Securepoint Support Forum

Hallo zusammen!

Wir haben folgendes Problem mit vorhandener Konfiguration: Wsus versucht über den Proxydienst die Updates herunterzuladen. Beim Wsus ist die IP und der Port der SP eingetragen. Im Livelog kommen dann folgende Meldungen:

squid 1374217555.622 0 10.1.1.6 TCP_DENIED/407 4601 GET http://go.microsoft.com/fwlink/? - HIER_NONE/- text/html

Beim HTTP Proxy ist NTLM als Authentifizierungsmethode ausgewählt. Bei den Authentifizierungsausnahmen steht: ^[^/]*\.microsoft\.com
Die gleiche Ausnahme steht auch bei der SSL Interception.

Ist die Syntax falsch?

Grüße

Karl

Für die SSL-Interception ist der Regex OK. Für die Virenscanner-Whitelist und die Auth-Expceptions muss der so aussehen: Das gleiche wird vmtl nochmal für "windowsupdate.com" benötigt.

Hallo Erik!

Nachdem ich die Ausnahme im HTTP Proxy angepasst habe, kommen im Livelog immer noch Fehler:


2013-07-19T10:52:26+02:00 squid 1374223946.171 140 10.1.1.6 TCP_DENIED/407 4552 CONNECT update.microsoft.com:443 - HIER_NONE/- text/html
2013-07-19T10:52:26+02:00 squid 1374223946.176 0 10.1.1.6 TCP_DENIED/407 4514 CONNECT update.microsoft.com:443 - HIER_NONE/- text/html
2013-07-19T10:52:26+02:00 squid 1374223946.180 0 10.1.1.6 TCP_DENIED/407 4514 CONNECT update.microsoft.com:443 - HIER_NONE/- text/html
2013-07-19T10:52:26+02:00 squid 1374223946.184 0 10.1.1.6 TCP_DENIED/407 4514 CONNECT update.microsoft.com:443 - HIER_NONE/- text/html
2013-07-19T10:52:26+02:00 squid 1374223946.601 409 10.1.1.6 TCP_MISS/302 682 GET http://go.microsoft.com/fwlink/? - HIER_DIRECT/65.55.58.195 text/html
2013-07-19T10:52:26+02:00 squid 1374223946.926 118 10.1.1.6 TCP_MISS/200 17335 GET http://ds.download.windowsupdate.com/v1 ... sredir.cab - HIER_DIRECT/80.157.170.51 application/octet-stream

Tragen Sie doch mal beide Regexes ein... bin mir gerade nicht sicher, ob beim CONNECT der Protocol-Teil mitgeschickt wird. Vermutlich aber nicht.

Die Logs haben sich nach dem Eintrag wie folgt geändert:

2013-07-22T12:33:18+02:00 squid 1374489198.530 0 10.1.1.6 NONE/000 0 CONNECT update.microsoft.com:443 - HIER_NONE/- -
2013-07-22T12:33:18+02:00 squid 1374489198.542 0 10.1.1.6 NONE/000 0 CONNECT update.microsoft.com:443 - HIER_NONE/- -
2013-07-22T12:33:19+02:00 squid 1374489199.972 1413 10.1.1.6 TCP_MISS/302 682 GET http://go.microsoft.com/fwlink/? - HIER_DIRECT/64.4.11.25 text/html
2013-07-22T12:33:20+02:00 squid 1374489200.358 181 10.1.1.6 TCP_MISS/200 17335 GET http://ds.download.windowsupdate.com/v1 ... sredir.cab - HIER_DIRECT/62.156.209.73 application/octet-stream

Wir haben inzwischen das Regelwerk umgestellt, so dass wir jetzt nicht mehr über den Proxy-Dienst ins Internet gehen. Dadurch ist auch der Aufruf von Microsoft Update kein Problem mehr.

Hallo zusammen,

bei allen Kunden mit Securepoint und aktivem Proxy transparent auf 80 besteht (auch in 11.4.2) das Problem, dass einige Updates nicht heruntergeladen werden könne.
Screenshots wie folgt:
Meldung WSUS http://s7.directupload.net/images/140719/9sstc3wm.png
Meldung Proxy bei Versuch mit MS-KB2871997 http://s7.directupload.net/images/140719/ytikmbhz.png
Einstellung Whitelist im Virenscanner (oberster Eintrag durch uns zum Test erstellt) http://s1.directupload.net/images/140719/yco8m7jv.png
Einzig das temp. Abschalten des Virenscanners scheint zu helfen (Comtouch im Einsatz) http://s7.directupload.net/images/140719/npnrni4e.png

Wie kann dieses Problem gelöst werden? Hat jemand eine Lösung, welche nicht darauf hinausläuft, für den Server, auf welchem der WSUS läuft, den Proxy komplett zu deaktivieren?

Grüße,

Jan

Ihre Virenscanner-Ausnahme passt nicht zu den aufgerufenen Domains, die im Livelog zu sehen sind. Nehmen Sie besser: Edith sagt: Regex korrigiert. Danke fperonne

Erik hat geschrieben:Ihre Virenscanner-Ausnahme passt nicht zu den aufgerufenen Domains, die im Livelog zu sehen sind. Nehmen Sie besser:

Code: Alles auswählen

^[^:]://.*\.windowsupdate\.com/

mit

^[^:]*/.*\.windowsupdate\.com/

hats dann bei uns auch funktioniert....

Also

^[^:]*://.*\.windowsupdate\.com/

, so daß durch * alle http und https abgefackelt werden?!