无法从本地系统访问 WSUS 控制台;可以从另一台主机访问吗?

无法从本地系统访问 WSUS 控制台;可以从另一台主机访问吗?

我有一台在 Server 2012 R2 上运行的 WSUS 服务器,更新服务 3.2.7600.226。从服务器管理器中,我看到 WSUS 出现错误,具体来说,当我打开错误时,我看到“DSS 身份验证 Web 服务不起作用”,并且 SimpleAuth、客户端 Web、API 远程处理和报告 Web 也出现同样的情况。我确实启用了 SSL,服务器配置为使用端口 8531。

我可以通过本地 WSUS 控制台连接到服务器,但我看到 0 个更新、0 台计算机等等。

但奇怪的是...我有一台 SCCM 服务器,它也安装了 WSUS(并且是下游 WSUS 服务器)。它是一个 Server 2016 实例,正在使用更新服务 10.0.14393.0。将第一台服务器添加到控制台后,我不仅可以完整地看到它,还可以查看来自它的客户端和更新。我的实际客户端正在成功检查来自原始服务器的更新;我有 243 个客户端签入并且很开心。

除从其自身管理 WSUS 服务器外,一切似乎均正常运行。

怎么回事?我完全不知道问题出在哪里。这是否与服务器无法在本地信任证书有关?这是更新服务的问题吗?另一个系统可以看到所有内容,但主机本身却看不到,这似乎很奇怪。

在 WSUS 服务器上的 IIS(6.1)中,在 WSUS 管理站点下,我有以下内容:

  • ApiRemoting30,绑定到 443、8530、8531,需要 SSL。
  • ClientWebService,绑定到 443、8530、8531,需要 SSL。
  • DssAuthWebService,绑定到 443、8530、8531,需要 SSL。
  • 库存,绑定到 443、8530、8531,不需要 SSL。
  • ReportingWebService,绑定到 443、8530、8531,不需要 SSL。
  • ServerSyncWebService,绑定到 443、8530、8531,需要 SSL。
  • SimpleAuthWebService,绑定到 443、8530、8531,需要 SSL。

SSL 证书是从我们的根 CA 申请的证书,完全可以验证。使用 IE 浏览时完全有效。

我遵循了以下指南:https://technet.microsoft.com/en-us/library/bb633246.aspx?f=255&MSPPError=-2147217396

答案1

看起来我的服务器证书和我一直使用的域名不匹配。

我之前没有提到这一点,但是执行“Wsusutil configuressl certificateName”没有帮助。

当 WSUS 控制台打开时,它会尝试使用主机名(并且仅使用主机名)进行连接。这曾经有效……过去,我们的 GPO 指向旧的 WSUS 服务器(早于这两个服务器)“http://服务器-wsus-desk:8530“。我启用了 SSL 并将其更新为”http://服务器-wsus-serv:8531“。对于要连接的客户端,ssl 证书仅用于主机名。不知何故,这根本不起作用。

确实有效的是为 FQDN (server-wsus-serv.ad.domain.org) 创建新的域证书。然后我更新了 GPO 以指向“https://server-wsus-serv.ad.domain.org:8531“。当我在该主机上加载控制台时,默认情况下,它会打开与“server-wsus-serv”的连接,该连接会执行整个“显示 0 台计算机和更新”操作。但是,我可以在端口 8531 上启动与 FQDN“server-wsus-serv.ad.domain.org”的新连接,并且它会像您预期的那样显示在两台服务器上。客户端连接没有错误,服务器管理器在事件日志中没有显示任何问题。

但这仍然不理想。我最终做的是在我的 CA 上创建一个允许多个 DNS 别名的备用证书模板。我去了我的 CA,复制了“Web 服务器”模板,然后将其命名为“WSUS Web 服务器证书”。在“安全”选项卡中,通过组或计算机名称添加实际的 WSUS 服务器(您需要启用计算机对象类型)并授予其“注册”和“读取”权限。然后,转到服务器管理器中的 CA,展开“证书模板”文件夹,然后右键单击,转到“新建”并选择“要颁发的证书模板”。选择您的新模板并单击确定。现在,返回您的 WSUS 服务器,打开 mmc 并加载计算机帐户的证书管理单元。展开“证书”和“个人”,然后单击“证书”文件夹。右键单击空白处,选择“所有任务”->“请求新证书”。点击“下一步”、“下一步”,然后您将看到新的 Web 证书模板,其中有一个链接,上面写着“注册此证书需要更多信息”。点击该链接。

在“主题名称”中选择“通用名称”类型,输入您的 FQDN 并点击添加。在“备用名称”中,选择 DNS 类型,然后输入您可能使用的任何其他名称(对于我们来说,它是 server-wsus-serv.ad.domain.org、server-wsus-serv.domain.org 和 server-wsus-serv)。单击确定,选中证书模板旁边的框,然后点击注册。单击完成,然后返回证书 MMC 管理单元,刷新以查看您的新证书。我喜欢双击它并输入一个友好的名称,如“WSUS Web 服务器证书”。

返回 IIS 管理器。在 Web 服务器下,选择“服务器证书”,您应该在那里看到您的新证书。展开您的站点,选择您的 WSUS 管理站点,然后编辑您的绑定,以便新证书绑定到 8531。重新启动站点。然后,打开 powershell,导航到“C:\Program Files\Update Services\Tools”并运行“.\Wsusutil configuressl server-wsus-serv.ad.domain.org”,然后重新启动更新服务。我现在可以从服务器名称和 FQDN 进行本地和远程连接。

相关内容