Возникла проблема с WSUS, часть SCCM 2012 не работает с агентами в нашей DMZ. Эти агенты имеют сертификаты PKI от внутренней PKI и отображаются в консоли как активная инвентаризация.
Поскольку многие части ролей SCCM должны быть настроены для HTTP или HTTPS, а не для обоих одновременно:
1 - эти агенты находятся на границе, которая назначает их MP, настроенному для SSL. На панели управления агента отображается правильный MP.
2 - эти агенты также находятся в коллекции с разными настройками клиента, чтобы назначить им 8531 appcat.
SDCSCMP23 - это HTTP WSUS / Appcat / MP для внутренних агентов.
SDCSCMP25 - это SSL WSUS / Appcat / MP с сертификатами PKI для агентов DMZ
Проблема в том, что SCCM настраивает эти агенты для использования частей HTTP инфраструктуры для WSUS, а не частей HTTPS. Согласно документу MS, настройки клиента должны автоматически назначать HTTPS appcat перед HTTP, но этого не происходило, поэтому я сделал свои собственные настройки клиента, чтобы назначить HTTPS appcat.
Простое изменение конфигурации брандмауэра, чтобы разрешить 443, 8531 для этого другого сервера, НЕ вариант, потому что эти серверы прослушивают 80, 8530 (для внутренних агентов HTTP), а не 443, 8531. У нас есть требование использовать только 443, 8531 для агенты DMZ. Убедитесь, что 443, 8531 открыты через брандмауэр для SDCSCMP25 от агентов. Это SCCM 2012 SP1. Мы НЕ назначаем серверы WSUS через GPO.
Как мне заставить SCCM назначать правильные серверы WSUS этим агентам?
WUAHandler.log
Enabling WUA Managed server policy to use server: HTTP://SDCSCMP23.ACME.COM:8530
m_spSearchJobUpdateSearcher->EndSearch(m_spSearchJob, &spSearchResult), HRESULT=80072ee2 (e:\nts_sccm_release\sms\client\updatesmgmt\wuahandler\cwuahandler.cpp,3064) WUAHandler 4/11/2013 6:09:59 PM 1480 (0x05C8)
OnSearchComplete - Failed to end search job. Error = 0x80072ee2. WUAHandler 4/11/2013 6:09:59 PM 1480 (0x05C8)
Scan failed with error = 0x80072ee2. WUAHandler 4/11/2013 6:09:59 PM 1480 (0x05C8)
WindowsUpdate.log
2013-04-11 18:09:05:376 828 15fc Agent *********** Agent: Refreshing global settings cache ***********
2013-04-11 18:09:05:376 828 15fc Agent * WSUS server: HTTP://SDCSCMP23.ACME.COM:8530 (Changed)
2013-04-11 18:09:05:376 828 15fc Agent * WSUS status server: HTTP://SDCSCMP23.ACME.COM:8530 (Changed)
2013-04-11 18:09:35:641 828 1668 PT +++++++++++ PT: Synchronizing server updates +++++++++++
2013-04-11 18:09:35:641 828 1668 PT + ServiceId = {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}, Server URL = HTTP://SDCSCMP23.ACME.COM:8530/ClientWebService/client.asmx
2013-04-11 18:09:59:235 828 1668 Misc WARNING: Send failed with hr = 80072ee2.
2013-04-11 18:09:59:235 828 1668 Misc WARNING: SendRequest failed with hr = 80072ee2. Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <>
2013-04-11 18:09:59:235 828 1668 PT + Last proxy send request failed with hr = 0x80072EE2, HTTP status code = 0
2013-04-11 18:09:59:235 828 1668 PT + Caller provided credentials = No
2013-04-11 18:09:59:235 828 1668 PT + Impersonate flags = 0
2013-04-11 18:09:59:235 828 1668 PT + Possible authorization schemes used =
2013-04-11 18:09:59:235 828 1668 PT WARNING: GetConfig failure, error = 0x80072EE2, soap client error = 5, soap error code = 0, HTTP status code = 200
2013-04-11 18:09:59:235 828 1668 PT WARNING: PTError: 0x80072ee2
2013-04-11 18:09:59:235 828 1668 PT WARNING: GetConfig_WithRecovery failed: 0x80072ee2
2013-04-11 18:09:59:235 828 1668 PT WARNING: RefreshConfig failed: 0x80072ee2
2013-04-11 18:09:59:235 828 1668 PT WARNING: RefreshPTState failed: 0x80072ee2
2013-04-11 18:09:59:235 828 1668 PT WARNING: Sync of Updates: 0x80072ee2
2013-04-11 18:09:59:235 828 1668 PT WARNING: SyncServerUpdatesInternal failed: 0x80072ee2
2013-04-11 18:09:59:235 828 1668 Agent * WARNING: Failed to synchronize, error = 0x80072EE2
2013-04-11 18:09:59:235 828 1668 Agent * WARNING: Exit code = 0x80072EE2
Мне кажется, что основная проблема здесь - это попытка настроить несколько SUP (один SSL, один нет) на сайте. У вас может быть только одна точка обновления программного обеспечения (SUP) на сайт, а SUP либо поддерживает SSL, либо нет.
Я вижу только два возможных варианта: