Windows Server 2008 R2 und ein WSUS SHA-2-Problem

[English]Kurze Information für Administratoren in Unternehmensumgebungen, die Updates mit WSUS verwalten. Ein Blog-Leser hat mich über ein Problem unterrichtet, in das er gelaufen ist. Ein Bug im WSUS SHA-2-Update verhindert, dass sich bestimmte Updates herunterladen lassen. Es gibt aber einen Workaround, wenn man den Fehler kennt.


Anzeige

Problem: WSUS kann Updates nicht laden

Blog-Leser Markus K. verwendet einen Windows Server 2008 R2, auf dem ein Windows Server Update Services (WSUS) zur Verwaltung von Updates für Clients eingerichtet ist. Markus schrieb mir in einer E-Mail:

keine Ahnung ob es noch jemanden betrifft, ich bekomme zwei Updates, die ich brauche, nicht heruntergeladen (hatte letzte Woche Urlaub, weshalb ich erst heute die Updates laden versuche).

KB4512506 und KB4517297 verursachen Event 364 (Content file download failed. Reason: File cert verification failure. Source File).

KB4511872 (IE CU) hingegen wird problemlos heruntergeladen, weshalb ich davon ausgehe, dass irgend ein Problem bei diesen zwei KBs vorliegen könnte.

Stehe etwas ratlos da, aber kommt Zeit… kommt Rat :).

Die Fehlermeldung mit dem Hinweis auf File cert verification failure hätte ich jetzt spontan als 'die SHA-2-Unterstützung könnte fehlen, interpretiert. Markus schrieb mir aber, dass der WSUS aktuell sei. Unter Windows Server 2008 R2 waren nach seiner Aussage alle SHA2 Updates installiert und WSUS lag in der Version 3.2.7600.307 vor.

Ursache gefunden

Später kontaktierte mich Markus K. nochmals per E-Mail, um auf die Ursache hinzuweisen.

glaube ich hab die Lösung… echt ärgerlich:

Er verwies mich auf den Microsoft Support-Beitrag SHA-2 Support for Windows Server Update Services 3.0 SP2, der sich mit den Anforderungen für den SHA-2-Support für WSUS 3.0 SP2 befasst. In den 'known issuses' findet sich der folgende Text:


Anzeige

After installing this update, content downloads may fail if WSUS is configured to download express installation files. You may receive the following update in the SoftwareDistribution.log, "Info           WsusService.23      CabUtilities.CheckCertificateSignature                  File cert verification failed for *\WsusContent\*\*.psf with 2148098064."

Wird das zur SHA-2-Unterstützung erforderliche Update KB4484071 installiert, konfiguriert das den WSUS für Express Updates. Dann tritt aber genau der oben beschriebene Fehler beim Download von Updates auf.

Express Updates abschalten

Um dieses Problem zu beheben, müssen Administratoren die Funktion Expressinstallationsdateien herunterladen deaktivieren. Wählen Sie dazu in der WSUS-Konsole Optionen -> Dateien und Sprachen aktualisieren -> Aktualisierungsdateien lokal auf diesem Server speichern und deaktivieren Sie das Kontrollkästchen Expressinstallationsdateien herunterladen.

Microsoft arbeitet an einer Lösung und will in einer kommenden Version ein Update veröffentlichen. Vielleicht hilft die Informationen dem einen oder anderen Administrator. Danke an Markus K. für den Hinweis.

Ähnliche Artikel:
WSUS: Ergänzung der Download-Adressen
WSUS-Synchronisierung schlägt fehl (März 2019)
WSUS/SCCM: Endpunkt wird abgeschaltet / SHA2-Update beachten
Word 2013 Update KB4475525 (2. Juli 2019) wirft CRC-Fehler bei WSUS und Zertifikatsfehler bei SCCM
Windows 10 V1903: Update-Verwaltung per SCCM/WSUS; UUP On-Premise-Management noch nicht verfügbar
WSUS/SCCM: Endpunkt wird abgeschaltet / SHA2-Update beachten
Windows Updates KB4512506/KB4512486 verursachen Error 0x80092004
Windows 7: Symantec/Norton blockt Updates mit SHA-2-Signatur
WSUS 3.2.7600.307 kann keine PSF-Dateien mehr prüfen
Bekommen Windows 7-Nutzer ein SHA-2-Update Problem?


Anzeige

Dieser Beitrag wurde unter Update, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Windows Server 2008 R2 und ein WSUS SHA-2-Problem

  1. Chris sagt:

    Ich bekam auch den Fehler, konnte es aber lösen, indem ich das .net 3.5.1 Feature nachinstalliert habe. Der Serverlief zuvor 5 Jahre problemlos.

  2. Sebastian sagt:

    Hi,

    der WSUS SHA2 Patch hat bei NICHT automatisch die Express-Updates aktiviert.
    Vllt. waren die ja bei betroffenen Servern schon vorab aktiviert?

    Schöne Grüße

    Sebastian

  3. GPBurth sagt:

    und wieder einmal frage ich mich, warum Microsoft sich das mit dem Abschalten des SHA1 unbedingt noch dieses Jahr antun musste. Wissen wir da etwas über SHA1 nicht, was Microsoft weiß?
    Hätten sie das Ganze auf Februar 2020 verschoben wären sowohl Win7 als auch dessen Server-Äquivalent 2008R2 nicht mehr im (extended) support – und genau diese beiden Systeme machen ja jetzt Ärger.

    Evtl. ein Grund, WSUS auf (mindestens) Server2012 zu migrieren? Sollte man ohnehin so langsam mal machen…

    • JohnRipper sagt:

      Wenn dann eine Migration auf 2012r2.

      Ich frag mich wieso man sich das aber antun wollte, würde ich auf 2016 o direkt auf 2019 migrieren.

      Oder man setzt gleich auf SCCM. Ich muss sagen, dass ich davon positiv überrascht bin wie einfach doch die Implementierung war.
      Zugegeben eine sehr kleine Installation.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.