WSUS Client verbindet sich nicht mit externen WSUS über SSL
Hallo,
habe ein Problem mit meinem externen WSUS (gehostet bei Strato), der Updates an Kunden WSUS verteilen soll. Zum Testen habe ich meinen Client angebunden und die lokalen Gruppenrichtlinien konfiguriert, sodass er die Updates am externen WSUS sucht. Da ich das ganze ja absichern will, habe ich das ganze SSL-verschlüsselt und bin dabei nach Anleitung von wsus.de vorgangen.
Leider meldet sich der Client am externen WSUS nur, wenn ich über Port 8530 gehe. Sobald ich über SSL Port 8531 gehe, kommt er an den externen WSUS nicht ran.
Hat irgendjemand Tipps, wie ich herausfinden kann, woran die Verbindung scheitert? Danke schon mal im Voraus
habe ein Problem mit meinem externen WSUS (gehostet bei Strato), der Updates an Kunden WSUS verteilen soll. Zum Testen habe ich meinen Client angebunden und die lokalen Gruppenrichtlinien konfiguriert, sodass er die Updates am externen WSUS sucht. Da ich das ganze ja absichern will, habe ich das ganze SSL-verschlüsselt und bin dabei nach Anleitung von wsus.de vorgangen.
Leider meldet sich der Client am externen WSUS nur, wenn ich über Port 8530 gehe. Sobald ich über SSL Port 8531 gehe, kommt er an den externen WSUS nicht ran.
Hat irgendjemand Tipps, wie ich herausfinden kann, woran die Verbindung scheitert? Danke schon mal im Voraus
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 470917
Url: https://administrator.de/forum/wsus-client-verbindet-sich-nicht-mit-externen-wsus-ueber-ssl-470917.html
Ausgedruckt am: 30.04.2025 um 16:04 Uhr
18 Kommentare
Neuester Kommentar
Moin,
Gruß,
Dani
Da ich das ganze ja absichern will, habe ich das ganze SSL-verschlüsselt und bin dabei nach Anleitung von wsus.de vorgangen.
Bitte den Link posten. Ich bin gerade zu faul dort zu suchen. Gruß,
Dani
Moin,
den Port hast Du auf dem Server per WSUSUtil.exe auf 8531 umgestellt?
Kann eigentlich nicht sein, denn dann würdest Du auf 8530 keine Verbindung mehr erhalten.
Gruss
den Port hast Du auf dem Server per WSUSUtil.exe auf 8531 umgestellt?
Kann eigentlich nicht sein, denn dann würdest Du auf 8530 keine Verbindung mehr erhalten.
Gruss
https://www.wsus.de/kommunikation-zwischen-wsus-und-clients-mit-ssl-vers ...
@sabines
Ja, wie im Link oben unter Abbildung 29 beschrieben...
@sabines
Ja, wie im Link oben unter Abbildung 29 beschrieben...
Kann eigentlich nicht sein, wenn Du auf Port 8531 umgestellt hast, dann kann er nicht auf 8530 reagieren.
Hier bitte nochmal durchprüfen.
Hier bitte nochmal durchprüfen.
Servus Sabines,
also nur zum Verständnis bzw. zur Kontrolle:
ich habe im IIS die Seiten vom WSUS auf SSL umgestellt und dann noch im WSUSUtil den WSUS auf SSL umgestellt.
Der Befehl, den ich im Syntax eingegeben habe lautete:
"WSUSUtil.exe ConfigureSSL WSUS".....
Gibts du hier nochmal extra den Port 8531 an? Das habe ich nämlich nicht, weil er den ja sowieso automatisch unterm Befehl dann als URL angibt. Oder mach ich hier irendwas falsch?
also nur zum Verständnis bzw. zur Kontrolle:
ich habe im IIS die Seiten vom WSUS auf SSL umgestellt und dann noch im WSUSUtil den WSUS auf SSL umgestellt.
Der Befehl, den ich im Syntax eingegeben habe lautete:
"WSUSUtil.exe ConfigureSSL WSUS".....
Gibts du hier nochmal extra den Port 8531 an? Das habe ich nämlich nicht, weil er den ja sowieso automatisch unterm Befehl dann als URL angibt. Oder mach ich hier irendwas falsch?
Zitat von @DosenBier:
Gibts du hier nochmal extra den Port 8531 an? Das habe ich nämlich nicht, weil er den ja sowieso automatisch unterm Befehl dann als URL angibt. Oder mach ich hier irendwas falsch?
Gibts du hier nochmal extra den Port 8531 an? Das habe ich nämlich nicht, weil er den ja sowieso automatisch unterm Befehl dann als URL angibt. Oder mach ich hier irendwas falsch?
Jepp, der Port muss m.E. angegeben werden.
Mhm, wenn ich den Port 8531 mitgebe, dann kommt aber als Rückmeldung zurück:
URL: https://CBWSUS:8531:8531
Das glaub ich kann dann auch nicht richtig sein ^^
Sonst noch Ideen?
URL: https://CBWSUS:8531:8531
Das glaub ich kann dann auch nicht richtig sein ^^
Sonst noch Ideen?
Nee, dann ist mein Hinweis nicht ok.
Aber wieso kannst Du Dich dann mit 8530 verbinden?
Ist die Portumstellung sauber durchgelaufen, ggfs. zurückstellen und wieder umstellen.
Oder mal lauschen auf welchem Port das wirklich läuft.
Aber wieso kannst Du Dich dann mit 8530 verbinden?
Ist die Portumstellung sauber durchgelaufen, ggfs. zurückstellen und wieder umstellen.
Oder mal lauschen auf welchem Port das wirklich läuft.
Mhm, vielleicht war meine Problembeschreibung noch nicht ganz verständlich....
Ich kann den WSUS nur unter Port 8530 erreichen, wenn ich natürlich im IIS die Seiten wieder auf ohne SSL konfiguriere.
Sobald ich aber SSL aktiviere, auch das WSUSUtil auf SSL ausführe, dann komme ich nicht mehr dran.
Jetzt weiß ich halt nicht, obs vielleicht am Zetifikat liegt oder irgendwo anders? Über Telnet komme ich zumindest auf Port 8531 dran. Und auch der Test auf https://wsus.test.de:8531/selfupdate/wuident.cab lässt mich die Datei wuident.cab herunterladen.
Nur der Client kommt nicht an den WSUS und wird dort auch nicht angezeigt
Ich kann den WSUS nur unter Port 8530 erreichen, wenn ich natürlich im IIS die Seiten wieder auf ohne SSL konfiguriere.
Sobald ich aber SSL aktiviere, auch das WSUSUtil auf SSL ausführe, dann komme ich nicht mehr dran.
Jetzt weiß ich halt nicht, obs vielleicht am Zetifikat liegt oder irgendwo anders? Über Telnet komme ich zumindest auf Port 8531 dran. Und auch der Test auf https://wsus.test.de:8531/selfupdate/wuident.cab lässt mich die Datei wuident.cab herunterladen.
Nur der Client kommt nicht an den WSUS und wird dort auch nicht angezeigt
Moin,
Hast du auch in der Windows Firewall dem Port dafür geöffnet?
Gruß,
Dani
Ich kann den WSUS nur unter Port 8530 erreichen, wenn ich natürlich im IIS die Seiten wieder auf ohne SSL konfiguriere.
du fügst für die 8531 eine eigene Bindung unter Auswahl des SSL-Zertifikat im IIS hinzu?Hast du auch in der Windows Firewall dem Port dafür geöffnet?
Gruß,
Dani
Servus,
Jo, hab ich alles gemaht wie in der Anleitung.
Hier bin ich halt auch nicht sicher, ob das Zertifikat so passt...ich habe nämlich ein Zertifikat "WSUS" ausgestellt und das in der Bindung hinterlegt. Da aber die Clients ja nicht lokal mit dem WSUS verbunden sind, gehen die von extern auf "https://wsus.meinedomain.de:8531" (die Subdomain zeigt dann auf die öffentliche IP vom Strato-WSUS).
Der Port war zwar schon hinzugefügt, aber ich hab ihn händisch nochmal hinzugefügt, aber keine Veränderung.
Jo, hab ich alles gemaht wie in der Anleitung.
Hier bin ich halt auch nicht sicher, ob das Zertifikat so passt...ich habe nämlich ein Zertifikat "WSUS" ausgestellt und das in der Bindung hinterlegt. Da aber die Clients ja nicht lokal mit dem WSUS verbunden sind, gehen die von extern auf "https://wsus.meinedomain.de:8531" (die Subdomain zeigt dann auf die öffentliche IP vom Strato-WSUS).
Der Port war zwar schon hinzugefügt, aber ich hab ihn händisch nochmal hinzugefügt, aber keine Veränderung.
Moin,
Gruß,
Dani
Da aber die Clients ja nicht lokal mit dem WSUS verbunden sind, gehen die von extern auf "https://wsus.meinedomain.de:8531" (die Subdomain zeigt dann auf die öffentliche IP vom Strato-WSUS).
Dir ist aber schon klar, dass der Strao WSUS Server ebenfalls auf 8531 hören muss? Sonst wird das nicht klappen.Gruß,
Dani
Jo, das klappt ja auch, sonst würde ich ja auch keine Datei von https://wsus.test.de:8531/selfupdate/wuident.cab runterladen können.
Moin,
beschreib nun noch einmal im Detail mit technischen Informationen, was du genau vor hast und welche Rahmenbedingungen es gibt. Denn aktuell vermute ich ein logisches als ein technisches Problem.
Gruß,
Dani
beschreib nun noch einmal im Detail mit technischen Informationen, was du genau vor hast und welche Rahmenbedingungen es gibt. Denn aktuell vermute ich ein logisches als ein technisches Problem.
Gruß,
Dani
Den neuen Port hast Du den Clients (per GPO) schon mitgeteilt, oder?
@Dani
Ich möchte eigentlich nur einen WSUS auf nem gehosteten Standalone-Server aufsetzen, mit dem dann die Kunden-WSUS syncen können. Und das eben über SSL. Zum testen hatte ich daher nur einen Client von extern versucht an den gehosteten WSUS-Server anzubinden, eben erfolgreich ohne SSL, sobald ich auf SSL umstelle, komme ich nicht mehr ran.
@sabines
Jo, habe ich.
Ich möchte eigentlich nur einen WSUS auf nem gehosteten Standalone-Server aufsetzen, mit dem dann die Kunden-WSUS syncen können. Und das eben über SSL. Zum testen hatte ich daher nur einen Client von extern versucht an den gehosteten WSUS-Server anzubinden, eben erfolgreich ohne SSL, sobald ich auf SSL umstelle, komme ich nicht mehr ran.
@sabines
Jo, habe ich.
So, ich bin jetzt schon mal nach ein wenig Suchen ein wenig schlauer als zuvor, im Log vom Windows Update am Client konnte ich folgenden Fehler finden:
2019.07.18 11:41:23.0178061 5484 2652 WebServices WS error: Fehler bei der Kommunikation mit dem Endpunkt bei https://wsus.collas-buerowelt.de:8531/SimpleAuthWebService/SimpleAuth.as ...;
2019.07.18 11:41:23.0186073 5484 2652 WebServices WS error: Die Zertifizierungsstelle ist ung??ltig oder fehlerhaft.
Tja, daran werd ich jetzt wohl scheitern, da es keinerlei Tipps und Tricks gibt, einen WSUS für externe Clients und Server mit SSL bereitzustellen.
Sch**ss auf SSL, ich stell wieder auf http um, da funktioniert das ganze wenigstens
2019.07.18 11:41:23.0178061 5484 2652 WebServices WS error: Fehler bei der Kommunikation mit dem Endpunkt bei https://wsus.collas-buerowelt.de:8531/SimpleAuthWebService/SimpleAuth.as ...;
2019.07.18 11:41:23.0186073 5484 2652 WebServices WS error: Die Zertifizierungsstelle ist ung??ltig oder fehlerhaft.
Tja, daran werd ich jetzt wohl scheitern, da es keinerlei Tipps und Tricks gibt, einen WSUS für externe Clients und Server mit SSL bereitzustellen.
Sch**ss auf SSL, ich stell wieder auf http um, da funktioniert das ganze wenigstens
Moin,
wir haben ein ähnliches Konstrukt am Laufen... ohne Probleme. Wir nutzen dafür Windows Server 2012R2 Standard.
Woher stammt das SSL-Zertfikat welches du für die Website im IIS konfiguriert hast? Ah Self-Signed... das ist natürlich Mist. Am Besten einen Let' Encrypt Client für Windows installieren und anschließend für die Domain bzw. Webseite ein SSL Zertifikat abrufen.
Gruß,
Dani
wir haben ein ähnliches Konstrukt am Laufen... ohne Probleme. Wir nutzen dafür Windows Server 2012R2 Standard.
Woher stammt das SSL-Zertfikat welches du für die Website im IIS konfiguriert hast? Ah Self-Signed... das ist natürlich Mist. Am Besten einen Let' Encrypt Client für Windows installieren und anschließend für die Domain bzw. Webseite ein SSL Zertifikat abrufen.
Gruß,
Dani
