none
WSUS 3.0 не ходит через squid RRS feed

  • Вопрос

  • Добрый день!

    Сегодня обновился до 3.0 и в итоге перестала работать синхронизация. Обновление прошло нормально, все настройки сохранились но при попытке синронизироваться с сервером Microsoft выдаётся ошибка "WebException: The remote server returned an error: (407) Proxy Authentication Required.
    at System.Net.HttpWebRequest.GetRequestStream()
       at System.Web.Services.Protocols.SoapHttpClientProtocol.Invoke(String methodName, Object[] parameters)
       at Microsoft.UpdateServices.ServerSyncWebServices.ServerSync.ServerSyncProxy.GetAuthConfig()
       at Microsoft.UpdateServices.ServerSync.ServerSyncLib.InternetGetServerAuthConfig(ServerSyncProxy proxy, WebServiceCommunicationHelper webServiceHelper)
       at Microsoft.UpdateServices.ServerSync.ServerSyncLib.Authenticate(AuthorizationManager authorizationManager, Boolean checkExpiration, ServerSyncProxy proxy, Cookie cookie, WebServiceCommunicationHelper webServiceHelper)
       at Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.SyncConfigUpdatesFromUSS()
       at Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.ExecuteSyncProtocol(Boolean allowRedirect)". На предыдущей версии всё работало замечательно

Ответы

  • Отвечу сам себе. На сквиде надо было использовать basic авторизацию. Для этого надо было поставить имя учетной записи на прокси, поле домена оставить пустым (иначе на прокси оно собирается в такое домен\имя учетной записи, что понятно для прокси только при NTLM авторизации), вводим пароль, и поставить галочку внизу о возможности передачи пароли в открытом виде. Вот такие настройки подошли мне.
  • Думаю, тема все еще актуальна, несмотря на дату.

    Эта проблема связана с WSUS 3.0 SP1. Возникает на разных прокси производства не Microsoft. Лечится
    http://support.microsoft.com/kb/928563
    Фикс можно скачать здесь (нужна регистрация).
    http://thehotfixshare.net/board/index.php?showtopic=3384
    16 апреля 2008 г. 7:25
  • Сегодня, после обновления WSUS SP1 до SP2 возникла аналогичная ситуация - ошибка 407.

    Авторизация на SQUID по ip.
    Решилась следующим образом:

    ввод ручками настройки во WSUS прокси-сервера не помог.
    proxycfg показал, что в WinHTTP доступ в интернет - прямой
    proxycfg -u  взял настройки прокси из IE
    после этого WSUS успешно подключился к серверу обновлений Microsoft
    proxycfg -d вернул предыдущие настройки WinHTTP

    Дальше всё обновляется без проблем. Синхронизация с сервером обновлений Microsoft проходит успешно.
    30 сентября 2009 г. 8:43

Все ответы

  • Вы можете отключить проверку подлинности на прокси для этого сервера?
  • В бета-версии была такая же проблема. В консоли WSUS зайдите на страницу настройки прокси сервера и перебейте заново информацию, особенно пароль. После этого должно заработать.
    Модератор
  • Несколько раз уже перебивал паролль- не помогает. Думаю, как отключить авторизацию
  • По умолчанию WSUS 3.0 использует Integrated авторизацию. Но там есть галочка включения Basic авторизации - она то уж точно должна работать в SQUID, если вы в нем не настроили поддержку виндусовой авторизации.
    Модератор
  • У меня настроена интеграция squid и AD, браузеры ходят нормально, а эта ерунда ну ни в какую
  • У меня идет через ISA с виндовс авторизацией без проблем. Смотрите логи SQUID.
    Модератор
  • Проблема решилась? А то у меня ситуация один в один.. пока разобраться не могу Sad
  • Отвечу сам себе. На сквиде надо было использовать basic авторизацию. Для этого надо было поставить имя учетной записи на прокси, поле домена оставить пустым (иначе на прокси оно собирается в такое домен\имя учетной записи, что понятно для прокси только при NTLM авторизации), вводим пароль, и поставить галочку внизу о возможности передачи пароли в открытом виде. Вот такие настройки подошли мне.
  • Не подошло

    Судя по логам squid'а wsus вообще не делает попыток авторизации на прокси

    1178514400.524      3 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
    1178514400.538      3 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
    1178514400.560      2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
    1178514400.574      3 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
    1178514400.596      2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
    1178514400.610      2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
    1178514400.632      2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
    1178514400.646      4 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
    1178514400.944    291 192.168.1.5 TCP_MISS/200 10226 GET
    http://download.windowsupdate.com/v7/wsus/redir/wsusredir.cab? <username> DIRECT/84.53.135.144 application/octet-stream
    1178514401.450      2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
    1178514401.476      5 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
    1178514401.506      3 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
    1178514401.519      3 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
    1178514401.541      2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
    1178514401.553      3 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
    1178514401.575      2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html
    1178514401.588      2 192.168.1.5 TCP_DENIED/407 1756 CONNECT stats.update.microsoft.com:443 - NONE/- text/html

  • А вы посмотрите ответ SQUID-а снифером. Это прояснит ситуацию в их взаимонепонимании.
    Модератор
  • Сделайте ACL с авторизацией по IP-адресу в squid, что-то вроде

     

    acl wsus src 172.20.1.1

    и добавьте в начало правил

    http_access allow wsus

  • Точно такая же проблема - можете расскажете как у Вас она решилась?=)
  •  

     Здраствуйте!

     А это не проблема BITS? Ведь именно эта служба не ходит через squid.  В wsus 3.0 я отключал ее утилитой wsusdebugtool.exe.

     

      С уважением.

  • Все работает...

     

    использую squid/2.6.STABLE4 и auth  через Winbind 3.0.23c из AD 2003

    в конфиге Smb.conf использую сепаратор + (winbind separator = +)

     

    спокойно прописал

    Use proxy server when sync

    ip-addess, port... имя пользователя, ДОМЕН и пароль... BASIC auth -ОТКЛЮЧЕНО

     

    в логе сквида смотрите что не так ))))

     3607 10.0.14.7 TCP_MISS/206 123887 GET http://au.download.windowsupdate.com/msdownload/updat
    e/v3-19990518/cabpool/windows2000-kb935966-x86-rus_96dbb603d39a09413b613e5024fb780318477850.exe APRESS+twoboots DIRECT/213.155.151.153 application/octet-stream

    Формат имени и домена должен совпадать...  уменя например заработало только после того как прописал имя домена заглавными буквами...

     

  • А можно куски конфигов сквида и smb глянуть?

    Неделю уже бьемся, нифига не можем скрестить эти живности...

  • конечно...

     

    еще раз что стоит RHEL4

    Samba Version 3.0.23c-SerNet-RedHat

    smb.conf

     

    [global]
    workgroup = APRESS
    server string = Linux proxy
    log file = /var/log/samba/log.%m
    netbios name = server-proxy
    max log size = 50
    security = ads
    socket options = SO_KEEPALIVE SO_REUSEADDR SO_BROADCAST TCP_NODELAY IPTOS_LOWDELAY IPTOS_THROUGHPUT SO_SNDBUF=50000 SO_RCVBUF=50000
    local master = no
    os level = 0
    domain master = no
    preferred master = no
    realm = AB.RU
    dns proxy = no
    password server = 10.0.0.11
    encrypt passwords = yes
    smb passwd file = /etc/smbpasswd
    winbind enum users = yes
    winbind enum groups = yes
    winbind separator = +
    client signing = yes
    client use spnego = yes
    client schannel = auto
    winbind use default domain = no
    winbind uid = 10000-20000
    winbind gid = 10000-20000
    inherit acls = yes
    inherit permissions = yes
    null passwords = yes
    winbind nested groups = yes
    name resolve order = wins lmhosts bcast

    wins server = 10.0.0.4
    printcap name = /etc/printcap
    load printers = no
    cups options = raw

    [upload]
    path = /usr/upload
    valid users = +"APRESS+cs"
    writable = yes
    printable = no
    create mask = 0775
    browseable = yes

    конфига сквида v (squid/2.6.STABLE4): Он у меня сдоровенный, весь писать не буду...

     

    auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
    auth_param ntlm children 35
    auth_param ntlm keep_alive on

    auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
    auth_param basic children 10
    auth_param basic realm Squid proxy-caching web server
    auth_param basic credentialsttl 2 hours

     

    ### DEALAY POOLS ##############################################
    delay_pools 2
    delay_class 1 2
    delay_class 2 2
    ############################ #########################


    ### ACL LIST ##########################################
    acl all src 0.0.0.0/0.0.0.0
    acl example src x.x.x.x/255.255.255.255
    acl localhost src 127.0.0.1/255.255.255.255
    acl abak src x.x.x.x/255.255.0.0

    ####### access by IP ####################################

    http_access allow localhost
    ### MANAGER WWW stats ###############################
    acl manager proto cache_object
    http_access allow manager twoboots
    http_access allow manager example
    http_access allow manager localhost
    ##### allow non auth users ################################
     Может вот это влияет кстати... у меня метод POST разрешен без аутентификации

     

    acl mpost method POST
      acl PURGE method PURGE

    http_access allow mpost abak
    http_access allow PURGE localhost

    ##### from DOMAIN group INET-STANDART ##########################
    acl sg_squid_access external nt_group inetusers_standart
    delay_access 1 allow sg_squid_access abak
    delay_parameters 1 384000/384000 64000/20000000  #file>20mb_download_limit_128kb
    http_access allow work_time sg_squid_access abak
    http_access allow holiday_time sg_squid_access abak
    http_access allow localhost
    http_access allow example
    ##### deny all other ###########################################
    http_access deny all


    13 июня 2007 г. 5:01
  • Не похоже, что WSUS ходит из-за разрешенного без аутентификации метода POST. Судя по логам сквда, он сперва долбится CONNECT'ом, потом HEAD'ом, а потом ошибку выдает.
    Собственно, вопрос по конфигу сквида. Действительно ли происходит проверка учетных данных пользователей? Может быть, приведены не все строчки из списка контроля доступа? Я не увидел у Вас определения acl proxy_auth. Т.е., хэлперы для NTLM и Basic аутентификации Вы объявили, а вот правило, которое бы проверяло логин пользователя - нет.
    Хотелось бы еще увидеть строчку external_acl_type. В той, в которой Вы определяете хэлпер для правила acl sg_squid_access external nt_group inetusers_standart.
    Откуда сквид берет имя пользователя для проверки в этом правиле, если не было аутентификации пользователя?

    14 июня 2007 г. 10:17
  • external_acl_type nt_group ttl=120 children=20 %LOGIN /usr/local/squid/libexec/wbinfo_group.pl

    то есть у меня сквид пускает пользователей из определенной доменной группы...

    вообще конечно у меня несколько доменных групп с разными уровнями доступа на сквиде, но это к делу думаю мало отностится...

    что бы это работало недо конечно собирать сквид с параметром --with-external-acl-helpers=wbinfo_group

    21 июня 2007 г. 6:49
  • Думаю, тема все еще актуальна, несмотря на дату.

    Эта проблема связана с WSUS 3.0 SP1. Возникает на разных прокси производства не Microsoft. Лечится
    http://support.microsoft.com/kb/928563
    Фикс можно скачать здесь (нужна регистрация).
    http://thehotfixshare.net/board/index.php?showtopic=3384
    16 апреля 2008 г. 7:25
  • The error returned was:

    Sorry, the link that brought you to this page seems to be out of date or broken.

     

    мдя, линк похоже умер...

    дайте другой! -)

    1 октября 2008 г. 8:57
  • Сегодня, после обновления WSUS SP1 до SP2 возникла аналогичная ситуация - ошибка 407.

    Авторизация на SQUID по ip.
    Решилась следующим образом:

    ввод ручками настройки во WSUS прокси-сервера не помог.
    proxycfg показал, что в WinHTTP доступ в интернет - прямой
    proxycfg -u  взял настройки прокси из IE
    после этого WSUS успешно подключился к серверу обновлений Microsoft
    proxycfg -d вернул предыдущие настройки WinHTTP

    Дальше всё обновляется без проблем. Синхронизация с сервером обновлений Microsoft проходит успешно.
    30 сентября 2009 г. 8:43