Zum Inhalt wechseln


Foto

Windows Server 2012 R2 WSUS auf SSL umkonfigurieren

Windows Server 2012 R2 SCVMM WSUS

  • Bitte melde dich an um zu Antworten
8 Antworten in diesem Thema

#1 nicolas2006

nicolas2006

    Newbie

  • 6 Beiträge

 

Geschrieben 03. Oktober 2017 - 11:39

Hallo Zusammen,

 

wir haben folgendes Problem bei der Konfiguration bzw. der Funktion unseres WSUS mit SSL:

 

Umgebung:

Windows Server 2012 DC

Windows Server 2012 R2 als standalone Hyper-V Hosts

Windows Server 2012 R2 als FailoverCluster mit 2 bis 14 Nodes

Verwaltung über VMM 2012 

Windows Server 2012 R2 WSUS  als VM

eigene Enterprise CA 

Clients und Server vertrauen dieser

alle Server im selben Netzbereich

keine Firewall innerhalb des Netzsegmentes 

 

Anforderung:

Umstellung WSUS Update Versorgung von 8530 auf SSL 8531

 

Ausgang:

Alle Hyper-V Hosts und Cluster sowie VMM verwaltete VMs wurden mit dem WSUS mit Updates versorgt. Dies hat alles ohne Probleme funktioniert.

 

Tätigkeiten am WSUS:

- Zertifikat angefordert 

- Zertifikat installiert im IIS

- Binding auf 8531

- Test --> Aufruf der Default URL klappt ohne jegliche Zertifikatswarnungen usw.

- Konfiguration der WSUS Subfolder APIRemoting30ClientWebServiceDSSAuthWebServiceServerSyncWebService und 

  SimpleAuthWebService mit SSL Require und Client Zert. ignor.

- Ausführen Wsusutil configureSSL (URL des WSUS Servers) erfolgreich

- testen der Consolenverbindung per SSL 8531 klappt

- Konfiguration der GPOs mit der URL und dem Port https://WSUSServer:8531 ok

- GPOs greifen --> Überprüfung in der Reg. Einträge korrekt

 

Fehlerbild:

- Abrufen von den Windows Updates mit "Windows Update" schlägt fehl

- Überprüfung der FW auf den Hosts sowie WSUS --> Netzwerkverkehr ist erlaubt für die benötigten Ports

- Überprüfung Windows Update log --> return Fehler http content nicht gefunden ?

- URLs die innerhalb der Windows Update Log auftauchen kopiert und im Browser ausgeführt funktionieren

- Download eine Test CAB klappt.

 

Wir sind gerade irgendwie am Ende unseres Latein.

Vielleicht könnt ihr uns einen Tipp geben wo wir noch schauen können bzw. ob wir etwas übersehen haben.

 

ps:

Log Files und FehlerCodes reiche ich morgen nach, da diese in der Firma sind.

Vielleicht könnt ihr trotzdem schon den einen oder anderen Hinweis geben.

 

Danke für die Unterstützung.

Grüße

Nicolas2006


Bearbeitet von nicolas2006, 03. Oktober 2017 - 12:24.


#2 NorbertFe

NorbertFe

    Expert Member

  • 30.833 Beiträge

 

Geschrieben 03. Oktober 2017 - 13:56

Hi,

Welcher Name steht denn im Zertifikat?

Bye
Norbert

Make something i***-proof and they will build a better i***.


#3 nicolas2006

nicolas2006

    Newbie

  • 6 Beiträge

 

Geschrieben 03. Oktober 2017 - 14:00

Hallo NorbertFE,

 

Es steht der Servername sowie der FQDN drin 

wsus

wsus.domain....



#4 NorbertFe

NorbertFe

    Expert Member

  • 30.833 Beiträge

 

Geschrieben 03. Oktober 2017 - 14:08

Und configuressl wurde auf den Namen durchgeführt, der auch in der policy steht? Der Server muss weiterhin per http (8530) erreichbar sein.

Make something i***-proof and they will build a better i***.


#5 nicolas2006

nicolas2006

    Newbie

  • 6 Beiträge

 

Geschrieben 03. Oktober 2017 - 14:13

Beides "Ja"

configuressl ist auf den wsus.domain.... ausgeführt und diese URL steht auch in den GPOs

der Server ist weiter über 8530 erreichbar z.B. per Console


Selbe Konfiguration habe ich im TestLab erstellt, erst nur 8530 --> umkonfiguriert auf 8531 und klappt sofort.



#6 NorbertFe

NorbertFe

    Expert Member

  • 30.833 Beiträge

 

Geschrieben 03. Oktober 2017 - 14:29

Dann wirst du wohl die logfiles liefern müssen. :)

Make something i***-proof and they will build a better i***.


#7 nicolas2006

nicolas2006

    Newbie

  • 6 Beiträge

 

Geschrieben 04. Oktober 2017 - 05:13

WindowsUpdate.log

2017-09-29         13:45:05:201      2040      26fc       IdleTmr                WU operation (CSearchCall::Init ID 103) started; operation # 6411; does use network; is not at background priority

2017-09-29         13:45:05:201      2040      26fc       IdleTmr                Incremented idle timer priority operation counter to 1

2017-09-29         13:45:05:201      2040      26fc       Agent   *** START ***  Queueing Finding updates [CallerId = ClusterAwareUpdating  Id = 103]

2017-09-29         13:45:05:201      2040      1304      Agent   ***  END  ***  Queueing Finding updates [CallerId = ClusterAwareUpdating  Id = 103]

2017-09-29         13:45:05:201      2040      1304      Agent   *************

2017-09-29         13:45:05:201      2040      1304      Agent   ** START **  Agent: Finding updates [CallerId = ClusterAwareUpdating  Id = 103]

2017-09-29         13:45:05:201      2040      1304      Agent   *********

2017-09-29         13:45:05:201      2040      1304      Agent     * Online = Yes; Ignore download priority = No

2017-09-29         13:45:05:201      2040      1304      Agent     * Criteria = "IsInstalled=0 and Type='Software' and IsHidden=0 and IsAssigned=1"

2017-09-29         13:45:05:201      2040      1304      Agent     * ServiceID = {00000000-0000-0000-0000-000000000000} Third party service

2017-09-29         13:45:05:201      2040      1304      Agent     * Search Scope = {Machine}

2017-09-29         13:45:05:201      2040      1304      Agent     * Caller SID for Applicability: S-1-5-18

2017-09-29         13:45:05:201      2040      1304      Agent     * RegisterService is set

2017-09-29         13:45:05:201      2040      1304      EP           Got WSUS Client/Server URL: https://Vxxxxx.blabl...ice/client.asmx

2017-09-29         13:45:05:201      3536      22c4       COMAPI              <<-- SUBMITTED -- COMAPI: Search [ClientId = ClusterAwareUpdating]

2017-09-29         13:45:06:951      2040      1304      PT           +++++++++++  PT: Synchronizing server updates  +++++++++++

2017-09-29         13:45:06:951      2040      1304      PT             + ServiceId = {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}, Server URL = https://Vxxxxx.blabl...ice/client.asmx

2017-09-29         13:45:06:951      2040      1304      PT           WARNING: Cached cookie has expired or new PID is available

2017-09-29         13:45:06:951      2040      1304      EP           Got WSUS SimpleTargeting URL: https://Vxxxxx.blabla:8531

2017-09-29         13:45:06:951      2040      1304      IdleTmr                WU operation (CAuthorizationCookieWrapper::InitializeSimpleTargetingCookie) started; operation # 6412; does use network; is at background priority

2017-09-29         13:45:06:951      2040      1304      PT           Initializing simple targeting cookie, clientId = a1b13739-9eca-4729-9ca9-204eb647e102, target group = 998 - blabla, DNS name = b01870xx.blabla

2017-09-29         13:45:06:951      2040      1304      PT             Server URL = https://Vxxxxx.blabl...SimpleAuth.asmx

2017-09-29         13:45:06:982      2040      1304      IdleTmr                WU operation (CAuthorizationCookieWrapper::InitializeSimpleTargetingCookie, operation # 6412) stopped; does use network; is at background priority

2017-09-29         13:45:06:982      2040      1304      IdleTmr                WU operation (CAgentProtocolTalker::GetCookie_WithRecovery) started; operation # 6413; does use network; is at background priority

2017-09-29         13:45:06:998      2040      1304      WS         WARNING: Nws Failure: errorCode=0x803d000d

2017-09-29         13:45:06:998      2040      1304      WS         WARNING: There was an error communicating with the endpoint at 'https://Vxxxxx.blabl...e/client.asmx'.

2017-09-29         13:45:06:998      2040      1304      WS         WARNING: The server returned HTTP status code '404 (0x194)' with text 'Not Found'.

2017-09-29         13:45:06:998      2040      1304      WS         WARNING: The requested resource was not found.

2017-09-29         13:45:06:998      2040      1304      WS         WARNING: MapToSusHResult mapped Nws error 0x803d000d to 0x80244019

2017-09-29         13:45:06:998      2040      1304      WS         WARNING: Web service call failed with hr = 80244019.

2017-09-29         13:45:06:998      2040      1304      WS         WARNING: Current service auth scheme='None'.

2017-09-29         13:45:06:998      2040      1304      WS         WARNING: Proxy List used: '(null)', Bypass List used: '(null)', Last Proxy used: '(null)', Last auth Schemes used: 'None'.

2017-09-29         13:45:06:998      2040      1304      WS         FATAL: OnCallFailure failed with hr=0X80244019

2017-09-29         13:45:06:998      2040      1304      IdleTmr                WU operation (CAgentProtocolTalker::GetCookie_WithRecovery, operation # 6413) stopped; does use network; is at background priority

2017-09-29         13:45:06:998      2040      1304      PT           WARNING: PTError: 0x80244019

2017-09-29         13:45:06:998      2040      1304      PT           WARNING: GetCookie_WithRecovery failed : 0x80244019

2017-09-29         13:45:06:998      2040      1304      PT           WARNING: RefreshCookie failed: 0x80244019

2017-09-29         13:45:06:998      2040      1304      PT           WARNING: RefreshPTState failed: 0x80244019

2017-09-29         13:45:06:998      2040      1304      PT             + SyncUpdates round trips: 0

2017-09-29         13:45:06:998      2040      1304      PT           WARNING: Sync of Updates: 0x80244019

2017-09-29         13:45:06:998      2040      1304      PT           WARNING: SyncServerUpdatesInternal failed: 0x80244019

2017-09-29         13:45:06:998      2040      1304      Agent     * WARNING: Failed to synchronize, error = 0x80244019

2017-09-29         13:45:06:998      2040      1304      Agent     * WARNING: Exit code = 0x80244019

2017-09-29         13:45:06:998      2040      1304      Agent   *********

2017-09-29         13:45:06:998      2040      1304      Agent   **  END  **  Agent: Finding updates [CallerId = ClusterAwareUpdating  Id = 103]

2017-09-29         13:45:06:998      2040      1304      Agent   *************

2017-09-29         13:45:06:998      2040      1304      Agent   WARNING: WU client failed Searching for update with error 0x80244019

2017-09-29         13:45:06:998      2040      1304      IdleTmr                WU operation (CSearchCall::Init ID 103, operation # 6411) stopped; does use network; is not at background priority

2017-09-29         13:45:06:998      2040      1304      IdleTmr                Decremented idle timer priority operation counter to 0

2017-09-29         13:45:06:998      3536      1dd4      COMAPI              >>--  RESUMED  -- COMAPI: Search [ClientId = ClusterAwareUpdating]

2017-09-29         13:45:06:998      3536      1dd4      COMAPI                - Updates found = 0

2017-09-29         13:45:06:998      3536      1dd4      COMAPI                - WARNING: Exit code = 0x00000000, Result code = 0x80244019

2017-09-29         13:45:06:998      3536      1dd4      COMAPI              ---------

2017-09-29         13:45:06:998      3536      1dd4      COMAPI              --  END  --  COMAPI: Search [ClientId = ClusterAwareUpdating]

2017-09-29         13:45:06:998      3536      1dd4      COMAPI              -------------

2017-09-29         13:45:06:998      3536      22c4       COMAPI              WARNING: Operation failed due to earlier error, hr=80244019

2017-09-29         13:45:06:998      3536      22c4       COMAPI              FATAL: Unable to complete asynchronous search. (hr=80244019)

 

Leider kann ich keine Screens einfügen oder Files hochladen daher die Meldung im CAU:

 

The Microsoft.WindowsUpdatePlugin plug-in reported a failure while attempting to scan for applicable updates on node "Bxxxxx". Aadditional Information reported by the plug-in:(clusterUpdateException) There was a failure in a Common Information Model (CIM) Operation, that is, an Operation performed by Software that Cluster-Aware Updateing depends on. The Computer was "Bxxxx", and the Operation was "ScanIpdates[Info,CauNodeWCD[Bxxx]]". The failure was: WU_E_PT_HTTP_STATUS_NOT_FOUND ===> (CimException) FAILED HRESULT 0x80244019

 

Wie bereits geschrieben schlägt der Fehler bei dem "normalen" Update Prozess ebenfalls zu.

Alle URLs innerhalb des LOGs können im Browser des Clients sowie dem WSUS selber ohne Probleme aufgerufen werden.

 

Hoffe das Hilft weiter.

Danke


Bearbeitet von nicolas2006, 04. Oktober 2017 - 05:24.


#8 zahni

zahni

    Expert Member

  • 16.474 Beiträge

 

Geschrieben 04. Oktober 2017 - 09:15

Da stimmt noch etwas nicht:

 

The server returned HTTP status code '404 (0x194)' with text 'Not Found'.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#9 nicolas2006

nicolas2006

    Newbie

  • 6 Beiträge

 

Geschrieben 04. Oktober 2017 - 18:19   Lösung

Ich habe den Fehler heute gefunden. Es war ein Schreibfehler in der "C:\Program Files\Update Services\WebServices\ClientWebService\web.config". Da wir einen bestimmten Patch installiert haben, muss hier manuell eine Änderung durchgeführt werden und dabei hat sich ein Schreibfehler eingeschlichen. Manchmal sieht man den Wald vor lauter Bäumen nicht.

 

Danke für die Unterstützung. 





Auch mit einem oder mehreren der folgenden Tags versehen: Windows Server 2012 R2, SCVMM, WSUS