Squid Proxy 経由で WSUS 3.0 sp2, Windows10 Update がエラー。

-現象-

ローカルネットワークから、Squid プロクシ経由でインターネット接続している場合、 Windows Update Service 3.0 (WSUS) サーバからアップデートできない。この現象は Windows7 環境では発生せず Windows10 以降(具体的には 1607以降)のバージョンで発生する。

Windows 10 / Windows Server 2016 を含め、プロキシ サーバーを介して Windows Update サイトへアクセスした際に、更新プログラムの検出が通信エラー (0x80240030 / 0x80072efe / 0x80244022 / 0x80072EFD / 0x80072EE2 等) でうまくいかない、あるいは更新プログラムのダウンロードが通信エラー (0x80072ee7 / 0x8024402c 等) で進まないといったお問い合わせをいただくことがございます。

プロキシ サーバー経由での Windows Update へのアクセスについて

https://blogs.technet.microsoft.com/jpwsus/2017/05/17/proxy-settings/

また、WinHTTP に対してプロキシ サーバーが適切に設定されているかをご確認ください。

-------

「ナヌ！ WinHTTP って聞いたことないぞな？」

と、どうやらインターネットマーケットで一般的な Squid などのプロクシ経由では、「WinHTTP という、我等大変困惑独善非標準的詳細非公開的謎通信網」はエラーになってしまうようですね。つまり、WSUS は HTTP(s) 80,443 ポートを使うにも関わらず、一般的な HTTP(s) ではなく WinHTTP というレッドチャイナ並の特殊で非公開な極秘な通信するという事なのですね。（はじめて知った......）

「うちは、ほぼ世界標準の Squid プロクシなんだけどなぁ.....」

という場合、例外リストに明示的にプロクシの設定から WSUS サーバーを除外する必要があるようです。

- 対策 -

ローカルLAN内に Squid などの Proxy がある場合、コントロールパネル ＞ インターネットオプション > 「接続」タブ > プロキシサーバー > 「詳細設定」ボタンから「例外」リストに

"*.mylocalzone.mycompany.com;" のローカルゾーンか WSUS の、生IP アドレス(192.168.1.xx;)などをセミコロン区切りで明示的に追加します。

どうも Windows10 Version 1607 あたりから、WSUS の挙動がおかしくなったナとは思っていました。この場合、単純なＬＡＮ内部のプロキシキャッシュなので、月のモノのWindows Update をする場合、一時的にプロクシを外せばいいのですが、Windows10 1607 以降、Windows Update ってやたらと時間がかかるじゃないですか。その間、色々モンダイがあるわけですよ。まぁ、このケースではこれで「一応」解決できていますが。

例えば、 Windows Update の「更新プログラムのチェック」をしても、全部アップデートできない。その様なときは "オンラインで Microsoft Update から更新プログラムを確認します"をクリックすると "ご本尊" からのアップデートを更新して、 WSUS にアップデートがキャッシュされるようです。最初の１台目でキャッシュすると、以降はイントラネットの WSUS からアップデートを "ダウンロード"だけはしてくれるので、２台目以降は、 WSUS から、文字通り "Windows Update Service" のキャッシュが参照されて、ピピッと、"ダウンロードだけは" 行われます。もっともその後の「更新のインストール」だけは、ユーザさんには、朝のコーヒー飲んで、ついでにトイレにでも行ってＰＣの性能次第で「まったり待つ」必要があります。

もっとも、Windows Update の”状態の更新”は、深夜に行われるようスケジュールされるので、実際の現場では "朝イチバン"に、パッチの適用と、 WSUS への通知が行くようです。月モノによっては二度のリブートが必要なケースもあるので、翌日もう一度"リブートしろ"と出るケースもあります。ユーザさんは待ち時間でゆっくりトイレで××コ「していても、インフラ担当者は、漏れそうでも「そんなヒマねぇよ」という我慢の時間帯です。

まぁこれも給料の一部だとおもって、諦めてください。あらかじめ総務にお願いして Windows Update を 「承認」した、翌数日間は、役員用トイレも解放しておくようお願いするのもイイかも。

でも、同時にWSUS 上にも正しく更新された情報が伝わるようで、WSUS の登録されたＰＣの全てが数日後に 100% パッチ完了となります。やれやれ......

山市良のうぃんどうず日記（97）：進まないWindows Update、やっぱり止まっていなかった

http://www.atmarkit.co.jp/ait/articles/1706/13/news016.html

--

でセキュリティアプライアンスや、チャイニーズ製グレートファイアウォールなどが導入されている環境の場合、

Windows Update / Microsoft Update の接続先 URL について

https://blogs.technet.microsoft.com/jpwsus/2017/02/27/wu-mu-list/

によると、2017/2 現在....

http://download.windowsupdate.com

http://*.download.windowsupdate.com

http://download.microsoft.com

https://*.update.microsoft.com

http://*.update.microsoft.com

https://update.microsoft.com

http://update.microsoft.com

http://*.windowsupdate.com

http://*.windowsupdate.microsoft.com

http://windowsupdate.microsoft.com

https://*.windowsupdate.microsoft.com

http://ntservicepack.microsoft.com

http://wustat.windows.com

—————————-

※Windows 10 の配信の最適化を使用するためには以下の URL も併せて通信を許可するように設定ください。

—————————-

*.download.windowsupdate.com

*.au.windowsupdate.com

*.tlu.dl.delivery.mp.microsoft.com

の全てを、プロクシキャッシュなどの、セキュリティアプライアンスを使う経路から除外しろ、という事になりますね。これらを除外リストにズラズラと Windows10 の場合(;) セミコロンで区切って羅列します。（それも全部）

コピペ用に書いてみましたが、プロクシがある環境では、例外リストを「こうしろ」という事ですかね。間違っていたらご指摘下さい。

------ここから

*.download.windowsupdate.com;*.download.windowsupdate.com;*.download.microsoft.com;*.update.microsoft.com;*.windowsupdate.com;*.windowsupdate.microsoft.com;*.ntservicepack.microsoft.com;*.wustat.windows.com;*.download.windowsupdate.com;*.au.windowsupdate.com;*.tlu.dl.delivery.mp.microsoft.com;

ここまで-----

ちなみに

Windows Update / Microsoft Update サイトへの接続先 URL は不定期に変更されることがございますので変更が生じた際は本ブログも更新いたします。

とあるので要チェックです。（つまり予期なく変更ということで.... はぁ?）

セキュリティアプライアンスなどの設定も要注意ということになります。あるいは "WinHTTP という謎” を克服するか。

どうも

netsh winhttp set proxy proxy-server=

というインディジョーンズも解読できない呪文を管理者モードで実行せよというのもありです。

これで謎の WinHTTP も強制的に、システムプロクシの設定に合わせてしまうようです。世間一般および新華社通信によると、どうもこのコマンドはプロクシを使う環境では香港土産の謎の萬金丹のように良く効くようです。

プロキシ サーバーを使用する環境にて Windows Update を実行すると通信エラーが発生する

https://support.microsoft.com/ja-jp/help/2894304

じゃ、トランスペアレントプロクシだとかセキュリティアプライアンスがインターネット接続のトポロジのグレートファイアウォールにある場合はどーなるンでしょうね。ウチの環境の場合 WSUS サーバーも LAN内にあるので、WSUS 自体も Squid Proxy を使う事(なぜか問題ない)になるので、とりあえずは問題解決ですが、トランスペアレントプロクシがグレートファイアウォールを作って、そこから経由して WSUS がローカルで構築していない環境では、ちょっと困ったモンダイになりそうな悪寒です。

また必ずしも、全て WSUS 3.0 経由では当たらない「累積パッチ」もあるようです。この問題は Windows2012r2 標準の WSUS 4.0 で解決しているかどうかはわかりませんが....やっぱりこれも謎の呪文を唱える必要があるようです。

Windows Update で通信系のエラーが出た場合、近所のセブンイレブンとかの無料、暗号化なし Wifi フリースポットへ走って（あるいはＰＣをかついで）アップデートし、ついでにウィルスクサいメールをかたっぱしから開きまくって、アンチウィルスが正しく動作しているかどうかテストしたり、銀行振込してパスワードダダ漏れさせてみる、のもヒマつぶしには面白いかもしれません。

Squid 本家の次の文書も見つけましたが、情報が古くて全然アテにならないようです。どうやら "Windows そのものの問題” と捉えているようなので、あの謎の萬金丹のコマンドを使え、という見解のようです。

How do I make Windows Updates cache?

http://wiki.squid-cache.org/SquidFaq/WindowsUpdate

全く、Windows10 anniversary Update 以降の Windows Update はどうも問題が謎な部分が多くあります。中国製かと思われるぐらい不可思議.....

Windows7 時代に構築して問題なかった WSUS の運用方法も Windows10 時代では適応できないようです。

-その他の記事-

Windows 2008R2 で作る WSUS 3.0 sp2 Windows Update Server

http://islandcnt.exblog.jp/17494887/

WSUS のディスク容量がピンチ！空き容量を一挙に増やすには

http://islandcnt.exblog.jp/23294901/

Windows Update Service(WSUS) の日常の運用

http://islandcnt.exblog.jp/19161699/

Windows10の Windows Update はデフォルトで使ってはいけない。

http://islandcnt.exblog.jp/21708236/

※言い訳：すみません、いつも「串」って言ってるんで「風呂串＝プロクシ」と読ンじゃう私はやっぱり古いタイプなのです。世間では「風呂岸」なんですね。

islandcenter.jp

Windows10 WSUS 3.0 Windows Update Error Squid Proxy キャッシュ、キャッシュアプライアンス、プロクシ、プロキシ、

by islandcenter | 2017-06-16 15:20 | プライベートクラウド | Comments(0)