09:59:235     828    1668    PT    + Possible authorization schemes used = 
2013-04-11  18:09:59:235     828    1668    PT  WARNING: GetConfig failure, error = 0x80072EE2, soap client error = 5, soap error code = 0, HTTP status code = 200
2013-04-11  18:09:59:235     828    1668    PT  WARNING: PTError: 0x80072ee2
2013-04-11  18:09:59:235     828    1668    PT  WARNING: GetConfig_WithRecovery failed: 0x80072ee2
2013-04-11  18:09:59:235     828    1668    PT  WARNING: RefreshConfig failed: 0x80072ee2
2013-04-11  18:09:59:235     828    1668    PT  WARNING: RefreshPTState failed: 0x80072ee2
2013-04-11  18:09:59:235     828    1668    PT  WARNING: Sync of Updates: 0x80072ee2
2013-04-11  18:09:59:235     828    1668    PT  WARNING: SyncServerUpdatesInternal failed: 0x80072ee2
2013-04-11  18:09:59:235     828    1668    Agent     * WARNING: Failed to synchronize, error = 0x80072EE2
2013-04-11  18:09:59:235     828    1668    Agent     * WARNING: Exit code = 0x80072EE2

Мне кажется, что основная проблема здесь - это попытка настроить несколько SUP (один SSL, один нет) на сайте. У вас может быть только одна точка обновления программного обеспечения (SUP) на сайт, а SUP либо поддерживает SSL, либо нет.

Я вижу только два возможных варианта:

  1. Включите SUP для SSL и потребуйте SSL для ВСЕХ клиентов.
  2. Установите дополнительный сайт в демилитаризованной зоне с собственным SUP.