none
Softwareupdatepoints in Domänen ohne Trusts RRS feed

  • Question

  • Hallo in die Runde,

    wir betreiben eine SCCM Site mit einem Primary Site Server und 5 Verteilungspunkten (und Verwaltungspunkten), die in Domänen ohne Vertrauensstellung laufen. Jetzt sollen SUPs eingerichtet werden. Auf dem Primary Site Server haben wir WSUS und den Softwareupdatepunkt eingerichtet, er synchronisiert die Updates von einem Upstream WSUS Server und stellt sie bereit.
    Jetzt sollen die Downstreamserver eingerichtet werden, die Synchronisation funktioniert leider nicht.

    In der WCM.log auf dem Primary Site Server finde ich folgende Einträge:

    Checking for supported version of WSUS (min WSUS 3.0 SP2 + KB2720211 + KB2734608)    
    Checking runtime v4.0.30319...    
    Found supported assembly Microsoft.UpdateServices.Administration version 4.0.0.0, file version 6.2.14393.0    
    Found supported assembly Microsoft.UpdateServices.BaseApi version 4.0.0.0, file version 6.2.14393.2848    
    Supported WSUS version found    
    Attempting connection to local WSUS server    
    Successfully connected to local WSUS server    
    Verify Upstream Server settings on the Active WSUS Server    
    No changes - WSUS Server settings are correctly configured and Upstream Server is set to wsus-server.fqdn    
    Attempting connection to WSUS server: sup-downstreamserver.fqdn, port: 8530, useSSL: False    
    Remote connection failed with exception 'System.Net.WebException: Fehler bei der Anforderung mit HTTP-Status 401: Unauthorized.~~   bei Microsoft.UpdateServices.Administration.AdminProxy.CreateUpdateServer(Object[] args)~~   bei Microsoft.SystemsManagementServer.WSUS.WSUSServer.ConnectToWSUSServer(String ServerName, Boolean UseSSL, Int32 PortNumber)'. Attempting to bypass proxy    
    Unable to configure proxy bypass    
    System.Net.WebException: Fehler bei der Anforderung mit HTTP-Status 401: Unauthorized.~~   bei Microsoft.SystemsManagementServer.WSUS.WSUSServer.ConnectToWSUSServer(String ServerName, Boolean UseSSL, Int32 PortNumber)    

    Hat jemand eine Idee, was falsch läuft?


    • Edited by c1martin Monday, April 15, 2019 9:22 AM
    Monday, April 15, 2019 9:21 AM

All replies

  • Hallo,

    sind Sie den Schritten wie in diesem Artikel gefolgt, zum Konfigurieren des Proxy für einen Standort?

    "Configure the proxy for a site system server

      • In the Configuration Manager console, go to the Administration workspace. Expand Site Configuration, and then select the Servers and Site System Roles node.

      • Select the site system server that you want to edit. In the details pane, right-click the Site system role, and select Properties.

      • In Site system Properties, switch to the Proxy tab. Configure the following proxy settings:

        • Use a proxy server when synchronizing information from the internet: Select this option to enable the site system server to use a proxy server.

        • Proxy server name: Specify the hostname or FQDN of the proxy server in your environment.

        • Port: Specify the network port on which to communicate with the proxy server. By default, it uses port 80.

        • Use credentials to connect to the proxy server: Many
          proxy servers require a user to authenticate. By default, the site
          system server uses its computer account to connect to the proxy server.
          If necessary, enable this option, click Set, and then choose an Existing Account or specify a New Account. These credentials are the site system proxy server account.  For more information, see Accounts used in Configuration Manager.


    1. Choose OK to save the new proxy server configuration."

    Configure Internet Explorer proxy settings on the Site Server under the system context when the SUP role is running on separate server:

    1. On the Site Server, run PsExec.exe with the following command line to open a command prompt window in the system context:

    psexec.exe -s -i cmd.exe

    or

    AT <one minute ahead> /interactive cmd.exe

    2. In the new command prompt window, enter the following command and confirm the command prompt window is running under the system context: whoami

    3. In the new command prompt window, navigate to %program files%\Internet Explorer and type iexplore.exe to start Internet Explorer in the system context.

    4. In Internet Explorer, access Internet Options, then select the Connections tab, and then click LAN settings.

    5. In the Local Area Network (LAN) Settings window, check the box “Use a proxy server for your LAN” | Enter the proxy Address: and Port: (If not already there) | Check the box “Bypass proxy server for local addresses” | click OK.

    6. Click OK to close and apply the new settings, and apply them for the system context for Internet Explorer.

    Sehen Sie sich die folgenden zusätzlichen Konfigurationsschritte in diesem Artikel an. (unter dem Abschnitt extra Configuration, A couple extra tweaks to the standard config ensure a successful WSUS distribution. Folder permissions)

    Hoffentlich wird es auch in Ihrem Fall hilfreich sein.

    Gruß

    Mihaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Tuesday, April 16, 2019 8:22 AM
    Moderator
  • Hallo Mihaela,
    danke für die Antwort. SCCM soll den Proxyserver gar nicht kontaktieren. So haben wir es an den Stellen, die Sie genannt haben auch eingestellt. Er bekommt die Updates von einem anderen WSUS Server, der intern ist.
    Der AT Befehl funktioniert leider beim Server 2016 nicht mehr.

    Die Seite, auf die Sie verwiesen haben, schaue ich mir an und gehe sie durch, ebenso auch diese hier:
    https://www.systemcenterdudes.com/installing-a-sccm-dpmpsup-in-an-untrusted-domain/

    Viele Grüße
    Christian

    Wednesday, April 17, 2019 7:32 AM
  • Ich bin alles durchgegangen, es passt soweit.

    Wenn ich von meinem Downstream SUP in der WSUS Konsole die Synchronisierung starte, läuft sie durch. Die Fehler in der Logdatei bleiben aber und automatisch synchronisiert er nicht.
    Spannend auch, dass die SCCM Konsole Im Synchronisierungsstatus der Softwareupdatepunkte behauptet, sie wäre ordnungsgemäß durchgelaufen, die WSUS Konsole behauptet das Gegenteil.

    Thursday, April 18, 2019 11:38 AM
  • "Unable to configure proxy bypass" --> landet der Request dann am Ziel-WSUS oder fälschlicherweise erst bei einem Proxy?

    "at" mag nicht klappen, aber psexec (siehe oben) funktioniert auf jeden Fall!


    Torsten Meringer | https://blog.meringer.de/

    Tuesday, April 23, 2019 10:55 AM
    Answerer
  • Woran sehe ich denn, wo der Request hingeht?
    Meine Proxy Kollegen sagen, dort kommt kein Request meiner Server an.
    Den Hinweis von Mihaela mit psexec habe ich durchgeführt, keine Änderungen.

    Was sagt mir denn der Fehler "HTTP-Status 401: Unauthorized"?
    Tuesday, April 30, 2019 12:32 PM