Verteilung der Proxyeinstellungen an die Clients

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Micha ASB
Beiträge: 2
Registriert: Do 17.03.2022, 15:54

Verteilung der Proxyeinstellungen an die Clients

Beitrag von Micha ASB »

Hallo, 
da ich gerade mal wieder an dem Problem hänge, die Proxyeinstellungen sinnvoll an die Clients im Netzwerk zu verteilen, wollte ich mal um die Erfahrungswerte der anderen Nutzer Fragen.  

Erstmal Grundsätzlich beziehe ich mich auf eine Windows Domain und verwalteten Windows Clients, an allen anderen Stellen werden die Proxyeinstellung manuell eingetragen, es wird kein transparenter Proxy genutzt.

Aktuell nutzen wir zum Verteilen der Einstellungen GPOs die je nach Netz und PC die Proxyeinstellungen in den Internetoptionen setzen, alles läuft super und zuverlässig. Wären da nicht die Kollegen die Ihre Rechner mitnehmen und Mobil arbeiten (Baustelle/Homeoffice). Bei denen kommt es dann zu dem Problem das die Proxyeinstellungen auch Außerhalb unseres Netzwerkes gesetzt sind und somit händisch der Haken "Proxyserver für LAN verwenden" entfernt werden muss.

Als alternative wurde schon die Nutzung einer Proxy PAC Datei versucht, funktionierte ganz gut nur ist diese Variante fehleranfälliger und gefühlt um einiges langsamer.

Aktuell nutzen wir wieder die klassischen Proxyeinstellungen über GPO und die Mobilen APs entfernen beim verlassen des internen Netzes händisch den Haken.

Vielleicht haben andere auch das Problem oder sogar eine Lösung und können mir weiterhelfen.

Grüße Micha 

merlin
Beiträge: 263
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Beitrag von merlin »

Hallo Micha!

Ich hatte diese Lösung jahrelang bei uns ohne Probleme im Einsatz:
https://www.gruppenrichtlinien.de/artik ... -switcher/
In den letzten Monaten hat es mit verschiedenen Clients aber immer wieder Probleme gegeben, die den Haken nicht immer entfernt haben, wenn sie das Firmennetz verlassen haben. Leider konnte ich es noch nicht analysieren woran das liegt, weshalb ich aktuell wieder manuell an- und ausschalte.

Gruß
Rolf

Lulz
Beiträge: 14
Registriert: Do 07.02.2019, 12:04

Beitrag von Lulz »

Folge hier mal, würde das auch gern wissen

Micha ASB
Beiträge: 2
Registriert: Do 17.03.2022, 15:54

Beitrag von Micha ASB »

Hallo Rolf,
aufgrund deiner Anregungen habe ich mir folgendes Script gebaut, welches dann über GPO an die Clients verteilt wird. Es lief jetzt schon zwei Wochen ohne Probleme.
Den "Else" kann man sich eigentlich schenken weil der auch durch die GPO im Netz mit erledigt wird aber schadet auch nicht

Code: Alles auswählen

@echo off
cls
set ip=%userdomain%.local
ping -n 1 %ip% | find "TTL"
if not errorlevel 1 set domainnet=yes
if errorlevel 1 set domainnet=no
cls
if %domainnet%==yes (reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d 0x00000001 /f) else (reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d 0x00000000 /f)

merlin
Beiträge: 263
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Beitrag von merlin »

Hallo Micha,

das sieht sehr gut aus, ich werde es demnächst auch ausprobieren.

Vielen Dank!
Gruß
Rolf

merlin
Beiträge: 263
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Beitrag von merlin »

Ich habe das jetzt auch erfolgreich eingerichtet.
Habe das Skript 1:1 übernommen - vielen Dank!
Vielleicht der einzige Schönheits-"Fehler" ist das ".local" für den universellen Einsatz, aber da gibt es wohl keine Umgebungsvariable. Da muss man halt dran denken, wenn man es in Umgebungen einsetzt, die keine .local-Topleveldomain haben.

Vielleicht noch ein Tipp von mir: Wenn Clients aus anderen Netzen z.B. per VPN angebunden (ob Roadwarrior oder S2S), den Proxy nicht nutzen sollen, muss der Ping über den Tunnel auf das Ziel geblockt werden. Oder eben genau anders herum, wenn der Proxy genutzt werden soll.

Gruß
Rolf

pl85
Beiträge: 79
Registriert: Di 13.03.2012, 14:54

Beitrag von pl85 »

Anstatt %userdomain% evtl. %USERDNSDOMAIN% nutzen, das ist die vollständige Domain inkl. Endung

Antworten