Fehlerbehebung bei HTTP-Proxys für Umbrella Roaming Client unter Windows

Einleitung

In diesem Dokument wird die Fehlerbehebung bei HTTP-Proxys für Umbrella Roaming Client unter Windows beschrieben.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf Umbrella Roaming Client unter Windows.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Überblick

Auf einigen oder allen Computern in Ihrer Umbrella-Bereitstellung wird der Umbrella Roaming Client nicht ordnungsgemäß registriert. Sie bemerken dies, weil sich das Tray-Symbol des Umbrella Roaming Client auf einem Computer in einem roten Zustand befindet oder der Umbrella Roaming Client nicht wie erwartet im Dashboard angezeigt wird. Darüber hinaus verwenden Sie derzeit oder zu einem bestimmten Zeitpunkt einen HTTP-Proxy in Ihrem Netzwerk. Wenn ein Client Roaming nutzt, ist er über einen HTTP-Proxy online gegangen.

Sie führen derzeit einen HTTP-Proxy aus: Der Umbrella-Roaming-Client verwendet den Benutzer "SYSTEM", da er als Systemdienst ausgeführt wird, und Sie haben Konfigurationseinstellungen über Gruppenrichtlinienobjekt (Group Policy Object, GPO) oder ein anderes Remote Monitoring and Management (RMM)-Tool übertragen, das benutzerspezifische HTTP-Proxyeinstellungen für Benutzer in Ihrer Organisation bereitstellte. Darüber hinaus haben Sie in Ihrer Gateway-Firewall standardmäßige Deny-Regeln, die HTTP-/HTTPS-Datenverkehr nur zulassen, wenn er über den Proxy geleitet wird.

Sie haben in der Vergangenheit einen HTTP-Proxy ausgeführt: Der Benutzer "SYSTEM" hatte zuvor zu einem bestimmten Zeitpunkt HTTP-Proxy-Einstellungen festgelegt, die nun nicht mehr existieren. Da der Proxy nicht mehr vorhanden ist, erhält der SYSTEM-Benutzer eine Zeitüberschreitung, wenn er versucht, über HTTP/HTTPS auf Ressourcen zuzugreifen.

Dies ist ein hilfreiches Tool, um die Benutzerberechtigungen des SYSTEMS zu überprüfen. Führen Sie diese Schritte mit dem Dienstprogramm aus:

1. Verwenden Sie das Dienstprogramm, um "C:\Program Files\Internet Explorer\iexplore.exe" zu starten.

2. Gehen Sie zu https://api.opendns.com/v2/OnPrem.Asset. 

3. Suchen Sie nach "1005 Missing API Key" ohne Sicherheitsanweisungen. Wenn es Eingabeaufforderungen gibt, stellen Sie sicher, dass UDP/TCP 443 für "api.opendns.com", "crl4.digicert.com", "ocsp.digicert.com" geöffnet ist und dass die DigiCert-Stammzertifizierungsstelle auf dem System vorhanden ist. 

Wenn Ihre Firewall nicht authentifizierte Konten (wie das SYSTEM-Konto) daran hindert, auf die erforderlichen Websites zuzugreifen, müssen Umbrella-Registrierungsdomänen ausgenommen werden. Da der Roaming-Client die Registrierung vom SYSTEM-Benutzerkonto abruft, muss diese für die Voraussetzungen von Umbrella für nicht authentifizierten Zugriff geöffnet werden. 

Symptome

Das häufigste Symptom ist die fehlende Registrierung beim Dashboard oder die fehlende Synchronisierung mit der Umbrella API. Dies kann dazu führen, dass sich der Client entweder nie registriert (und daher nicht in den geschützten Modus wechselt) oder die Aktualisierung des Dashboards einstellt. 

Wenn diese Symptome auftreten, starten Sie den Roaming-Client-Dienst neu, und senden Sie nach dem Neustart ein Diagnoseprotokoll an den Support. Der Client enthält eine Proxy-Prüfung, die nur beim Start ausgeführt wird. 

Identifizieren, ob ein Proxy vorhanden ist

Überprüfen Sie zunächst die Protokolle.

Wenn in den Protokollen ein Protokolleintrag wie dieser angezeigt wird: 

2014-03-14 09:39:43 [2252] [INFO ] Trying to get Device ID from API... 
2014-03-14 09:39:43 [2252] [DEBUG] Sending GET to https://api.opendns.com/v3/organizations/XXXXX/roamingdevices/lookup?api-key=XXXXXXXXXXXXXXXXXXXXXXXXXX&deviceKey=XXX&userId=XXXXXXXX&fingerprint=XXXXXXXXXXXXXXXXXXX 

2014-03-14 09:39:43 [2252] [ERROR] Error creating DeviceID: The remote name could not be resolved: 'api.opendns.com'

Hier:

2014-12-08 09:25:27 [5700] [ERROR] POST failed: The operation has timed out

Oder hier:

2015-03-05 12:41:11 [4084] [ERROR] Error creating DeviceID: Unable to connect to the remote server

Es ist wahrscheinlich, dass Proxy-Einstellungen etwas damit zu tun haben.

Szenario 1

Das Protokoll zeigt an, dass "api.opendns.com" nicht aufgelöst werden kann.

The remote name could not be resolved: 'api.opendns.com'

Dies kann durch mehrere Probleme verursacht werden:

• DNS-Auflösung schlägt bei Ihrer Netzwerkverbindung fehl: Stellen Sie sicher, dass die DNS-Server von Umbrella in Ihrer Firewall zugelassen sind, wenn Sie DNS-Server von Drittanbietern blockieren.
• Sie haben einen Proxy-Server, der die Verbindung nicht zulässt: Wenn Sie einen Proxy-Server haben, ist es wahrscheinlich am besten, die Liste "*.opendns.com" zuzulassen, damit sie die Registrierung oder die API-Synchronisierung nicht beeinträchtigt.
• Port 443/TCP ist auf bestimmte IP-Bereiche beschränkt: Wenn Sie sehr strenge Firewall-Regeln verwenden, müssen Sie 443/TCP vorübergehend für alle ausgehenden Verbindungen öffnen. Der Umbrella Roaming Client muss das SSL-Zertifikat aus dem GeoTrust IP/Domain-Bereich abrufen.

Die spezifischen Firewall-Anforderungen von Umbrella finden Sie im Artikel Voraussetzungen für Roaming-Clients von Umbrella, in dem HTTP-Proxys aufgerufen werden.

Szenario 2 und 3

Das Protokoll zeigt an, dass "proxyserver.exampledomain.com" nicht aufgelöst werden kann.

2014-03-14 09:39:43 [2252] [ERROR] Error creating DeviceID: The remote name could not be resolved: 'proxy1.exampledomain.com'

Das Protokoll zeigt an, dass es versucht, Informationen an die Umbrella-API ("api.opendns.com") zu senden, aber der resultierende Fehler besagt, dass es versucht hat, eine Verbindung mit "proxy1.exampledomain.com" herzustellen.

Der Grund hierfür ist, dass der Umbrella Roaming Client die Proxyeinstellungen des "SYSTEM"-Benutzers des Computers verwendet, wobei der .NET Framework-Aufruf von WebRequest.DefaultWebProxy verwendet wird. Dies wird in der Regel über das Gruppenrichtlinienobjekt (Group Policy Object, GPO) festgelegt. Wenn dieser Schlüssel nicht ausdrücklich gelöscht wird, kann er langfristig in der Registrierung verbleiben. Wenn dieser Proxyserver nicht mehr vorhanden ist oder auf einem anderen Host aktualisiert werden muss, können Sie die Einstellungen mithilfe der folgenden Methoden ändern.

Szenario 4

Im Protokoll wird folgende Meldung angezeigt:

Error creating DeviceID: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.

Es sind jedoch keine Firewall-Blöcke für UDP/TCP crl4.digicert.com oder ocsp.digicert.com vorhanden. Wenn der Computer zu einem anderen Netzwerk (z. B. einem mobilen Hotspot) weitergeleitet wird, besteht das Problem weiter. 

Führen Sie diesen Befehl aus, um festzustellen, ob hier noch ein Proxy festgelegt ist:

netsh winhttp show proxy

Dieser Speicherort für die Proxyeinstellungen wird von der Microsoft Kryptografie-API v2 im Rahmen der .NET Framework-Zertifikatvalidierung verwendet. Wenn dieser Proxy vorhanden ist, kann dies dazu führen, dass diese Validierung fehlschlägt. Weitere Informationen finden Sie im Microsoft Support-Artikel "Description of the Cryptography API proxy detection mechanism when download a Certificate Revocation List (CRL) from a CRL distribution point" (Beschreibung des Erkennungsmechanismus des Kryptografie-API-Proxys beim Herunterladen einer Zertifikatsperrliste (Certificate Revocation List, CRL) von einem CRL-Verteilungspunkt.)

Anmerkung: Szenario 4 kann auch durch PCI-Compliance-Einstellungen und .NET verursacht werden, wenn TLS 1.0 deaktiviert ist. Weitere Informationen finden Sie in diesem Artikel der Umbrella Knowledge Base.

Hinzufügen oder Entfernen von Proxyeinstellungen

Warnung: Diese Einstellung wird normalerweise mithilfe von GPO oder einem Skript festgelegt. Es ist nicht üblich, dass diese Einstellung auf einem einzelnen Computer vorgenommen wird. Umbrella empfiehlt, diese Methode nur zu verwenden, wenn Sie auf einem einzelnen Computer testen möchten, oder wenn Sie glauben, dass diese Einstellung für diesen Computer einzigartig ist. Wechseln Sie zur nächsten Methode, um Informationen zur Verwendung des Gruppenrichtlinienobjekts für eine ganze Gruppe zu erhalten.

PsExec und Internet Explorer (IE 10 oder höher)

1. PsExec herunterladen und extrahieren

2. Laden Sie eine administrative Eingabeaufforderung (klicken Sie mit der rechten Maustaste > Als Administrator ausführen).

3. Verwenden Sie "cd", um zum extrahierten PSTools-Verzeichnis zu wechseln.

cd C:\Path\To\PSTools\

4. Führen Sie diesen Befehl aus, um Internet Explorer als "SYSTEM"-Benutzer zu öffnen:

PsExec.exe /i /s "C:\Program Files\Internet Explorer\iexplore.exe"

Führen Sie PsExe.exe als SYSTEM-Benutzer aus.

5. Öffnen Sie Internetoptionen im Menü Einstellungen (cog) von Internet Explorer.

6. Wählen Sie auf der Registerkarte Verbindungen die Option LAN-Einstellungen (Local Area Network), und ändern oder löschen Sie die Proxyeinstellungen nach Bedarf.

Ändern oder Löschen der Proxyeinstellungen in den LAN-Einstellungen

7. Wählen Sie OK, dann Übernehmen, und schließen Sie Internet Explorer.

Der Umbrella Roaming Client wird innerhalb von etwa drei Minuten registriert.

Alternative (Registrierung)

1. Überprüfen Sie den Schlüssel unter HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings für die Proxyeinstellungen. Wenn ein Proxy vorhanden ist, wird dieser unter den IE-Verbindungseinstellungen des Systembenutzers angezeigt.

2. Führen Sie zum Entfernen aus der Registrierung die folgenden Schritte aus, um die Einstellungen des aktuellen Benutzers ohne Proxy zu kopieren:

1. Öffnen Sie den Schlüssel unter HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings, und kopieren Sie den Wert.

2. Kopieren Sie es in den gleichen Schlüssel unter HKEY_USERS\S-1-5-18 (der SYSTEM-Benutzer).

3. Starten Sie den Roaming-Client neu, um zu überprüfen, ob die Registrierung erfolgreich ist.

PsExec und MMC (IE9 oder frühere Version)

1. PsExec herunterladen und extrahieren

2. Laden Sie eine administrative Eingabeaufforderung (klicken Sie mit der rechten Maustaste > Als Administrator ausführen).

3. Verwenden Sie "cd", um zum extrahierten PSTools-Verzeichnis zu wechseln.

4. Führen Sie diesen Befehl aus:

PsExec.exe /i /s mmc

5. Nachdem die MMC geladen wurde, laden Sie das Gruppenrichtlinienobjekt-Snap-In.

GPO-Snap-In

6. Navigieren Sie zu den Einstellungen für lokale Verbindungen, und ändern oder löschen Sie die Proxy-Serverinformationen nach Bedarf.

7. Wählen Sie OK in allen Menüs, und der Umbrella Roaming Client registriert sich dann. 
Lokale Verbindungseinstellungen

Registrierung bearbeiten

Je nach Windows Server-Version funktioniert die Verwendung der zuvor genannten Schritte mit der MMC-Konsole und die Auswahl der richtigen Gruppe.

Wenn Ihre Windows Server-Version nicht über diese Einstellungen verfügt, können Sie diese Einstellung über die Registrierung ändern oder löschen, um diese Einstellung auf globaler Ebene (mehrere Computer) zu löschen.

HKEY_BENUTZER

.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Einstellungen\Verbindungen\DefaultVerbindungseinstellungen

Verbindungseinstellungen im Gruppenrichtlinienobjekt löschen

Dieser Screenshot ist ein Beispiel für eine ältere Version von IE für Legacy-Anwendungen. Wenn die Proxywerte aus dem Gruppenrichtlinienobjekt oder den lokalen Einstellungen entfernt werden, kann sich der Umbrella-Roaming-Client verbinden und als Systembenutzer registrieren (abhängig von diesen IE-Proxyeinstellungen). 

Proxywerte entfernen

Wenn eine dieser Methoden nicht funktioniert, öffnen Sie bitte ein Umbrella Support Ticket über das Dashboard und lesen Sie diesen Artikel.