Keine Verbindung zum Proxy über die Windows-Einstellungen

Clientpflege Windowsclient
,
1

Hallo zusammen,
wie oben genannt erhalte ich keine Verbindung zum Proxy über die Windows-Einstellungen.
Heißt: in der Eingabeaufforderung via netsh winhttp show proxy kommt die Meldung „Direct Access (kein Proxyserver)“ und im Browser funktioniert der Proxy auch nicht (was sich beispielsweise bemerkbar macht durch eine eingeschaltete Internetsperre, wobei alle Seiten abrufbar sind und nicht nur die Whitelist).
An unserer Schule arbeiten wir ohne Default-Profil. Anstelle dessen arbeiten wir mit GPOs und Registry-Einträgen.
Folgende Infos sind vielleicht hilfreich für das Problem:

  • kein Default-Profil, dafür GPO und Registry
  • Wir haben einen DualBoot mit Win11 und Ubuntu

Folgendes habe ich überprüft und abgeändert:

  • auf unserer opnSense passen alle Einstellung zum Proxy > in Linux funktioniert der Proxy
  • in den Interneteinstellungen ist der Proxy hinterlegt
  • GPOs zum Proxy sind angelegt (siehe unten)
  • Registry-Einträge zum Proxy sind angelegt (siehe unten)

Über Unterstützung und Tipps wäre ich sehr dankbar.
LG
Mario

Anhang GPOs:

  1. Computerkonfiguration\Richtlinien\ Administrative Vorlagen\Windows-Komponenten\Datensammlung und Vorabversionen
  • Verwendung eines authentifizierten Proxys für den Dienst „Benutzererfahrung und Telemetrie im verbundenen Modus“ konfigurieren > Aktiviert mit der Option „Verwendung des authentifizierten Proxys deaktivieren“
  • Benutzererfahrung und Telemetrie im verbundenen Modus konfigurieren
  1. Computerkonfiguration\Richtlinien\ Administrative Vorlagen\Windows-Komponenten\Internet Explorer
  • Änderung der Proxyeinstellungen verhindern > Aktiviert
  • Proxyeinstellungen pro Computer vornehmen (anstelle von pro Benutzer)
  1. Richtlinie für manuelle Proxy-Konfiguration (=Übergangslösung, nicht Wunschlösung) Benutzerkonfiguration\Richtlinien\ Administrative Vorlagen\Mozilla\Firefox
  • Proxy-Einstellungen: Manuelle Proxy-Konfiguration | HTTP-Proxy eingetragen | für alle Protokolle diesen Proxy-Server verwenden - Check
  • keine Authentifizierungsanfrage bei gespeichertem Passwort

Anhang Registry-Einträge:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    > ProxyEnable > 1 (REG_DWORD)
    > ProxyServer > IP-Adresse unseres Proxys (REG_SZ)
  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
    > ProxySettingsPerUser > 1 (REG_DWORD) - dies wird per start-task.cmd bei jedem Start geschrieben, da dieser Wert nicht erhalten bleibt.
2

Hallo,

Der Befehl netsh winhttp show proxy zeigt (nur) die Proxy-Einstellung des Computers (genauer des Nutzers SYSTEM) an und nicht die des aktuell angemeldeten Benutzers.

Wenn du in Gruppenrichtlinien eine Benutzerkonfiguration vornimmst, hat diese Vorrang vor einer gleichlautenden Computerkonfigurationen. Ich empfehle auch konsequent die Registry-Keys für die es Gruppenrichtlinien-Einstellungen gibt, auch per GPO zu setzen und nicht manuell Skripte o.ä., denn dies führt nur zur Verlust der Übersicht, was letztlich gelten wird.

Ich würde die Proxy-Einstellung eher in der Computerkonfiguration platzieren, denn es könnte andere Computer geben, die bspw. nomadisch benutzt werden, wo die Einstellung anders sein soll. Wenn du sie aber auf Benutzerebene einstellst, stehst du dann vor dem Problem, dass du deine Gruppenrichtlinie für Benutzer in Abhängigkeit des Computers ändern willst. Das geht zwar prinzipiell auch mit Loopback-Modus, aber das verringert wieder nur die Übersichtlichkeit und benötigt das Verständnis dieses Mechanismus auch bei Kollegen, die vielleicht seltener mit Gruppenrichtlinien zu tun haben.

Jenachdem wie du es halten willst, prüfe mit Proxyeinstellungen pro Computer vornehmen (anstelle von pro Benutzer) ob ProxySettingsPerUser den richtigen Wert hat. Microsoft hat generell eine Vorliebe für Verneinung, doppelte Verneinung bei den GPO und leider auch teils falsche Übersetzungen in den Hilfetexten der deutschen Gruppenrichtlinien-Verwaltungskonsole.

Viele Grüße
Buster

3

Hallo mweidner,

der Proxy von LMN muss als FQDN angegeben werden, z.B. firewall.linuxmuster.lan mit Port 3128, reine IP Adressen funktionieren nicht.

Per GPO „Proxyeinstellungen pro Computer vornehmen (anstelle von pro Benutzer)“ setzt du ProxySettingsPerUser=0 und dann per Reg-Datei setzt du ProxySettingsPerUser=1. Da solltest du dich entscheiden.
Ansonsten beachte die Hinweise im Wiki windowsclient_lmn7:einrichtung_von_proxy_per_gpo_fuer_den_benutzer und die Seite
Windows Proxy Server systemweit einstellen - Der Windows Papst - IT Blog Walter.

Ansonsten wäre es hilfreich, wenn du mit rsop und gpresult feststellen würdest, welche GPOs beim Client ankommen.

Viele Grüße
Christian

4

Hallo,
vielen Dank für die schnelle und informative Rückmeldung! Tatsächlich habe ich mich für die Proxy-Einstellung per User entschieden. Die GPO kommt auch an und der Proxy funktioniert.
Viele Grüße
Mario

5

Hallo Christian,
herzlichen Dank für die Info! Die Proxy-Adresse war als FQDN eingetragen - das war nicht das Problem. Das Problem lag in zwei Einstellungen:

  • In den Interneteinstellungen war noch der Haken bei „Proxyserver für lokale Adressen umgehen“ drin
  • und am Widerspruch bei GPO und Registry im Hinblick auf die ProxySettingsPerUser.

Nach einigen Stunden Arbeit am gleichen Problem sieht man manchmal den Wald vor lauter Bäumen nicht, wobei ich aus Verzweiflung erfolglos viel versucht (Registy-Anpassung, GPO-Veränderungen, Start-Skripte) habe, um das Problem in den Griff zu bekommen. Manchmal ist es wohl besser das Problem mal zwei Tage ruhen zu lassen und sich dann nochmal konzentriert dran zu setzen.
Unabhängig davon: vielen Dank für die entscheidenden Hinweise.
Viele Grüße
Mario