Hallo allerseits,
ich stehe gerade vor einem irritierenden Problem, zu dem vielleicht jemand hier einen Lösungsansatz hat:
Auf einem Windows 2008 R2 Standard Server mit WSUS 3.2.7600.307 scheitert immer wieder der Download von zwei bestimmten Dateien. Der Server selbst ist in Hinblick auf den Updatestand aktuell; .NET 3.5.1 ist installiert; als Datenbank kommt die WID zum Einsatz.
Die problematischen Dateien sind zwei Schnellinstallationsarchive zu KB4504418 (Servicing Stack Update für Windows 8.1, Server 2012, und Server 2012 R2), wie anhand der Ereignisanzeige ersichtlich ist:
Inhaltdateisynchronisierung ist fehlgeschlagen. Ursache: File cert verification failure. Quelldatei: /c/msdownload/update/software/secu/2019/07/windows8-rt-kb4504418-x86_cbfca28e203
c05cf0d8bf6e8c56d81c9bd170789.psf Zieldatei: c:\WSUS\WsusContent\89\CBFCA28E203C05CF0D8BF6E8C56D81C9BD170789.psf.
Inhaltdateisynchronisierung ist fehlgeschlagen. Ursache: File cert verification failure. Quelldatei: /c/msdownload/update/software/secu/2019/07/windows8-rt-kb4504418-x64_7fc2ec35606
f12f6065408850962706ebd9c9816.psf Zieldatei: c:\WSUS\WsusContent\16\7FC2EC35606F12F6065408850962706EBD9C9816.psf.Eine genauere Analyse bspw. der x86-Datei ergibt folgendes:
- Ein manueller Download der Datei windows8-rt-kb4504418-x86_cbfca28e203c05cf0d8bf6e8c56d81c9bd170789.psf funktioniert grundsätzlich.
- Der SHA1-Hash dieser Datei paßt sowohl zum Dateinamen als auch zum FileDigest aus tbFile.
- Der SHA256-Hash der Datei sollte laut tbFileHash 0x52A3560EB5DB626E0CF52894CBB41D09B360C0310FF9692DE867FB2F2F3C7DFA sein. Im SoftwareDistribution.log findet sich folgendes:
[...]
2019-07-11 04:34:31.281 UTC Info WsusService.12 ContentSyncAgent.WakeUpWorkerThreadProc Processing Item: 316170c4-97ec-4dbc-9364-17b6832294f3, State: 10
2019-07-11 04:34:31.921 UTC Info WsusService.12 ContentSyncAgent.VerifyCRC calculated sha2 sha256 hash is 52A3560EB5DB626E0CF52894CBB41D09B360C0310FF9692DE867FB2F2F3C7DFA
2019-07-11 04:34:31.936 UTC Info WsusService.12 CabUtilities.CheckCertificateSignature File cert verification failed for c:\WSUS\WsusContent\89\CBFCA28E203C05CF0D8BF6E8C56D81C9BD170789.psf with 2148098064
2019-07-11 04:34:31.983 UTC Warning WsusService.12 ContentSyncAgent.WakeUpWorkerThreadProc Invalid file deleted: c:\WSUS\WsusContent\89\CBFCA28E203C05CF0D8BF6E8C56D81C9BD170789.psf
[...]Laut SHA256-Wert scheint also auch der Server die Datei unbeschadet herunterladen zu können. Das und die Tatsache, daß andere Dateien (auch bspw. die ausschließlich mittels SHA256 signierten CAB-Dateien zu KB4504418) nicht beanstandet werden, läßt mich zunächst vermuten, daß kein SHA2/SHA256-Konfigurationsproblem vorliegt. Als nächstes würde ich gerne von Hand die digitalen Signaturen der Dateien prüfen, habe allerdings bisher noch nicht herausgefunden, wie. Bei CAB-Dateien ist das ja auch problemlos mit Bordmitteln möglich, aber bei PSF-Dateien scheinen der Explorer oder auch Tools wie SigCheck die Signatur nicht zu erkennen.
Hat jemand eine Idee oder ist eventuell auf das gleiche Problem gestoßen?