Les clients WSUS échouent à vérifier les mises à jour erreur 80072F8F

J'essayais de travailler avec le guide Microsoft pour activer SSL sur notre server WSUS et rencontré quelques problèmes. On dirait que j'ai pu configurer le server WSUS avec SSL car le type de connection sur la console WSUS indique "Local / SSL".

Mon problème est quand j'essaie de cliquer sur la case "Vérifier les mises à jour" sur un ordinateur portable de test, il se triggers automatiquement avec l'erreur 80072F8F. J'ai fait beaucoup de searchs et tout semble indiquer une erreur dans mon certificate. Je n'ai pas une connaissance approfondie des certs, alors ci-dessous, c'est ce que j'ai fait jusqu'ici:

1) Sur le server WSUS, ouvert IIS, a créé un certificate de domaine, mais la case "Sélectionner" a été grisée lorsque vous essayez de spécifier l'autorité de certificateion. J'ai fini par entrer manuellement le nom d'user \ nom_server

2) Configurez la binding dans IIS pour utiliser le certificate nouvellement généré sous le port 8531

3) "Obligatoire" SSL sur tous les directeurs virtuels selon la documentation

4) Ran wsusutil.ext / configuressl (https confirmé est lié à fqdn: 8531)

5) GPO WSUS configuré pour pointer vers https: // fqdn_of_wsus_server: 8531

Après avoir fait tout ce que j'ai redémarré le server WSUS et ouvert la console WSUS et j'avais une erreur de connection. J'ai ouvert une console MMC et ajouté le composant logiciel enfichable Certificats. Pour une raison quelconque, le certificate de CA de ma CA et le certificate de domaine que j'ai créé plus tôt dans IIS se trouvaient dans le magasin CA intermédiaire. J'ai constaté que lorsque j'ai déplacé le certificate CA de ma CA sur mon CA racine de confiance, la console WSUS a été chargée.

Retour sur mon ordinateur portable de test, j'ai exécuté un gpupdate / force et redémarré la machine. Lorsque je triggers un check-in via wuauclt.ese / detectnow ou via l'interface user de mise à jour de Windows, j'ai une erreur. Vérifié WindowsUpdate.log sur la machine client et il dit essentiellement qu'il n'a pas pu accéder à https: // fqdn_of_wsus_server: 8531 / selfupdate / wuident.cab , mais la navigation manuelle vers cette URL réussit la machine cliente et je peux pour download ce file de cabine.

J'ai essayé de mettre le cert de ma CA racine dans les magasins clients de Root CA approuvés tout en conservant le certificate de domaine que j'ai généré plus tôt sur IIS dans le magasin CA intermédiaire, mais cela n'a pas fonctionné. Je suis très sûr d'avoir confiné les choses SSL. Tout indicateur serait apprécié car j'ai parcouru beaucoup de guides en ligne et tous disent des choses similaires, mais je pense que c'est un malentendu de ma part, donc si quelqu'un peut l'immerger un peu pour un débutant.

Vous n'avez pas mentionné le server que vous utilisez, mais je suppose que vous utilisez 2012 R2.

Il y a eu une mise à jour récente ( KB3159706 ) qui modifie la façon dont les connections SSL WSUS sont établies et vous devez modifier manuellement certaines choses pour que cela fonctionne.

  • Vous devez installer le rôle du server HTTP-Activation ( .NET 4.5 -> WCF -> )
  • Vous devez éditer le file C:\Program Files\Update Services\WebServices\ClientWebService\Web.config (vous devez prendre possession du file pour l'éditer).

La bindingConfiguration doit être modifiée 2 fois dans la section <endpoint address=""> comme suit: bindingConfiguration="SSL" et append multipleSiteBindingsEnabled="true" à la ligne ci-dessous, comme illustré

 <serviceHostingEnvironment aspNetCompatibilityEnabled="true" multipleSiteBindingsEnabled="true"> 
  • redémarrez le server

Tout cela est nécessaire pour tous ceux qui veulent utiliser SSL avec un WSUS sur Server 2012 avec la KB mentionnée. J'ai investi 3 jours de search pour find ce … Bon à savoir Microsoft!