This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Windows Update

hello. We have UTM 9.004. Clients pc's can't download windows updates from Microsoft, unless they are added in the "Skip transparent mode source hosts/nets" list. otherwise an error appears. the same with wsus server. it must be also added in the same list in order to synchronize. I am sending the web proxy log, when a client pc tries to download updates from Microsoft.
Any ideas are welcome. The built-in "Microsoft Windows Update" exception rule is active.
Thanks


This thread was automatically locked due to age.
Parents
  • Is the option 'Scan HTTPS (SSL) Traffic' activated?

    Every line of the log says 'action="pass"'. So webproxy should not block your request.
  • If you're using the SSL scanner and transparent proxy - this issue already was discussed in another thread somewhere here.

    Thanks to Flame Virus Microsoft changed their update procedure slightly, where for some requests MITM (certificate exchange due SSL scanning) isn't accepted anymore and makes windowsupdate fail.

    I found, that placing the DNS GROUPS "update.microsoft.com" and "www.update.microsoft.com" into the transparent destination should be sufficient to solve this issue. Please note, that it may take a while until it's fully working, as behind those DNS names are hidden multiple IP addresses, which takes a while to get collected...

    /Sascha
Reply
  • If you're using the SSL scanner and transparent proxy - this issue already was discussed in another thread somewhere here.

    Thanks to Flame Virus Microsoft changed their update procedure slightly, where for some requests MITM (certificate exchange due SSL scanning) isn't accepted anymore and makes windowsupdate fail.

    I found, that placing the DNS GROUPS "update.microsoft.com" and "www.update.microsoft.com" into the transparent destination should be sufficient to solve this issue. Please note, that it may take a while until it's fully working, as behind those DNS names are hidden multiple IP addresses, which takes a while to get collected...

    /Sascha
Children
No Data