Обновление Windows XP / 7 / 8 / 2003 / 2008 / 2012 через прокси-сервер

Если у Вас используется подключение к интернету через прокси сервер (например, в том случае, если Вы работаете в организации), то Windows не всегда может произвести обновление: время от времени он «ругается» на отсутствие подключения к серверам Microsoft, и выдает другие непонятные ошибки.

Для скачивания обновлений Windows использует службу WinHTTP. Для того, чтобы настроить её для использования прокси сервера, воспользуемся утилитой netsh.

Используйте команды show proxy, set proxy, reset proxy и import proxy в контексте winhttp, для просмотра / настройки / сброса / импорта параметров прокси-сервера. После каждой из команд можно вводить вопросительный знак, чтобы просмотреть её синтаксис:

netsh winhttp show proxy /?
netsh winhttp set proxy /?
netsh winhttp reset proxy /?
netsh winhttp import proxy /?

Узнать текущие настройки прокси для WinHTTP

Чтобы узнать, какие настройки прокси используются WinHTTP в текущий момент, выполните из командной строки (в Windows Vista и выше — от имени администратора):
netsh winhttp show proxy

Включить использование прокси-сервера для WinHTTP

Чтобы включить использование proxy сервера для загрузки обновлений Windows, выполните из командной строки (в Windows Vista и выше — от имени администратора):
netsh winhttp set proxy myproxy.ru:8080

Импорт параметров proxy-сервера из браузера Internet Explorer

Вы также можете сделать импорт параметров прокси-сервера, прописанного в системных настройках Windows (т.е. в браузере Internet Explorer). Для этого выполните следующую команду (в Windows Vista и выше — от имени администратора):
netsh winhttp import proxy source=ie

Если прокси-сервер требует авторизации

В случае, если прокси-сервер требует авторизации, есть 2 способа решения проблемы:

1. Открыть браузер Internet Explorer, прописать там использование прокси-сервера, и открыть какой-либо сайт (введя логин и пароль для использования прокси. И не закрывая браузер, запустить проверку обновлений (либо после ввода логина и пароля поставить галочку «запомнить пароль»).
2. Добавить параметры авторизации для прокси-сервера в список сетевых паролей в Windows.

Отключить использование прокси сервера в WinHTTP

Для отключения использования прокси сервера (чтобы обновления Windows скачивались напрямую), выполните из командной строки (в Windows Vista и выше — от имени администратора):
netsh winhttp reset proxy

Windows Server 2016 не скачивает обновления через прокси

Обнаружил одну интересную особенность в службе обновлений Windows Server 2016. В том случае, если у вас не используется внутренний WSUS сервер, и ОС должна обновляться напрямую с серверов Windows Update в Интернет, то при использовании прокси-сервера для доступа наружу, при попытке загрузить обновления через центр обновлений, в Windows Server 2016 процесс загрузки зависает на этапе скачивания апдейтов на 0% (Downloading Updates 0%).

Что интересно, клиенту Windows Update удалось отправить/загрузить метаданные обновлений (список необходимых обновлений успешно сформировался), но ни одно из них не загружается.
Сформируем и откроем журнал WindowsUpdate.log с помощью командлета Get-WindowsUpdateLog.

Как вы видите, BITS не может закачать файлы с ошибкой 80246008.

Как оказалось, простая установка параметров прокси-сервера для Internet Explorer в Windows Server 2016 RTM (10.0.14393) не работает так, как в предыдущих версиях Windows. Чтобы клиент Windows Update в Windows Server 2016 мог получать доступ в Интернет через прокси, нужно принудительно указать системный прокси для winhttp.

Выведем текущие настройки прокси-сервера для WinHTTP:

netsh winhttp show proxy

Direct access (no proxy server).

Как вы видите, параметры прокси-сервера для WinHTTP не заданы указаны.

Задать настройки системного прокси для WinHTTP можно так:

netsh winhttp set proxy proxy-server=»192.168.0.14:3128″ bypass-list=»*.winitpro.ru»

Или так, импортировав настройки из IE (настройки прокси в Internet Explorer нужно предварительно задать вручную или настроить через GPO):

netsh winhttp import proxy source=ie

После изменения настроек прокси службу Windows Update нужно перезапустить:

После того, как были указан прокси для WinHTTP, Windows Server 2016 начал закачивать обновления с узлов Windows Update.

Аналогичной проблеме подвержена RTM версия Windows 10.

Также не забудьте, что вы не сможете получать обновления через прокси сервер с авторизацией, т.к. клиент Windows Update не поддерживает возможность авторизации на прокси (в отличии от PowerShell). Чтобы корректно работала служба обновлений Windows, нужно на прокси сервере разрешить анонимный доступ к серверам обновлений Microsoft. Список URL указан ниже:

• update.microsoft.com
• * .update.microsoft.com
• download.windowsupdate.com
• * .download.windowsupdate.com
• download.microsoft.com
• * .download.microsoft.com
• windowsupdate.com
• * .windowsupdate.com
• ntservicepack.microsoft.com
• wustat.windows.com
• mp.microsoft.com
• * .mp.microsoft.com

Чтобы корректно работала служба обвинений (последнее слово точно должно быть таким?)

А то! Вы обвиняетесь в том, что давно не обновляетесь!

Скорее так:
Вы обвиняетесь в том, что используете процессор не последнего поколения и приговариваетесь к отключению от обновлений!

На самом деле это довольно логично. Ведь если на машине не залогинен никакой пользователь, то откуда брать настройки прокси? Если же мы говорим о сервере, то чаще всего там ситуация именно такая. Следовательно если настроить автоматическое получение обновлений, то работать оно не сможет т.к. нет залогиненого пользователя и нет настроек прокси. Другое дело, что я бы не стал на серверах настраивать автоматическое обновление, но это уже каждый сам решает.
По поводу списка доменов. После _долгих_ экспериментов я пришел к такому списку:
*.microsoft.com
microsoft.com
*.windowsupdate.com
windowsupdate.com
*.trafficmanager.net
trafficmanager.net

Открывать более детально по поддоменам не вижу смысла. Во-первых их там реально много. Во-вторых ну нет ничего страшного если будет доступ к *.microsoft.com, а вот жизнь сисадмину упростит сильно. Я прошу учесть, что такой список родился не на пустом месте, а в результате мониторинга сетевой активности. Дело в том, что система помимо собственно обновлений обращается еще к различным ресурсам (например проверяет списки отозванных сертификатов — CRL). Это тоже важные ресурсы наряду с обновлениями. И я рекомендую открыть анонимный доступ к этим доменам не только с серверов но и с рабочих станций.

И в догонку (хотя это уже не относится к обновлениям). Касаемо загрузки CRL. На машинах с которых идёт активная работа с интернетом (как правило это юзерские машины) системный компонент MicrosoftCryptoAPI постоянно обращается к различным доменам для скачивания CRL. Так вот если используется выход в интернет через прокси, то для корректной работы этого механизма тоже должен быть прописан системный прокси, это во-первых. Во-вторых MicrosoftCryptoAPI обращается к прокси тоже анонимно (за редким исключением). И в-третьих всё это усугубляется тем, что доменов куда он может обратится множество. Таким образом если прокся не выпустит анонимные обращения от MicrosoftCryptoAPI, то система проверки отзыва сертификатов функционировать не будет. Причём это не вызывает никаких видимых эффектов. Просто тихо не работает и всё. Чем это грозит и насколько критично каждый пусть сам додумает.

Грозит это «разными тупняками системы» при работе с сетью, локальной в том числе. Сам видел как ОС призадумываются, ожидая получения CRL или отбоя по таймауту. Причем пути по которым скачиваются эти списки, не только мракософтовские. По внутренним правилам службы ИБ к примеру эти компы вообще не должны иметь выход в инет, а работать (нормально, без тормозов) то надо. И это еще цветочки, бывает, что без этих списков , не работают какие-либо сервисы, что логично в принципе.

Как настроить работу Windows Update через прокси-сервер

Ни для кого не секрет, что в том случае, если Ваш ПК с ОС Microsoft выходит в интернет с помощью прокси-сервера, то служба обновления системы Windows Update по-умолчанию не работает. Эта заметка о том, как можно настроить работу системы обновлений Windows на ПК, находящимся за прокси-сервером.

Служба обновлений Windows Update может использовать HTTP прокси-сервер. Однако указания прокси-сервера в настройках Windows Internet Explorer недостаточно для работы службы обновления через проксю. Дело в том, что Windows Update использует Windows HTTP Services (WinHTTP) для поиска обновления, а для загрузки обновлений используется BITS. Служба Windows Update по-умолчанию настроена так, что всегда пытается попасть на сервер обновлений Microsoft напрямую, не используя прокси-сервер, даже если в настройках Internet Explorer он указан.

Однако данная проблема решаема, достаточно настроить системный WinHttp прокси. В ОС Windows XP/2003 WinHttp прокси задавался с помощью утилиты proxycfg.exe. В новых ОС Windows Vista/7/2008 данная утилита упразднена и настройка WinHttp прокси выполняется при помощи команды netsh.

Настройка выполняется при помощи следующей команды: netsh winhttp set proxy : .

После того, как вы выполните данную команду, ваша ОС Windows 7 будет обновляться, даже находясь за прокси-сервером.

Как вариант, если вы хотите взять настройки прокси из Internet Explorer, можно воспользоваться командой:

Как вариант возможна также ситуация, когда необходимо перенаправить весь трафик, кроме трафика на Microsoft (системные обновления, активация) на прокси-сервер, тогда можно воспользоваться следующей командой обхода прокси для обновлений Windows.

Сделайте обход прокси для активации и обновлений вот так:

Текущие настройки WinHttp можно посмотреть командой:

Сбросить же настройки прокси сервера можно при помощи команды:

Проблемы с обновлением Microsoft Security Essentials через прокси

Аннотация

Если вы хотите обновить Microsoft Security Essentials и используете сеть с прокси-сервером, выполните следующие действия для настройки компьютера. Помните, что Microsoft Security Essentials обеспечивает защиту для настольных компьютеров в домашних условиях или на малых предприятиях. Если ваш бизнес нуждается в улучшенной защите, обратите внимание на Microsoft Forefront.

Решение

Решение 1. Настройка прокси-сервера

Примечание. Microsoft Security Essentials не содержит параметров прокси-сервера для обновления, поэтому значения берутся из свойства браузера Microsoft Internet Explorer.

Чтобы настроить прокси, нажмите кнопку Пуск , введите Internet Explorer в поле поиска и нажмите ВВОД.

Откройте меню Сервис и выберите пункт Свойства обозревателя.

Откройте вкладку Подключения и нажмите кнопку Настройка сети.

В окне Настройка параметров локальной сети снимите флажок Автоматическое определение параметров и щелкните Использовать прокси-сервер для локальных подключений. Введите адрес прокси-сервера в поле Адрес и порт — в поле Порт. Затем нажмите кнопку ОК.

Примечание. в поле Адрес введите веб-адрес прокси-сервера, а в поле Порт — номер порта прокси-сервера.

Если вы используете IP-адрес прокси-сервера, убедитесь, что ведущие нули не указаны. Например, вместо 130.025.000.001 следует ввести 130.25.0.1.

Внимание! Если вы не знаете веб-адрес или номер порта прокси-сервера, обратитесь к администратору сети.

Попробуйте обновить Microsoft Security Essentials.

Внимание! Если вы не можете обновить Microsoft Security Essentials, вы можете сделать это вручную, загрузив исполняемый файл Microsoft Security Essentials.

Решение 2. Обновление через Центр обновления Windows

Если вы используете прокси-аутентификацию по имени пользователя и паролю, вы не можете обновить Microsoft Security Essentials. В этом случае следует использовать Центр обновления Windows. Для этого выполните следующие действия.

Настройте прокси-сервер согласно Решению 1.

Нажмите кнопку «Пуск» и введите в поле поиска Центр обновления Windows. Нажмите ВВОД.

Выберите пункт Проверить наличие обновлений.

Появится всплывающее окно с просьбой ввести имя пользователя и пароль вашего прокси-сервера. Введите данные и нажмите кнопку ОК.

Выберите пункт Имеются дополнительные обновления: XX.

Выберите соответствующие обновления Microsoft Security Essentials и нажмите кнопку ОК.

Нажмите кнопку Установить обновления.

Дождитесь, когда обновления будут установлены.

Решение 3. Изменение уровня безопасности сети

Примечание. Этот вариант подходит для решения проблем только при подключении к прокси-серверам, которые используют старые методы аутентификации. По соображениям безопасности рекомендуется использовать прокси-серверы с NTLMv2. Если вы работаете в сети организации, обратитесь к администратору сети перед изменением параметров.

1. Нажмите кнопку Пуск и введите Администрирование в поле поиска.

2. Выберите пункт Локальная политика безопасности.

3. Выберите пункт Локальные политики.

4. Выберите пункт Параметры безопасности.

5. Для параметра Сетевая безопасность: уровень проверки подлинности диспетчера сети выберите значение Отправлять LM и NTLM — использовать сеансовую безопасность NTLMv2 с согласованием.

Дополнительная информация

Чтобы диагностировать и устранить проблему автоматически, см. статью Не работает обновление Windows, ошибка центра обновления Windows.

Дополнительные сведения о том, как исправить ошибку 0x8024402C при попытке использовать Центр обновления Windows, см. в статье Появление сообщения об ошибке «0x8024402C» при поиске обновлений на веб-узле Windows Update.

Нас интересует ваше мнение! Мы ждем ваших отзывов по данным статьям; их можно ввести в поле для комментариев в нижней части страницы. Ваши отзывы помогают нам повышать качество контента. Заранее спасибо!