Windows Server 2003 R2…
Vorhin habe ich einen Windows 2003 R2 Server zu Testzwecken installiert, es ging darum herauszufinden, ob damit etwas geht oder nicht. Natürlich auch gleich den entsprechenden Online-Update durchgeführt, erstmal alles reinholen, was Microsoft als Update anbietet. Dabei kam auch der Update zum neuesten Internet-Explorer mit rüber. Das Ding fragt auch noch, ob ich will. Und ich Esel habe angeklickt, daß ich will. Jetzt updated das Ding nicht mehr. Im normalen Update geht Windows jetzt auf http://update.microsoft.com und beschwert sich dann, daß es aktive Inhalte von da nicht ausführen kann, weil es nicht vertrauenswürdig über HTTPS übertragen wurde. Das ist soweit gut und richtig, aber warum versucht die Kiste es dann? Also habe ich manuell das http in ein https gewandelt. Die nächste Fehlermeldung. Das Zertifikat paßt nicht, der Name stimmt nicht überein. Auf die Schnelle aber beim IE keinen Weg gefunden, die Ursache anzuzeigen. Firefox verkündet dann, daß das Zertifikat auf www.update.microsoft.com lautet. Geht man auf diesen URL, bekommt man wieder eine andere Fehlermeldung, nämlich daß es ein Problem mit der Seite gebe. Es steht aber nicht dabei, welches Problem. Gut, ich wollte es so haben. Ich wollte ja wissen, ob damit etwas geht oder nicht. Jetzt weiß ich’s.
3 Kommentare (RSS-Feed)
Nachtrag:
Microsoft verbietet ja bei Strafe, daß die patches von anderen websites als von microsoft angeboten werden dürfen, was eigentlich nur wegen der Gängelung des (zahlenden) Kunden gemacht wird. Trotzdem besteht die ja die Möglichekit daß man sich die Pakete aus anderen Quellen als von MS holt. In diesen Fällen kann der Anwender leider nie sicher sein, daß die patches wirklich die originale von MS sind.
Würde MS hingegen signierte Pakete frei zur Verfügung stellen, wie es bei anderen Systemen üblich ist passiert, dann könnte man einigen Fallen aus dem Weg gehen und insbesondere fertige Patchsammlung, wie es mal zu Win98-Zeiten üblich war benutzen. Deswegen muß man solche “Krücken” wie z.B. ctupdate oder pcwupdate benutzen, um im sich die patches erst von MS zu ziehen, um dann eine eigene Patchsammlung zu erstellen, was von Zeit/Arbeitsaufwand etwas höher ist, als sich einfach bei Bedarf die neueste, hoffentlich signierte Patchsammlung zu ziehen.
Jau, das hab ich ja versucht, das bietet die Software ja auch an. Soviel Windows kann ich auch. Aber http-Zonen wurden da nicht mehr als vertrauenswürdig angenommen, nur noch https. Ist ja im Prinzip richtig. Folgen siehe oben.
Du mußt einfach in den Internetoptionen einstellen, daß http://*.microsoft.com zu der vertrauenswürdigen Zone gehört und das Häkchen bein hppts (oder so ähnlich) wegmachen. Dann funktioniert es (meistens zumindest). In irgendeinem KB-Artikel wird das sogar so empfohlen, wenn ich mich recht entsinne.
Über Sinn und Unsinn oder gar das Thema Security in diesem Zusammenhang laß ich mich da lieber mal nicht aus.
Ü