none
WSUS SSL konzole

    Dotaz

  • Zdravím,

     

    pokud by někdo dokázal odpovědět na toto, byl bych mu moc vděčný:

     pokouším se nastavit SSL na WSUS(OS 2008 R2) - tj. vytvořím si certifikát webového serveru s názvem update. domena.local, přidám do DNS A a PTR záznamy pro "update", nastavím "Require SSL" na příslušných částech webu dle návodu,(http://technet.microsoft.com/en-us/library/bb633246.aspx) a spustím wsusutil configuressl.

     Certifikát je vygenerován privátní CA, pomocí certmgr, certifikát CA je uložišti důvěryhodných cert. autorit počítače i uživatele.

     Updaty fungují, počítače je mohou stahovat, problém je, že není možné otevřít WSUS konzoli(resp. konzole se nepřipojí k serveru). Ověření certifikátu evidentně projde, pokud tam dám jiný, objeví se hláška o neplatném certifikátu, navíc s touto chybou koreluje v IIS logu zřejmě chyba 401(která asi souvisí s nastavením na složce /ApiRemoting30, kde je zapnutá pouze Windows Autentizace a response type je právě 401).

    Jakmile se vrátím k nastavení bez SSL, začne fungovat i konzole. Zkoušel jsem i přeinstalovat WSUS, ale chová se stále stejně. Jedná se nově nainstalovaný server. Zkoušel jsem hledat řešení na netu, ale většina se týká trochu jiných chyb(i když se stále jedná o ID 7032). Nejblíže byl asi dotaz, na který bylo odpovězeno, že je třeba zkontrolovat providery ověření(Negotiate, NTLM), popř. změnit pořadí, ale mém případě se nic nezměnilo.

    Díky.

    Konkrétní chyby:

    V aplikačním logu je warning 7032: The WSUS administration console was unable to connect to the WSUS Server via the remote API a podrobný výpis chyby:

    Verify that the Update Services service, IIS and SQL are running on the server. If the problem persists, try restarting IIS, SQL, and the Update Services Service.

    System.Net.WebException -- The request failed with HTTP status 403: Forbidden.

    Source
    System.Web.Services

    Stack Trace:
       at System.Web.Services.Protocols.SoapHttpClientProtocol.ReadResponse(SoapClientMessage message, WebResponse response, Stream responseStream, Boolean asyncCall)
       at System.Web.Services.Protocols.SoapHttpClientProtocol.Invoke(String methodName, Object[] parameters)
       at Microsoft.UpdateServices.Internal.ApiRemoting.ExecuteSPGetComputerCount(String computerTargetScopeXml)
       at Microsoft.UpdateServices.Internal.DatabaseAccess.AdminDataAccessProxy.ExecuteSPGetComputerCount(String computerTargetScopeXml)
       at Microsoft.UpdateServices.UI.AdminApiAccess.AdminApiTools.ConvertToUpdateScope(ExtendedUpdateScope extendedUpdateScope)
       at Microsoft.UpdateServices.UI.SnapIn.Pages.UpdatesSummaryPage.GetStatusChart(UpdateListScope scope)
       at Microsoft.UpdateServices.UI.SnapIn.Pages.UpdatesSummaryPage.GetScopeStatusCharts()
       at Microsoft.UpdateServices.UI.SnapIn.Pages.UpdatesSummaryPage.backgroundWorker_DoWork(Object sender, DoWorkEventArgs e)
       at System.ComponentModel.BackgroundWorker.WorkerThreadStart(Object argument)

    A výpis IIS logu zde:

    GET /selfupdate/iuident.cab - 8531 - x.x.x.x - 200 0 0 0
    2011-09-23 09:41:35 x.x.x.x POST /reportingwebservice/reportingwebservice.asmx - 8531 - x.x.x.x Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.5446) 200 0 0 0
    2011-09-23 09:41:35 x.x.x.x POST /ApiRemoting30/WebService.asmx - 8531 - x.x.x.x Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.5446) 401 2 5 0
    2011-09-23 09:41:35 x.x.x.x POST /ApiRemoting30/WebService.asmx - 8531 - x.x.x.x Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.5446) 401 1 3221225581 0
    2011-09-23 09:41:37 x.x.x.x POST /ServerSyncWebService/serversyncwebservice.asmx - 8531 - x.x.x.x Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.5446) 200 0 0 1123
    2011-09-23 09:41:37 x.x.x.x POST /ClientWebService/Client.asmx - 8531 - x.x.x.x Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.5446) 200 0 0 436
    2011-09-23 09:41:37 x.x.x.x POST /SimpleAuthWebService/SimpleAuth.asmx - 8531 - x.x.x.x Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.5446) 200 0 0 343
    2011-09-23 09:41:38 x.x.x.x POST /DssAuthWebService/DssAuthWebService.asmx - 8531 - x.x.x.x Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.5446) 200 0 0 436


    sfs
    23. září 2011 10:12

Odpovědi

  • Ahoj,

    nechtělo by to ještě přidat další doménová jména do toho certifikátu? Jako třeba update, název počítače, atd..?

    No jinak co vidím z toho logu, tak se jednoduše připojuje ta konzole MMC přes "HTTP"

    Co třeba toto?

    6 – And now the Snap-in lives at
    Start --> Administrative Tools --> Microsoft Windows Server Update Services v3.0 (You can of course, create a shortcut on your desktop or quick launch bar)

    The first time it’s run – you just have to add the server – On the upper right hand side – click on “Connect to Server” - then add your desired server (<insert Server name here> – port is <8530 or 80> and DO <or do not>NOT use SSL.

    • Označen jako odpověď fandango71 23. září 2011 14:29
    23. září 2011 10:21
  • ANo, port mám nastavený správně, jinak by se mi to ani nepřipojilo k IIS-ku(viz logy), ale:

     Podařilo se mi to zprovoznit a problém je opravdu někde v IIS. Server se nejmenuje update, ale hostname je jiný. Chtěl jsem aby služby na serveru měly vlastní FQDN a neodkazovalo se pouze na název serveru(v síti se pak lépe hledá server update než SRVPK022).

     Pokud si vygeneruji certifikát se stejným názvem, jako je FQDN serveru, tak to najednou funguje.

    Upozorňuji, že DNS jsem měl nastavené, klienti se připojili, jen konzole+IIS odmítá spolupracovat s názvem update. Pokud někdo ví proč, nechť se pochlubí :-), celkem by mě zajímalo, co za tím je.

     každopádně potřebuji WSUS rozchodit, takže to nechám, jak to je a označuji za vyřešené.

    Díky všem zůčastněným.

    B.


    sfs
    • Označen jako odpověď fandango71 23. září 2011 12:12
    23. září 2011 12:12

Všechny reakce

  • Ahoj,

    nechtělo by to ještě přidat další doménová jména do toho certifikátu? Jako třeba update, název počítače, atd..?

    No jinak co vidím z toho logu, tak se jednoduše připojuje ta konzole MMC přes "HTTP"

    Co třeba toto?

    6 – And now the Snap-in lives at
    Start --> Administrative Tools --> Microsoft Windows Server Update Services v3.0 (You can of course, create a shortcut on your desktop or quick launch bar)

    The first time it’s run – you just have to add the server – On the upper right hand side – click on “Connect to Server” - then add your desired server (<insert Server name here> – port is <8530 or 80> and DO <or do not>NOT use SSL.

    • Označen jako odpověď fandango71 23. září 2011 14:29
    23. září 2011 10:21
  • Ahoj,

     předem díky za rychlou odpověď.

    V tom certifikátu je FQDN, zkrácenou verzi jsem uvedl pouze z důvodu lenosti :-). Jak jsem psal, SSL zřejmě projde, jelikož při chybném certifikátu řve konzole správnou chybu(tj. že název v certifikátu nesouhlasí se zadaným názvem serveru).

    Jinak po instalaci to normálně funguje, konzolí se připojím atd., jakmile ale nakonfiguruji SSL, tak nejde konzole(zatímco updaty jako takové ano - počítače jsou schopné načítat ze serveru aktualizace). na server se připojuji správně(update.domain.local, port zadám 8531 a automaticky se zaškrtne použití SSL)

    Konzole se určitě připojuje přes HTTP, řekl bych, že problém je v konfiguraci IIS, jenže se v tom nechci vrtat, nevím kde přesně je problém.


    sfs
    23. září 2011 11:08
  • Ja se zeptam asi trosku hloupe - v te konzoli mas nastaveno, ze se ma pripojovat na port 443 pomoci SSL?
    BB
    23. září 2011 11:12
  • + mě ještě napadlo, jestli nemáš v IIS nastavené vynutit ssl a pokud není tak odpojit...
    23. září 2011 11:13
  • kde bych to konkrétně našel?

     

    mam tam na příslušných adresářích na webu WSUS administration nastaveno Require SSL(+ ignorovat klientské certifikáty), přesně, jak je v návodu, navíc jesm objevil, že to je spojeno s další chybou, což je poněkud zvláštní, jelikož bez SSL to funguje, navíc je to účet domain admina a skupina domain admins je ve skupině WSUS Administrators:

    + důležitá informace: vše běží na jedné mašině

    --------------------------------------------------------------------------------

    An account failed to log on.

    Network Information:
        Workstation Name:    servername
        Source Network Address:    x.x.x.x
        Source Port:        60856

    Detailed Authentication Information:
        Logon Process:       
        Authentication Package:    NTLM
        Transited Services:    -
        Package Name (NTLM only):    -
        Key Length:        0

    This event is generated when a logon request fails. It is generated on the computer where access was attempted.

    The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

    The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).

    The Process Information fields indicate which account and process on the system requested the logon.

    The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

    The authentication information fields provide detailed information about this specific logon request.
        - Transited services indicate which intermediate services have participated in this logon request.
        - Package name indicates which sub-protocol was used among the NTLM protocols.
        - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.


    sfs
    23. září 2011 11:34
  • Ahoj,

     ne, používám port 8531, standardní jsou obsazené.

     


    sfs
    23. září 2011 11:40
  • OK, tak 8531. A je to v te konzoli nastaveno?
    BB
    23. září 2011 11:52
  • ANo, port mám nastavený správně, jinak by se mi to ani nepřipojilo k IIS-ku(viz logy), ale:

     Podařilo se mi to zprovoznit a problém je opravdu někde v IIS. Server se nejmenuje update, ale hostname je jiný. Chtěl jsem aby služby na serveru měly vlastní FQDN a neodkazovalo se pouze na název serveru(v síti se pak lépe hledá server update než SRVPK022).

     Pokud si vygeneruji certifikát se stejným názvem, jako je FQDN serveru, tak to najednou funguje.

    Upozorňuji, že DNS jsem měl nastavené, klienti se připojili, jen konzole+IIS odmítá spolupracovat s názvem update. Pokud někdo ví proč, nechť se pochlubí :-), celkem by mě zajímalo, co za tím je.

     každopádně potřebuji WSUS rozchodit, takže to nechám, jak to je a označuji za vyřešené.

    Díky všem zůčastněným.

    B.


    sfs
    • Označen jako odpověď fandango71 23. září 2011 12:12
    23. září 2011 12:12
  • á tak jsem měl pravdu:) chtělo to přidat další doménová jména do certifikátu:)

    To je to samé jako Exchange (Outlook když se k němu připojuje) - ten si také v lokální síti bere jméno počítače a vůbec ho nezajímá, když mu tam napíšeme třeba venkovní adresu, atd..

    23. září 2011 14:05
  • To trochu nechápu, jak dojde k tomu jménu počítače, já všude zadávám "update" a ne hostname a v certifikátu to je taky. Nebo ono si to vyžádá veškeré názvy pro danou IP?

    A ještě doplňující dotaz:

    Jak v certmgr při vytváření requestu zadám více názvů serveru?

    Díky.

    B.


    sfs
    23. září 2011 14:28
  • Tady je přímo video, které se tím zabývá:

    http://technet.microsoft.com/cs-cz/edge/vytvoreni-certifikatu-san

    No jak si to zjišťuje to netuším...myslím že to zase nebude zas takový problém...v lokální síti mu nějak ten server odpoví a v hlavičce to bude mít jméno toho počítače a pak k tomu stačí přidat lokální doménu a je to...

    23. září 2011 14:32