Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 57 replies
  • Subscribers 1 subscriber
  • Views 39486 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WSUS with ASG Webfilter not working anymore

TheExpert
Hello together,

since Microsoft deployed the WSUS 3.0 SP2 patch KB2720211 the exception rules of ASG for the webfilter (originally made by Astaro) doesn't work anymore and WSUS can't synchronize with the Microsoft Update Services. I use my ASG as transparent proxy.

The first thing I tried was to deactivate all the SSL interceptions and certificate tests but the synchronization doesn't work. It also doesn't work when all webfilter features are deactivated.

After deactivating the complete webfilter on the ASG WSUS was able to synchronize.

Now I set an exception for the WSUS server IP address on the transparent proxy modus and so WSUS is working fine. But now I have a security issue because there's no proxy functionality for the complete server.

What can I do?

Thank you

TheExpert

ASG 8.305 on VMware ESXi 5.0


This thread was automatically locked due to age.
Parents
  • 0
    well the WU updates are already there by default..but again some changes have been made.  Try bruce's regex and if that doesn't work then you don't have many options left.
  • 0 in reply to William Warren
    if your proxy runs in transparent mode an https scanner on, simply put a DNS host "www.update.microsoft.com" into the transparent destination skiplist (which did at least the trick for my Win7 client - didn't try with wsus).

    I guess in Standard mode excluding following sites from https scanning via exception should do the same trick

    ^https://update.microsoft.com
    ^https://www.update.microsoft.com

    (I didn't use regex for this time, as these two URL's seems to be sufficient. If you like to try anyway, use ^https://.*update.microsoft.com )

    /Sascha
  • 0 in reply to Sascha Paris
    I could not get this working even with exceptions. I had to change my proxy type from transparent to standard in order to get windows update to work.

    This is definetly as of the new certificate updates. A new server install connected fine to WU, but as soon as it installed the certificate update I could no longer connect to WU through the transparent proxy. I tried every combination of scanning or not scanning https as well as the built in and newly created exceptions.
  • 0 in reply to splark
    I could not get this working even with exceptions. I had to change my proxy type from transparent to standard in order to get windows update to work.

    This is definetly as of the new certificate updates. A new server install connected fine to WU, but as soon as it installed the certificate update I could no longer connect to WU through the transparent proxy. I tried every combination of scanning or not scanning https as well as the built in and newly created exceptions.


    In transparent mode the SSL exceptions are more or less useless. You have to put the problematic destination hosts under web protection / web filter /advanced into the transparent skiplist. Depending on if there are single or multiple IP adresses returned for a DNS name, use DNS hosts or DNS groups (if multiple IP's returns)

    /Sascha
Reply
  • 0 in reply to splark
    I could not get this working even with exceptions. I had to change my proxy type from transparent to standard in order to get windows update to work.

    This is definetly as of the new certificate updates. A new server install connected fine to WU, but as soon as it installed the certificate update I could no longer connect to WU through the transparent proxy. I tried every combination of scanning or not scanning https as well as the built in and newly created exceptions.


    In transparent mode the SSL exceptions are more or less useless. You have to put the problematic destination hosts under web protection / web filter /advanced into the transparent skiplist. Depending on if there are single or multiple IP adresses returned for a DNS name, use DNS hosts or DNS groups (if multiple IP's returns)

    /Sascha
Children
No Data