[English]Ein Blog-Leser hat mich auf ein Problem im Zusammenhang mit WSUS hingewiesen. Sein WSUS 3.2.7600.307 kann keine PSF Dateien mehr prüfen. Hier ein paar Informationen zum Thema.
Anzeige
Vorab: Das Thema betrifft nur Administratoren in Firmenumgebungen, die Windows Server Update Services (WSUS) zur Verwaltung von Updates für ihre Clients und Server verwenden. Aktuell bezieht sich die Meldung auf WSUS 3.2.7600.307.
Was sind PSF-Dateien?
Da ich im WSUS nicht zuhause bin, musste ich nachsehen, was eigentlich PSF-Dateien genau sind. Zu meiner Entlastung musste ich dann aber feststellen (bzw. hat mir Tante Google geflüstert), dass selbst Mark Heitbrink mal so eine Frage gestellt hat. Laut diesem Dokument liegen die Express-Update-Pakete in PSF-Dateien. PSF könnte für Patch Storage Files stehen (siehe auch diese Microsoft-Seite).
Keine PSF-Datei-Prüfung mehr im WSUS 3.2.7600.307
Blog-Leser Franz W. hat mir vorige Woche eine Mail zukommen lassen (danke dafür), in der er ein Problem beschreibt, welches er mit seinem WSUS hat.
ich habe nun mit der Umstellung der MS-Updates auf SHA256 folgendes Problem:
Der WSUS kann keine Updates, welche PSF Dateien enthalten prüfen und verwirft dann den Download. EXE und CAB (nur SHA256 signiert) machen keine Probleme.
Aktuell kann ich deshalb die Updates KB4509094 und KB4507435 für Windows 10 1803 nicht verteilen.
Franz hat dann im Internet gesucht und mir den Link auf diesen Technet-Forenbeitrag geschickt.
Anzeige
Weitere Treffer im Technet
Ein Nutzer mit dem Namen Deniz hat am 13. Juli 2019 unter dem Titel File cert verification failure regarding only KB4504418 einen Thread eröffnet und das Problem beschrieben.
I'm currently experiencing the following problem:
A WSUS 3.2.7600.307 running on a Windows 2008 R2 Standard server repeatedly fails to download two specific files. The server itself is fully updated; .NET 3.5.1 is installed; WID is used for the WSUS database.
The problematic files are two express installation files for KB4504418 (Servicing Stack Update for Windows 8.1, Server 2012, und Server 2012 R2), as reported by the corrsponding events:
Inhaltdateisynchronisierung ist fehlgeschlagen. Ursache: File cert verification failure. Quelldatei: /c/msdownload/update/software/secu/2019/07/windows8-rt-kb4504418-x86_cbfca28e203
c05cf0d8bf6e8c56d81c9bd170789.psf Zieldatei: c:\WSUS\WsusContent\89\CBFCA28E203C05CF0D8BF6E8C56D81C9BD170789.psf.Inhaltdateisynchronisierung ist fehlgeschlagen. Ursache: File cert verification failure. Quelldatei: /c/msdownload/update/software/secu/2019/07/windows8-rt-kb4504418-x64_7fc2ec35606
f12f6065408850962706ebd9c9816.psf Zieldatei: c:\WSUS\WsusContent\16\7FC2EC35606F12F6065408850962706EBD9C9816.psf.
Bei ihm kann WSUS zwei spezifische PSF-Dateien nicht herunterladen. Er hat dann das Problem näher untersucht und folgende festgestellt:
- Manually downloading the file windows8-rt-kb4504418-x86_cbfca28e203c05cf0d8bf6e8c56d81c9bd170789.psf works in general.
- The SHA1 hash value of this file matches the file name as well as the FileDigest entry found in tbFile.
- The SHA256 hash value of the file should be 0x52A3560EB5DB626E0CF52894CBB41D09B360C0310FF9692DE867FB2F2F3C7DFA according to tbFileHash.
Der manuelle Download funktioniert und der Hash-Wert der Datei werden gefunden. Aber im Log-File SoftwareDistribution.log findet sich ein Fehler:
[…]
2019-07-11 04:34:31.281 UTC Info WsusService.12 ContentSyncAgent.WakeUpWorkerThreadProc Processing Item: 316170c4-97ec-4dbc-9364-17b6832294f3, State: 10
2019-07-11 04:34:31.921 UTC Info WsusService.12 ContentSyncAgent.VerifyCRC calculated sha2 sha256 hash is 52A3560EB5DB626E0CF52894CBB41D09B360C0310FF9692DE867FB2F2F3C7DFA
2019-07-11 04:34:31.936 UTC Info WsusService.12 CabUtilities.CheckCertificateSignature File cert verification failed for c:\WSUS\WsusContent\89\CBFCA28E203C05CF0D8BF6E8C56D81C9BD170789.psf with 2148098064
2019-07-11 04:34:31.983 UTC Warning WsusService.12 ContentSyncAgent.WakeUpWorkerThreadProc Invalid file deleted: c:\WSUS\WsusContent\89\CBFCA28E203C05CF0D8BF6E8C56D81C9BD170789.psf
[…]
Die Prüfung der Cert-Datei schlägt wohl fehl. Die Quelle des Fehlers wird in einem weiteren Post als in der Datei:
C:\Windows\System32\Psfsip.dll
verortet. Das ist der "Crypto SIP provider for signing and verifying .psf patch storage files". Neben Blog-Leser Franz gibt es weitere Betroffene, die sich im Thread gemeldet haben. Daher zwei Fragen: Ist jemand von Euch ebenfalls betroffen? Und ist eine Abhilfe bekannt?
Ähnliche Artikel:
WSUS: Ergänzung der Download-Adressen
WSUS-Synchronisierung schlägt fehl (März 2019)
WSUS/SCCM: Endpunkt wird abgeschaltet / SHA2-Update beachten
Word 2013 Update KB4475525 (2. Juli 2019) wirft CRC-Fehler bei WSUS und Zertifikatsfehler bei SCCM
Windows 10 V1903: Update-Verwaltung per SCCM/WSUS; UUP On-Premise-Management noch nicht verfügbar
Anzeige
Habe auch versucht ein 2008 R2 WSUS Server zu moderniseren wegen neue Update Packet Signatur von Microsoft. Hat dann nie 100% funktionniert und war auch nie bereit alle Windows 10 Updates anzubieten.
Habe dann ziemlich schnell ein neue WSUS auf ein 2016 Server als Ersatz installiert.
WSUS funktionniert seitdem wieder gut.
2012 R2 WSUS funktionnierten besser. Einzige Problem damals war noch Event Log Error 5117 mit folgende Lösung: https://mivilisnet.wordpress.com/2017/09/28/increase-memory-for-a-stable-wsus-work/
Hallo,
vielen Dank dafür das Thema hier anzusprechen.
Ich warte jetzt einmal auf den nächsten Patch-Day. Vieleicht gibt es dann eine Behebung des Fehlers. Wenn nicht, werde ich die Zeit bis in den Herbst mit manueller Patcherei überbrücken. Aktuell hole ich Angebote für neue Hardware und Server 2019 ein.
mfG
Der W2008R2 läuft im Januar 2020 aus dem Support, deshalb sollte man langsam aber sicher sich von W2008R2 trennen und auf aktuellere Serverbetriebssysteme setzen. Die Fehlersuche in dem angegebenen Thread hat sicherlich ein paar EURO verschlungen, ob sich das rentiert? Häufig wird kontinuierlich an falscher Stelle gespart.
Nein, die Fehlersuche war rein privater Natur. Gelder wurden hier gar keine investiert.
Mit der Neuveröffentlichung von KB4484071, die WSUS 3.2.7600.324 beinhaltet, ist das Problem behoben.
Habe dieses Probleme unter Windows Server 2012 R2 und Configuration Manager 1906 inkl. der neuesten Updates in Zusammenhang mit Automatic Deployment Rules für Windows 10 1803 und der Datei Windows10.0-KB4525237-x64.psf. Lt. patchdownloader.log gibt es folgende Fehlermeldung:
Hash verification of file C:\Windows\TEMP\CAB8E7B.tmp failed, error 0x17
ERROR: DownloadContentFiles() failed with hr=0x8007362e
Weiterhin erscheint dort im Zusammenhang die Meldung:
Cert revocation check is disabled so cert revocation list will not be checked.
To enable cert revocation check use: UpdDwnldCfg.exe /checkrevocation
Das Ausführen des o.g. Befehls in der Eingabeaufforderung führt zu keiner Änderung der Situation: Der Revocation-Check bleibt weiterhin deaktiviert und die Meldung erscheint beim nächsten Ausführen der Regel weiterhin.
Der Fehlercode 0x8007362e steht für ERROR_IPSEC_IKE_INVALID_HASH, d.h. die Hashüberprüfung ist fehlgeschlagen.
Da es Windows Server 2012 ist, kann die SHA-2-Geschichte nicht reinspielen. Aus dem hohlen Bauch fallen mir folgende Ursachen ein:
* Das Paket ist kaputt oder von Microsoft fehlerhaft signiert. Kann der Download beschädigt worden sein? Antivirus-Software oder Firewall (siehe diesen Thread).
* Es ist irgend etwas am SCCM kaputt – aber es gibt keine weiteren Betroffenen.
Ggf. auch mal nach einigen Stunden probieren – hier hat sich das in Wohlgefallen aufgelöst. Ähnliches gibt es in diesem Thread, wo Hinweise auf AV-Software, Zugriffsberechtigungen, freier Speicher für das Repository etc. nichts brachten.
ADR für 1803 wurde komplett neu angelegt, inkl. Software Update Group und Deployment Package, der Fehler blieb. In Wohlgefallen aufgelöst hat sich das Thema bis dato leider nicht. AV und FW schließe ich aus, da alle anderen ADRs problemlos funktionieren. Danke jedenfalls für Antwort und Links.
@Tom: Schau dir mal diesen Kommentar im englischen Blog an. Nur ein Bauchgefühl.