Proxy Probleme (Keine Windows Updates machbar)

Hallo Leute,

Ich habe endlich ein allgemeines Image erstellt bekommen und wollte mit dem Ausrollen beginnen.
Beim Testen auf einer neueren Kiste habe ich gemerkt, dass Treiber fehlen. Dachte mir "Ok. gehst du halt nach dem Ausrollen rum und haust einmal Windows update per Hand an, damit die Treiber gezogen werden. Problem ist jetzt, dass Windows nicht mehr nach Hause telefonieren kann.
Ich hatte zum Testen bei der Erprobungsphase eine GPO eingerichtet, die die Proxyeinstellungen auf den Clients verteilen sollte. Das hat aber eher so gar nicht geklappt. Das einzige was die GPO bewirkt hat ist, dass der Client bei den Proxyeinstellungen nichts drin stehen hatte und ich manuell den Proxy nicht speichern konnte. Also habe ich die GPO einfach gelöscht.
Wenn ich jetzt eine Webseite aufrufe fragt mich der Browser beim ersten Start nach Benutzername und Kennwort. Woanders im Forum habe ich gelesen, dass das normal ist, wenn man als globaler Admin angemeldet ist, weil der ja nicht teil der Schule ist. Ich habe also hier meinen die Zugangsdaten von meinem Lehrer Account eingetragen und hatte Zugang zum Internet.
Also habe ich mich testweise abgemeldet und mich direkt mit dem Lehrer Account angemeldet. Hier konnte ich ohne Eingabe von Zugangsdaten direkt surfen
Allerdings scheint es keine Verbindung nach Redmond zu geben. Wenn ich auf Windows Update gehe sucht er sich einen Wolf, obwohl Updates bereitstehen sollten. Das habe ich mit einem Baugleichen Rechner, den ich in den NoProxy Alias reingehauen habe getestet.

Hintergrund: Die GPO war einfach nur bei Computer → Administrativer Vorlagen → Windows Komponenten → Internet Explorer → Proxyeinstellungen für den Computer setzen auf aktiviert
und
Benutzer → Einstellungen → Systemsteuerung → Interneteinstellungen → Neu → Internet Explorer 10 → Dann im Reiter Verbindungen bei Lan Einstellungen den FQDN vom Proxy mit samt Port eingetragen
Zusätzlich habe ich bei der Sicherheitsfilterung noch die Domain Computers hinzugefügt

1. Frage: Wie verteilt ihr eure Proxy Einstellungen? macht ihr das auch per GPO und ich bin einfach zu doof dafür, macht ihr das über ein magisches Skript oder backt ihr das ins Image mit ein und ich habs mir nur ein bißchen zerschossen durch meine GPO?
2. Frage: Warum ist Windows so nervig?
3. Frage: Wieso hat ein Schuladmin Acoount auf den Windowsrechnern keine Admin rechte?
4. Frage Wie handhabt ihr das mit den Treibern bei unterschiedlichen Kisten? Habt ihr die auf nem Netzwerk Share liegen und installiert die nach dem Ausrollen von einem neuen Image Händisch? Prügelt ihr die ins Image mir rein für alle möglichen Geräte?

Sorry für den Roman. Ich hoffe ihr könnt mir wie sonst auch immer helfen.

Liebe Grüße
Der Hoches

Hallo Hoches,

ich mache das mit dem Proxy anders. Ich habe unter Windows eingestellt, dass ein Proxy verwendet werden soll. Diese Einstellungen bekommen dann alle Browser und Du musst nicht jedem Browser einzeln „beibringen“ dass ein Proxy zu verwenden ist.

Nutze die Suchfunktion in Windows und suche nach „Proxy-Einstellungen“.

Viele Grüße

Alois

Juhu Alois,

Diese Einstellung verwende ich auch. Das man jedem Programm einzeln beibringen musste einen Proxy zu benutzen gibts glaub ich spätestens seit XP nicht mehr. Ich Frage mich nur gerade ob die Proxyeinstellungen im Computer und somit für alle Benutzer gespeichert wird, was ja dann bei der Verwendung von Images hilfreich ist, oder ob der Proxy im Benutzerprofil gespeichert wird und ich ihn deshalb für alle händisch setzen müsste. Ich bin von letzterem Ausgegangen und habe deshalb den Weg über die GPO gesucht, aber wenn die Speicherung für den Computer gilt kann ich einfach mein Basisimage nochmal bearbeiten und ausrollen.

Edit: Das Größere Problem hier ist auch vielmehr, dass Windows keine Updates ziehen kann wenn ich den Proxy im System aktiviere (Bei Rechnern, die nicht in der Noproxy Gruppe sind)

Hallo Hoches,

hast Du das Profil des Global-Admin mit Defprof zum Default-Profil kopiert?

Viele Grüße

Alois

Juhu Alois,

Mit Defprof habe ich nichts getan.

Den Schritt in den Docs muss ich übersprungen haben. Wenn ich mir die Beschreibung von DefProf durchlese sehe ich aber erstmal nicht wie mir das mit meinem Kommunikationsproblem mit Microsoft helfen soll. aber ich probier es mal aus.

Liebe Grüße
Hoches

Hallo,

das Problem ist zweistufig.
Erstmal der Proxy: durch den kommen nur AD-authentifizierte Nutzer: und
da gehört der lokale admin nicht dazu.
Mein Vorschlag: nimm den Cleint an dem du die Updates machen willst in
der Firewall in die Alias Gruppe „noProxy“ auf (mit IP), dann klappt das.

zweites Problem:
bei mir in der Schule kümmert sich das WIndows in der Direktion einen
feuchten Kehricht um die Proxy Einstellungen im System.
Es versucht immer eine direkte Verbindung auf zu bauen (was klappt, wenn
man den Alias Eintrag gemacht hat, weil der Client dann ja vorbei darf).
Will man das nicht, dann muss man auch dem Windows Update beibringen den
Proxy zu verwenden. Das geht so:
Eingabeaufforderung (als Administrator) und folgenden Befehl absetzen

netsh winhttp set proxy www.xxx.yyy.zzz:PORT

LG

Holger

Hallo Hoches,

um das Problem mit dem „global-admin“ zu umgehen habe ich folgendes gemacht:

1. Via Schulkonsole als „global-admin“ den Schuladmin „pgmadmin“ angelegt
2. Im Client als „global-admin“ den Domänenbenutzer „pgmadmin“ zum Administrator gemacht (dabei mache ich auch gleich die Lehrer zu Admins).
3. Rechner neu gestartet und als lokaler Admin per Defprof das Profil des „global-admin“ kopiert

Nach dem Prozedere kannst Du Dich wie früher als „pgmadmin“ anmelden und genau so arbeiten wie früher.

Viele Grüße

Alois

Ps. Dass ich Lehrer zu Admins mache, hat mit der Philosophie zu tun, dass ein Lehrer mal schnell ein Programm installieren können soll. Wenn der „pgmadmin“ neue Programme installieren will, dann sollte er zunächst synchronisiert starten, dann sind alle Programme weg die ggf. von einem Lehrer installiert wurden.

Danke für den Hinweis. Werde ich gleich mal testen

Die Logik kann ich absolut nachvollziehen. Danke für den Input. Ich glaube das werde ich auch berücksichtigen.

Hi Holger,

die Netsh lösung hat leider nicht geklappt. Ich denke ich werde jetzt aufgrund des Zeitdrucks erstmal alle relevanten Geräte in die NoProxy Gruppe Aufnehmen. Das Kann aber kein Dauerzustand sein. Spätestens wenn ich das nächste Image ausrolle fehlen ja dann wieder Treiber. Wir haben hier einen Sehr bunt gewürfelten Haufen Hardware. Das ist denke ich mal an vielen Schulen so.
Außerdem weiß ich, dass Geräte in der NoProxy Gruppe vergessen werde und dann haben die Kids freies Feld. Die Forschung geht weiter

Liebe Grüße
Der Hoches

Hallo Kevin,

was meistens ganz gut funktioniert ist, das Image der Reihe nach auf
alle Gruppen von Rechnern zu kopieren, bei denen ein Treiber benötigt
wird, die fehlende Treiber zu installieren und dann ein neues Image zu
ziehen. Dann hat man alle Treiber im Image und Windows sucht sich beim
Booten die richtigen.

Da es dabei aber durchaus zu Kollisionen kommen kann, ist die klare
Empfehlung, wirklich nur dann Treiber einzuspielen, wenn etwas nicht
funktioniert. Windows kann die meiste Hardware ja auch mit den
mitgelieferten Standardtreibern nutzen.

Beste Grüße

Jörg

Da hast du natürlich recht Jörg. Ich wollte aber möglichst meine „Image Quelle“ bei einem Gerät belassen.
Das was mich am meisten bei dem aktuellen Gerät ärgert ist dass das Touchpad nicht funktioniert. Normalerweise würd ich sagen ich leg dann eine von den 3 Millionen USB Mäusen bei, die wir hier haben, aber unsere Schülertische geben nicht immer genug platz her für ne Maus + Laptop.
Sorry, dass ich heute so viel Schreibe, aber bei der Hitze muss ich buchstäblich dampf ablassen.

Liebe Grüße
Der Hoches

Hallo Hoches,

bei Windows gibt es, wenn ich das richtig verstanden habe, zwei Wege: den „alten“ Weg, mit defprof das Default-Profil für alle Benutzer bereit zu stellen oder eben alles komplett mit GPOs zu machen.
Letzteres ist bestimmt moderner und flexibler und überhaupt aber ich steige da noch nicht zu 100% durch, deswegen machen wir das mit defprof.
Die Proxysettings nehme ich da ins Image auf und laufe dann z.B. beim Updaten von Windows als domadmin (irgendwann hat defprof mal mit dem pgmadmin gezickt, seither nehme ich domadmin) eben in das Problem, dass der da nicht raus darf. Deshalb deaktiviere ich temporär als domadmin die Proxysettings, nehme den PC in die noProxy-Gruppe auf der OPNsense auf, mache alle Updates und schalte den Proxy am Schluss, bevor ich das Image erstelle, wieder an. Bisschen aufwendig aber das macht man ja nicht alle naselang.

Wegen der Imagevereinheitlichung: nachdem ich anfangs 3 verschiedene Images gepflegt hatte (Intel, AMD,…), hab ich mich irgendwann mal getraut, die zu vereinheitlichen und siehe da: es geht! Jetzt haben wir für 3 HWK nur noch ein Image! Wobei ich großzügig alles an Treibern installiert habe, was mir die Motherboard- und andere Hersteller so an Downloads angeboten haben.

Viel Erfolg und viele Grüße,
Jochen

Hallo Hoches,

in Windows gibt es einen Proxy für das System und einen anderen Proxy für den Benutzer. Beide müssen individuell konfiguriert werden und arbeiten standardmäßig unabhängig voneinander.
Es ist aber möglich, den Proxy für das System so zu konfigurieren, dass er die Einstellungen des Proxys für den Benutzer übernimmt und andersherum.

Im Grunde hast du zwei Möglichkeiten.

Konfiguration des Proxys am Client
Den Proxy für den Benutzer in den Einstellungen konfigurieren. Dann in einer Eingabeaufforderung mit erhöhten Rechten (Admin) die beiden Befehle ausführen:

 netsh winhttp reset proxy  
 netsh winhttp import proxy source=ie

Damit wird der Proxy des Systems zuerst auf die Werkseinstellungen zurückgesetzt und eventuelle Experimente rückgängig gemacht. Der zweite Befehl weist den Proxy des Systems an, die Einstellungen des Nutzers zu übernehmen.
Die Einstellungen des Benutzers gelten immer nur für diesen einzelnen Benutzer und nicht für andere!
Du musst also diese Einstellungen mit Defprof in das Default-Profil kopieren.
Die Anmeldung von Nutzern, die mit Defprof angelegt wurden, dauert extrem lange!

Konfiguration mit GPO
Das hast du eigentlich am Anfang schon richtig gemacht.

Passt

Passt auch.
Du hast aber wahrscheinlich die Einstellungsfelder nicht aktiviert. Im Reiter „Einstellungen für lokales Netzwerk“ sind einige Felder grün unterstrichen und andere Felder (z.B. Adresse) sind rot unterstrichen. Grün bedeutet, dass diese Felder aktiviert sind. Rot bedeutet, dass dieses Feld eventuell konfiguriert ist (z.B. 111.222.333.444) aber noch nicht aktiviert wurde und daher die Einstellung nicht auf die Clients übertragen wird. Um ein rotes Feld zu aktivieren ist dieses zu markieren (Mauszeiger rein) und dann muss F6 gedrückt werden. Mit F7 wird das Feld deaktiviert. Mit F5 werden alle Felder des aktiven Reiters aktiviert.

Das Feld „Adresse“ und „Proxyserver für …“ sind nicht aktiv. Die Werte werden nicht auf die Clients übertragen!

Viele Grüße
Christian