У меня есть сервер WSUS, работающий на Server 2012 R2, службы обновления 3.2.7600.226. В диспетчере сервера я вижу, что WSUS имеет ошибку, и, в частности, когда я открываю ошибки, я вижу «Веб-служба аутентификации DSS не работает» и то же самое для SimpleAuth, Client Web, API Remoting и Reporting Web. У меня включен SSL, сервер настроен на использование порта 8531.
Я могу подключиться к серверу через локальную консоль WSUS, но вижу 0 обновлений, 0 компьютеров и т. Д.
Как ни странно ... У меня есть сервер SCCM, на котором также установлен WSUS (и это подчиненный сервер WSUS). Это экземпляр Server 2016, использующий службы обновлений 10.0.14393.0. Я не только могу полностью видеть первый сервер после добавления его в консоль, я также вижу клиентов и обновления с него. Мои настоящие клиенты успешно проверяют наличие обновлений с исходного сервера; У меня зарегистрировались 243 клиента, и они довольны.
Кажется, все работает, за исключением управления сервером WSUS от самого себя.
Что дает? Я совершенно не понимаю, в чем может быть проблема. Связано ли это с тем, что сервер не может доверять сертификату локально? Это что-то вроде службы обновления ... кажется странным, что другая система может видеть все, а сам хост - нет.
В IIS (6.1) на сервере WSUS под административным сайтом WSUS у меня есть следующее:
Сертификат SSL - это запрошенный сертификат от нашего корневого центра сертификации, который полностью проверяется. Абсолютно верно при просмотре с IE.
Я следовал этому руководству: https://technet.microsoft.com/en-us/library/bb633246.aspx?f=255&MSPPError=-2147217396
Похоже, у меня несоответствие сертификата сервера и доменного имени, которое я использовал.
Я не упоминал об этом раньше, но выполнение "Wsusutil configuressl certificateName" не помогло.
Когда консоль WSUS открывается, она пытается подключиться, используя имя хоста, и ТОЛЬКО имя хоста. Раньше это работало ... в свое время наш GPO указывал на старый сервер WSUS (предшествующий любому из них) в "http: // сервер-WSUS-стол: 8530". Я включил ssl и обновил его до"http: // сервер-WSUS-серв: 8531". Для подключения клиентов сертификат ssl предназначался только для имени хоста. Почему-то это просто не работает.
Работа DID заключалась в создании нового сертификата домена для FQDN (server-wsus-serv.ad.domain.org). Затем я обновил GPO, указав на "https://server-wsus-serv.ad.domain.org:8531". Когда я загружаю консоль на этом хосте, по умолчанию она открывает соединение с" server-wsus-serv ", которое выполняет всю функцию" показать 0 компьютеров и обновлений ". Однако я могу инициировать НОВОЕ соединение с Полное доменное имя server-wsus-serv.ad.domain.org на порту 8531, как и следовало ожидать, отображается на обоих серверах.Клиенты подключаются без ошибок, а диспетчер серверов не показывает проблем в журнале событий.
Однако это все еще не идеально. В итоге я создал альтернативный шаблон сертификата в моем ЦС, который позволяет использовать несколько псевдонимов DNS. Я пошел в свой центр сертификации, продублировал шаблон «Веб-сервер» и назвал его «Сертификат веб-сервера WSUS». На вкладке «Безопасность» добавьте фактический сервер WSUS по группе или по имени компьютера (необходимо включить тип объекта «компьютер») и дайте ему разрешения «Регистрация» и «Чтение». Затем перейдите в ЦС в диспетчере серверов, разверните папку «Шаблоны сертификатов», затем щелкните правой кнопкой мыши, перейдите в «Создать» и выберите «Шаблон сертификата для выдачи». Выберите новый шаблон и нажмите ОК. Теперь вернитесь на свой сервер WSUS, откройте mmc и загрузите оснастку сертификата для учетной записи компьютера. Разверните «Сертификаты» и «Личные» и щелкните папку «Сертификаты». Щелкните правой кнопкой мыши пустое пространство и выберите «Все задачи» -> «Запросить новый сертификат». Нажмите «Далее», «Далее», после чего вы увидите новый шаблон веб-сертификата со ссылкой «Для регистрации этого сертификата требуется дополнительная информация». Щелкните это.
В поле «Имя субъекта» выберите тип «Общее имя», введите свое полное доменное имя и нажмите «Добавить». В разделе «Альтернативное имя» выберите тип DNS, затем введите ЛЮБЫЕ другие имена, которые вы можете использовать (для нас это server-wsus-serv.ad.domain.org, server-wsus-serv.domain.org и server-wsus -серв). Нажмите ОК, установите флажок рядом с шаблоном сертификата и нажмите «Зарегистрироваться». Нажмите «Готово», затем вернитесь в оснастку MMC для сертификатов и обновите, чтобы увидеть новый сертификат. Мне нравится дважды щелкать по нему и вводить понятное имя, например «Сертификат веб-сервера WSUS».
Вернитесь к диспетчеру IIS. Под веб-сервером выберите «Сертификаты сервера», и вы должны увидеть там свой новый сертификат. Разверните свои сайты, выберите сайт администратора WSUS и отредактируйте привязки, чтобы новый сертификат был привязан к 8531. Перезапустите сайт. Затем откройте powershell, перейдите в папку «C: \ Program Files \ Update Services \ Tools» и запустите «. \ Wsusutil configuressl server-wsus-serv.ad.domain.org», затем перезапустите службы обновления. Теперь я могу подключаться локально и удаленно как по имени сервера, так и по полному доменному имени.