SCCM SUP не может подключиться к серверу WSUS - сервер WSUS версии 3.0 SP2 или выше не установлен

1/6 одна из наших точек обновления программного обеспечения потеряла возможность подключиться к своему серверу WSUS:

WSUS Control Manager failed to monitor WSUS Server "SCCM.ad.contoso.gov". Possible cause: WSUS Server version 3.0 SP2 or above is not installed or cannot be contacted.

В SMS_WSUS_CONFIGURATION_MANAGER Файл журнала предполагает, что либо WSUS 3.0 SP2 не установлен, либо к нему не могут подключиться службы SMS SUP (SMS_WSUS_CONFIGURATION_MANAGER и SMS_WSUS_CONTROL_MANAGER):

Error   Milestone   004 6/8/2015 5:01:30 AM SCCM.ad.contoso.gov SMS_WSUS_CONTROL_MANAGER    7003    WSUS Control Manager failed to monitor WSUS Server "SCCM.ad.contoso.gov".    Possible cause: WSUS Server version 3.0 SP2 or above is not installed or cannot be contacted.  Solution: Verify that the WSUS Server version 3.0 SP2 or greater is installed. Verify that the IIS ports configured in the site are same as those configured on the WSUS IIS website.
Error   Milestone   004 6/8/2015 5:01:30 AM SCCM.ad.contoso.gov SMS_WSUS_CONTROL_MANAGER    7000    WSUS Control Manager failed to configure proxy settings on WSUS Server "SCCM.ad.contoso.gov".    Possible cause: WSUS Server version 3.0 SP2 or above is not installed or cannot be contacted.  Solution: Verify that the WSUS Server version 3.0 SP2 or greater is installed. Verify that the IIS ports configured in the site are same as those configured on the WSUS IIS website.You can receive failure because proxy is set but proxy name is not specified or proxy server port is invalid.
Information Milestone   004 6/8/2015 4:01:39 AM SCCM.ad.contoso.gov SMS_WSUS_CONTROL_MANAGER    4609    Component Status Summarizer set the status of component "SMS_WSUS_CONTROL_MANAGER", running on computer "SCCM.ad.contoso.gov", to Critical.    Possible cause: The component is experiencing a problem.  Solution: Diagnose and fix the problem by:  1. Examining the status messages that the component reports.  2. Correcting the problem.  3. Instructing Component Status Summarizer to reset the counts of Error, Warning, and/or Informational status messages reported by the component. To reset the counts, right-click Reset Counts on the component in the Component Status summary in the Configuration Manager Console. When the counts are reset, Component Status Summarizer will change the status of the component to OK. This might take some time if site "004" is a child site.  4. Delete any unwanted status messages from the site database, if necessary.  5. Monitor the component occasionally to verify that the problem does not reoccur.    Possible cause: The component is OK and you were unnecessarily alerted because the Component Status Thresholds are set too low for the component.  Solution: Increase the Component Status Thresholds for the component using the Thresholds tab of the Component Status Summarizer Properties dialog box in the Configuration Manager Console.    Possible cause: The component is flooding the status system by rapidly reporting the same message repeatedly.  Solution: Diagnose and control the flood of status messages by:  1. Verifying that the component is actually flooding the status system. View the status messages reported by the component and verify that the same message is continually reported every several minutes or seconds.  2. Noting the Message ID of the flooded status message.  3. Creating a Status Filter Rule for site "004" that instructs Status Manager to discard the flooded status message when component "SMS_WSUS_CONTROL_MANAGER" on computer "SCCM.ad.contoso.gov" reports it.   4. Verifying that your sites' databases were not filled up by the flooded status message.  Del
Information Milestone   004 6/8/2015 4:01:39 AM SCCM.ad.contoso.gov SMS_WSUS_CONTROL_MANAGER    4605    Component Status Summarizer detected that component "SMS_WSUS_CONTROL_MANAGER", running on computer "SCCM.ad.contoso.gov", has reported 5 or more Error status messages during the Component Status Threshold Period.    Possible cause: The count equals or exceeds the Component Status Critical Threshold (5 status messages) for Error status messages for the component.  Solution: Component Status Summarizer will set the component's status to Critical in the Component Status summary in the Configuration Manager Console.

Я убедился, что роль WSUS действительно все еще установлена на SCCM.ad.contoso.gov; однако это не кажется здоровым. Я не могу подключиться к нему с помощью оснастки MMC SnapIn служб обновления Windows Server, и журнал событий заполнен следующими ошибками, начиная с 6/1:

PS C:\Windows\system32> Get-EventLog -LogName Application -Source "Windows Server Update Services" -After $(Date -Month 06 -Day 07)

  Index Time          EntryType   Source                 InstanceID Message
   ----- ----          ---------   ------                 ---------- -------
  267564 Jun 08 04:14  Error       Windows Server Up...        12052 The DSS Authentication Web Service is not working.
  267563 Jun 08 04:14  Error       Windows Server Up...        12042 The SimpleAuth Web Service is not working.
  267562 Jun 08 04:14  Error       Windows Server Up...        12022 The Client Web Service is not working.
  267561 Jun 08 04:14  Error       Windows Server Up...        12032 The Server Synchronization Web Service is not w...
  267560 Jun 08 04:14  Error       Windows Server Up...        12012 The API Remoting Web Service is not working.
  267559 Jun 08 04:14  Error       Windows Server Up...        12002 The Reporting Web Service is not working.
  267558 Jun 08 04:14  Warning     Windows Server Up...        10021 The catalog was last synchronized successfully ...

Я проверил, что WsusService действительно запущен, а затем проверил IIS:

Ага. Наверное, это нехорошо. Пул приложений WsusPool, вероятно, должен быть запущен ... Если я вручную запустил WsusPool, я смогу подключиться к WSUS WebServices, перейдя к http://SCCM.ad.contoso.gov:8530/Selfupdate... а затем примерно через 15 минут пул приложений останавливается.

Также он работает на неправильных портах (8530/8531)! Около месяца назад с помощью PFE мы настроили этот SUP, чтобы он был доступен интернет-клиентам. Частично эта реконфигурация означала, что веб-службы WSUS необходимо переместить на 80/443, чтобы они были доступны через наш брандмауэр по периметру.

У меня нет документации о точных командах, которые мы использовали, но я достаточно уверен, что это было WSUSUtil.exe usecustomwebsite false который должен переместить WSUS из своего IIS «Администрирование WSUS» обратно на веб-сайт по умолчанию, который привязан к *: 80 и *: 443.

Очередной раз. Это не вариант:

Что ж, это нехорошо. Похоже, что сайт WSUS волшебным образом переместился обратно на свой автономный сайт, потому что ... УДОВОЛЬСТВИЕ! Если SCCM SUP ищет WSUS на 80/443 и его больше нет, неудивительно, что он не работает.

Если я посмотрю на ключ реестра (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Update Services\Server\Setup\PortNumbner) который WSUSUtil.exe Я вижу, что он все еще считает, что WSUS должен работать на 80.

Может мне просто нужно бежать WsusUtil.exe более одного раза за дополнительную плату ... УДОВОЛЬСТВИЕ?

C:\Program Files\Update Services\Tools>WsusUtil.exe usecustomwebsite false
Using port number: 80

Кроме ... ничего в IIS не меняется. Я либо не помню шаг, который мы сделали ранее, чтобы переместить сайт WSUS IIS, либо что-то сломалось.

У меня действительно две проблемы:

Веб-сайт WSUS «Администрирование WSUS» вернулся к своей установленной конфигурации в качестве автономного веб-сайта IIS, привязанного к *: 8530 и *: 8531, но базовые части системы считают, что он должен работать под «Веб-сайтом по умолчанию», привязанным к * : 80 и *: 443.
Пул приложений WsusPool продолжает давать сбой или останавливаться, не давая мне просто перенастроить точку SUP для использования WSUS на исходных портах *: 8530 и *: 8531.

На данный момент я не знаю, как продолжить устранение этой проблемы. Я действительно хочу избежать повторной установки роли WSUS и / или SUP, если это возможно, из-за предстоящего завтра выпуска обновлений Microsoft.

Есть какие-нибудь советы по дальнейшему устранению неполадок?

С некоторой помощью Jscott Я сравнил ключи реестра в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Update Services\Server\Setup к тем, что есть в его инфраструктуре, и обнаружил, что они несовместимы. Такие ценности, как IISTargetWebSiteIndex был установлен как идентификатор сайта IIS «Администрирование WSUS», но PortNumber было установлено значение 80, которое было привязано через *: 80 к Default Web Site.

Поскольку мы прошли по крайней мере три итерации перенастройки WSUS на этом сервере, казалось, что лучше всего просто переустановить роль, чтобы убедиться, что все работает согласованно, хотя и не работает.

В конце концов я обратился в службу поддержки Microsoft, где мне любезно сообщили, что использование частной памяти пула приложений WsusPool ограничено 18530 КБ. Вчера утром мы сняли ограничение, и с тех пор все идет нормально. Я не уверен, как это ограничение было установлено и является ли оно значением по умолчанию, но мне оно кажется довольно маленьким.