Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 5 replies
  • Subscribers 0 subscribers
  • Views 2766 views
  • Users 0 members are here
Options
Suggested

[9.000][ANSWERED] Windows Update

weather15
After installing UTM 9 it appears that Windows update will not check for updates when the Web Proxy is set in transparent mode and SSL Scanning is enabled with the proxy CA imported as a Trusted Root Certificate Authority. Upon checking for updates I get error code 80072ee2. Without UTM 9 there are no errors checking for updates.

--Update--
I have now gone to every computer on my network and this happens on each and every one of them. When I connect a PC directly up to my cable modem there is no problem at all.
Parents
  • 0
    Upon researching the error code I have learned that a firewall exception has to be created for the following 
    http://*.update.microsoft.com

    https://*.update.microsoft.com

    http://download.windowsupdate.com . There is already one, that is included by default. I'm not sure what the problem is here but it seems that it is solved in most cases by bypassing the proxy. I wonder if the SSL scanning is the problem. Maybe Windows update now checks to make sure that the certificate is a valid Windows Update certificate after malware was distributed through Windows Update.
  • 0 in reply to weather15
    Upon researching the error code I have learned that a firewall exception has to be created for the following
    http://*.update.microsoft.com

    https://*.update.microsoft.com

    http://download.windowsupdate.com . There is already one, that is included by default. I'm not sure what the problem is here but it seems that it is solved in most cases by bypassing the proxy. I wonder if the SSL scanning is the problem. Maybe Windows update now checks to make sure that the certificate is a valid Windows Update certificate after malware was distributed through Windows Update.


    I've posted the solution in another thread here in the forum. With transparent proxy and HTTPS scanning turned on you have to add a DNS host update.microsoft.com into the transparent destination skiplist in the advanced section ot the webproxy, which should solve your issue...

    /Sascha

    Wer Schreibfehler findet, darf sie behalten. Wenn ich via IPad poste, sind Verschreiber und grammatikalische Aussetzer irgendwie an der Tagesordnung.
  • 0 in reply to Sascha Paris
    I've posted the solution in another thread here in the forum. With transparent proxy and HTTPS scanning turned on you have to add a DNS host update.microsoft.com into the transparent destination skiplist in the advanced section ot the webproxy, which should solve your issue...

    /Sascha

    Wer Schreibfehler findet, darf sie behalten. Wenn ich via IPad poste, sind Verschreiber und grammatikalische Aussetzer irgendwie an der Tagesordnung.


    I gave that a try without luck. Then I decided to give my theory a shot that it was a certificate problem. I then changed the included Microsoft Windows Update rule to disable SSL Scanning. Once I did Windows Update began working again. Maybe the disable SSL Scanning should be included with the default rule. I'm now using the proxy in the standard mode and the issue also comes up there unless you disable SSL Scanning in the Microsoft Windows Update rule.
Reply
  • 0 in reply to Sascha Paris
    I've posted the solution in another thread here in the forum. With transparent proxy and HTTPS scanning turned on you have to add a DNS host update.microsoft.com into the transparent destination skiplist in the advanced section ot the webproxy, which should solve your issue...

    /Sascha

    Wer Schreibfehler findet, darf sie behalten. Wenn ich via IPad poste, sind Verschreiber und grammatikalische Aussetzer irgendwie an der Tagesordnung.


    I gave that a try without luck. Then I decided to give my theory a shot that it was a certificate problem. I then changed the included Microsoft Windows Update rule to disable SSL Scanning. Once I did Windows Update began working again. Maybe the disable SSL Scanning should be included with the default rule. I'm now using the proxy in the standard mode and the issue also comes up there unless you disable SSL Scanning in the Microsoft Windows Update rule.
Children
No Data
Unfiltered HTML