SCCM WSUS und GPO Einstellungen

[LANIAC 10]

Hallo zusammen,

 

wir haben in unserer DMZ ein SCCM-System aufgebaut wo sämtliche Komponenten/Rollen auf einem einzelnen Server installiert sind. Dieses SCCM-System soll nun Clients in der DMZ sowie direkt vom Internet her bedienen können. Prinzipiell läuft das System einwandfrei bis auf ein kleines Problem/Unklarheit punkt "Software Update Point" in Zusammenarbeit mit dem "WSUS".

Wenn wir nun Software Updates an Clients in der DMZ verteilen klappt dies ohne Probleme. Wenn wir nun aber Software Updates an unsere Clients im Internet verteilen wollen klappt dies nicht. Es wird zwar auf diesen Clients gemeldet, dass Updates verfügbar sind, diese können aber nicht heruntergeladen werden. Den Grund für dieses Verhalten haben wir bereits gefunden. Das SCCM System trägt in der lokalen Richtlinie des Clients fälschlicherweise unter "Specify intranet Microsoft update service location" zwar den korrekten SUP ein, jedoch mit der Portnummer 8531 anstelle von 443. Die Folge daraus ist, dass sich diese Clients direkt mit dem WSUS, welcher auf Port 8531 (SSL) läuft verbinden möchten anstelle direkt mit dem SUP. Da wir jedoch auf unserer Firewall diesen Port (8531) nicht öffnen können, müssen wir sicherstellen, dass die Clients auf den SUP und Port 443 verwiesen werden.

Natürlich können wir dies mit einer Gruppenrichtlinie in welcher dieser SUP mit korrektem Port explizit angegeben wird lösen, wir fragen uns jedoch wieso dieser falsche Port überhaupt in die lokale Richtlinie eingetragen wird.

Hat jemand von Euch Erfahrung mit einem SCCM-System wo alle Rollen auf einem einzelnen Server laufen? Kann es sein, dass das beschriebene Verhalten damit zusammenhängt? Haben wir eventuell etwas übersehen und falsch konfiguriert?

 

Noch ein paar Eckdaten des Systems:

 

- Windows 2003 Server mit SP2

- Microsoft SQL Server 2005 mit SP3

- SCCM 2007 R2

- Die Site läuft im Native Mode

 

Ich bin für jeden Hinweis zu diesem Problem enorm dankbar und gebe gerne auch weitere Details des Systems preis, falls dies gewünscht ist.

 

Besten Dank schon im Voraus nur schon fürs Lesen von diesem Beitrag.

 

 

PS: Bitte hinterfragt nicht weshalb die Clients in der DMZ sind und weshalb alles auf einem System installiert werden soll. Mir ist durchaus klar, dass es sich hierbei nicht um ein "schönes" Szenario handelt, sondern Gewisse Sachen aus der Not entstanden sind. Also bitte keine Kommentare wie "Was machen denn eure Clients in der DMZ?" - Das ganze hat mehr oder weniger schon seinen Grund.

 

Gruss

 

LANIAC

bearbeitet 21. Oktober 2009 von LANIAC
Zusatzinfo

[TorstenM 20]

Das SCCM System trägt in der lokalen Richtlinie des Clients fälschlicherweise unter "Specify intranet Microsoft update service location" zwar den korrekten SUP ein, jedoch mit der Portnummer 8531 anstelle von 443. Die Folge daraus ist, dass sich diese Clients direkt mit dem WSUS, welcher auf Port 8531 (SSL) läuft verbinden möchten anstelle direkt mit dem SUP

 

Wie? :confused: Es gibt doch gar keine Trennung zwischen WSUS und SUP, da WSUS = SUP. Oder andersrum: man kann einen SUP nur auf einem WSUS-Server installieren und damit wird der WSUS zum SUP.

Bei der Installation vom WSUS hast Du ja sicher einen Port angegeben (ich tippe auf 8531) und logischerweise verbinden sich die Clients dann auch dort hin (was auch richtig ist, da ja dann auf 8531 der WSUS/SUP lauscht). Meines Erachtens stimmt das Verhalten so.

[WSUSPraxis 48]

@Laniac

 

Leider verstehe ich deinen Aufbau bzw. das Problem nicht ganz.

 

 

Viele Grüße Arnd

[LANIAC 10]

@WSUSPraxis

 

wie bereits erwähnt gebe ich bei Unklarheiten zum Aufbau gerne weitere Details bekannt.

Mein Problem besteht darin, dass ich nicht verstehe, weshalb Clients die sich vom Internet auf den SUP verbinden möchten dies via Port 8531 versuchen.

Mir ist schon klar, dass der WSUS auf den Ports 8530/8531 läuft, wieso nun aber sich die Clients direkt mit dem WSUS verbinden möchten verstehe ich nicht. Weshalb muss sich denn das gesamte SCCM-System mit dem WSUS synchronisieren, wenn im nachhinein die Clients dann sich wieder direkt auf den WSUS verbinden?

 

@TorstenM

Da wie erwähnt alle Komponenten/Rollen auf dem selben System installiert wurden, mussten wir logischerweise eine "Custom Website" für den WSUS auf den Ports 8530/8531 einrichten weil die "Default Website" welche ja auf den Ports 80/443 läuft bereits für die "Primary Site" des SCCM-Systems gebraucht wurde.

Ich sehe bei dieser Konfiguration keinen Grund, weshalb sich die Clients direkt mit dem WSUS in Verbindung setzen müssen ausser dies sei "by Design" so gewünscht.

Ich hoffe Ihr stimmt mir zu, dass man so nur unnötigerweise einen weiteren Port auf der Firewall öffnen muss. Komischerweise kann ich dann den erwähnten Eintrag in der lokalen Richtlinie des Clients so anpassen, dass nicht mehr versucht wird die Updates direkt vom WSUS auf Port 8531 zu holen, sondern nun via 443.

Ich habe nun mehrmals getestet, ob die Updates auf die Clients übertragen werden nachdem ich den Port von 8531 auf 443 (in der lokalen Richtlinie) geändert habe und siehe da, dies funktionierte Einwandfrei.

Dieses Verhalten verwirrt mich nun, da es scheint, als sei es tatsächlich nicht nötig die Clients auf den Port 8531 zeigen zu lassen.

 

Besten Dank für Eure Antworten.

[TorstenM 20]

Ich sehe bei dieser Konfiguration keinen Grund, weshalb sich die Clients direkt mit dem WSUS in Verbindung setzen müssen ausser dies sei "by Design" so gewünscht.

 

Das ist so "by design", siehe auch Fall 6 hier Ports Used by Configuration Manager.

Die Clients (d.h. der Windows Update Client Agent) müssen sich mit dem WSUS verbinden um entsprechend einen Scan durchzuführen.

 

Was genau hast Du mit "die Updates auf die Clients übertragen werden nachdem ich den Port von 8531 auf 443 (in der lokalen Richtlinie) geändert habe" getestet? Die Installation von Updates? Oder den Scan? Dass der Scan funktioniert kann ich mir nicht vorstellen, da der Client die Gegenstelle (WSUS/SUP) auf 443 erreichen will, diese aber auf 8531 lauscht.

 

Die ganze Sache ist nämlich zweigeteilt: der Scan erfolgt gegen den WSUS/SUP (8531 in Deinem Fall). Die Installation ganz "klassich" von einem DP (443).

[LANIAC 10]

@TorstenM

 

Besten Dank für deine Antwort. Ich habe mir das erwähnte Technet Dokument ebenfalls schon angeschaut und bin einfach nach wie vor verwundert, weshalb dann ein "Fall 33" erwähnt wird:

 

33. Software Update Point -- > WSUS Synchronization Server

 

 

Description

UDP

TCP

 

Hypertext Transfer Protocol (HTTP)

--

80 or 8530 (See note 4, Windows Server Update Services)

 

Secure Hypertext Transfer Protocol (HTTPS)

--

443 or 8531 (See note 4, Windows Server Update Services)

 

 

Was ist dann ein "WSUS sync" Server? Ist dies nicht dasselbe wie der WSUS? Und wenn nun der WSUS und der SUP ja sowieso auf dem selben Server sind, weshalb müssen diese beiden dann via TCP/IP kommunizieren? Ich frage mich auch, weshalb in diesem Technet Artikel der SUP und der WSUS als zwei verschiedene Server abgebildet werden, wenn ja diese beiden sowieso zusammengehören?

 

Ich habe, als die Clients mit dem Internet verbunden waren lediglich die bereits verfügbaren Updates installiert. Es scheint so, als hätte er den Scan Zyklus abschliessen können, während der Rechner kurzzeitig in der DMZ und nicht im Internet war.

 

Irgendwie berfürchte ich, dass es lediglich eine Möglichkeit gibt den Port 8531 auf der Firewall nicht zu öffnen. Man müsste den WSUS auf einem zweiten Server installieren und dann die "Default Website" welche auf Port 80/443 läuft einrichten.

 

Besten Dank nochmals für Eure Antworten.

 

Gruss

 

LANIAC

[TorstenM 20]

Das Dokument About Software Updates Synchronization erklärt's, Abschnitt "Synchronization for Internet-Based Software Update Points".

[LANIAC 10]

Ich denke so langsam aber sicher kommt etwas Licht ins dunkle.

Besten Dank für all Eure Antworten!

 

Folgender Auschnitt aus dem TechNet erklärt einiges:

 

A scan request is passed to the Windows Update Agent (WUA). The WUA then connects to the WSUS server location listed in the local policy, retrieves the software updates metadata that has been synchronized on the WSUS server, and scans the client computer for the updates. A component of the Software Updates Client Agent detects that the scan for compliance has completed, and it creates state messages for each software update that had a change in compliance state since the last scan. The state messages are sent to the management point in bulk every 15 minutes. The management point then forwards the state messages to the site server, where the state messages are inserted into the site server database.

 

Ich war bis anhin der Meinung, dass genau dies der ConfigMgr Client auf den jeweiligen Clients übernimmt. Das aber der "normale" WUA involviert ist, war mir nicht bewusst.

Ich denke diese Update Scanfunktion hätte durchaus auch direkt in den ConfigMgr Client intergriert werden können aber da wurde bei Microsoft wohl gedacht wieso nochmals neu erfinden wenn schon vorhanden.

Dieses ganze WSUS/SUP Konstrukt scheint mir ein wenig gebastelt und ich hätte eigentlich etwas aus einem Guss erwartet.

Vielleicht sind jedoch unsere Ansprüche zu hoch. Was meint Ihr dazu? Findet Ihr dieses "Konstrukt" durchdacht?

 

Besten Dank nochmals für Eure Hilfe

 

Gruss

 

LANIAC

[TorstenM 20]

Vielleicht sind jedoch unsere Ansprüche zu hoch. Was meint Ihr dazu? Findet Ihr dieses "Konstrukt" durchdacht?

 

Es funktioniert und wieso sollte die ConfigMgr Product Group einen neuen Client Agent erfinden, wenn sie auf den bestehenden Windows Update Client Agent zurückgreifen und den per ConfigMgr kontrollieren können?

Dass Scan und Installation auf unterschiedlichen "Wegen" laufen (Scan gegen den SUP und Verwendung von DPs für die Patchinstallation, aber ebenfalls durch den Windows Update Client Agent) ist vielleicht nicht durchgängig, aber so funktioniert das Produkt nun mal in der aktuellen Version.