Win-Updates und Squid Proxy

Wer mit der pfSense eine Squid-Proxy betreibt und auf regelmäßige automatische Windows Updates über den Proxy wert legt, der wird schon mal festgestellt haben, dass das nicht immer zuverlässig funktioniert. Damit es nicht zum "Proxyfrust" kommt, zeige ich hier wie man den Proxy sinnvoll einrichtet.

 

Die ACLs

Zunächst müssen die ACLs im Proxy festgelegt werden. Das sorgt dafür, dass die Zieladressen für die Windows-Updates ohne Authentifizierung erreicht werden können. Dafür geht man in die Proxyeinstellungen im Squid unter SERVICES -> SQUID PROXY SERVER und scrollt dazu ganz nach unten bis der grüne Button "Show advanced settings" zu sehen ist. Klickt man darauf, so öffnen sich Felder für Einträge. Im Feld "Custom Options (Before Auth)" ist dann folgendes einzutragen:

acl windowsupdate dstdomain ctldl.windowsupdate.com
acl windowsupdate dstdomain windowsupdate.microsoft.com
acl windowsupdate dstdomain .update.microsoft.com
acl windowsupdate dstdomain .download.windowsupdate.com
acl windowsupdate dstdomain redir.metaservices.microsoft.com
acl windowsupdate dstdomain images.metaservices.microsoft.com
acl windowsupdate dstdomain c.microsoft.com
acl windowsupdate dstdomain www.download.windowsupdate.com
acl windowsupdate dstdomain wustat.windows.com
acl windowsupdate dstdomain crl.microsoft.com
acl windowsupdate dstdomain sls.microsoft.com
acl windowsupdate dstdomain productactivation.one.microsoft.com
acl windowsupdate dstdomain ntservicepack.microsoft.com
acl CONNECT method CONNECT
acl wuCONNECT dstdomain .update.microsoft.com
acl wuCONNECT dstdomain sls.microsoft.com
http_access allow CONNECT wuCONNECT localnet
http_access allow windowsupdate localnet

Nun auf "save" klicken und schon können die Updates händisch angestoßen werden. Allerdings ist noch etwas zu tun bevor die automatischen Updates gehen, denn die werden zu 90 % noch nicht funktionieren. Ich habe bei einigen Clients hin und wieder gesehen, dass sie trotzdem gehen. Die Ursache war mir bis dahin aber noch nicht klar.

 

Die Maximum Object Size

In den Proxyeinstellungen im Reiter "Local Cache" gibt es weiter unten die Option "Maximum Object Size", die standardmäßig auf 4 Mb steht. Dieser Wert muss auf 200 Mb erhöht werden.

 

Winhttp Proxy Credentials

Für winhttp müssen noch die Proxy-Zugangsdaten hinterlegt werden. Dazu arbeitet man die folgenden drei Punkte ab:

  1. Im IE als Admin die Proxyeinstellungen für das System hinterlegen.
  2. Die CMD als Admin ausführen und dort "netsh winhttp import proxy source=ie" eingeben.
  3. Mit "netsh winhttp show proxy" prüfen, ob die Proxyeinstellungen gesetzt sind.

Ab jetzt sollten die automatischen Updates funktionieren.

 

Wenn alle oben genannten Schritte abgearbeitet sind, sollten die autom. Windows Updates problemlos funktionieren.