ERROR: DownloadContentFiles() failed with hr=0x80072efd

Hola a todos:

Una de las funcionalidades que mas se habilitan en System Center Configuration Manager es la distribución de actualizaciones. Esto es a través del rol de WSUS de Windows Server y SUP de SCCM.
Es un escenario común que en las empresas tengan bloqueado el acceso a los sitios de Microsoft Updates para no saturar el ancho de banda y de pasada tener a los equipos sin actualizaciones, salvo que tengan un WSUS dentro de la red y que eso administre las actualizaciones.
En este caso, en el log PatchDownloader.log, ubicado en C:Users<usuario>AppDataLocalTemp2, nos dará una luces de lo que está pasando.
Si al momento de descargar aparece un error como este:


ERROR: DownloadContentFiles() failed with hr=0x80072efd

Es porque se deben revisar las políticas que bloquean el acceso al servicio de Microsoft Update.
Teniendo resuelto la corrección de las políticas, se puede hacer de nuevo la descarga de actualizaciones.

Saludos!

Recomendaciones sobre WSUS y SCCM

Hola Mundo:

Este artículo no pretende ser una guía paso a paso para la instalación y configuración de Windows
Server Update Services para System Center Configuration Manager. Más bien es una serie de recomendaciones, basadas en la literatura y en la experiencia, para que ambos servicios trabajen de la mejor manera posible.
Base de datos
Por defecto, el asistente de instalación del rol estará configurado para usar un Windows Internal Database. Este motor de datos, es un SQL Server muy pequeño que funciona sobre Windows Server. 
Utilizarlo no es la mejor práctica en este escenario. Lo mejor es usar un servidor SQL Server aparte. Usar el mismo SQL Server que SCCM es una buena idea (siempre y cuando se cumplan las mejores prácticas). Esto facilita la administración y el mantenimiento de SUSDB.
Asistente de configuración de rol
Una vez que el rol termina de instalar, es necesario ejecutar un asistente de configuración del rol. En este asistente se indica la ruta donde se descargarán las actualizaciones. Es importante ejecutarlo para que SCCM reconozca que el rol está completamente operativo.
Esta consola ya no debe usarse para la distribución de actualizaciones. Solo debe usarse para vigilar la sincronización y ejecutar tareas de limpieza.
Sincronización
Dependiendo de la arquitectura de la solución de SCCM y WSUS, la configuración de este punto va a   permitir que el servidor pueda sincronizar con el catálogo de actualizaciones en línea. 
En el caso que sea el mismo servidor que sale a internet, no debe existir ninguna URI configurada. En el caso que sea otro servidor el que hace la sincronización del catálogo, como el caso de CAS, la URI debiera estar configurada y apuntando al puerto que corresponda. Si es un Windows Server 2012 sin SSL, el puerto es 8530. Si tiene SSL el puerto será 8531. Si es un servidor de una versión inferior, el puerto será el 80.
Esta configuración debe ser configurada en las opciones de configuración del rol Software Update Point en SCCM. 

IIS App Pool

WSUS es un rol que basa gran parte de su funcionamiento en servicios web. Éstos servicios web corren sobre Internet Information Services (IIS). 
Al ser una aplicación, utiliza un App Pool con sus propias configuraciones, pero manejables desde la consola de IIS. De vez en cuando, requieren de ajustes para el uso de CPU y memoria. Tiene a consumir bastante cuando tiene una carga considerable de trabajo de distribución de actualizaciones. Recomiendo esta lectura: http://blog.maximilianomarin.com/2017/01/wsus-no-sincroniza-con-sccm-error-503.html
GPO
No es necesario usar una GPO para indicarle a los equipos del dominio dónde deben ir a buscar las actualizaciones. De eso se encargan los Client Settings de SCCM. En el caso que  exista una política, SCCM nunca podrá instalar actualizaciones en las máquinas, porque el dominio tiene mayor «poder» sobre las estaciones de trabajo. Recomiendo esta lectura http://blog.maximilianomarin.com/2016/09/error-al-distribuir-updates-con-sccm.html
Matenimiento

Es más que necesario ejecutar un plan de limpieza mensual en WSUS para que el servicio opere de forma correcta. Esto implica hacer una limpieza del catálogo, actualizaciones y mantenimiento sobre la base de datos.  Recomiendo esta lectura https://blogs.technet.microsoft.com/configurationmgr/2016/01/26/the-complete-guide-to-microsoft-wsus-and-configuration-manager-sup-maintenance/

Eso es todo por hoy. Tomen en cuenta las recomendaciones. Espero que les sirvan.

Chau.

WSUS no sincroniza con SCCM. Error 503

Primer artículo del año. 


Este año se abre con una problemática muy habitual de WSUS y SCCM y guarda relación cuando el
rol de Software Update Point de SCCM no logra conectarse con el servicio de WSUS para gatillar la la actualización del catálogo de actualizaciones para los productos Microsoft seleccionados.
El servicio de WSUS provee una capa de servicios web que otros componentes, como SCCM, consumen para la interoperación.
El signo observado es el error de SCCM al sincronizar con el servicio. Al revisar el log SMS_WSUS_SYNC_MANAGER vamos a encontrar el siguiente mensaje:
Message ID: 6703 WSUS Synchronization failed. Message: The request failed with HTTP status 503: Service Unavailable. Source: Microsoft.UpdateServices.Administration.AdminProxy.CreateUpdateServer.
Básicamente, lo que se indica es que al intentar acceder al servicio web, éste le responde con un error 503. 
Si hacen el ejercicio de entrar por el navegador a la URL del servicio, el resultado será el mismo.

Al abrir la consola de IIS y revisar los App Pool encontrarán que WsusPool se encontrará detenido:

Ahí está el problema. El App Pool se encuentra detenido. Tienes dos opciones: Inciarlo de forma manual y esperar a que nuevamente se caiga, o bien, solucionar el problema.
Me inclino por la segunda opción. El problema está en que el App Pool cuenta con memoria asignada insuficiente para atender las peticiones de los clientes. Cuando hay muchos clientes haciendo uso del servicio, se va a utilizar toda la memoria y el servicio se detendrá.
Para corregir el problema entrar a las opciones avanzadas y buscar el elemento Private Memory Limit (KB) y asignarle un valor mayor. Quizá unos 4 ó 5 GB estará bien.
Advertencia: Al aumentar la memoria asignada, el uso de recursos del servidor aumentará y provocará una carga mayor sobre el mismo. Al acceder muchos clientes al mismo servidor para la descarga de actualizaciones, es altamente probable que la red sufra un alto impacto. Si esto ocurre, sugiero revisar la arquitectura de distribución de paquetes.

Una vez realizado el cambio, iniciar el App Pool y el servicio funcionará normalmente.

Saludos!

Error al distribuir updates con SCCM

Hola Mundo:

System Center Configuration Manager es una plataforma muy cómoda y competente para la

administración de un servicio de distribución de actualizaciones para productos Microsoft. Estamos hablando de Windows Server Update Services (WSUS).

Al momento de distribuir actualizaciones, en el log WUAHandler.log (de la máquina cliente) se puede observar lo siguiente:

El mensaje es:
Group Policy settings were overwritten by a higher authority (Domain controller) to: <URL WSUS> Policy

Básicamente, SCCM reconoce que las políticas del dominio tienen más autoridad que las que él puede manejar.

Solución:  Desactivar política de dominio donde se le indica a las estaciones de trabajo dónde tienen que ir a buscar actualizaciones.

De esta forma, le entregamos el control a SCCM para que se encargue de aplicar las reglas de actualización de productos  Microsoft.

Eso.
Chau.

Desinstalar actualización de Microsoft con SCCM 2012 R2

Hola Mundo:

SCCM tiene numerosos roles que se instalan según la funcionalidad que se necesite de la implementación.
Uno de ellos es el rol de Software Update Point que se encarga de la distribución de actualizaciones de Windows. Funciona sobre el rol de Windows Server Update Services (WSUS).
A través del asistente se pueden implementar actualizaciones hacia una colección de dispositivos.

Entonces ¿cómo quitar un update? 
La gram mayoría de las actualizaciones de Microsoft se instalan con la herramienta wusa.exe ubicada en C:WindowsSystem32  o C:WindowsSysWoW64
Esta herramienta tiene parámetros que se encargan de la desinstalación pasiva y silenciosa de actualizaciones. Los parámetros son /uninstall /quiet /norestart
Por ejemplo:
Si se necesita desinstalar un update que su código corresponde al KB1234567 se debe ejecutar la línea:
wusa.exe /uninstall /kb:1234567 /quiet /norestart

Conociendo esto se puede pensar en distribuir un script a través de un paquete o la línea de comandos a través de un paquete para hacer la desinstalación.
Sorpresa causará cuando vean que el update no se desinstalará y arrojará error.

El procedimiento adecuado es usar un Task Sequence.
Habitualmente los Task Sequence se utilizan para desplegar imágenes de sistemas operativos, pero ahora se usará para ejecutar una línea de comandos.

Creación de un Task Sequence personalizado. Ya conté más arriba que no se usará para desplegar una imagen de Sistema Operativo.

Información descriptiva del Task Sequence. No es necesario una imagen de booteo, porque no se desplegará una imagen de sistema operativo.

Resumen de la creación del Task Sequence.

Creación Exitosa.

Una vez creado el Task Sequence, no tiene ningún paso. En este paso es cuando se agrega una tarea de ejecución de línea de comandos.

Configuración de la tarea. En la caja de línea de comandos, se especifica qué update se quiere quitar usando la herramienta wusa.exe. Guardar y aplicar los cambios.
Una vez creado el Task Sequence hay que implementar en la colección que se necesite.