Solucionar problemas de proxy HTTP para Umbrella Roaming Client en Windows
Contenido
Introducción
Este documento describe cómo resolver problemas de proxies HTTP para Umbrella Roaming Client en Windows.
Prerequisites
Requirements
No hay requisitos específicos para este documento.
Componentes Utilizados
La información de este documento se basa en Umbrella Roaming Client en Windows.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Overview
En algunos o todos los equipos de la implementación de Umbrella, el cliente de roaming de Umbrella no se está registrando correctamente. Esto se debe a que el icono de la bandeja de Umbrella Roaming Client está en estado rojo en una máquina o a que Umbrella Roaming Client no se muestra en el panel como se esperaba. Además, actualmente está utilizando, o ha utilizado en algún momento, un proxy HTTP en su red. Si un cliente está en roaming, se ha conectado a través de un proxy HTTP.
Actualmente ejecuta un proxy HTTP: El cliente de roaming de Umbrella utiliza el usuario "SYSTEM", ya que se ejecuta como un servicio del sistema y se han eliminado los valores de configuración a través del objeto de directiva de grupo (GPO) u otra herramienta de administración y supervisión remotas (RMM), que proporcionaba valores de configuración de proxy HTTP específicos del usuario a los usuarios de la organización. Además, dispone de reglas de denegación predeterminadas en el firewall del gateway que no permiten el tráfico HTTP/HTTPS a menos que pase a través del proxy.
Ha ejecutado un proxy HTTP anteriormente: El usuario "SYSTEM" tenía previamente la configuración de proxy HTTP establecida en algún momento en el pasado, y ahora ese proxy ya no existe. Debido a que el proxy ya no existe, el usuario SYSTEM recibe un tiempo de espera al intentar acceder a los recursos a través de HTTP/HTTPS.
Esta es una herramienta útil para verificar los permisos de usuario del SISTEMA. Complete estos pasos con la utilidad:
1. Utilice la utilidad para iniciar "C:\Program Files\Internet Explorer\iexplore.exe".
2. Vaya a https://api.opendns.com/v2/OnPrem.Asset.
3. Busque "1005 Missing API Key" (1005 falta clave de API) sin ningún mensaje de seguridad. Si hay mensajes, asegúrese de que UDP/TCP 443 esté abierto en "api.opendns.com", "crl4.digicert.com", "ocsp.digicert.com" y que la CA raíz de DigiCert esté presente en el sistema.
Si el firewall impide que las cuentas no autenticadas (como la cuenta SYSTEM) accedan a los sitios necesarios, los dominios de registro de Umbrella deben estar exentos. Dado que el cliente de roaming solicita el registro desde la cuenta de usuario SYSTEM, esto debe abrirse para que los requisitos previos de Umbrella permitan el acceso no autenticado.
Síntomas
El síntoma más común es un error al registrarse en el Panel o al sincronizar con la API Umbrella. Esto puede hacer que el cliente no se registre nunca (y, por lo tanto, no entre en un modo protegido) o que deje de actualizar el panel.
Si observa estos síntomas, reinicie el servicio Cliente de roaming y luego envíe un registro de informe de diagnóstico para que sea compatible inmediatamente después de reiniciar. El cliente incluye una comprobación de proxy que sólo se ejecuta al inicio.
Identificar si hay un proxy
En primer lugar, compruebe los registros.
Si, en los registros, ve una entrada de registro similar a esta:
2014-03-14 09:39:43 [2252] [INFO ] Trying to get Device ID from API...
2014-03-14 09:39:43 [2252] [DEBUG] Sending GET to https://api.opendns.com/v3/organizations/XXXXX/roamingdevices/lookup?api-key=XXXXXXXXXXXXXXXXXXXXXXXXXX&deviceKey=XXX&userId=XXXXXXXX&fingerprint=XXXXXXXXXXXXXXXXXXX
2014-03-14 09:39:43 [2252] [ERROR] Error creating DeviceID: The remote name could not be resolved: 'api.opendns.com'
Esto:
2014-12-08 09:25:27 [5700] [ERROR] POST failed: The operation has timed out
O esto:
2015-03-05 12:41:11 [4084] [ERROR] Error creating DeviceID: Unable to connect to the remote server
Es probable que la configuración de proxy tenga algo que ver con esto.
Escenario 1
El registro muestra que no puede resolver "api.opendns.com".
The remote name could not be resolved: 'api.opendns.com'
Esto puede deberse a varios problemas:
- La resolución DNS falla en la conexión de red: asegúrese de que los servidores DNS de Umbrella están permitidos en el firewall si bloquea servidores DNS de terceros.
- Tiene un servidor proxy que no permite que se realice la conexión: Si tiene un servidor proxy, probablemente sea mejor permitir la lista "*.opendns.com" para que no interfiera con el registro o la sincronización de la API.
- El puerto 443/TCP está limitado a ámbitos IP específicos: Si utiliza reglas de firewall muy estrictas, debe abrir 443/TCP a todas las conexiones salientes temporalmente. El cliente de roaming de Umbrella necesita obtener el certificado SSL del espacio de dominio/IP de GeoTrust.
Puede leer acerca de las necesidades específicas del firewall de Umbrella en el artículo de Prerrequisitos del cliente de roaming de Umbrella, que llama a los proxies HTTP.
Escenarios 2 y 3
El registro muestra que no puede resolver "proxyserver.exampledomain.com".
2014-03-14 09:39:43 [2252] [ERROR] Error creating DeviceID: The remote name could not be resolved: 'proxy1.exampledomain.com'
El registro muestra que está intentando enviar información a la API de Umbrella ("api.opendns.com"), pero el error resultante indica que ha intentado conectarse a "proxy1.examsearchomain.com"
Esto se debe a que Umbrella Roaming Client usa la configuración de proxy del usuario "SYSTEM" del equipo mediante la llamada a .NET Framework de WebRequest.DefaultWebProxy. Esto se suele establecer a través del objeto de directiva de grupo (GPO) y, a menos que se elimine específicamente esta clave, puede permanecer en el Registro a largo plazo. Si este servidor proxy ya no existe o necesita actualizarse a un host diferente, puede modificar la configuración mediante los métodos que se indican a continuación.
Situación 4
El registro muestra este mensaje:
Error creating DeviceID: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.Sin embargo, no existen bloques de firewall para UDP/TCP crl4.digicert.com o ocsp.digicert.com. Si el equipo se lleva a una red diferente (por ejemplo, una zona Wi-Fi móvil), el problema continúa.
Ejecute este comando para determinar si todavía hay un proxy establecido aquí:
netsh winhttp show proxyLa API de criptografía de Microsoft v2 utiliza esta ubicación de configuración de proxy como parte de la validación de certificados de .NET Framework. Si este proxy está instalado, puede hacer que esta validación falle. Para obtener más información, consulte el artículo de soporte técnico de Microsoft "Descripción del mecanismo de detección de proxy de la API de criptografía al descargar una lista de revocación de certificados (CRL) desde un punto de distribución de CRL".
Nota: La situación 4 también puede ser causada por la configuración de cumplimiento de PCI y .NET si TLS 1.0 está inhabilitado. Consulte este artículo de la base de conocimientos de Umbrella para obtener más información.
Agregar o quitar configuración de proxy
Advertencia: Esta configuración se establece normalmente mediante GPO o algún tipo de secuencia de comandos. No es común que esto se establezca en un equipo individual. Umbrella recomienda utilizar este método sólo si desea realizar la prueba en un equipo individual o si cree que esta configuración es exclusiva de este equipo. Pase al método siguiente para obtener información acerca de cómo usar GPO para un grupo completo.
PsExec e Internet Explorer (IE 10 o posterior)
1. Descargue y extraiga PsExec.
2. Cargue un símbolo del sistema administrativo (haga clic con el botón derecho > Ejecutar como administrador).
3. Utilice "cd" para cambiar al directorio PSTools extraído.
cd C:\Path\To\PSTools\
4. Ejecute este comando para abrir Internet Explorer como el usuario "SYSTEM":
PsExec.exe /i /s "C:\Program Files\Internet Explorer\iexplore.exe"
Ejecute PsExe.exe como el usuario SYSTEM
5. Abra Opciones de Internet desde el menú Configuración (cog) en Internet Explorer.
6. En la ficha Conexiones, seleccione Configuración de red de área local (LAN) y cambie o elimine la configuración de proxy según sea necesario.
Cambiar o eliminar la configuración de proxy en la configuración de LAN
7. Seleccione Aceptar, Aplicar y cierre Internet Explorer.
El cliente de roaming de Umbrella se registra en aproximadamente tres minutos.
Alternativa (Registro)
1. Compruebe la clave en HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings para obtener la configuración de proxy. Si hay una, el proxy se mostrará antes en la configuración de conexión de IE del usuario del sistema.
2. Para eliminar en el Registro, siga estos pasos para copiar la configuración sin proxy del usuario actual:
1. Abra la clave en HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings y copie el valor.
2. Copie el archivo en la misma clave bajo HKEY_USERS\S-1-5-18 (el usuario SYSTEM).
3. Reinicie el cliente de roaming para validar si el registro se realiza correctamente.
PsExec y MMC (IE9 o anterior)
1. Descargue y extraiga PsExec.
2. Cargue un símbolo del sistema administrativo (haga clic con el botón derecho > Ejecutar como administrador).
3. Utilice "cd" para cambiar al directorio PSTools extraído.
4. Ejecute este comando:
PsExec.exe /i /s mmc
5. Una vez que se carga MMC, cargue el complemento Objeto de directiva de grupo.
Complemento GPO
6. Navegue hasta Configuración de la conexión local y cambie o elimine la información del servidor proxy según sea necesario.
7. Seleccione Aceptar en todos los menús y, a continuación, se registrará el cliente de roaming de Umbrella. 
Configuración de conexión local
Editar registro
Dependiendo de su versión de Windows Server, los pasos mencionados anteriormente, utilizando la consola MMC y seleccionando el grupo correcto, funcionan.
Si la versión de Windows Server no tiene esta configuración, puede modificarla o eliminarla a través del Registro para purgarla a nivel global (varios equipos).
HKEY_USERS
.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Configuración\Conexiones\DefaultConnectionSettings
Eliminar la configuración de conexión en el GPO
Esta captura de pantalla es un ejemplo de una versión anterior de IE para aplicaciones antiguas. Si se quitan los valores de proxy del GPO o de la configuración local, el cliente de roaming de Umbrella podrá conectarse y registrarse como usuario del sistema (sujeto a esta configuración de proxy de IE).
Quitar valores de proxy
Si alguna de estas metodologías no funciona, abra un ticket de Umbrella Support a través del panel y consulte este artículo.
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
08-Sep-2025
|
Versión inicial |
Comentarios