Forefront TMG 2010 - Automatische Proxyerkennung

[Shakreo]

Hallo,

ich versuche hier gerade einen Forefront TMG einzurichten, hauptsächlich wegen dem URL-Filter. Bisher lief auch alles ohne Probleme.

Wenn ich den Proxy auf auf einem Client einrichte benutzt er diesen und ungewünschte URLs werden gesperrt.

Jetzt will ich den Proxy aber automatisch über den DHCP zu verteilen.

Ich habe in der Webproxykonfiguration die automatische Erkennung aktiviert und auch den Proxy im DHCP eingetragen. Der Browser auf meinem Clientrechner ist so eingestellt, dass er automatisch nach einem Proxy sucht.

Aber verwendet wird er nicht.

Kann mir da vielleicht jemand weiter helfen?

Gruß Shakreo

[Schrotti.f]

also die AUtomatische Konfiguration via DHCP unterstützt so weit ich weis nur der Internet Explorer. Alle anderen greifen auf DNS zurück.

Ich kenne das so:

auf einem Webserver liegt ein Script (wpad.dat) welches vom Browser aufgerufen wird. Dieses Script beinhaltet alle Informationen die der Browser braucht um den richtigen Proxy zu nutzen.

Der Browser löst wpad.domäne auf findet dort im root die wpad.dat. Der IE geht etwas anders ran er kann auch den Pfad zu der Datei über DHCP finden. Findet er über DHCP nix greift auch er auf DNS zurück.

[Shakreo]

hm... Ok

damit scheinst du Recht zu haben. Ich verwende hier auf meinem Bürorechner Chrome und mit dem Browser hat es nicht funktioniert.

Mit dem IE funktioniert es.

Dann werde ich mal schauen, wie ich den Proxy verteilen werde.

Vielen Dank

[Shakreo]

Ok, es kam gerade ein neues Phänomen auf.

bei meinem Ausbilder funktioniert das ganze, trotz der selben Einstellungen irgendwie nicht.

Was mich auch zusätzlich wundert ist, dass Chrome ja eigentlich die selben Einstellungen wie der IE benutzt.

Über Lösungsansätze würde ich mich freuen.

Gruß Shakreo

PS: Ich hab die Edit-Funktion nicht gefunden Gibt es die hier überhaupt? ^^

[Schrotti.f]

Mit Chrome wird ebenfalls (wenn überhaupt) nur die einstellung über DNS funktionieren.

Hast du denn ein WPAD script geschrieben? dann brauchst du es wie gesagt nur auf einem Webserver ablegen (z.B. Intranet Server) und einen DNS eintrag direkt drauf setzen.

edit: Ändern ist direkt neben Zitieren

[Shakreo]

Ok, wie sollte denn der DNS Eintrag aussehen? Bisher habe ich da nicht wirklich was gefunden bzw. mein Eintrag funktioniert nicht.

(Den DHCP-Eintrag brauche ich nicht mehr dafür oder?)

Eine wpad.dat existiert automatisch bei einem Forefront Server.

PS: Bei mir gibts nur "Zitieren", "Zum zitieren markieren" und "Direkt antworten"^^

[Schrotti.f]

Ok, wie sollte denn der DNS Eintrag aussehen? Bisher habe ich da nicht wirklich was gefunden bzw. mein Eintrag funktioniert nicht.

(Den DHCP-Eintrag brauche ich nicht mehr dafür oder?)

Eine wpad.dat existiert automatisch bei einem Forefront Server.

PS: Bei mir gibts nur "Zitieren", "Zum zitieren markieren" und "Direkt antworten"^^

Ist beim Forefront Server auch gleich ein IIS mitinstalliert? Der DNS eintrag muss einfach so aussehen das du über

wpad.deinedomain/wpad.dat die wpad.dat aufrufen kannst. Ich hab das einfach mit nem Alias (CNAME) gemacht kann aber auch sein das du einen Host (A-Record) nehmen musst

den DHCP Eintrag kannst du drin lassen der hat allerdings beim IE Priorität vor der bestimmung per DNS

[Shakreo]

Ein IIS ist nicht direkt mitinstalliert. Aber ich kann auf die wpad.dat mit <server>:80/wpad.dat zugreifen.

Nur mein DNS-Alias funktioniert nicht so wie er soll. Ich kann ihn zumindest anpingen und auch nicht auf die Datei über die Adresszeile zugreifen.

Ich habe den Namen "wpad" eingetragen und beim Verweis meinen Forefront Server.

Ich habe auch schon probiert einen IIS Server zu installieren. Hat mir aber leider auch nicht weitergeholfen, denn als ich die Default Web Site starten wollte kam nur die Meldung "Konnte nicht gestartet werden, da ein anderer Prozess auf diese Datei zugreift.

[Schrotti.f]

Also wenn du im Browser auf die Datei zugreifen kannst dann ist das schonmal gut. Jetzt musst du es nur noch schaffen einen funktionierenden DNS Eintrag hinzubekommen. leg einen A-Record auf <server-ip> an.

Du kannst über FireFox dieses konfigurationsscript wunderbar testen dort kann man es nämlich manuell angeben. Sehr hilfreich beim Debuggen.

Ein IIS ist nicht direkt mitinstalliert. Aber ich kann auf die wpad.dat mit <server>:80/wpad.dat zugreifen.

Nur mein DNS-Alias funktioniert nicht so wie er soll. Ich kann ihn zumindest anpingen und auch nicht auf die Datei über die Adresszeile zugreifen.

Ich habe den Namen "wpad" eingetragen und beim Verweis meinen Forefront Server.

Ich habe auch schon probiert einen IIS Server zu installieren. Hat mir aber leider auch nicht weitergeholfen, denn als ich die Default Web Site starten wollte kam nur die Meldung "Konnte nicht gestartet werden, da ein anderer Prozess auf diese Datei zugreift.

[Shakreo]

Ja, leider will genau das nicht funktionieren.

Ich habe schon einen Alias('CName') von wpad auf meinen Server erstellt.

In Reverse sowie in Forward eingetragen und ich habe schon die Variante Probiert ihn einfach als normalen Host('Host(A)') einzutragen.

Aus Verzweiflung bin ich gerade sogar dabei, die Varianten zu mischen.

Aber egal was ich mache, mein DNS Server kann den Namen wpad nicht auflösen.

[Schrotti.f]

ah lass mich raten WIndows Server das erlaubt eine Policy nicht. Ich such dir raus wie du das erlauben kannst

ACHTUNG: Bei einem Microsoft DNS Server sind Einträge wie WPAD durch die GlobalQueryBlockList gesperrt, was einen jedoch nicht daran hindert einen solchen Eintrag anzulegen. Er wird anschließend einfach nicht aufgelöst.

Um die GlobalQueryBlockList zu deaktivieren muss man auf jedem DNS-Server in der CMD folgendes ausführen:

dnscmd /config /enableglobalqueryblocklist 0

Der Befehl verändert in der Registry den Schlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\EnableGlobalQueryBlockList

von 1 auf 0

[Shakreo]

Ahh vielen Dank

Jetzt kann ich endlich den namen auflösen und auch die automatische Suche funktioniert endlich. Zumindest bei Firefox.

Arbeitet der Chrome da zufällig anders? Den DNS Eintrag scheint er nicht zu benutzen, da ich auf gesperrte Seiten trotzdem zugreifen kann.

[Schrotti.f]

Ahh vielen Dank

Jetzt kann ich endlich den namen auflösen und auch die automatische Suche funktioniert endlich. Zumindest bei Firefox.

Arbeitet der Chrome da zufällig anders? Den DNS Eintrag scheint er nicht zu benutzen, da ich auf gesperrte Seiten trotzdem zugreifen kann.

Also Chrome ist bei uns hier nicht erlaubt aber jedenfalls Iron der ja die selbe Codebasis besitz funktioniert einwandfrei.

[Shakreo]

Hm... ich bin gerade auf das nächste Problem gestoßen.

Bei einem anderen Rechner funktioniert die Verteilung immer noch nicht.

Weder im IE noch im Firefox, dieses Phänomen finde ich aber bisher nur auf Windows 7/Server 2008 Rechnern. Bei allen XP oder Server 2003 Rechnern funktioniert es.

PS: Warum ist Chrome denn bei euch nicht erlaubt?

[Schrotti.f]

Hm... ich bin gerade auf das nächste Problem gestoßen.

Bei einem anderen Rechner funktioniert die Verteilung immer noch nicht.

Weder im IE noch im Firefox, dieses Phänomen finde ich aber bisher nur auf Windows 7/Server 2008 Rechnern. Bei allen XP oder Server 2003 Rechnern funktioniert es.

SInd bei allen die DNS Server richtig eingetragen? was sagt nslookup wenn du wpad auflösen willst? Browser richtig eingestellt? Win 7 Rechner machen hier keine Probleme. Arbeite selber mit W7

PS: Warum ist Chrome denn bei euch nicht erlaubt?

Da jeder Browser eine eindeutige ID hat. Das wurde zwar geändert soweit ich weis aber bis das in den Richtlinien auftaucht dauert ein wenig und naja google lässt sowieso immer gleich Alarm Glocken schrillen hier ...

[Shakreo]

Ja der DNS ist richtig eingetragen und die entsprechenden Rechner können den Namen auch auflösen.

[Schrotti.f]

Probier mal (am besten über firefox) den pfad zum Script selber anzugeben. Bei Automatische Proxykonfigurations URL:

Dort ruhig mal mit dem Domainnamen zum Script.

[Shakreo]

Das manuelle Eintragen funktioniert auch nicht.

[MK2010]

ah lass mich raten WIndows Server das erlaubt eine Policy nicht. Ich such dir raus wie du das erlauben kannst

Hallo Schrotti... Man haette ich das vorher gelesen, dieser Beitrag hat meine ganzen Probleme gelöst.

Vielen Dank