Windows 2000 Update

« | 27 May 2023 | »

Dass man Windows 2000 auch noch mit dem aktuellen Windows Server Update Service (WSUS) aktualisieren kann, hatte ich aus der Auflistung des Betriebssystems im WSUS-Menü erschlossen.

Korrekt funktioniert hatte das dann aber nicht, sondern brach ab.

Tatsächlich liegt die Lösung nahe … wenn man sie kennt.

---

Das einzige was Microsoft heute wirklich noch ein Alleinstellungsmerkmal beschert, ist sein langer Support und die meist vorhandene Abwärtskompatibilität.
Soll heißen:

Was gestern funktioniert hat, soll auch morgen noch funktionieren.

In Sachen Windows-Updates endet das Vergnügen meist nach dem Extended-Support nach 10 Jahren. Doch wer sich einen Windows Server leistet bekommt WSUS gratis dazu, und der synchronisiert sich dann mit den MS-Fileservern, wo Updates für alle Ewigkeiten liegenbleiben … zumindest seit Windows 2000.

Der erste Updateversuch eines älteren OS streikt meist und man muss manuell einen neueren Windows Update Agent einspielen, doch danach finden Windows 7 und 8 brav wieder ihre Aktualisierungen.

Bei Windows XP und Windows 2000 ist das nun aber leider nicht mehr so. Bei XP fiel mir das nicht auf, weil ich ein aktualisiertes Image von 2020 nutze, in dem alles korrekt integriert war, aber meine Windows 2000 ISOs verweilten auf dem Stand von 2010 und da rührte sich nichts mehr.

Jedenfalls benötigte ich für Windows 2000 die Version 6.1.22.4 des Agents (WindowsUpdateAgent30-x86.exe), denn die neueren Varianten verweigerten bei der Erstinstallation die Durchführung des Setups.

Man kann zwar per Registry manuell die Policy zum eigenen WSUS Server setzen:

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
  • WUServer = http://my-wsus.domain:8530 (string)
  • WUStatusServer = http://my-wsus.domain:8530 (string)
  • ElevateNonAdmins = 0x00000001 (DWORD)
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
  • UseWUServer = 0x00000001 (DWORD)

Und danach meldet sich der Dienst sogar beim WSUS an (wird also in der UI als Client sichtbar), kann aber keine Daten mit ihm austauschen.
Den Fehler findet man im Update-Agent Log
C:\WINNT\SoftwareDistribution\ReportingEvents.log

800b0109 SelfUpdate Failure Software Synchronization Windows Update Client failed to detect with error 0x800b0109.

Das Problem liegt an den Root-Zertifikaten die der Verifizierung dienen. Die sind nämlich schon lange abgelaufen und somit ist keine Aktualisierung mehr möglich.

Lösung: Neue Zertifikate einspielen

Was für ein Glück, dass sich ein paar findige Leute im Netz die Mühe gemacht haben und die notwendigen Zertifikatsteile zusammengesucht und erneuert haben. Diese sind auf github.com/JohnTHaller veröffentlicht und müssen am Zielsystem nur noch importiert werden. Also mmc.exe ← Snap-in Certificates ← Computer Account ←
Trusted Root Certification Authorities/Certificates öffnen und die beiden .sst Dateien importieren.

Am Ende wird noch am besten der Update Dienst beendet. Und ein wuauclt /detectnow beginnt nun mit den neuen Zertifikaten mit der WSUS-Kommunikation und dem Self-Update.

Kurze Zeit später poppt auch schon das Update-Symbol in der Taskleiste auf und dann ist die Welt wieder in Ordnung.

Falls das nicht sofort funktioniert, helfen die Kommandos

• wuauclt /resetauthentication
• wuauclt /reportnow
• und auch das Löschen des Ordners c:\WINNT\SoftwareDistribution bei beendetem Update-Dienst kann helfen, damit sich alles neue einrichtet.

Vorsicht: Update-Rollup Bluescreens!

Nach dem SP4 kamen für Windows 2000 noch über 100 weitere Updates heraus, die sich alle per WSUS einspielen lassen. Darunter ist auch das Update KB891861 mit dem Titel
“Update Rollup 1 for Windows 2000 Service Pack 4”. Diese Teil zerstörte mir jede Installation, nachdem es einen Reboot-Bluescreen Zyklus eingerichtet hatte.

Aus eben diesem Grund habe ich das Update KB891861 in WSUS auf “Declined” gesetzt, damit ich es hoffentlich nie wieder sehen muss.

Fazit

Zertifikate hatten für mich immer schon den Nachteil, dass sie ablaufen (und ja ich weiß … das sollte eigentlich ein Vorteil sein).

Denn egal wo man hinkommt, man findet immer nur Software-Scherbenhaufen vor, wenn eine Firma oder ein Projekt aufgegeben wird und keiner mehr neue Zertifikate für die Software anlegen will/kann/darf.

Was meine “Windows-Kindheit” anbelangt freue ich mich, dass es zumindest noch per Workaround eine Möglichkeit gibt, die Zertifikate zu aktualisieren und danach das OS auf den bestmöglichen Letztstand zu bringen.

Ich hoffe, dass diese Möglichkeit noch einige Jahre bestehen bleibt, aber nachdem Windows Server 2022 das Windows 2000 Produkt immer noch im WSUS listet, erwarte ich, dass zumindest bis zum Ende des Standard-Supports so bleiben wird.

Zumindest kann ich nun wieder behaupten, “ein aktuelles Windows 2000” in Betrieb genommen zu haben.