Windows Update Pedindo Autenticação Repetidamente

[Guto]

Meu problema é que ao tentar localizar atualizações pelo windows update é solicitado autenticação os usuários informam suas credenciais e ao clicar em <OK> a janela aparece novamente se repetindo por 5 vezes e depois é apresentado um erro na janela do update informando que é um erro desconhecido.

As credenciais informadas pelos usuários são as mesmas que eles utilizam a Internet normalmente.

Ambiente EFW:

Proxy não transparente

Autenticação por NTLM

Ambiente rede:

AD Server 2003

Estações Windows 7

Os usuários logan no AD e os navegadores estão setados para usar a configuração do proxy.pac do Endian. Eles utilizam a Internet normalmente dentro da politica de acesso e o controle de conteudo. Mais infelizmente não conseguem autenticar suas credenciais quando solicitadas pelo windows update.

Como resolver?

Atenciosamente,

Guto

[Eduardo Jonck]

Veja os domínios que o Windows Update busca para atualizar, e cria uma politica de acesso liberando

esses domínios do Proxy, assim eles passam por fora do proxy sem pedir autenticação beleza!!

[Diego Pontes]

Isso vai acontecer com alguns sites, as vezes a autenticação NTLM não consegue enviar o usuário e acontece esse tipo de problema, tendo que liberar como o @EduardoJonck falou, é um problema do protocolo e não do Endian.

[Guto]

@Eduardo Jonck e @Diego Pontes

Obrigado pela dica. Mais tenho uma regra (sem autenticação) na política de acesso do Proxy liberando o acesso a todos os domínios responçaveis por receber solicitações do Windows update, e a uma semana que implementei o Proxy o update não funciona. Ontem após postar resolvi habilitar no Firewall as regras das porta 80 e 443 que desabilitei com a ativação do Proxy e para minha surpresa o Windows Update funcionou.

Descobri isso após tentar usar o MSN, que não conectava de forma alguma ao observar os registros de log verifiquei que todas as minhas solicitações de conexão ao MSN eram negadas pelo Firewall saindo pela porta 80 que estava desabilitada e não pela 1863.

Habilitei as regras das portas 80 e 443 e o MSN conectou, fui verificar o update e o mesmo funcionou normalmente.

Agora que minha cabeça ta um trevo. Sou novo na utilização do Endian e em todos os tutoriais que verifiquei sobre implementação de Proxy, todos foram categóricos em afirmar: Proxy autenticado não pode ser transparente e no Firewall tem que desabilitar as porta 80 e 443.

Agora a minha pergunta é: O que estou fazendo de errado? Devo parar de usar autenticação por NTLM?

Por favor me ajudem, pois agora pela manhã observei que com as portas habilitadas as regras de política de acesso não funcionam os usuários estão tendo acesso ao que era bloqueado antes das portas estarem habilitadas.

[Eduardo Jonck]

Guto é o Seguinte, vc tem que pegar a manha de criar as regras de politica de acesso, pois a lógica é a seguinte, primeiro vc libera depois bloqueia, então vc deixa sempre as regras de dominios liberados por primeiro e lembrando que vc deve colocar os dominios da seguinte forma Ex: .google.com ou seja com um ponto no inicio beleza tenta ai e da um retorno, abraço!!!

[Guto]

Eduardo Jonck

Vou descrever em detalhes as configurações do Proxy.

Endian: 2.5.1

Kernel: 2.6.32.43-57.e43.i586

Proxy: Não Transparente

Porta: 3128

Autenticação: Active Directory do Windows (NTLM) conectando perfeitamente e apresentando os usuários e grupos, e autenticando as credenciais para navegação.

Políticas de Acesso:

1 – Política = Acesso não filtrado

Origem = MAC’s dos iPhones, iPad e Receptor da Sky

Destino = Qualquer

Grupo/usuário de autenticação = Não requerido

Quando = Sempre

Agente = Qualquer

2 – Política = Acesso não filtrado

Origem = Qualquer

Destino = Qualquer

Grupo/usuário de autenticação = Diretoria

Quando = Sempre

Agente = Qualquer

3 – Política = filter using ‘content1’

Origem = Qualquer

Destino = Qualquer

Grupo/usuário de autenticação = Tecnicos

Quando = Sempre

Agente = Qualquer

4 – Política = Filtro para vírus

Origem = Qualquer

Destino = Qualquer

Grupo/usuário de autenticação = Não requerido

Quando = Sempre

Agente = Qualquer

5 – Política = Acesso negado application/octet-stream

Origem = Qualquer

Destino = Qualquer

Grupo/usuário de autenticação = Não requerido

Quando = Sempre

Agente = Qualquer

Firewall:

Portas 80 e 443 desabilitadas

Nesse caso todos usuários navegam normalmente inclusive os técnicos com as restrições do filtro de conteúdo sendo aplicado perfeitamente.

Mais os problemas são:

Com as portas no Firewall desabilitadas acontece o seguinte:

Windows Update não funciona

MSN não conecta

Quando habilito as portas 80 e 443 no Firewall o Windows Update atualiza e o MSN conecta.

Estou fazendo algo errado?

Como resolver?

[Eduardo Jonck]

Deixa a regra de Virus sempre por ultimo.

Cria uma nova politica de acesso e deixa em primeiro da mesma forma que vc cria a politica dos MACs liberados, mas na Origem deixa Qualquer Destino seleciona Dominios e coloca os dominios para passar por fora do Proxy, ou seja do MSN e do Windows Update

EX: .messenger.live.com

.windowsupdate.com

Eu tenho esses aqui para MSN:

.config.messenger.msn.com

.login.live.com

.contacts.msn.com

.logging.windows.microsoft.com

.loginnet.passport.com

.gateway.messenger.hotmail.com

.messenger.hotmail.com

.by6.omega.contacts.msn.com

.rad.msn.com

.sup.live.com

.local-sn.contacts.msn.com

E esses outros para windows update:

.hostgator.com.br

.server.iad.liveperson.net

.caixa.gov.br

.nfe.sefazvirtual.rs.gov.br

.cpid.bradesco.com.br

.fpdownload.adobe.com

.fpdownload.macromedia.com

.java.com

.sun.com

.verisign.com

.mscrl.microsoft.com

.crl.microsoft.com

.microsoft.com

.watson.microsoft.com

.content.windows.microsoft.com

.genuine.microsoft.com

.c.microsoft.com

.windowsupdate.com

.download.windowsupdate.com

.update.microsoft.com

.mpa.one.microsoft.com

.stats.update.microsoft.com

.go.microsoft.com

.crl.microsoft.com

.au.download.windowsupdate.com

.urs.microsoft.com

.mscrl.microsoft.com

.sqm.microsoft.com

.windowsupdate.microsoft.com

.download.microsoft.com

.ntservicepack.microsoft.com

.wustat.Windows.com

.internetbanking.caixa.gov.br

.fotoarteproducoes.blogspot.com

.studiocine.com.br

.ucf.cloud.avg.com

.guru.avg.com

.bguru.avg.cs

Claro que ai ta minha lista completa do meu Firewall, escolhe os que são do windows update beleza.

Faz um teste ai e posta, abraço!!!

[Guto]

Eduardo Jonck,

Seguindo as suas orientações ontem fiz as configurações e o Firewall hoje funciona perfeitamente obedecendo o Proxy, Politicas de Acesso e Filtros de conteudo. Com autenticação NTLM pelo AD.

É perfeito aprendi que as veses não é suficiente apenas usar as politicas de acesso mais tambem as vezes liberar no firewall determinadas porta em Trafego de Saida.

Muito Obrigado pela ajuda.

[Autor]

Posts