Problemen oplossen met HTTP-proxies voor Umbrella Roaming Client op Windows

Downloadopties

  • PDF     (961.9 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:5 september 2025
Document-id:224811

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u problemen met HTTP-proxy's voor Umbrella Roaming Client op Windows kunt oplossen.

    Voorwaarden

    Vereisten

    Er zijn geen specifieke vereisten van toepassing op dit document.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op Umbrella Roaming Client op Windows.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Overzicht

    Op sommige of alle computers in uw Umbrella-implementatie registreert de Umbrella Roaming Client zich niet correct. U merkt dit omdat het pictogram op de lade van de Umbrella Roaming Client rood staat op een machine, of omdat de Umbrella Roaming Client niet wordt weergegeven in het dashboard zoals verwacht. Bovendien hebt u momenteel of op een gegeven moment een HTTP-proxy op uw netwerk gebruikt. Als een klant aan het roamen is, zijn ze online gekomen achter een HTTP-proxy.

    U voert momenteel een HTTP-proxy uit: de Umbrella Roaming Client gebruikt de gebruiker "SYSTEM", omdat deze als systeemservice wordt uitgevoerd en u configuratie-instellingen hebt uitgeschakeld via Group Policy Object (GPO) of een andere tool voor externe bewaking en beheer (RMM), die gebruikersspecifieke HTTP-proxy-instellingen heeft gegeven aan gebruikers in uw organisatie. Bovendien hebt u standaard weigerregels in uw gateway-firewall die geen HTTP / HTTPS-verkeer toestaan, tenzij deze door de proxy gaat.

    U hebt in het verleden een HTTP-proxy uitgevoerd: de gebruiker "SYSTEEM" had eerder HTTP-proxy-instellingen ingesteld op een bepaald punt in het verleden, en nu bestaat die proxy niet meer. Omdat de proxy niet langer bestaat, ontvangt de SYSTEM-gebruiker een time-out wanneer hij probeert toegang te krijgen tot bronnen via HTTP/HTTPS.

    Dit is een handig hulpmiddel om de systeemgebruikersmachtigingen te controleren. Voer deze stappen uit met het hulpprogramma:

    1. Gebruik het hulpprogramma om "C:\Program Files\Internet Explorer\iexplore.exe" te starten.

    2. Ga naar https://api.opendns.com/v2/OnPrem.Asset. 

    3. Zoek naar "1005 Missing API Key" zonder beveiligingsinstructies. Als er vragen zijn, moet u ervoor zorgen dat UDP/TCP 443 open staat voor "api.opendns.com", "crl4.digicert.com", "ocsp.digicert.com" en dat de DigiCert Root CA op het systeem aanwezig is. 

    Als uw firewall niet-geverifieerde accounts (zoals het SYSTEM-account) beperkt in de toegang tot de benodigde sites, moeten Umbrella-registratiedomeinen worden vrijgesteld. Aangezien de roamende klant de registratie van de SYSTEM-gebruikersaccount oproept, moet deze worden geopend voor de vereisten van Umbrella voor niet-geverifieerde toegang. 

    Symptomen

    Het meest voorkomende symptoom is het niet registreren op het Dashboard of synchroniseren met de Umbrella API. Dit kan ertoe leiden dat de client zich nooit registreert (en dus geen beveiligde modus invoert) of stopt met het bijwerken van het Dashboard. 

    Als u deze symptomen ziet, start u de Roaming Client-service opnieuw op en verzendt u direct na het opnieuw opstarten een diagnostisch rapportlogboek ter ondersteuning. De client bevat een proxycontrole die alleen wordt uitgevoerd bij het opstarten. 

    Identificeer of er een proxy is

    Controleer eerst de logs.

    Als u in de logs een logboekvermelding ziet die hierop lijkt: 

    2014-03-14 09:39:43 [2252] [INFO ] Trying to get Device ID from API... 
    2014-03-14 09:39:43 [2252] [DEBUG] Sending GET to https://api.opendns.com/v3/organizations/XXXXX/roamingdevices/lookup?api-key=XXXXXXXXXXXXXXXXXXXXXXXXXX&deviceKey=XXX&userId=XXXXXXXX&fingerprint=XXXXXXXXXXXXXXXXXXX 

    2014-03-14 09:39:43 [2252] [ERROR] Error creating DeviceID: The remote name could not be resolved: 'api.opendns.com'

    Dit:

    2014-12-08 09:25:27 [5700] [ERROR] POST failed: The operation has timed out

    Of dit:

    2015-03-05 12:41:11 [4084] [ERROR] Error creating DeviceID: Unable to connect to the remote server

    Het is waarschijnlijk dat proxy-instellingen hier iets mee te maken hebben.

    Scenario 1

    Het logboek laat zien dat het "api.opendns.com" niet kan oplossen.

    The remote name could not be resolved: 'api.opendns.com'

    Dit kan worden veroorzaakt door verschillende problemen:

    • DNS-resolutie mislukt op uw netwerkverbinding: zorg ervoor dat de DNS-servers van Umbrella zijn toegestaan in uw firewall als u DNS-servers van derden blokkeert.
    • U hebt een proxyserver die niet toestaat dat de verbinding wordt gemaakt: Als u een proxyserver hebt, is het waarschijnlijk het beste om lijst "*.opendns.com" toe te staan, zodat het de registratie of API-synchronisatie niet verstoort.
    • U hebt Port 443/TCP beperkt tot specifieke IP-scopes: Als u zeer strenge firewallregels gebruikt, moet u 443/TCP tijdelijk openen voor alle uitgaande verbindingen. De Umbrella Roaming Client moet het SSL-certificaat ophalen bij GeoTrust IP/domain space.

    U kunt lezen over de specifieke firewallbehoeften van Umbrella in het artikel met de vereisten voor de roamingclient van Umbrella, waarin HTTP-proxy's worden genoemd.

    Scenario 2 en 3

    Het logboek laat zien dat het "proxyserver.exampledomain.com" niet kan oplossen.

    2014-03-14 09:39:43 [2252] [ERROR] Error creating DeviceID: The remote name could not be resolved: 'proxy1.exampledomain.com'

    Het logboek laat zien dat het probeert informatie naar de Umbrella API ("api.opendns.com") te sturen, maar de resulterende fout zegt dat het probeerde verbinding te maken met "proxy1.exampleDomain.com"

    De reden dat dit gebeurt, is omdat de Umbrella Roaming Client de proxy-instellingen van de computer gebruikt "SYSTEEM" -gebruiker met behulp van de .NET-kaderoproep van WebRequest.DefaultWebProxy. Dit wordt meestal ingesteld via Groepsbeleidsobject (GPO) en kan, tenzij deze sleutel specifiek wordt verwijderd, op lange termijn in het register blijven. Als deze proxyserver niet meer bestaat of moet worden bijgewerkt naar een andere host, kunt u de instellingen wijzigen via de onderstaande methoden.

    Scenario 4

    Het logboek toont dit bericht:

    Error creating DeviceID: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.

    Er zijn echter geen firewallblokken voor UDP/TCP crl4.digicert.com of ocsp.digicert.com. Als de computer naar een ander netwerk wordt gebracht (bijvoorbeeld mobiele hotspot), gaat het probleem verder. 

    Voer deze opdracht uit om te bepalen of er nog steeds een proxy is ingesteld:

    netsh winhttp show proxy

    Deze proxy-instellingenlocatie wordt gebruikt door de Microsoft Cryptography API v2 als onderdeel van de .NET-framework-certificaatvalidatie. Als deze proxy aanwezig is, kan deze validatie mislukken. Raadpleeg voor meer informatie het Microsoft Support-artikel "Beschrijving van het proxy-detectiemechanisme van de Cryptography API bij het downloaden van een Certificate Revocation List (CRL) van een CRL-distributiepunt."

    note-icon

    Opmerking: scenario 4 kan ook worden veroorzaakt door PCI-nalevingsinstellingen en .NET als TLS 1.0 is uitgeschakeld. Zie dit artikel in de Umbrella Knowledge Base voor meer informatie.

    Proxy-instellingen toevoegen of verwijderen

    warning-icon

    Waarschuwing: deze instelling wordt normaal ingesteld met GPO of een soort script. Het is niet gebruikelijk dat dit op een individuele computer wordt ingesteld. Umbrella raadt aan deze methode alleen te gebruiken als u op een individuele computer wilt testen of als u denkt dat deze instelling uniek is voor deze computer. Ga naar de volgende methode voor informatie over het gebruik van GPO voor een hele groep.

    PsExec en Internet Explorer (IE 10 of hoger)

    1. Download en extract PsExec.

    2. Een beheeropdrachtprompt laden (rechtsklik > Uitvoeren als beheerder).

    3. Gebruik "cd" om naar de geëxtraheerde PSTools-directory te gaan.

    cd C:\Path\To\PSTools\

    4. Voer deze opdracht uit om Internet Explorer te openen als de gebruiker "SYSTEEM":

    PsExec.exe /i /s "C:\Program Files\Internet Explorer\iexplore.exe"


    Run PsExe.exe as the SYSTEM UserVoer PsExe.exe uit als de SYSTEEMgebruiker

    5. Open Internetopties in het menu Instellingen (cog) in Internet Explorer.

    6. Selecteer op het tabblad Verbindingen de optie Local Area Network (LAN) Settings en wijzig of verwijder de proxy-instellingen indien nodig.


    Change or Delete Proxy Settings in LAN SettingsProxyinstellingen wijzigen of verwijderen in LAN-instellingen

    7. Selecteer OK, vervolgens Toepassen en sluit Internet Explorer.

    De Umbrella Roaming Client registreert zich binnen ongeveer drie minuten.

    Alternatief (register)

    1. Controleer de sleutel op HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings voor proxy-instellingen. Als er een aanwezig is, zou dit resulteren in de proxy die eerder wordt weergegeven onder de IE-verbindingsinstellingen van de systeemgebruiker.

    2. Voer de volgende stappen uit om de proxyloze instellingen van de huidige gebruiker te verwijderen in het register:

    1. Open de sleutel op HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings en kopieer de waarde.

    2. Kopieer het naar dezelfde sleutel onder HKEY_USERS\S-1-5-18 (de SYSTEEMgebruiker).

    3. Start de roamingclient opnieuw op om te controleren of de registratie succesvol is.

    PsExec en MMC (IE9 of eerder)

    1. Download en extract PsExec.

    2. Een beheeropdrachtprompt laden (rechtsklik > Uitvoeren als beheerder).

    3. Gebruik "cd" om naar de geëxtraheerde PSTools-directory te gaan.

    4. Voer deze opdracht uit:

    PsExec.exe /i /s mmc

    5. Zodra de MMC is geladen, laadt u de module Groepsbeleidsobject.

    GPO Snap-InGPO Snap-In

    6. Navigeer naar de lokale verbindingsinstellingen en wijzig of verwijder de gegevens van de proxyserver indien nodig.

    7. Selecteer OK in alle menu's en de Umbrella Roaming Client registreert zich. 
    Local Connection SettingsInstellingen voor lokale verbinding

    Register bewerken

    Afhankelijk van uw versie van Windows Server werkt het gebruik van de eerder genoemde stappen met behulp van de MMC-console en het selecteren van de juiste groep.

    Als uw Windows Server-versie deze instellingen niet heeft, kunt u deze instelling wijzigen of verwijderen via het register om deze instelling op globaal niveau (meerdere computers) op te schonen.

    HKEY_USERS

    .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings

    Delete the Connection Settings in GPODe verbindingsinstellingen in GPO verwijderen

    Deze screenshot is een voorbeeld voor een oudere versie van IE voor oudere toepassingen. Als de proxywaarden uit de GPO- of lokale instellingen worden verwijderd, kan de Umbrella-roamingclient verbinding maken en zich registreren als de systeemgebruiker (afhankelijk van deze IE-proxyinstellingen). 

    Remove Proxy ValuesProxywaarden verwijderen

    Als een van deze methoden niet werkt, open dan een Umbrella Support-ticket via het dashboard en raadpleeg dit artikel.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    08-Sep-2025
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten