Гид по технологиям

SCCM: исправление ошибки установки приложения 0x87D00607

8 min read SCCM Обновлено 03 Dec 2025
Исправление ошибки SCCM 0x87D00607
Исправление ошибки SCCM 0x87D00607

К чему стремится этот материал

  • Быстро понять причины ошибки 0x87D00607 и получить исчерпывающий набор проверенных шагов по устранению.
  • Дать административные чеклисты и методологию для повторяемого устранения инцидентов.

Причины ошибки установки приложения 0x87D00607

Кратко: код 0x87D00607 указывает на неуспешную установку/распространение контента на клиенте. Частые причины:

  • Проблемы с распространением пакета (Distribution Point): отсутствует или неполный контент на DP, проблемы репликации.
  • Несовместимая архитектура пакета и клиента (x86 vs x64).
  • Неправильные параметры командной строки установщика или запуска скрипта.
  • Недостаточные права у учётной записи, выполняющей установку.
  • Повреждённый или заблокированный исходный установочный файл.
  • Ошибки сетевой связи, firewall или закрытые порты.

Важно: код ошибки — симптом; нужно читать логи SCCM на клиенте и сервере, чтобы понять точный этап отказа.

Предварительные проверки (быстрый чеклист)

Перед углублённой диагностикой выполните простые действия, которые часто решают проблему:

  • Перезагрузите целевой рабочий пост и/или первичный SCCM-сервер.
  • Проверьте дату и время на клиенте и сервере (синхронизация времени критична для аутентификации).
  • Убедитесь, что все важные обновления для сервера SCCM установлены.
  • Проверьте зависимости приложения: если есть, включите их в исходные файлы пакета.
  • Убедитесь, что на клиенте достаточно свободного места для загрузки и распаковки пакета.
  • Просмотрите логи клиента (см. раздел «Логи и файлы для проверки»).

Если простые проверки не помогли — переходите к подробным шагам ниже.

Логи и файлы для проверки

Сначала посмотрите логи на клиенте и на сервере — они подскажут, на каком этапе происходит сбой.

  • На клиенте: AppEnforce.log, execmgr.log, CAS.log, ContentTransferManager.log, DataTransferService.log
  • На сервере/DP: distmgr.log, smsdpprov.log, SMSProv.log

Откройте соответствующие логи и найдите записи с кодом 0x87D00607 или с текстом “failed”/“error” рядом по времени. Это ускорит локализацию проблемы.

Шаги устранения (подробно)

1. Смените браузер по умолчанию на клиенте

Иногда политики безопасности и ассоциации протоколов влияют на обработку ссылок/учётных данных при установках:

  1. Нажмите Windows + I для открытия «Параметры».
  2. Перейдите в раздел «Приложения», затем «Приложения по умолчанию». Список приложений и настройка браузера
  3. Выберите браузер, который хотите установить по умолчанию, и нажмите «Назначить по умолчанию». Установка браузера по умолчанию
  4. Перезагрузите компьютер.

Примечание: эта мера решает не все случаи, но помогает, если установка использует системные вызовы/протоколы, строго завязанные на браузер.

2. Отключите опцию «Enable this distribution point for prestaged content»

Если точка распространения настроена на prestaged content, а содержимое не соответствует, клиенты могут не получить пакет:

  1. Откройте консоль SCCM и в списке точек распространения откройте свойства Distribution Point.
  2. На вкладке «General» снимите галочку с «Enable this distribution point for prestaged content». Настройка точки распространения
  3. Подождите несколько минут, затем повторите попытку установки.

3. Настройте Boundary Group для назначения сайта

Неправильная привязка к Boundary Group мешает клиентам правильно выбирать DP:

  1. В консоли SCCM перейдите в Administration\Overview\Hierarchy Configuration\Boundary Groups (путь в виде меню).
  2. На вкладке Reference отметьте «Use this boundary group for site assignment» для нужной группы. Настройка boundary group
  3. Нажмите OK и подождите 5–10 минут для распространения изменений.

Примечание: в JSON-строке этот путь будет экранирован; в интерфейсе — следуйте навигации в консоли.

4. Выберите HTTP для клиентских подключений (при проверке)

Иногда смешанные HTTPS/HTTP-настройки вызывают проблемы с доступом к MP/DP:

  1. В SCCM раскройте Site Configuration -> Servers and Site System Roles.
  2. Выберите Management Point и на вкладке General установите Client connections в значение HTTP. Выбор протокола для подключений клиентов
  3. Примените изменения и проверьте установку.

Важно: если ваша среда требует HTTPS (безопасность), используйте этот шаг только для временной диагностики или после согласования с командой безопасности.

5. Откройте требуемые порты на клиенте

Убедитесь, что необходимые порты TCP не блокируются локальным файерволом:

  1. Нажмите Windows + R, введите firewall.cpl и нажмите OK. Открытие панели управления Firewall
  2. Выберите Advanced settings. Дополнительные параметры брандмауэра
  3. В ветке Outbound Rules выберите New Rule… Создание нового правила
  4. Выберите Port, затем TCP и введите конкретный порт (например 3268) в поле Specific remote ports. Указание порта TCP Выбор TCP
  5. Разрешите соединение, примените для Domain, Private и Public, задайте имя правилу и завершите. Завершение мастера правил Финал правила

Порты отличаются в зависимости от ролей и настроек — уточните в документации SCCM какие порты нужны для MP/DP/SQL/Client.

6. Разблокируйте файлы приложения

Windows может пометить скачанные файлы как заблокированные:

  1. Откройте папку с исходниками, щёлкните правой кнопкой на файле или папке и выберите «Свойства».
  2. На вкладке Общие внизу снимите галочку «Разблокировать» (Unblock) и примените изменения. Свойства файла и разблокировка
  3. Переразверните пакет на DP, если нужно.

7. Включите fallback источник для контента

Позволяет клиентам использовать альтернативные источники, если основной DP недоступен:

  1. В консоли SCCM правой кнопкой по пакету -> Properties -> Content.
  2. Отметьте «Allow clients to use a fallback source location for content». Включение fallback источника
  3. В Deployment Options выберите «Download content from distribution point and run locally» и примените.

Это особенно полезно при больших пакетах или при ограниченном соединении с DP.

8. Измените опции установки в пакете SCCM

Убедитесь, что клиент может брать контент с DP по умолчанию:

  1. Правый клик по пакету -> Properties.
  2. Отметьте «Allow clients to use distribution points from the default site boundary group». Разрешение использования DP по умолчанию
  3. Выберите «Download content from distribution point and run locally» в опциях Deployment.
  4. Apply и повторите попытку установки.

9. Проверьте наличие SMS_DP в IIS на сервере DP

SMS_DP — ISAPI-модуль для обслуживания клиентских запросов контента через HTTP:

  1. Откройте Internet Information Services (IIS) Manager.

  2. В дереве Connections выберите сервер.

  3. Перейдите в ISAPI & CGI Restrictions и откройте функцию. Проверка ISAPI в IIS

  4. Если записи SMS_DP нет, нажмите Add и укажите путь к SMS ISAPI:

    Path: C:\Windows\system32\inetsrv\smsfileisapi.dll (точный путь к DLL). Путь к SMS_DP DLL

  5. В поле Description укажите SMS_DP и OK.

После добавления перезапустите сайт IIS или службу World Wide Web Publishing Service.

Дополнительно: проверка прав и учетных данных

  • Убедитесь, что учётная запись, использующаяся для доступа к файлам на сетевом шаре (Source), имеет права чтения/исполнения для всех файлов.
  • Проверьте настройки запрета выполнения PowerShell/скриптов (Execution Policy) на клиенте, если установщик использует скрипты.

Мини‑методология (SOP) для устранения 0x87D00607

  1. Соберите контекст: какие компьютеры, время, кто инициировал установку.
  2. Просмотрите логи клиента (execmgr.log, CAS.log), отметьте временные метки ошибок.
  3. Проверка сети и доступности DP (ping, tracert, telnet по портам).
  4. Убедитесь в целостности пакета на DP (проведите Redistribute Content при необходимости).
  5. Примените один из исправляющих шагов и повторите установку.
  6. Если проблема повторяется — откатите изменения и выполните следующий шаг.
  7. Завершите инцидент записью в систему управления изменениями с описанной корректировкой.

Ролевые чеклисты

  • Для администратора SCCM:

    • Проверить статус контента на DP и репликацию.
    • Проверить настройки boundary group и MP/DP ролей.
    • Пересоздать или заново распределить пакет при подозрении на повреждение.

  • Для сетевого администратора:

    • Проверить маршрутизацию до DP/MP.
    • Открыть порты, указанные в политике SCCM.
    • Проверить наличие ограничений на прокси/ACL.

  • Для техподдержки на местах:

    • Выполнить перезагрузку клиента и проверку времени.
    • Разблокировать файлы, проверить свободное место на диске.
    • Собрать логи клиента и приложить к тикету.

Диаграмма принятия решения

flowchart TD
  A[Начало: ошибка 0x87D00607] --> B{Повторяется на многих клиентах?}
  B -- Да --> C[Проверить DP/репликацию и Boundary Group]
  B -- Нет --> D[Проверить клиентские логи и свободное место]
  C --> E{Контент на DP целый?}
  E -- Нет --> F[Перераспределить пакет на DP]
  E -- Да --> G[Проверить порты и SMS_DP в IIS]
  D --> G
  G --> H{Проблема решена?}
  F --> H
  H -- Да --> I[Закрыть инцидент]
  H -- Нет --> J[Включить fallback и временно переключить на HTTP]
  J --> K[Если не помогает — эскалация в инженерную группу]

Критерии приёмки

  • Пакет успешно устанавливается на проблемном клиенте без повторного появления кода 0x87D00607.
  • Логи клиента не содержат ошибок распространения/скачивания контента в течение 24 часов после исправления.
  • Изменения задокументированы и согласованы с командой безопасности (если менялся протокол HTTPS → HTTP).

Что делать, если ничего не помогает

  • Воспроизведите проблему на тестовой виртуальной машине, чтобы изолировать переменные.
  • Проверьте зависимые службы (SMS_EXECUTIVE, IIS, BITS) и перезапустите при необходимости.
  • Выполните полную переустановку клиентского агента SCCM (Client push или вручную) и проверьте повторно.
  • Если проблема связана с конкретным пакетом — пересоздайте пакет/программу с новыми исходниками и заново распределите.
  • Эскалируйте в поддержку Microsoft с приложенными логами и описанием предпринятых шагов.

Факт‑бокс: ключевые моменты

  • Код 0x87D00607 — общая ошибка установки, обычно связана с проблемами распространения контента.
  • Всегда начинайте с логов клиента — они указывают точную причину ошибки.
  • Безопасность: не оставляйте HTTP в продакшне без веской причины.

Короткий глоссарий (1‑строчка)

  • DP — Distribution Point (точка распространения контента).
  • MP — Management Point (управляющая точка).
  • SMS_DP — ISAPI-модуль SCCM для обслуживания запросов контента.

Часто задаваемые вопросы

Q: Можно ли автоматически перераспределять пакеты при ошибках 0x87D00607?

A: Автоматизация возможна (скрипты/автоматические задачи), но сначала рекомендуется выяснить причину — автоматический перерассылковщик может скрыть источник проблемы.

Q: Безопасно ли временно переводить клиентов на HTTP?

A: Для диагностики это допустимо, но в продуктивной среде HTTP применяют лишь в контролируемых сценариях и с учётом политики безопасности.

Q: Какие порты нужно открыть для SCCM?

A: Набор портов зависит от ролей и конфигурации (MP, DP, SQL, client). Частые порты — 80/443/445/3268 и т. д.; уточните по официальной документации SCCM.

Попробуйте предложенные шаги последовательно и оставьте в комментариях, какой шаг помог — это поможет другим администраторам быстрее решать похожие случаи.

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

RDP: полный гид по настройке и безопасности
Инфраструктура

RDP: полный гид по настройке и безопасности

Android как клавиатура и трекпад для Windows
Гайды

Android как клавиатура и трекпад для Windows

Советы и приёмы для работы с PDF
Документы

Советы и приёмы для работы с PDF

Calibration в Lightroom Classic: как и когда использовать
Фото

Calibration в Lightroom Classic: как и когда использовать

Отключить Siri Suggestions на iPhone
iOS

Отключить Siri Suggestions на iPhone

Рисование таблиц в Microsoft Word — руководство
Office

Рисование таблиц в Microsoft Word — руководство