Windows 7 und XP Clients melden keinen Status an den WSUS Server

02.07.2012

 

Auf Grund einer angeknacksten Datenbank durfte ich die Tage den WSUS komlett neu aufsetzen, und, wir haben es geahnt, das geht nicht ohne Probleme.

Als allerallererstes: Die Deinstallation des WSUS sollte auf gar keinen Fall über die Softwareverwaltung erfolgen. Statt dessen startet man das WSUS Installationsprogramm, und sofern dieses einen bereits installierten WSUS erkennt bietet es eine Deinstallation mit verschiedenen Optionen an. Ich habe eine vollständige Deinstallation inklusive Datenbank durchgeführt.

Danach starten wir das WSUS Installationsprogramm erneut und installieren..... Sollten Rahmenbedingungen nicht stimmen meckert die Installationsroutine von alleine, z.B. wenn der IIS im 32bit statt 64bit Modus ist auf einem x64 Server.

Für die Einrichtung des Server, der Produkte und Klassen gibt es anderso umfangreiche Hinweise, ich möchte mich an dieser Stelle einem anderen, fiesen Problem widmen.

Vor einiger Zeit wurde der Windows Update Agent der auf dem Clients läuft durch ein Update aktualisiert, vermutlich samt aktuellem Zertifikat. Der WSUS weiß davon aber nach einer Neuinstallation nichts, die WSUS Installationsdatei wurde von MS bisher nicht aktualisiert, ergo verweigert er die Zusammenarbeit und die Clients können keine Statusmeldungen abliefern. Eine Inspektion des WindowsUpdate.log liefert Fehler der Art:

Digital signature on file not trusted: 0x800B0001

An diesem Punkt steht sich der WSUS auch selber im Weg, denn er kann auch keine eigenen Updates laden.

Im Microsoft Technet Forum häuften sich plötzlich Fehlermeldungen der Art: WSUS installiert - Clients melden sich nicht. Statt einer aktualisierten Installationsdatei hat MS mal wieder einen Patch dafür: KB 2720211 . Zu beachten ist das der IIS Dienst und der WSUS Dienst angehalten werden müssen. Falls man das vergisst hilft wohl auch ein Neustart des Servers.  Nach aufspielen das Patches berichten praktisch alle ( ich auch :-) ) das die Clients wieder korrekte Statusmeldungen liefern.

 

Tja, das hat mich inklusive Neueinrichtung aller Computergruppen und Neueinrichtung der Softwareverteilung mal eben 4 Tage Zeit gekostet. Es hätte nicht viel gefehlt und ich hätte wegen dem Problem schmachvoll externen Support angefordert.

Kommentar schreiben

Kommentare: 2
  • #1

    Sascha Joswig (Montag, 23 Juli 2012 14:24)

    Interessanter ist es doch, dass genau dieses Hotfix den WSUS erst kaputt gemacht hat. Dein Artikel ist aus der Zeit bei denen etliche Benutzer die gleichen Probleme berichtet haben und selbst Microsoft einen Artikel verfasst hat:

    http://blogs.technet.com/b/sus/archive/2012/06/20/wsus-kb272011-common-issues-encountered-and-how-to-fix-them.aspx

    Unter Issue 3 heißt es "WSUS server stops working and also fails to reinstall." Das war auch bei uns der Fall. Reparieren lässt es nicht nicht, sondern es muss, wie von dir beschrieben, komplett neu aufgesetzt werden.

    Und somit durfte auch ich mich drei Tage mit dem Problem auseinandersetzen...

  • #2

    road-books (Montag, 23 Juli 2012 15:04)

    Vielen Dank für die Hinweise.
    In dem bei uns aufgetretenen Szenario war das Hotfix nicht der direkte Auslöser, ich hatte händisch in der Datenbank was vermurkst als ich den LUP einbinden wollte. Das Problem war auch eher das der dann frische WSUS und die Clients nicht den gleichen Agent-Stand hatten was sich meiner Meinung nach bei jeder WSUS Installation seit Juni 2012 und aktuellen Clients wiederholen dürfte. Im Prinzip müßte die Installationsdatei für den WSUS mal aktualisiert werden (denke ich mal so...).

    Vergleiche auch hier:
    http://blogs.technet.com/b/wsus/archive/2012/06/08/further-hardening-of-wsus-now-available.aspx
    wie meinte der Moderator im Technet noch gleich..."The new WUAgent CANNOT communicate with the OLD WSUS server.-or- (and most certainly NOT recommended) -- you can downgrade those systems to the v7.4 WUAgent by running the v7.4 installer with the /wuforce flag."