Thread Info
  • State Verified Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 8 replies
  • Subscribers 6 subscribers
  • Views 2398 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Windows Updates legen die UTM lahm

J Admin

Hallo zusammen,

 

wir haben folgendes Problem mit unserer UTM:

Wenn man auf einem Win 10 Client Insider Builds oder neue Feature Updates am WSUS vorbei einspielt, reagiert die Firewall während des Downloads nur noch träge. Besonders gut ist das an den extremen ping Zeiten zu erkennen. s.u.

Alle Versuche mit Bandbreitenbegrenzern oder Web-Filter Ausnahmen brachten keinen Erfolg. Kennt jemand das Problem und hätte eine Lösung?

 

Fakten:

* SG210 (9.605-1)

* Web- und Network-Protection aktiv

 

Grüße,

Alex



This thread was automatically locked due to age.
  • 0

    Bist Du Dir sicher, dass die QoS funktioniert haben? Falls nicht schau mal auf die Webseite von Thorsten Sult, da gibt es gute HowTos dazu.

    Das Problem selbst kenne ich so nicht. Dein Ping geht zur Schnittstelle der UTM? Verhält sich ein Ping in‘s Internet analog?

    Beste Grüße 

    Alex 

    -

  • 0

    Hallo Alex,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.  )

    "Alle Versuche mit Bandbreitenbegrenzern oder Web-Filter Ausnahmen brachten keinen Erfolg. "

    Did Alex Busch's suggestion resolve this for you?  If not, please show us pictures of the Edits of these configurations.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to Alexander Busch

    Hallo Alex,

     

    ich hab die Regeln nochmal wie hier beschrieben explizit gesetzt und damit gespielt:

    https://www.sult.eu/2019/01/08/sophos-utm-downloaddrosselung-und-webfilter

     

    Wenn ich den Download wie hier zu sehen auf 30MBit drossele, ist das Ursprungsproblem zwar nicht mehr so gravierend, aber dass kann ja nicht meine Lösung sein.

     

    Ich hab auch extra mal einen ping auf einen externen Server mitlaufen lassen. Gleiches Verhalten.

    Während ich z.B. einen Speedtest oder einen Download laufe lasse, ist das Verhalten mit den Latenzen nicht zu erkennen. Es scheint daher doch irgendwas Windows Update spezifisches zu sein...

    Hat noch jemand eine Idee außer die Bandbreite für den gesamten Webtraffic zu reduzieren?

     

    Vlt. ist unsere SG210 Rev1 auch einfach zu schwach auf der Brust? Obwohl lt. Datenblatt 500MBit/s durch den Proxy gehen sollten.

     

    Grüße,

    Alex

  • +1 in reply to J Admin

    Moin,

     

    Du brauchst ja nicht den ganzen Webtraffic begrenzen. Nur den Traffic zu den Updateservern. Du änderst im Verkehrkennzeichner nur die Quelle auf eine Gruppe mit den ganzen Updateservern von MS.

     

    Hier ist z.B. eine Liste: https://docs.microsoft.com/en-us/previous-versions/system-center/configuration-manager-2007/bb693717(v=technet.10)?redirectedfrom=MSDN

     

  • 0 in reply to ThorstenSult

    Danke Thorsten,

    oftmals denkt man einfach zu kompliziert. [^o)]

    Dein Tipp mit der Win Updateserver Liste hat mich auf folgenden für uns funktionierenden "Workaround" gebracht:

    Ich habe die Drossel auf Anwendungsebene definiert. Somit wird nur noch der Win Update und Akamai CDN Traffic beschränkt.

     

    Damit können wir erst mal leben.

     

    Grüße,

    Alex

  • 0 in reply to J Admin

    Ja, die Lösung ist noch besser! Freut mich, dass ich helfen konnte!

  • 0 in reply to ThorstenSult

    Ist denn dieses Verhalten nur bei den oben beschriebenen Updates zu sehen oder auch bei allen anderen Updates von MS? Mag ja sein das man dieses Problem mit QOS beheben kann aber rein vom logischen her kann dies doch nicht die Lösung sein oder sehe ich das verkehrt?

  • 0 in reply to RemoHehlert

    Hi,

    also ich kennen dieses Verhalten bei Windowsupdate auch bei anderen Kunden, die nicht SG oder UTM im Einsatz haben. Dort musste Windowsupdate auch immer gedrosselt werden, weil die Bandbreite komplett verwendet wurde. Dann ging fast nichts mehr, selbes Verhalten, wie oben beschrieben.

    Der Einsatz von QoS bzw. einer DD ist schon der richtige Ansatz, um solche Störungen zu vermeiden. QoS konfiguriere ich bei meinen Kunden fast immer, damit es erst gar nicht zu keinem Engpass kommt.

Unfiltered HTML