Обновление Windows XP / 7 / 8 / 2003 / 2008 / 2012 через прокси-сервер

Если у Вас используется подключение к интернету через прокси сервер (например, в том случае, если Вы работаете в организации), то Windows не всегда может произвести обновление: время от времени он «ругается» на отсутствие подключения к серверам Microsoft, и выдает другие непонятные ошибки.

Для скачивания обновлений Windows использует службу WinHTTP. Для того, чтобы настроить её для использования прокси сервера, воспользуемся утилитой netsh.

Используйте команды show proxy, set proxy, reset proxy и import proxy в контексте winhttp, для просмотра / настройки / сброса / импорта параметров прокси-сервера. После каждой из команд можно вводить вопросительный знак, чтобы просмотреть её синтаксис:

netsh winhttp show proxy /?
netsh winhttp set proxy /?
netsh winhttp reset proxy /?
netsh winhttp import proxy /?

Узнать текущие настройки прокси для WinHTTP

Чтобы узнать, какие настройки прокси используются WinHTTP в текущий момент, выполните из командной строки (в Windows Vista и выше — от имени администратора):
netsh winhttp show proxy

Включить использование прокси-сервера для WinHTTP

Чтобы включить использование proxy сервера для загрузки обновлений Windows, выполните из командной строки (в Windows Vista и выше — от имени администратора):
netsh winhttp set proxy myproxy.ru:8080

Импорт параметров proxy-сервера из браузера Internet Explorer

Вы также можете сделать импорт параметров прокси-сервера, прописанного в системных настройках Windows (т.е. в браузере Internet Explorer). Для этого выполните следующую команду (в Windows Vista и выше — от имени администратора):
netsh winhttp import proxy source=ie

Если прокси-сервер требует авторизации

В случае, если прокси-сервер требует авторизации, есть 2 способа решения проблемы:

1. Открыть браузер Internet Explorer, прописать там использование прокси-сервера, и открыть какой-либо сайт (введя логин и пароль для использования прокси. И не закрывая браузер, запустить проверку обновлений (либо после ввода логина и пароля поставить галочку «запомнить пароль»).
2. Добавить параметры авторизации для прокси-сервера в список сетевых паролей в Windows.

Отключить использование прокси сервера в WinHTTP

Для отключения использования прокси сервера (чтобы обновления Windows скачивались напрямую), выполните из командной строки (в Windows Vista и выше — от имени администратора):
netsh winhttp reset proxy

Как настроить работу Windows Update через прокси-сервер

Ни для кого не секрет, что в том случае, если Ваш ПК с ОС Microsoft выходит в интернет с помощью прокси-сервера, то служба обновления системы Windows Update по-умолчанию не работает. Эта заметка о том, как можно настроить работу системы обновлений Windows на ПК, находящимся за прокси-сервером.

Служба обновлений Windows Update может использовать HTTP прокси-сервер. Однако указания прокси-сервера в настройках Windows Internet Explorer недостаточно для работы службы обновления через проксю. Дело в том, что Windows Update использует Windows HTTP Services (WinHTTP) для поиска обновления, а для загрузки обновлений используется BITS. Служба Windows Update по-умолчанию настроена так, что всегда пытается попасть на сервер обновлений Microsoft напрямую, не используя прокси-сервер, даже если в настройках Internet Explorer он указан.

Однако данная проблема решаема, достаточно настроить системный WinHttp прокси. В ОС Windows XP/2003 WinHttp прокси задавался с помощью утилиты proxycfg.exe. В новых ОС Windows Vista/7/2008 данная утилита упразднена и настройка WinHttp прокси выполняется при помощи команды netsh.

Настройка выполняется при помощи следующей команды: netsh winhttp set proxy : .

После того, как вы выполните данную команду, ваша ОС Windows 7 будет обновляться, даже находясь за прокси-сервером.

Как вариант, если вы хотите взять настройки прокси из Internet Explorer, можно воспользоваться командой:

Как вариант возможна также ситуация, когда необходимо перенаправить весь трафик, кроме трафика на Microsoft (системные обновления, активация) на прокси-сервер, тогда можно воспользоваться следующей командой обхода прокси для обновлений Windows.

Сделайте обход прокси для активации и обновлений вот так:

Текущие настройки WinHttp можно посмотреть командой:

Сбросить же настройки прокси сервера можно при помощи команды:

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

• Главная
• Устраняем ошибки Windows Update при работе через прокси-сервер Squid

Устраняем ошибки Windows Update при работе через прокси-сервер Squid

При работе с прокси-сервером Squid вы можете столкнуться с ситуацией, когда служба Windows Update или WSUS перестанут получать обновления. Ситуация действительно неприятная и проявляется она чаще всего уже «по факту», когда клиентские машины перестают получать обновления и нужно срочно принимать меры. Однако такое поведение службы обновления давно известно и отражено в документации. Сегодня мы разберем подробно причину возникновения ошибки и покажем возможные действия по ее устранению.

Внешнее проявление неисправности сводится к тому, что служба Windows Update не может загрузить обновления и сопровождается одним из кодов ошибки:

• 0x80244017
• 0x80244018
• 0x80244019
• 0x8024401B
• 0x80244021

Для ее возникновения требуется сочетание нескольких факторов: наличия в сети прокси-сервера с аутентификацией пользователей и службы WPAD. Неподготовленного администратора данная ошибка застает врасплох, однако существует статья KB896226, которая подробно проливает свет на проблему и способы ее решения:

Чтобы устранить эту проблему, убедитесь, что прокси-сервер или брандмауэр настроены для анонимного доступа к веб-сайту Центра обновления Windows.

Если коротко, то суть происходящих событий следующая: для доступа к серверам Центра обновлений система использует службу Windows HTTP (WinHTTP), которая в свою очередь поддерживает автоматическое получение настроек прокси через WPAD. Т.е. все запросы к серверам обновлений будут автоматически направлены на прокси, это не доставляет проблем до тех пор, пока прокси-сервер не начинает требовать аутентификации клиентов. Службы Windows Update не могут пройти аутентификацию и возникает проблема с получением обновлений.

Чтобы избавиться от этой ошибки следует выполнить рекомендации Microsoft и обеспечить анонимный доступ к серверам обновлений. Сделать это можно достаточно просто и несколькими способами. Рассмотрим их подробнее.

Squid

Система контроля доступа Squid дает в руки администратора мощный инструмент управления и этим следует пользоваться. Тем более что стоящая перед нами задача ничем не отличается от URL-фильтрации по спискам, о которой мы рассказывали ранее.

Создадим отдельный список для служб Windows Update:

и внесем в него следующие записи:

За его основу мы взяли список из KB896226 который актуализировали и дополнили исходя из собственного опыта и наработок коллег.

Теперь создадим элемент ACL для работы со списком:

Для того, чтобы обеспечить анонимный доступ к указанным ресурсам следует создать список доступа и разместить его раньше списков, требующих аутентификацию или производящих авторизацию, лучше всего сделать его одним из первых.

После чего перезапустите прокси-сервер и проверьте доступ к серверам обновлений, он должен восстановиться.

Существует также еще один вариант — направить трафик к серверам обновлений минуя прокси-сервер. В этом нам поможет протокол WPAD, точнее специальные правила в PAC-файле. На наш взгляд этот метод менее предпочтителен, но вполне имеет право на существование.

Для его реализации добавьте в файл wpad.dat следующие инструкции:

Изменения вступают в силу сразу, перезапускать службы не требуется.

При использовании данного метода следует принять во внимание еще один момент — если вы принимали меры по запрету обхода прокси, например, при помощи iptables, то следует явно разрешить соединения к серверам обновлений. На текущий момент указанным серверам соответствуют следующие IP-адреса:

Собственно, поэтому не рекомендуем данный способ, так как поддерживать один список доменных имен для Squid проще, чем два, тем более что соответствие доменных имен IP-адресам может меняться. В любом случае теперь вы понимаете источник проблемы и можете самостоятельно выбрать наиболее предпочтительный способ ее решения.

Дополнительные материалы:

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал:

Сообщение об ошибке при использовании центра обновления Windows через прокси-сервер или брандмауэр

Проблемы

При доступе к сайту центра обновления Windows через прокси-сервер или брандмауэр могут возникнуть указанные ниже проблемы.

При попытке получить доступ к обновлениям продукта появляется сообщение об ошибке «не удается отобразить страницу».

При попытке загрузить компоненты появляется сообщение об ошибке «Загрузка и установка завершилась сбоем». При загрузке может не отображаться ход выполнения, прежде чем он перестанет работать.

Сайт перестает отвечать на запросы после «немного подождите. «. Откроется окно, и сайт пытается инициализировать каталог продуктов.

Причина

Эта проблема может возникать, если вы используете одну или несколько из перечисленных ниже программных продуктов.

Программное обеспечение WinProxy-OtitisЧисло конфликтов с WinProxy 3,0 отличается от более ранних версий WinProxy. Существует еще меньше конфликтов с прозрачными прокси-сервером, а не классическим прокси (применимо только к версии 3,0). Дополнительные сведения можно найти на веб-сайте WinProxy по адресу:

WinGate-Deerfield.com Большинство конфликтов возникают в версиях более ранних, чем 3.0. Дополнительные сведения можно найти на веб-сайте WinGate по адресу:

Шлюз Интернета — MaccaSoftMaccaSoft распространяет программное обеспечение шлюза через Интернет с помощью BMT Micro, Inc. и Indelible Blue, но поддержка предоставляется через MaccaSoft.

Такое поведение возможно в следующих случаях.

Прокси-сервер кэширует страницу центра обновления Windows и связанные с ней файлы. Это не позволит правильной установке и инициализации элемента управления ActiveX, который используется каталогом продуктов Windows Update для создания на клиентских компьютерах.

Порт 80 или 443 закрыт. Для центра обновления Windows требуются оба соединения HTTP и HTTPS.

Клиентские компьютеры не настроены для разрешения активных сценариев, а также загрузки и инициализации элементов ActiveX.

Способ

Для решения проблемы выполните следующие действия:

Очистите кэш прокси-сервера и настройте его, чтобы исключить сайт центра обновления Windows. Примечание. Если вам нужна помощь по настройке прокси-сервера или брандмауэра, обратитесь к документации по программному обеспечению или свяжитесь с производителем программного обеспечения.

Откройте порт 80.

Добавление центра обновления Windows в зону надежных сайтов.

Для правильной передачи файлов ActiveX на компьютер необходимо настроить параметры безопасности в Microsoft Internet Explorer на среднем или ниже. При уменьшении параметров безопасности вы влияет только на веб-сайты, которые указаны в зоне надежных сайтов Internet Explorer. Текущие параметры безопасности для всех веб-сайтов остаются настроенными на данный момент. Чтобы настроить параметры безопасности в Internet Explorer, выполните указанные ниже действия.

В Internet Explorer в меню Сервисвыберите пункт Свойства обозревателя, а затем — Безопасность.

Нажмите кнопку зона надежных сайтови выберите пункт сайты.

Снимите флажки требуется проверка серверов (HTTPS:). флажок «для всех сайтов в этой зоне «.

В текстовом поле Добавить этот веб-сайт в зону: введите http://*. Microsoft. comи нажмите кнопку добавить.

Нажмите кнопку ОК.

Нажмите кнопку другой уровеньи выберите включить для следующих элементов:

Скачивание подписанных элементов ActiveX.

Скачайте неподписанные элементы ActiveX.

Инициализировать и выполнять сценарии элементов ActiveX, не помеченных как безопасные.

Запускать элементы ActiveX и подключаемые модули.

Выполнять сценарии элементов ActiveX, помеченные как безопасные.

Дважды нажмите кнопку ОК , чтобы закрыть окно свойств Интернет.

Чтобы получить дополнительные сведения о настройке безопасности Internet Explorer, щелкните следующий номер статьи базы знаний Майкрософт:

174360 Использование зон безопасности в Internet Explorer

Почему Windows Server 2016 не качает обновления через прокси-сервер

Обнаружил одну интересную особенность в службе обновлений Windows Server 2016. В том случае, если у вас не используется внутренний WSUS сервер, и ОС должна обновляться напрямую с серверов Windows Update в Интернет, то при использовании прокси-сервера для доступа наружу, при попытке загрузить обновления через центр обновлений, в Windows Server 2016 процесс загрузки зависает на этапе скачивания апдейтов на 0% (Downloading Updates 0%).

Что интересно, клиенту Windows Update удалось отправить/загрузить метаданные обновлений (список необходимых обновлений успешно сформировался), но ни одно из них не загружается.
Сформируем и откроем журнал WindowsUpdate.log с помощью командлета Get-WindowsUpdateLog .

2018/06/04 16:24:21.8312332 588 4116 DownloadManager BITS job initialized: JobId =
2018/06/04 16:24:21.8436054 588 4116 DownloadManager Downloading from http://download.windowsupdate.com/c/msdownload/update/software/defu/2017/09/nis_engine_1af0e4b80bf4028f8dac56ebf186b392e4e72486.exe to C:\Windows\SoftwareDistribution\Download\f71ddf93ec2d087c819cf75c55ddfda2\1af0e4b80bf4028f8dac56ebf186b392e4e72486 (full file)
2018/06/04 16:24:21.8452605 588 4116 DownloadManager New download job for UpdateId F608EDA4-2E84-433A-A8C9-8117411F91A8.200
2018/06/04 16:24:21.8545291 588 4116 DownloadManager Download job E3AA21C9B-4BC2-443E-2342-8F693CE1443E resumed.
2018/06/04 16:24:21.8734449 588 4116 DownloadManager Failed to connect to the DO service; (hr = 80040154)
2018/06/04 16:24:21.8734462 588 4116 DownloadManager GetDOManager() failed, hr=80246008, hrExtended=80040154
2018/06/04 16:24:21.8734472 588 4116 DownloadManager Failed creating DO job with hr 80246008
2018/06/04 16:24:21.8772521 588 4116 DownloadManager DO download failed with error 80246008[Extended: 80040154], falling back to BITS and retrying with new Download Job.

Как вы видите, BITS не может закачать файлы с ошибкой 80246008 .

Как оказалось, простая установка параметров прокси-сервера для Internet Explorer в Windows Server 2016 RTM (10.0.14393) не работает так, как в предыдущих версиях Windows. Чтобы клиент Windows Update в Windows Server 2016 мог получать доступ в Интернет через прокси, нужно принудительно указать системный прокси для winhttp.

Выведем текущие настройки прокси-сервера для WinHTTP: