none
デジタル証明書信頼関連情報サイト (ctldl.windowsupdate.com) へのプロキシ設定 RRS feed

  • 質問

  • お世話になっております。

    会社組織内で、Windows7 Professionalを中心にPCを配置し、WEBプロキシを経由してインターネットアクセスをするようネットワークを構築しています。

    ソフトウエアのインストールや、リモートデスクトップ接続をおこなうたびに、Windows OS から ctldl.windowsupdate.com へアクセスされるようですが(パケットキャプチャおよび netstat コマンドでの確認)、なぜか直接接続(80番ポート、前述のホスト名のIPアドレス)宛に接続が試行され、WEBプロキシ設定は利用されません(「インターネットオプション」にもWnHTTPにも、プロキシサーバ情報を登録しています)。そのため、何かにつけて毎度数十秒待たされます。

    グループポリシーで、証明書信頼情報の更新を無効にすることも可能ですが、できればしっかり更新をしておきたく思います。WEBプロキシを経由してデジタル証明書の信頼情報の更新をさせるように構成する方法はあるでしょうか?

    ご存知の方、ご教示いただけますと幸いです。


    2015年11月10日 1:01

すべての返信

  • チャブーンです。

    Windows Update関連へのアクセスには、Winhttp コンポーネントが使われるようです。ですから、Windows Updateがプロキシ利用するようせっていするには、Winhttpにプロキシ設定をインポートさせるようにする必要があります。IEのプロキシ設定を適切に行った前提ですが、1度だけ以下のコマンドを実行するとWinhttpにプロキシ設定が反映されます。

    netsh winhttp import proxy ie


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2015年11月10日 2:49
  • チャプーン様

    どうも有難う御座います。

    WinHTTPに、プロキシサーバ設定は設定済みで、netsh winhttp show proxy とコマンドでもプロキシ情報の反映が確認できます。プロキシサーバの挙動が関係したりするのでしょうか...(WSUS で、BITS と Range ヘッダー関連の相性問題があったことを思い出しました。プロキシサーバで転送失敗したときに、直接接続を試行していたり)

    KB2813430 ( http://blogs.technet.com/b/jpsecurity/archive/2013/06/12/3578245.aspx ) を適用しているのですが、この周辺の情報をもっと調べてみます。WSUS を構成してあるので自動適用されると考えていましたが、読み違えているかもしれませんので...



    2015年11月10日 3:25
  • プロキシにまったくアクセスが行われた痕跡もないのか、いったんプロキシにアクセスした後何らかの理由で Direct 接続を試しているのか、パケットキャプチャやプロキシログで確認できるでしょうか?

    hebikuzure

    2015年11月10日 3:33
  • hebikuzure様

    有難う御座います。質問をした懸案が(現在のところ)解決してしまいました。(そのため、パケット採取調査も現在できなくなりました)

    (どうせ通信ができておらず失敗してきているので...あとで検証する必要があればそのときに戻すとして、と考えて)
    グループポリシーで、証明書パス有効性チェックの無効化をしました(「コンピューターの構成->Windowsの設定->セキュリティの設定->公開キーのポリシー」にある「証明書パス検証の設定->ネットワークの取得」)。結果、待たされることがなくなり快調な操作感になっています。

    原因調査のためにグループポリシーによる上記設定を取り消してみた(当初の設定に戻してみた)のですが、懸案の状況は発生しなくなってしまいました。パケットキャプチャを行いましたが、プロキシサーバへも、ctldl...サイトへのDirectアクセスも行われませんでした。

    証明書の失効リスト等の更新が一旦済んだ状態になっており、次の更新スケジュールがまだ来ていない為かもしれません。しばらくして再発しましたら、調査をしてみます。





    2015年11月11日 1:21