6
WSUS - Probleme bei der Synchronisation mit einem Upstreamserver
Hallo zusammen,
ich sitze zur Zeit an einem WSUS Projekt und weiß nicht mehr weiter 
...
Folgendes Problem:
Der WSUS Server im gesicherten Netzwerk kann keine Verbindung über Port 80 mit dem WSUS Server in dem ungesicherten Netzwerk herstellen.
Infrastruktur sieht grob wie folgt aus:
Beschreibung:
Die WSUS Software ist auf dem Server in der gesicherten Zone installiert.
Bei der Konfiguration der Software wird versucht eine Synchronisation mit dem Upstreamserver aus dem ungesicherten Netzwerk herzustellen.
Dies schlägt jedoch fehl.
Fehlerausgabe:
System.NetSockets.SocketException: A connection attempt failed
because the connected party did not properly respond after a period of time,
or established connection failed because connected host has failed to respond 10.xx.xx.xx:80
Bei der Windows Netzwerk Diagnose steht folgendes:
website (10.xx.xx.xx) is online but isnt responding to connection attempts
Randinformationen:
- Lokale Firewall ausgeschaltet
- Firewallregel eingerichtet und überprüft ( Pakete werden durchgelassen an Port 80)
- Der WSUS Server im ungesicherten Netzwerk ist auf Port 80 konfiguriert
- Eintrag in der Hosts.cfg vorgenommen, damit die Namensauflösung des WSUS Servers funktioniert ( war vorher nicht der Fall)
- PING / Tracert kann erfolgreich auf den WSUS Server im ungesicherten Netzwerk ausgeführt werden
- Die Default Webseite ist für den Zugriff über Port 80 konfiguriert
- IP / Subnetzmaske / gateway sind auch korrekt für den WSUS Server in der gesicherten Zone
Hat von euch jemand eine Idee woran es noch liegen könnte?
Vielen Dank schon mal!
Viele Grüße,
sk1988
Der WSUS Server im gesicherten Netzwerk kann keine Verbindung über Port 80 mit dem WSUS Server in dem ungesicherten Netzwerk herstellen.
Infrastruktur sieht grob wie folgt aus:
Beschreibung:
Die WSUS Software ist auf dem Server in der gesicherten Zone installiert.
Bei der Konfiguration der Software wird versucht eine Synchronisation mit dem Upstreamserver aus dem ungesicherten Netzwerk herzustellen.
Dies schlägt jedoch fehl.
Fehlerausgabe:
System.NetSockets.SocketException: A connection attempt failed
because the connected party did not properly respond after a period of time,
or established connection failed because connected host has failed to respond 10.xx.xx.xx:80
Bei der Windows Netzwerk Diagnose steht folgendes:
website (10.xx.xx.xx) is online but isnt responding to connection attempts
Randinformationen:
- Lokale Firewall ausgeschaltet
- Firewallregel eingerichtet und überprüft ( Pakete werden durchgelassen an Port 80)
- Der WSUS Server im ungesicherten Netzwerk ist auf Port 80 konfiguriert
- Eintrag in der Hosts.cfg vorgenommen, damit die Namensauflösung des WSUS Servers funktioniert ( war vorher nicht der Fall)
- PING / Tracert kann erfolgreich auf den WSUS Server im ungesicherten Netzwerk ausgeführt werden
- Die Default Webseite ist für den Zugriff über Port 80 konfiguriert
- IP / Subnetzmaske / gateway sind auch korrekt für den WSUS Server in der gesicherten Zone
Hat von euch jemand eine Idee woran es noch liegen könnte?
Vielen Dank schon mal!
Viele Grüße,
sk1988
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 164225
Url: https://administrator.de/contentid/164225
Printed on: April 24, 2024 at 17:04 o'clock
6 Comments
Latest comment
Moin.
Bist Du sicher, dass nur 80 benötigt wird? Ein Client erreicht zwar einen WSUS unter 80, aber auch die Highports müssen offen sein, soweit ich mich erinnere. Wie das zwischen zwei WSUS aussieht, weiß ich nicht, sniff doch mit wireshark beidseitig mit, was passiert.
Bist Du sicher, dass nur 80 benötigt wird? Ein Client erreicht zwar einen WSUS unter 80, aber auch die Highports müssen offen sein, soweit ich mich erinnere. Wie das zwischen zwei WSUS aussieht, weiß ich nicht, sniff doch mit wireshark beidseitig mit, was passiert.
Moin ,
das mit dem öffnen der Highports hatte ich bislang so noch nirgendwo gelesen. (Hatte bislang gedacht die Updates würden auch über den Port 80 an die Clients verschickt werden)
Werde dem Ansatz am Montag auf jeden Fall mal nachgehen.
Danke schön schon mal !
das mit dem öffnen der Highports hatte ich bislang so noch nirgendwo gelesen. (Hatte bislang gedacht die Updates würden auch über den Port 80 an die Clients verschickt werden)
Werde dem Ansatz am Montag auf jeden Fall mal nachgehen.
Danke schön schon mal !
Servus,
habs heute auf der Arbeit ausprobiert mit den Highports ... die Verbindung / Synchronisierung schlägt jedoch trotzdem fehl.
Mit Wirehark habe ich den Verbindungsaufbau mitgeschnitten. Ergebnis von dem ganzen war, das keine Pakete zurück gekommen sind und im
Layer 4 die Bemerkung " Broken TCP" drin stand.
Hat noch jemand ne Idee woran es liegen kann?
habs heute auf der Arbeit ausprobiert mit den Highports ... die Verbindung / Synchronisierung schlägt jedoch trotzdem fehl.
Mit Wirehark habe ich den Verbindungsaufbau mitgeschnitten. Ergebnis von dem ganzen war, das keine Pakete zurück gekommen sind und im
Layer 4 die Bemerkung " Broken TCP" drin stand.
Hat noch jemand ne Idee woran es liegen kann?
Moin,
so das Problem hat sich erledigt. Es lag nicht an den Servern sondern an einem Firewalleintrag der zunächst auf einer falschen Firewall eingetragen worden ist.
btw: Highports werden nicht benötigt, da die Updates ausschließlich über den entsprechen Port (80 / 8530 / 443 / 8531) ,der für die Verbindung angegeben wird, bezogen werden.
so das Problem hat sich erledigt. Es lag nicht an den Servern sondern an einem Firewalleintrag der zunächst auf einer falschen Firewall eingetragen worden ist.
btw: Highports werden nicht benötigt, da die Updates ausschließlich über den entsprechen Port (80 / 8530 / 443 / 8531) ,der für die Verbindung angegeben wird, bezogen werden.
Mal ein Denkanstoß:
Firewallregel eingerichtet und überprüft ( Pakete werden durchgelassen an Port 80)
schriebst Du. Wie prüft Ihr denn? Ein einfaches telnet hätte es doch schon widerlegt, oder?
Wir haben das auf der Firewall direkt geprüft (Smart View Tracker) und per Wireshark mitschnitt auf dem Server, jedoch hat sich erst später raus gestellt ,dass noch Einträge auf einer 2ten Firewall gemacht werden müssen... nur wußte keiner genau welche das war -.- ;)
Telnet hate ich zunächst verworfen, weils standardmäßig nicht installiert ist bei Windows Server 2008 R2... aber das nächste mal werd ich das beherzigen. Danke für den Tipp ;)
Telnet hate ich zunächst verworfen, weils standardmäßig nicht installiert ist bei Windows Server 2008 R2... aber das nächste mal werd ich das beherzigen. Danke für den Tipp ;)
