Updates in Windows Server 2012 R2/2016 steuern

SSL in WSUS nutzen

| Autor: Thomas Joos

Tom's Admin Blog
Tom's Admin Blog (Bild: Tom Joos)

Standardmäßig nutzt WSUS für die Kommunikation mit den Clients und der Verwaltungskonsole das HTTP-Protokoll. In sicheren Umgebungen sollten Sie besser SSL aktivieren. Dazu müssen Sie auf dem Server zunächst ein Serverzertifikat installieren.

Nachdem Sie das Serverzertifikat installiert haben, rufen Sie im IIS-Manager Sites\WSUS-Verwaltung auf. Klicken Sie danach auf Bindungen und bearbeiten die Bindung für SSL zum Port 8531. Hier können Sie jetzt auch das installierte Zertifikat auswählen.

Zusätzlich müssen Sie noch für die folgenden untergeordneten Verzeichnisse der Seite WSUS-Verwaltung die SSL-Einstellungen aufrufen und danach die Option SSL erforderlich aktivieren:

    • ApiRemoting30
    • ClientWebService
    • DssAuthWebService
    • ServerSyncWebService
    • SimpleAuthWebService

Nachdem Sie SSL für WSUS aktiviert haben, erhalten Sie eine Fehlermeldung, wenn Sie die WSUS-Verwaltungskonsole öffnen.

Damit die Konsole wieder funktioniert öffnen Sie zunächst eine Befehlszeile und wechseln in das Verzeichnis „C:\Programme\Update Services\Tools“. Geben Sie den Befehl wsusutil ConfigureSSL <Name des Zertifikats>.

Im nächsten Schritt entfernen Sie die veraltete HTTP-Verbindung in der WSUS-Verwaltungskonsole und fügen über das Kontextmenü eine neue Verbindung hinzu. Geben Sie den Servernamen ein sowie die korrekte Portnummer für die Anbindung an SSL. Aktivieren Sie außerdem die Option „Verbindung mit diesem Server über SSL herstellen“.

Achten Sie aber darauf, dass Sie auch in den Gruppenrichtlinien zur Anbindung der Clients den Port zur Verfügung auf 8531 setzen müssen. Der HTTP-Port 8530 steht nicht mehr zur Verfügung. Sie finden die Einstellungen über Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Update. Passen Sie die Einstellung "Internen Pfad für den Microsoft Updatedienst angeben" an.