[English]Administratoren von Windows Server 2012 R2 dürften vor einem gravierenden Problem stehen, auf das mich Blog-Leser Axel R. kürzlich per Mail aufmerksam machte. Werden Updates mit WSUS verwaltet, gibt es seit dem 1. Juli 2020 Probleme, wegen deaktivierter TLS 1.0/1.1-Unterstützung.
Anzeige
Ich stelle die Informationen von Axel mal einfach hier ein, vielleicht gibt es ja Rückmeldung von anderen Betroffenen oder neue Erkenntnisse. Ich versuche es auch, an Microsoft weiter zu reichen.
Die Fehlerbeschreibung
Axel schrieb mir 'vielleicht habe ich hier was interessantes für Deinen Blog und wenn Du irgendwelche Kontakte bei Microsoft haben solltest, wäre es Klasse, das mal weiterzureichen' und lieferte mir dann folgende Beschreibung des Fehlerbilds:
Der WSUS auf dem Windows Server 2012 R2 hat seit 1. Juli 2020 Probleme bei der Synchronisation mit Microsoft. Anfangs wurde der Sync beim Wiederholungsversuch oftmals erfolgreich durchgeführt. Das hat aber immer seltener geklappt, seit 25. Juli lief es überhaupt nicht mehr. Google spuckt bis heute nichts brauchbares dazu aus.
Das ist natürlich ziemlich doof, damit ist der WSUS faktisch unbrauchbar, die Updateverteilung ist damit unbrauchbar, das keine neuen Pakete mehr bezogen werden können. Zum Problem wird es spätestens im August 2020.
Die Ursache: TLS 1.0/1.2-Abschaltung?
Axel R. hat dann im Internet recherchiert, aber nichts konkretes zum betreffenden Fall herausbekommen. Google kennt da nichts. Aber es gibt einen Verdacht über die Ursache. Axel schreibt:
Anzeige
Ich habe nach Tagen der Recherche rausbekommen, was los ist. Scheinbar hat Microsoft auf seinen Updateservern seit 1. Juli nach und nach TLS 1.0 abgeschaltet. Das ist natürlich sinnvoll, aber der WSUS auf dem 2012 R2 kommt damit nicht klar. Zumindest mancher, denn es sind nur [WSUS auf] 2012er [Servern] betroffen, die mit Security Only Updates gefüttert wurden.
Der TLS 1.2 Support für WSUS steckt nämlich ausschließlich in den Rollups. Spielt man das letzte Rollup ein, funktioniert die Synchronisation wieder einwandfrei.
Es ist also der Haken, dass die betreffende WSUS-Installation durch die Security Only Updates niemals soweit ertüchtigt wurde, dass dieser TLS 1.2 unterstützt.
Import aus dem Microsoft Update Catalog scheitert
Mein erster Gedanke beim Lesen obiger Zeilen war: Man könnte ja die Update-Pakete übergangsweise manuell aus dem Microsoft Update Catalog herunterladen und im WSUS importieren kann. Axel R. schreibt dazu, dass dies noch nicht das Ende der Geschichte sei und ergänzte.
Die Importfunktion über den Katalog ist momentan auch nicht mehr nutzbar. Die wirft nur noch den Fehler 0x80131509 aus, davon betroffen sind ALLE Server, auch 2016 und 2019. Offenbar benötigt diese Funktion nach wie vor den IE 11, Active X und TLS 1.0. Und letzteres scheint eben nicht mehr aktiviert zu sein.
Der Fehlercode 0x80131509 steht für COR_E_INVALIDOPERATION, An operation is not legal in the current state. Die Operation ist zu diesem Zeitpunkt nicht mehr legal. Axel schreibt dazu:
So reime ich mir das jedenfalls zusammen, wenn ich 1 und 1 zusammenzähle. Eine Bestätigung oder gar eine Lösung scheint es nicht zu geben und die Workarounds, die Du in Deinem Blog-Artikel vom 8. Juni 2018 beschreibst, funktionieren auch nicht mehr. Nicht mal per Powershell kann man noch Updates importieren.
Der erwähnte Blog-Beitrag von mir ist hier zu finden: Lösung: Updates in WSUS importieren. Irgend jemand von Euch, der da weiterführende Erklärungen oder Informationen hat? Ich versuche mal die englischsprachige Fassung über meine Kanäle zur Windows Update-Gruppe zu spielen.
Anzeige
Moin Günter,
dass Microsoft ein Sicherheitsfeature wie TLS 1.2 nicht in die Security Onlys bringt, ist einfach ein schlechter Scherz.
Aber zumindest für das Importproblem hab ich vor ein paar Stunden den Fix gefunden. Offenbar greift man da auf .NET 4 zurück. Dieser Reg-Key macht den Import wieder möglich:
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1
Hat Microsoft das irgendwo dokumentiert? Nicht, dass ich wüsste.
Danke für die Ergänzung.
Hat bei mit geholfen, allerdings erst nach einem Neustart.
Zu finden gab es schon was, aber nicht unbedingt mit dem Hintergrund des WSUS:
https://docs.microsoft.com/de-de/dotnet/framework/network-programming/tls
Du hast jetzt, soweit ich das sehe, auch nur den 64-Bit-Part abgehärtet und den 32-Bit-Part ignoriert (Wow32node). Da ich aber nicht weiß, ob ihr überhaupt 32-Bit nutzt, kannst Du ja mal schauen, ob Du den "Abwasch" gleich komplett machst.
Ich bin auch auf ein Problem beim Import von Updates gestoßen. Allerdings war das auf einem 2019 Server-Core (Remote verwaltet von einem 2019er).
Dort klappte interessanter weise das Importieren sporadisch (das ist unlogisch); aber bei einem bestimmten Update nur dann, als ich den WSUS mit SSL (8531) hinzugefügt hatte und von dort aus (Rechtsklick –> Importieren) Updates importieren wollte.
Also bei mir klappt es nur, wenn ich den WSUS über SSL verwalte (hatte bei Ersteinrichtung noch keine CA konfiguriert). Weiterhin habe ich, damit das Importieren klappt, TLS 1.0 und 1.1 als Client aktiviert. Ansonsten klappt das hinzufügen nicht. Das TLS 1.0/1.1 muss sowohl auf dem WSUS selbst (Server-Core bei mir) und der Remoteverwaltungsstation aktiviert sein.
Naja, das ganze ist irgendwie schon stiefmütterlich behandelt.
Kann ich bislang nicht bestätigen, mein 2012 R2 WSUS schnurrt wie ein Stubentiger, zu Update-Importen kann ich nichts sagen, aber mir war so, daß unter 2012 R2 der IE11 bei einigen Dingen essentiell wichtig ist und nicht durch alternative Browser ersetzt werden kann.
Vor längerer Zeit gab es notwendige, händische Anpassungen zum 2012 R2, damit dieser betriebsfähig blieb. Aber dann hätte Axel R. schon viel früher Probleme gehabt, nehme ich an.
Was mir sonst noch einfällt: 2012 R2 muß händisch auf aktuelle TLS Technologien gebracht werden (via Powershell). Das ist bei mir aber auch schon einige Zeit her, so daß ich ad hoc keine Lösung parat habe.
https://docs.microsoft.com/en-us/mem/configmgr/core/plan-design/security/enable-tls-1-2-troubleshoot
Vielleicht als Einstiegspunkt. Damals war es so, daß private Seitenbetreiber (für mich) sinnvollere Lösungswege hatten, als die offizielle Microsoft Dokumentation.
Und ich hoffe inständig, keinen 2012 R2 Server mehr neu aufsetzen zu müssen. Insgesamt gab es in den letzten Jahren so einige Anpassungen, die erfolgen mußten und die ich spontan nicht mehr aufzählen könnte.
Windows Server 2012 synchronisiert bei uns wunderbar, TLS1.2 scheint auch aktiviert zu sein. Ich habe aber außer Änderungen an der Ciphersuite-Reihenfolge keinerlei Anpassungen vorgenommen und Rollups installier ich auch nicht.
Wer die empfohlenen Updates von Microsoft abschaltet – für fast 8 Jahre, hat es einfach nicht besser verdient. Er muss sich dann eben intensiv und richtig teuer um händisches Nachpflegen kümmern. Sorry, absolut kein Mitleid mit solchen Installationen und Installateuren. IT-Sicherheit sieht für mich anders aus. Liest sich für mich fast so wie solche Leute, die am liebsten auch noch CCleaner einsetzen, weil alle Updates ja prinzipiell erstmal böse sind…
Wer sagt, dass wir die "empfohlenen" Updates seit 8 Jahren abgeschaltet haben? Da interpretierst du ja wilden Unfug in den Beitrag hinein, der eigentlich nur das Problem breiter bekannt machen und anderen Leuten helfen soll.
Wir haben die Rollups bis zum Oktober 2016 installiert, danach hat Microsoft die Telemetrie hereingedrückt. Ich muss dazu nicht viel weiter ausführen, außer, dass es durchaus Zwänge dafür gibt, diese Updates nicht zu installieren. Diese Zwänge haben absolut nichts mit CCleaner und Aluhüten zu tun.
Und wenn du gern auf das Thema IT-Sicherheit hinaus willst, dann erklär mir doch, warum "Security Only" Updates nicht im Sinne der IT-Sicherheit sein sollen. Und TLS ist selbstredend ein Sicherheitsthema und gehört eigentlich in diesen Update-Zweig.
Folglich darfst du dein Mitleid gern behalten. Unabhängig davon, ob unsere Installation es in deinen Augen verdient hat oder nicht. Das ist eh vollkommen irrelevant. Danke.
tja deswegen gibt es auch die anderen updates fernab von security only
hier absolut keine probleme mit wsus auf windows server 2012 r2
Auch hier keine Probleme mit einem gepatchten Server 2012 r2. Kann von meiner Warte aus das Problem nicht nachvollziehen.
Im englischsprachigen Blog ist nun auch ein Kommentar eingeschlagen, der das Fehlerbild bestätigt.
ich habe ein sync problem seit dem 15.8 aber auf einem server 2019!
da kann tls natürlich nicht die Ursache sein.
GGf haben auch die MS Server gerade ein paar Probleme
Hallo zusammen,
auch wir hatten auf unserem WSUS 2012 R2 Probleme mit dem Sync.
Installiert waren alle Rollups und Security Patche.
Nach langer Suche konnte ich das Problem lösen.
Auf dem WSUS war die ECDH Key Exchange deaktiviert (IISCrypto).
Nach der Aktivierung und einem Reboot hat der Sync wie gewohnt funktioniert.
Als Workaround hatte ich vorher vom sws.update.microsoft.com auf den gestellt sws1.update.microsoft.com. Nach dem ECDH Fix habe ich natürlich wieder zurück gestellt.
Hoffentlich hilft jemanden die Info.
Grüße,
Marius
Danke für die Information.
@Axel R.
Vielen Dank.
Ich hab jetzt Stunden mit der Suche verbracht, warum der Import nun plötzlich nicht mehr geht. Ich hab alles versucht. Die Geschichte mit 1.20 zu 1.8, was dann manchmal auch mit 1.80 beschreiben wird. Ich hab die TLS / SHA eingeschaltet, die aber anscheinend schon noch eingeschaltet waren usw.
Letztlich war es die .Net Einstellung von dir. Also die reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1 funktioniert. Ich hab diese zusätzlich unter WOW6432Node im gleichen Schlüssel abgelegt und schon hat es wieder funktioniert.
Es ist einfach unverständlich, warum MS das ändert, aber weder informiert, noch ins Update mit aufnimmt.
Vielen Dank.
Ach noch zur Info, bei mir war es ein Server 2016.
Ich habe von Microsoft einen Workaround erhalten und werde ihn erst testen.
Auch der Import von Updates aus dem Catalog (z.B. aktuelle Sidechannel / Microcode Updates) schlägt fehl (Server 2019 WSUS / 2016 WSUS)
Dokumentation… das wäre toll.
Hallo, hat der workaround funktioniert?
Hallo zusammen,
der Fehler mit dem Import in den WSUS via IE (muss temporär Standardbrowser auf dem Server mit der WSUS Konsole sein) funktioniert nun ohne Änderungen.
Es gab einen Server Side Change von MS (wahrscheinlich TLS 1.2 / und ggf. Rollback.
Jedenfalls funktioniert es nun ohne Änderungen am System.
Anderenfalls ist dies zu empfehlen:
Disable TLS 1.0 / TLS 1.1 and enforce TLS 1.2 on .net
https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/disable-tls-1-1dot1-mbam-servers
Enable TLS 1.2 on Powershell
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
Der MS Workaround hat nicht funktioniert.
Wie gesagt, Änderungen waren nun nicht mehr erforderlich
Hier ist auch noch ein Artikel der hier ganz aktuelle helfen kann.
Bei mir hat es sofort Wirkung gezeigt.
https://learn.microsoft.com/en-us/answers/questions/944674/wsus-sync-failures?page=2#answers