Heißes Thema (mehr als 10 Antworten) MMC von anderem PC kann nicht auf WSUS connecten (Gelesen: 1291 mal)
Christian H.
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 9
Standort: Hagen
Mitglied seit: 05.07.07
MMC von anderem PC kann nicht auf WSUS connecten
07.03.08 um 18:01:37
Beitrag drucken  
Aloa,

heute habe ich ein WSUS 2.0 auf 3.0 Upgrade durchgeführt. Der WSUS an sich ist auch recht glücklich (kann sich synchronisieren etc.) aber ich komme von anderen PCs nicht per MMC 3.0 an den WSUS ran. Vom Server selber (dem lokalen System also) gar kein Thema die Konsole aufzurufen.

Aber wenn ich den WSUS auf Port 80 kontaktiere gibt die MMC aus:
"Der Server verwendet unter Umständen einen anderen Port oder eine andere SSL-Einstellung".

Da denk ich mir doch "OK, der verwendet SSL". Also wähle ich 443 aus und setze das Häkchen bei SSL. Dann kommt aber:

"Überprüfen Sie ob IIS auf dem Server richtig konfiguriert ist und ausgeführt wird."

Mein Domänen-User ist Mitglied der Gruppe WSUS-Administratoren, ich habe MMC 3.0, den Event Viewer und das .NET-Framework 2.0 installiert. Irgendwer eine Idee? Kann ich den Port irgendwo einstellen? Oder muss ich beim IIS nach dem Upgrade noch was konfigurieren?

Danke im Voraus für die Hilfe Smiley
  
Zum Seitenanfang
ICQ  
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13357
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: MMC von anderem PC kann nicht auf WSUS connecten
Antwort #1 - 07.03.08 um 22:37:57
Beitrag drucken  
Auf welchem Port ist der WSUS installiert worden? Ist das ein SBS? Wenn ja, dann nimm den Port 8530, ansonsten schau mal im IIS nach, dort siehtst Du, auf welchem Port der WSUS installiert wurde.
  
Zum Seitenanfang
 
Christian H.
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 9
Standort: Hagen
Mitglied seit: 05.07.07
Re: MMC von anderem PC kann nicht auf WSUS connecten
Antwort #2 - 10.03.08 um 14:45:00
Beitrag drucken  
Hi,

danke erstmal für die Antwort. Ist ein W2k3 Standard Server.

Bin erst morgen wieder in der Firma werde dann mal im IIS schauen.
  
Zum Seitenanfang
ICQ  
Christian H.
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 9
Standort: Hagen
Mitglied seit: 05.07.07
Re: MMC von anderem PC kann nicht auf WSUS connecten
Antwort #3 - 11.03.08 um 08:52:06
Beitrag drucken  
So, habe es im IIS nicht gefunden, allerdings habe ich jetzt mal was anderes versucht.

Und zwar kam man im WSUS 2.0 über die Weboberfläche nur mit einem Domänen-Admin-Login rein. Also habe ich mich mal im Windows als Domänen-Admin eingeloggt und voila -> Ich komme auch von meinem Rechner über die MMC an den WSUS 3.0

Dabei habe ich meinen normalen User aber doch in die lokale WSUS-Administratoren- und WSUS-Berichterstatter-Gruppe reingeschoben. Gibt es da irgendwas noch zu beachten was die zugelassenen Benutzer angeht?
  
Zum Seitenanfang
ICQ  
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13357
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: MMC von anderem PC kann nicht auf WSUS connecten
Antwort #4 - 11.03.08 um 09:50:25
Beitrag drucken  
Christian H. schrieb on 11.03.08 um 08:52:06:
So, habe es im IIS nicht gefunden, allerdings habe ich jetzt mal was anderes versucht.


Das ist aber nur im IIS zu finden, oder aber natürlich in der Dokumentation dazu. Was steht denn in der GPO drin?

Christian H. schrieb on 11.03.08 um 08:52:06:
Dabei habe ich meinen normalen User aber doch in die lokale WSUS-Administratoren- und WSUS-Berichterstatter-Gruppe reingeschoben. Gibt es da irgendwas noch zu beachten was die zugelassenen Benutzer angeht?


In beiden Gruppen den gleichen User abzulegen ist absolut sinnfrei. Entweder Admin oder Berichterstatter. Es werden vermutlich noch ein paar NTFS-Berechtigungen fehlen. Hol dir den ProcessMonitor von MS und schau wo dir Berechtigungen fehlen: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).
  
Zum Seitenanfang
 
Christian H.
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 9
Standort: Hagen
Mitglied seit: 05.07.07
Re: MMC von anderem PC kann nicht auf WSUS connecten
Antwort #5 - 11.03.08 um 10:55:14
Beitrag drucken  
GPO geht über Port 80. Über den komme ich ja als Domänen-Admin auch drauf, also scheint es der richtige zu sein. Ist momentan anscheinend alles ein Berechtigungsproblem. Wenn ich im IIS unter Websites->Standardwebsites anonymen Nutzern Zugriff auf "ApiRemoting30" gewähre, weist mich der WSUS mit der Meldung ab, dass ich nicht Mitglied der Gruppe WSUS-Administratoren oder WSUS-Berichterstatter bin (was aber 100%ig der Fall ist). Dies betrifft dann sowohl Domänen-Admin als auch den normalen User.

Wenn anonyme Zugriffe deaktiviert sind, funktioniert nur der Domänen-Admin anstandslos...beim normalen Benutzer kommt dann wieder "Der Server verwendet unter Umständen einen anderen Port oder eine andere SSL-Einstellung". Im IIS ist in der Verzeichnissicherheit zusätzlich noch "Integrierte Windows-Authentifizierung" und "Digest-Authentifizierung für Windows-Domänenserver" angehakt.

Momentan sind die User (Domänen-Admin und auch normaler User) nur Mitglied der Gruppe "WSUS-Administratoren". Allerdings kommt der Domänen-Admin auch ohne eine Mitgliedschaft in dieser Gruppe an den WSUS (sofern im IIS anonyme Zugriffe deaktiviert sind).

Regmon und Filemon werde ich jetzt mal ausprobieren und die Ergebnisse hier reineditieren.

Edit:

Filemon und Regmon haben keine Ergebnisse geliefert, allerdings habe ich jetzt die Lösung.

Für die Website "ApiRemoting30" muss (zumindest in meinem Fall) anonyme Benutzer deaktiviert sein, "Integrierte Windows-Authentifizierung" deaktiviert sein und die "Digest Authentifizierung" aktiviert sein. Etwas freaky, da es im WSUS 2.0 auch mit der Integrierten Authentifizierung lief. Naja gut, da konnte man beim Connecten auch noch einen anderen User angeben... Auf jeden Fall ist es jetzt working as intended..

Danke für die Hilfe!!
  
Zum Seitenanfang
ICQ  
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13357
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: MMC von anderem PC kann nicht auf WSUS connecten
Antwort #6 - 11.03.08 um 12:26:41
Beitrag drucken  
Freut mich das es klappt und Danke für die Rückmeldung. Zwinkernd
  
Zum Seitenanfang
 
Christian H.
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 9
Standort: Hagen
Mitglied seit: 05.07.07
Re: MMC von anderem PC kann nicht auf WSUS connecten
Antwort #7 - 20.03.08 um 09:53:21
Beitrag drucken  
Jetzt muss ich diesen Thread doch nochmal hochholen... Also, der WSUS lief zwar, wenn man allerdings "schnell rumklickte" (also beispielsweise schnell auf die Serverübersicht und dann ohne den Ladevorgang abzuschließen wieder auf Updates) brach die Serververbindung zusammen und meine Ereignisanzeige bringt unter "Anwendung" einen Error vom WSUS:
An der WSUS-Verwaltungskonsole ist ein unerwarteter Fehler aufgetreten. Möglicherweise ist es ein vorübergehender Fehler. Versuchen Sie, die Verwaltungskonsole erneut zu starten. Wenn der Fehler weiterhin besteht,

entfernen Sie die gespeicherten Einstellungen für die Konsole, indem Sie die WSUS-Datei unter "%appdata%\Microsoft\MMC\" löschen.


System.NullReferenceException -- Object reference not set to an instance of an object.

Source
Microsoft.UpdateServices.UI.SnapIn

Stack Trace:
   at Microsoft.UpdateServices.UI.SnapIn.Scope.ServerSummaryScopeNode.ResetScopeNode()



Außerdem gibt es in der Ereignisanzeige simultan dazu immer noch einen weiteren Error:
Die WSUS-Verwaltungskonsole konnte über die Remote-API keine Verbindung mit dem WSUS-Server herstellen.

Stellen Sie sicher, dass der Update Services-Dienst, IIS und SQL auf dem Server ausgeführt werden. Starten Sie IIS, SQL und den Update Services-Dienst erneut, wenn das Problem weiterhin besteht.

System.Net.WebException -- The request failed with HTTP status 401: Unauthorized.

Source
Microsoft.UpdateServices.Administration

Stack Trace:
   at Microsoft.UpdateServices.Administration.AdminProxy.CreateUpdateServer(Object[] args)
   at Microsoft.UpdateServices.Administration.AdminProxy.GetUpdateServer(String serverName, Boolean useSecureConnection, Int32 portNumber)
   at Microsoft.UpdateServices.UI.AdminApiAccess.AdminApiTools.GetUpdateServer(String serverName, Boolean useSecureConnection, Int32 portNumber)
   at Microsoft.UpdateServices.UI.SnapIn.Scope.ServerSummaryScopeNode.GetUpdateServer(
PersistedServerSettings settings)
   at Microsoft.UpdateServices.UI.SnapIn.Scope.ServerSummaryScopeNode.ConnectToServer(
)
   at Microsoft.UpdateServices.UI.SnapIn.Scope.ServerSummaryScopeNode.get_ServerTools(
)


Das IIS-Log sagt mir folgendes:
2008-03-20 07:59:12 W3SVC1 10.49.25.245 POST /ApiRemoting30/WebService.asmx - 80 HAGEN\hoffmeister 10.49.25.5 Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.143
3) 200 0 0
2008-03-20 07:59:12 W3SVC1 10.49.25.245 POST /ApiRemoting30/WebService.asmx - 80 - 10.49.25.5 Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.143
3) 401 1 2148074252


10.49.25.5 ist meine IP
10.49.25.245 der WSUS-Server
HAGEN\hoffmeister ist mein Benutzer in der Domäne Hagen (in der der WSUS auch ist). Es läuft ein IIS 6.0 auf Windows Server 2003 Standard.

Naja, ich habe dann mal das SP1 vom WSUS installiert. Dabei wurde mein zuvor entferntes Häkchen bei der "Integrierten Windows-Authentifizierung" wieder gesetzt.. also scheint das da irgendwie hinzugehören. Mit diesem Häkchen kriege ich allerdings gar keine Verbindung (siehe erster Post in diesem Thread).

Dann kommt im IIS-Log nämlich:
2008-03-20 08:52:35 W3SVC1 10.49.25.245 POST /ApiRemoting30/WebService.asmx - 80 - 10.49.25.5 Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.143
3) 401 2 2148074254


401 ist ja ein Unauthorized-Fehler... Wireshark snifft diese Antwort vom WSUS heraus (Ausschnitt):
Sie haben nicht die erforderliche Berechtigung, um die Seite anzuzeigen</h1>

Sie verfügen nicht über die Berechtigung, dieses Verzeichnis oder diese Seite unter Verwendung der von Ihnen bereitgestellten Anmeldeinformationen anzuzeigen, weil Ihr Webbrowser ein <B>WWW-Authenticate</B>-Headerfeld sendet, das die Konfiguration des Webservers nicht akzeptieren kann.
  
Zum Seitenanfang
ICQ  
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13357
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: MMC von anderem PC kann nicht auf WSUS connecten
Antwort #8 - 20.03.08 um 10:28:40
Beitrag drucken  
Nimm doch Deinen Useraccount mal in die Grupper der WSUS-Administratoren. Hast Du auch die Konsole nochmal auf dem Client neu installiert?
  
Zum Seitenanfang
 
Christian H.
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 9
Standort: Hagen
Mitglied seit: 05.07.07
Re: MMC von anderem PC kann nicht auf WSUS connecten
Antwort #9 - 20.03.08 um 11:31:27
Beitrag drucken  
Ich bin in der Gruppe der WSUS-Administratoren.

Auch eine Neuinstallation macht keinen Unterschied... was mich wundert ist, dass im IIS-Log mein User erst zugelassen wird und dann ein Zugriff ohne User mit 401 abgeschmettert wird. Beide Zugriffe von meiner IP.

Mit der abgeschalteten "Integrierte Windows-Authentifizierung" kann ich ja wie gesagt connecten nur bei schnellem Rumgeklicke gibts Verbindungsabbrüche und er meckert sofort über Fehler 401..

  
Zum Seitenanfang
ICQ  
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13357
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: MMC von anderem PC kann nicht auf WSUS connecten
Antwort #10 - 20.03.08 um 11:42:11
Beitrag drucken  
Dann klick halt ein bisschen langsamer rum.
  
Zum Seitenanfang
 
Christian H.
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 9
Standort: Hagen
Mitglied seit: 05.07.07
Re: MMC von anderem PC kann nicht auf WSUS connecten
Antwort #11 - 20.03.08 um 12:08:17
Beitrag drucken  
Ja nu.. das kann doch keine Lösung sein.. mal abgesehen davon, dass ich bei jedem Starten der Konsole erstmal die Verbindung neu aufbauen darf weil er die dann auch zurücksetzt...

Und dann verrutscht man mal und klickt den falschen Navigationspunkt an und paff, Verbindung weg... da war das Webinterface aber doch komfortabler :>

Ich versuch mal noch ein wenig dass es auch mit integrierter Windows-Authentifizierung läuft...
  
Zum Seitenanfang
ICQ  
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden