{"id":237071,"date":"2020-10-30T00:04:38","date_gmt":"2020-10-29T23:04:38","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=237071"},"modified":"2020-10-30T06:44:15","modified_gmt":"2020-10-30T05:44:15","slug":"windows-server-2012-r2-fix-fr-wsus-sync-bug-seit-juli-2020","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/10\/30\/windows-server-2012-r2-fix-fr-wsus-sync-bug-seit-juli-2020\/","title":{"rendered":"Windows Server 2012 R2: Fix für WSUS Sync-Bug (seit Juli 2020)"},"content":{"rendered":"

[English<\/a>]Werden Updates mit WSUS unter Windows Server 2012 R2 verwaltet, gibt es seit dem 1. Juli 2020 auf einigen Systemen Probleme mit der Synchronisation wegen deaktivierter TLS 1.0\/1.1-Unterst\u00fctzung. Es gibt aber einen Workaround in Form eines Downgrades des TLS-Supports.<\/p>\n

<\/p>\n

Hintergrundinformationen zum Problem<\/h2>\n

\"\"Administratoren von Windows Server 2012 R2 auf dem Updates mit WSUS verwaltet werden, haben seit dem 1. Juli 2020 Probleme. Der WSUS kann Updates nicht mehr synchronisieren. Auch ein Import der Pakete in WSUS scheitert, weil dann ein Fehler 0x80131509 ausgeworfen wird. Ursache  f\u00fcr dieses Problem ist das 'TLS-Hardening', welches durch die Juli 2020-Updates (siehe Patchday: Windows 8.1\/Server 2012-Updates (14. Juli 2020)<\/a>) durchgef\u00fchrt wurde.<\/p>\n

Microsoft hat es nicht angegeben, aber durch die Updates wurde die TLS 1.0\/1.1-Unterst\u00fctzung deaktiviert und TLS 1.2 eingeschaltet. Das Problem ist aber, dass der WSUS dann nicht mehr in der Lage ist, die erforderlichen Updates mit den Microsoft-Servern zu synchronisieren. Ich hatte das Ganze bereits im Blog-Beitrag Windows Server 2012 R2: WSUS-Probleme seit dem 1. Juli 2020<\/a> angesprochen.<\/p>\n

L\u00f6sungsvorschlag: TLS 1.0\/1.1 wieder reaktivieren<\/h2>\n

In den Kommentaren zu obigem Blog-Beitrag gab es dann von Blog-Lesern einige L\u00f6sungsvorschl\u00e4ge als Workaround. Axel R hatte diesen Workaround<\/a> f\u00fcr das Import-Problem gepostet. Blog-Leser Karl Wester-Ebbinghaus hat sich am 20. Oktober 2020 in diesem Kommentar<\/a> gemeldet. Er berichtete von einem Server Side Change von Microsoft, wonach die Synchronisierung bei ihm wieder funktionierte. <\/p>\n

Karl wies darauf hin, dass bei weiteren Problemen der TLS 1.2-Support mittels PowerShell zu aktivieren sei. Das ist in diesem Microsoft-Supportbeitrag<\/a> f\u00fcr MBAM beschrieben.  Im englischsprachigen Beitrag habe ich noch diesen Kommentar<\/a> erhalten: Die hatten die gleichen Probleme und bekam von Microsoft diesen Link<\/a>, der das Problem l\u00f6ste. Im Blog-Beitrag YOU NEED TO LOWER THE TLS SECURITY TO MANUALLY IMPORT UPDATES IN #WSUS<\/a> legt der Autor einen Workaround vor, um Updates manuell im WSUS ohne den Fehler 0x80131509 zu importieren. <\/p>\n

Es ist eine Textdatei mit dem Namen w3wp.exe.config <\/em>in 'C:\\Windows\\System32\\inetsrv'<\/em> zu erstellen. In der Datei sind folgende XML-Daten einzutragen:<\/p>\n

<?xml version=\"1.0\" encoding=\"utf-8\"?>
<configuration>
    <runtime>
        <appcontextswitchoverrides value=\"Switch.System.Net.DontEnableSystemDefaultTlsVersions=false\" \/>
    <\/runtime>
<\/configuration><\/p>\n

Danach ist iisreset <\/em>auszuf\u00fchren. Durch diesen Ansatz wird ein TLS-Fallback f\u00fcr alle 23wp-Instanzen zugelassen. Danach soll der Import im WSUS funktionieren. <\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Werden Updates mit WSUS unter Windows Server 2012 R2 verwaltet, gibt es seit dem 1. Juli 2020 auf einigen Systemen Probleme mit der Synchronisation wegen deaktivierter TLS 1.0\/1.1-Unterst\u00fctzung. Es gibt aber einen Workaround in Form eines Downgrades des TLS-Supports.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[185,2557],"tags":[24,2882,881],"class_list":["post-237071","post","type-post","status-publish","format-standard","hentry","category-update","category-windows-server","tag-problem","tag-windows-server-2012-r2","tag-wsus"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237071","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=237071"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237071\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=237071"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=237071"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=237071"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}