WindowsのUmbrella RoamingクライアントのHTTPプロキシのトラブルシューティング

はじめに

このドキュメントでは、WindowsのUmbrella Roaming Client(UMBRELLA)のHTTPプロキシをトラブルシューティングする方法について説明します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、WindowsのUmbrellaローミングクライアントに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

概要

Umbrella展開内の一部またはすべてのコンピュータで、Umbrella Roamingクライアントが正しく登録されていません。これは、Umbrella Roamingクライアントのトレイアイコンがマシン上で赤色の状態になっているか、Umbrella Roamingクライアントがダッシュボードに予期したとおりに表示されていないためです。また、現在、またはある時点でネットワーク上でHTTPプロキシを使用しています。クライアントがローミングしている場合は、HTTPプロキシの背後でオンラインになっています。

現在、HTTPプロキシを実行しています。Umbrella Roamingクライアントは、システムサービスとして実行されるため、「SYSTEM」ユーザを使用します。また、組織のユーザにユーザ固有のHTTPプロキシ設定を提供するグループポリシーオブジェクト(GPO)または別のリモートモニタリングおよび管理(RMM)ツールを使用して構成設定をプッシュしています。さらに、ゲートウェイファイアウォールにデフォルトの拒否ルールがあり、プロキシを経由しない限りHTTP/HTTPSトラフィックを許可しません。

過去にHTTPプロキシを実行しました: 「SYSTEM」ユーザは過去のある時点でHTTPプロキシ設定を行っていましたが、現在ではプロキシは存在しません。プロキシが存在しないため、SYSTEMユーザがHTTP/HTTPS経由でリソースにアクセスしようとするとタイムアウトが発生します。

これは、SYSTEMユーザ権限を確認するのに役立つツールです。ユーティリティを使用して、次の手順を実行します。

1. ユーティリティを使用して「C:\Program Files\Internet Explorer\iexplore.exe」を起動します。

2. https://api.opendns.com/v2/OnPrem.Assetにアクセスします。 

3. セキュリティプロンプトなしで「1005 Missing API Key」を探します。プロンプトが表示されたら、UDP/TCP 443が「api.opendns.com」、「crl4.digicert.com」、「ocsp.digicert.com」に対してオープンであり、DigiCertルートCAがシステムに存在することを確認します。 

ファイアウォールでSYSTEMアカウントなどの認証されていないアカウントによる必要なサイトへのアクセスが制限されている場合、Umbrella登録ドメインを除外する必要があります。Roaming ClientはSYSTEMユーザアカウントから登録を呼び出すため、認証されていないアクセスに対するUmbrellaの前提条件に対してこれを開く必要があります。 

症状

最も一般的な症状は、ダッシュボードへの登録またはUmbrella APIとの同期の失敗です。これにより、クライアントが登録されない（したがって保護モードに入らない）か、またはダッシュボードの更新が停止する可能性があります。 

これらの症状が表示された場合は、Roaming Clientサービスを再起動し、再起動直後に診断レポートログをサポートに送信してください。クライアントには、起動時にのみ実行されるプロキシチェックが含まれています。 

プロキシがあるかどうかを確認する

まず、ログを確認します。

ログに次のようなログエントリが表示される場合があります。 

2014-03-14 09:39:43 [2252] [INFO ] Trying to get Device ID from API... 
2014-03-14 09:39:43 [2252] [DEBUG] Sending GET to https://api.opendns.com/v3/organizations/XXXXX/roamingdevices/lookup?api-key=XXXXXXXXXXXXXXXXXXXXXXXXXX&deviceKey=XXX&userId=XXXXXXXX&fingerprint=XXXXXXXXXXXXXXXXXXX 

2014-03-14 09:39:43 [2252] [ERROR] Error creating DeviceID: The remote name could not be resolved: 'api.opendns.com'

これは:

2014-12-08 09:25:27 [5700] [ERROR] POST failed: The operation has timed out

または次のコマンドを実行します。

2015-03-05 12:41:11 [4084] [ERROR] Error creating DeviceID: Unable to connect to the remote server

プロキシ設定は、これに関連している可能性があります。

シナリオ 1

ログには、「api.opendns.com」を解決できないことが示されています。

The remote name could not be resolved: 'api.opendns.com'

これは、次のような問題が原因で発生する可能性があります。

• ネットワーク接続でDNS解決に失敗しました：サードパーティのDNSサーバーをブロックする場合は、UmbrellaのDNSサーバーがファイアウォールで許可されていることを確認してください。
• 接続を許可していないプロキシサーバーがある場合：プロキシサーバーがある場合は、登録やAPIの同期を妨げないように、リスト「*.opendns.com」を許可することをお勧めします。
• ポート443/TCPは特定のIPスコープに制限されています。非常に厳格なファイアウォールルールを使用している場合は、すべての発信接続に対して443/TCPを一時的に開く必要があります。Umbrella Roamingクライアントは、GeoTrust IP/ドメイン空間からSSL証明書を取得する必要があります。

Umbrellaの特定のファイアウォールのニーズについては、「Umbrellaのクライアントのローミングの前提条件」で説明されています。この記事ではHTTPプロキシを呼び出します。

シナリオ2および3

ログには、「proxyserver.exampledomain.com」を解決できないことが示されています。

2014-03-14 09:39:43 [2252] [ERROR] Error creating DeviceID: The remote name could not be resolved: 'proxy1.exampledomain.com'

ログには、Umbrella API(「api.opendns.com」)に情報を送信しようとしていることが示されますが、結果として「proxy1.exampledomain.com」に接続しようとしたことがエラーとして示されます

この問題が発生する原因は、Umbrella Roaming ClientがWebRequest.DefaultWebProxyの.NET Framework呼び出しを使用して、コンピュータの「SYSTEM」ユーザのプロキシ設定を使用するためです。 これは通常、グループポリシーオブジェクト(GPO)を介して設定され、このキーが特に削除されない限り、レジストリに長期間残る可能性があります。このプロキシサーバーが存在しない場合、または別のホストに更新する必要がある場合は、以下の方法で設定を変更できます。

シナリオ 4

ログに次のメッセージが表示されます。

Error creating DeviceID: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.

ただし、UDP/TCP crl4.digicert.comまたはocsp.digicert.comへのファイアウォールブロックは存在しません。コンピュータが別のネットワーク（モバイルホットスポットなど）に接続されている場合は、問題が続きます。 

このコマンドを実行して、ここで設定されているプロキシがあるかどうかを確認します。

netsh winhttp show proxy

このプロキシ設定の場所は、.NET Frameworkの証明書検証の一部としてMicrosoft Cryptography API v2によって使用されます。このプロキシが設定されている場合、この検証が失敗する可能性があります。詳細については、Microsoftサポートの記事「Description of the Cryptography API proxy detection mechanism when downloading a Certificate Revocation List (CRL) from a CRL distribution point」を参照してください。

注：シナリオ4は、TLS 1.0が無効になっている場合、PCIコンプライアンス設定および.NETが原因で発生する可能性もあります。詳細については、Umbrellaのナレッジベース記事を参照してください。

プロキシ設定の追加または削除

警告：この設定は通常、GPOまたは何らかのスクリプトを使用して設定されます。これは、個々のコンピュータで設定されることは一般的ではありません。Umbrellaでは、個々のコンピュータでテストする場合や、この設定がこのコンピュータに固有であると考える場合にのみ、この方法を使用することをお勧めします。グループ全体でのGPOの使用については、次の方法に進んでください。

PsExecおよびInternet Explorer （IE 10以降）

1. PsExecをダウンロードして展開します。

2. 管理コマンドプロンプトをロードします(右クリック>管理者として実行)。

3. cdを使用して、展開したPSToolsディレクトリに変更します。

cd C:\Path\To\PSTools\

4. 次のコマンドを実行して、「SYSTEM」ユーザーとしてInternet Explorerを開きます。

PsExec.exe /i /s "C:\Program Files\Internet Explorer\iexplore.exe"

SYSTEMユーザーとしてPsExe.exeを実行します

5. Internet ExplorerのSettingsメニュー(cog)からInternet Optionsを開きます。

6. ConnectionsタブでLocal Area Network (LAN) Settingsを選択し、必要に応じてプロキシ設定を変更または削除します。

LAN設定のプロキシ設定の変更または削除

7. OKを選択し、Applyを選択して、Internet Explorerを閉じます。

Umbrellaローミングクライアントは、約3分以内に登録されます。

代替（レジストリ）

1. プロキシ設定のHKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettingsでキーを確認します。 プロキシが存在する場合、システムユーザIE接続設定の下に、先ほど表示されたプロキシが表示されます。

2. レジストリから削除するには、次の手順を実行して、現在のユーザーからプロキシなしの設定をコピーします。

1.HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettingsでキーを開き、値をコピーします。

2. HKEY_USERS\S-1-5-18（SYSTEMユーザ）の下の同じキーに、ファイルをコピーします。

3. ローミングクライアントを再起動して、登録が成功したかどうかを検証します。

PsExecおよびMMC （IE9以前）

1. PsExecをダウンロードして展開します。

2. 管理コマンドプロンプトをロードします(右クリック>管理者として実行)。

3. cdを使用して、展開したPSToolsディレクトリに変更します。

4. 次のコマンドを実行します。

PsExec.exe /i /s mmc

5. MMCが読み込まれたら、グループポリシーオブジェクトスナップインを読み込みます。

GPOスナップイン

6. ローカル接続設定に移動し、必要に応じてプロキシサーバ情報を変更または削除します。

7. すべてのメニューでOKを選択すると、Umbrella Roaming Clientが登録されます。 
ローカル接続の設定

レジストリの編集

Windows Serverのバージョンに応じて、前述の手順でMMCコンソールを使用し、正しいグループを選択すると動作します。

Windows Serverバージョンにこれらの設定がない場合は、レジストリを使用してこの設定を変更または削除し、グローバルレベル（複数のコンピュータ）でこの設定を消去できます。

HKEY_USERS（オプション）

.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet設定\接続\既定の接続設定

GPOの接続設定を削除する

このスクリーンショットは、レガシーアプリケーション用の古いバージョンのIEの例です。GPOまたはローカル設定からプロキシ値を削除すると、Umbrellaローミングクライアントが接続し、システムユーザとして登録できるようになります（これらのIEプロキシ設定に従います）。 

プロキシ値の削除

これらの方法のいずれかが機能しない場合は、ダッシュボードからUmbrellaサポートチケットを開き、この記事を参照してください。