Möchte man eine Instanz in eine andere Infrastruktur migrieren (möglicherweise aufgrund einer Aktualisierung), sollten folgende Schritte beachtet werden.

  • Bevor die Instanz in der „alten Umgebung“ abgeschaltet wird, sollte der aktuelle Schlüssel für die Datenverschlüsselung kopiert werden. Diesen finden Sie ab Dynamics CRM 2011 unter Einstellungen > Datenverwaltung > Datenverschlüsselung > [X] Schlüssel anzeigen. Sie benötigen diesen nach der Migration, um die Datenverschlüsselung wieder zu aktivieren.
  • Stellen Sie zudem sicher, dass es einen CRM-User gibt, der alle der folgenden Eigenschaften besitzt.
    • Zugriffsmodus: Lesen-Schreiben (NICHT Administrator und erst recht nicht Lesezugriff)
    • Rolle: Mindestens Systemadministrator
  • Anschließend können Sie auf dem Anwendungsserver die Instanz deaktivieren und löschen. Hierbei wird die Datenbank nicht gelöscht.
  • Besagte Datenbank können Sie anschließend auf dem SQL-Server entweder im Rahmen eines Backups sichern, oder aber die Datenbank einfach aushängen.
  • In beiden Fällen können Sie die Datenbank entweder durch simples Wiedereinhängen oder durch das Wiederherstellen der Sicherung im neuen SQL-Server einhängen.
  • Auf dem neuen CRM- / Dynamics 365-Server können Sie dann die Organisation importieren. Nach der erneuten Eingabe der Namen sowie der Auswahl des Report-Servers kommen wir hier zum Benutzermapping. Dies können Sie automatisiert durchlaufen lassen, sofern die Domäne gleich bleibt. Anderenfalls müssen Sie die CRM-Benutzer manuell den AD-Benutzern zuweisen.
  • Im Falle des Fehlers „You must map your Active Directory user account to at least one enabled Microsoft Dynamics CRM user who has the System Administrator role before the organization can be imported“ sind folgende Ursachen möglich:
    • Sie führen den Import mit einem Benutzer durch, den Sie nicht gemappt haben > Sie müssen sich entweder den Import mit dem Benutzer durchführen, auf den die Anforderungen aus Schritt 2 passen, oder Ihren aktuellen Benutzer auf den besagten CRM-User mappen.
    • Sie führen den Import mit einem Benutzer durch, dessen CRM-User nur administrativen Zugriff auf das CRM hat > Führen Sie folgende Query in der Datenbank Ihrer Instanz aus:
      UPDATE SystemUserBase
      SET AccessMode = 0
      WHERE DomainName = 'DOMAIN\User'
    • Sie führen den Import mit einem Benutzer durch, dessen CRM-User deaktiviert ist > Führen Sie folgende Query in der Datenbank Ihrer Instanz aus:
      UPDATE SystemUserBase
      SET IsDisabled = 0
      WHERE DomainName = 'DOMAIN\User'

      Es kann sein, dass Sie davor einen anderen Benutzer deaktivieren müssen, um die maximale Anzahl von Benutzern nicht zu überschreiten:

      UPDATE SystemUserBase
      SET IsDisabled = 1
      WHERE DomainName = 'DOMAIN\OtherUser'
  • Danach wird der Import durchgeführt. Dies lief bei uns fehlerfrei durch. Sollten uns bei kommenden Migrationen noch gängige Fehler auffallen, werden wir diese an der Stelle ebenfalls festhalten.
  • Nach dem erfolgreichen Umzug müssen Sie bei der Verwendung von ADFS spätestens jetzt die alte Instanz löschen. Aktualisieren Sie anschließend beide Relying Party Trusts (mangels deutscher Server fehlt mir hier die Übersetzung) – die der alten Instanz und die der neuen.
  • Der A-Record muss ebenfalls auf die neue Infrastruktur zeigen.
  • Tragen Sie nach dem erfolgten Zugriff auf das neue CRM den in Schritt 1 gespeicherten Verschlüsselungskey wieder unter Einstellungen > Datenverwaltung > Datenverschlüsselung ein. Danach ist das CRM / Dynamics 365 wieder voll benutzbar.

Bei frisch installierten Windows 10- und Windows Server 2016-Systemen wird beim Öffnen des Explorers der „Schnellzugriff“ statt „Dieser PC“ angezeigt. Diese Änderung sorgte für viel Unmut, auch weil nicht sofort ersichtlich war, wie man das ändert.

Manuell:

  • Rechtsklicken Sie auf „Schnellzugriff“ in der linken Navigationsleiste des Explorers und gehen Sie auf „Optionen“.
  • Wählen Sie im Reiter „Allgemein“ unter der Einstellung „Datei-Explorer öffnen für:“ die Option „Dieser PC“.
  • Bestätigen Sie mit Klick auf „OK“.

Gruppenrichtlinie:

  • Erstellen Sie eine neue Gruppenrichtlinie mit einem treffenden Namen.
  • Navigieren Sie in der GPO zu folgender Einstellung: „Computer Configuration“ -> „Preferences“ -> „Windows Settings“ -> „Registry“
  • Rechtsklicken Sie in den freien Raum und wählen dann „Neu“ -> „Registry Item“
  • Füllen Sie die Maske wie folgt aus:
    Action: „Update“
    Hive: „HKEY_LOCAL_MACHINE“
    Key Path: „SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced“
    Value Name: „LaunchTo“
    Value type: „REG_DWORD“
    Value data: „1“
    Base: „Decimal“
  • Diese Eingaben per Klick auf „OK“ bestätigen.
  • Die restlichen Fenster können geschlossen werden.

In der zweiten Januarwoche ’18 häuften sich bei uns die Meldungen, dass Outlook 2016 wiederholt das Kennwort abfrägt. Dass das richtige Passwort übermittelt wurde, konnten die Benutzer zuvor über OWA sicherstellen. Teilweise war auch der Versand und Empfang von Mails dennoch möglich.

Wir suchten zuerst an unseren Servern verzweifelt nach dem Fehler, da wir in jüngster Zeit tatsächlich infrastrukturelle Veränderungen durchgeführt hatten. Wir haben dann sogar über Nacht noch das aktuellste Cumulative Update für Exchange ausgerollt. Doch alle Bemühungen waren erfolglos, die Probleme blieben.

Was wir jedoch herausfinden konnten, war, dass das Problem nur mit dem 1711er Build von Outlook bestand. Als Workaround boten wir unseren Kunden daraufhin an, updatetechnisch auf den Build 1710 zurückzugehen. Sounds good – didn’t work: Über Nacht haben sich alle Outlooks wieder aktualisiert…

Heute Morgen wurden wir dann auf einen Reddit-Post aufmerksam, der Licht ins Dunkel brachte: https://www.reddit.com/r/sysadmin/comments/7pk33j/outlook_2016_password_prompt/

Scheinbar hat eine in Outlook reingepatchte Office 365-Änderung das Problem verursacht. Mit folgendem Registry-Eintrag:

[HKEY_CURRENT_USER\Software\Microsoft\Office\X.0\Outlook\AutoDiscover]
"ExcludeExplicitO365Endpoint"=dword:00000001

… unterbinden Sie die Abfrage der Office 365-Endpunkte beim Autodiscover-Vorgang. An diesen möchte sich Outlook 2016 scheinbar seit neuestem authentifizieren, was logischerweise nicht funktioniert – haben wir doch unsere eigene Infrastruktur.

Für kurz angebundene bieten wir auch eine ZIP-Datei mit den Fixes für die Outlook-Versionen 2010 – 2016 an. Ob tatsächlich ältere Versionen betroffen sind, ist uns aber nicht bekannt. Sie können die Datei unter folgendem Link beziehen: http://c4y.eu/passfix

Wir haben mehrere CentOS-basierte Zabbix-Proxies. Damit diese auch nach dem Neustart noch ihren Zweck erfüllen und nicht irgendwie in der Luft hängen, haben sich folgende Schritte etabliert.

nano /etc/rc.d/rc.local

Hinter diesem Pfad verbirgt sich ein Startup-Script. Dieses kann schon einige Zeilen enthalten. Wir ergänzen es einfach um folgende Einträge:

# eth1 ist die NIC in unser Netzwerk. eth0 ist die NIC mit Default Gateway in das zu überwachende Netz
# Zu Beginn starten wir diese NIC einmal neu, um sicherzustellen, dass sie aktiv ist
ifdown eth1
ifup eth1

# Dann setzen wir die Route für das Netz, in dem der Zabbix-Server letztendlich steht
ip route add [MgmtNetz]/[Hostbits] via [IP des Gateways der NIC] dev eth1 proto static metric 10
# Bsp.: ip route add 192.168.1.0/24 via 172.16.1.1 dev eth1 proto static metric 10

# SELinux Konfiguration „Eine Bastion gegen Angriffe“
setsebool zabbix_can_network 1
setsebool httpd_can_connect_zabbix 1

# Sicherstellen dass die Dienste laufen
systemctl start zabbix-proxy
systemctl start zabbix-agent
systemctl start postgresql

Anschließend stellen wir sicher, dass das Script ausführbar ist:

chmod +x /etc/rc.d/rc.local

Damit sollte der Proxy künftige Neustarts überleben.

Szenario:

Über ein beliebiges Tool wird versucht, per SMTP eine Mail unter Verwendung des Exchange-Servers als Relay zu versenden. Die Authentifizierung klappte tadellos und als Absenderadresse wird die Antwortadresse des Accounts verwendet, mit dem man sich zuvor angemeldet hat. Und doch sagt der Exchange-Server:

5.7.1 Client does not have permissions to send as this sender

Grund / Lösung:

Man muss obige Fehlermeldung nur in Google eingeben, um herauszufinden, dass es so einige Ansätze zur Problemlösung gibt. Bei uns war es jedoch ein sehr unüblicher Grund: Vor zwei Tagen hatte ich die Domain, die die Mailadresse des Benutzers hinter dem @ stehen hat, als „External Relay“ definiert. Damals wollte ich sicherstellen, dass der Exchange immer versucht, die Mail über das Internet zu versenden, auch wenn das Empfängerpostfach lokal vorliegt. Das oben beschriebene Szenario ist hier jedoch ein unangenehmer Nebeneffekt. Verwendet man also den Exchange-Server als Relay für andere Programme, so sollte die sendende Domain immer als „Authorative“ oder „Internal Relay“ eingerichtet sein.

In einem relativ aktuellen Fall hatten wir das Problem, dass unter einer CentOS7-VM ein LVM-Volume volllief:

sudo lvm vgdisplay
 --- Volume group ---
 VG Name centos
 System ID
 Format lvm2
 Metadata Areas 3
 Metadata Sequence No 8
 VG Access read/write
 VG Status resizable
 MAX LV 0
 Cur LV 3
 Open LV 3
 Max PV 0
 Cur PV 3
 Act PV 3
 VG Size 1.27 TiB
 PE Size 4.00 MiB
 Total PE 332622
 Alloc PE / Size 332622 / 1.27 TiB
 Free PE / Size 0 / 0
 VG UUID xxxx

Nun wurde über Hyper-V eine weitere 500GB große Disk hinzugefügt. Diese muss nun zum logischen Volume hinzugefügt werden. Hierzu gehen wir erstmal in die LVM-Umgebung:

> Sudo LVM

Nach erneuter Eingabe des Passworts können wir loslegen. Über den Befehl lvmdiskscan können wir den Pfad der neuen Disk bestimmen:

lvm> lvmdiskscan
 /dev/centos/root [ 1.03 TiB]
 /dev/sda1 [ 200.00 MiB]
 /dev/centos/swap [ 2.00 GiB]
 /dev/sda2 [ 500.00 MiB]
 /dev/centos/home [ 247.25 GiB]
 /dev/sda3 [ 299.31 GiB] LVM physical volume
 /dev/sdb [ 500.00 GiB]
 /dev/sdc [ 500.00 GiB] LVM physical volume
 /dev/sdd1 [ 500.00 GiB] LVM physical volume
 4 disks
 2 partitions
 1 LVM physical volume whole disk
 2 LVM physical volumes

Mit dieser Disk werde ich das Beispiel durchmachen, Sie aber zur Verdeutlichung auch immer rot markieren. Als erstes wollen wir erreichen, dass die Disk über den LVM verwendet werden kann. Hierzu verwenden wir folgenden Befehl:

lvm> lvm pvcreate /dev/sdb
 Physical volume "/dev/sdb" successfully created

Führen wir nun erneut den Befehl lvmdiskscan aus, so sehen wir, dass die neue Disk hinzugefügt wurde:

lvm> lvmdiskscan
 /dev/centos/root [ 1.03 TiB]
 /dev/sda1 [ 200.00 MiB]
 /dev/centos/swap [ 2.00 GiB]
 /dev/sda2 [ 500.00 MiB]
 /dev/centos/home [ 247.25 GiB]
 /dev/sda3 [ 299.31 GiB] LVM physical volume
 /dev/sdb [ 500.00 GiB] LVM physical volume
 /dev/sdc [ 500.00 GiB] LVM physical volume
 /dev/sdd1 [ 500.00 GiB] LVM physical volume
 3 disks
 2 partitions
 2 LVM physical volume whole disks
 2 LVM physical volumes

Jetzt können wir die Disk nehmen, und sie unserer bestehenden LVM-Gruppe hinzufügen. Den Gruppennamen bekommt man über den Befehl vgdisplay heraus:

lvm> vgdisplay
 --- Volume group ---
 VG Name centos
 System ID
 Format lvm2
 Metadata Areas 3
 Metadata Sequence No 8
 VG Access read/write
 VG Status resizable
 MAX LV 0
 Cur LV 3
 Open LV 3
 Max PV 0
 Cur PV 3
 Act PV 3
 VG Size 1.27 TiB
 PE Size 4.00 MiB
 Total PE 332622
 Alloc PE / Size 332622 / 1.27 TiB
 Free PE / Size 0 / 0
 VG UUID x6THwj-1ybf-7UZD-GSb4-OJU0-ByTg-dyQL7h

Somit können wir folgenden Befehl abfeuern:

vgextend "centos" /dev/sdb
Volume group "centos" successfully extended

Sollten hier schon Fehlermeldungen wie diese hier kommen:

Couldn't create temporary text file name.
Backup of volume group centos metadata failed.

…so werden wir nachher noch was beachten müssen. Dies tritt vor allem dann auf, wenn das bestehende Volume wirklich komplett voll ist.

Nachdem nun die Gruppe vergrößert wurde, muss das Volume entsprechend vergrößert werden. Bei uns war es das root-Volume, dessen Pfad wir über den Befehl lvmdiskscan schon ausmachten:

lvm> lvmdiskscan
 /dev/centos/root [ 1.03 TiB]
 /dev/sda1 [ 200.00 MiB]
 /dev/centos/swap [ 2.00 GiB]
 /dev/sda2 [ 500.00 MiB]
 /dev/centos/home [ 247.25 GiB]
 /dev/sda3 [ 299.31 GiB] LVM physical volume
 /dev/sdb [ 500.00 GiB] LVM physical volume
 /dev/sdc [ 500.00 GiB] LVM physical volume
 /dev/sdd1 [ 500.00 GiB] LVM physical volume
 3 disks
 2 partitions
 2 LVM physical volume whole disks
 2 LVM physical volumes

Wir müssen uns nun also die zukünftige Größe des Volumes erschließen. Dies geschieht in zwei Schritten:

lvm> vgdisplay
 --- Volume group ---
 VG Name centos
 System ID
 Format lvm2
 Metadata Areas 4
 Metadata Sequence No 9
 VG Access read/write
 VG Status resizable
 MAX LV 0
 Cur LV 3
 Open LV 3
 Max PV 0
 Cur PV 4
 Act PV 4
 VG Size 1.76 TiB
 PE Size 4.00 MiB
 Total PE 460621
 Alloc PE / Size 332622 / 1.27 TiB
 Free PE / Size 127999 / 500.00 GiB
 VG UUID x6THwj-1ybf-7UZD-GSb4-OJU0-ByTg-dyQL7h

lvm> lvdisplay /dev/centos/root
 --- Logical volume ---
 LV Path /dev/centos/root
 LV Name root
 VG Name centos
 LV UUID 6wSo4q-yRO7-dZiZ-TwBf-QYeq-iTjf-O1Uk6Z
 LV Write Access read/write
 LV Creation host, time localhost.localdomain, 2016-03-14 13:42:03 +0100
 LV Status available
 # open 1
 LV Size 1.03 TiB
 Current LE 268814
 Segments 3
 Allocation inherit
 Read ahead sectors auto
 - currently set to 8192
 Block device 253:0

Addieren wir die aktuelle Größe des Volumes mit dem neu gewonnenen freien Speicherplatz (127999 + 268814), so bekommen wir als Endergebnis die neue Größe des Laufwerks (396813). Sofern es vorher keine Fehlermeldung bei Ausführung des Befehls vgextend „centos“ /dev/sdb gab, so können Sie nun mit folgendem Befehl das Volume erweitern:

lvm> lvresize -l 396813 /dev/centos/root
Size of logical volume centos/root changed from 1.03 TiB (268814 extents) to 1.51 TiB (396813 extents).
Logical volume root successfully resized.

Anderenfalls müssen wir noch das Autobackup deaktivieren, was aber durch eine kleine Abänderung des Befehls noch in der selben Line möglich ist:

lvm> lvresize -A n -l 396813 /dev/centos/root
 Size of logical volume centos/root changed from 1.03 TiB (268814 extents) to 1.51 TiB (396813 extents).
 WARNING: This metadata update is NOT backed up
 Logical volume root successfully resized.

Abschließend muss noch das Dateisystem erweitert werden. Dies erfolgt über den folgenden Befehl (außerhalb der LVM-Umgebung):

> sudo xfs_growfs /dev/centos/root

Das sollte es gewesen sein. Überprüfen kann man es mit dem Befehl df -h:

df -h
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/centos-root 1.6T 1.1T 500G 68% /
devtmpfs 5.8G 0 5.8G 0% /dev
tmpfs 5.8G 8.0K 5.8G 1% /dev/shm
tmpfs 5.8G 8.3M 5.8G 1% /run
tmpfs 5.8G 0 5.8G 0% /sys/fs/cgroup
/dev/sda2 494M 134M 361M 28% /boot
/dev/sda1 200M 9.5M 191M 5% /boot/efi
/dev/mapper/centos-home 248G 33M 248G 1% /home
tmpfs 1.2G 0 1.2G 0% /run/user/1001

Wird ein öffentlicher Ordner bzw. ein darin untergeordneter Ordner für das Empfangen von Mails aktiviert, kann es sein, dass er auf Grund von vorher gesetzten Berechtigungen dennoch keine Mails empfängt. Sollte dies externe Mails betreffen, können Sie die Lösung hier nachlesen. Geht es jedoch um interne Mails, sind Sie hier richtig.

Führt man eine Sendungsverfolgung auf dem Exchange aus, wird uns folgender Fehler angezeigt:

RecipientStatus: {[{LRT=};{LED=550 5.7.1 RESOLVER.RST.NotAuthorized; not authorized [Stage: CreateMessage]};{FQDN=};{IP=}]}

Hier wird also ein Benutzer erkannt, von dem die Mail ausgeht. Dieser hat keine Berechtigung, Mails im Zielordner zu „erstellen“. Nichts anderes passiert im Prinzip, wenn man eine Mail an einen Public Folder schickt. Beheben kann man das folgendermaßen:

Add-PublicFolderClientPermission -identity "\Ordner\Unterordner” –User Default -AccessRights CreateItems

Man kann es natürlich an dieser Stelle auch auf einzelne Benutzer runterbrechen. „Default“ beschreibt alle nicht extra genannten Benutzer.

Einleitung:

Im Rahmen einer Fehlersuche entfernten wir ein CSV aus dem Cluster, da dieses von einer der Clusternodes nicht mehr „in Besitz“ genommen werden konnte. Später an diesem Tag wollten wir das CSV wieder dem Cluster hinzufügen, da das Problem an anderer Stelle festgemacht werden konnte. Da wir das CSV nicht nur als solches, sondern auch als verfügbaren Speicher enfernt hatten, wollten wir über den Knopf „+ Add Disk“ die präsentierte Disk wieder hinzufügen. Statt uns die Disk anzubieten, überraschte uns Microsoft mit der Fehlermeldung:

Für Clusterdatenträger wurden keine geeigneten Datenträger gefunden.

In der Datenträgerverwaltung wurde die Disk in einem der Cluster als RAW-Datenträger erkannt, auf den anderen Nodes war gar keine Formatierung zu erkennen. Egal welche Node wir zu diesem Zeitpunkt als Master verwendeten, die Fehlermeldung blieb die selbe.

Wir versuchten sogar, die Disk auf einer Node online zu schalten und ihr einen Laufwerksbuchstaben zu verpassen. Auch dieser Zugriff war nicht möglich, hier bekamen wir nur folgenden Fehler:

Die angeforderte Ressource wird bereits verwendet.

Ursache:

Scheinbar hat sich bei dem übergeordneten Problem, welches wir hatten und weswegen auch dieser Schritt erst notwendig wurde, der Cluster bei der Ownership-Vergabe verhaspelt. Fakt ist, dass dieses scheinbar nicht lesbare Laufwerk zum Zeitpunkt des Enfernens aus den CSVs noch einer Node zugeordnet war und diese Zuordnung auch nicht verloren hat. Diese Zuordnung verhindert ein erneutes Auffinden der Disk über den Knopf „+ Add Disk“.

Behebung:

Ein einfacher PowerShell-Befehl hat uns im Endeffekt geholfen. Über die Datenträgerverwaltung konnten wir die Disknummer ausmachen (Disk 6). Mit diesem Wissen konnte folgender Befehl über die PowerShell-Konsole abgesetzt werden:

Clear-ClusterDiskReservation -Disk 6

Das ganze musste kurz bestätigt werden und direkt im Anschluss war die Disk wieder zu finden.

Bei uns gab es die Anforderung, die Größe eines Öffentlichen Ordners zu bestimmen. Kein Problem eigentlich, gibt es doch folgenden Befehl:

[PS] C:\Windows\system32>Get-PublicFolder "\[Ordnername]" | Get-PublicFolderStatistics | Select TotalItemSize

Doch weit gefehlt, dieser Befehl gibt nur die Größe der direkt darin befindlichen Dateien zurück. Größen von Unterordner bzw. der darin befindlichen Dateien werden nicht berücksichtigt. Abhilfe schafft hier folgender Befehl:

[PS] C:\Windows\system32>Get-PublicFolder "\[Ordnername]" -Recurse | Get-PublicFolderStatistics | Measure TotalItemSize -sum

Oder etwas freundlicher fürs Auge:

[PS] C:\Windows\system32>Get-PublicFolder "\[Ordnername]" -Recurse | Get-PublicFolderStatistics | Measure TotalItemSize -sum | Select @{N='Anzahl der Items'; E={$_.Count}}, @{N='Speicher in Byte'; E={$_.Sum}} | fl

Bitte beachten Sie, dass es eine Weile dauern kann, bis der Befehl durchgeführt wurde.

Im Internet gibt es viele Anleitungen, die beschreiben, wie man einen WSUS-Server mit einem SSL-Zertifikat versieht. Jedoch ist dort immer nur die Rede von selbst erstellten Zertifikaten und damit einhergehend auch grundsätzlich von einem internen Namen. Geht man nun strikt nach der Anleitung, verwendet aber stattdessen ein öffentliches Zertifikat, so scheitert es spätestens beim Verbinden der Serverkonsole (MMC) auf die neue Zugriffs-URL.

In diesem Tutorial gehe ich davon aus, dass das Zertifikat bereits im Zertifikatsspeicher des WSUS liegt. Im Anschluss sind folgende Schritte zu tätigen:

Setzen des Zertifikats

  • Wir öffnen den IIS Manager
  • Erweitern die Baumstruktur links auf folgenden Pfad:
    [Servername] -> Sites -> WSUS Administration
  • Während WSUS Administration markiert ist, kann rechts unter Actions auf Bindings… geklickt werden.
  • Nun kann auf das https-Binding doppelgeklickt werden.
  • Unten in der Rubrik SSL certificate kann im DropDown-Menü nun das Zertifikat ausgewählt werden, das zuvor eingespielt wurde.
  • Anschließend können die offenen Fenster mit OK und Close geschlossen werden.

Erzwingen von SSL-Verbindungen

  • Erneut im IIS Manager angekommen erweitern die Baumstruktur links auf folgenden Pfad:
    [Servername] -> Sites -> WSUS Administration (
  • Darunter sind folgende Applications für uns nun von Belang:
    ApiRemoting30
    ClientWebService
    DSSAuthWebService
    ServerSyncWebService
    SimpleAuthWebService
  • Nacheinander markieren wir nun jede dieser Applikationen, um anschließend auf SSL Settings zu gehen und folgende Einstellungen vorzunehmen:
    [X] Require SSL
    Client certificates: (o) Ignore
  • Damit wäre dieser Schritt erledigt. Sollte zum Zeitpunkt der Tätigkeiten der WSUS Manager geöffnet gewesen sein, wird dieser nun meckern.

WSUS für SSL konfigurieren

  • Nun öffnen wir ein Konsolenfenster als Administrator
  • Dort angekommen navigieren wir zu folgendem Pfad: „C:\Program Files\Update Services\Tools“
  • Nun führen wir folgenden Befehl aus: WSUSUtil.exe ConfigureSSL [Zukünftige URL]
    Bsp: WSUSUtil.exe ConfigureSSL wsus.domain.tld

Der Serverkonsole den lokalen Zugriff ermöglichen

Nun kommen wir zum Knackpunkt. Die Serverkonsole kann sich standardmäßig nur auf den internen Namen verbinden. Nach den vorhergehenden Änderungen wäre nun aber eigentlich die URL zum erneuten Verbinden der WSUS Managementkonsole einzugeben. Die Lösung hierfür konnte im TechNet von Microsoft (unten verlinkt) gefunden werden:

  • Wir öffnen den Registry-Editor und navigieren zu folgendem Pfad: „HKLM\System\CurrentControlSet\Controls\Lsa\MSV1_0“
  • Nun rechtsklicken wir auf den Key MSV1_0 und klicken dann auf New -> Multi-String Value. Als Name geben wir BackConnectionHostNames ein.
  • Nach der Anlegung öffnen wir nochmals den Wert, um als Value data die zukünftige URL einzutragen.
  • Anschließend kann das Fenster per Klick auf OK bestätigt und der Registry Editor wieder geschlossen werden.

Die Serverkonsole erneut verbinden

Abschließend können wir auf der Serverkonsole die aktuelle Verbindung auf den „alten“ FQDN schließen und anschließend auf die neue URL verbinden.

Quellen:
Problemlösung mit der externen URL: https://social.technet.microsoft.com/Forums/windowsserver/en-US/84033ed9-f7aa-4676-a68a-01607eb1f160/wsus-not-working-properly-with-ssl?forum=winserverwsus