[Windows 8] WSUS auf 2008R2 verteilt keine Updates für Windows 8-Clients (Error 800B0001)

Vor kurzem installierte ich Windows 8 Professional auf einem Client und erhielt nur noch den Fehlercode 800B0001.

WSUS_Error800B0001

Nach etwas Recherche fand ich in der Microsoft Knowledgebase einen Hotfix für WSUS 3.0. Nach der Installation des Hotfix ist der WSUS nun in der Lage, Updates an Windows 8 und Windows Server 2012-Clients zu verteilen.

Achtung: Damit das Update funktioniert https://secbilling.net , sollte der WSUS selbst auf einem aktuellen Installationsstand und einem definierten Zustand sein. Ebenso sollte im Vorfeld das Hotfix 2720211 auf dem WSUS installiert sein.

Möglicherweise meldet der Windows 8/ Server 2012-Client nach der Installation des Hotfix und dem Reboot des WSUS-Server den Errorcode 80246003 bei dem Versuch putty download , die Updates vom WSUS herunterzuladen. In diesem Fall sollte die Synchronisation auf dem WSUS manuell gestartet werden. Dies dauert je nach Bandbreite des Internetanschlusses zwischen 30 und 60 Minuten.

Zusätzlich musste ich noch die Schritte wie im UBlog beschrieben auf dem Client durchführen. Anschließend klappte das Update über WSUS wie gewohnt.

[Windows 7] Client updatet sich nicht mehr über WSUS

Nach einer Neueinrichtung eines Clients erhielt ich plötzlich den Errorcode 800B0001 vom Windows Update-Client. Via WSUS konnten keine Updates geladen werden, per Windows Update über das Microsoft-Update lief jedoch alles bestens.

Das Problem ließ sich auf eine bestimmte Version des Windows Update-Agent eingrenzen (die Version lässt sich ermitteln über die Eigenschaften der Datei %WINDIR%\system32\wuaueng.dll) und betrifft derzeitig nur die Version 7.6.7600.256.

Wie im Technet-Forum beschrieben (Thread) installierte ich das Update WSUS-KB2720211-x64.exe auf meinem WSUS (Knowledgebase-Artikel bei Microsoft puttygen download Texas Phone 817502 , Achtung: Server benötigt danach einen Neustart!) und der Client kann seit dem wieder Updates vom WSUS beziehen.

WSUS via SSL für Nicht-Domänen-Clients (Errorcodes 80072EE2 oder 80072F8F)

Nutzt man WSUS innerhalb der Windows-Domain via SSL (und Unternehmenszertifizierungsstelle), installieren die Clients weiterhin die Updates wie gewohnt, wenn beispielsweise die von der PKI ausgestellten Zertifikate automatisch (z.B. per Gruppenrichtlinien) verteilt werden.

Nicht-Domänen-Clients erkennen die Zertifikate jedoch aus nicht-vertrauenswürdig an und verweigern daher den Zugriff. Bleiben diese daher aussen vor? Die klare Antwort: Nein!

Versucht der Nicht-Domänen-Client noch per http (ohne Verschlüsselung) auf den Server zuzugreifen, so erhält man meist den Fehlercode 80072EE2 im Windows-Update-Log (zu finden unter %windir%\WindowsUpdate.log).

Zuerst muss daher die Registry der Clients entsprechend angepasst werden. Dies erfolgt unter

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate

mit den folgenden Einträgen:

Name: TargetGroup California 626258 , Typ: REG_SZ, Daten: Nicht-Domain-Clients 
Name: WUServer, Typ: REG_SZ, Daten: https://wsusserver.domain.local:8531
Name: WUStatusServer, Typ: REG_SZ, Daten: https://wsusserver.domain.local:8531

Der Port des WSUS-Server muss unter Umständen der eigenen Konfiguration angepasst werden!

 

Nun fehlt noch das Zertifikat des WSUS putty download windows , der Windows Update-Client meldet nun gewöhnlich den Errorcode 80072F8F.

  • Öffnen Sie die IIS-Verwaltungskonsole.
  • Klicken Sie auf die WSUS-WebSite (im Standard WSUS-Verwaltung)
  • Öffnen Sie das Menü Bindungen bearbeiten (aus dem Kontextmenü)
  • Klicken Sie auf https, Bearbeiten und prüfen Sie das genutzte Zertifikat.

 

  • Öffnen Sie nun eine Management-Konsole (Start -> mmc im Suchfeld eingeben).
  • Fügen Sie das Snap-In Zertifikate hinzu.
  • Wählen Sie Lokales Computerkonto und bestätigen Sie mit Weiter.
  • Unter Eigene Zertifikate finden Sie nun das benötigte Zertifikat.
  • Exportieren Sie dieses Zertifikat als .DER-Zertifikat (öffentliches Zertifikat ohne privaten Schlüssel!) über das Kontextmenü des Zertifikats in eine Datei.

 

  • Öffnen Sie nun auf dem Nicht-Domänen-Client ebenfalls eine Management-Konsole.
  • Fügen Sie ebenfalls das Snap-In Zertifikate für das Lokale Computerkonto hinzu.
  • Importieren Sie nun das Zertifikat über das Kontextmenü in den Bereich Vertrauenswürdige Stammzertifizierungsstellen.

Anschließend führen Sie einen Neustart für die Übernahme der Änderungen an der Registry durch und nun nutzt auch dieser Nicht-Domänen-Client den WSUS im Netzwerk.