• 11.04.2010 23:17:06

    Automatische Updates über den Squid Proxy
    Windows Update und Squid Proxy Server
    from: cpom | Comments: 0

  • Bei den neueren Windows-Versionen, wie Windows XP,Vista und Windows 7, ist es nicht ausreichend, den Proxy-Server unter den lokalen Internetoptionen einzutragen, damit das automatische Windows Update funktioniert. Hier einmal kurz zusammengefasst, wie es funktioniert.

  • Wenn man intern einen restriktiven Umgang mit Http-Verbindungen pflegt, möchte man das Verbindungen zu verschiedenen Webdiensten und -servern ausschließlich über einen Http-Proxy, wie z.B. Squid, und einen exklusiven Port erfolgen. Bei älteren Windowsversionen ist es ausreichend, den Proxyserver in den Internet-Verbindungsoptionen festzulegen, um auch automatische Updates zu erhalten.

    Bei Windows 7 und Windows Vista werden die Proxy-Settings des Browser jedoch nicht ausgelesen, sondern der Update-Client versucht mittels des CONNECT Kommando sich direkt mit dem Update-Server von Microsoft zu verbinden. Da die Ports 80 und 443 jedoch in einer Umgebung mit restriktiver Firewall gesperrt sind und nur der Port zum Proxyserver (z.B. Port 3128) offen ist, bricht der Updatevorgang mit einem Timeout ab.

    Mit den beiden folgenden, sehr einfachen Schritten ist es jedoch möglich, auch das automatische Windows-Update zu betreiben

    Anpassen des Windows-Clients

    Administrative Berechtigungen vorausgesetzt, kann man mittels des netsh-Kommandos systemweite Proxyeinstellungen im Bereich winhttp setzen. Dazu öffnet man die Eingabeaufforderung als Administrator (Rechtsklick auf Eingabeaufforderung -> Als Administrator ausführen). Wenn die Proxyeinstellungen bereits in den Internetoptionen eingestellt sind, ist es ausreichend, sie mit folgendem Kommando zu importieren:

    netsh winhttp import proxy source=ie

    Wenn man bereits eine Liste mit Umgehungen eingetragen ist, werden diese mit übernommen. Mit Umgehungen ist hier gemeint: der Proxyserver wird für bestimmte Hosts umgangen und die Verbindung wird direkt hergestellt.

    Hat man noch keine Einstellungen vorgenommen, bzw. möchte die Anfragen über einen anderen Rechner laufen lassen, kann man den Proxy und die Umgehungsliste auch direkt einstellen und zwar mit folgendem Kommando

    netsh winhttp set proxy http://proxy.localdomain:3128 bypass-list=”*.localdomain ”

    Es ist für Proxy und die Umgehungsliste nicht zwingend erforderlich einen Hostnamen anzugeben, es können auch IP-Adressen und Netze (bei der Umgehungsliste) sein.

    proxycfg_xp Setzen des Proxyservers unter Windows 7

    Unter Windows XP wird das Tool proxycfg bereitgestelt, mit welchem man die Aufgabe ähnlich lösen kann . netsh hat hier keine mit Windows 7/Vista vergleichbare Funktionalität für den Bereich Proxyserver. Unter Windows XP importiert man die Proxysettings aus den lokalen Einstellungen des Benutzers mit einem simplen:

    proxycfg -u

    Und die direkte Einstellung ohne Auslesen der Internetoptionen erfolgt mit:

    proxycfg -p http://proxy.localdomain:3128 ”*.localdomain ”

    Ebenso wie bei der Vista- und Windows 7 Variante ist es hier auch nicht zwingend erforderlich einen Hostnamen anzugeben, es können auch IP-Adressen und Netze (bei der Umgehungsliste) sein.

    proxycfg_xp Setzen des Proxyservers unter Windows XP SP3

    Vorbereiten des Squid Proxy Servers

    In der Konfigurationsdatei des Squid Proxyservers müssen keine Anpassungen vorgenommen werden, wenn man die Einstellungen für die acl Safe_Ports im Originalzustand belassen hat und das Http-Kommando CONNECT (auch bei per default enabled) zur Verfügung steht. Das sieht in etwa so aus:

    acl Safe_ports port 80 # http
    acl Safe_ports port 443 # https
    acl CONNECT method CONNECT # Http CONNECT

    und weiter

    http_access deny !Safe_ports
    http_access deny CONNECT !Safe_ports

    Sind diese Einstellungen vorhanden, sollte Windows Update bereits funktionieren, anderenfalls müssen die Eintragungen in der Datei squid.conf vorgenommen bzw. ergänzt werden und der Squid-Proxyserver sollte anschließend neu gestartet werden.

    Um die Funktionalität für alle Windows Update Clients zu gewähreleisten, empfiehlt das Team von Squid-Cache.org in ihrem Wiki auch noch folgende Eintragungen zu machen, sofern sie nicht schon so oder so ähnlich vorhanden sind:

    range_offset_limit -1
    maximum_object_size 200 MB
    quick_abort_min -1

    Ich konnte allerdings mit diesen zusätzlichen Settings im täglichen Betrieb keine Unterschiede bei meinen Clients (Windows XP SP3, Windows Vista und Windows 7) feststellen. Die Clients beziehen Updates für Visual Studio, MS Office 2007 und Windows und es gab, zumindest bis jetzt, keine „Hick-ups“ oder Verbindungsabbrüche.

    Erwähnenswert ist in diesem Zusammenhang auch, das die mit netsh im Bereich WinHttp vorgenommenen Einstellungen auch von anderen Programmen genutzt werden können, die damit frei Haus Zugang zum Internet haben. Deswegen sollte man seine Filtereinstellungen und Restriktionen am Squid-Proxy auf jeden Fall überprüfen und ggf. anpassen.


    Kommentar hinzufügen | nach oben

  • Comments are disabled

Kommentare augeschaltet

Profi-Admin
profi-admin.de
profi-admin.com
profi-admin.eu

Projekte
scprojekt.de
2bsg.de

Answerengine
smartjump.de

Portale
berufstaetigeeltern.de
berufstätigeeltern.de

Weitere
der-gewerbespezialist.de
dergewerbespezialist.de

2007 - 2010 ©   Claudius Pomorska

Profi-Admin is powered by MBlog Portal

Impressum