Posts tagged: TMG

Software Updates Management, SCCM og ISA2006? Bruk små bokstaver i WUServer FQDN..

By , 4 mai, 2011 01:23

Problem

Har brukt litt tid på feilsøking for å løse Patch Managment problemer i et ConfigMgr 2007 R2 miljø hvor Software Updates Management agenten på SCCM klientene ikke utførte Software Update Scan Cycle. Asynkrone rapporteringsforsøk fra klientene til SCCM Serverne ga mye “tyttebær” i WindowsUpdate.log og WUAHandler.log. Feilmeldingene var av typen “Access denied” og ”Proxy Authentication Required.” Dette oppstod selv om det ikke var definert bruk av proxy i SCCM eller lokalt på server/klient. Det er samtidig uønsket at WU skal benytte proxy i internt LAN og trafikken relatert til oppdateringer skal gå direkte mellom SCCM server og tilhørende Client. Etter hvert ble søkelyset rettet mot en ISA 2006 server som var definert med WPAD Automatic Discovery i DHCP. Kommandoer for å trigge WU agentene slik som wuauclt /reportnow (rapportering fra WU agent til SCCM/WSUS server) viste seg å gi feilinnslag på ISA-logene.

Løsning

Gjennom SCCM Site System installasjon blir gjerne Fully Qualified Domain Name for Intranet Clients definert med store bokstaver (figur 1 – Intranet FQDN). FQDN med store bokstaver blir videre arvet i den lokale WUServer GPO som settes på den enkelte SCCM Client for WU agent konfigurasjon. WU agenten bruker oppgitt WUServer FQDN for kontakt mot tilhørende SCCM/WSUS server.  Det viste seg at bruk av store bokstaver i FQDN fikk WU agenten til å kontakte proxy/ISA server i stedet for å gå direkte mot SCCM server. ISA serveren hindret med det kommunikasjon mellom WU agenten og SCCM serveren. Når man derimot endret FQDN til små bokstaver og utførte en samtidig oppdatering av oppdateringspakkenes distribusjonspunkter (dette endrer WUServer GPO) klarte WU agenten å kontakte SCCM serveren direkte. Litt sært? ..ja, men det fungerer! ;-)

image

For øvrig opplevdes dette med bruk av WS2003, ISA 2006 og SCCM 2007 R2 SP2 (mixed mode, primary sites) i en AD struktur med flere domener og uten internett tilgang.  

Hvorfor og hvem er den skyldige?

Winhttp clients slik som WU agent, SCCM og Outlook kan i kommunikasjonen med omverdenen benytte URL’er med store eller små bokstaver, eller kanskje en miks av dette. Hvis ISA-serverens “proxy exeption” liste ikke støtter den URL som benyttes (store eller små bokstaver) forårsaker dette at Winhttp klienten kan bli sendt videre til en proxy server i stedet for å gå direkte mot ønsket destinasjon.
Eksempel på en ISA-generert PAC-fil:

...
function MakeNames()
{
  this[0]="*.silihagen.net";
}
DirectNames=new MakeNames();
cDirectNames=1;
...
function FindProxyForURL(url, host){
...
for(i=0; i<cDirectNames; i++)
{
  if(shExpMatch(host, DirectNames[i])){
   fIp = true;
   break;}
  if(shExpMatch(url, DirectNames[i]))
   return "DIRECT";
}


Når en Winhttp klient finner wpad-konfigurasjonen fra en ISA-server, for eksempel wpad.pac, vil konfigurasjonen bestemme hvor trafikken skal pekes eller om trafikken skal til proxy (“FindProxyForUrl”). Slik det er definert i utdraget fra PAC-filen så er “DirectNames” skrevet med små bokstaver. shExpMatch(); er “case-sensitive” og vil kan kun behandle URL data med små bokstaver for “DirectNames”. Det er ingen funksjon i PAC-filen for å konvertere innkommende URL til små bokstaver først.

Det betyr at selv om wpad konfigurasjonen inneholder *.silihagen.net i “direct access” listen, vil wpad-konfigurasjonen gi false på shExpMatch() for en URL med FQDN LJS03.SILIHAGEN.NET. Når shExpMatch() gir false vil klienten som sende forespørselen motta en liste over proxy servere i stedet for å gå direkte til ønsket destinasjon.  

Hva med TMG?

TMG opererer forholdsvis likt som ISA og samme problem kan derfor oppstå også i TMG. Det er gjort en forbedring i TMG som gir muligheten til å konvertere URL til små bokstaver før kjøring av shExpMatch(). Den funksjonen heter ConvertUrlToLowerCase (http://msdn.microsoft.com/en-us/library/ff824480(VS.85).aspx) Denne funksjonen er som standard ikke i bruk, men kan og bør vurderes å benyttes.

Post to Twitter Post to Facebook Post to LinkedIn

Panorama Theme by Themocracy