Seitenindex umschalten Seiten: [1] 2  Thema versendenDrucken
Heißes Thema (mehr als 10 Antworten) Windows Updates mit Proxy (Gelesen: 4853 mal)
Comfreak
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 18
Mitglied seit: 29.07.09
Windows Updates mit Proxy
27.08.09 um 16:07:42
Beitrag drucken  

Hallo,

ich verteile die Windows Updates mit einem WSUS - Server. Der WSUS ist so eingestellt, dass der Client sich die Updates direkt bei Microsoft statt am WSUS herunterladen (ist komig, aber so gewollt).

Mein Testclient hängt aber hinter einem Proxy und bekommt die Updates auch nicht mit dem Befehl proxycfg -u. Meines erachtens werden mit dem Befehl nur die Proxydaten und nicht der Benutzer des IE übergeben, was bei mir aber der Fall sein muss, da ich einen Linuxproxy mit Benutzerauthentifizierung (LDAP) habe.

Gibt es eine Möglichkeit, den Windows Updates auf dem Client einen Proxy mit Benutzerauthentifizierung mitzugeben, sodass er sich zwar die "Infos" für die Updates vom WSUS holt, aber bei Microsoft direkt runterlädt?


MfG
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13101
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Windows Updates mit Proxy
Antwort #1 - 27.08.09 um 16:21:53
Beitrag drucken  
Comfreak schrieb on 27.08.09 um 16:07:42:
ich verteile die Windows Updates mit einem WSUS - Server. Der WSUS ist so eingestellt, dass der Client sich die Updates direkt bei Microsoft statt am WSUS herunterladen (ist komig, aber so gewollt).


Gibts für die Entscheidung auch einen guten Grund?

Comfreak schrieb on 27.08.09 um 16:07:42:
Mein Testclient hängt aber hinter einem Proxy und bekommt die Updates auch nicht mit dem Befehl proxycfg -u. Meines erachtens werden mit dem Befehl nur die Proxydaten und nicht der Benutzer des IE übergeben, was bei mir aber der Fall sein muss, da ich einen Linuxproxy mit Benutzerauthentifizierung (LDAP) habe.


Was passiert beim normalen surfen? Kommt ein Dialog hoch?

Comfreak schrieb on 27.08.09 um 16:07:42:
Gibt es eine Möglichkeit, den Windows Updates auf dem Client einen Proxy mit Benutzerauthentifizierung mitzugeben, sodass er sich zwar die "Infos" für die Updates vom WSUS holt, aber bei Microsoft direkt runterlädt?


Der WU-Agent nimmt Kontakt zum WSUS auf, dort bekommt er gesagt, welche Updates zum installieren freigegeben sind. Und gleichzeitig bekommt er die Info, holen soll er sie sich bei Windows Update direkt. Das muß der ausführende User natürlich auch dürfen. Probierst Du das mit einem normalen Benutzer? Wenn ja, darf der User surfen? Lass doch mal einen Sniffer mitlaufen, ich könnte mir vorstellen das der Netzwerkdienst da nach aussen will. Port 80 und möglicherweise auch 443 müssen offen sein.
  
Zum Seitenanfang
 
Comfreak
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 18
Mitglied seit: 29.07.09
Re: Windows Updates mit Proxy
Antwort #2 - 27.08.09 um 16:40:27
Beitrag drucken  
Sunny schrieb on 27.08.09 um 16:21:53:
Gibts für die Entscheidung auch einen guten Grund?


Ja, Kunden sollen von unserem WSUS die Infos für die Updates bekommen, aber selber von MS herunterladen. Wenn die Clients die Updates bei uns herunterladen würden, wird unsere Leitung ziemlich schnell zu sein. Smiley

Sunny schrieb on 27.08.09 um 16:21:53:
Was passiert beim normalen surfen? Kommt ein Dialog hoch?


Jop, wenn ich den Proxy im IE, FF usw. einstelle popt halt der normale Dialog auf, dass ich dort bitte die Benutzerdaten eingeben möchte, tue ich das, funktioniert das ganze auch. Sowas würde ich mir bei den Windows Updates auch wünschen, bzw. das man die Infos irgendwo einträgt.

Sunny schrieb on 27.08.09 um 16:21:53:
Der WU-Agent nimmt Kontakt zum WSUS auf, dort bekommt er gesagt, welche Updates zum installieren freigegeben sind. Und gleichzeitig bekommt er die Info, holen soll er sie sich bei Windows Update direkt. Das muß der ausführende User natürlich auch dürfen. Probierst Du das mit einem normalen Benutzer? Wenn ja, darf der User surfen? Lass doch mal einen Sniffer mitlaufen, ich könnte mir vorstellen das der Netzwerkdienst da nach aussen will. Port 80 und möglicherweise auch 443 müssen offen sein. 


Jep, bei uns dürfen alle User ins Internet, unabhängig von der Windowsanmeldung (egal ob Domäne oder Lokale Anmeldung), die Benutzer sind im LDAP für den Proxy extra angelegt. Port 80 und 443 sind natürlich offen, ich denke das liegt daran, dass ich den WU's keinen Benutzer für den Proxy mitgebe und somit keine Updates ankommen, aber wie und wo stelle ich das ein?


Mfg

Comfreak
  
Zum Seitenanfang
 
UMeadow
WSUS Spezialist
*****
Offline


I Love WSUS!

Beiträge: 1337
Standort: Berlin
Mitglied seit: 22.01.08
Geschlecht: männlich
Re: Windows Updates mit Proxy
Antwort #3 - 27.08.09 um 17:02:43
Beitrag drucken  
Comfreak schrieb on 27.08.09 um 16:40:27:
Jop, wenn ich den Proxy im IE, FF usw. einstelle popt halt der normale Dialog auf, dass ich dort bitte die Benutzerdaten eingeben möchte, tue ich das, funktioniert das ganze auch. Sowas würde ich mir bei den Windows Updates auch wünschen, bzw. das man die Infos irgendwo einträgt.

Jep, bei uns dürfen alle User ins Internet, unabhängig von der Windowsanmeldung (egal ob Domäne oder Lokale Anmeldung), die Benutzer sind im LDAP für den Proxy extra angelegt. Port 80 und 443 sind natürlich offen, ich denke das liegt daran, dass ich den WU's keinen Benutzer für den Proxy mitgebe und somit keine Updates ankommen, aber wie und wo stelle ich das ein?

Aber wieso müssen sich die Benutzer noch am Proxy anmelden wenn sowieso alle ins Inet dürfen. Nur so eine zwischenfrage.
Wenn ich das jetzt richtig verstanden habe, spielt an der Stelle der WSUS keine Rolle mehr, da sich die Clients die Updates direkt bei Windows Update holen. Da sich jeder Client aber am Proxy anmelden muss geht das nicht automatisch. Das ist m.E. eher ein Netzwerkproblem.
Mit Proxycfg kannst du keine Benutzeranmeldung übergeben.
Eventuell wäre eine Lösung am Proxy eine Ausnahme für Zugriffe auf Windows Update einzurichten, also das dann keine Anmeldung nötig ist.
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13101
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Windows Updates mit Proxy
Antwort #4 - 27.08.09 um 17:11:25
Beitrag drucken  
Comfreak schrieb on 27.08.09 um 16:40:27:
Sunny schrieb on 27.08.09 um 16:21:53:
Gibts für die Entscheidung auch einen guten Grund?


Ja, Kunden sollen von unserem WSUS die Infos für die Updates bekommen, aber selber von MS herunterladen. Wenn die Clients die Updates bei uns herunterladen würden, wird unsere Leitung ziemlich schnell zu sein. Smiley


Und was spricht dagegen, das die Kunden einen eigenen WSUS bekommen? Ich weiß was jetzt als Antwort kommt! Konfigurier den WSUS als Downstream von deinem WSUS, dann bekommen die Gruppen die Freigaben von dir, der WSUS von Ort holt sich die Updates entweder bei MS oder einmalig eben bei dir.

Comfreak schrieb on 27.08.09 um 16:40:27:
Sunny schrieb on 27.08.09 um 16:21:53:
Was passiert beim normalen surfen? Kommt ein Dialog hoch?

Jop, wenn ich den Proxy im IE, FF usw. einstelle popt halt der normale Dialog auf, dass ich dort bitte die Benutzerdaten eingeben möchte, tue ich das, funktioniert das ganze auch. Sowas würde ich mir bei den Windows Updates auch wünschen, bzw. das man die Infos irgendwo einträgt.


Das wird nicht funktionieren mit dem WU-Agent.
  
Zum Seitenanfang
 
UMeadow
WSUS Spezialist
*****
Offline


I Love WSUS!

Beiträge: 1337
Standort: Berlin
Mitglied seit: 22.01.08
Geschlecht: männlich
Re: Windows Updates mit Proxy
Antwort #5 - 27.08.09 um 17:17:14
Beitrag drucken  
Comfreak schrieb on 27.08.09 um 16:40:27:
Ja, Kunden sollen von unserem WSUS die Infos für die Updates bekommen, aber selber von MS herunterladen. Wenn die Clients die Updates bei uns herunterladen würden, wird unsere Leitung ziemlich schnell zu sein. Smiley

Gibst Du denn die Updates für Deine Kunden frei? Ansonsten sehe ich keinen Sinn das überhaupt ein WSUS im Spiel ist.
Ansonsten kann ich mich nur Sunny anschliessen.
  
Zum Seitenanfang
 
Comfreak
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 18
Mitglied seit: 29.07.09
Re: Windows Updates mit Proxy
Antwort #6 - 27.08.09 um 17:18:16
Beitrag drucken  
UMeadow schrieb on 27.08.09 um 17:02:43:
Aber wieso müssen sich die Benutzer noch am Proxy anmelden wenn sowieso alle ins Inet dürfen. Nur so eine zwischenfrage.


Naja, ein Proxy hat ja nicht nur die Funktion, dass man Benutzer für das Internet sperren kann Smiley.

UMeadow schrieb on 27.08.09 um 17:02:43:
Wenn ich das jetzt richtig verstanden habe, spielt an der Stelle der WSUS keine Rolle mehr, da sich die Clients die Updates direkt bei Windows Update holen. Da sich jeder Client aber am Proxy anmelden muss geht das nicht automatisch. Das ist m.E. eher ein Netzwerkproblem. 


Richtig, der WSUS spielt dort keine Rolle mehr. Schade, dass das nicht autmatisch geht.

UMeadow schrieb on 27.08.09 um 17:02:43:
Mit Proxycfg kannst du keine Benutzeranmeldung übergeben.


Jop, nur die Proxyadresse und Port, hatte ich leider auch schon festgestellt.

UMeadow schrieb on 27.08.09 um 17:02:43:
Eventuell wäre eine Lösung am Proxy eine Ausnahme für Zugriffe auf Windows Update einzurichten, also das dann keine Anmeldung nötig ist. 


Ok, da müsste ich dann mit einem Kollegen sprechen.


MfG

Comfreak
  
Zum Seitenanfang
 
UMeadow
WSUS Spezialist
*****
Offline


I Love WSUS!

Beiträge: 1337
Standort: Berlin
Mitglied seit: 22.01.08
Geschlecht: männlich
Re: Windows Updates mit Proxy
Antwort #7 - 27.08.09 um 17:21:08
Beitrag drucken  
Comfreak schrieb on 27.08.09 um 17:18:16:
UMeadow schrieb on 27.08.09 um 17:02:43:
Aber wieso müssen sich die Benutzer noch am Proxy anmelden wenn sowieso alle ins Inet dürfen. Nur so eine zwischenfrage.


Naja, ein Proxy hat ja nicht nur die Funktion, dass man Benutzer für das Internet sperren kann Smiley.


Du sollst ja nich den Proxy abschaffen Smiley aber die Anmeldung ist m.E. nicht nötig wenn alle ins Inet dürfen.
  
Zum Seitenanfang
 
Comfreak
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 18
Mitglied seit: 29.07.09
Re: Windows Updates mit Proxy
Antwort #8 - 27.08.09 um 18:03:39
Beitrag drucken  
UMeadow schrieb on 27.08.09 um 17:21:08:
Du sollst ja nich den Proxy abschaffen Smiley aber die Anmeldung ist m.E. nicht nötig wenn alle ins Inet dürfen. 


Naja das habe ich nicht zu entscheiden, dies macht mein Chef Zwinkernd

Wir wollten jetzt mal probieren, den Proxy für die Adresse der Windows Updates freizuschalten um die Updates zu bekommen. Kennt einer die Adresse (n) für die Windows Updates von Microsoft? Habe jetzt noch nichts auf die schnelle gefunden.

So, schönen Feierabend.


MfG

Comfreak
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13101
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Windows Updates mit Proxy
Antwort #9 - 28.08.09 um 08:49:28
Beitrag drucken  
Comfreak schrieb on 27.08.09 um 18:03:39:
Wir wollten jetzt mal probieren, den Proxy für die Adresse der Windows Updates freizuschalten um die Updates zu bekommen. Kennt einer die Adresse (n) für die Windows Updates von Microsoft? Habe jetzt noch nichts auf die schnelle gefunden.


Mit IP-Adressen allein kommst Du nicht weit, die ändern sich zu oft. Dir bleibt nichts anderes übrig als die diversen Update-Seiten freizuschalten. Die sollten sich in einem der Dokus zum WSUS auf den Technet Seiten finden lassen. Ich hab die auch nicht zur Hand.
  
Zum Seitenanfang
 
AraldoL
WSUS Experte
*****
Offline


I Love WSUS!

Beiträge: 534
Standort: Bayern
Mitglied seit: 11.06.07
Geschlecht: männlich
Re: Windows Updates mit Proxy
Antwort #10 - 28.08.09 um 09:30:00
Beitrag drucken  
Genau, IPs helfen hier nicht. Ich hab in einer Firma ohne WSUS einen Squid-Proxy (Linux) laufen der bestimmte Firmenbereiche nur ins Intranet läßt aber nicht ins Internet. Damit für die aber trotzdem Windows-Update möglich ist habe ich Ausnahmeregeln vorgeschaltet, die Liste hab ich in einem Squid-Tutorial gefunden und es funktioniert bisher damit. Auch wenn du sicher eine andere Syntax brauchst, evtl. hilft dir ja die Liste der Domains:
Code
# windows-update erlauben
acl windowsupdate dstdomain windowsupdate.microsoft.com
acl windowsupdate dstdomain .update.microsoft.com
acl windowsupdate dstdomain download.windowsupdate.com
acl windowsupdate dstdomain au.download.windowsupdate.com
acl windowsupdate dstdomain redir.metaservices.microsoft.com
acl windowsupdate dstdomain images.metaservices.microsoft.com
acl windowsupdate dstdomain c.microsoft.com
acl windowsupdate dstdomain www.download.windowsupdate.com
acl windowsupdate dstdomain wustat.windows.com
acl windowsupdate dstdomain crl.microsoft.com

acl CONNECT method CONNECT
acl wuCONNECT dstdomain www.update.microsoft.com
http_access allow CONNECT wuCONNECT localnet
http_access allow windowsupdate localnet 


Hinweis: Der obere Block benötigt nur http-Access (Port 80), die untere Adresse (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). benötigt auch https (Port 443, in Squid ist das CONNECT). Natürlich besteht immer die Gefahr daß z.B. mit einem neuen Update-Agent zusätzliche Domains nötig werden, muß man halt eine Updatesuche anstoßen und dann in den Proxy-Log schauen was geblockt wurde und das ggf. freischalten.

EDIT: Schreibfehler korrigiert
  
Zum Seitenanfang
 
Comfreak
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 18
Mitglied seit: 29.07.09
Re: Windows Updates mit Proxy
Antwort #11 - 28.08.09 um 09:46:59
Beitrag drucken  
Guten Morgen,

vielen Dank für die Antworten. Ich werde das dann mal ausprobieren und Feedback geben.


MfG

Comfreak
  
Zum Seitenanfang
 
Comfreak
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 18
Mitglied seit: 29.07.09
Re: Windows Updates mit Proxy
Antwort #12 - 01.09.09 um 20:36:59
Beitrag drucken  
Moin,

also ich habe das jetzt mit meinem Kollegen eingetragen. Jedoch müssten sich die Clients sich die Updateinfos vom WSUS über "https" holen...nur wie mach ich das? Klar, bei den Clients einfach https://serveradresse in die Gruppenrichtlinie, aber was muss ich beim WSUS einstellen?


MfG

Comfreak

Edit: Mein WSUS läuft auf einem Windows 2003.
  
Zum Seitenanfang
 
UMeadow
WSUS Spezialist
*****
Offline


I Love WSUS!

Beiträge: 1337
Standort: Berlin
Mitglied seit: 22.01.08
Geschlecht: männlich
Re: Windows Updates mit Proxy
Antwort #13 - 01.09.09 um 22:28:19
Beitrag drucken  
Comfreak schrieb on 01.09.09 um 20:36:59:
Moin,
also ich habe das jetzt mit meinem Kollegen eingetragen. Jedoch müssten sich die Clients sich die Updateinfos vom WSUS über "https" holen...nur wie mach ich das? Klar, bei den Clients einfach https://serveradresse in die Gruppenrichtlinie, aber was muss ich beim WSUS einstellen?
MfG
Comfreak
Edit: Mein WSUS läuft auf einem Windows 2003.

Moin, Moin
sty wenn ich noch mal Frage, wozu brauchst Du den WSUS überhaupt?
Hast Du schon mal normales Microsoft Update versucht, ob eure Ausnahemregelungen überhaupt greifen.
Es sollte ja jetzt keine Useranmeldung am Proxy nötig sein.
Gruß Uwe
  
Zum Seitenanfang
 
Comfreak
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 18
Mitglied seit: 29.07.09
Re: Windows Updates mit Proxy
Antwort #14 - 01.09.09 um 22:58:32
Beitrag drucken  
Moin,

UMeadow schrieb on 01.09.09 um 22:28:19:
sty wenn ich noch mal Frage, wozu brauchst Du den WSUS überhaupt?


Kundenclients sollen von unserem WSUS die Infos für die Updates bekommen, aber selber von MS herunterladen

UMeadow schrieb on 01.09.09 um 22:28:19:
Hast Du schon mal normales Microsoft Update versucht, ob eure Ausnahemregelungen überhaupt greifen.
Es sollte ja jetzt keine Useranmeldung am Proxy nötig sein.


Stimmt, müsste ich mal machen.

Habe jetzt schonmal die WSUS-Seiten im IIS nach dieser Anleitung freigeschaltet: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).

Dort wird von einem "Local Computer's Trusted Root CA store" und "Automatic Update Service's Trusted Root CA store" gesprochen, wo die SSL-Zertifikate importiert werden sollen. Ich find im Internet irgendwie nichts, wo diese sein sollen Smiley.

Client habe ich natürlich auf "https://servername" in den Gruppenrichtlinien eingestellt.


MfG

Comfreak
  
Zum Seitenanfang
 
Seitenindex umschalten Seiten: [1] 2 
Thema versendenDrucken
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden