Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1752 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Windows Update manual check no longer working

jonf_01
Hi,

I've just noticed today that a manual check for updates in Windows Update on two of our computers at home, connected to my ASG v8.003 gateway, no longer seems to work.  They both chuck out error code 80072F8F [Windows Update encountered an unknown error].  The two computers in question run Windows Vista Home Premium 32-bit [Mum's] and Windows 7 Ultimate 64-bit [mine].  I've narrowed down the culprit to the HTTP/S proxy feature under Web Security, which is weird because I know that there is an exception which presumably was added upon initial installation/setup.  I can only get it to work if I disable the proxy first then click the 'Check for updates' option, so I would assume that automated checks are also affected.  I haven't fiddled with any of the preset exceptions in any way, I've only added my own exception to stop SSL/anti-virus scanning for the static IP address used at my workplace which shouldn't have any effect on this.

This is an extract from the 'Content Filter (HTTP/S)' log from the last time I checked for Windows updates on the Vista machine: 

2010:11:20-23:41:13 pph httpproxy[16821]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="HEAD" srcip="23.9.87.101" dstip="213.199.149.88" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="55 ms" request="0xa35528b8" url="download.windowsupdate.com/.../muv4wuredir.cab

2010:11:20-23:41:13 pph httpproxy[16821]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="HEAD" srcip="23.9.87.101" dstip="213.199.149.88" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="29 ms" request="0xa35528b8" url="download.windowsupdate.com/.../muauth.cab

2010:11:20-23:41:14 pph httpproxy[16821]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="HEAD" srcip="23.9.87.101" dstip="213.199.149.88" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="27 ms" request="0xa35528b8" url="download.windowsupdate.com/.../muv4wuredir.cab

2010:11:20-23:41:14 pph httpproxy[16821]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="HEAD" srcip="23.9.87.101" dstip="65.55.27.219" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="343 ms" request="0xa35bdc00" url="www.update.microsoft.com/.../wuident.cab

2010:11:20-23:41:14 pph httpproxy[16821]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="HEAD" srcip="23.9.87.101" dstip="213.199.149.88" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="30 ms" request="0xa35528b8" url="download.windowsupdate.com/.../wsus3setup.cab

2010:11:20-23:41:24 pph httpproxy[16821]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="HEAD" srcip="23.9.87.101" dstip="213.199.149.88" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="53 ms" request="0xa35528b8" url="download.windowsupdate.com/.../muv4muredir.cab


Having looked up what HTTP 200 is, this all looks pretty standard to me.  Does anyone know if Microsoft has changed their update servers in any way, or if this might be a bug with v8.003, or is there something else I should look into?

Any help would be appreciated.  Thanks.


Regards,

Jon.


This thread was automatically locked due to age.
Parents
  • 0
    Jon, do you see anything in the Intrusion Prevention or Packet Filter logs yesterday around the same time?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Jon

    You may want to try deleting the Astaro's CA certificate from the problem systems, and re-importing the CA Cert into the computer's (not user or service) trusted root CA store.

    I don't know why, but I've seen a couple of cases where Windows stops recognizing the Astaro CA.
  • 0 in reply to Jack Daniel
    Thanks for the replies,

    @ Jack Daniel
    Both the WebAdmin and HTTP/S proxy certificates were already installed in the trusted root CA list, but I tried your method first anyway and this didn't work.

    @ BAlfson
    WebAdmin reports that my IPS log is empty, so it can't be that.  As for the packet filter log, there doesn't appear to be anything for either machine at the time of the above extract.  These are the two entries that come closest, which don't appear to be of any help: 

    2010:11:20-23:41:04 pph ulogd[4117]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="0:24:b2:47:f1:4e" dstmac="0:26:5a:x:x:x" srcip="62.6.40.162" dstip="86.x.y.98" proto="17" length="101" tos="0x18" prec="0x00" ttl="53" srcport="53" dstport="3072" 

    2010:11:20-23:42:35 pph ulogd[4117]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="0:24:b2:47:f1:4e" dstmac="0:26:5a:x:x:x" srcip="6.13.23.1" dstip="86.x.y.98" proto="17" length="306" tos="0x00" prec="0x00" ttl="64" srcport="67" dstport="68" 


    N.B. The source IP address in the second entry is actually the internal IP address I assigned to my Ethernet modem, if this makes any difference.

    UPDATE: Just tried restarting the gateway, which didn't have any effect.
Reply
  • 0 in reply to Jack Daniel
    Thanks for the replies,

    @ Jack Daniel
    Both the WebAdmin and HTTP/S proxy certificates were already installed in the trusted root CA list, but I tried your method first anyway and this didn't work.

    @ BAlfson
    WebAdmin reports that my IPS log is empty, so it can't be that.  As for the packet filter log, there doesn't appear to be anything for either machine at the time of the above extract.  These are the two entries that come closest, which don't appear to be of any help: 

    2010:11:20-23:41:04 pph ulogd[4117]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="0:24:b2:47:f1:4e" dstmac="0:26:5a:x:x:x" srcip="62.6.40.162" dstip="86.x.y.98" proto="17" length="101" tos="0x18" prec="0x00" ttl="53" srcport="53" dstport="3072" 

    2010:11:20-23:42:35 pph ulogd[4117]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="0:24:b2:47:f1:4e" dstmac="0:26:5a:x:x:x" srcip="6.13.23.1" dstip="86.x.y.98" proto="17" length="306" tos="0x00" prec="0x00" ttl="64" srcport="67" dstport="68" 


    N.B. The source IP address in the second entry is actually the internal IP address I assigned to my Ethernet modem, if this makes any difference.

    UPDATE: Just tried restarting the gateway, which didn't have any effect.
Children
No Data