locked
Direkte Verbindungsversuche trotz aktiviertem Proxy RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    In unserer Umgebung ist die Philosophie, für jeglichen Internet-Verkehr einen Proxy zu benutzen.

    Das funktinoiert an sich recht gut, doch nun unter Windows 8 habe ich Probleme:

    Der User-Proxy ist gesetzt im Browser und der System-Proxy (nachzuschauen mit "netsh winhttp show proxy") - alles via GPO in der Domäne.

    Auf unserer Firewall stelle ich aber diverse Verbindungsversuche direkt ins Internet fest - häufig Akamai-Server - wo eben nicht der Proxy angewandt wird.

    Auch wenn Windows Komponenten nach-installieren möchte - z.B. .NET Framework 3.5 aus dem AutoCAD-Setup heraus - versucht der Client, direkt ins Internet zu verbinden, anstatt sich via Proxy ins Internet zu verbinden.

    -> Bei den GPOs habe ich auch unter Richtlinien - Admin Vorlagen - Netzwerk - Netzwerkisolation den Proxy definiert...

    Ich wäre sehr froh um einen entsprechenden Tipp!

    Vielen Dank und freundliche Grüsse, David Wiedemann

    Montag, 1. Juli 2013 09:36

Antworten

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Du setzt vorraus, daß 100.000.000 Programme überhaupt die Möglichkeit bieten einen Proxy zu definieren/zu nutzen ... das ist sehr verwegen ;-)

    90% der Entwickler haben davon sicherlich noch nie etwas gehört. Deren Programme nutzen "IP" in rudimentärster Form und fertig. Gibts es eine Route? Ja? Nutzen, fertig.

    Gleiches gilt für die Installer, die ja auch nur ein Programm darstellen.

    Du kannst ja einen "Transparent Proxy" konfigurieren und automatisch alle Port 80 Anfragen auf der Firewall durch den Proxy schicken, mit allen Nachteilen, die daran hängen.

    Nur, weil es eure Philosophie ist und du einen Proxy definiert hast, muss mein Programm den noch lange nicht verwenden ... der Zwang geht nur über ein FW Regelwerk -> wie genannt, zB Transparent Proxy

    Tschö
    Mark Heitbrink - MVP Windows Server - Group Policy
    Homepage: www.gruppenrichtlinien.de - deutsch
    GPO Tool: www.reg2xml.com - Registry Export File Converter

    Montag, 1. Juli 2013 11:20
  • Question
    Anmelden
    0
    Anmelden

    Hallo Mark

    Nein, setze ich nicht für alle Programme voraus - aber es sind die Windows-Systeme, welche - meines Wissens - Proxies unterstützen und von da her erwarte ich eigentlich, dass die Settings im System greifen...

    Wenn ein nacktes Windows mit konfiguriertem Proxy direkt ins Internet spricht, dann "generiert" mir das halt "ein paar Falten auf der Stirn" - wofür gibts denn die ganzen Policies für Proxy und so weiter?

    Es geht mir nur darum, wo ich Windows noch sagen kann, "benutze den Proxy", ob ich evt. etwas übersehen habe, evt. etwas noch nicht begriffen habe.

    -> Es ist Windows, das die .NET-Funktionalität nachrüsten will (AutoCAD-Setup stösst es meines Wissens nur an)...

    Vielen Dank für weitere Hilfen!

    Freundliche Grüsse

    David Wiedemann

    Montag, 1. Juli 2013 11:47
  • Question
    Anmelden
    0
    Anmelden
    Es geht mir nur darum, wo ich Windows noch sagen kann, "benutze den Proxy", ob ich evt. etwas übersehen habe, evt. etwas noch nicht begriffen habe.
    Du mußt es nicht Windows sagen, sondern dem ganzen Rudel von Anwendungen, Apps etc die da kommunizieren. Evlt liefert eine genauere Analyse der aufgerufenen URL einen Hinweis auf den Verursacher...

    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))

    Restore the forum design - my user defined Cascading Style Sheet!

    Montag, 1. Juli 2013 12:10
  • Question
    Anmelden
    0
    Anmelden

    Deine Erwartungshaltung ist berechtigt, aber ... auch die Windows Entwickler sind nur Entwickler und das OS besteht aus *wasweissdennichwieviel* Einzelkomponenten auf den verschiedensten Zeitaltern und Epochen der IT.

    Dein Windows System funktinioniert leider nicht "aus einem Guss".

    Deswegen ja die technische Lösung über den Transparent Proxy, denn das ist die einzige SChnittstelle, die du 100% unter Kontrolle hast, denn es ist nur eine einzige.

    Tschö
    Mark Heitbrink - MVP Windows Server - Group Policy
    Homepage: www.gruppenrichtlinien.de - deutsch
    GPO Tool: www.reg2xml.com - Registry Export File Converter

    Montag, 1. Juli 2013 12:13
  • Question
    Anmelden
    0
    Anmelden

    Hallo Martin

    Die Crux ist, da kommt noch gar keine URL (sniffe auf der Firewall)

    Wenn ich das Setup von AutoCAD starte, kommt eine Meldung von Windows:

    ----------------------------
    Windows-Features

    Von einer App auf dem PC wird das folgende Windows-Feature benötigt

    .NET Framework 3.5 (enthält .NET 2.0 und 3.0)
    ----------------------------

    Dann kann ich auswählen:
    * Herunterladen und installieren

    Wenn ich das dann mache, kommt der Fehler, dass das nicht geht, im Sniffer auf der Firewall sehe ich mit Port 80 Versuche des PCs auf die IPs 213.221.253.137 & ...138 zu verbinden (Nur SYN-Pakete, noch keine weiteren. Da sind noch keine URLs drin...).
    -> Diese IPs (mit nslookup aufgelöst) sind a213-221-253-137.deploy.akamaitechnologies.com, resp. a213-221-253-138.deploy.akamaitechnologies.com

    Unter Windows funktioniert das Aktivieren via Proxy, das Surfen im Browser, die Apps, Windows-Update (!)... ist das ein Bug von Windows, fehlt da noch eine Einstellung? Oder wie ist das? Was sagt MS selber dazu?

    Ich kann mir eigentlich fast nicht vorstellen, dass das nicht gehen soll :-(

    @Mark: Transparenten Proxy haben wir absichtlich nicht, da das wiederum andere Probleme mit sich bringt...

    Vielen Dank und freundliche Grüsse

    David Wiedemann


    Montag, 1. Juli 2013 13:16
  • Question
    Anmelden
    0
    Anmelden
    Für .NET gibt es zumindest eine Lösung:
    Dort kannst du den Pfad zu den Sourcen angeben und dann auf die CD verweisen.

    ... für alle anderen ... Sorry. Evtl. hilft es noch den Proxy PRO COMPUTER zu setzen, anstelle pro User, damit auch div. Dienste diesen nutzen.

    Gleicher Registry Eintrag wie unter HKCU, nur unter HKLM

    Tschö
    Mark Heitbrink - MVP Windows Server - Group Policy
    Homepage: www.gruppenrichtlinien.de - deutsch
    GPO Tool: www.reg2xml.com - Registry Export File Converter

    Montag, 1. Juli 2013 13:32
  • Question
    Anmelden
    0
    Anmelden

    Hallo Mark

    Vielen Dank für die Antwort - den Proxy für den Computer habe ich bereits gesetzt - von da her, schade :-(

    Hat vielleicht sonst noch 'wer eine Idee?

    Freundliche Grüsse

    David Wiedemann

    Montag, 1. Juli 2013 13:39
  • Question
    Anmelden
    0
    Anmelden

    Du könntest den Proxy auch in die Registry der Dienstkonten eintragen:
    HK_USers\S-...

    S-1-5-18 = System

    S-1-5-20 = Netzwerkdienst

    die -19 ist der LokaleDienst, denn kannst du auslassen, der darf garnicht über das Netzwerk kommunizieren.

    Tschö
    Mark Heitbrink - MVP Windows Server - Group Policy
    Homepage: www.gruppenrichtlinien.de - deutsch
    GPO Tool: www.reg2xml.com - Registry Export File Converter

    Montag, 1. Juli 2013 20:25
  • Question
    Anmelden
    0
    Anmelden

    Hallo Mark

    *seufz* - es klang so schön und plausibel - nur ist es leider noch nicht die Lösung meines Problems...

    Ich habe die Werte in die Registry eingetragen: <User>\Software\Windows\CurrentVersion\Internet Settings\Connection

    Habe da verschiedene Dinge gemacht:
     * WinHttpSettings (Wie aus HKLM)
     * DefaultConnectionSettings (Wie aus anderem Benutzer)
     * SavedLegacySettings (Wie aus anderem Benutzer)

    Ach, ja - hab' den Lokalen Dienst doch auch noch versucht - wenn alles nichts hilft, versucht man halt noch das, das sicher nicht das Problem sein sollte... ;-)

    Was für Möglichkeiten gibt es wohl noch?

    Vielen Dank trotzdem!

    Freundliche Grüsse

    David Wiedemann

    Dienstag, 2. Juli 2013 08:25
  • Question
    Anmelden
    1
    Anmelden

    ... also doch Transparent Proxy. Fertig :-)

    Tschö
    Mark Heitbrink - MVP Windows Server - Group Policy
    Homepage: www.gruppenrichtlinien.de - deutsch
    GPO Tool: www.reg2xml.com - Registry Export File Converter

    • Als Antwort vorgeschlagen Alex Pitulice Mittwoch, 3. Juli 2013 07:24
    • Als Antwort markiert Alex Pitulice Donnerstag, 4. Juli 2013 08:46
    Dienstag, 2. Juli 2013 09:43