This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Windows Update

hello. We have UTM 9.004. Clients pc's can't download windows updates from Microsoft, unless they are added in the "Skip transparent mode source hosts/nets" list. otherwise an error appears. the same with wsus server. it must be also added in the same list in order to synchronize. I am sending the web proxy log, when a client pc tries to download updates from Microsoft.
Any ideas are welcome. The built-in "Microsoft Windows Update" exception rule is active.
Thanks


This thread was automatically locked due to age.
Parents
  • Hello. I tried gmf's and umpf's directions with no result. Wsus will not synchronize. Any other ideas? Is it some kind of a bug? What Sophos propose to resolve this problem? We use transparent mode with https (ssl) scan enabled. Windows Update is an important service for every business.
    Regards.
  • Good Mornin',

    have you imported the proxy-cert (ssl) via mcc into the computers trusted-root-store?

    I saw that the error listet in my proxy-log shows an not accepted cert from one of the ms-update servers (maybe a local-ca certificate?). So i created a exception for this ip with skip cert, maybe there are much more IPs i haven't catched. The one wich worked for me are follows:

    Microsoft Windows Update [Allows Windows Update without content scanning side effects.]
    Skipping: Authentication / Caching / Antivirus / Extension blocking / MIME type blocking / URL Filter / Content Removal / SSL scanning / Certificate Trust Check / Certificate Date Check
    Matching these URLs: ^https?://([A-Za-z0-9.-]*\.)?windowsupdate\.com/
    ^https?://([A-Za-z0-9.-]*\.)?microsoft\.com/
    ^https?://([A-Za-z0-9.-]*\.)?windows\.com/
    https://157.55.60.56
    https://65.52.98.7


    When i disable the agent for my subnet, in the browser i get an "not auth"-failure, but i can use the windowsupdate-client within windows7/8 (this is the fallback-option).
Reply
  • Good Mornin',

    have you imported the proxy-cert (ssl) via mcc into the computers trusted-root-store?

    I saw that the error listet in my proxy-log shows an not accepted cert from one of the ms-update servers (maybe a local-ca certificate?). So i created a exception for this ip with skip cert, maybe there are much more IPs i haven't catched. The one wich worked for me are follows:

    Microsoft Windows Update [Allows Windows Update without content scanning side effects.]
    Skipping: Authentication / Caching / Antivirus / Extension blocking / MIME type blocking / URL Filter / Content Removal / SSL scanning / Certificate Trust Check / Certificate Date Check
    Matching these URLs: ^https?://([A-Za-z0-9.-]*\.)?windowsupdate\.com/
    ^https?://([A-Za-z0-9.-]*\.)?microsoft\.com/
    ^https?://([A-Za-z0-9.-]*\.)?windows\.com/
    https://157.55.60.56
    https://65.52.98.7


    When i disable the agent for my subnet, in the browser i get an "not auth"-failure, but i can use the windowsupdate-client within windows7/8 (this is the fallback-option).
Children
No Data