Can't access WSUS console from local system; can access it from another host?
I have a WSUS server running on Server 2012 R2, update services 3.2.7600.226. From Server Manager, I see that WSUS has an error, and specifically when I open the errors I see "The DSS Authentication Web Service is not working" and the same thing for SimpleAuth, Client Web, API Remoting, and Reporting Web. I do have SSL enabled, the server is configured to use port 8531.
I can connect to the server through the local WSUS console, but I see 0 updates, 0 computers, etc.
Oddly enough though...I have an SCCM server which also has WSUS installed (and is a downstream WSUS server). It's a Server 2016 instance, and is using update services 10.0.14393.0. Not only can I see the first server fully after adding it to the console, I see clients and updates from it. My actual clients are successfully checking for updates from the original server; I have 243 clients checked in and happy.
Everything appears to be working with the exception of managing the WSUS server from itself.
What gives? I'm totally stumped as to what the issue could be. Does it have something to do with the server not being able trust the cert locally? Is it an update services thing...seems odd that another system can see everything but the host itself can't.
In IIS (6.1) on the WSUS server, under the WSUS admin site, I have the following:
- ApiRemoting30, bound to 443, 8530, 8531, requiring SSL.
- ClientWebService, bound to 443, 8530, 8531, requiring SSL.
- DssAuthWebService, bound to 443, 8530, 8531, requiring SSL.
- Inventory, bound to 443, 8530, 8531, NOT requiring SSL.
- ReportingWebService, bound to 443, 8530, 8531, NOT requiring SSL.
- ServerSyncWebService, bound to 443, 8530, 8531, requiring SSL.
- SimpleAuthWebService, bound to 443, 8530, 8531, requiring SSL.
The SSL cert is a requested cert from our root CA, which totally checks out. Totally valid when browsed with IE.
I followed this guide: https://technet.microsoft.com/en-us/library/bb633246.aspx?f=255&MSPPError=-2147217396
Похоже, у меня было несоответствие в сертификате моего сервера и имени домена, которое я использовал.
Я не упоминал об этом раньше, но выполнение "Wsusutil configuressl certificateName" не помогло.
Когда консоль WSUS открывается, она пытается подключиться, используя имя хоста, и ТОЛЬКО имя хоста. Раньше это работало ... в свое время наш GPO указывал на старый сервер WSUS (предшествующий любому из них) по адресу « http: // server-wsus-desk: 8530 ». Я включил ssl и обновил его до « http: // server-wsus-serv: 8531 ». Для подключения клиентов сертификат ssl предназначался только для имени хоста. Почему-то это просто не работает.
Работа DID заключалась в создании нового сертификата домена для FQDN (server-wsus-serv.ad.domain.org). Затем я обновил объект групповой политики, указав его на « https://server-wsus-serv.ad.domain.org:8531 ». Когда я загружаю консоль на этом хосте, по умолчанию она открывает соединение с «server-wsus-serv», которое выполняет все «показывать 0 компьютеров и обновлять». Однако я могу инициировать НОВОЕ соединение с полным доменным именем server-wsus-serv.ad.domain.org на порту 8531, и оно отображается прямо на обоих серверах, как и следовало ожидать. Клиенты подключаются без ошибок, и диспетчер серверов не показывает проблем в журнале событий.
Это все еще не идеально. В итоге я создал альтернативный шаблон сертификата в моем ЦС, который позволяет использовать несколько псевдонимов DNS. Я пошел в свой центр сертификации, продублировал шаблон «Веб-сервер» и назвал его «Сертификат веб-сервера WSUS». На вкладке «Безопасность» добавьте фактический сервер WSUS по группе или по имени компьютера (необходимо включить тип объекта «компьютер») и дайте ему разрешения «Регистрация» и «Чтение». Затем перейдите к ЦС в диспетчере серверов, разверните папку «Шаблоны сертификатов», затем щелкните правой кнопкой мыши, перейдите в «Создать» и выберите «Шаблон сертификата для выдачи». Выберите новый шаблон и нажмите ОК. Теперь вернитесь на свой сервер WSUS, откройте mmc и загрузите оснастку сертификата для учетной записи компьютера. Разверните «Сертификаты» и «Личные» и щелкните папку «Сертификаты». Щелкните правой кнопкой мыши пустое пространство и выберите «Все задачи» -> «Запросить новый сертификат». Нажмите «Далее», «Далее», после чего вы увидите новый шаблон веб-сертификата со ссылкой «Для регистрации этого сертификата требуется дополнительная информация». Щелкните это.
В поле «Имя субъекта» выберите тип «Общее имя», введите свое полное доменное имя и нажмите «Добавить». В "Альтернативном имени" выберите тип DNS, затем введите ЛЮБЫЕ другие имена, которые вы можете использовать (для нас это server-wsus-serv.ad.domain.org, server-wsus-serv.domain.org и server-wsus -серв). Нажмите ОК, установите флажок рядом с шаблоном сертификата и нажмите «Зарегистрироваться». Нажмите «Готово», затем вернитесь в оснастку MMC для сертификатов и обновите, чтобы увидеть новый сертификат. Мне нравится дважды щелкнуть по нему и ввести понятное имя, например «Сертификат веб-сервера WSUS».
Вернитесь в диспетчер IIS. Под веб-сервером выберите «Сертификаты сервера», и вы должны увидеть там свой новый сертификат. Разверните свои сайты, выберите сайт администратора WSUS и отредактируйте привязки, чтобы новый сертификат был привязан к 8531. Перезапустите сайт. Затем откройте powershell, перейдите в папку «C: \ Program Files \ Update Services \ Tools» и запустите «. \ Wsusutil configuressl server-wsus-serv.ad.domain.org», затем перезапустите службы обновления. Теперь я могу подключаться локально и удаленно как по имени сервера, так и по полному доменному имени.