|
Компьютерный форум OSzone.net » Серверные продукты Microsoft » WSUS » [решено] WSUS за шлюзом KWF |
|
[решено] WSUS за шлюзом KWF
|
Пользователь Сообщения: 117 |
Профиль | Отправить PM | Цитировать
Сервер с WSUS: Windows 2003 Server SP2, DC, WSUS v3.2.7600.226, LocalIP 192.168.1.200
Интернет-шлюз: Windows 2003 Server SP2, Kerio Winrote Firewall v6.6.0 На данный момент политика трафика на шлюзе такая: Файл 53171 При таком раскладе все нормально работает. Хочу настроить политику трафика таким образом, чтобы сервер с WSUS мог только скачивать обновления для WSUS, а больше в Интернет никуда вылезти не мог. Согласно рекомендациям Microsoft по настройке фаервола попробовал в KWF выше правила "Общий доступ в Интернет" добавить вот это: Файл 53172 Теперь WSUS не может обновиться. В сведениях синхронизации говорит про ошибку HTTP: WebException: Невозможно соединиться с удаленным сервером ---> System.Net.Sockets.SocketException: Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера 65.55.25.60:443 в System.Net.HttpWebRequest.GetRequestStream(TransportContext& context) в System.Net.HttpWebRequest.GetRequestStream() в System.Web.Services.Protocols.SoapHttpClientProtocol.Invoke(String methodName, Object[] parameters) в Microsoft.UpdateServices.ServerSyncWebServices.ServerSync.ServerSyncProxy.GetAuthConfig() в Microsoft.UpdateServices.ServerSync.ServerSyncLib.InternetGetServerAuthConfig(ServerSyncProxy proxy, WebServiceCommunicationHelper webServiceHelper) в Microsoft.UpdateServices.ServerSync.ServerSyncLib.Authenticate(AuthorizationManager authorizationManager, Boolean checkExpiration, ServerSyncProxy proxy, Cookie cookie, WebServiceCommunicationHelper webServiceHelper) в Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.SyncConfigUpdatesFromUSS() в Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.ExecuteSyncProtocol(Boolean allowRedirect) Файл 53173 Что я делаю не так? Заранее благодарен за помощь. |
|
Отправлено: 17:16, 21-10-2010 |
Ветеран Сообщения: 4677
|
Профиль | Отправить PM | Цитировать Цитата old_nick:
не смотря на то, что они не ресолсятся, я вам подскажу - это AKAMAI http://ru.wikipedia.org/wiki/Akamai поэтому вам придётся некоторое время поанализоровать логи и внести в список разрешённых адресов сети акамая. советую добавлять их с маской /16, а не 24 |
|
------- Отправлено: 17:24, 21-10-2010 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Пользователь Сообщения: 117
|
Профиль | Отправить PM | Цитировать cameron, спасибо за информацию. Стал разбираться - оказывается, и time.windows.com тоже завязано на AKAMAI.
Цитата cameron:
А сколько анализировать придется? И где гарантия, что вычисленная подсеть не изменится в ближайшем будущем? |
|
Отправлено: 14:41, 22-10-2010 | #3 |
Ветеран Сообщения: 4677
|
Профиль | Отправить PM | Цитировать Цитата old_nick:
Цитата old_nick:
Цитата old_nick:
|
|||
------- Отправлено: 14:51, 22-10-2010 | #4 |
Пользователь Сообщения: 117
|
Профиль | Отправить PM | Цитировать Чувствую, придется разрешить для WSUS-сервера любой входящий трафик по HTTP и HTTPS...
|
|
Отправлено: 16:50, 22-10-2010 | #5 |
Ветеран Сообщения: 4677
|
Профиль | Отправить PM | Цитировать Цитата old_nick:
|
|
------- Отправлено: 21:38, 22-10-2010 | #6 |
Пользователь Сообщения: 117
|
Профиль | Отправить PM | Цитировать После анализа логов Kerio добавил в правило WSUS две подсети.
Файл 53381 Вроде все работает, в фильтре чисто. Кстати, подсунув IP-адреса из этих логов сервису whois, увидел, что там ничего не сказано про AKAMAI, а принадлежат они организации IANA: IP 65.55.184.26 IP Location: United States Resolve Host: 65.55.184.26 % This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: This output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '0.0.0.0 - 255.255.255.255' inetnum: 0.0.0.0 - 255.255.255.255 netname: IANA-BLK descr: The whole IPv4 address space country: EU # Country is really world wide org: ORG-IANA1-RIPE admin-c: IANA1-RIPE tech-c: IANA1-RIPE status: ALLOCATED UNSPECIFIED remarks: The country is really worldwide. remarks: This address space is assigned at various other places in remarks: the world and might therefore not be in the RIPE database. mnt-by: RIPE-NCC-HM-MNT mnt-lower: RIPE-NCC-HM-MNT mnt-routes: RIPE-NCC-RPSL-MNT source: RIPE # Filtered organisation: ORG-IANA1-RIPE org-name: Internet Assigned Numbers Authority org-type: IANA address: see http://www.iana.org remarks: The IANA allocates IP addresses and AS number blocks to RIRs remarks: see http://www.iana.org/ipaddress/ip-addresses.htm remarks: and http://www.iana.org/assignments/as-numbers e-mail: bitbucket@ripe.net admin-c: IANA1-RIPE tech-c: IANA1-RIPE mnt-ref: RIPE-NCC-HM-MNT mnt-by: RIPE-NCC-HM-MNT source: RIPE # Filtered role: Internet Assigned Numbers Authority address: see http://www.iana.org. e-mail: bitbucket@ripe.net admin-c: IANA1-RIPE tech-c: IANA1-RIPE nic-hdl: IANA1-RIPE remarks: For more information on IANA services remarks: go to IANA web site at http://www.iana.org. mnt-by: RIPE-NCC-MNT source: RIPE # Filtered IP 207.46.21.58 IP Location: United States Resolve Host: 207.46.21.58 % This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: This output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '0.0.0.0 - 255.255.255.255' inetnum: 0.0.0.0 - 255.255.255.255 netname: IANA-BLK descr: The whole IPv4 address space country: EU # Country is really world wide org: ORG-IANA1-RIPE admin-c: IANA1-RIPE tech-c: IANA1-RIPE status: ALLOCATED UNSPECIFIED remarks: The country is really worldwide. remarks: This address space is assigned at various other places in remarks: the world and might therefore not be in the RIPE database. mnt-by: RIPE-NCC-HM-MNT mnt-lower: RIPE-NCC-HM-MNT mnt-routes: RIPE-NCC-RPSL-MNT source: RIPE # Filtered organisation: ORG-IANA1-RIPE org-name: Internet Assigned Numbers Authority org-type: IANA address: see http://www.iana.org remarks: The IANA allocates IP addresses and AS number blocks to RIRs remarks: see http://www.iana.org/ipaddress/ip-addresses.htm remarks: and http://www.iana.org/assignments/as-numbers e-mail: bitbucket@ripe.net admin-c: IANA1-RIPE tech-c: IANA1-RIPE mnt-ref: RIPE-NCC-HM-MNT mnt-by: RIPE-NCC-HM-MNT source: RIPE # Filtered role: Internet Assigned Numbers Authority address: see http://www.iana.org. e-mail: bitbucket@ripe.net admin-c: IANA1-RIPE tech-c: IANA1-RIPE nic-hdl: IANA1-RIPE remarks: For more information on IANA services remarks: go to IANA web site at http://www.iana.org. mnt-by: RIPE-NCC-MNT source: RIPE # Filtered % Information related to '207.46.0.0/19AS8068' route: 207.46.0.0/19 descr: Microsoft European IDCs origin: AS8068 mnt-by: MICROSOFT-MAINT source: RIPE # Filtered |
Последний раз редактировалось old_nick, 11-09-2012 в 17:31. Отправлено: 14:32, 25-10-2010 | #7 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Интернет - подсчет трафика в KWF 6.5.2 build 5172 | zavoruev | Защита компьютерных систем | 0 | 22-03-2010 09:48 | |
Kerio - Помогите настроить KWF | WorF | Сетевые технологии | 2 | 13-08-2009 08:30 | |
Route/Bridge - Проблема с шлюзом | Styleismylife | Сетевые технологии | 7 | 23-09-2008 10:21 | |
Redhat/Fedora - Проблемы со шлюзом | stivy007 | Общий по Linux | 0 | 22-05-2008 12:33 | |
Как настроить KWF на повторную авторизацю??? | nikopol | Сетевые технологии | 4 | 27-09-2005 11:49 |
|