Hat man erstmal die 3rd Party Updates in WSUS eingespielt, dann wünsch man sich natürlich auch die Installation der Updates auf den Clients. Wenn das Update mit dem Fehler „0x800b0109“ abgebrochen wird, dann hat meistens etwas mit den Zertifikaten nicht geklappt.
In dem Update Log File (zu finden unter %windir%/windowsupdate.log) schaut das in etwa so aus:
Report REPORT EVENT: {EA548808-B54D-49BF-8D03-8D53BC1F92F2} 2011-05-13 07:47:07:169+0200 1 161 101 {4D509848-8223-4F22-8333-BAA0B862AB08} 1 800b0109 AutomaticUpdatesWuApp Failure Content Download Error: Download failed.
Report CWERReporter::HandleEvents - WER report upload completed with status 0x8
Report WER Report sent: 7.5.7601.17514 0x800b0109 4D509848-8223-4F22-8333-BAA0B862AB08 Download 101 Managed
Report CWERReporter finishing event handling. (00000000)
Report Uploading 1 events using cached cookie, reporting URL = http://server.local:8530/ReportingWebService/ReportingWebService.asmx
Report Reporter successfully uploaded 1 events.
Shutdwn user declined update at shutdown
AU Successfully wrote event for AU health state:0
AU AU initiates service shutdown
AU ########### AU: Uninitializing Automatic Updates ###########
Report CWERReporter finishing event handling. (00000000)
Service *********
Service ** END ** Service: Service exit [Exit code = 0x240001]
Service *************
In diesem Falle soll man zwei Dinge überprüfen: „Habe ich die Zertifikate auf dem Rechner installiert, auf dem WSUS läuft?“ (siehe hier) und „Werden diese Zertifikate den Clients übermittelt?“
Letzteres kann man per GPO erledigen. Das zuvor exportierte Zertifikat (mmc öffnen, Snap In Zertifikate wählen, lokaler Computer nehmen, Alle Aktionen -> exportieren) bindet man an folgende Stellen ein:
Sobald die Clients die neue Richtlinie haben ist auch das Zertifikat eingebunden. Überprüfen kann man das mit dem Kommandozeilen Tool Certutil. Einfach auf dem Client folgendes eingeben:
Certutil -store TrustedPublisher
Die Ausgabe sollte dann in etwa so aussehen:
Vielen Dank, die WSUS Blogs haben mir sehr geholfen. Ich hatte auch den Fehler 0x800b0109. Selbst nach der Verteilung des Zertifikats. Ich musste noch folgendes in der GP ändern:
To set Group Policy to allow custom update deployments
Note, the below step needs to be executed only once, even if you change your signing cert.
Active Directory Users and Computers -> Right Click on your domain-> Properties -> Group Policy Tab -> Edit. Then Computer Configuration -> Administrative Templates -> Windows Components -> Windows Update -> Enable “Allow signed content from intranet Microsoft update service location”.
After following these steps you will be able to publish your updates to ConfigMgr 2007 using SCUP and then deploy the updates in your environment as you would any other update. Hope this helps clarify things, if anybody has questions please send mail or leave a comment.
[…] Lösung: entweder das update wieder entfernen – was man natürlich nicht empfehlen kann – oder aber eine neue selbstsignierte Signatur mit dem System Center Updates Publisher 2011 erstellen und diese auch verteilen. […]nn1nn1nn1nn1