locked
Https et windows update [résolu] RRS feed

  • Question

  •  

    Bonjour,

     

    A partir d'ISA 2006, j'ai crée une règle qui n'autorise le protocole HTTPS qu'à certains ordinateurs (tous les autres pc n'y ont pas accès).

    Depuis que j'ai mis cette règle en place, je ne peux plus accèder à windows update à partir des pc qui n'ont pas l'accès au protocole https : je peux lancer une recherche de mise à jour (rapide ou personnalisée) mais j'ai ensuite l'erreur 0x80072EFD.

     

    Pour remédier à ce problème :

    J'ai crée un groupe d'url dans lequel j'ai ajouté des url du type https://*.windowsupdate.microsoft.com, http://*.windowsupdate.microsoft.com, ....

    J'ai crée une règle d'accès pour autoriser l'accès à tous le monde à ce groupe d'url.

     

    Le problème reste le même.

     

    Quelqu'un a-t-il une idée?

    Merci.

     

    jeudi 28 février 2008 14:05

Réponses

  •  

    J'ai résolu mon problème : j'ai récupéré les adresses IP des serveurs de windows update et j'ai autorisé le protocole HTTPS à accéder à ces adresses IP.

    Les mises à jour fonctionnent.

    vendredi 29 février 2008 14:59

Toutes les réponses

  • Bonjour,

     

    tu devrais regarder dans le monitoring instantané quelles sont les URLs qui sont refusées!

     

    Je pense que Windows Update commence parfois aussi par des adresses de type "http://www.microsoft.com/windowsupdate/*!

     

    A bientôt,

    jeudi 28 février 2008 14:49
  • Dans le monitoring instantané, lorsque je filtre sur le protocole HTTPS, je vois la connexion qui est refusée. Mais je ne vois que l'adresse IP de destination (dont les 2 derniers octets n'arrêtent pas de changer) et non pas l'url refusée.

     

    Je ne vois donc pas comment je peux autoriser l'accès aux url de windows update.

    jeudi 28 février 2008 16:16
  • bonsoir,

     

    encore creuvé, je colle les instructions...

     

    1. On the ISA Server create a Destination Set called Windows Update containing the following sites:
    *.download.microsoft.com
    *.windowsupdate.com
    *.windowsupdate.microsoft.com
    windowsupdate.com
    windowsupdate.microsoft.com
    update.microsoft.com
    1. On the ISA Server create a Protocol Rule called Windows Update as follows:

    Action - Allow
    Protocol - Selected (HTTP, HTTPS)
    Schedule - Always
    Apply To - Any Request

    This protocol rule grinds at me as it allows unfettered access by ISA Firewall clients to HTTP sites if they turn off "Use Proxy" in IE. But that is a small price to pay in order to allow Windows Update to work. If this "open" rule bothers you too much, you can disabled the rule until you plan on running updates on your XP workstations.

    1. Create a Site and Content rule called Windows Update as follows:

    Destinations - Selected destination set (Windows Update)
    Schedule - Always
    Action - Allow
    Apply To - Any Request
    HTTP Content - All content groups

    1. On the client workstation, enable "use proxy" in IE, enter your proxy information, save and then run Windows Update. You can leave the ISA firewall client enabled or disabled as you see fit. If you still get the 0x8024402C error when you click on the Express Update / Custom Update, reboot your XP client computer and try again the windows update again.

    je pense que meme en anglais cela reste compréhensible Smile

     

    bonne nuit,

     

    Pierre.

     

    jeudi 28 février 2008 21:38
  • Bonjour,

     

    J'ai crée les sites de destination, et j'ai autorisé les protocole HTTP et HTTPS à accéder à ces sites.

    Mais lorsque je filtre sur protocole HTTTPS dans le monitoring instantané, la connexion est refusée par ma règle par défaut (tout est interdit).

    La règle que j'ai crée n'intervient pas (pourtant elle est bien placé avant la règle par défaut).

    vendredi 29 février 2008 09:14
  •  

    J'ai résolu mon problème : j'ai récupéré les adresses IP des serveurs de windows update et j'ai autorisé le protocole HTTPS à accéder à ces adresses IP.

    Les mises à jour fonctionnent.

    vendredi 29 février 2008 14:59
  • Bonsoir,

     

    le problème est que ces adresses IP peuvent changer régulièrement !

     

    => Il faudra bien s'en rappeler au premier soucis.

     

    A+

    samedi 1 mars 2008 18:02