Ago0720087 Agosto 200828 Gennaio 20140Commentidi Ermanno Goletto

Esecuzione di Microsoft Update su un computer con ISA Server

Pubblicato in IT, Security, Tips

Nel mio articolo Installazione e hardening di ISA Server 2006 Standard avevo scritto che le System Policy relative agli Allowed Sites permettono l’accesso a Microsoft Update dal computer con ISA Server, ma non consentono l’analisi del sistema esecuzione di Microsoft Update per installare gli aggiornamenti del sistema operativo necessari. Quindi per fare in modo che ISA Server possa accedere a Windows Update senza creare una rule di accesso è necessario abilitare il Web Proxy sulla Network Local Host e impostare Internet Explorer per l’utilizzo del proxy facendo riferimento all’indirizzo IP della scheda di rete connessa alla rete locale e alla porta 8080.

Volendo approfondire il perchè l’acesso a Microsoft Update non è consentito con le impostazioni predefinite è possibile fare rifermento al seguente You experience problems when you access the Windows Update Version 6 Web site through a server that is running ISA Server.

In sostanza i motivi possono essere due:

  • Il client di Windows Update invia una richiesta HEAD su una connessione TCP che è stata già chiusa dal server proxy.
  • Il client di Windows Update esegue l’autenticazione con le credenziali NULL al server proxy. Se il server proxy non consente l’accesso al sito richiesto per l’accesso NULL, la richiesta si può negare e Windows Update non può riuscire.

Oggi dopo ulteriori verifiche ho notato per accedere a Microsoft Update sono possibili tre modi:

  1. Impostare Internet Explorer per l’utilizzo del proxy facendo riferimento all’indirizzo IP della scheda di rete connessa alla rete locale e alla porta 8080 anche senza abiliare abilitare il Web Proxy sulla Network Local Host come avevo indicato nell’articolo, perchè specificando l’indirizzo IP della scheda di rete connessa alla rete locale si va ad usare la rete Interna su cui Web Proxy è abilitato per impostazione predefinita.
  2. Abilitare il Web Proxy sulla Network Local Host e impostare Internet Explorer per l’utilizzo del proxy facendo riferimento all’indirizzo localhost (127.0.0.1) e alla porta 8080 (questa è la soluzione che preferisco).
  3. Creare un’access rule come indicato in You experience problems when you access the Windows Update Version 6 Web site through a server that is running ISA Server.

Ovviamente anche la soluzione che avevo indicato nell’articolo funziona ovvero abilitare il Web Proxy sulla Network Local Host e impostare Internet Explorer per l’utilizzo del proxy facendo riferimento all’indirizzo IP della scheda di rete connessa alla rete locale e alla porta 8080, ma l’abilitazione del Web Proxy sulla Network Local Host non è necessaria.