Brak mozliwosci aktualizacji windows

Wiadomość

art · #1

Cześć, już od ładnych paru dni mam problem z aktualizacjami hostow, nie mogą ściągać update'ów z M$, sprawdzałem czy to nie wina kompów, ale jednak nie, coś muszę mieć spieprzone

tylko pytanie co ? Puściłem Wiresharka, filtr na porcie 80 oraz 443 z tego co udało mi się wyczytać

to mam takie coś:
Header checksum: 0x0000 [incorrect, should be 0x955c (maybe caused by "IP checksum offload"?)

czy pomoże ktoś rozwikłać zagadkę ?:)
próbowałem już robić na ASA coś w ten deseń
access-list outside_access_in extended permit tcp any 212.210.21.0 255.255.255.0 eq 443

ale dalej nic, ma ktoś pomysł ?:)

dzięki i pozdrawiam !

#2

Jakbys moze przedstawil informacje o Twojej sieci i jak wszystko jest polaczone i jak wyglada przynajmniej w teorii ruch z hostow do Internet (przechodzi przez kilka FW, jakies proxy, etc), to moze daloby rade cos polecic, a tak to jest to czyste zgadywanie... chociaz kto wie moze ktos trafi, co juz zdarzalo sie na forum.

art · #3

a sorry... "Internet" przychodzi na L3 switch który nic nie filtruje, z L3 idzie na ASA 5520 ( z IPS ) z ASA idzie na L3 switch'e, a dalej idzie na L2 switche i dalej na hosty. Wydaje mi się że to wina ASY bo nigdzie indziej nie filtruje ruchu, tylko jak by to można było sprawdzić

mogę ewentualnie dać część konfiguracji, to wtedy byłoby łatwiej. tylko co by was interesowało

Pozdrawiam

dorvin · #4

"Header checksum" to normalne działanie wiresharka, jak odpalisz go na komputerze, na którym jednocześnie monitorujesz ruch, więc tym się nie przejmuj.

A konfigurację ASA daj całą, zamaskuj jedynie adresy publiczne.

#5

Pytania wyciagajace, jako dodatek to konfiga, o ktorego juz poprosil Dorvin - czy to kiedykolwiek dzialalo? Zakladajac, ze tak, to co sie zmienilo (konfiguracja, software, update sygnarur IPS, etc) od ostatniego czasu, kiedy to dzialalo.
Czy IPS nie "krzyczy", ze ten ruch z jakis wzgledow (odpowiednia sygnatura) nie zostal zablokowany?

Sofcik · #6

A z jakim błędem wywala Ci sie Windows Update?
Kod 0xXXXXXXXX bywa BARDZO pomocny.
I dodatkowo: same update nie są ściągane z serwerów z domeny microsoft.com a (jeśli dobrze pamiętam) akamaitechnologies.com

--
Pozdrawiam
Piotrek

art · #7

konfiguracje ASA wrzucę później, na razie wyeliminowałem jako winowajcę IPS'a wyłączając go

co do błędu 8024402f

czyli za wiele się nie dowiesz z tego błędu

odpowiadając Sebie nie przypominam sobie żebym coś zmieniał na ASA, a problem jest gdzieś od ok miesiąca, a zgłoszono mi to tydzień albo półtora tygodnia temu

#8

Rozumiem, ze wylaczenie IPSa nie pomoglo, skoro zalozyles temat powiedzmy ogolny, a nie cos w stylu "IPS zabija mi update"

Widzial kolega TO i TO - to tak w kontekscie bledu z MS.

art · #9

dokładnie !

wieczorem wrzucę config asy więc może coś więcej powiecie, ale na mój gust jest OK. Za cholerę nie mogę sobie przypomnieć czy coś zmieniałem, ale dałbym sobie uciąć rękę że nie

art · #10

config już niepotrzebny

znalazło się rozwiązanie, za które muszę podziękować, mojemu Guru

otóż, cały config, asy, IPS'a był OK (ase wyeliminowałem już wczoraj, znalazłem stary config i go porównałem z obecnym), problemem okazał się nasz DNS

nie zorientowałem się, gdyż w sumie w logach widziałem iż serwery które próbują się ze mną skontaktować są z M$ bądź też z Akamai :] także, odpowiednia zmiana w DNS i już w porządku :] za chęć pomocy dziękuję