Лучший отвечающий
WSUS 3.0 не ходит через squid

Вопрос
-
Добрый день!
Сегодня обновился до 3.0 и в итоге перестала работать синхронизация. Обновление прошло нормально, все настройки сохранились но при попытке синронизироваться с сервером Microsoft выдаётся ошибка "WebException: The remote server returned an error: (407) Proxy Authentication Required.
at System.Net.HttpWebRequest.GetRequestStream()
at System.Web.Services.Protocols.SoapHttpClientProtocol.Invoke(String methodName, Object[] parameters)
at Microsoft.UpdateServices.ServerSyncWebServices.ServerSync.ServerSyncProxy.GetAuthConfig()
at Microsoft.UpdateServices.ServerSync.ServerSyncLib.InternetGetServerAuthConfig(ServerSyncProxy proxy, WebServiceCommunicationHelper webServiceHelper)
at Microsoft.UpdateServices.ServerSync.ServerSyncLib.Authenticate(AuthorizationManager authorizationManager, Boolean checkExpiration, ServerSyncProxy proxy, Cookie cookie, WebServiceCommunicationHelper webServiceHelper)
at Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.SyncConfigUpdatesFromUSS()
at Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.ExecuteSyncProtocol(Boolean allowRedirect)". На предыдущей версии всё работало замечательно2 мая 2007 г. 14:22
Ответы
-
Отвечу сам себе. На сквиде надо было использовать basic авторизацию. Для этого надо было поставить имя учетной записи на прокси, поле домена оставить пустым (иначе на прокси оно собирается в такое домен\имя учетной записи, что понятно для прокси только при NTLM авторизации), вводим пароль, и поставить галочку внизу о возможности передачи пароли в открытом виде. Вот такие настройки подошли мне.
- Помечено в качестве ответа Vinokurov YuriyModerator 1 октября 2009 г. 10:37
5 мая 2007 г. 6:26 -
Думаю, тема все еще актуальна, несмотря на дату.
Эта проблема связана с WSUS 3.0 SP1. Возникает на разных прокси производства не Microsoft. Лечится
http://support.microsoft.com/kb/928563
Фикс можно скачать здесь (нужна регистрация).
http://thehotfixshare.net/board/index.php?showtopic=3384- Помечено в качестве ответа Vinokurov YuriyModerator 1 октября 2009 г. 10:37
16 апреля 2008 г. 7:25 -
Сегодня, после обновления WSUS SP1 до SP2 возникла аналогичная ситуация - ошибка 407.
Авторизация на SQUID по ip.
Решилась следующим образом:
ввод ручками настройки во WSUS прокси-сервера не помог.
proxycfg показал, что в WinHTTP доступ в интернет - прямой
proxycfg -u взял настройки прокси из IE
после этого WSUS успешно подключился к серверу обновлений Microsoft
proxycfg -d вернул предыдущие настройки WinHTTP
Дальше всё обновляется без проблем. Синхронизация с сервером обновлений Microsoft проходит успешно.- Помечено в качестве ответа Vinokurov YuriyModerator 1 октября 2009 г. 10:37
30 сентября 2009 г. 8:43
Все ответы
-
Вы можете отключить проверку подлинности на прокси для этого сервера?3 мая 2007 г. 9:30
-
В бета-версии была такая же проблема. В консоли WSUS зайдите на страницу настройки прокси сервера и перебейте заново информацию, особенно пароль. После этого должно заработать.3 мая 2007 г. 13:28Модератор
-
Несколько раз уже перебивал паролль- не помогает. Думаю, как отключить авторизацию4 мая 2007 г. 5:45
-
По умолчанию WSUS 3.0 использует Integrated авторизацию. Но там есть галочка включения Basic авторизации - она то уж точно должна работать в SQUID, если вы в нем не настроили поддержку виндусовой авторизации.4 мая 2007 г. 6:02Модератор
-
У меня настроена интеграция squid и AD, браузеры ходят нормально, а эта ерунда ну ни в какую4 мая 2007 г. 6:45
-
У меня идет через ISA с виндовс авторизацией без проблем. Смотрите логи SQUID.4 мая 2007 г. 8:11Модератор
-
Проблема решилась? А то у меня ситуация один в один.. пока разобраться не могу4 мая 2007 г. 14:41
-
Отвечу сам себе. На сквиде надо было использовать basic авторизацию. Для этого надо было поставить имя учетной записи на прокси, поле домена оставить пустым (иначе на прокси оно собирается в такое домен\имя учетной записи, что понятно для прокси только при NTLM авторизации), вводим пароль, и поставить галочку внизу о возможности передачи пароли в открытом виде. Вот такие настройки подошли мне.
- Помечено в качестве ответа Vinokurov YuriyModerator 1 октября 2009 г. 10:37
5 мая 2007 г. 6:26 -
Не подошло
Судя по логам squid'а wsus вообще не делает попыток авторизации на прокси
1178514400.524 3 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
1178514400.538 3 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
1178514400.560 2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
1178514400.574 3 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
1178514400.596 2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
1178514400.610 2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
1178514400.632 2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
1178514400.646 4 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
1178514400.944 291 192.168.1.5 TCP_MISS/200 10226 GET http://download.windowsupdate.com/v7/wsus/redir/wsusredir.cab? <username> DIRECT/84.53.135.144 application/octet-stream
1178514401.450 2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
1178514401.476 5 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
1178514401.506 3 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
1178514401.519 3 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
1178514401.541 2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
1178514401.553 3 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
1178514401.575 2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
1178514401.588 2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html7 мая 2007 г. 5:08 -
А вы посмотрите ответ SQUID-а снифером. Это прояснит ситуацию в их взаимонепонимании.7 мая 2007 г. 10:49Модератор
-
Сделайте ACL с авторизацией по IP-адресу в squid, что-то вроде
acl wsus src 172.20.1.1
и добавьте в начало правил
http_access allow wsus
10 мая 2007 г. 7:37 -
Точно такая же проблема - можете расскажете как у Вас она решилась?=)15 мая 2007 г. 12:17
-
Здраствуйте!
А это не проблема BITS? Ведь именно эта служба не ходит через squid. В wsus 3.0 я отключал ее утилитой wsusdebugtool.exe.
С уважением.
25 мая 2007 г. 11:15 -
Все работает...
использую squid/2.6.STABLE4 и auth через Winbind 3.0.23c из AD 2003
в конфиге Smb.conf использую сепаратор + (winbind separator = +)
спокойно прописал
Use proxy server when sync
ip-addess, port... имя пользователя, ДОМЕН и пароль... BASIC auth -ОТКЛЮЧЕНО
в логе сквида смотрите что не так ))))
3607 10.0.14.7 TCP_MISS/206 123887 GET http://au.download.windowsupdate.com/msdownload/updat
e/v3-19990518/cabpool/windows2000-kb935966-x86-rus_96dbb603d39a09413b613e5024fb780318477850.exe APRESS+twoboots DIRECT/213.155.151.153 application/octet-streamФормат имени и домена должен совпадать... уменя например заработало только после того как прописал имя домена заглавными буквами...
30 мая 2007 г. 8:07 -
А можно куски конфигов сквида и smb глянуть?
Неделю уже бьемся, нифига не можем скрестить эти живности...
8 июня 2007 г. 6:50 -
конечно...
еще раз что стоит RHEL4
Samba Version 3.0.23c-SerNet-RedHat
smb.conf
[global]
workgroup = APRESS
server string = Linux proxy
log file = /var/log/samba/log.%m
netbios name = server-proxy
max log size = 50
security = ads
socket options = SO_KEEPALIVE SO_REUSEADDR SO_BROADCAST TCP_NODELAY IPTOS_LOWDELAY IPTOS_THROUGHPUT SO_SNDBUF=50000 SO_RCVBUF=50000
local master = no
os level = 0
domain master = no
preferred master = no
realm = AB.RU
dns proxy = no
password server = 10.0.0.11
encrypt passwords = yes
smb passwd file = /etc/smbpasswd
winbind enum users = yes
winbind enum groups = yes
winbind separator = +
client signing = yes
client use spnego = yes
client schannel = auto
winbind use default domain = no
winbind uid = 10000-20000
winbind gid = 10000-20000
inherit acls = yes
inherit permissions = yes
null passwords = yes
winbind nested groups = yes
name resolve order = wins lmhosts bcastwins server = 10.0.0.4
printcap name = /etc/printcap
load printers = no
cups options = raw[upload]
path = /usr/upload
valid users = +"APRESS+cs"
writable = yes
printable = no
create mask = 0775
browseable = yes
конфига сквида v (squid/2.6.STABLE4): Он у меня сдоровенный, весь писать не буду...auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 35
auth_param ntlm keep_alive onauth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours### DEALAY POOLS ##############################################
delay_pools 2
delay_class 1 2
delay_class 2 2
############################ #########################
### ACL LIST ##########################################
acl all src 0.0.0.0/0.0.0.0
acl example src x.x.x.x/255.255.255.255
acl localhost src 127.0.0.1/255.255.255.255
acl abak src x.x.x.x/255.255.0.0
####### access by IP ####################################
http_access allow localhost
### MANAGER WWW stats ###############################
acl manager proto cache_object
http_access allow manager twoboots
http_access allow manager example
http_access allow manager localhost
##### allow non auth users ################################
Может вот это влияет кстати... у меня метод POST разрешен без аутентификацииacl mpost method POST
acl PURGE method PURGEhttp_access allow mpost abak
http_access allow PURGE localhost##### from DOMAIN group INET-STANDART ##########################
acl sg_squid_access external nt_group inetusers_standart
delay_access 1 allow sg_squid_access abak
delay_parameters 1 384000/384000 64000/20000000 #file>20mb_download_limit_128kb
http_access allow work_time sg_squid_access abak
http_access allow holiday_time sg_squid_access abak
http_access allow localhost
http_access allow example
##### deny all other ###########################################
http_access deny all13 июня 2007 г. 5:01 -
Не похоже, что WSUS ходит из-за разрешенного без аутентификации метода POST. Судя по логам сквда, он сперва долбится CONNECT'ом, потом HEAD'ом, а потом ошибку выдает.
Собственно, вопрос по конфигу сквида. Действительно ли происходит проверка учетных данных пользователей? Может быть, приведены не все строчки из списка контроля доступа? Я не увидел у Вас определения acl proxy_auth. Т.е., хэлперы для NTLM и Basic аутентификации Вы объявили, а вот правило, которое бы проверяло логин пользователя - нет.
Хотелось бы еще увидеть строчку external_acl_type. В той, в которой Вы определяете хэлпер для правила acl sg_squid_access external nt_group inetusers_standart.
Откуда сквид берет имя пользователя для проверки в этом правиле, если не было аутентификации пользователя?14 июня 2007 г. 10:17 -
external_acl_type nt_group ttl=120 children=20 %LOGIN /usr/local/squid/libexec/wbinfo_group.pl
то есть у меня сквид пускает пользователей из определенной доменной группы...
вообще конечно у меня несколько доменных групп с разными уровнями доступа на сквиде, но это к делу думаю мало отностится...
что бы это работало недо конечно собирать сквид с параметром --with-external-acl-helpers=wbinfo_group
21 июня 2007 г. 6:49 -
Думаю, тема все еще актуальна, несмотря на дату.
Эта проблема связана с WSUS 3.0 SP1. Возникает на разных прокси производства не Microsoft. Лечится
http://support.microsoft.com/kb/928563
Фикс можно скачать здесь (нужна регистрация).
http://thehotfixshare.net/board/index.php?showtopic=3384- Помечено в качестве ответа Vinokurov YuriyModerator 1 октября 2009 г. 10:37
16 апреля 2008 г. 7:25 -
The error returned was:
Sorry, the link that brought you to this page seems to be out of date or broken.
мдя, линк похоже умер...
дайте другой! -)
1 октября 2008 г. 8:57 -
Сегодня, после обновления WSUS SP1 до SP2 возникла аналогичная ситуация - ошибка 407.
Авторизация на SQUID по ip.
Решилась следующим образом:
ввод ручками настройки во WSUS прокси-сервера не помог.
proxycfg показал, что в WinHTTP доступ в интернет - прямой
proxycfg -u взял настройки прокси из IE
после этого WSUS успешно подключился к серверу обновлений Microsoft
proxycfg -d вернул предыдущие настройки WinHTTP
Дальше всё обновляется без проблем. Синхронизация с сервером обновлений Microsoft проходит успешно.- Помечено в качестве ответа Vinokurov YuriyModerator 1 октября 2009 г. 10:37
30 сентября 2009 г. 8:43