Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

• Главная
• Устраняем ошибки Windows Update при работе через прокси-сервер Squid

Устраняем ошибки Windows Update при работе через прокси-сервер Squid

При работе с прокси-сервером Squid вы можете столкнуться с ситуацией, когда служба Windows Update или WSUS перестанут получать обновления. Ситуация действительно неприятная и проявляется она чаще всего уже «по факту», когда клиентские машины перестают получать обновления и нужно срочно принимать меры. Однако такое поведение службы обновления давно известно и отражено в документации. Сегодня мы разберем подробно причину возникновения ошибки и покажем возможные действия по ее устранению.

Внешнее проявление неисправности сводится к тому, что служба Windows Update не может загрузить обновления и сопровождается одним из кодов ошибки:

• 0x80244017
• 0x80244018
• 0x80244019
• 0x8024401B
• 0x80244021

Для ее возникновения требуется сочетание нескольких факторов: наличия в сети прокси-сервера с аутентификацией пользователей и службы WPAD. Неподготовленного администратора данная ошибка застает врасплох, однако существует статья KB896226, которая подробно проливает свет на проблему и способы ее решения:

Чтобы устранить эту проблему, убедитесь, что прокси-сервер или брандмауэр настроены для анонимного доступа к веб-сайту Центра обновления Windows.

Если коротко, то суть происходящих событий следующая: для доступа к серверам Центра обновлений система использует службу Windows HTTP (WinHTTP), которая в свою очередь поддерживает автоматическое получение настроек прокси через WPAD. Т.е. все запросы к серверам обновлений будут автоматически направлены на прокси, это не доставляет проблем до тех пор, пока прокси-сервер не начинает требовать аутентификации клиентов. Службы Windows Update не могут пройти аутентификацию и возникает проблема с получением обновлений.

Чтобы избавиться от этой ошибки следует выполнить рекомендации Microsoft и обеспечить анонимный доступ к серверам обновлений. Сделать это можно достаточно просто и несколькими способами. Рассмотрим их подробнее.

Squid

Система контроля доступа Squid дает в руки администратора мощный инструмент управления и этим следует пользоваться. Тем более что стоящая перед нами задача ничем не отличается от URL-фильтрации по спискам, о которой мы рассказывали ранее.

Создадим отдельный список для служб Windows Update:

и внесем в него следующие записи:

За его основу мы взяли список из KB896226 который актуализировали и дополнили исходя из собственного опыта и наработок коллег.

Теперь создадим элемент ACL для работы со списком:

Для того, чтобы обеспечить анонимный доступ к указанным ресурсам следует создать список доступа и разместить его раньше списков, требующих аутентификацию или производящих авторизацию, лучше всего сделать его одним из первых.

После чего перезапустите прокси-сервер и проверьте доступ к серверам обновлений, он должен восстановиться.

Существует также еще один вариант — направить трафик к серверам обновлений минуя прокси-сервер. В этом нам поможет протокол WPAD, точнее специальные правила в PAC-файле. На наш взгляд этот метод менее предпочтителен, но вполне имеет право на существование.

Для его реализации добавьте в файл wpad.dat следующие инструкции:

Изменения вступают в силу сразу, перезапускать службы не требуется.

При использовании данного метода следует принять во внимание еще один момент — если вы принимали меры по запрету обхода прокси, например, при помощи iptables, то следует явно разрешить соединения к серверам обновлений. На текущий момент указанным серверам соответствуют следующие IP-адреса:

Собственно, поэтому не рекомендуем данный способ, так как поддерживать один список доменных имен для Squid проще, чем два, тем более что соответствие доменных имен IP-адресам может меняться. В любом случае теперь вы понимаете источник проблемы и можете самостоятельно выбрать наиболее предпочтительный способ ее решения.

Дополнительные материалы:

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал:

Как настроить работу Windows Update через прокси-сервер

Ни для кого не секрет, что в том случае, если Ваш ПК с ОС Microsoft выходит в интернет с помощью прокси-сервера, то служба обновления системы Windows Update по-умолчанию не работает. Эта заметка о том, как можно настроить работу системы обновлений Windows на ПК, находящимся за прокси-сервером.

Служба обновлений Windows Update может использовать HTTP прокси-сервер. Однако указания прокси-сервера в настройках Windows Internet Explorer недостаточно для работы службы обновления через проксю. Дело в том, что Windows Update использует Windows HTTP Services (WinHTTP) для поиска обновления, а для загрузки обновлений используется BITS. Служба Windows Update по-умолчанию настроена так, что всегда пытается попасть на сервер обновлений Microsoft напрямую, не используя прокси-сервер, даже если в настройках Internet Explorer он указан.

Однако данная проблема решаема, достаточно настроить системный WinHttp прокси. В ОС Windows XP/2003 WinHttp прокси задавался с помощью утилиты proxycfg.exe. В новых ОС Windows Vista/7/2008 данная утилита упразднена и настройка WinHttp прокси выполняется при помощи команды netsh.

Настройка выполняется при помощи следующей команды: netsh winhttp set proxy : .

После того, как вы выполните данную команду, ваша ОС Windows 7 будет обновляться, даже находясь за прокси-сервером.

Как вариант, если вы хотите взять настройки прокси из Internet Explorer, можно воспользоваться командой:

Как вариант возможна также ситуация, когда необходимо перенаправить весь трафик, кроме трафика на Microsoft (системные обновления, активация) на прокси-сервер, тогда можно воспользоваться следующей командой обхода прокси для обновлений Windows.

Сделайте обход прокси для активации и обновлений вот так:

Текущие настройки WinHttp можно посмотреть командой:

Сбросить же настройки прокси сервера можно при помощи команды:

Как клиент Windows Update определяет, какой прокси-сервер использовать для подключения к веб-узлу Windows Update

Введение

Для поиска доступных обновлений клиентская программа Microsoft Windows Update использует службы WinHTTP (Microsoft Windows HTTP Services). Кроме того, при загрузке этих обновлений клиент Windows Update использует фоновую интеллектуальную службу передачи (Background Intelligent Transfer Service, BITS). Службы WinHTTP и BITS работают независимо от обозревателя Microsoft Internet Explorer. Обе эти службы должны обнаружить прокси-серверы, доступные в существующем окружении. В данной статье описываются различные методы обнаружения доступных прокси-серверов. Кроме того, данная статья рассматривает ситуации, при которых клиент Windows Update использует определенные методы обнаружения прокси-серверов.

Дополнительная информация

Служба автоматического обновления настроена для загрузки и установки обновлений с веб-узла Microsoft Windows Update

Служба автоматического обновления автоматически загружает и устанавливает обновления с веб-узла Windows Update. Служба автоматического обновления не требует вмешательства пользователя, поскольку она работает в контексте локальной системной учетной записи. Служба автоматического обновления не имеет доступа к настройкам прокси-сервера определенного пользователя, которые можно изменить в обозревателе Internet Explorer. Служба автоматического обновления может только обнаружить прокси-сервер, используя один из следующих способов.

Прокси-сервер настраивается вручную с использованием средства Proxycfg.exe. Дополнительные сведения об использовании программы Proxycfg.exe см. в следующей статье базы знаний Майкрософт:

289481 Для работы ServerXMLHTTP, возможно, потребуется запустить программу Proxycfg (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Параметры функции автоматического поиска прокси-сервера (Web Proxy Auto Detect, WPAD) настраиваются в одном из следующих расположений сетевого окружения.

Параметры службы доменных имен (DNS)

Параметры протокола DHCP (Dynamic Host Configuration Protocol)

Дополнительные сведения по этой теме см. в следующей статье базы знаний Майкрософт:

816320 Как настроить автоматическое обнаружение клиентов брандмауэра и веб прокси-сервера в Windows Server 2003 (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Для доступа к веб-узлу Windows Update используется обозреватель Internet Explorer

При использовании обозревателя Internet Explorer для доступа к веб-узлу Windows Update клиентская программа Windows Update обнаруживает прокси-сервер, используя следующие способы в порядке их представления.

Способ 1. Обозреватель Internet Explorer настроен на автоматическое определение параметров

Если в обозревателе Internet Explorer установлен флажок Автоматическое определение параметров, для обнаружения прокси-сервера клиент Windows Update использует средство WPAD. Чтобы проверить настройки параметра Автоматическое определение параметров, выполните следующие действия.

Запустите Internet Explorer.

В меню Сервис выберите команду Свойства обозревателя.

Перейдите на вкладку Подключения.

Для подключения к Интернету через прокси-сервер по локальной сети нажмите кнопку Настройка сети. При подключении к Интернету через прокси-сервер по удаленному или VPN-соединению выберите это соединение, а затем нажмите кнопку Настройка.

Дополнительные сведения по этой теме см. в следующей статье базы знаний Майкрософт:

816320 Как настроить автоматическое обнаружение клиентов брандмауэра и веб прокси-сервера в Windows Server 2003 (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Способ 2. Обозреватель Internet Explorer настроен на использование сценария автоматической настройки

При выполнении следующих условий клиент Windows Update обнаруживает прокси-сервер посредством обработки сценария автоматической настройки.

Обозреватель Internet Explorer не может обнаружить прокси-сервер с помощью способа 1.

В настройках обозревателя Internet Explorer установлен флажок Использовать сценарий автоматической настройки.

Чтобы проверить настройки параметра Использовать сценарий автоматической настройки, выполните следующие действия:

Запустите Internet Explorer.

В меню Сервис выберите команду Свойства обозревателя.

Перейдите на вкладку Подключения.

Для подключения к Интернету через прокси-сервер по локальной сети нажмите кнопку Настройка сети. При подключении к Интернету через прокси-сервер по удаленному или VPN-соединению выберите это соединение, а затем нажмите кнопку Настройка.

Способ 3. Обозреватель Internet Explorer настроен на использование выбранного пользователем значения прокси-сервера

При выполнении следующих условий клиент Windows Update использует для подключения к Интернету прокси-сервер, выбранный пользователем.

Клиент Windows Update не может обнаружить прокси-сервер с помощью автоматического определения или сценария автоматической настройки.

Прокси-сервер задан в настройках обозревателя Internet Explorer.

Чтобы просмотреть значение прокси-сервера, выбранного пользователем, выполните следующие действия.

Запустите Internet Explorer.

В меню Сервис выберите команду Свойства обозревателя.

Перейдите на вкладку Подключения.

Для подключения к Интернету через прокси-сервер по локальной сети нажмите кнопку Настройка сети. При подключении к Интернету через прокси-сервер по удаленному или VPN-соединению выберите это соединение, а затем нажмите кнопку Настройка.

Запомните значение, указанное в поле Адрес группы Прокси-сервер.

Способ 4. Прокси-сервер не указан в настройках обозревателя Internet Explorer

Если в настройках обозревателя Internet Explorer не указан прокси-сервер, клиент Windows Update использует прокси-сервер, настроенный с помощью программы Proxycfg.exe. Дополнительные сведения об использовании программы Proxycfg.exe см. в следующей статье базы знаний Майкрософт:

289481 Для работы ServerXMLHTTP, возможно, потребуется запустить программу Proxycfg (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Способ 5. Прокси-сервер не настроен

При выполнении следующих условий клиент Windows Update пытается подключиться к веб-узлу Windows Update непосредственно.

Прокси-сервер не настраивался с помощью средства Proxycfg.exe.

Прокси-сервер не настраивался вручную в настройках обозревателя Internet Explorer.

В данном случае, если для подключения к Интернету требуется прокси-сервер, клиенту Windows Update не удается успешно подключиться к веб-узлу Windows Update.

Описание средства автоматического поиска прокси-сервера (WPAD)

Средство WPAD позволяет службам обнаружить доступный прокси-сервер с помощью запроса DHCP либо с помощью обнаружения определенной записи DNS. Дополнительные сведения о преимуществах и недостатках использования DNS вместо DHCP для WPAD см. в следующей статье базы знаний Майкрософт:

816320 Как настроить автоматическое обнаружение клиентов брандмауэра и веб прокси-сервера в Windows Server 2003 (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Описание средства Proxycfg.exe

Средство Proxycfg.exe настраивает WinHTTP на использование определенного прокси-сервера посредством изменения следующей записи регистра:

HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\WinHttpSettingsСредство Proxycfg.exe полезно в том случае, когда применение WPAD невозможно. Кроме того, это средство можно использовать для обнаружения и устранения проблем с обнаружением прокси-сервера в сети. В подобной ситуации это средство можно использовать для подтверждения того, что проблема возникла из-за невозможности обнаружения прокси-сервера с помощью других способов, например, WPAD. Дополнительные сведения по этой теме см. в следующей статье базы знаний Майкрософт:

298481 Для работы ServerXMLHTTP, возможно, потребуется запустить программу Proxycfg (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Для просмотра параметров командной строки, поддерживаемой средством Proxycfg.exe, введите proxycfg.exe /? в командной строке и нажмите кнопку ВВОД. При запуске команды proxycfg.exe без использования параметров командной строки отображаются текущие настройки. В данной ситуации получаемые результаты будут иметь следующий вид.

Прокси-сервер не настраивался

Прокси-сервер настраивался

Как настроить прокси-сервер с помощью средства Proxycfg.exe

Чтобы использовать программу Proxycfg.exe для настройки прокси-сервера, выполните следующие действия.

Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК.

В командной строке введите proxycfg -p имя_прокси-сервера: номер_порта и нажмите клавишу ВВОД. В командной строке, замените имя_прокси-сервера полным доменным именем прокси-сервера. Замените номер_порта номером порта, для которого настраивается прокси-сервер. Например, замените имя_прокси-сервера на прокси. имя_домена. имя_домена. com и замените номер_порта на 80.

В случае успешной настройки прокси-сервера отображаются следующие результаты:

Как удалить прокси-сервер с помощью средства Proxycfg.exe

Чтобы использовать программу Proxycfg.exe для удаления прокси-сервера и настройки «прямого доступа» к Интернету, выполните следующие действия.

Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК.

В командной строке введите proxycfg -D и нажмите клавишу ВВОД.

Примечание. При выполнении одного из следующих условий прокси-сервер не отображается в результатах выполнения команды proxycfg.exe.

Прокси-сервер настроен вручную в настройках обозревателя Internet Explorer.

Прокси-сервер настроен с использованием сценария конфигурации.

Команда proxycfg.exe используется только для ручной настройки прокси-сервера, используемого WinHTTP. При использовании WPAD или обозревателя Internet Explorer для указания прокси-сервера результаты команды proxycfg.exe должны отражать значение параметра Прямой доступ (без прокси-сервера).

Поддерживаемые файлы PAC

Дополнительные сведения о поддерживаемых типах файлов PAC см. на следующей странице веб-узла корпорации Майкрософт: