pcpanik
Goto Top

WinUpdate Server 2019 o. Domäne - 0x800b0109 (nicht ordnungsgemäß signiert)

Hallo liebe Mit-Admins,

ich scheitere hier an der Verteilung des Windows Updates in das DMZ Umfeld per SSL und komme auch nach Stunden Recherche und probierens einfach nicht mehr weiter. Vielleicht hat hier ja jemand eine Idee?

Ich habe unser Windows Update auf SSL (8531) umgestellt.
Ein frisches Webzertifikat von der Domänen-CA angefordert, SSL im IIS eingeschaltet und die GPOs angepasst.

Intern innerhalb der Domäne alles kein Problem und einwandfrei auf Servern und Clients.

Dann gibt es aber noch einige Windows Server in der DMZ:
  • Per Firewall ist der Zugriff auf den WSUS:5831 erlaubt
  • Per lokaler Richtlinie wurde der Pfad zum WSUS angegeben und verarbeitet
  • Das Zertifikat der CA wurde zu den Vertrauenswürdigen Stamm-Zertifizierungsstellen hinzugefügt.

Bei den meisten Servern funktioniert so alles einwandfrei. Updates gefunden und installiert. Fein.

Eine Büchse nervt allerdings - nachdem bereits ein Update erfolgreich heruntergeladen und installiert wurde (Defender Antivirus Update) - mit:

Einige Updatedateien sind nicht ordungsgemäß signiert (0x800b0109)

Also erst einmal "das Übliche" probiert.

net stop wuauserv
net stop bits
net stop cryptsvc
net stop lanmanserver

Um den Kryptografiedienst zu beenden war es notwendig die XDR Clientsoftware zu deinstallieren.

Dann habe ich folgende Ordner geleert:

Windows\SoftwareDistribution
Windows\System32\catroot2

Und dann gleich die ganze Büchse neu gestartet. Bei vielen WSUS Problemen hilft das.
Hier leider nicht.

Das Ereignisprotokoll sagt auch nur 0x800b109

Noch jemand mit einer Idee?

Content-ID: 668196

Url: https://administrator.de/forum/winupdate-server-2019-o-domaene-0x800b0109-nicht-ordnungsgemaess-signiert-668196.html

Ausgedruckt am: 20.12.2024 um 08:12 Uhr

Dani
Dani 17.09.2024 um 20:38:55 Uhr
Goto Top
em-pie
em-pie 18.09.2024 um 06:43:56 Uhr
Goto Top
Moin,

was passiert eigentlich, wenn du im Browser mal das hier aufrufst?
https://yourWSUS.domain.tld:8531/selfupdate/wuident.cab

Ist das Verhalten bei einem guten und dem Problem-Server identisch?
pcpanik
Lösung pcpanik 18.09.2024 aktualisiert um 11:09:35 Uhr
Goto Top
Einen Zahnarzttermin später Danke ich für eure beiden Beiträge.
:8531/selfupdate/wuident.cab kann zwar erreicht werden, es wird aber das Zertifikat angemeckert.
Fehlercode: DLG_FLAGS_INVALID_CA
Das hat mich veranlasst nochmal die Zertifikate zu prüfen und ich habe den Fehler entdeckt. Das auf dem Server vorhandene Zertifikat der CA war abgelaufen. Ich habe bei der Kiste wohl nur gesehen, dass es schon vorhanden ist und daher kein neues importiert.

@Dani, da sind keinerlei 2008 R2 Server involviert. Alles 2019 LTS 1809.
Aber Danke für den Hinweis.

Mit einem frischen, nicht mehr abgelaufenen Zertifikat klappt, wie zu erwarten, wieder alles.

Ich Danke für eure Mühe und Zeit. face-smile