dng-alt
Goto Top

Best Practice - Proxy PAC auf Server-Systemen und ActiveDirectory

Hallo zusammen,

ich hätte da mal eine Frage zur Konfiguration von Windows-Servern mit einer Proxy-PAC-Datei.
Ich habe zwar schon die Board-Suche verwendet, aber keine konkrete Aussage bekommen.
Ich habe folgendes Szenario:

- Proxylösung ist der ZScaler als SaaS (extern gehostet) mittels Proxy-PAC, die auf einen Webserver im Internet verweist.
- Client erhalten die Proxy-PAC über eine GPO und der Konfiguration darauf wurde beschränkt
- Firewall Port 80 und 443 ist geschlossen bis auf die Ranges des ZScalers

Somit ist eine Kommunikation mit 80 und 443 nur über den Proxy möglich.
Soweit funktioniert das auch sehr schön bei den Clients.

Jetzt wollte ich meine Server umstellen und musste hier feststellen, dass es deutlich schwieriger ist, da manche Dienste Proxy-Konfiguration zulassen, manche nicht, manche verwenden die im IE gesetzten Einstellungen (bzw. unter Systemsteuerung - Internetsettings), manche ignorieren diese.
Generell ist mein Problem, dass man meistens keine PAC-Datei in den Einstellungen hinterlegen kann, sondern ein FQDN und Port gefragt wird. Damit verliere ich aber einen Teil der Flexibilität meiner Zscaler-Lösung, da diese für mich den Proxy auswählt (Lastverteilung, Geolocation, etc.).

Aufgefallen ist mir das beim WSUS, Trendmicro WFBS 9, Office Click-To-Run Updates und Zertifikatssperrlisten der Zertifikate.
Hier hatte einige Schwierigkeiten, das richtig zum Laufen zu bekommen. Ich bekomme zwar die einzelnen Dienste zum "Fliegen" aber vergesse ich welche oder ändert sich was, dann muss ich daran immer denken und nachkonfigurieren. Ich weiß auch nicht, welcher Windows-Dienst wie nach außen kommuniziert, oder ist die Kommunikation über 80 und 443 nach außen gar nicht so groß und relevant, wie ich jetzt gerade denke?

Hat jemand ebenfalls eine Konfiguration mit Proxy-PAC-Datei und Windows Server im Einsatz und kann mir dazu einen Best Practice-Tipp geben?
Trage ich diese "nur" beim IE ein oder auch mittels netsh winhttp.
Vielen Dank für Eure Hilfe schon mal...

Grüße,
dng-alt

Content-ID: 286734

Url: https://administrator.de/contentid/286734

Ausgedruckt am: 22.11.2024 um 05:11 Uhr