none
WSUS Patches in Netzlaufwerk legen RRS feed

  • Allgemeine Diskussion

  • Hallo, ich habe einen WSUS auf Server 2012R2 installiert. Als Speicherort für die Updates ist ein Netzlaufwerk angegeben.

    Ist das überhaupt zulässig? Wenn ich jetzt im WSUS auf "Synchronisieren" klicke läuft er durch, legt auch die Updates auf das Netzlaufwerk und zeigt "Synchronisierungsergebnis: Erfolgreich" an, im Eventlog steht jedoch:

    Fehler beim Herunterladen der Inhaltsdatei.
    Ursache: File cert verification failure.
    Quelldatei: /d/msdownload/update/software/crup/2016/04/windows10.0-kb3154879-x86_c7b4d1ac4829121785ae79b2df7550004eca089f.cab
    Zieldatei: C:\Program Files\Update Services\LogFiles\WSusTemp\C7B4D1AC4829121785AE79B2DF7550004ECA089F.cab

    Laut Internetforen ( https://social.technet.microsoft.com/Forums/windowsserver/en-US/634dc3f9-7ddd-4765-94bb-0257473a320d/file-failed-to-download?forum=winserverwsus)  kann das mit den Lokalen Berechtigungen zu tun haben. Ich kann die Lokalen Dienste ja nicht auf das Netzlaufwerk berechtigen, deswegen habe ich einfach den Server auf den Share direkt berechtigt, trotzdem kommt diese Fehlermeldung.

    Muss der WSUS Content ZWINGEND lokal liegen sodass die Lokalen Service Accounts darauf Zugriff haben?!


    Donnerstag, 14. April 2016 13:09

Alle Antworten

  • Hallo B93793,

    AFAIK ist bei Verwendung der WID nur ein lokaler Pfad - ausdrücklich keine Freigabe - möglich.

    Will man eine SQL-DB verwenden, kann diese unter bestimmten Voraussetzungen auf einem anderen (SQL-)Server liegen - eine normale Freigabe geht auch da nicht.

    Schau dir mal diese beiden Links an:

    https://technet.microsoft.com/de-de/library/hh852344.aspx#BKMK_1.3.

    https://geolevel.wordpress.com/2010/06/30/auslagerung-speicherort-von-wsus-auf-einen-netzwerkspeicherort/

    Gruß TechnikSC885

    Donnerstag, 14. April 2016 13:33
  • Am 14.04.2016 schrieb B93793:

    Hallo, ich habe einen WSUS auf Server 2012R2 installiert. Als Speicherort für die Updates ist ein Netzlaufwerk angegeben.

    Schlechte Idee.

    Ist das überhaupt zulässig? Wenn ich jetzt im WSUS auf "Synchronisieren" klicke läuft er durch, legt auch die Updates auf das Netzlaufwerk und zeigt "Synchronisierungsergebnis: Erfolgreich" an, im Eventlog steht jedoch:

    Fehler beim Herunterladen der Inhaltsdatei.
    Ursache: File cert verification failure. Quelldatei: /d/msdownload/update/software/crup/2016/04/windows10.0-kb3154879-x86_c7b4d1ac4829121785ae79b2df7550004eca089f.cab
    Zieldatei: C:\Program Files\Update Services\LogFiles\WSusTemp\C7B4D1AC4829121785AE79B2DF7550004ECA089F.cab

    Du kannst recht schnell das mit WSUSUTIL umstellen und erneut testen.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Freitag, 15. April 2016 04:59
  • Hi,

    hatte diese Woche das gleiche Problem in Verbindung mit SCCM und Automatic Deployment Rules. Geht aber um den gleichen Patch.

    Das Problem ist, dass das Root CA Certificate aus der digitalen Signatur des Patches nicht vertrauenswürdig ist:

    Patch kann unter 

    http://wsus.ds.download.windowsupdate.com/d/msdownload/update/software/crup/2016/04/windows10.0-kb3154879-x86_c7b4d1ac4829121785ae79b2df7550004eca089f.cab

    heruntergeladen werden.

    Lösung bei mir war das Root CA Cert manuell zu den Trusted Root Certification Authorities hinzuzufügen:

    Grüße,

    Sebastian


    • Bearbeitet Skock-IT Sonntag, 17. April 2016 09:12
    Sonntag, 17. April 2016 09:09
  • Am 17.04.2016 schrieb Skock-IT:

    Das Problem ist, dass das Root CA Certificate aus der digitalen Signatur des Patches nicht vertrauenswürdig ist:

    Nein, es fehlte das Zertifikat im Zertifikatsspeicher.

    Patch kann unter 

    heruntergeladen werden.

    Software downloadet man nur beim Hersteller.

    Lösung bei mir war das Root CA Cert manuell zu den Trusted Root Certification Authorities hinzuzufügen:

    Frag dich lieber, weshalb das Zertifikat nicht mehr da war.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Sonntag, 17. April 2016 10:07
  • Frag dich lieber, weshalb das Zertifikat nicht mehr da war.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Das Zertifikat ist schlichtweg weder auf einem neu installierten Windows 10 noch auf einem Windows 2012 R2 Server vorhanden. Beide Installationen können Updates aus dem Internet laden und somit auch die Root CAs von Microsoft beziehen.

    Komischerweise ist die 64bit Variante des Patches mit anderen Zertifikaten signiert.  Weiters ist zu hinterfragen warum Microsoft jetzt plötzlich Insider Previews in WSUS pumpt und dann nicht mal KB Artikel zu den Fixes bereitstellt.

    Da ist mal wieder was schwer in die Hose gegangen in Redmond. Ich werd mich hüten dieses CA auf meine WSUS Server zu installieren. Vor allem brauche ich keine Insider Previews am Wsus. Die werden alle auf declined gesetzt.

    Wenn du diese Zertifikate aber ohne zutun bei dir im CA Store zur Verfügung hast, wäre es sehr nett, wenn du mitteilen könntest, woher und wann du diese erhalten hast bzw. wie man sie offiziell einspielen kann.

    Montag, 18. April 2016 07:52
  • Am 18.04.2016 schrieb DI Thomas Koller:

    Komischerweise ist die 64bit Variante des Patches mit anderen Zertifikaten signiert.  Weiters ist zu hinterfragen warum Microsoft jetzt plötzlich Insider Previews in WSUS pumpt und dann nicht mal KB Artikel zu den Fixes bereitstellt.

    Wir wissen nicht, was Du im WSUS alles angehakt und freigegeben hast.

    Da ist mal wieder was schwer in die Hose gegangen in Redmond. Ich werd mich hüten dieses CA auf meine WSUS Server zu installieren. Vor allem brauche ich keine Insider Previews am Wsus. Die werden alle auf declined gesetzt.

    Du kannst auch ganz einfach Upgrades deaktivieren, schon kommen keine
    Upgrades mehr. Ich würde aber auch Upgrades nicht automatisch
    genehmigen lassen, viel zu gefährlich.

    Wenn du diese Zertifikate aber ohne zutun bei dir im CA Store zur Verfügung hast, wäre es sehr nett, wenn du mitteilen könntest, woher und wann du diese erhalten hast bzw. wie man sie offiziell einspielen kann.

    Wen meinst Du damit?

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Montag, 18. April 2016 16:32
  • @Winfried

    hier geht es nicht um ein update. microsoft klassifiziert kb3154879 als criticial update für windows 10. Und diesen Patch erhalten wir im Wsus bei den angehakten Produkten

    Windows 10

    Der Patch selbst ist als critical update eingestuft. und würde deswegen automatisch verteilt werden. security und critical updates sind bei uns auf auto approval.

    daher wundert es mich, warum jetzt plötzlich insider preview updates drinnen sind. dafür wäre eine eigene produkt kategorie doch besser geeignet.

    das update bekam gestern nach eine neue revision, dsa problem mit dem zeritikat besteht noch immer. selbst redend das wir dieses update dann auf declined gestellt haben, da wir es nicht benötigt.

    die frage bzgl. zertifikat war an dich gerichtet winfried. nachdem du weiter oben im thread geschrieben hast, dass die frage eher wäre wie das zertifikat verloren ging, habe ich daraus geschlossen, dass bei dir das zertifikat dafür installiert ist und ich dann gerne wissen würde aus welchen quellen oder wie du das installiert bekommen hast, denn auf meinen maschinen mit aktuellem patchstand von microsoft update und internetzugriff vertrauen weder windows 10 noch windows 2012 r2 dem zertifikat von dem source file d/msdownload/update/software/crup/2016/04/windows10.0-kb3154879-x86_c7b4d1ac4829121785ae79b2df7550004eca089f.cab

    dabei geht es um das root zertifikat Microsoft Development Root Certificate Authority 2014 mit Seriennummer 07 8f 0a 9d 03 df 11 9e 43 4e 4f ec 1b f0 23 5a und thumbprint f8 db 7e 1c 16 f1 ff d4 aa ad 4a ad 8d ff 0f 24 45 18 4a eb

    Servus

    Thomas

    Dienstag, 19. April 2016 07:49
  • Am 19.04.2016 schrieb DI Thomas Koller:

    @Winfried

    hier geht es nicht um ein update. microsoft klassifiziert kb3154879 als criticial update für windows 10. Und diesen Patch erhalten wir im Wsus bei den angehakten Produkten

    Windows 10

    Wenn ich jetzt nach der KB suche, finde ich nur ein paar Einträge in
    der großen Suchmaschine. Das Update wurde möglicherweise
    zurückgezogen.

    die frage bzgl. zertifikat war an dich gerichtet winfried. nachdem du weiter oben im thread geschrieben hast, dass die frage eher wäre wie das zertifikat verloren ging, habe ich daraus geschlossen, dass bei dir das zertifikat dafür installiert ist und ich dann gerne wissen würde aus welchen quellen oder wie du das installiert bekommen hast, denn auf meinen maschinen mit aktuellem patchstand von microsoft update und internetzugriff vertrauen weder windows 10 noch windows 2012 r2 dem zertifikat von dem source file d/msdownload/update/software/crup/2016/04/windows10.0-kb3154879-x86_c7b4d1ac4829121785ae79b2df7550004eca089f.cab

    Wir haben kein W10 im Unternehmen, kann deshalb auch nichts zu dem
    Problem weiter beitragen.

    Servus
    Winfried


    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Dienstag, 19. April 2016 16:12