adminewbie
Goto Top

Proxyserver zu Hause umgehen?

Hallo zusammen,
ich habe mal eine Frage zu den Interneteinstellungen bzw. Proxyeinstellungen in Windows.

Folgede Situation:
Ich habe hier ein Firmennetzwerk mit einem ISA-Proxy- Server. An den Clients ist der Proxy in den IE Einstellungen auch entsprechend eingetragen.
Jetzt ist aber das Problem, dass wenn ein Benutzer zu Hause mit seinem Firmen-Notebook über seinen privaten Internetzugang surfen will, der IE das surfen verhindert, da ja ein Proxy eingetragen ist (der zu Hause natürlich nicht verfügbar ist).

Meine Frage: Kann man das irgendwie einstellen o.ä., dass wenn der User sich nicht direkt am Firmennetz anmeldet, der Proxy ausgeschaltet wird?

Grüße
-der AdminNewbie-

Content-ID: 108125

Url: https://administrator.de/forum/proxyserver-zu-hause-umgehen-108125.html

Ausgedruckt am: 24.12.2024 um 13:12 Uhr

emoticous
emoticous 05.02.2009 um 10:35:58 Uhr
Goto Top
Halloaface-smile
Das sollte sich doch über die "wpad-Funktion" vom ISA-Server regeln lassen.

Da gibt´s ein paar Infos im Inet, einfach nur nach isa und wpad suchen.
Da die Benutzer zu Hause keinen isa-Server haben werden, sollte dann der Zugang ohne Proxy genutzt werden.

Vllt. hilft dir das jaface-smile

LG
Roman
AdmiNewbie
AdmiNewbie 05.02.2009 um 10:47:29 Uhr
Goto Top
Aha. Habe grade schonmal nach den Stichwörtern gesucht und auf den ersten Blick sieht das ja gar nicht so einfach aus...
Mal sehen, ob ich das hinbekomme
CarstenKoepp
CarstenKoepp 05.02.2009 um 10:49:18 Uhr
Goto Top
haha ...wie sagt die Werbung? Das schaffst du schon... face-wink


lg
AdmiNewbie
AdmiNewbie 05.02.2009 um 11:23:17 Uhr
Goto Top
Ach du grüne neue, da muss man ja auch am DNS was anpassen.
Und bei mir sieht das irgendwie anders aus als auf http://www.msisafaq.de/Anleitungen/2004/Konfiguration/wpad.htm
(beim Alias CNAME erstellen hakt es)

Mal sehen, ob ich noch eine andere Anleitung dazu finde.
Da ich kein ausgebildeter Admi bin, bin ich natürlich sehr vorsichtig. Nicht das naher die ganze Kiste steht.
Driver401
Driver401 05.02.2009 um 12:29:53 Uhr
Goto Top
Zitat von @AdmiNewbie:
Ach du grüne neue, da muss man ja auch am DNS was anpassen.

Nicht unbedingt. Wenn Du den IE verwendest, kannst Du auch über einen DHCP-Parameter die Informationen rübergeben, wo die WPAD-Datei zu finden ist.
Firefox oder andere Browser benötigen allerdings den DNS.

Wobei sich mir die Frage stellt, ob es der IE denn sein muss, oder ob es nicht auch mit dem Firefox und unterschiedlichen Profilen geht.
Oder gleich zwei Browser benutzen - im LAN den IE und zu Hause den Firefox face-smile

Oder noch anders gefragt - wie wird der Proxy denn bisher im IE eingetragen - Group Policies?
Meldet sich der Benutzer zu Hause mit dem gleichen Account an? Wenn er einen anderen Account (lokal) hat, dann könntest Du es ja darüber machen.

Gruß
Jürgen
AdmiNewbie
AdmiNewbie 05.02.2009 um 13:01:51 Uhr
Goto Top
Es wäre schon gut, nur den IE einzusetzen.

Ich habe den Proxy bei den Workstations über eine Gruppenrichtlinie erzwungen, bei den mobilen Computern nicht.
Wäre es möglich, den Proxy bei bei der Anmeldung zu erzwingen und beim Abmelden (über ein Skript) wieder rauszunehmen? Oder würde bei einer Offline-Anmeldung trotzdem der Proxy wieder erzwungen?
emoticous
emoticous 05.02.2009 um 14:10:52 Uhr
Goto Top
Hmm, woran scheitert es denn beim DNS-Dienst???
Eigentlich brauchste da nur einen Alias erstellen, der WPAD heißt und diesen dann mit dem entsprechenden fqdn verknüpfen, also quasi dem Computernamen des ISA-Servers mit der angehängten Domäne.
(z.B. computer.domäne.de)
Ansonsten ist beim ISA nur noch der Haken bei "Informationen für die automatische Erkennung veröffentlichen" wichtig. Aber ist ja alles in der Anleitung beschrieben.

LG
Roman
AdmiNewbie
AdmiNewbie 05.02.2009 um 14:55:51 Uhr
Goto Top
Also das Problem ist, wenn ich beim DNS den neuen Alias erstellen will, sieht das Fenster anders aus.
Dort muss ich "Vollqualifizierter Domänenname" und "Vollqualifizierter Domänenname des Zielhosts" eingeben.
Das ist ja anders, als bei msisafaq. Oder muss ich dort das gleiche eintragen?

Außerdem habe ich den Haken "Eintrag löschen wenn er veraltet ist" nicht und eine TTL kann ich auch nicht einstellen.
Stattdessen habe ich die Möglichkeit einen Haken zu setzen bei "Authentifizierte Benutzer können alle DNS Einträge mit demselben Namen aktualisieren..."
emoticous
emoticous 05.02.2009 um 15:05:20 Uhr
Goto Top
Ui, in der Tat, das sieht anders aus. Da hab ich gar nicht drauf geachtet beim Überfliegen der Anleitung; sry...

Also bei Alias Name kommt wpad rein.
Bei Vollqualifizierter Domänenname müsste sich das Feld selbst ausfüllen (klingt jetzt komisch, aber ich weiß nicht, wie ich´s anders ausdrücken soll).
Und bei Vollqualifizierter Domänenname des Zielhosts kommt der Name des Zielhosts rein, also wie dein isa im internen Netzwerk bei dir heißt.

Z.B.
Aliasname: wpad
Vollqualifizierter Domänenname: wpad.domäne.de
Vollqualifizierter Domänenname des Zielhosts: isa-server.domäne.de

Sucht man dann in deinem Netzwerk nach wpad, bekommst du als "wahres" Ziel isa-server.domäne.com. und das ist quasi das Zielface-smile
Testen kannste das dann ja mit einem "ping"

Den Haken bei "Authentifizierte Benutzer können alle DNS Einträge mit demselben Namen aktualisieren..." kannste hier rauslassen.

LG
Roman
AdmiNewbie
AdmiNewbie 05.02.2009 um 15:11:16 Uhr
Goto Top
also bei mir sieht das folgermaßen aus:

Aliasname -> wird automatisch ausgefüllt mit dem Domänennamen. Den kann ich auch nicht ändern.
Vollqualif. Domänenname -> muss eingetragen werden
Vollqualif. Domänenname des Zielhost -> muss auch eingetragen werden.
n.o.b.o.d.y
n.o.b.o.d.y 05.02.2009 um 15:15:13 Uhr
Goto Top
Moin,

vielleicht hilft das: http://www.ie7pro.com/

dort kann man einfach mit zwei Klicks Proxys switchen (oder eben keine auswählen)
AdmiNewbie
AdmiNewbie 05.02.2009 um 15:21:06 Uhr
Goto Top
Zitat von @n.o.b.o.d.y:
Moin,

vielleicht hilft das: http://www.ie7pro.com/

dort kann man einfach mit zwei Klicks Proxys switchen (oder eben
keine auswählen)

Danke für den Tipp! Aber es wäre schon super, wenn das automatisch ginge, ohne das die Benutzer was machen müssen.
n.o.b.o.d.y
n.o.b.o.d.y 05.02.2009 um 15:43:08 Uhr
Goto Top
Hallo,

OK, einen hab ich noch face-smile

Wenn Du den Clients den Proxy per GPO vergibst, dann werden die zu hause logischerweise nicht ziehen und der IE kann ohne Proxy ins Inet

Oder wenn der Proxy auf in den Verbindungseinstellungen auf "automatische Suche" steht, dann findet der im Firmen-LAN den Proxy und zu hause halt nicht. Dann muß der ISA das natürlich anbieten.

Oder wenn man "automatische Suche" aktiviert läßt und einen Proxy fest einträgt, sollte der IE zu hause erst nach dem Proxy suche, denn nicht finden und dann trotzdem lossurfen können.
AdmiNewbie
AdmiNewbie 05.02.2009 um 15:55:36 Uhr
Goto Top
Zitat von @n.o.b.o.d.y:
Hallo,

OK, einen hab ich noch face-smile

Wenn Du den Clients den Proxy per GPO vergibst, dann werden die zu
hause logischerweise nicht ziehen und der IE kann ohne Proxy ins Inet

bleibt der Proxy dann nicht eingetragen, wenn die Benutzer sich abmelden? Sie müssten ihn dann manuell rausnehmen


Oder wenn der Proxy auf in den Verbindungseinstellungen auf
"automatische Suche" steht, dann findet der im Firmen-LAN
den Proxy und zu hause halt nicht. Dann muß der ISA das
natürlich anbieten.

Das versuche ich ja mit Hilfe der WPAD umzusetzen.


Oder wenn man "automatische Suche" aktiviert
läßt und einen Proxy fest einträgt, sollte der IE zu
hause erst nach dem Proxy suche, denn nicht finden und dann trotzdem
lossurfen können.

Ich glaube das funktioniert so nicht. Ich meine ein Mobiler Benutzer hatte das schonmal ausprobiert.
Driver401
Driver401 05.02.2009 um 16:36:40 Uhr
Goto Top
Zitat von @AdmiNewbie:
bleibt der Proxy dann nicht eingetragen, wenn die Benutzer sich
abmelden? Sie müssten ihn dann manuell rausnehmen

Da hast Du recht, denn sonst könnte man GPO's ja relativ einfach umgehen, indem man einfach die Netzverbindung trennt. Nee, so geht das nicht.
Und manuell rausnehmen wird auch nicht gehen, wenn die GPO den Proxy vorgibt und damit auch festnagelt.


Wenn Du das ohne Benutzereingriff machen willst, kannst Du das wohl nur über die automatische Einstellung (WPAD) versuchen, wobei ich nicht weiß wie der IE reagiert wenn er schonmal eine Einstellung hatte, und dann keinen WPAD (zu Hause) mehr findet... ob er dann ohne Proxy.... oder doch mit dem den er mal hatte? Don't know.

Ideal wäre m.E. ein kleines Progrämmchen, das zwischen den Proxies switchen kann - wenn das angesprochene IE7pro das erfüllt und es nicht zu kompliziert für den User ist, würde ich das nehmen.
Vielleicht auch einfach ein batch zur Registry-Änderung.
Die GPO solltest Du vorher aber auf jeden Fall für den User/Rechner deaktivieren, sonst könnte das in die Hose gehen... bezieht sich meiner Meinung nach auch auf WPAD.
emoticous
emoticous 05.02.2009 um 17:55:02 Uhr
Goto Top
Also du solltest das mal mit der wpad-Funktion versuchen;)
Es bedeutet für die Nutzer den geringsten Konfigurationsaufwand und du selbst brauchst es ja auch nur einmal einrichten. Und die Einrichtung selbst ist noch dazu auch schön einfach.
AdmiNewbie
AdmiNewbie 06.02.2009 um 08:17:37 Uhr
Goto Top
Ja, also irgendwie komme ich mit der WPAD nicht so richtig weiter.
Ich verschiebe diese Aktion erstmal. Da ich mich auf dem Gebiet nicht so richtg auskenne, frage ich vielleicht mal jemanden, der sich damit auskennt. Will ja nix kaputt machen.
Driver401
Driver401 06.02.2009 um 09:31:50 Uhr
Goto Top
Zitat von @AdmiNewbie:
Ja, also irgendwie komme ich mit der WPAD nicht so richtig weiter.

Inwiefern? Das Ganze einrichten ist relativ easy. Notfalls guckst Du bei Google nach WPAD und findest hunderte von Anleitungen....
Oder hängts woanders?
AdmiNewbie
AdmiNewbie 06.02.2009 um 10:29:21 Uhr
Goto Top
Guck dir mal die Posts vom 05.02. 14:55 / 15:05 / 15:11 Uhr an.
Habe mir die Anleitung von MSISAFAQ angeschaut und das ist bei mir irgendwie anders...
Driver401
Driver401 06.02.2009 um 13:53:28 Uhr
Goto Top
wird halt an der Version liegen... dein link ist für isa 2004.
Bist Du sicher, daß Du hier nichts passendes findest?
http://www.google.ch/search?hl=de&q=WPAD+ISA

Nix für ungut...