WSUS - 0x80070002 (Site-to-Site VPN)

[Andyt8 10]

Hallo,

 

Ich habe folgende Situation. Zwei unterschiedliche Gesamtstrukuren mit jeweils einer Domänen ohne Vertrauenstellung. Dazwischen ist eine VPN Site-to-Site Verbindung eingerichtet. Es wurde dies mit einem ISA 2004 SP2 und Netgear FVS124G bewerkstelligt. Die Verbindung läuft. Auflösung mittels DNS und auch WINS laufen auch schon von beiden Richtungen. Zugriff auf verschiedene Dienste soweit ohne Probleme (Netzwerkfreigaben, http/https Dienste, etc.)

 

Bei einem Ort soll der WSUS Server entfernt werden (u.a. weil Rechner alt -> ausscheiden). Nun hätte der WSUS vom anderen Standort diese FUnktion übernehmen sollen. Also Änderung der GPO Einstellungen und siehe da die Clients melden sich auch beim WSUS am anderen Ort.

Leider bemerkte ich, das kein Statusbericht abgeliefert wird. Daher habe ich weitere Untersuchungen gemacht. Beispielweise habe ich mittels ClientDiag.exe eine genauere Untersuchung durchgeführt:

 

WSUS Client Diagnostics Tool

Checking Machine State
       Checking for admin rights to run tool . . . . . . . . . PASS
       Automatic Updates Service is running. . . . . . . . . . PASS
       Background Intelligent Transfer Service is not running. PASS
       Wuaueng.dll version 5.8.0.2607. . . . . . . . . . . . . PASS
               This version is WSUS 2.0

Checking AU Settings
       AU Option is 3 : Notify Prior to Install. . . . . . . . PASS
               Option is from Policy settings

Checking Proxy Configuration
       Checking for winhttp local machine Proxy settings . . . PASS
               Winhttp local machine access type
                       <Direct Connection>
               Winhttp local machine Proxy. . . . . . . . . .  NONE
               Winhttp local machine ProxyBypass. . . . . . .  NONE
       Checking User IE Proxy settings . . . . . . . . . . . . PASS
               User IE Proxy. . . . . . . . . . . . . . . . .  NONE
               User IE ProxyByPass. . . . . . . . . . . . . .  NONE
               User IE AutoConfig URL Proxy . . . . . . . . .  NONE
               User IE AutoDetect
               AutoDetect not in use

Checking Connection to WSUS/SUS Server
               WUServer = http://bs-wsus
               WUStatusServer = http://bs-wsus
       UseWuServer is enabled. . . . . . . . . . . . . . . . . PASS

GetAUSettingsRegistry(false, TEXT("SusServerVersion"), &dwSusVersion) failed wit
h hr=0x80070002

The system cannot find the file specified.


Press Enter to Complete

 

Wie zu sehen ist ist dabei eine Fehlermeldung herausgekommen. Ich nehme an es liegt an der VPN Verbindung (beispielweise das noch irgendwo was "hängt"). Leider habe ich auch durch Suchen mittels Google, Microsoft Support, etc. keine brauchbare Lösung gefunden. Weiß jemand was der Fehler bedeutet. Ich hoffe damit eine Lösung zu finden.

 

Aktuell habe ich bereits mehrfach versucht mittels löschen des Inhaltes vom Downloadordners und Cacheordners in %windir%/SoftwareDistribution/ den Fehler zu beheben. Leider ohne brauchbaren Erfolg.

Das Betriebssystem und auch die Gruppe (wird per GPO gesteuert) wird richtig erkannt und an den WSUS übermittelt.

 

Bitte um Hilfe...

[Andyt8 10]

Werde daraus einfach nicht schlau. Manueller Zugriff via http auf den WSUS vom anderen Standort aus geht ohne Probleme.

Der Computer jedoch kann es nicht...

...glaub es ist nach wie vor die VPN Verbindung. Denn einige Rechner (Laptops) sind ab und zu in beiden Netzen. Wenn diese nun am Standort des WSUS sind, dann klappt der Download. Vom anderen Standort aus kommt jedoch wieder die Fehlermeldung.

 

Eine Firewall wird zwischen beiden Standorten nicht eingesetzt. Hier ist alles offen. Immerhin werden beide Netze vom gleichem Team supportet. Daher dafür kein Bedarf. Was kann es nun sein? Gibt es da vielleicht einen Timeout?

[WSUSPraxis 48]

Vielleicht hilft das dir jetzt weiter ? "0x80070002"

[Andyt8 10]

Danke dir, du hast den entscheidenden Hinweis gegeben.

 

Den Microsoft Support Artikel kannte ich noch nicht, half in diesem Falle auch nicht. Jedoch war da ein Hinweis, der mir dann schlussendlich die Lösung brachte.

 

Auf den ISA Server wird das Produkt WebMonitor von GFI eingesetzt. Dabei sollte Webinhalt gescannt werden, sobald dieser ins LAN gelangt. Soweit so gut. Jedoch wird hier auch jeder Traffic zwischen Außenstelle und Haupstelle gescannt. Und deshalb geht dann auch der Zugriff auf den WSUS nicht (hier muss eine CAB Datei runtergeladen werden).

 

Leider weiß ich nicht wie man bei WebMonitor bzw. ISA Server dahingend die Einstellung verändern muss.

Man kann zwar beim Webmonitor Ausnahmen für die Überprüfung angegeben, jedoch einen IP-Range als Ausnahme kann ich da nicht vergeben und jede einzelne IP-Adresse einfügen ist doch recht Mühsam.

Ich verstehe sowieso nicht warum da immer über den Proxy vom ISA Server gegangen wird. Laut meiner Logik sollte der Zugriff zwischen beiden Außenstellen direkt sein. So wurde u.a. der IP-Bereich von der Außenstelle bzw. Hauptstelle so angelegt, dass die Rechner darauf direkt zugreifen sollen.

 

Weiß hier jemand einen Rat? Das mit der Ausnahme umgeht das Problem etwas, lösen tut es das aber auch nicht sauber.

[Andyt8 10]

Anscheinend geht das nicht. Warum? Keine Ahnung. Sobald der Port 80 bzw. 443 verwendet wird, läuft der komplette Traffic auch noch Mal über den Proxydienst beim ISA.

 

Wenn aber ein Webserver den Port 9000 verwendet so wird das vom ISA direkt weitergeleitet.

 

Abhilfe konnte ich nicht finden.

 

Jedoch funktioniert jetzt der Zugriff von beiden Seiten auch über den Proxy ohne Probleme...