Jump to content

WSUS Update Fehler 80244019 nach Umstellen auf SSL Port 8531


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich steh gerade ein wenig auf dem Schlauch. Wir haben einen neuen WSUS auf 2012 R2 installiert. Soweit IMHO richtig konfiguriert. Funktioniert auch ohne SSL Problemlos. Nach Umstellen auf SSL geht aber nichts mehr.

 

Dann zu Sicherheit jetzt schon 3mal penible genau die SSL Anleitung http://www.wsus.de/ssl_kommunikation befolgt inkl. Groß-/Kleinschreibung beim Zertifikat und in den GPOs. Natürlich außer die Certstelle installieren, da nutzen wir unsere vorhandene.

 

Per IE lassen sich auch Seiten per https aufrufen

 

So jetzt meckert aber der Client (egal ob W7, W10, 2008 R2 oder W2012R2) Fehler 80244019 und im Windows Update Log finde ich diesen Teil hier:

+++++++++++  PT: Synchronizing server updates  +++++++++++
  + ServiceId = {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}, Server URL = https://KAWUPDATE:8531/ClientWebService/client.asmx
WARNING: Nws Failure: errorCode=0x803d000d
WARNING: Fehler bei der Kommunikation mit dem Endpunkt bei "https://KAWUPDATE:8531/ClientWebService/client.asmx".
WARNING: Vom Server wurde der HTTP-Statuscode "404 (0x194)" mit dem Text "Not Found" zurückgegeben.
WARNING: Die angeforderte Ressource wurde nicht gefunden.
WARNING: Web service call failed with hr = 80244019.
WARNING: Current service auth scheme='None'.
WARNING: Proxy List used: '(null)', Bypass List used: '(null)', Last Proxy used: '(null)', Last auth Schemes used: 'None'.
FATAL: OnCallFailure(hrCall, m_error) failed with hr=0x80244019
WARNING: PTError: 0x80244019
WARNING: GetConfig_WithRecovery failed: 0x80244019
WARNING: RefreshConfig failed: 0x80244019
WARNING: RefreshPTState failed: 0x80244019
WARNING: Sync of Updates: 0x80244019
WARNING: SyncServerUpdatesInternal failed: 0x80244019

Er meckert 404 bei diese Link: https://KAWUPDATE:8531/ClientWebService/client.asmx

 

Rufe ich den aber von Hand auf geht er Problemlos. Da kommt z.B. das hier:

Client Dienst


Sie haben einen Dienst erstellt.

Zum Testen dieses Diensts müssen Sie einen Client erstellen und ihn zum Aufrufen des Diensts verwenden. Sie können dies mithilfe des Tools "svcutil.exe tool" auf der Befehlszeile ausführen, indem Sie folgende Syntax verwenden:

svcutil.exe https://kawupdate.zfp.local:8531/ClientWebService/Client.asmx?wsdl

Sie können auf die Dienstbeschreibung auch als einzelne Datei zugreifen:

https://kawupdate.zfp.local:8531/ClientWebService/Client.asmx?singleWsdl



Durch diesen Vorgang werden eine Konfigurationsdatei und eine Codedatei generiert, die die Clientklasse enthält. Fügen Sie dem Client die beiden Dateien hinzu, und verwenden Sie die generierte Clientklasse zum Aufrufen des Diensts. Beispiel:


C#
class Test
{
    static void Main()
    {
        ClientWebServiceClient client = new ClientWebServiceClient();

        // Verwenden Sie die client-Variable, um Vorgänge für den Dienst aufzurufen.

        // Schließen Sie den Client immer.
        client.Close();
    }
}



Visual Basic
Class Test
    Shared Sub Main()
        Dim client As ClientWebServiceClient = New ClientWebServiceClient()
        ' Verwenden Sie die client-Variable, um Vorgänge für den Dienst aufzurufen.

        ' Schließen Sie den Client immer.
        client.Close()
    End Sub
End Class

Jemand ne Idee wo ich noch was drehen muss?

 

Firewall am Server ist gerade Testweise auf ALL ALL, hat aber auch nichts gebracht


Ich geh mal noch die Schritte von dem letzten KB Problem durch, vielleicht hilft das: https://support.microsoft.com/de-de/kb/3159706

bearbeitet von fireblade2000
Link zu diesem Kommentar

Zum Problem: Hast Du das Zertifikat für kawupdate oder kawupdate.zfp.local ausgestellt? 

Probiere in der GPO mal https://kawupdate.zfp.local:8531

Zu beachten ist: 8530 muss "offen" bleiben, da  die Updates weiter von dort heruntergeladen werden.

 

PS: Wenn ich bei uns ClientWebService/Client.asmx direkt aufrufe, sehe ich nur einen Runtime Error. K.A. warum.

Ansonsten funktioniert er aber über SSL.

 

@Sunny61,

 

mit ist bei der Anleitung gerade was aufgefallen:

 

http://www.wsus.de/images/content/WSUS_SSL_CA/13_WSUS_SSL.png

 

SHA1 sollte man nicht mehr verwenden...

bearbeitet von zahni
Link zu diesem Kommentar

Ich hab beide Varianten probiert: mit FQDN und ohne, natürlich dann entsprechend jeweils das Zerti angepasst. Hab es jeweils über den IIS vom WSUS über die Domänenanforderung erstellen lassen. Könnte natürlich auch mal eins händisch mit beiden Varianten über unsern Zertifizierungsstelle erstellen lassen. Interessant ist ja das die client.asmx dann auf einmal mit FQDN auflösen möchte...

 

8530 ist weiterhin als Bindung drin und in der Firewall offen

 

das mit SHA1 sollte bei mir aber nicht das Problem sein, oder? Ist natürlich noch SHA1.

 

@Sunny61

Nein hab ich noch nicht gepostet, werde ich dann mal tun wenn ich hier nicht weiterkomme.

Link zu diesem Kommentar

8530 ist weiterhin als Bindung drin und in der Firewall offen

8531 ist auch auf beiden Seiten erreichbar? Client ausgehend und Server eingehend?

 

das mit SHA1 sollte bei mir aber nicht das Problem sein, oder? Ist natürlich noch SHA1.

Kannst Du die CA aktualisieren und dann ein neues Cert ausstellen?

 

@Sunny61

Nein hab ich noch nicht gepostet, werde ich dann mal tun wenn ich hier nicht weiterkomme.

Nein, so meinte ich das nicht. Ich wollte damit nur fragen ob Du das im Technet gewesen bist. ;)

 

 

@Sunny61,

 

mit ist bei der Anleitung gerade was aufgefallen:

 

http://www.wsus.de/images/content/WSUS_SSL_CA/13_WSUS_SSL.png

 

SHA1 sollte man nicht mehr verwenden...

Danke, das könnte man bei Gelegenheit aktualisieren. ;)

Link zu diesem Kommentar

8531 ist auch auf beiden Seiten erreichbar? Client ausgehend und Server eingehend?

Ja Server eingehend ist erreichbar und Firewallregel definiert. Client ausgehend ist offen und WSUS auch per WEB erreichbar

 

Kannst Du die CA aktualisieren und dann ein neues Cert ausstellen?

Auf die schnelle wahrscheinlich nicht, bzw. muss mich da erst noch informieren ob das dann irgendeine Auswirkung auf unsere CA-Server hat.

Also bei uns ist SHA1 und auch nur 2048 Länge. Könnte das ein Problem sein?

 

Nein, so meinte ich das nicht. Ich wollte damit nur fragen ob Du das im Technet gewesen bist. ;)

Achso, ne. Den Artikel hab ich auch schon durchgelesen

So, ich hab jetzt die Änderungen im KB Artikel https://support.microsoft.com/en-us/kb/3159706, abgearbeitet. Und fast nen Fehler eingebaut, man sollte nicht die deutsche Übersetzung nehmen :-)

 

Da hier die Config aus eben dem Bereich "ClientWebService" angepasst wird, bin ich mal zuversichtlich das es nu einfach funktioniert *schönwärs*

 

Ein Server hat jetzt UPDATES gefunden, die anderen Suchen noch. Sieht gut aus, aber noch glaub ich nicht dran...

EDIT: Mmmh es scheint zu funktionieren. 4 gehen zumindest schon. Jetzt hab ich nur noch ein neues Problem, dass ich Clients habe die keinen Statusbericht erstellen/senden und deswegen den Fehler 80244010 bringen. Naja das krieg ich auch noch hin. Aber die anderen Clients und Server scheinen Updates zu bekommen.

 

Statusbericht gibt sich vlt. auch noch... einfach mal warten und Kaffee trinken

bearbeitet von fireblade2000
Link zu diesem Kommentar

So, ich hab jetzt die Änderungen im KB Artikel https://support.microsoft.com/en-us/kb/3159706, abgearbeitet. Und fast nen Fehler eingebaut, man sollte nicht die deutsche Übersetzung nehmen :-)

 

Da hier die Config aus eben dem Bereich "ClientWebService" angepasst wird, bin ich mal zuversichtlich das es nu einfach funktioniert *schönwärs*

 

Ein Server hat jetzt UPDATES gefunden, die anderen Suchen noch. Sieht gut aus, aber noch glaub ich nicht dran...

 

EDIT: Mmmh es scheint zu funktionieren. 4 gehen zumindest schon. Jetzt hab ich nur noch ein neues Problem, dass ich Clients habe die keinen Statusbericht erstellen/senden und deswegen den Fehler 80244010 bringen. Naja das krieg ich auch noch hin. Aber die anderen Clients und Server scheinen Updates zu bekommen.

Na super, freut mich für Dich und Danke für die Rückmeldung. ;)

 

Kannst Du den Fehler der Übersetzung kurz aufzeigen? Dann könnte man versuchen das korrigieren zu lassen.

 

Den 80244010 Fehler kriegst Du mit dem Hammer vermutlich weg:

 

net stop wuauserv

rd /s /q %windir%\SoftwareDistribution

net start wuauserv

 

wuauclt /detectnow

wuauclt /reportnow

10 Minuten warten, jetzt suchen lassen.

Link zu diesem Kommentar

Ja kann ich. Es wurde die Config der web.config Datei teilweise mitübersetzt:

 

Bsp: "endpoint Adress" wurde zu "Endpunktadresse", dann wurde an mehreren Stellen das Ende falsch abgeschlossen anstatt "/ >" dann "/ >"

 

Original


<services>
            <service
                name="Microsoft.UpdateServices.Internal.Client"
                behaviorConfiguration="ClientWebServiceBehaviour">
                <!-- 
                  These 4 endpoint bindings are required for supporting both http and https
                -->
                <endpoint address=""
                        binding="basicHttpBinding"
                        bindingConfiguration="SSL"
                        contract="Microsoft.UpdateServices.Internal.IClientWebService" />
                <endpoint address="secured"
                        binding="basicHttpBinding"
                        bindingConfiguration="SSL"
                        contract="Microsoft.UpdateServices.Internal.IClientWebService" />
                <endpoint address=""
                        binding="basicHttpBinding"
                        bindingConfiguration="ClientWebServiceBinding"
                        contract="Microsoft.UpdateServices.Internal.IClientWebService" />
                <endpoint address="secured"
                        binding="basicHttpBinding" 
                        bindingConfiguration="ClientWebServiceBinding"
                        contract="Microsoft.UpdateServices.Internal.IClientWebService" />
            </service>
        </services>

4.Add the following attribute (shown in bold) to the bottom of the Web.Config file:
</bindings>
<serviceHostingEnvironment aspNetCompatibilityEnabled="true" multipleSiteBindingsEnabled="true" />
</system.serviceModel> 

Übersetzung

Name="Microsoft.UpdateServices.Internal.Client"
 BehaviorConfiguration = "ClientWebServiceBehaviour" >
<!-- 
These 4 endpoint bindings are required for supporting both http and https
 -->
<endpoint address=""></endpoint>
Binding = "BasicHttpBinding"
BindingConfiguration = "SSL"
Contract="Microsoft.UpdateServices.Internal.IClientWebService" / >
<endpoint address="secured"></endpoint>
Binding = "BasicHttpBinding"
BindingConfiguration = "SSL"
Contract="Microsoft.UpdateServices.Internal.IClientWebService" / >
 < Endpunktadresse = ""
 Binding = "BasicHttpBinding"
 BindingConfiguration = "ClientWebServiceBinding"
 Contract="Microsoft.UpdateServices.Internal.IClientWebService" / >
 < Endpunktadresse = "gesichert"
 Binding = "BasicHttpBinding" 
 BindingConfiguration = "ClientWebServiceBinding"
 Contract="Microsoft.UpdateServices.Internal.IClientWebService" / >

 < / service >

4. < / services >

<serviceHostingEnvironment aspnetcompatibilityenabled="true"></serviceHostingEnvironment>MultipleSiteBindingsEnabled = "true" / >

Hammermethode werde ich testen, danke :thumb1:


Hammermethode hat leider bei keinem der "nichtgehenden" etwas gebracht. Falls jemand noch ne Idee hat, hier das Log. Ich wird jetzt mal Bingen

2016-06-02	17:13:29:967	 460	1d0	PT	+++++++++++  PT: Synchronizing server updates  +++++++++++
2016-06-02	17:13:29:968	 460	1d0	PT	  + ServiceId = {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}, Server URL = https://KAWUPDATE:8531/ClientWebService/client.asmx
2016-06-02	17:13:29:982	 460	1d0	PT	WARNING: Cached cookie has expired or new PID is available
2016-06-02	17:13:29:982	 460	1d0	PT	Initializing simple targeting cookie, clientId = 8fe7b76b-1f77-4592-a8e7-2b0f802a3aa9, target group = Clients, Standard, DNS name = pc-0603.zfp.local
2016-06-02	17:13:29:982	 460	1d0	PT	  Server URL = https://KAWUPDATE:8531/SimpleAuthWebService/SimpleAuth.asmx
2016-06-02	17:14:33:620	 460	1d0	Misc	WARNING: Send failed with hr = 80072ee2.
2016-06-02	17:14:33:621	 460	1d0	Misc	WARNING: SendRequest failed with hr = 80072ee2. Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <>
2016-06-02	17:14:33:621	 460	1d0	Misc	FATAL: SOAP/WinHttp - SendRequest: SendRequestUsingProxy failed. error 0x80072ee2
2016-06-02	17:14:33:621	 460	1d0	PT	  + Last proxy send request failed with hr = 0x80072EE2, HTTP status code = 0
2016-06-02	17:14:33:621	 460	1d0	PT	  + Caller provided credentials = No
2016-06-02	17:14:33:621	 460	1d0	PT	  + Impersonate flags = 0
2016-06-02	17:14:33:621	 460	1d0	PT	  + Possible authorization schemes used = 
2016-06-02	17:14:33:621	 460	1d0	PT	WARNING: SyncUpdates failure, error = 0x80072EE2, soap client error = 5, soap error code = 0, HTTP status code = 200
2016-06-02	17:14:33:621	 460	1d0	PT	WARNING: PTError: 0x80072ee2
2016-06-02	17:14:33:621	 460	1d0	PT	WARNING: SyncUpdates_WithRecovery failed.: 0x80072ee2
2016-06-02	17:14:33:621	 460	1d0	PT	WARNING: Sync of Updates: 0x80072ee2
2016-06-02	17:14:33:621	 460	1d0	PT	WARNING: SyncServerUpdatesInternal failed: 0x80072ee2
2016-06-02	17:14:33:621	 460	1d0	Agent	  * WARNING: Failed to synchronize, error = 0x80072EE2
2016-06-02	17:14:33:622	 460	1d0	Agent	  * WARNING: Exit code = 0x80072EE2
2016-06-02	17:14:33:622	 460	1d0	Agent	*********
2016-06-02	17:14:33:622	 460	1d0	Agent	**  END  **  Agent: Finding updates [CallerId = AutomaticUpdates]
2016-06-02	17:14:33:622	 460	1d0	Agent	*************

drück ich am gleichen Client noch mal auf Suchen kommt auch der hier:

2016-06-02	17:16:00:923	 460	1d0	PT	+++++++++++  PT: Synchronizing server updates  +++++++++++
2016-06-02	17:16:00:923	 460	1d0	PT	  + ServiceId = {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}, Server URL = https://KAWUPDATE:8531/ClientWebService/client.asmx
2016-06-02	17:18:45:770	 460	1d0	PT	WARNING: Exceeded max server round trips: 0x80244010
2016-06-02	17:18:45:770	 460	1d0	PT	WARNING: Sync of Updates: 0x80244010
2016-06-02	17:18:45:770	 460	1d0	PT	WARNING: SyncServerUpdatesInternal failed: 0x80244010
2016-06-02	17:18:45:770	 460	1d0	Agent	  * WARNING: Failed to synchronize, error = 0x80244010
2016-06-02	17:18:45:770	 460	1d0	Agent	  * WARNING: Exit code = 0x80244010
2016-06-02	17:18:45:770	 460	1d0	Agent	*********
2016-06-02	17:18:45:770	 460	1d0	Agent	**  END  **  Agent: Finding updates [CallerId = AutomaticUpdates]
2016-06-02	17:18:45:770	 460	1d0	Agent	*************
2016-06-02	17:18:45:770	 460	1d0	Agent	WARNING: WU client failed Searching for update with error 0x80244010
2016-06-02	17:18:45:774	 460	10d0	AU	>>##  RESUMED  ## AU: Search for updates [CallId = {0E031818-6C18-48FF-9359-AFB631D67DB6}]
2016-06-02	17:18:45:774	 460	10d0	AU	  # WARNING: Search callback failed, result = 0x80244010
2016-06-02	17:18:45:774	 460	10d0	AU	  # WARNING: Failed to find updates with error code 80244010
2016-06-02	17:18:45:774	 460	10d0	AU	#########
2016-06-02	17:18:45:774	 460	10d0	AU	##  END  ##  AU: Search for updates [CallId = {0E031818-6C18-48FF-9359-AFB631D67DB6}]
2016-06-02	17:18:45:774	 460	10d0	AU	#############
Link zu diesem Kommentar

Heute komme ich und es geht erstmal gar nix. Also lässt sich nicht mal die WSUS MMC öffnen und kein Rechner kann Updates suchen.

Komisch genau wegen diesem Problem haben wir den WSUS komplett neu aufgesetzt auf einer neuen VM... ist das irgendwie derzeit ein Windows Update Problem was den WSUS zerschießt.

 

Vermutlich mach ich nen Neustart des WSUS Servers und dann geht's wieder.


Mmm: Fehler ID: 13042, 12002, 12012, 12032, 12022, 12042, 12052, 12072 in denen die Web Dienste mit "nicht funktionsfähig" angemeckert werden. Genau das gleiche Problem wie beim alten Server

 

Hat da jemand schonmal was von gehört? Tritt seit dem letzten Update vom Alten WSUS Server auf. Da waren gefühlt ca. 30 Updates dabei. Muss man hier irgendwo noch nacharbeiten tätigen? Den einen hab ich ja gemacht, siehe oben.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...