Hat man erstmal die 3rd Party Updates in WSUS eingespielt, dann wünsch man sich natürlich auch die Installation der Updates auf den Clients. Wenn das Update mit dem Fehler „0x800b0109“ abgebrochen wird, dann hat meistens etwas mit den Zertifikaten nicht geklappt.

In dem Update Log File (zu finden unter %windir%/windowsupdate.log) schaut das in etwa so aus:

Report REPORT EVENT: {EA548808-B54D-49BF-8D03-8D53BC1F92F2} 2011-05-13 07:47:07:169+0200 1 161 101 {4D509848-8223-4F22-8333-BAA0B862AB08} 1 800b0109 AutomaticUpdatesWuApp Failure Content Download Error: Download failed.
Report CWERReporter::HandleEvents - WER report upload completed with status 0x8
Report WER Report sent: 7.5.7601.17514 0x800b0109 4D509848-8223-4F22-8333-BAA0B862AB08 Download 101 Managed
Report CWERReporter finishing event handling. (00000000)
Report Uploading 1 events using cached cookie, reporting URL = http://server.local:8530/ReportingWebService/ReportingWebService.asmx
Report Reporter successfully uploaded 1 events.
Shutdwn user declined update at shutdown
AU Successfully wrote event for AU health state:0
AU AU initiates service shutdown
AU ########### AU: Uninitializing Automatic Updates ###########
Report CWERReporter finishing event handling. (00000000)
Service *********
Service ** END ** Service: Service exit [Exit code = 0x240001]
Service *************

In diesem Falle soll man zwei Dinge überprüfen: „Habe ich die Zertifikate auf dem Rechner installiert, auf dem WSUS läuft?“ (siehe hier) und „Werden diese Zertifikate den Clients übermittelt?“

Letzteres kann man per GPO erledigen. Das zuvor exportierte Zertifikat (mmc öffnen, Snap In Zertifikate wählen, lokaler Computer nehmen, Alle Aktionen -> exportieren) bindet man an folgende Stellen ein:

Sobald die Clients die neue Richtlinie haben ist auch das Zertifikat eingebunden. Überprüfen kann man das mit dem Kommandozeilen Tool Certutil. Einfach auf dem Client folgendes eingeben:

Certutil -store TrustedPublisher

Die Ausgabe sollte dann in etwa so aussehen: