Bei einem Kunden fand ich jüngst einen TMG-Server vor (Forefront TMG 2010 auf Windows Server 2008 R2), der seit seiner Installation Anfang 2010 nicht mehr aktualisiert worden war. Grund dafür war nicht reine Nachlässigkeit, sondern der Admin hatte es nicht hinbekommen, von dieser Maschine aus auf Windows Update oder auf den internen WSUS zuzugreifen. Wie die Dinge dann manchmal so sind, hat er es sporadisch noch ein paar Mal versucht und dann bleiben lassen.
D der betreffende Server als Reverse Proxy (u.a. für OWA) vom Internet aus erreichbar ist, ist dieser Zustand natürlich nicht gut tragbar. Ein solches System sollte immer auf dem aktuellsten Stand sein, selbst wenn es sich (wie hier) netzwerktechnisch noch hinter einer Firewall in einer DMZ befindet.
Wie sich herausstellte, war TMG selbst das Problem: Den Zugriff auf Windows Update bzw. auf den internen WSUS-Server blockierte das System, was sich aus den Fehlermeldungen von Windows Update ablesen ließ. Die nötigen Web-Zugriffsregeln für den internen WSUS waren bereits definiert. Es half allerdings nicht, einfach über den Internet Explorer den lokalen Server als Proxy einzutragen. Konnte es auch nicht: Da die Windows-Updates ja vom System aus über den zugehörigen Dienst verwaltet werden, muss nicht der angemeldete Benutzer den Proxy erhalten, sondern das System. Dies lässt sich erreichen durch:
netsh winhttp set proxy tmg001:8080
Dabei ist “tmg001” der Servername. Nun noch einmal den Dienst “Windows Update” neu gestartet, und siehe da: Windows Update arbeitete und fand endlich seine Updates.
Nebenbei bemerkt, hatte der Server über 150 Updates zu installieren … das dauerte zwar eine Zeit, ging aber völlig problemlos. Ausreden für fehlendes Patching gibt es also so gut wie keine.
http://faq-o-matic.net/?p=4048