Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 1 subscriber
  • Views 9645 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

windowsupdate fails

Arthur.Bommele
Symptoms:
WSUS and manual Windows Update are extremely slow to such a degree that they fail or are otherwise unusable. Downloading .exe, .cab, and so on from other urls then 'download.windowsupdate.com' works just fine.

Situation:
Astaro configuration in question worked fine for months on ends. Now, even with all sorts of exceptions and temporary reconfigurations (like turning AntiVirus and everything else off and/or allowing everything), nothing seems to work.
Astaro HTTP Proxy is in Transparent Operation Mode with Full Transparent Mode turned off. It does not matter if the WSUS server is configured for either proxy use or no proxy use. Outcome is the same. Same goes for using BITSADMIN to force BITS downloads into either proxied or non proxied mode, foreground or background mode.

Assumptions:
It looks like that the Astaro applies a rule set found under the HTTP/S Menu (it does mention all the Exceptions made there), but also applies the rule set found under the HTTP/S Profiles Menu (Default Content Filter Action). However, both are manually configured to always allow 'download.windowsupdate.com'.
Compare these two log entries. What's the difference here? Why is one blocked and the other allowed? 

2010:10:15-10:06:05 ASG110 httpproxy[3948]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="***.***.***.***" user="" statuscode="206" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="265777" time="63914 ms" request="0xaf4aafc8" url="download.windowsupdate.com/.../mpam-d_0e36f3ec55d288cd9a4a264044d5c37cbc417e48.exe" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache" error=""

2010:10:15-10:19:29 ASG110 httpproxy[3948]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="***.***.***.***" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="175404" time="100574 ms" request="0x8cbe8e8" url="download.windowsupdate.com/.../mpam-d_49cac6018dc3364bf4b9ab8596812579842dfce8.exe" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache" error=""


Question:
How do I force the Astaro to always allow everything that comes from 'download.windowsupdate.com' in whatever shape or form? No matter what the Astaro might think of it.

Here are some more Log File entries: 

2010:10:15-10:06:05 ASG110 httpproxy[3948]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="***.***.***.***" user="" statuscode="206" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="265777" time="63914 ms" request="0xaf4aafc8" url="download.windowsupdate.com/.../mpam-d_0e36f3ec55d288cd9a4a264044d5c37cbc417e48.exe" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache" error=""

2010:10:15-10:06:12 ASG110 httpproxy[3948]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="HEAD" srcip="***.***.***.***" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="376 ms" request="0xaf4aafc8" url="download.windowsupdate.com/.../mpam-d_49cac6018dc3364bf4b9ab8596812579842dfce8.exe" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache" error=""



2010:10:15-10:07:38 ASG110 httpproxy[3948]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="***.***.***.***" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="31524" time="86258 ms" request="0xaf4aafc8" url="download.windowsupdate.com/.../mpam-d_49cac6018dc3364bf4b9ab8596812579842dfce8.exe" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache" error=""

2010:10:15-10:17:49 ASG110 httpproxy[3948]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="***.***.***.***" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="59282" time="140701 ms" request="0xaf464758" url="download.windowsupdate.com/.../mpas-fe_c638d2152c77a9a6a518bf2476905bb46e24c0a6.exe" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache" error=""



2010:10:15-10:18:23 ASG110 httpproxy[3948]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="***.***.***.***" user="" statuscode="206" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="17450" time="19263 ms" request="0x8d034e8" url="download.windowsupdate.com/.../asentdat-x64-3.3.9406.504_c11967d45df85ad2419c6c6aa9704f215f0e2cd7.cab" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache" error=""

2010:10:15-10:18:32 ASG110 httpproxy[3948]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="HEAD" srcip="***.***.***.***" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="330 ms" request="0x8d034e8" url="download.windowsupdate.com/.../am_delta_patch1_2f20263612d03864fa61378cccb9bcbe8671bed2.exe" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache" error=""



2010:10:15-10:19:29 ASG110 httpproxy[3948]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="***.***.***.***" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="175404" time="100574 ms" request="0x8cbe8e8" url="download.windowsupdate.com/.../mpam-d_49cac6018dc3364bf4b9ab8596812579842dfce8.exe" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache" error=""



2010:10:15-10:19:33 ASG110 httpproxy[3948]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="***.***.***.***" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="79760" time="60675 ms" request="0x8d034e8" url="download.windowsupdate.com/.../am_delta_patch1_2f20263612d03864fa61378cccb9bcbe8671bed2.exe" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache" error=""

2010:10:15-10:19:42 ASG110 httpproxy[3948]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="HEAD" srcip="***.***.***.***" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="326 ms" request="0x8d034e8" url="download.windowsupdate.com/.../am_delta_patch1_f8b5c64c93896d8317168959172beb7e080f8fa0.exe" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache" error=""



2010:10:15-10:20:35 ASG110 httpproxy[3948]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="***.***.***.***" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="89150" time="78819 ms" request="0xaf4e9600" url="download.windowsupdate.com/.../mpam-fe_325e5902254c107558ea41e6cc6827a072d4671d.exe" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache" error=""

2010:10:15-10:21:19 ASG110 httpproxy[3948]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="***.***.***.***" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="72480" time="96755 ms" request="0x8d034e8" url="download.windowsupdate.com/.../am_delta_patch1_f8b5c64c93896d8317168959172beb7e080f8fa0.exe" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache" error=""


This thread was automatically locked due to age.
  • 0
    I'm still confused that you would have had URLs in the HTTP log that should have been skipped when the servers were in the transparent mode skiplist.

    Yeah, a hardware problem was the only thing left after your last posts yesterday.  The other things you might have done would have been to set eth0 to a fixed speed and/or half-duplex.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    The transparent mode skip list is still there but, although download speeds have significantly increased, I'm still seeing blocking of URLs. As well as noticing that the WSUS fails to synchronize with Microsoft Update on the Internet.
    The WSUS server is question is still manually configured to use the Astaro as a proxy at port 8080.

    However, if I manually go to Microsoft Update I get an Astaro "File not found" error message on my screen.

    And in the Content Log I see lines like these: 

    2010:10:20-20:30:07 ASG110 httpproxy[31852]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="***.***.***.***" user="" statuscode="404" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="2257" time="0 ms" request="0xa5b544a0" url="www.microsoft.com/.../default.mspx" exceptions="" error=""

    2010:10:20-20:34:02 ASG110 httpproxy[31852]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="***.***.***.***" user="" statuscode="404" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="2277" time="0 ms" request="0xa5ce5d38" url="www.update.microsoft.com/.../footer.aspx
  • 0
    So I reconfigured the WSUS server back to its original configuration (not use a proxy) and WSUS synchronization works again. 

    2010:10:20-20:44:31 ASG110 httpproxy[31852]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="HEAD" srcip="***.***.***.***" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="524 ms" request="0xa5b54e50" url="download.windowsupdate.com/.../windows6.0-kb2360131-x64_3d7321229589ed3335a0d413f0474307f3ad71c3.cab" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache" error=""

    2010:10:20-20:44:38 ASG110 httpproxy[31852]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="***.***.***.***" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="155891" time="11657 ms" request="0xa5ce56a0" url="download.windowsupdate.com/.../windows6.1-kb982132-x64_fedb8850b907f3152a7834f15f60e4fb8561167e.cab" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache" error=""


    But, also: 

    2010:10:20-20:46:05 ASG110 httpproxy[31852]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="***.***.***.***" user="" statuscode="404" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="2287" time="0 ms" request="0xa5ffc350" url="download.windowsupdate.com/.../wsusredir.cab


    It's not making sense. At least, not to me.

    Anyway, reseller support contacted Astaro support. Awaiting feedback.
  • 0
    In regards to the transparent skip list issue, it only works if the proxy is in transparent mode. If you have the WSUS server configured to use the proxy on port 8080 the transparent skip list has no effect. 

    Still you should be able to get windows updates if they are exceptions, which the logs seem to indicate there are.
  • 0
    Collisions where also found on the Eth2 of the Astaro. However, that port gives no performance issues.
    Question remains what to do about the Eth0 of the Astaro. Still think it's going to be an RMA but that remains to be seen.
  • 0
    So I reconfigured the WSUS server back to its original configuration (not use a proxy) and WSUS synchronization works again.

    Ahhhh - as dilandau said, configuring your browser to use the Proxy means the items in the 'Transparent mode skiplist' are not considered, and you have forced the Proxy to function as if it were in "Standard" mode.

    Sometimes (I don't know why), even the Exceptions don't allow Microsoft update to work.  When your browser is pointed at the Astaro Proxy, you must put the exception into 'Advanced' 'LAN Settings' in the browser.  Fortunately, windowsupdate.com presently resolves only to a single IP: 67.215.65.132.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    RMA procedure has been approved. New unit on its way.

    As for WSUS. That's working at the moment. Without a proxy and with the Astaro in transparent mode.

    Will have to wait for the new unit to see how it goes with that. Might even throw in the original configuration before all the troubleshooting started. That doesn't have 'windowsupdate.com' in whatever special exception configuration.
  • 0
    New unit in place and working with the original configuration.