dosenbier
Goto Top

WSUS Client verbindet sich nicht mit externen WSUS über SSL

Hallo,

habe ein Problem mit meinem externen WSUS (gehostet bei Strato), der Updates an Kunden WSUS verteilen soll. Zum Testen habe ich meinen Client angebunden und die lokalen Gruppenrichtlinien konfiguriert, sodass er die Updates am externen WSUS sucht. Da ich das ganze ja absichern will, habe ich das ganze SSL-verschlüsselt und bin dabei nach Anleitung von wsus.de vorgangen.
Leider meldet sich der Client am externen WSUS nur, wenn ich über Port 8530 gehe. Sobald ich über SSL Port 8531 gehe, kommt er an den externen WSUS nicht ran.
Hat irgendjemand Tipps, wie ich herausfinden kann, woran die Verbindung scheitert? Danke schon mal im Voraus face-wink

Content-Key: 470917

Url: https://administrator.de/contentid/470917

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: Dani
Dani 08.07.2019 um 21:16:26 Uhr
Goto Top
Moin,
Da ich das ganze ja absichern will, habe ich das ganze SSL-verschlüsselt und bin dabei nach Anleitung von wsus.de vorgangen.
Bitte den Link posten. Ich bin gerade zu faul dort zu suchen. face-wink


Gruß,
Dani
Mitglied: sabines
sabines 09.07.2019 um 06:56:50 Uhr
Goto Top
Moin,

den Port hast Du auf dem Server per WSUSUtil.exe auf 8531 umgestellt?
Kann eigentlich nicht sein, denn dann würdest Du auf 8530 keine Verbindung mehr erhalten.

Gruss
Mitglied: DosenBier
DosenBier 09.07.2019 aktualisiert um 08:08:25 Uhr
Goto Top
https://www.wsus.de/kommunikation-zwischen-wsus-und-clients-mit-ssl-vers ... face-wink

@sabines
Ja, wie im Link oben unter Abbildung 29 beschrieben...
Mitglied: sabines
sabines 09.07.2019 um 09:39:47 Uhr
Goto Top
Kann eigentlich nicht sein, wenn Du auf Port 8531 umgestellt hast, dann kann er nicht auf 8530 reagieren.
Hier bitte nochmal durchprüfen.
Mitglied: DosenBier
DosenBier 10.07.2019 um 08:15:23 Uhr
Goto Top
Servus Sabines,

also nur zum Verständnis bzw. zur Kontrolle:
ich habe im IIS die Seiten vom WSUS auf SSL umgestellt und dann noch im WSUSUtil den WSUS auf SSL umgestellt.
Der Befehl, den ich im Syntax eingegeben habe lautete:
"WSUSUtil.exe ConfigureSSL WSUS".....
Gibts du hier nochmal extra den Port 8531 an? Das habe ich nämlich nicht, weil er den ja sowieso automatisch unterm Befehl dann als URL angibt. Oder mach ich hier irendwas falsch?
Mitglied: sabines
sabines 10.07.2019 um 11:45:24 Uhr
Goto Top
Zitat von @DosenBier:

Gibts du hier nochmal extra den Port 8531 an? Das habe ich nämlich nicht, weil er den ja sowieso automatisch unterm Befehl dann als URL angibt. Oder mach ich hier irendwas falsch?

Jepp, der Port muss m.E. angegeben werden.
Mitglied: DosenBier
DosenBier 10.07.2019 um 17:00:56 Uhr
Goto Top
Mhm, wenn ich den Port 8531 mitgebe, dann kommt aber als Rückmeldung zurück:
URL: https://CBWSUS:8531:8531
Das glaub ich kann dann auch nicht richtig sein ^^
Sonst noch Ideen?
Mitglied: sabines
sabines 11.07.2019 um 08:38:35 Uhr
Goto Top
Nee, dann ist mein Hinweis nicht ok.
Aber wieso kannst Du Dich dann mit 8530 verbinden?
Ist die Portumstellung sauber durchgelaufen, ggfs. zurückstellen und wieder umstellen.
Oder mal lauschen auf welchem Port das wirklich läuft.
Mitglied: DosenBier
DosenBier 12.07.2019 um 11:55:07 Uhr
Goto Top
Mhm, vielleicht war meine Problembeschreibung noch nicht ganz verständlich....
Ich kann den WSUS nur unter Port 8530 erreichen, wenn ich natürlich im IIS die Seiten wieder auf ohne SSL konfiguriere.
Sobald ich aber SSL aktiviere, auch das WSUSUtil auf SSL ausführe, dann komme ich nicht mehr dran.
Jetzt weiß ich halt nicht, obs vielleicht am Zetifikat liegt oder irgendwo anders? Über Telnet komme ich zumindest auf Port 8531 dran. Und auch der Test auf https://wsus.test.de:8531/selfupdate/wuident.cab lässt mich die Datei wuident.cab herunterladen.
Nur der Client kommt nicht an den WSUS und wird dort auch nicht angezeigt face-sad
Mitglied: Dani
Dani 12.07.2019 um 12:19:30 Uhr
Goto Top
Moin,
Ich kann den WSUS nur unter Port 8530 erreichen, wenn ich natürlich im IIS die Seiten wieder auf ohne SSL konfiguriere.
du fügst für die 8531 eine eigene Bindung unter Auswahl des SSL-Zertifikat im IIS hinzu?
Hast du auch in der Windows Firewall dem Port dafür geöffnet?


Gruß,
Dani
Mitglied: DosenBier
DosenBier 12.07.2019 um 13:40:38 Uhr
Goto Top
Servus,

Jo, hab ich alles gemaht wie in der Anleitung.
Hier bin ich halt auch nicht sicher, ob das Zertifikat so passt...ich habe nämlich ein Zertifikat "WSUS" ausgestellt und das in der Bindung hinterlegt. Da aber die Clients ja nicht lokal mit dem WSUS verbunden sind, gehen die von extern auf "https://wsus.meinedomain.de:8531" (die Subdomain zeigt dann auf die öffentliche IP vom Strato-WSUS).
Der Port war zwar schon hinzugefügt, aber ich hab ihn händisch nochmal hinzugefügt, aber keine Veränderung.
Mitglied: Dani
Dani 12.07.2019 um 13:50:20 Uhr
Goto Top
Moin,
Da aber die Clients ja nicht lokal mit dem WSUS verbunden sind, gehen die von extern auf "https://wsus.meinedomain.de:8531" (die Subdomain zeigt dann auf die öffentliche IP vom Strato-WSUS).
Dir ist aber schon klar, dass der Strao WSUS Server ebenfalls auf 8531 hören muss? Sonst wird das nicht klappen.


Gruß,
Dani
Mitglied: DosenBier
DosenBier 12.07.2019 um 14:33:17 Uhr
Goto Top
Jo, das klappt ja auch, sonst würde ich ja auch keine Datei von https://wsus.test.de:8531/selfupdate/wuident.cab runterladen können.
Mitglied: Dani
Dani 12.07.2019 um 14:45:10 Uhr
Goto Top
Moin,
beschreib nun noch einmal im Detail mit technischen Informationen, was du genau vor hast und welche Rahmenbedingungen es gibt. Denn aktuell vermute ich ein logisches als ein technisches Problem.


Gruß,
Dani
Mitglied: sabines
sabines 15.07.2019 um 06:53:18 Uhr
Goto Top
Zitat von @DosenBier:

Nur der Client kommt nicht an den WSUS und wird dort auch nicht angezeigt face-sad

Den neuen Port hast Du den Clients (per GPO) schon mitgeteilt, oder?
Mitglied: DosenBier
DosenBier 16.07.2019 um 10:53:45 Uhr
Goto Top
@Dani
Ich möchte eigentlich nur einen WSUS auf nem gehosteten Standalone-Server aufsetzen, mit dem dann die Kunden-WSUS syncen können. Und das eben über SSL. Zum testen hatte ich daher nur einen Client von extern versucht an den gehosteten WSUS-Server anzubinden, eben erfolgreich ohne SSL, sobald ich auf SSL umstelle, komme ich nicht mehr ran.

@sabines
Jo, habe ich.
Mitglied: DosenBier
DosenBier 18.07.2019 um 16:57:30 Uhr
Goto Top
So, ich bin jetzt schon mal nach ein wenig Suchen ein wenig schlauer als zuvor, im Log vom Windows Update am Client konnte ich folgenden Fehler finden:
2019.07.18 11:41:23.0178061 5484 2652 WebServices WS error: Fehler bei der Kommunikation mit dem Endpunkt bei https://wsus.collas-buerowelt.de:8531/SimpleAuthWebService/SimpleAuth.as ...;
2019.07.18 11:41:23.0186073 5484 2652 WebServices WS error: Die Zertifizierungsstelle ist ung??ltig oder fehlerhaft.

Tja, daran werd ich jetzt wohl scheitern, da es keinerlei Tipps und Tricks gibt, einen WSUS für externe Clients und Server mit SSL bereitzustellen.
Sch**ss auf SSL, ich stell wieder auf http um, da funktioniert das ganze wenigstens face-wink
Mitglied: Dani
Dani 18.07.2019 um 21:42:11 Uhr
Goto Top
Moin,
wir haben ein ähnliches Konstrukt am Laufen... ohne Probleme. Wir nutzen dafür Windows Server 2012R2 Standard.

Woher stammt das SSL-Zertfikat welches du für die Website im IIS konfiguriert hast? Ah Self-Signed... das ist natürlich Mist. Am Besten einen Let' Encrypt Client für Windows installieren und anschließend für die Domain bzw. Webseite ein SSL Zertifikat abrufen.


Gruß,
Dani