Hallo zusammen!
Wir haben folgendes Problem mit vorhandener Konfiguration: Wsus versucht über den Proxydienst die Updates herunterzuladen. Beim Wsus ist die IP und der Port der SP eingetragen. Im Livelog kommen dann folgende Meldungen:
squid 1374217555.622 0 10.1.1.6 TCP_DENIED/407 4601 GET http://go.microsoft.com/fwlink/? - HIER_NONE/- text/html
Beim HTTP Proxy ist NTLM als Authentifizierungsmethode ausgewählt. Bei den Authentifizierungsausnahmen steht: ^[^/]*\.microsoft\.com
Die gleiche Ausnahme steht auch bei der SSL Interception.
Ist die Syntax falsch?
Grüße
Karl
Wsus über HTTP Proxy - TCP DENIED 407
Moderator: Securepoint
-
- Beiträge: 20
- Registriert: Fr 29.06.2007, 07:22
Für die SSL-Interception ist der Regex OK. Für die Virenscanner-Whitelist und die Auth-Expceptions muss der so aussehen:
Das gleiche wird vmtl nochmal für "windowsupdate.com" benötigt.
Code: Alles auswählen
^[^:]*://[^/]*\.microsoft\.com
-
- Beiträge: 20
- Registriert: Fr 29.06.2007, 07:22
Hallo Erik!
Nachdem ich die Ausnahme im HTTP Proxy angepasst habe, kommen im Livelog immer noch Fehler:
2013-07-19T10:52:26+02:00 squid 1374223946.171 140 10.1.1.6 TCP_DENIED/407 4552 CONNECT update.microsoft.com:443 - HIER_NONE/- text/html
2013-07-19T10:52:26+02:00 squid 1374223946.176 0 10.1.1.6 TCP_DENIED/407 4514 CONNECT update.microsoft.com:443 - HIER_NONE/- text/html
2013-07-19T10:52:26+02:00 squid 1374223946.180 0 10.1.1.6 TCP_DENIED/407 4514 CONNECT update.microsoft.com:443 - HIER_NONE/- text/html
2013-07-19T10:52:26+02:00 squid 1374223946.184 0 10.1.1.6 TCP_DENIED/407 4514 CONNECT update.microsoft.com:443 - HIER_NONE/- text/html
2013-07-19T10:52:26+02:00 squid 1374223946.601 409 10.1.1.6 TCP_MISS/302 682 GET http://go.microsoft.com/fwlink/? - HIER_DIRECT/65.55.58.195 text/html
2013-07-19T10:52:26+02:00 squid 1374223946.926 118 10.1.1.6 TCP_MISS/200 17335 GET http://ds.download.windowsupdate.com/v1 ... sredir.cab - HIER_DIRECT/80.157.170.51 application/octet-stream
Nachdem ich die Ausnahme im HTTP Proxy angepasst habe, kommen im Livelog immer noch Fehler:
2013-07-19T10:52:26+02:00 squid 1374223946.171 140 10.1.1.6 TCP_DENIED/407 4552 CONNECT update.microsoft.com:443 - HIER_NONE/- text/html
2013-07-19T10:52:26+02:00 squid 1374223946.176 0 10.1.1.6 TCP_DENIED/407 4514 CONNECT update.microsoft.com:443 - HIER_NONE/- text/html
2013-07-19T10:52:26+02:00 squid 1374223946.180 0 10.1.1.6 TCP_DENIED/407 4514 CONNECT update.microsoft.com:443 - HIER_NONE/- text/html
2013-07-19T10:52:26+02:00 squid 1374223946.184 0 10.1.1.6 TCP_DENIED/407 4514 CONNECT update.microsoft.com:443 - HIER_NONE/- text/html
2013-07-19T10:52:26+02:00 squid 1374223946.601 409 10.1.1.6 TCP_MISS/302 682 GET http://go.microsoft.com/fwlink/? - HIER_DIRECT/65.55.58.195 text/html
2013-07-19T10:52:26+02:00 squid 1374223946.926 118 10.1.1.6 TCP_MISS/200 17335 GET http://ds.download.windowsupdate.com/v1 ... sredir.cab - HIER_DIRECT/80.157.170.51 application/octet-stream
-
- Beiträge: 20
- Registriert: Fr 29.06.2007, 07:22
Die Logs haben sich nach dem Eintrag wie folgt geändert:
2013-07-22T12:33:18+02:00 squid 1374489198.530 0 10.1.1.6 NONE/000 0 CONNECT update.microsoft.com:443 - HIER_NONE/- -
2013-07-22T12:33:18+02:00 squid 1374489198.542 0 10.1.1.6 NONE/000 0 CONNECT update.microsoft.com:443 - HIER_NONE/- -
2013-07-22T12:33:19+02:00 squid 1374489199.972 1413 10.1.1.6 TCP_MISS/302 682 GET http://go.microsoft.com/fwlink/? - HIER_DIRECT/64.4.11.25 text/html
2013-07-22T12:33:20+02:00 squid 1374489200.358 181 10.1.1.6 TCP_MISS/200 17335 GET http://ds.download.windowsupdate.com/v1 ... sredir.cab - HIER_DIRECT/62.156.209.73 application/octet-stream
2013-07-22T12:33:18+02:00 squid 1374489198.530 0 10.1.1.6 NONE/000 0 CONNECT update.microsoft.com:443 - HIER_NONE/- -
2013-07-22T12:33:18+02:00 squid 1374489198.542 0 10.1.1.6 NONE/000 0 CONNECT update.microsoft.com:443 - HIER_NONE/- -
2013-07-22T12:33:19+02:00 squid 1374489199.972 1413 10.1.1.6 TCP_MISS/302 682 GET http://go.microsoft.com/fwlink/? - HIER_DIRECT/64.4.11.25 text/html
2013-07-22T12:33:20+02:00 squid 1374489200.358 181 10.1.1.6 TCP_MISS/200 17335 GET http://ds.download.windowsupdate.com/v1 ... sredir.cab - HIER_DIRECT/62.156.209.73 application/octet-stream
-
- Beiträge: 20
- Registriert: Fr 29.06.2007, 07:22
Wir haben inzwischen das Regelwerk umgestellt, so dass wir jetzt nicht mehr über den Proxy-Dienst ins Internet gehen. Dadurch ist auch der Aufruf von Microsoft Update kein Problem mehr.
Hallo zusammen,
bei allen Kunden mit Securepoint und aktivem Proxy transparent auf 80 besteht (auch in 11.4.2) das Problem, dass einige Updates nicht heruntergeladen werden könne.
Screenshots wie folgt:
Meldung WSUS http://s7.directupload.net/images/140719/9sstc3wm.png
Meldung Proxy bei Versuch mit MS-KB2871997 http://s7.directupload.net/images/140719/ytikmbhz.png
Einstellung Whitelist im Virenscanner (oberster Eintrag durch uns zum Test erstellt) http://s1.directupload.net/images/140719/yco8m7jv.png
Einzig das temp. Abschalten des Virenscanners scheint zu helfen (Comtouch im Einsatz) http://s7.directupload.net/images/140719/npnrni4e.png
Wie kann dieses Problem gelöst werden? Hat jemand eine Lösung, welche nicht darauf hinausläuft, für den Server, auf welchem der WSUS läuft, den Proxy komplett zu deaktivieren?
Grüße,
Jan
bei allen Kunden mit Securepoint und aktivem Proxy transparent auf 80 besteht (auch in 11.4.2) das Problem, dass einige Updates nicht heruntergeladen werden könne.
Screenshots wie folgt:
Meldung WSUS http://s7.directupload.net/images/140719/9sstc3wm.png
Meldung Proxy bei Versuch mit MS-KB2871997 http://s7.directupload.net/images/140719/ytikmbhz.png
Einstellung Whitelist im Virenscanner (oberster Eintrag durch uns zum Test erstellt) http://s1.directupload.net/images/140719/yco8m7jv.png
Einzig das temp. Abschalten des Virenscanners scheint zu helfen (Comtouch im Einsatz) http://s7.directupload.net/images/140719/npnrni4e.png
Wie kann dieses Problem gelöst werden? Hat jemand eine Lösung, welche nicht darauf hinausläuft, für den Server, auf welchem der WSUS läuft, den Proxy komplett zu deaktivieren?
Grüße,
Jan
Ihre Virenscanner-Ausnahme passt nicht zu den aufgerufenen Domains, die im Livelog zu sehen sind. Nehmen Sie besser:
Edith sagt: Regex korrigiert. Danke fperonne
Code: Alles auswählen
^[^:]+://.*\.windowsupdate\.com/
mitErik hat geschrieben:Ihre Virenscanner-Ausnahme passt nicht zu den aufgerufenen Domains, die im Livelog zu sehen sind. Nehmen Sie besser:Code: Alles auswählen
^[^:]://.*\.windowsupdate\.com/
^[^:]*/.*\.windowsupdate\.com/
hats dann bei uns auch funktioniert....
Also
, so daß durch * alle http und https abgefackelt werden?!^[^:]*://.*\.windowsupdate\.com/