WSUS Update Fehler 80244019 nach Umstellen auf SSL Port 8531

[fireblade2000 11]

Hallo zusammen,

 

ich steh gerade ein wenig auf dem Schlauch. Wir haben einen neuen WSUS auf 2012 R2 installiert. Soweit IMHO richtig konfiguriert. Funktioniert auch ohne SSL Problemlos. Nach Umstellen auf SSL geht aber nichts mehr.

 

Dann zu Sicherheit jetzt schon 3mal penible genau die SSL Anleitung http://www.wsus.de/ssl_kommunikation befolgt inkl. Groß-/Kleinschreibung beim Zertifikat und in den GPOs. Natürlich außer die Certstelle installieren, da nutzen wir unsere vorhandene.

 

Per IE lassen sich auch Seiten per https aufrufen

• https://kawupdate:8531/selfupdate/wuident.cab
• https://kawupdate:8531/selfupdate/iuident.cab
• https://kawupdate:8531/simpleauthwebservice/simpleauth.asmx

 

So jetzt meckert aber der Client (egal ob W7, W10, 2008 R2 oder W2012R2) Fehler 80244019 und im Windows Update Log finde ich diesen Teil hier:

+++++++++++  PT: Synchronizing server updates  +++++++++++
  + ServiceId = {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}, Server URL = https://KAWUPDATE:8531/ClientWebService/client.asmx
WARNING: Nws Failure: errorCode=0x803d000d
WARNING: Fehler bei der Kommunikation mit dem Endpunkt bei "https://KAWUPDATE:8531/ClientWebService/client.asmx".
WARNING: Vom Server wurde der HTTP-Statuscode "404 (0x194)" mit dem Text "Not Found" zurückgegeben.
WARNING: Die angeforderte Ressource wurde nicht gefunden.
WARNING: Web service call failed with hr = 80244019.
WARNING: Current service auth scheme='None'.
WARNING: Proxy List used: '(null)', Bypass List used: '(null)', Last Proxy used: '(null)', Last auth Schemes used: 'None'.
FATAL: OnCallFailure(hrCall, m_error) failed with hr=0x80244019
WARNING: PTError: 0x80244019
WARNING: GetConfig_WithRecovery failed: 0x80244019
WARNING: RefreshConfig failed: 0x80244019
WARNING: RefreshPTState failed: 0x80244019
WARNING: Sync of Updates: 0x80244019
WARNING: SyncServerUpdatesInternal failed: 0x80244019

Er meckert 404 bei diese Link: https://KAWUPDATE:8531/ClientWebService/client.asmx

 

Rufe ich den aber von Hand auf geht er Problemlos. Da kommt z.B. das hier:

Client Dienst


Sie haben einen Dienst erstellt.

Zum Testen dieses Diensts müssen Sie einen Client erstellen und ihn zum Aufrufen des Diensts verwenden. Sie können dies mithilfe des Tools "svcutil.exe tool" auf der Befehlszeile ausführen, indem Sie folgende Syntax verwenden:

svcutil.exe https://kawupdate.zfp.local:8531/ClientWebService/Client.asmx?wsdl

Sie können auf die Dienstbeschreibung auch als einzelne Datei zugreifen:

https://kawupdate.zfp.local:8531/ClientWebService/Client.asmx?singleWsdl



Durch diesen Vorgang werden eine Konfigurationsdatei und eine Codedatei generiert, die die Clientklasse enthält. Fügen Sie dem Client die beiden Dateien hinzu, und verwenden Sie die generierte Clientklasse zum Aufrufen des Diensts. Beispiel:


C#
class Test
{
    static void Main()
    {
        ClientWebServiceClient client = new ClientWebServiceClient();

        // Verwenden Sie die client-Variable, um Vorgänge für den Dienst aufzurufen.

        // Schließen Sie den Client immer.
        client.Close();
    }
}



Visual Basic
Class Test
    Shared Sub Main()
        Dim client As ClientWebServiceClient = New ClientWebServiceClient()
        ' Verwenden Sie die client-Variable, um Vorgänge für den Dienst aufzurufen.

        ' Schließen Sie den Client immer.
        client.Close()
    End Sub
End Class

Jemand ne Idee wo ich noch was drehen muss?

 

Firewall am Server ist gerade Testweise auf ALL ALL, hat aber auch nichts gebracht

Ich geh mal noch die Schritte von dem letzten KB Problem durch, vielleicht hilft das: https://support.microsoft.com/de-de/kb/3159706

bearbeitet 2. Juni 2016 von fireblade2000

[Sunny61 810]

Das kommt mir bekannt vor, hast Du das schon im Technet gepostet? https://social.technet.microsoft.com/Forums/de-DE/07efdbc8-4961-458a-bd5f-0bb20ba77063/wsus-keine-updates-wg-fehler-0x80244019?forum=windowsserver8de

[zahni 559]

Zum Problem: Hast Du das Zertifikat für kawupdate oder kawupdate.zfp.local ausgestellt? 

Probiere in der GPO mal https://kawupdate.zfp.local:8531

Zu beachten ist: 8530 muss "offen" bleiben, da  die Updates weiter von dort heruntergeladen werden.

 

PS: Wenn ich bei uns ClientWebService/Client.asmx direkt aufrufe, sehe ich nur einen Runtime Error. K.A. warum.

Ansonsten funktioniert er aber über SSL.

 

@Sunny61,

 

mit ist bei der Anleitung gerade was aufgefallen:

 

http://www.wsus.de/images/content/WSUS_SSL_CA/13_WSUS_SSL.png

 

SHA1 sollte man nicht mehr verwenden...

bearbeitet 2. Juni 2016 von zahni

[fireblade2000 11]

Ich hab beide Varianten probiert: mit FQDN und ohne, natürlich dann entsprechend jeweils das Zerti angepasst. Hab es jeweils über den IIS vom WSUS über die Domänenanforderung erstellen lassen. Könnte natürlich auch mal eins händisch mit beiden Varianten über unsern Zertifizierungsstelle erstellen lassen. Interessant ist ja das die client.asmx dann auf einmal mit FQDN auflösen möchte...

 

8530 ist weiterhin als Bindung drin und in der Firewall offen

 

das mit SHA1 sollte bei mir aber nicht das Problem sein, oder? Ist natürlich noch SHA1.

 

@Sunny61

Nein hab ich noch nicht gepostet, werde ich dann mal tun wenn ich hier nicht weiterkomme.

[Sunny61 810]

8530 ist weiterhin als Bindung drin und in der Firewall offen

8531 ist auch auf beiden Seiten erreichbar? Client ausgehend und Server eingehend?

 

das mit SHA1 sollte bei mir aber nicht das Problem sein, oder? Ist natürlich noch SHA1.

Kannst Du die CA aktualisieren und dann ein neues Cert ausstellen?

 

@Sunny61

Nein hab ich noch nicht gepostet, werde ich dann mal tun wenn ich hier nicht weiterkomme.

Nein, so meinte ich das nicht. Ich wollte damit nur fragen ob Du das im Technet gewesen bist. ;)

 

 

@Sunny61,

 

mit ist bei der Anleitung gerade was aufgefallen:

 

http://www.wsus.de/images/content/WSUS_SSL_CA/13_WSUS_SSL.png

 

SHA1 sollte man nicht mehr verwenden...

Danke, das könnte man bei Gelegenheit aktualisieren. ;)

[fireblade2000 11]

8531 ist auch auf beiden Seiten erreichbar? Client ausgehend und Server eingehend?

Ja Server eingehend ist erreichbar und Firewallregel definiert. Client ausgehend ist offen und WSUS auch per WEB erreichbar

 

Kannst Du die CA aktualisieren und dann ein neues Cert ausstellen?

Auf die schnelle wahrscheinlich nicht, bzw. muss mich da erst noch informieren ob das dann irgendeine Auswirkung auf unsere CA-Server hat.

Also bei uns ist SHA1 und auch nur 2048 Länge. Könnte das ein Problem sein?

 

Nein, so meinte ich das nicht. Ich wollte damit nur fragen ob Du das im Technet gewesen bist. ;)

Achso, ne. Den Artikel hab ich auch schon durchgelesen

So, ich hab jetzt die Änderungen im KB Artikel https://support.microsoft.com/en-us/kb/3159706, abgearbeitet. Und fast nen Fehler eingebaut, man sollte nicht die deutsche Übersetzung nehmen :-)

 

Da hier die Config aus eben dem Bereich "ClientWebService" angepasst wird, bin ich mal zuversichtlich das es nu einfach funktioniert *schönwärs*

 

Ein Server hat jetzt UPDATES gefunden, die anderen Suchen noch. Sieht gut aus, aber noch glaub ich nicht dran...

EDIT: Mmmh es scheint zu funktionieren. 4 gehen zumindest schon. Jetzt hab ich nur noch ein neues Problem, dass ich Clients habe die keinen Statusbericht erstellen/senden und deswegen den Fehler 80244010 bringen. Naja das krieg ich auch noch hin. Aber die anderen Clients und Server scheinen Updates zu bekommen.

 

Statusbericht gibt sich vlt. auch noch... einfach mal warten und Kaffee trinken

bearbeitet 2. Juni 2016 von fireblade2000

[Sunny61 810]

So, ich hab jetzt die Änderungen im KB Artikel https://support.microsoft.com/en-us/kb/3159706, abgearbeitet. Und fast nen Fehler eingebaut, man sollte nicht die deutsche Übersetzung nehmen :-)

 

Da hier die Config aus eben dem Bereich "ClientWebService" angepasst wird, bin ich mal zuversichtlich das es nu einfach funktioniert *schönwärs*

 

Ein Server hat jetzt UPDATES gefunden, die anderen Suchen noch. Sieht gut aus, aber noch glaub ich nicht dran...

 

EDIT: Mmmh es scheint zu funktionieren. 4 gehen zumindest schon. Jetzt hab ich nur noch ein neues Problem, dass ich Clients habe die keinen Statusbericht erstellen/senden und deswegen den Fehler 80244010 bringen. Naja das krieg ich auch noch hin. Aber die anderen Clients und Server scheinen Updates zu bekommen.

Na super, freut mich für Dich und Danke für die Rückmeldung. ;)

 

Kannst Du den Fehler der Übersetzung kurz aufzeigen? Dann könnte man versuchen das korrigieren zu lassen.

 

Den 80244010 Fehler kriegst Du mit dem Hammer vermutlich weg:

 

net stop wuauserv

rd /s /q %windir%\SoftwareDistribution

net start wuauserv

 

wuauclt /detectnow

wuauclt /reportnow

10 Minuten warten, jetzt suchen lassen.

[fireblade2000 11]

Ja kann ich. Es wurde die Config der web.config Datei teilweise mitübersetzt:

 

Bsp: "endpoint Adress" wurde zu "Endpunktadresse", dann wurde an mehreren Stellen das Ende falsch abgeschlossen anstatt "/ >" dann "/ >"

 

Original

<services>
            <service
                name="Microsoft.UpdateServices.Internal.Client"
                behaviorConfiguration="ClientWebServiceBehaviour">
                <!-- 
                  These 4 endpoint bindings are required for supporting both http and https
                -->
                <endpoint address=""
                        binding="basicHttpBinding"
                        bindingConfiguration="SSL"
                        contract="Microsoft.UpdateServices.Internal.IClientWebService" />
                <endpoint address="secured"
                        binding="basicHttpBinding"
                        bindingConfiguration="SSL"
                        contract="Microsoft.UpdateServices.Internal.IClientWebService" />
                <endpoint address=""
                        binding="basicHttpBinding"
                        bindingConfiguration="ClientWebServiceBinding"
                        contract="Microsoft.UpdateServices.Internal.IClientWebService" />
                <endpoint address="secured"
                        binding="basicHttpBinding" 
                        bindingConfiguration="ClientWebServiceBinding"
                        contract="Microsoft.UpdateServices.Internal.IClientWebService" />
            </service>
        </services>

4.Add the following attribute (shown in bold) to the bottom of the Web.Config file:
</bindings>
<serviceHostingEnvironment aspNetCompatibilityEnabled="true" multipleSiteBindingsEnabled="true" />
</system.serviceModel> 

Übersetzung

Name="Microsoft.UpdateServices.Internal.Client"
 BehaviorConfiguration = "ClientWebServiceBehaviour" >
<!-- 
These 4 endpoint bindings are required for supporting both http and https
 -->
<endpoint address=""></endpoint>
Binding = "BasicHttpBinding"
BindingConfiguration = "SSL"
Contract="Microsoft.UpdateServices.Internal.IClientWebService" / >
<endpoint address="secured"></endpoint>
Binding = "BasicHttpBinding"
BindingConfiguration = "SSL"
Contract="Microsoft.UpdateServices.Internal.IClientWebService" / >
 < Endpunktadresse = ""
 Binding = "BasicHttpBinding"
 BindingConfiguration = "ClientWebServiceBinding"
 Contract="Microsoft.UpdateServices.Internal.IClientWebService" / >
 < Endpunktadresse = "gesichert"
 Binding = "BasicHttpBinding" 
 BindingConfiguration = "ClientWebServiceBinding"
 Contract="Microsoft.UpdateServices.Internal.IClientWebService" / >

 < / service >

4. < / services >

<serviceHostingEnvironment aspnetcompatibilityenabled="true"></serviceHostingEnvironment>MultipleSiteBindingsEnabled = "true" / >

Hammermethode werde ich testen, danke :thumb1:

Hammermethode hat leider bei keinem der "nichtgehenden" etwas gebracht. Falls jemand noch ne Idee hat, hier das Log. Ich wird jetzt mal Bingen

2016-06-02	17:13:29:967	 460	1d0	PT	+++++++++++  PT: Synchronizing server updates  +++++++++++
2016-06-02	17:13:29:968	 460	1d0	PT	  + ServiceId = {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}, Server URL = https://KAWUPDATE:8531/ClientWebService/client.asmx
2016-06-02	17:13:29:982	 460	1d0	PT	WARNING: Cached cookie has expired or new PID is available
2016-06-02	17:13:29:982	 460	1d0	PT	Initializing simple targeting cookie, clientId = 8fe7b76b-1f77-4592-a8e7-2b0f802a3aa9, target group = Clients, Standard, DNS name = pc-0603.zfp.local
2016-06-02	17:13:29:982	 460	1d0	PT	  Server URL = https://KAWUPDATE:8531/SimpleAuthWebService/SimpleAuth.asmx
2016-06-02	17:14:33:620	 460	1d0	Misc	WARNING: Send failed with hr = 80072ee2.
2016-06-02	17:14:33:621	 460	1d0	Misc	WARNING: SendRequest failed with hr = 80072ee2. Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <>
2016-06-02	17:14:33:621	 460	1d0	Misc	FATAL: SOAP/WinHttp - SendRequest: SendRequestUsingProxy failed. error 0x80072ee2
2016-06-02	17:14:33:621	 460	1d0	PT	  + Last proxy send request failed with hr = 0x80072EE2, HTTP status code = 0
2016-06-02	17:14:33:621	 460	1d0	PT	  + Caller provided credentials = No
2016-06-02	17:14:33:621	 460	1d0	PT	  + Impersonate flags = 0
2016-06-02	17:14:33:621	 460	1d0	PT	  + Possible authorization schemes used = 
2016-06-02	17:14:33:621	 460	1d0	PT	WARNING: SyncUpdates failure, error = 0x80072EE2, soap client error = 5, soap error code = 0, HTTP status code = 200
2016-06-02	17:14:33:621	 460	1d0	PT	WARNING: PTError: 0x80072ee2
2016-06-02	17:14:33:621	 460	1d0	PT	WARNING: SyncUpdates_WithRecovery failed.: 0x80072ee2
2016-06-02	17:14:33:621	 460	1d0	PT	WARNING: Sync of Updates: 0x80072ee2
2016-06-02	17:14:33:621	 460	1d0	PT	WARNING: SyncServerUpdatesInternal failed: 0x80072ee2
2016-06-02	17:14:33:621	 460	1d0	Agent	  * WARNING: Failed to synchronize, error = 0x80072EE2
2016-06-02	17:14:33:622	 460	1d0	Agent	  * WARNING: Exit code = 0x80072EE2
2016-06-02	17:14:33:622	 460	1d0	Agent	*********
2016-06-02	17:14:33:622	 460	1d0	Agent	**  END  **  Agent: Finding updates [CallerId = AutomaticUpdates]
2016-06-02	17:14:33:622	 460	1d0	Agent	*************

drück ich am gleichen Client noch mal auf Suchen kommt auch der hier:

2016-06-02	17:16:00:923	 460	1d0	PT	+++++++++++  PT: Synchronizing server updates  +++++++++++
2016-06-02	17:16:00:923	 460	1d0	PT	  + ServiceId = {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}, Server URL = https://KAWUPDATE:8531/ClientWebService/client.asmx
2016-06-02	17:18:45:770	 460	1d0	PT	WARNING: Exceeded max server round trips: 0x80244010
2016-06-02	17:18:45:770	 460	1d0	PT	WARNING: Sync of Updates: 0x80244010
2016-06-02	17:18:45:770	 460	1d0	PT	WARNING: SyncServerUpdatesInternal failed: 0x80244010
2016-06-02	17:18:45:770	 460	1d0	Agent	  * WARNING: Failed to synchronize, error = 0x80244010
2016-06-02	17:18:45:770	 460	1d0	Agent	  * WARNING: Exit code = 0x80244010
2016-06-02	17:18:45:770	 460	1d0	Agent	*********
2016-06-02	17:18:45:770	 460	1d0	Agent	**  END  **  Agent: Finding updates [CallerId = AutomaticUpdates]
2016-06-02	17:18:45:770	 460	1d0	Agent	*************
2016-06-02	17:18:45:770	 460	1d0	Agent	WARNING: WU client failed Searching for update with error 0x80244010
2016-06-02	17:18:45:774	 460	10d0	AU	>>##  RESUMED  ## AU: Search for updates [CallId = {0E031818-6C18-48FF-9359-AFB631D67DB6}]
2016-06-02	17:18:45:774	 460	10d0	AU	  # WARNING: Search callback failed, result = 0x80244010
2016-06-02	17:18:45:774	 460	10d0	AU	  # WARNING: Failed to find updates with error code 80244010
2016-06-02	17:18:45:774	 460	10d0	AU	#########
2016-06-02	17:18:45:774	 460	10d0	AU	##  END  ##  AU: Search for updates [CallId = {0E031818-6C18-48FF-9359-AFB631D67DB6}]
2016-06-02	17:18:45:774	 460	10d0	AU	#############

[Sunny61 810]

Wegen dem 80244010er Fehler, lass ihn ruhen, am besten etwas Zeit geben, dann sollte sich das von selbst erledigen.

 

Vielen Dank für den Übersetzungsfehler, ich versuche das an die richtige Stelle weiterzuleiten. ;)

[fireblade2000 11]

OK also einfach Feierabend machen und morgen nochmal schauen :cool:

[Sunny61 810]

OK also einfach Feierabend machen und morgen nochmal schauen :cool:

Genau. :)

[Sunny61 810]

Wie sieht es heute denn aus?

 

Den Übersetzungsfehler hab ich weitergeleitet, ob es was hilft wage ich allerdings zu bezweifeln. MSFT ist zu sehr mit sich selbst und mit dem Zwangsupgrade auf W10 beschäftigt, um sich um so etwas zu kümmern.

[fireblade2000 11]

Heute komme ich und es geht erstmal gar nix. Also lässt sich nicht mal die WSUS MMC öffnen und kein Rechner kann Updates suchen.

Komisch genau wegen diesem Problem haben wir den WSUS komplett neu aufgesetzt auf einer neuen VM... ist das irgendwie derzeit ein Windows Update Problem was den WSUS zerschießt.

 

Vermutlich mach ich nen Neustart des WSUS Servers und dann geht's wieder.

Mmm: Fehler ID: 13042, 12002, 12012, 12032, 12022, 12042, 12052, 12072 in denen die Web Dienste mit "nicht funktionsfähig" angemeckert werden. Genau das gleiche Problem wie beim alten Server

 

Hat da jemand schonmal was von gehört? Tritt seit dem letzten Update vom Alten WSUS Server auf. Da waren gefühlt ca. 30 Updates dabei. Muss man hier irgendwo noch nacharbeiten tätigen? Den einen hab ich ja gemacht, siehe oben.

[Sunny61 810]

Deinstalliere https://support.micr...n-us/kb/3159706 und starte anschließend den Server komplett neu durch. Geht es jetzt wieder?

[fireblade2000 11]

ok hab ich gemacht, mal schauen ob er jetzt wieder läuft.

 

Macht das Update Probleme auch wenn man die Nacharbeiten macht?