WSUS/SCCM: Endpunkt wird abgeschaltet / SHA2-Update beachten

[English]Kurzer Hinweis für Administratoren im Unternehmensumfeld, die Updates mittels WSUS (und/oder SCCM) verteilen. Microsoft schaltet vor dem nächsten Patchday einen Endpunkt ab. Zudem möchte ich an das Thema SHA2-Umstellung erinnern.


Anzeige

WSUS: Synchronisations-Endpunkt wird abgeschaltet

Windows Server Update Services (WSUS) verwendet bestimmte Server-URLs zum Synchronisieren von Updates. Nun bin ich über folgenden Tweet darauf aufmerksam gemacht worden, dass Microsoft einen solchen Synchronisierungs-Endpunkt zum kommenden Patchday abschaltet.

Microsoft teilt im Techcommunity-Artikel WSUS synchronization endpoint being decommissioned on Monday, July 8 mit, dass der Endpunkt:

fe2.update.microsoft.com


Anzeige

am kommenden Montag, den 8. Juli 2019, abgeschaltet wird. Diese URL ist für WSUS dann nicht länger erreichbar. Bei WSUS-Servern, die noch für den alten Endpunkt konfiguriert sind, sollte diese Änderung zu einer einmaligen langsamen Synchronisierung führen (typischerweise nur wenige Minuten), da der WSUS-Server automatisch auf den neuen Endpunkt umschaltet.

Obwohl der Wechsel automatisch erfolgen sollte, empfiehlt es sich, als Administrator da ein Auge drauf zu haben. Wenn nach Montag auf Synchronisationsfehler auftreten, finden Betroffene im KB-Artikel 4482416WSUS synchronization fails with SoapException Hinweise, um zu überprüfen, ob sie von dem Problem betroffen sind. Trifft das zu, gibt es auch Anleitungen, um das zu beheben.

SHA2-Aktualisierung beachten

Microsoft hatte 2018 angekündigt, ab Mitte 2019 seine Windows-Updates nur noch mit SHA-2-Signaturen zu versehen – die Signierung mit SHA-1 entfällt dann aus Sicherheitsgründen. Ich hatte im Artikel Windows 7: Ab April 2019 wird ein 'SHA-2-Update' benötigt und in weiteren Blog-Beiträgen (siehe Artikelende) darüber berichtet.

Benutzer von Windows 7 SP1 (sowie der Server Pendants) und WSUS benötigen daher ab April 2019 ein spezielles Update, welches die Maschine für SHA2-Codesignaturen ertüchtigt. Ohne dieses Update können diese Maschinen zukünftig keine neuen Updates mehr verarbeiten. Zum 12. März 2019 hat Microsoft im Rahmen des Patchdays die erforderlichen Updates für Windows 7 SP1 und Server 2008/R2 bereitgestellt.

Für Windows Server Update Services wurde von Microsoft gemäß diesem Support-Beitrag das Standalone Update KB4484071 für WSUS 3.0 SP2 (SHA-2 Support for Windows Server Update Services 3.0 SP2) bereitgestellt. Dieses rüstet den SHA-2-Support für WSUS 3.0 SP2 nach. Administratoren, die WSUS 3.0 SP2 verwenden, müssen dieses Update bis zum 18. Juni 2019 (manuell) installieren. Nun dann ist sichergestellt, dass Updates für Windows 7 und Windows Server 2008/R2 ab diesem Zeitpunkt per WSUS 3.0 SP2 weiter verteilt werden können. Voraussetzung zur manuellen Installation von Update KB4484071 ist aber, dass die folgenden Updates:

  • Windows Monthly Rollup KB4489880 (oder neuer) für Windows Server 2008 SP2
  • KB4489878 (oder neuer) für Windows Server 2008 R2 SP1
  • und .NET 3.5 vorher installiert wurden.

Wird dies übersehen, kann es zu Fehlern bei der Installation kommen. Zudem empfiehlt Microsoft ein Backup der WSUS-Datenbank, bevor diese Updates installiert werden. Wenn ihr das berücksichtigt habt, könnt ihr dem Juli-Patchday am Dienstag, den 9.7.2019 diesbezüglich beruhigt entgegen sehen.

Ähnliche Artikel:
Bekommen Windows 7-Nutzer ein SHA-2-Update Problem?
WSUS-Synchronisierung schlägt fehl (März 2019)
Windows 7: Updates rüsten SHA-2-Support nach
SHA-2-Patch für Windows 7 kommt wohl im März 2019
Windows 7: Ab April 2019 wird ein 'SHA-2-Update' benötigt


Anzeige

Dieser Beitrag wurde unter Tipps, Update, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu WSUS/SCCM: Endpunkt wird abgeschaltet / SHA2-Update beachten

  1. 1ST1 sagt:

    So eine Umstellung 2 Tage vor Patchday… Ob das gut geht?

  2. ChrPu sagt:

    Hallo,
    eine Verständnisfrage:

    Wenn die Win7-Maschinen nicht regelmäßig (monatlich) über den WSUS gepatcht werden, haben diese das SHA-2 Update womöglich noch nicht erhalten.
    Wenn diese erst NACH dem 8.7 wieder gepatcht werden sollten: bekommen diese dann die Updates bis zum 7.7. angeboten und nach erfolgreicher Installation auch die nachfolgenden, oder bekommen sie einfach gar keine mehr, bis ich den entsprechenden Patch dann manuell installiert habe?

    Danke und Gruß

    • Günter Born sagt:

      Nach meinen Kenntnissen wurden ja alle Alt-Updates bis zum Juni 2019 mit SHA1 und SHA2 signiert. Diese Updates müssten also kommen – sonst könnte man die alten Clients ja nicht mehr neu aufsetzen.

  3. Andreas K. sagt:

    Was mich noch beschäftigt ist: das KB4489878 ist doch ein Monthly Rollup für Windows Server 2008R2. Eigentlich will ich das nicht installieren sondern nur das SecOnly KB4489885.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.