[English]Werden Updates mit WSUS unter Windows Server 2012 R2 verwaltet, gibt es seit dem 1. Juli 2020 auf einigen Systemen Probleme mit der Synchronisation wegen deaktivierter TLS 1.0/1.1-Unterstützung. Es gibt aber einen Workaround in Form eines Downgrades des TLS-Supports.
Anzeige
Hintergrundinformationen zum Problem
Administratoren von Windows Server 2012 R2 auf dem Updates mit WSUS verwaltet werden, haben seit dem 1. Juli 2020 Probleme. Der WSUS kann Updates nicht mehr synchronisieren. Auch ein Import der Pakete in WSUS scheitert, weil dann ein Fehler 0x80131509 ausgeworfen wird. Ursache für dieses Problem ist das 'TLS-Hardening', welches durch die Juli 2020-Updates (siehe Patchday: Windows 8.1/Server 2012-Updates (14. Juli 2020)) durchgeführt wurde.
Microsoft hat es nicht angegeben, aber durch die Updates wurde die TLS 1.0/1.1-Unterstützung deaktiviert und TLS 1.2 eingeschaltet. Das Problem ist aber, dass der WSUS dann nicht mehr in der Lage ist, die erforderlichen Updates mit den Microsoft-Servern zu synchronisieren. Ich hatte das Ganze bereits im Blog-Beitrag Windows Server 2012 R2: WSUS-Probleme seit dem 1. Juli 2020 angesprochen.
Lösungsvorschlag: TLS 1.0/1.1 wieder reaktivieren
In den Kommentaren zu obigem Blog-Beitrag gab es dann von Blog-Lesern einige Lösungsvorschläge als Workaround. Axel R hatte diesen Workaround für das Import-Problem gepostet. Blog-Leser Karl Wester-Ebbinghaus hat sich am 20. Oktober 2020 in diesem Kommentar gemeldet. Er berichtete von einem Server Side Change von Microsoft, wonach die Synchronisierung bei ihm wieder funktionierte.
Karl wies darauf hin, dass bei weiteren Problemen der TLS 1.2-Support mittels PowerShell zu aktivieren sei. Das ist in diesem Microsoft-Supportbeitrag für MBAM beschrieben. Im englischsprachigen Beitrag habe ich noch diesen Kommentar erhalten: Die hatten die gleichen Probleme und bekam von Microsoft diesen Link, der das Problem löste. Im Blog-Beitrag YOU NEED TO LOWER THE TLS SECURITY TO MANUALLY IMPORT UPDATES IN #WSUS legt der Autor einen Workaround vor, um Updates manuell im WSUS ohne den Fehler 0x80131509 zu importieren.
Anzeige
Es ist eine Textdatei mit dem Namen w3wp.exe.config in 'C:\Windows\System32\inetsrv' zu erstellen. In der Datei sind folgende XML-Daten einzutragen:
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<runtime>
<appcontextswitchoverrides value="Switch.System.Net.DontEnableSystemDefaultTlsVersions=false" />
</runtime>
</configuration>
Danach ist iisreset auszuführen. Durch diesen Ansatz wird ein TLS-Fallback für alle 23wp-Instanzen zugelassen. Danach soll der Import im WSUS funktionieren.
Anzeige
Besser das Richtige tun:
https://www.bing.com/search?q=wsus+tls+1.2
–>
https://docs.microsoft.com/de-de/mem/configmgr/core/plan-design/security/enable-tls-1-2-server