Re: [ml] Windows 2000 e Squid - problemi con Windows Update

> vorrei portare alla vostra attenzione un problema che ho riscontrato
> oggi con il sito windowsupdate.microsoft.com e alcuni client Windows
> 2000 SP4 che accedono ad internet tramite transparent proxy (SQUID).
> Fino a quando non esplicito l'utilizzo del proxy in internet explorer
> ogni tentativo di fare update e' vano, ricevo sempre il codice di errore
> 0x80072EE2. In KB Microsoft e in giro su google si parla di poblemi
> legati all'antivirus o firewall ma nulla riguardo il transparent proxy.
> 
> A cosa potrebbe essere dovuto un comportamento del genere? E' capitato
> anche ad altri?

Poiche' si tratta di windows 2000 SP4, il problema non dovrebbe rientrare
tra quelli che parrebero affliggere windowupdate v5. Poiche' si tratta di
transparent proxy, il problema non dovrebbe rientrare tra quelli che pare
affliggano certe applicazioni che usino l'api WinHTTP dietro a proxy http
come il servizio che esegue gli aggiornamenti. Sempre perche' trattasi di
transparent, sarebbero da escludersi eventuali problemi di autenticazione
da risolversi tramite esplicito allow per gli useragent di windowsupdate.
Altresi', poiche' si parla di accesso tramite il browser e configurazione
di proxy per il bowser, e non della configurazione proxy per applicazioni
WinHTTP, non si tratta del _servizio_ che gestisce l'autoaggiornamento. E
infine, qualsiasi sia la causa, l'analisi dev'esser compatibile col fatto
che il tutto non funzia se transparent, ma funzia se il proxy viene usato
esplicitamente come tale.

Sgombrato il campo da quel che sembrerebbe _non_ essere, bisognerebbe ora
chiarire se con "alcuni" intendi che "... altri invece si'". Anche sapere
se "prima funzionava, ora non piu'" potrebbe essere utile visti i recenti
aggionamenti ai componenti windowsupdate anche per win2k. Inoltre sarebbe
opportuno dare un'occhiata ai log di squid e al traffico in rete. Pure l'
approccio usato per il "transparent" potrebbe influire se, ad esempio, ci
fossero acl che fanno deny/allow in base all'ip del client e le richieste
arrivano come se fossero originate da un solo ip perche' fai uno SNAT per
arrivare a squid in modo trasparente. Ecc. ecc.

Morale: se proprio non vuoi usare il proxy in modo non transparente [1] e
non vuoi mettere un server SUS [2], dovresti scendere piu' nel dettaglio.

Ma ora proviamo anche accendendo la sfera di cristallo...

La prima cosa che m'era venuta in mente era che la 443/tcp fosse bloccata
ma mi pare di ricordare che in questo caso l'errore sarebbe stato diverso
da quello che riporti (ma potrei sbagliarmi sul codice di errore).

Altra possibilita' e' che per come hai strutturato l'eventuale SNAT verso
internet le richieste verso la 443/tcp escano usando un ip e quelle sulla
80/tcp su un'altro ip. Cosi' non funziona, per quel che mi ricordo: tutta
la sessione windowsupdate deve essere originata dal medesimo ip. Succede,
per esempio, quando il traffico sulla 443/tcp esce da un diverso router o
c'e' uno SNAT diverso per l'ip del proxy e quello del client, ecc. ecc.

Se mi viene in mente qualcos'altro, posto di nuovo. Per ora ti posso solo
dire che su alcune reti dove ho configurato un proxy trasparente funziona
perfettamente anche windowsupdate :-P


Fabio

[1] hint 1 ;-)
[2] hint 2 ;-)