locked
Правила TMG для WSUS сервера. RRS feed

  • Вопрос

  • Добрый день!

    К каким ресурсам нужно дать доступ WSUS серверу, чтобы он мог полноценно функционировать?

    30 октября 2013 г. 8:16

Ответы

Все ответы

    • Предложено в качестве ответа R.LevchenkoMVP 30 октября 2013 г. 8:21
    • Изменено R.LevchenkoMVP 30 октября 2013 г. 8:31
    • Отменено предложение в качестве ответа Denis.Kuznetsov 30 октября 2013 г. 8:48
    • Помечено в качестве ответа Denis.Kuznetsov 30 октября 2013 г. 8:54
    • Снята пометка об ответе Denis.Kuznetsov 30 октября 2013 г. 8:57
    • Помечено в качестве ответа Denis.Kuznetsov 1 ноября 2013 г. 10:28
    30 октября 2013 г. 8:21
  • Спасибо за ссылку, но это немножко не то.

    В моем случае не нужно публиковать WSUS наружу.

    Мне необходимо открыть доступ WSUS серверу к ресурсам MS, для того чтобы он мог скачивать обновления и т.п.

    Т.е. мне нужен список ресурсов к которым нужно открыть доступ. 

    Доступ к "Веб-сайты Центра обновления Майкрософт" открыт.

    Но в журнале периодически проскакивает  что WSUS пытается подключится к 157.56.77.158: 443.

    Так же пока данный ресурс закрыт, WSUS не может провести синхронизацию.


    30 октября 2013 г. 8:25
  • Спасибо за ссылку, но это немножко не то.

    В моем случае не нужно публиковать WSUS наружу.

    Мне необходимо открыть доступ WSUS серверу к ресурсам MS, для того чтобы он мог скачивать обновления и т.п.

    Т.е. мне нужен список ресурсов к которым нужно открыть доступ. 

    См. первый ответ. Изменил.

    Roman Levchenko, MCITP, MCTS http://www.rlevchenko.com

    30 октября 2013 г. 8:32
  • Список тот что нужно! Спасибо!

    Но.

    До тех пор пока не открою доступ к 157.56.77.158, синхронизация не работает.

    Как можно выяснить что это за ресурс? Так как ип может смениться.

    WebException: Невозможно соединиться с удаленным сервером ---> System.Net.Sockets.SocketException: Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера 157.56.77.158:443
    в System.Net.HttpWebRequest.GetRequestStream(TransportContext& context)
       в System.Net.HttpWebRequest.GetRequestStream()
       в System.Web.Services.Protocols.SoapHttpClientProtocol.Invoke(String methodName, Object[] parameters)
       в Microsoft.UpdateServices.ServerSyncWebServices.ServerSync.ServerSyncProxy.GetAuthConfig()
       в Microsoft.UpdateServices.ServerSync.ServerSyncLib.InternetGetServerAuthConfig(ServerSyncProxy proxy, WebServiceCommunicationHelper webServiceHelper)
       в Microsoft.UpdateServices.ServerSync.ServerSyncLib.Authenticate(AuthorizationManager authorizationManager, Boolean checkExpiration, ServerSyncProxy proxy, Cookie cookie, WebServiceCommunicationHelper webServiceHelper)
       в Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.SyncConfigUpdatesFromUSS()
       в Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.ExecuteSyncProtocol(Boolean allowRedirect)
    30 октября 2013 г. 8:59
  • update.microsoft.com

    Roman Levchenko, MCITP, MCTS http://www.rlevchenko.com


    30 октября 2013 г. 9:01
  • ниже список, ресурсов к которым у меня открыт доступ для WSUS
    • windowsupdate.microsoft.com
    • *.windowsupdate.microsoft.com
    • *.windowsupdate.microsoft.com
    • *.update.microsoft.com
    • *.update.microsoft.com
    • *.windowsupdate.com
    • download.windowsupdate.com
    • download.microsoft.com
    • *.download.windowsupdate.com
    • test.stats.update.microsoft.com
    • ntservicepack.microsoft.com
    • wustat.windows.com 

    Как, видно данный ресурс есть в списке, но запросы к 157.56.77.158 блокируются.

    Открыть доступ к данному ip адресу не проблема, просто завтра он сменится и синхронизация перестанет работать. Хотелось бы решить проблему окончательно.


    30 октября 2013 г. 9:17
  • HTTPS inspection включен?

    Попробуйте в правило добавить  Domain Set со значением *.microsoft.com, microsoft.com


    Roman Levchenko, MCITP, MCTS http://www.rlevchenko.com

    30 октября 2013 г. 9:42
  • HTTPS inspection выключен.

    Добавил *.microsoft.com, microsoft.com, не помогло.

    30 октября 2013 г. 13:35
    • Сделайте тестовое правило/измените текущее,разрешающее протоколы HTTP,HTTPS от WSUS до External 
    • Отключите правило, указанное Вами выше, нажмите Apply, подождите 1 минуту для синхронизации конфигурации TMG
    • Запустите Traffice Simulator и протестируйте подключение к update.microsoft.com
    • Проверьте работу WSUS

    Roman Levchenko, MCITP, MCTS http://www.rlevchenko.com


    30 октября 2013 г. 15:03
  • Как ожидалось, все работает. НО!

    Этот сервер выполняет не только роль WSUS, и не хотелось бы давать ему полный доступ наружу.

    • Предложено в качестве ответа R.LevchenkoMVP 31 октября 2013 г. 9:52
    • Отменено предложение в качестве ответа R.LevchenkoMVP 31 октября 2013 г. 9:52
    31 октября 2013 г. 7:30
  • Как ожидалось, все работает. НО!

    Этот сервер выполняет не только роль WSUS, и не хотелось бы давать ему полный доступ наружу.

    Если Вас устроит, то измените правило следующим образом: 

    From WSUS To External ;

    Action: Deny;

    Protocols: HTTP,HTTPS;  

    На вкладке TO в Exceptions пропишете вышеуказанные domain set'ы

    Примените правило. Проверьте работу WSUS

    P.S. нет под рукой ТМГ, к сожалению, наименования разделов могут не совпадать


    Roman Levchenko, MCITP, MCTS http://www.rlevchenko.com

    31 октября 2013 г. 9:57
  • Заметьте, что используется и HTTP , и HTTPS!! У вас проблема в правиле, скорей всего. Ещё раз проверьте!!
    • http://*.update.microsoft.com
    • https://*.update.microsoft.com
    • http://*.windowsupdate.microsoft.com
    • https://*.windowsupdate.microsoft.com

    Roman Levchenko, MCITP, MCTS http://www.rlevchenko.com

    31 октября 2013 г. 12:37
  • У меня правило выглядит так:

    From: WSUS 

    Action: allow

    Protocols: HTTP,HTTPS

    to: [MS update sites]

    При этом синхронизация не работает и в журнале я вижу что WSUS пытается обратится к 157.56.77.158:443.

    Если я добавляю 157.56.77.158, в правило выше, то синхронизация начинает работать.

    Но данный адрес через некоторое время меняется, и правило приходится править.

     

    31 октября 2013 г. 14:19
  • https://www.update.microsoft.com с WSUS открывается?

    Roman Levchenko, MCITP, MCTS http://www.rlevchenko.com

    31 октября 2013 г. 16:13
  • Да открывается, а синхронизация не работает.
    1 ноября 2013 г. 6:17
  • У меня правило выглядит так:

    From: WSUS 

    Action: allow

    Protocols: HTTP,HTTPS

    to: [MS update sites]

    При этом синхронизация не работает и в журнале я вижу что WSUS пытается обратится к 157.56.77.158:443.

    Если я добавляю 157.56.77.158, в правило выше, то синхронизация начинает работать.

    Но данный адрес через некоторое время меняется, и правило приходится править.

     

    Выключите правило и сделайте 

    From WSUS To External , Protocols:HTTP,HTTPS; Action: Deny, Exceptions: URL Sets (MS Update Sites)=строго как написано в статье


    Roman Levchenko, MCITP, MCTS http://www.rlevchenko.com

    1 ноября 2013 г. 7:57
  • Тоже самое. см. скрин.

    1 ноября 2013 г. 8:41
  • Ок. В таком случае, я бы сделал 2 правила . одно для HTTP , Deny, исключения - наши домены.. другое HTTPS Allow All только для WSUS. Не вижу ничего криминального в этом. Смоделировать Вашу ситуацию, к сожалению не могу

    + TMG через WSUS планируете обновлять или?


    Roman Levchenko, MCITP, MCTS http://www.rlevchenko.com



    1 ноября 2013 г. 9:44
  • Да планирую.

    правило то я создам, мне просто хотелось понять куда же WSUS пытается обращаться при синхронизации.

    Спасибо за помощь!

    1 ноября 2013 г. 10:28
  • Да планирую.

    правило то я создам, мне просто хотелось понять куда же WSUS пытается обращаться при синхронизации.

    Спасибо за помощь!

    Wireshark или Network Monitor в помощь. Сам бы посмотрел, но, как сказал, нет возможности :). Общается он с теми ресурсами, которые указаны в статье. Больше данных не видел и не знаю. В любом случае, анализ пакетов бы Вам четко показал что и как.

    Про TMG + WSUS : http://blogs.technet.com/b/isablog/archive/2009/11/28/using-windows-server-update-service-for-the-tmg-update-center.aspx


    Roman Levchenko, MCITP, MCTS http://www.rlevchenko.com


    1 ноября 2013 г. 10:32
  • весь диапазон 157.54.0.0 - 157.60.255.255 принадлежит Microsoft, его можно открыть для всус

    1 ноября 2013 г. 11:20
    Отвечающий