WSUS – Update Problem KB2720211 und WUA 7.6.7600.256

Dank des „Flame“ Virus hat Microsoft den Update Dienst und all seine Komponenten einem „Hardening“ unterzogen.

Mit dieser Aktion wird ein neues Zertifikat eingeführt und der Windows Update Agent (WUA) dazu gezwungen, nur noch Updates zu akzeptieren, die mit dem neuen Zertifikat signiert sind.

Ein normaler Stand-Alone Rechner holt sich das Update des WUA im Hintergrund automatisch von Microsoft und aktualisiert sich auf der Version 7.6.7600.256 oder fordert den Nutzer beim Nächsten Aufruf von Windows Update dazu auf.

In Unternehmensumgebungen holt sich der Client den aktuellen WUA vom Windows Server Update Services (WSUS). Dazu hat Microsoft ein Patch (KB2720211) veröffentlicht, der auf allen WSUS Servern installiert werden muss. Genau dieser Patch macht aber bei vielen Kunden Probleme oder führt sogar zum Ausfall vom WSUS. Im TechNet-Form häufen sich in Zwischenzeit auch die Meldungen zu dem Problem. Lösungsansätze findet man im Thread „WSUS 3.0 SP2 will not run after installing update 2720211“ im Beitrag von „chucker2“.

Es gibt zwei weitere Updates, die in KB2720211 verlinkt werden, die einige Fehler beheben sollen:

• 2530678  System Center Update Publisher does not publish customized updates to a computer if WSUS 3.0 SP2 and the .NET Framework 4.0 are installed
• 2530709  „Metadata only“ updates cannot be expired or revised in WSUS 3.0 SP2

Da ich den System Center Updates Publisher (SCUP) im Einsatz haben, sind die „Seiteneffekte“ nicht unerheblich.

Die einzige Stellungnahme dazu findet sich im TechNet-Forum vom Nutzer „Clarence Zhang“ mit dem Statement: „Issue had already been escalated to Microsoft Product Support Tea. Presently there is no resolution except to reinstall WSUS“

Das Problem des WSUS Server Patches aussitzen, führt gerade zu neuen Effekten. Einige Clients, zu meist Notebooks, die in der „freien“ Welt unterwegs waren, haben sich automatisch von Microsoft das Update von WUA 7.6.7600.256 gezogen und installiert und weigern sich fortan, unter Nennung des Fehlercode 800B0001, mit dem WSUS im Unternehmen zu kommunizieren.

Es führt also kein Weg daran vorbei den WSUS Patch KB2720211 zu installieren um lauffähig zu bekommen, da über kurz oder lang die mobilen Clients das WUA Update einspielen und damit zurück ins Unternehmen kommen.

<Update>

Es gibt eine erste offizielle Reaktion des WSUS Team in Form eines Blogeintrages mit dem Titel „WSUS KB2720211 : Common issues encountered and how to fix them„. Leider wird darin nicht auf alle auftretenden Unzulänglichkeiten eingegangen, aber immerhin hat man erkannt, dass das Patch nicht überall reibungslos einspielbar ist.

</Update>

<Update2>

Wie Heise im Artikel „Windows-Update-Update mit Anlaufschwierigkeiten“ berichtet, tritt auch bei Stand-Alone Rechnern des häufigeren ein Fehler beim WUA Update auf Version 7.6.7600.256 auf. Es wird empfohlen das Fixit-Werkzeug aus KB949104 zu verwenden, dass auch hier direkt abgerufen werden kann.

</Update2>