Risoluzione dei problemi relativi ai proxy HTTP per il client Umbrella Roaming su Windows

Opzioni per il download

  • PDF     (962.3 KB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:5 settembre 2025
ID documento:224811

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come risolvere i problemi relativi ai proxy HTTP per Umbrella Roaming Client su Windows.

    Prerequisiti

    Requisiti

    Nessun requisito specifico previsto per questo documento.

    Componenti usati

    Le informazioni fornite in questo documento si basano sul client Umbrella Roaming di Windows.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Panoramica

    In alcuni o in tutti i computer della distribuzione Umbrella, il client di roaming Umbrella non viene registrato correttamente. Ciò si verifica perché l'icona del client Umbrella Roaming sulla barra delle applicazioni è in uno stato rosso su un computer oppure il client Umbrella Roaming non viene visualizzato nel dashboard come previsto. Inoltre, attualmente si sta utilizzando, o si è mai utilizzato, un proxy HTTP nella rete. Se un client è in roaming, è stato connesso tramite un proxy HTTP.

    È attualmente in esecuzione un proxy HTTP: Il client Umbrella Roaming utilizza l'utente "SYSTEM", in quanto viene eseguito come servizio di sistema e le impostazioni di configurazione sono state rimosse tramite l'oggetto Criteri di gruppo o un altro strumento di monitoraggio e gestione remota (RMM), che ha fornito impostazioni proxy HTTP specifiche dell'utente agli utenti dell'organizzazione. Inoltre, nel firewall del gateway sono presenti regole di negazione predefinite che non consentono il traffico HTTP/HTTPS a meno che il traffico non passi attraverso il proxy.

    È stato eseguito un proxy HTTP in precedenza: L'utente "SYSTEM" aveva precedentemente le impostazioni del proxy HTTP impostate in passato e ora il proxy non esiste più. Poiché il proxy non esiste più, l'utente SYSTEM riceve un timeout quando tenta di accedere alle risorse tramite HTTP/HTTPS.

    Si tratta di uno strumento utile per verificare le autorizzazioni utente SYSTEM. Completare questi passaggi con l'utility:

    1. Utilizzare l'utilità per avviare "C:\Program Files\Internet Explorer\iexplore.exe".

    2. Visitare il sito https://api.opendns.com/v2/OnPrem.Asset. 

    3. Cercare "1005 Missing API Key" senza alcuna richiesta di protezione. Se vengono visualizzate richieste, verificare che UDP/TCP 443 sia aperto in "api.opendns.com", "crl4.digicert.com", "ocsp.digicert.com" e che la CA radice DigiCert sia presente nel sistema. 

    Se il firewall impedisce agli account non autenticati (come l'account SYSTEM) di accedere ai siti necessari, è necessario esentare i domini di registrazione Umbrella. Dal momento che il client di roaming effettua la registrazione dall'account utente SYSTEM, è necessario aprire tale registrazione per consentire ai prerequisiti di Umbrella di accedere in modo non autenticato. 

    Sintomi

    Il sintomo più comune è la mancata registrazione nel dashboard o la sincronizzazione con l'API Umbrella. In questo modo, il client potrebbe non eseguire mai la registrazione (e quindi non accedere a una modalità protetta) oppure interrompere l'aggiornamento del dashboard. 

    Se si riscontrano questi sintomi, riavviare il servizio Client roaming, quindi inviare un log di report di diagnostica per il supporto subito dopo il riavvio. Il client include un controllo proxy che viene eseguito solo all'avvio. 

    Identificazione della presenza di un proxy

    Per prima cosa, controllare i registri.

    Se nei log viene visualizzata una voce simile alla seguente: 

    2014-03-14 09:39:43 [2252] [INFO ] Trying to get Device ID from API... 
    2014-03-14 09:39:43 [2252] [DEBUG] Sending GET to https://api.opendns.com/v3/organizations/XXXXX/roamingdevices/lookup?api-key=XXXXXXXXXXXXXXXXXXXXXXXXXX&deviceKey=XXX&userId=XXXXXXXX&fingerprint=XXXXXXXXXXXXXXXXXXX 

    2014-03-14 09:39:43 [2252] [ERROR] Error creating DeviceID: The remote name could not be resolved: 'api.opendns.com'

    Questo:

    2014-12-08 09:25:27 [5700] [ERROR] POST failed: The operation has timed out

    Oppure:

    2015-03-05 12:41:11 [4084] [ERROR] Error creating DeviceID: Unable to connect to the remote server

    È probabile che le impostazioni proxy abbiano a che fare con questo.

    Scenario 1

    Il registro indica che non è possibile risolvere "api.opendns.com".

    The remote name could not be resolved: 'api.opendns.com'

    Ciò può essere causato da diversi problemi:

    • Risoluzione DNS non riuscita sulla connessione di rete. Assicurarsi che i server DNS di Umbrella siano consentiti nel firewall se si bloccano i server DNS di terze parti.
    • Si dispone di un server proxy che non consente la connessione: se si dispone di un server proxy, è consigliabile consentire l'elenco "*.opendns.com" in modo che non interferisca con la registrazione o la sincronizzazione dell'API.
    • La porta 443/TCP è limitata a ambiti IP specifici: Se si utilizzano regole del firewall molto rigide, è necessario aprire temporaneamente la porta 443/TCP a tutte le connessioni in uscita. Il client Umbrella Roaming deve recuperare il certificato SSL dallo spazio IP/di dominio GeoTrust.

    È possibile leggere informazioni sulle specifiche esigenze del firewall di Umbrella nell'articolo dei prerequisiti per i client mobili di Umbrella, che chiama proxy HTTP.

    Scenari 2 e 3

    Il registro indica che non è possibile risolvere "proxyserver.exampledomain.com".

    2014-03-14 09:39:43 [2252] [ERROR] Error creating DeviceID: The remote name could not be resolved: 'proxy1.exampledomain.com'

    Il log indica che sta tentando di inviare informazioni all'API Umbrella ("api.opendns.com"), ma l'errore risultante indica che ha tentato di connettersi a "proxy1.example.com"

    Questo problema si verifica perché il client Umbrella Roaming utilizza le impostazioni proxy dell'utente "SYSTEM" del computer utilizzando la chiamata .NET Framework di WebRequest.DefaultWebProxy. Questa impostazione viene in genere eseguita tramite l'oggetto Criteri di gruppo e, a meno che la chiave non venga specificamente eliminata, può rimanere nel Registro di sistema a lungo termine. Se il server proxy non esiste più o deve essere aggiornato a un host diverso, è possibile modificare le impostazioni utilizzando i metodi riportati di seguito.

    Scenario 4

    Il log visualizza questo messaggio:

    Error creating DeviceID: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.

    Tuttavia, non esistono blocchi firewall per UDP/TCP crl4.digicert.com o ocsp.digicert.com. Se il computer viene connesso a una rete diversa, ad esempio un hotspot mobile, il problema persiste. 

    Eseguire questo comando per determinare se è ancora impostato un proxy:

    netsh winhttp show proxy

    Questo percorso delle impostazioni proxy viene utilizzato dall'API di crittografia Microsoft v2 come parte della convalida del certificato di .NET Framework. Se il proxy è presente, la convalida potrebbe non riuscire. Per ulteriori informazioni, vedere l'articolo del supporto tecnico Microsoft "Description of the Cryptography API proxy detection mechanism when downloading a Certificate Revocation List (CRL) from a CRL distribution point".

    note-icon

    Nota: Lo scenario 4 può inoltre essere causato dalle impostazioni di conformità PCI e da .NET se TLS 1.0 è disabilitato. Per ulteriori informazioni, vedere questo articolo della Knowledge Base Umbrella.

    Aggiungi o rimuovi impostazioni proxy

    warning-icon

    Avviso: Questa impostazione viene in genere impostata utilizzando un oggetto Criteri di gruppo o un tipo di script. Non è comune che questa impostazione venga eseguita su un singolo computer. Umbrella consiglia di utilizzare questo metodo solo se si desidera eseguire il test su un singolo computer o se si ritiene che questa impostazione sia univoca per questo computer. Passare al metodo successivo per informazioni sull'utilizzo dell'oggetto Criteri di gruppo per un intero gruppo.

    PsExec e Internet Explorer (IE 10 o versione successiva)

    1. Scaricare ed estrarre PsExec.

    2. Caricare un prompt dei comandi amministrativo (clic con il pulsante destro del mouse > Esegui come amministratore).

    3. Utilizzare "cd" per passare alla directory PSTools estratta.

    cd C:\Path\To\PSTools\

    4. Eseguire questo comando per aprire Internet Explorer come utente "SYSTEM":

    PsExec.exe /i /s "C:\Program Files\Internet Explorer\iexplore.exe"


    Run PsExe.exe as the SYSTEM UserEseguire PsExe.exe come utente SYSTEM

    5. Aprire Opzioni Internet dal menu Impostazioni (cog) in Internet Explorer.

    6. Nella scheda Connessioni, selezionare Impostazioni LAN (Local Area Network) e modificare o eliminare le impostazioni proxy in base alle esigenze.


    Change or Delete Proxy Settings in LAN SettingsModificare o eliminare le impostazioni proxy in Impostazioni LAN

    7. Selezionare OK, quindi Applica e chiudere Internet Explorer.

    Il client Umbrella Roaming si registra entro circa tre minuti.

    Alternativo (Registro di sistema)

    1. Controllare la chiave in HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings per le impostazioni proxy. Se ne è presente una, il proxy verrà visualizzato in precedenza nelle impostazioni di connessione IE dell'utente di sistema.

    2. Per rimuovere nel Registro di sistema, completare i seguenti passaggi per copiare le impostazioni senza proxy dall'utente corrente:

    1. Aprire la chiave in HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings e copiare il valore.

    2. Copiarlo nella stessa chiave in HKEY_USERS\S-1-5-18 (utente SYSTEM).

    3. Riavviare il client di roaming per verificare se la registrazione ha esito positivo.

    PsExec e MMC (IE9 o versioni precedenti)

    1. Scaricare ed estrarre PsExec.

    2. Caricare un prompt dei comandi amministrativo (clic con il pulsante destro del mouse > Esegui come amministratore).

    3. Utilizzare "cd" per passare alla directory PSTools estratta.

    4. Eseguire questo comando:

    PsExec.exe /i /s mmc

    5. Una volta caricato MMC, caricare lo snap-in Oggetto Criteri di gruppo.

    GPO Snap-InSnap-in oggetto Criteri di gruppo

    6. Passare alle Impostazioni connessione locale e modificare o eliminare le informazioni sul server proxy in base alle esigenze.

    7. Selezionare OK in tutti i menu, quindi Umbrella Roaming Client si registra. 
    Local Connection SettingsImpostazioni connessione locale

    Modifica Registro di sistema

    A seconda della versione di Windows Server in uso, è possibile utilizzare la procedura descritta in precedenza utilizzando la console MMC e selezionando il gruppo corretto.

    Se la versione di Windows Server in uso non dispone di tali impostazioni, è possibile modificare o eliminare l'impostazione tramite il Registro di sistema per eliminarla a livello globale (più computer).

    HKEY_USERS

    .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings

    Delete the Connection Settings in GPOElimina impostazioni di connessione nell'oggetto Criteri di gruppo

    Questa schermata è un esempio di una versione precedente di IE per applicazioni legacy. La rimozione dei valori proxy dall'oggetto Criteri di gruppo o dalle impostazioni locali consentirebbe al client di roaming Umbrella di connettersi e registrarsi come utente del sistema (in base a queste impostazioni proxy di Internet Explorer). 

    Remove Proxy ValuesRimuovi valori proxy

    Se una di queste metodologie non funziona, aprire un ticket di supporto Umbrella tramite il dashboard e fare riferimento a questo articolo.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    08-Sep-2025
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti