WSUS 3.0: „Selbstupdate funktioniert nicht“ in der Ereignisanzeige unter Windows Server 2008 / IIS7

Vor kurzem installierte ich meinen Server neu nachdem ich meine SQL Server Konfiguration dermaßen zerschossen hatte dass sich keine Version mehr richtig installieren aber auch keine mehr richtig deinstallieren ließ.

Schuld war ich natürlich selbst weil ich mir eingebildet hatte von SQL Server 2008 auf SQL Server 2008 R2 updaten zu müssen obwohl keine Not bestand.

Nun aber zum eigentlichen Problem um das es hier gehen soll. Ich finde es so erwähnenswert da zwar viel darüber im Internet zu finden ist, ein Fall wie meiner war in meiner halbtägigen Recherche gestern aber keiner dabei.

Es ist mir letztendlich tatsächlich gelungen das Problem zu lösen, aber ich will am Anfang beginnen:

Das Problem

Der Stein des Anstoßes war im Windows-Anwendungsprotokoll der Ereignisanzeige zu finden. Dort prangte – mehrfach – der Fehler mit der ID 1111 und der Beschreibung „Selbstupdate funktioniert nicht“.

Was macht Selfupdate eigentlich auf dem WSUS?

Selfupdate ist auf dem WSUS ein virtuelles Verzeichnis auf der Standard-IIS-Site auf Port 80 in dem der jeweils aktuelle Windows Update Client für alle WSUS-Clients verfügbar ist. Benötigt ein Windows-PC der sich vom WSUS Updates holen will eine aktuellere Version der Windows Update Software dann bekommt er sie aus dem Verzeichnis /Selfupdate auf dem WSUS und zwar immer auf Port 80.

Die Suche nach der Nadel im Heuhaufen

Nun habe ich gemacht was ich immer mache wenn ich ein Problem habe mit dem ich nichts oder wenig anfangen kann: Google bemüht.

Ich bin dabei auch auf äußerst zahlreiche Lösungsvorschläge gestoßen die sicherlich meistens ins schwarze treffen was die vielen Forenbeiträge auf die ich dabei gestoßen bin letztendlich auch dokumentiert haben, leider nichts für mich passendes. Hier mal ein kleiner Auszug was im groben dabei war:

  • Existiert das virtuelle Verzeichnis /Selfupdate auf Port 80 auf dem WSUS
  • Sind die Berechtigungen im Verzeichnis /Selfupdate (auch im Dateisystem des Servers, der Ordner befindet sich im Installationsverzeichnis von WSUS) korrekt eingestellt?
  • „SSL benötigt“ ist auf dem virtuellen Verzeichnis „/Selfupdate“ deaktiviert?
  • Die IP-Bindung vom IIS ist korrekt
  • Port und SSL-Status sind in der Registry korrekt eingetragen
  • Namen werden im Netzwerk richtig aufgelöst?

Ich gehe jetzt bewusst nicht auf jede einzelne Problemlösung ein, da findet sich bei Google mehr als genug brauchbares und an dieser Stelle möchte ich auch an WSUS.DE verweisen, wo jeder mit beliebigen WSUS-Problemen kompetente Hilfe finden dürfte.

Mir war nach etlichem herumprobieren klar geworden dass ich per Browser von einem Client aus absolut Problemlos auf den Inhalt von „/Selfupdate“ auf dem Server zugreifen konnte, nach etwas längerem Experimentieren fiel mir dabei aber eins auf: Vom Server selbst aus ging es nicht.

Versionskonflikte

Es ging über die IP aber nicht über „server“ und auch nicht über „localhost“. Nslookup bescheinigte mir eine korrekte IPv4 Namensauflösung, mein Ping an „server“ ging an die IPv6 Adresse (IPv6 ist seit Windows Server 2008 obligatorisch) und kam auch an.

Halt! IPv6? Genau! Der IIS war nur dummerweise darüber eben nicht erreichbar, da es hier bei mir eine kleine aber entscheidende Besonderheit gibt:

Mein Server hat 2 Netzwerkkarten (1 GBit/s PCI + 100 Mit/s onboard) und dementsprechend 2 IPs im LAN (192.168.1.2, 192.168.1.3).
Per DNS wird nur die „192.168.1.2“ im LAN mit „Server“ aufgelöst, die „192.168.1.3“ mit meinem auch extern erreichbaren DynDNS-Namen (<Beispiel>.homelinux.net).
Sinn der Sache ist, dass im Prinzip alles über die 192.168.1.2 laufen soll, die per Portforwarding auch von außen erreichbare IIS-Instanz sich von intern genauso verhält wie von extern (eben dass sie über Port 80 und den DynDNS-Namen erreichbar ist wie von außen auch).

Der Hase im Pfeffer

Genau hier liegt das Problem: Ein häufig gegebener (und logischerweise funktionierender) Tip ist, darauf zu achten dass eine Bindung vom Webserver auf Port 80 auf *, also sämtliche IPs des Servers vorhanden ist. Das ist idr. auch kein Problem weil auf den wenigsten Servern die WSUS ausführen eine zweite IP vorhanden sein dürfte auf der auf Port 80 ein zweiter Webserver (oder anderer Dienst) läuft.

Die Lösung bestand letztendlich darin der Standard-IIS-Instanz mit dem Selfupdate-Verzeichnis auch eine Bindung zur IPv6 Adresse zu verpassen.

Die Alternative wäre wohl IPv6 zu deaktivieren, allerdings soll es dabei unter einigen Umständen zu Problemen kommen (insbesonderes bei Exchange, was ich allerdings nicht einsetze). Noch habe ich mich zu diesem drastischen Schritt nicht durchringen können.
Natürlich stelle ich mir die Frage was nun ist wenn ich einen Dienst habe der gar nicht IPv6 fähig ist und vom Server selbst aus über den Hostnamen erreichbar sein soll? Vermutlich ist er dann eben nicht erreichbar und ich muss IPv6 doch abschalten.

Ich lasse das jetzt an dieser Stelle so stehen, mein Fehler in der Ereignisanzeige ist weg und ich bin für’s erste zufrieden.

Letztendlich bestätigt mir das aber meine Einstellung pro Server nur so wenig Dienste wie möglich laufen zu lassen damit sich nichts gegenseitig in die Quere kommen kann. Ohne die zweite IIS-Instanz auf der zweiten IP-Adresse wäre das Problem so nicht aufgetreten da die Bindung der Standardwebseite – wie standardmäßig vorgegeben – schlicht auf allen IPs bestanden hätte.

Es geht auch anders

Nachdem ich mich insbesondere unter http://www.msxfaq.de/konzepte/ipv6.htm noch ein wenig über IPv6 unter Windows Server 2008 / Vista aufwärts belesen habe ist mir noch ein alternativer Lösungsvorschlag eingefallen, ohne IPv6 auf die Holzhammermethode komplett deaktivieren zu müssen:

Setzt man den Registrywert unter

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters]
"DisabledComponents"=dword:0xffffffff

auf den Wert 0x20 wird IPv4 bevorzugt vor IPv6 verwendet.
IPv6 bleibt dann aktiv, kommt einem sofern nicht explizit verwendet jedoch nicht in die Quere.

neue „Like-Buttons“

Bereits vor ein paar Monaten habe ich den +1 Button für Google+ Benutzer in meinen Blog eingebaut.

Da ich das Thema Datenschutz aber durchaus ernst nehme habe ich jetzt auf die „2-Klick-Buttons“ umgestellt indem ich das Plugin 2 Click Social Media Buttons verwende.

Als Nebeneffekt ist es somit jetzt auch möglich meine Blogposts und einzelne Seiten auf Facebook zu liken und zu twittern.

Nägel mit Köpfen – neues IPFire System

Schon lange war geplant meinen IPFire basierten Router auf einem Intel Atom System laufen zu lassen.

Die Vorteile gegenüber den mit 35 Watt Durchschnittsverbrauch durchaus sparsamen und noch dazu ja bereits vorhandenen Pentium III Systemen sind zwar überschaubar, ein schneller reagierendes Webinterface, kleineres Gehäuse, weniger Geräuschentwicklung und ein noch etwas geringerer Stromverbrauch und die Tatsache dass mein altes System gelegentlich kurz nicht mehr aus dem Netzwerk erreichbar war um kurze Zeit später wieder zu reagieren als wäre nichts gewesen rechtfertigten die „Umrüstung“ für mich dann aber letztendlich doch.

Heraus kam eine Kombination aus folgenden Komponenten:

  • Supermicro X7SPA-HF-D525
  • 2 GB SODIMM DDR3-1333 Kingston
  • Chieftec BT-02B (incl. Netzteil)
  • WD Scorpio Blue 120 GB SATA (war noch aus der Schlachtung eines defekten Notebooks übrig)
  • Noiseblocker BlackSilent SR1 60 mm
Die Basis

Das Mainboard im Mini-ITX Format ist mit dem Intel Atom D525 (Dualcore, 1,8 GHz) ausgestattet der für die Anwendung als Router eigentlich überdimensioniert ist, der Preis- und Verbrauchsunterschied zu den kleineren Modellen ist allerdings nicht groß bzw kaum vorhanden und ich möchte das System ja auch noch eine Weile länger und ggf. an schnelleren Leitungen einsetzen können ohne auf QoS, IDS etc. verzichten zu müssen.

Außerdem verfügt das Mainboard (was es IMHO besonders für die Anwendung als Router qualifiziert) über 2 Gigabit LAN-Ports die von Intel-Chips versorgt werden, 6 SATA II Ports mit RAID-Unterstützung (lt. Supermicro nur unter Windows mit den entsprechendenTreibern) und Remote Management über IPMI mit komplettem Remote-KVM und Virtual Media Support.

Außerdem steht für spätere Erweiterungen noch ein mit 4 Lanes angebundener PCIe x16 Slot zur Verfügung.

Der IPMI Support war für mich natürlich auch ein Grund dieses nicht ganz billige Board zu nehmen, da am eigentlichen Aufstellort idr weder Tastatur noch angeschlossen sind und ich auf diesem Weg alles per Remote-Zugriff erledigen kann (übrigens incl. der Installation von IPFire selbst direkt von der ISO).

Das Zuhause

Das Gehäuse von Chieftec wird mit einem 180 Watt Netzteil geliefert und ist auf Mini ITX Boards ausgelegt.

Es ist leicht, kompakt und vor allem auch eines der günstigeren.

Eigentlich hätte ich das System gerne in ein 19 Zoll Gehäuse gepackt, da sich der DSL-Anschluss aber nicht in der Nähe befindet war es von der Verkabelung her sinnvoller den IPFire nicht im Rack zu platzieren.

Langzeitgedächtnis

Die Festplatte war noch übrig, insofern erschien es mir sinnlos eine SSD zu kaufen was ich potentiell durchaus vorgezogen hätte, aber auf Performance kommt es ohnehin nicht an und die WD Scorpio Blue ist im Betrieb praktisch nicht zu hören und hat als 2,5″ Modell auch keinen Stromverbrauch der gegenüber einer SSD nennenswert schlechter wäre.

Kühlung

An der Gehäuserückwand installierte ich erst 2 Wochen nach Fertigstellung und Indienststellung noch einen 60 mm Lüfter von Noiseblocker da die CPU-Temperatur aufgrund des Hitzestaus im Gehäuse idr. um die 70 °C lag. Das ist lt. Intel-Datenblatt (95 °C tMax) zwar unkritisch, muss aber nicht sein.

Obwohl der kleine Lüfter mit 2000 u/min arbeitet ist er praktisch nicht herauszuhören. Die beiliegenden Befestigungsgummis verhindern die Übertragung der Lüftervibrationen auf das Gehäuse.

Erster Eindruck

Zum Betrieb mit IPFire selbst gibt es – nachdem IPFire an sich für mich ja nicht neu ist – nicht allzu viel zu sagen.

Das Webinterface reagiert deutlich zackiger als noch auf dem alten System, trotz IDS und QoS liegt die CPU-Belastung im Durchschnitt irgendwo bei 1-3 %, die Speicherauslastung ist nicht nennenswert (es hätte sich bei 13 EUR für einen 2 GB Riegel aber nicht wirklich gelohnt einen kleineren zu kaufen).

Der Stromverbrauch liegt idr. bei 27-28 Watt.

Pleiten, Pech und Pannen

Ganz ohne Pannen geht es aber leider auch nicht: Seit Inbetriebnahme (das war vor ca. einem Monat) hat das System 3mal mit einem Dauerpiepton auf sich aufmerksam gemacht. Lt. Handbuch handelt es sich dabei um das Alarmsignal bei Überhitzung, allerdings sind die Temperaturen sehr konstant und nach Einbau des Lüfters nochmals deutlich niedriger als vorher und trotzdem tritt das Piepsen noch auf. Ich habe allerdings im offiziellen IPFire Forum einen anderen User gefunden der auf dem gleichen Board das selbe Problem hat.

Am Anfang waren außerdem zeitweise die Graphen für die Temperaturen, Spannungen und Lüfterdrehzahlen verschwunden. Diese sind inzwischen wieder da, allerdings wird nach gut 1 Woche der Lüfter plötzlich nur noch mit halber Drehzahl ausgelesen obwohl das Board meines Wissens nach nicht dazu in der Lage ist 3 Pin Lüfter zu regeln. Leider kam ich noch nicht dazu zu übeprüfen ob der Lüfter tatsächlich mit veränderter Drehzahl läuft. Jedenfalls liefert mir das Webinterface vom IPMI die selben Werte wie das Hardware-Diagramm vom IPFire.

Insgesamt läuft das System jedoch absolut stabil und Zuverlässig, sämtliche Probleme sind im Prinzip kosmetisch aber natürlich nicht erfreulich.

Fazit

Im Großen und Ganzen bin ich mit dem System absolut zufrieden, das einzig ärgerliche sind kleinere Probleme die den Betrieb allerdings nicht beeinflussen.

Die CPU ist für diese Anwendung natürlich deutlich überdimensioniert und auch am Arbeitsspeicher darf man durchaus sparen, mir ist es allerdings lieber wenn das System Reserven hat die später u.U. auch einen anderen Einsatz, zusätzliche Dienste oder eine deutlich schnellere Internetanbindung verkraften.

guter Klang kommt aus guten Lautsprechern

Eine Anschaffung die ich mir schon lange vorgenommen aber genauso lang vor mir her geschoben habe sind vernünftige Lautsprecher.

Ich verwendete am PC bisher immer noch inzwischen knapp 20 Jahre alte, billige Grundig Kompaktboxen die mal Beigabe einer Stereoanlage waren.

Als Verstärker dient mir seit ca 2 Jahren ein Onkyo A-9377 und als Soundkarte die Auzentech X-Fi Forte 7.1 die den Creative X-Fi Soundchip mit recht hochwertigen D/A Wandlern kombiniert.

Nachdem man im Internet an allen Ecken von der Firma Nubert liest ließ ich mir mal auf gut Glück ein Paar von der nuBox 311 kommen.

Der direkte Vergleich zu den doch deutlich größeren Grundiglautsprechern war ein wahrer Ohrenschmaus, der Vorsprung in Sachen Brillianz und Detailtreue enorm.

Allerdings fehlte mir ein wenig der Bass, was sicherlich zum Teil auch der Tatsache geschuldet ist dass die Nubert (angeblich) sehr neutral abgestimmt sind, andererseits lässt sich natürlich nicht verleugnen dass untenrum bei einer so kleinen Box natürlich früher Schluss ist als bei einem größeren Lautsprecher.

Da meine aktuell meist gehörten Musikrichtungen Electro, Techno und Dubstep sind ist ein vernünftiges Bassfundament aber in jedem Fall wünschenswert.

Nachdem ich nach ein wenig Recherche betrieben hatte und zu dem Ergebnis gekommen war dass ein Subwoofer bei meinen Aufstellmöglichkeiten vermutlich nicht übermäßig sinnvoll einsetzbar ist bin ich in ein nahe gelegenes Hifi-Geschäft gegangen und habe dort die KEF Q 300 probehören können.

Die Q 300 hat es mir von Anfang an angetan, trotzdem habe ich in einer anderen Filiale noch die B&W 685 zum Vergleich gehört.

Nach noch einem zusätzlichen Gang zum Probehören im ersten Geschäft mit der Q 300 habe ich mich dann auch für die KEF Q 300 entschieden und diese Entscheidung nicht bereut.

Daheim musste sich die Q 300 natürlich noch direkt gegen die nuBox 311 beweisen.

Als erstes fiel dabei auf dass die nuBox gefühlt eine Oktave höher spielt als die Q 300. Obenrum klingt die nuBox auf den ersten Moment etwas freier und luftiger, allerdings merkt man deutlich dass die KEF deutlich höher kommt und die nuBox in den Höhen zu Verzerrungen neigt.

Insgesamt hört man der Q 300 ihr höheres Volumen deutlich an und der Bass ist natürlich auch erheblich kräftiger aber nicht zu aufdringlich.

Insgesamt klingt sie auch noch etwas hochauflösender als die Nubert und ist auch dazu in der Lage einen deutlich größeren Raum als meine 15 m² mit gutem Klang zu erfüllen.

neues WLAN

Da mein Linksys WAP610N leider an einem nicht unbekannten Bug mit der aktuellen Firmware 1.0.02 (build 3) leidet und aus dem WPA2 verschlüsselten WLAN keine DHCP Requests mehr zum DHCP Server im LAN durchlässt habe ich ihn kurzerhand ersetzt.

Meine Wahl fiel auf den HP V-M200. Dabei handelt es sich um ein Produkt das für kleine und mittlere Unternehmen konzipiert ist und somit auch einige Features unterstützt die man im Consumerbereich so nicht findet.

Z.B. ist es möglich 4 SSIDs gleichzeitig zu verwalten (auf dem selben Kanal, allerdings teilen diese sich dann auch die Bandbreite). Diese lassen sich LAN-seitig per VLAN auftrennen.

Außerdem ist natürlich auch eine Authentifizierung über RADIUS möglich.

Der V-M200 unterstützt auf WLAN Seite maximal 300 MBit/s nach 802.11n Standard und auf LAN-Seite (gegenüber der Angabe in vielen Onlineshops) 1 GBit/s.

Außerdem mit an Board ist ein Iperf Server der als Gegenstelle zur Durchsatzmessung dienen kann. SNMP spricht er auch.

Die WebGUI ist der E-Serie (z.B. MSM410, MSM460) sehr ähnlich und bietet zusätzlich einen Quick-Setup Assistenten. Eingefleischte Netzwerker sollten diesen natürlich nicht benötigen aber er kann natürlich ein wenig Zeit sparen.

SSD-Upgrade für meine Zweitkiste

Vor einiger Zeit habe ich meinem Zweitrechner eine Intel SSD320 mit 160 GB gegönnt und dafür die 160 GB WD RE raus geschmissen.

Der Performanceunterschied ist selbstverständlich enorm.

Im gleichen Zug hab ich Windows 7 mal neu installiert.

Jedem der sich die Intel SSD 320 zulegen möchte kann ich nur empfehlen das Kit zu nehmen, da ist nämlich ein toller Einbaurahmen dabei der exakt die selben Befestigungsmaße hat wie eine normale 3,5″ Festplatte.

Somit ist die SSD320 auch mit den Laufwerksschienen meines Chieftec Towers verwendbar.

Nachbrenner

Bisher hat meinem Zweitrechner den ich zu 90% zum surfen und Instant Messaging verwende als Festplatte eine Wester Digital RAID Edition mit 160 GB aus der ersten Generation gereicht.

Natürlich hat das Anmelden incl. ein paar mitstartender Programme eine gefühlte Ewigkeit gedauert.

Doch irgendwann ist genug.

Nachdem mir der Wunsch schon länger im Kopf herumspukte habe ich ihm jetzt eine Intel SSD 320 mit 160 GB gegönnt und den PC bei dieser Gelegenheit gleich neu aufgesetzt.

Läuft? Läuft. Und zwar schnell!

Dell U2711

Nach langem grübeln habe ich mir jetzt den Dell U2711 zugelegt. Es handelt sich dabei um einen 27 Zoll TFT Bildschirm mit IPS Panel im 16:9 Format und einer Auflösung von 2560×1440.

Er soll den Dell 2408WFP an meiner Zockkiste ersetzen. Besonders zum Filme schauen vom Bett aus ist das mehr an Diagonale auf jeden Fall positiv zu bemerken.

Der Monitor ist absolut super verarbeitet und macht einen hochwertigen & robusten Eindruck.
Allerdings habe ich von Anfang an bemerkt dass die untere rechte Ecke wahrnehmbar heller ausgeleuchtet ist als der Rest und weiß noch nicht ob mich das auf Dauer stört oder nicht. Das ist allerdings in erster Linie bei komplett schwarzem oder zumindest insgesamt sehr dunklem Bild feststellbar.

VMWare vSphere 5 steht zum Download bereit

Die neue Version 5 von VMWare’s Enterprise Virtualisierungssuite ist fertig.

Die kostenlose Version des vSphere Hypervisor 5 bekommt man hier, die Evaluierungsversion der kostenpflichtigen Versionen hier.

Mit Version 5 entfällt der ESX Server endgültig, es gibt jetzt nur noch den vSphere Hypervisor (ESXi).