Solucionar problemas de proxies HTTP para cliente de roaming Umbrella no Windows
Introdução
Este documento descreve como solucionar problemas de proxies HTTP para Umbrella Roaming Client no Windows.
Pré-requisitos
Requisitos
Não existem requisitos específicos para este documento.
Componentes Utilizados
As informações neste documento são baseadas no Umbrella Roaming Client no Windows.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Overview
Em alguns ou todos os computadores da implantação do Umbrella, o cliente de roaming Umbrella não está registrando corretamente. Você percebe isso porque o ícone da bandeja do Umbrella Roaming Client está em um estado vermelho em um computador ou o Umbrella Roaming Client não está sendo exibido no painel conforme esperado. Além disso, você está usando ou já usou um proxy HTTP em sua rede. Se um cliente estiver em roaming, ele estará online por trás de um proxy HTTP.
Você executa atualmente um proxy HTTP: O cliente de roaming Umbrella usa o usuário "SYSTEM", pois ele é executado como um serviço do sistema, e você distribuiu as definições de configuração por meio do Objeto de Diretiva de Grupo (GPO) ou outra ferramenta de Monitoramento e Gerenciamento Remoto (RMM), que forneceu as definições de proxy HTTP específicas do usuário para os usuários em sua organização. Além disso, você tem regras de negação padrão no firewall do gateway que não permitem o tráfego HTTP/HTTPS, a menos que ele passe pelo proxy.
Você executou um Proxy HTTP no passado: O usuário "SYSTEM" tinha anteriormente as configurações de proxy HTTP definidas em algum ponto no passado e agora esse proxy não existe mais. Como o proxy não existe mais, o usuário SYSTEM recebe um tempo limite ao tentar acessar recursos por HTTP/HTTPS.
Esta é uma ferramenta útil para verificar as permissões de usuário SYSTEM. Conclua estas etapas com o utilitário:
1. Use o utilitário para iniciar o "C:\Program Files\Internet Explorer\iexplore.exe".
2. Vá para https://api.opendns.com/v2/OnPrem.Asset.
3. Procure "1005 Missing API Key" sem qualquer aviso de segurança. Se houver prompts, verifique se UDP/TCP 443 está aberto para "api.opendns.com", "crl4.digicert.com", "ocsp.digicert.com" e se a CA raiz de DigiCert está presente no sistema.
Se o seu firewall restringir contas não autenticadas (como a conta SYSTEM) de acessar os sites necessários, os domínios de registro Umbrella precisam ser isentos. Como o cliente de roaming chama o registro da conta de usuário SYSTEM, ele deve ser aberto para que os pré-requisitos do Umbrella possam ser acessados sem autenticação.
Sintomas
O sintoma mais comum é uma falha no registro no Painel ou na sincronização com a API do Umbrella. Isso pode fazer com que o cliente nunca se registre (e, portanto, não entre em um modo protegido) ou pare de atualizar o Painel.
Se você observar esses sintomas, reinicie o serviço do cliente de roaming e envie um log de relatório de diagnóstico para suportar logo após a reinicialização. O cliente inclui uma verificação de proxy que só é executada na inicialização.
Identificar se há um proxy
Primeiro, verifique os logs.
Se, nos logs, você vir uma entrada de log semelhante a esta:
2014-03-14 09:39:43 [2252] [INFO ] Trying to get Device ID from API...
2014-03-14 09:39:43 [2252] [DEBUG] Sending GET to https://api.opendns.com/v3/organizations/XXXXX/roamingdevices/lookup?api-key=XXXXXXXXXXXXXXXXXXXXXXXXXX&deviceKey=XXX&userId=XXXXXXXX&fingerprint=XXXXXXXXXXXXXXXXXXX
2014-03-14 09:39:43 [2252] [ERROR] Error creating DeviceID: The remote name could not be resolved: 'api.opendns.com'
Isto:
2014-12-08 09:25:27 [5700] [ERROR] POST failed: The operation has timed out
Ou isto:
2015-03-05 12:41:11 [4084] [ERROR] Error creating DeviceID: Unable to connect to the remote server
É provável que as configurações de proxy tenham algo a ver com isso.
Cenário 1
O registro mostra que não é possível resolver "api.opendns.com".
The remote name could not be resolved: 'api.opendns.com'
Isso pode ser causado por vários problemas:
- A Resolução DNS está falhando em sua Conexão de Rede: Verifique se os servidores DNS do Umbrella são permitidos em seu firewall se você bloquear servidores DNS de terceiros.
- Você tem um servidor proxy que não permite a conexão: Se você tiver um servidor proxy, é melhor permitir a lista "*.opendns.com" para que ela não interfira no registro ou na sincronização da API.
- A porta 443/TCP está limitada a escopos IP específicos: Se você estiver usando regras de firewall muito rígidas, será necessário abrir 443/TCP para todas as conexões de saída temporariamente. O cliente de roaming Umbrella precisa buscar o certificado SSL do espaço de domínio/IP GeoTrust.
Você pode ler sobre as necessidades específicas de firewall do Umbrella no artigo de pré-requisitos de cliente de roaming do Umbrella, que chama proxies HTTP.
Cenários 2 e 3
O registro mostra que não é possível resolver "proxyserver.exampledomain.com".
2014-03-14 09:39:43 [2252] [ERROR] Error creating DeviceID: The remote name could not be resolved: 'proxy1.exampledomain.com'
O registro mostra que ele está tentando enviar informações para a API do Umbrella ("api.opendns.com"), mas o erro resultante diz que ele tentou se conectar a "proxy1.exampledomain.com"
Isso ocorre porque o cliente de roaming Umbrella usa as configurações de proxy do usuário "SYSTEM" do computador usando a chamada do .NET Framework de WebRequest.DefaultWebProxy. Geralmente, isso é definido via Objeto de Diretiva de Grupo (GPO) e, a menos que essa chave seja excluída especificamente, pode permanecer no Registro por longo prazo. Se este servidor proxy não existir mais ou precisar ser atualizado para um host diferente, você poderá modificar as configurações através dos métodos abaixo.
Cenário 4
O registro mostra esta mensagem:
Error creating DeviceID: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.No entanto, nenhum bloco de firewall está em vigor para UDP/TCP crl4.digicert.com ou ocsp.digicert.com. Se o computador for levado a uma rede diferente (por exemplo, um hotspot móvel), o problema continuará.
Execute este comando para determinar se ainda há um proxy definido aqui:
netsh winhttp show proxyEste local de configurações de proxy é utilizado pela API de Criptografia v2 da Microsoft como parte da validação do certificado do .NET Framework. Se esse proxy estiver estabelecido, isso poderá causar falha na validação. Para obter mais informações, consulte o artigo de Suporte da Microsoft "Description of the Cryptography API proxy detection mechanism when download a Certificate Revocation List (CRL) from a CRL distribution point" (Descrição do mecanismo de detecção de proxy de API de criptografia ao baixar uma lista de revogação de certificados (CRL) de um ponto de distribuição de CRL).
Note: O cenário 4 também pode ser causado pelas configurações de conformidade com PCI e .NET se o TLS 1.0 estiver desabilitado. Consulte este artigo da base de dados de conhecimento Umbrella para obter mais informações.
Adicionar ou remover configurações de proxy
aviso: Essa configuração é normalmente definida usando GPO ou algum tipo de script. Não é comum que isso seja definido em um computador individual. A Umbrella recomenda usar esse método apenas se você quiser testar em um computador individual ou se você acreditar que essa configuração é exclusiva deste computador. Vá para o próximo método para obter informações sobre como usar o GPO para um grupo inteiro.
PsExec e Internet Explorer (IE 10 ou posterior)
1. Descarregue e extraia o PsExec.
2. Carregue um Prompt de Comando Administrativo (Clique com o botão direito do mouse > Executar como Administrador).
3. Use "cd" para mudar para o diretório PSTools extraído.
cd C:\Path\To\PSTools\
4. Execute este comando para abrir o Internet Explorer como o usuário "SYSTEM":
PsExec.exe /i /s "C:\Program Files\Internet Explorer\iexplore.exe"
Execute o PsExe.exe como o usuário SYSTEM
5. Abra Opções da Internet no menu Configurações (cog) do Internet Explorer.
6. Na guia Conexões, selecione Configurações da rede local (LAN) e altere ou exclua as configurações de proxy conforme necessário.
Alterar ou Excluir Configurações de Proxy nas Configurações da LAN
7. Selecione OK, Apply e feche o Internet Explorer.
O Umbrella Roaming Client registra-se em cerca de três minutos.
Alternativa (Registro)
1. Verifique se há configurações de proxy na chave em HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings. Se houver alguma, isso resultará na exibição do proxy anterior nas configurações de conexão do IE do usuário do sistema.
2. Para remover no registro, siga estas etapas para copiar as configurações sem proxy do usuário atual:
1. Abra a chave em HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings e copie o valor.
2. Copie-o na mesma chave em HKEY_USERS\S-1-5-18 (o usuário SYSTEM).
3. Reinicie o cliente de roaming para validar se o registro for bem-sucedido.
PsExec e MMC (IE9 ou anterior)
1. Descarregue e extraia o PsExec.
2. Carregue um Prompt de Comando Administrativo (Clique com o botão direito do mouse > Executar como Administrador).
3. Use "cd" para mudar para o diretório PSTools extraído.
4. Execute este comando:
PsExec.exe /i /s mmc
5. Quando o MMC for carregado, carregue o snap-in Objeto de Diretiva de Grupo.
Snap-In de GPO
6. Navegue até Configurações de Conexão Local e altere ou exclua as informações do servidor Proxy conforme necessário.
7. Selecione OK em todos os menus e o Umbrella Roaming Client será registrado. 
Configurações de conexão local
Editar Registro
Dependendo da sua versão do Windows Server, usar as etapas mencionadas anteriormente usando o console MMC e selecionar o grupo correto funciona.
Se sua versão do Windows Server não tiver essas configurações, você poderá modificar ou excluir essa configuração por meio do Registro para limpar essa configuração em um nível global (vários computadores).
HKEY_USERS
.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Configurações\Conexões\DefaultConnectionSettings
Excluir as Configurações de Conexão no GPO
Esta captura de tela é um exemplo de uma versão mais antiga do IE para aplicativos herdados. A remoção dos valores de proxy do GPO ou das configurações locais permitiria que o cliente de roaming Umbrella se conectasse e se registrasse como o usuário do sistema (sujeito a essas configurações de proxy do IE).
Remover Valores de Proxy
Se alguma dessas metodologias não funcionar, abra um tíquete do suporte Umbrella no painel e consulte este artigo.
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
08-Sep-2025
|
Versão inicial |
Feedback