Windows Update Fehler 80072EFD

Publiziert am 11. Juni 2014 von Karl Jepertinger

Das Upgrade von Windows Server 2008R2 auf Windows Server 2012 R2 hat gut funktioniert. Abgesehen davon, dass bei dem Upgrade auf IIS 8 die Konfiguration nochmals zu erstellen war, hielten die Änderungen sich im Rahmen des Erwarteten (z.B. Software wie Visual SVN Server upgraden).

Was allerdings nicht zu erwarten war, Microsoft Update funktionierte nicht mehr:

windows_update_80072EFDZum Fehlercode 80072EFD finden sich im Internet viele mögliche Fehlerursachen:

  • fehlerhafte Internetverbindung
  • Firewalls
  • Tuning Tools
  • Konfiguration/Treiber der Netzwerkkarte

Es finden sich auch Anleitungen um den Fehler zu beseitigen:

Als weitere Fehlerursachen kommen weiterhin in Betracht:

  • Konfiguration von DNS; DNS Weiterleitungen
  • DNS Server
  • Standard-Gateway
  • Proxy-Konfiguration
  • Router und deren Firewalls, Routing etc.

In diesem Fall war das alles in Ordnung. Der Test mit Netzwerk-Sniffern wie Fiddler2 zeigte, dass die Verbindung grundsätzlich aufgebaut wurde – also DNS und Gateways richtig waren – aber die SSL Verbindung nicht zustande kam.

Eine nicht zustande gekommene Verbindung kann viele Ursachen haben – Probleme mit Root-Zertifikaten, eine verstellte Systemzeit oder nicht unterstützte Cipher Suites.

Die Cipher Suites lassen sich mit IISCrypto einstellen um so den Server zu härten – z.B. für Forward Secrecy. Dafür waren alle unsicheren Protokolle (z.B. SSLv2 ) und auch Cipher Suites ohne Foward Secrecy deaktiviert.

Auf der anderen Seite offenbart ein Test von SSLLabs auf die Adresse update.microsoft.com, dass diese Server dahinter nur eine sehr begrenzte Zahl von Cipher Suiten – darunter keine einzige mit FS – anbieten.
Beim Abfragen der Updates bietet der Update Server also seine Auswahl an Cipher Suites an, von denen der durch IISCrypto konfigurierte Server alle ablehnt. So scheitert der Handshake beim Aufbauen der Verbindung.

Wie ist dier Fehler also nun zu beheben ? Durch Freigabe der entpsrechenden Cipher Suites, die der Microsoft Server anbietet:

  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

Damit funktioniert dann auch Microsoft Update wieder. Nicht nur die Updates laufen wieder, auch die Server unter msdn.microsoft.com und weitere sind ähnlich konfiguriert und verursachten im Internet Explorer Verbindungsprobleme.

Um Probleme mit Microsoft Update zu überbrücken oder offline zu installieren empfiehlt sich WsusOffline.



Dieser Beitrag wurde unter Allgemein, Windows veröffentlicht. Setze ein Lesezeichen auf den Permalink.