أستكشاف أخطاء بروتوكولات HTTP وإصلاحها لعميل Umbrella Roaming Client على Windows

المقدمة

يوضح هذا المستند كيفية أستكشاف أخطاء بروتوكولات HTTP وإصلاحها الخاصة ب Umbrella Roaming Client على Windows.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى Umbrella Roaming Client على Windows.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

نظرة عامة

في بعض أو جميع أجهزة الكمبيوتر الموجودة في نشر Umbrella، لا يتم تسجيل Umbrella Roaming Client بشكل صحيح. يمكنك ملاحظة ذلك لأن أيقونة درج عميل التجوال Umbrella في حالة حمراء على الجهاز، أو لأن عميل التجوال Umbrella لا يظهر في لوحة المعلومات كما هو متوقع. بالإضافة إلى ذلك، أنت حاليا، أو لديك في نقطة واحدة، إستخدام وكيل HTTP على شبكتك. إذا كان أحد العملاء يتجول، فقد تم الاتصال به من خلال وكيل HTTP.

تقوم حاليا بتشغيل وكيل HTTP: يستخدم Umbrella Roaming Client المستخدم "SYSTEM"، نظرا لأنه يعمل كخدمة نظام، وقد قمت بدفع إعدادات التكوين من خلال "كائن نهج المجموعة" (GPO)، أو أداة أخرى للمراقبة والإدارة عن بعد (RMM)، والتي توفر إعدادات وكيل HTTP الخاصة بالمستخدم إلى المستخدمين في مؤسستك. بالإضافة إلى ذلك، لديك قواعد الرفض الافتراضية في جدار حماية البوابة التي لا تسمح بحركة مرور HTTP/HTTPS ما لم تكن تمر عبر الوكيل.

لقد قمت بتشغيل وكيل HTTP في الماضي: كان لدى مستخدم "النظام" إعدادات وكيل HTTP تم تعيينها في نقطة ما في الماضي، والآن لم يعد هذا الوكيل موجودا. نظرا لأن الوكيل لم يعد موجودا، يستلم مستخدم النظام مهلة عند محاولة الوصول إلى الموارد عبر HTTP/HTTPS.

تعد هذه أداة مفيدة للتحقق من أذونات مستخدمي النظام. أكمل الخطوات التالية باستخدام الأداة المساعدة:

1. أستخدم الأداة المساعدة لبدء تشغيل "C:\Program Files\InternetExplorer\iexplore.exe".

2. انتقل إلى https://api.opendns.com/v2/OnPrem.Asset. 

3. ابحث عن "مفتاح واجهة برمجة التطبيقات (API) المفقود لعام 1005" بدون أية مطالبات أمان. إذا كانت هناك مطالبات، فتأكد من فتح UDP/TCP 443 على "api.opendns.com" و"crl4.digicert.com" و"ocsp.digicert.com" وأن المرجع المصدق الجذر ل DigiCert موجود على النظام. 

إذا كان جدار الحماية الخاص بك يمنع الحسابات غير المصدق عليها (مثل حساب النظام) من الوصول إلى المواقع الضرورية، فيجب إعفاء مجالات تسجيل Umbrella. بما أن "العميل المتجول" يستدعي التسجيل من حساب مستخدم النظام، فيجب فتح هذا الأمر لمتطلبات Umbrella الأساسية للوصول غير المصدق عليه. 

الأعراض

يتمثل أحد الأعراض الأكثر شيوعا في فشل التسجيل إلى لوحة المعلومات أو المزامنة مع واجهة برمجة تطبيقات Umbrella. قد يتسبب ذلك في عدم تسجيل العميل أبدا (وبالتالي عدم إدخال وضع محمي)، أو التوقف عن تحديث لوحة المعلومات. 

إذا ظهرت هذه الأعراض، قم بإعادة تشغيل خدمة "عميل التجوال"، ثم قم بإرسال سجل تقرير تشخيصي إلى الدعم مباشرة بعد إعادة التشغيل. يتضمن العميل التحقق من الوكيل الذي يتم تشغيله فقط عند بدء تشغيله. 

تحديد ما إذا كان هناك وكيل

أولا، تحقق من السجلات.

إذا ظهرت في السجلات عملية إدخال سجل مماثلة لما يلي: 

2014-03-14 09:39:43 [2252] [INFO ] Trying to get Device ID from API... 
2014-03-14 09:39:43 [2252] [DEBUG] Sending GET to https://api.opendns.com/v3/organizations/XXXXX/roamingdevices/lookup?api-key=XXXXXXXXXXXXXXXXXXXXXXXXXX&deviceKey=XXX&userId=XXXXXXXX&fingerprint=XXXXXXXXXXXXXXXXXXX 

2014-03-14 09:39:43 [2252] [ERROR] Error creating DeviceID: The remote name could not be resolved: 'api.opendns.com'

هذا:

2014-12-08 09:25:27 [5700] [ERROR] POST failed: The operation has timed out

أو هذا:

2015-03-05 12:41:11 [4084] [ERROR] Error creating DeviceID: Unable to connect to the remote server

من المحتمل أن إعدادات الوكيل لها علاقة بهذا.

السيناريو 1

يظهر السجل أنه لا يمكنه حل "api.opendns.com."

The remote name could not be resolved: 'api.opendns.com'

قد يرجع هذا إلى العديد من المشاكل:

• فشل تحليل DNS على اتصال الشبكة: تأكد من السماح بخوادم DNS الخاصة ب Umbrella في جدار الحماية الخاص بك إذا قمت بحظر خوادم DNS التابعة لجهة خارجية.
• لديك خادم وكيل لا يسمح بإجراء الاتصال: إذا كان لديك خادم وكيل، فمن الأفضل السماح بالقائمة "*.opendns.com" حتى لا يتعارض مع التسجيل أو مزامنة API.
• لديك المنفذ 443/TCP يقتصر على نطاقات IP المحددة: إذا كنت تستخدم قواعد جدار حماية صارمة للغاية، فأنت بحاجة إلى فتح 443/TCP إلى جميع الاتصالات الصادرة مؤقتا. يحتاج عميل Umbrella المتجول إلى إحضار شهادة SSL من مساحة المجال/IP الخاصة ب GeoTrust.

يمكنك القراءة حول إحتياجات جدار الحماية الخاصة ب Umbrella في مقالة المتطلبات الأساسية لعميل التجوال الخاصة ب Umbrella، والتي تستدعى وكلاء HTTP.

سيناريوهان 2 و 3

يظهر السجل أنه لا يمكنه حل "proxyserver.exampledomain.com."

2014-03-14 09:39:43 [2252] [ERROR] Error creating DeviceID: The remote name could not be resolved: 'proxy1.exampledomain.com'

يظهر السجل أنه يحاول إرسال معلومات إلى Umbrella API ("api.opendns.com")، لكن الخطأ الناتج يقول إنه حاول الاتصال ب "proxy1.exammetromain.com"

السبب في حدوث هذا هو أن Umbrella Roaming Client يستخدم إعدادات وكيل مستخدم "SYSTEM" الخاص بالكمبيوتر باستخدام إستدعاء .NET Framework ل WebRequest.DefaultWebProxy. يتم تعيين هذا بشكل شائع من خلال "كائن نهج المجموعة" (GPO)، وإذا لم يتم حذف هذا المفتاح تحديدا، يمكن أن يبقى في السجل على المدى الطويل. إذا لم يعد خادم الوكيل هذا موجودا أو كان بحاجة إلى التحديث إلى مضيف مختلف، فيمكنك تعديل الإعدادات عبر الطرق أدناه.

السيناريو 4

السجل يبدي هذا رسالة:

Error creating DeviceID: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.

ومع ذلك، لا توجد أي كتل لجدار الحماية في موضعها إلى UDP/TCP crl4.digicert.com أو ocsp.digicert.com. في حالة نقل الكمبيوتر إلى شبكة مختلفة (مثل نقطة اتصال الهواتف الجوالة)، تستمر المشكلة. 

قم بتشغيل هذا الأمر لتحديد ما إذا كان هناك وكيل لا يزال مضبوطا هنا:

netsh winhttp show proxy

يتم إستخدام موقع إعدادات الوكيل هذا من قبل Microsoft Cryptography API v2 كجزء من التحقق من صحة شهادة .NET Framework. إذا كان هذا الوكيل في موضعه، فقد يؤدي إلى فشل التحقق من الصحة. لمزيد من المعلومات، ارجع إلى مقالة دعم Microsoft "وصف آلية اكتشاف وكيل واجهة برمجة تطبيقات التشفير (CRL) عند تنزيل قائمة إبطال الشهادات (CRL) من نقطة توزيع CRL".

ملاحظة: كما يمكن أن ينتج السيناريو 4 عن إعدادات التوافق مع PCI و.NET إذا تم تعطيل TLS 1.0. راجع مقالة قاعدة معارف Umbrella هذه للحصول على مزيد من المعلومات.

إضافة إعدادات الوكيل أو إزالتها

تحذير: يتم ضبط هذا الإعداد عادة باستخدام GPO أو نوع من البرامج النصية. وليس شائعا ان يكون ذلك معينا على كمبيوتر فردي. توصي Umbrella باستخدام هذه الطريقة فقط إذا كنت تريد الاختبار على كمبيوتر واحد، أو تعتقد أن هذا الإعداد فريد لهذا الكمبيوتر. الرجاء التخطي إلى الطريقة التالية للحصول على معلومات حول إستخدام GPO للمجموعة بأكملها.

PsExec و Internet Explorer (IE 10 أو إصدار أحدث)

1. تنزيل PsExec واستخراجه.

2. تحميل موجه أوامر إدارية (انقر بزر الماوس الأيمن > تشغيل كمسؤول).

3. أستخدم "cd" للتغيير إلى دليل PSTools المستخرج.

cd C:\Path\To\PSTools\

4. قم بتشغيل هذا الأمر لفتح Internet Explorer كمستخدم "النظام":

PsExec.exe /i /s "C:\Program Files\Internet Explorer\iexplore.exe"

تشغيل PsExe.exe كمستخدم للنظام

5. افتح خيارات إنترنت من القائمة إعدادات (cog) في Internet Explorer.

6. في علامة التبويب إتصالات، حدد إعدادات شبكة المنطقة المحلية (LAN) وقم بتغيير أو حذف إعدادات الوكيل حسب الحاجة.

تغيير أو حذف إعدادات الوكيل في إعدادات LAN

7. حدد موافق، ثم تطبيق، وأغلق Internet Explorer.

يتم تسجيل Umbrella Roaming Client في غضون ثلاث دقائق تقريبا.

البديل (السجل)

1. تحقق من المفتاح في HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings لإعدادات الوكيل. في حالة وجود واحد، سيؤدي ذلك إلى عرض الوكيل مسبقا ضمن إعدادات اتصال IE الخاصة بمستخدم النظام.

2. للإزالة في السجل، أكمل الخطوات التالية لنسخ الإعدادات التي لا تحتاج إلى وكيل من المستخدم الحالي:

1. افتح المفتاح على HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings وانسخ القيمة.

2. انسخه إلى المفتاح نفسه تحت HKEY_USERS\S-1-5-18 (مستخدم النظام).

3. قم بإعادة تشغيل "العميل المتجول" للتحقق مما إذا كان التسجيل ناجحا.

PsExec و MMC (IE9 أو إصدار سابق)

1. تنزيل PsExec واستخراجه.

2. تحميل موجه أوامر إدارية (انقر بزر الماوس الأيمن > تشغيل كمسؤول).

3. أستخدم "cd" للتغيير إلى دليل PSTools المستخرج.

4. قم بتشغيل هذا الأمر:

PsExec.exe /i /s mmc

5. بمجرد تحميل MMC، قم بتحميل الأداة الإضافية "كائن نهج المجموعة".

الأداة الإضافية GPO

6. انتقل إلى إعدادات الاتصال المحلية وقم بتغيير أو حذف معلومات الخادم الوكيل حسب الحاجة.

7. حدد موافق في جميع القوائم، ثم يقوم العميل المتجول Umbrella بالتسجيل. 
إعدادات الاتصال المحلي

تحرير السجل

اعتمادا على إصدار Windows Server الخاص بك، أستخدم الخطوات المذكورة مسبقا باستخدام وحدة تحكم MMC وتحديد عمل المجموعة الصحيحة.

إذا كان إصدار Windows Server الخاص بك لا يحتوي على هذه الإعدادات، فيمكنك تعديل هذا الإعداد أو حذفه من خلال السجل لإزالة هذا الإعداد على مستوى عمومي (أجهزة كمبيوتر متعددة).

hkey_users

.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings

حذف إعدادات الاتصال في GPO

لقطة الشاشة هذه هي مثال لإصدار أقدم من IE للتطبيقات القديمة. إن إزالة قيم الوكيل من GPO أو الإعدادات المحلية من شأنه أن يسمح ل Umbrella Roaming Client بالاتصال والتسجيل كمستخدم للنظام (خاضع لإعدادات وكيل IE هذه). 

إزالة قيم الوكيل

إذا لم ينجح أي من هذه الأساليب، فيرجى فتح تذكرة دعم Umbrella من خلال لوحة المعلومات والإشارة إلى هذه المقالة.