IEにはバグが存在します。 このバグの影響でSquid-2.4で見えていたサイトがSquid-2.5で見えなくなってしまう事があります。 これはSquid-2.5で機能するクライアントからの
persistent_connections をIEが混乱させてしまう事に起因します。
この問題に対応するには以下のパラメータを設定してください。
client_persistent_connections off
確信はありませんが、利用しているsquidのバージョンによっては、HotMailへのログインに失敗する事があるようです。このような場合にはsquid.confの設定で以下の設定を追加してみてください。
acl noncache_domain dstdomain .hotmail.com
always_direct allow noncache_domain
また、squidを階層のキャッシュ構造で構成している場合には、こちらも確認してください。
この現象はWindowsUpdateの実装方法に問題があるようなのでProxy側での対応方法は無いと思われます。
問題はWindowsUpdateを呼び出した際に、[高速]/[カスタム]の選択画面まではNTLM認証に適応したパケットを発生させているにも係わらず、その後、これらのボタンを押して先へ進もうとすると、認証をせずに通過しようとするパケットを発生させる事が原因で発生します。
Basic認証ではそのような事が起きないことから、NTLM認証においてIEのモジュールがID/Passwordを省略できるようにしている事に起因する問題のようにも考えられますが詳しいことは判りません。
対策としてはMSのUpdateサイトへは「認証をせず接続」する方法が現実解となります。
(squid.confでMSのUpdateサイトをNTLM認証せずに接続する為の設定)
#
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param ntlm use_ntlm_negotiate off
#
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
# ..........................
acl password proxy_auth REQUIRED
acl microsoft1 url_regex -i c.microsoft.com
acl microsoft2 url_regex -i download.microsoft.com
acl microsoft3 url_regex -i download.windowsupdate.com
acl microsoft4 url_regex -i v4.windowsupdate.microsoft.com
acl microsoft5 url_regex -i v5.windowsupdate.microsoft.com
acl microsoft6 url_regex -i windowsupdate.microsoft.com
acl microsoft7 url_regex -i www.download.windowsupdate.com
acl microsoft8 url_regex -i www.windowsupdate.com
# ..........................
http_access allow microsoft1
http_access allow microsoft2
http_access allow microsoft3
http_access allow microsoft4
http_access allow microsoft5
http_access allow microsoft6
http_access allow microsoft7
http_access allow microsoft8
http_access allow password
もう一つの方法として、WindowsUpdateでは無く社内にWSUSサーバを構築して、各クライアントが勝手にUpdateしないようにする方法もあります。この場合には社内のクライアントがActiveDirectoryを利用するようになっている事が望ましい状況になります。(というかAD必須かな)個人的はこの方法が尤も望ましいと思います。
(Update漏れの可能性が低くなりますね)
Q. Windows版のSquidを利用していると、ログに「comm_select: select failure: (10055) WSAENOBUFS,
No buffer space available.」というメッセージを沢山だして、以後、動作しなくなる事があります。 A.Windowsのソケットの仕様の問題です。
http://support.microsoft.com/kb/Q196271 参照のこと。
上記を参照の上、レジストリを操作して、利用できるポートの範囲を広げてください。