10
Server 2019 - Internet Explorer ignoriert Proxy-Skript PAC-Datei
Hallo zusammen,
ich habe hier mit frisch installierte Server 2019 ein seltsames Phänomen. Wenn ich in den Einstellungen bzw. im Internet Explorer ein Proxy-Skript mit einer PAC-Datei hinterlege, dann ignoriert der Internet Explorer einfach die Einstellung. Wenn ich einen Proxy-Server eintrage, dann wird dieser verwendet.
Kurze Zusatzinformationen zum Server:
Ich habe das ganze mit Wireshark geprüft - sobald ich das Proxy-Skript hinterlege, versucht der Internet Explorer direkt zu kommunizieren und scheitert an der Firewall, obwohl ich den Download der PAC-Datei sehe. Es sieht so aus, als würde er diese einfach nicht anwenden. Der Syntax der PAC-Datei ist korrekt bzw. wir haben auch schon die Default vom Hersteller genommen.
Jetzt das Lustige noch...wir haben mal den neuen Edge installiert und dieser funktioniert problemlos und übernimmt das Proxy-Skript problemlos aus den Einstellungen und verlangt eine Authentifizierung.
Wir haben das gleiche Konstrukt an drei anderen Standorten ohne Probleme laufen. Am gleichen Standort gibt es andere Server und Clients, die mit der gleichen Konfiguration problemlos funktionieren.
Was haben wir gemacht:
Hat jemand von Euch ein ähnliches Phänomen beim Server 2019 beobachtet?
Vielen Dank!
Mit freundlichen Grüßen
dng-alt
ich habe hier mit frisch installierte Server 2019 ein seltsames Phänomen. Wenn ich in den Einstellungen bzw. im Internet Explorer ein Proxy-Skript mit einer PAC-Datei hinterlege, dann ignoriert der Internet Explorer einfach die Einstellung. Wenn ich einen Proxy-Server eintrage, dann wird dieser verwendet.
Kurze Zusatzinformationen zum Server:
- Server 2019 Datacenter
- Patchlevel 08/2020 aktuell
- DC für neue Domäne
- Proxy extern gehostet (Zscaler)
- Proxy-PAC liegt auf Webserver extern
Ich habe das ganze mit Wireshark geprüft - sobald ich das Proxy-Skript hinterlege, versucht der Internet Explorer direkt zu kommunizieren und scheitert an der Firewall, obwohl ich den Download der PAC-Datei sehe. Es sieht so aus, als würde er diese einfach nicht anwenden. Der Syntax der PAC-Datei ist korrekt bzw. wir haben auch schon die Default vom Hersteller genommen.
Jetzt das Lustige noch...wir haben mal den neuen Edge installiert und dieser funktioniert problemlos und übernimmt das Proxy-Skript problemlos aus den Einstellungen und verlangt eine Authentifizierung.
Wir haben das gleiche Konstrukt an drei anderen Standorten ohne Probleme laufen. Am gleichen Standort gibt es andere Server und Clients, die mit der gleichen Konfiguration problemlos funktionieren.
Was haben wir gemacht:
- IE zurückgesetzt - Settings und Cache
- Proxy-Cache in Registry gelöscht
- LegacyCacheMode getestet
- Proxy-PAC kann manuell heruntergeladen werden
- GPOs, soweit möglich, deaktiviert
Hat jemand von Euch ein ähnliches Phänomen beim Server 2019 beobachtet?
Vielen Dank!
Mit freundlichen Grüßen
dng-alt
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 598882
Url: https://administrator.de/contentid/598882
Printed on: April 26, 2024 at 14:04 o'clock
10 Comments
Latest comment
Ein externer Proxy für einen Datacenter Server? Für den alten Internet Explorer? Sicher? Wo liegt denn die PAC Datei? Kommt der Server an diese ohne durch den Proxy zu müssen ran?
Hallo NordicMike,
vielen Dank für die schnelle Antwort.
Der Server kommt OHNE Proxy selbstverständlich auf die PAC-Datei und kann diese herunterladen und auslesen. Wenn ich die URL eingebe, dann wird mir die PAC-Datei heruntergeladen und ich kann diese sauber öffnen. Im Wireshark-Log sehe ich ebenfalls den HTTP-GET und den Download. Da liegt der Hund leider nicht begraben.
Die PAC-Datei liegt in der Zscaler-Cloud extern (http://zscalerxxxx.com/xxxxx/proxy.pac) . Es gibt Firewall-Rules, die den Download der PAC-Datei ohne Proxy genehmigen.
Den Proxy benötige, da unser Virenscanner in der Cloud liegt und sich hier Settings und Patterns herunterlädt. Da ich sicherheitstechnisch nicht die Firewall auch noch dafür öffnen möchte, habe ich den Zugriff auf den Virenscanner für die Server über den Proxy eingerichtet. Doch wenn sich der Virenscanner die Proxy-PAC nicht zieht, dann nix Updates
So ist das Ganze ja aufgefallen. Daher bringt mir das Ganze auch nichts, wenn ich einen anderen Browser installiere, der seine eigenen Settings hat. Wenn die Anwendung nun mal auf die Settings vom IE zugreift, dann doof...
Bezüglich der Serveredition Datacenter oder Standard ist mir nicht bekannt, was da für oder gegen einen Proxy spricht?
Vielleicht hast du oder jemand anders so ein Problem schon mal gehabt.
Wenn es ein Standard-Problem wäre, dann hätte ich dieses bestimmt beim googlen oder in der Forumssuche gefunden.
Vielen Dank!
dng-alt
vielen Dank für die schnelle Antwort.
Der Server kommt OHNE Proxy selbstverständlich auf die PAC-Datei und kann diese herunterladen und auslesen. Wenn ich die URL eingebe, dann wird mir die PAC-Datei heruntergeladen und ich kann diese sauber öffnen. Im Wireshark-Log sehe ich ebenfalls den HTTP-GET und den Download. Da liegt der Hund leider nicht begraben.
Die PAC-Datei liegt in der Zscaler-Cloud extern (http://zscalerxxxx.com/xxxxx/proxy.pac) . Es gibt Firewall-Rules, die den Download der PAC-Datei ohne Proxy genehmigen.
Den Proxy benötige, da unser Virenscanner in der Cloud liegt und sich hier Settings und Patterns herunterlädt. Da ich sicherheitstechnisch nicht die Firewall auch noch dafür öffnen möchte, habe ich den Zugriff auf den Virenscanner für die Server über den Proxy eingerichtet. Doch wenn sich der Virenscanner die Proxy-PAC nicht zieht, dann nix Updates
So ist das Ganze ja aufgefallen. Daher bringt mir das Ganze auch nichts, wenn ich einen anderen Browser installiere, der seine eigenen Settings hat. Wenn die Anwendung nun mal auf die Settings vom IE zugreift, dann doof...
Bezüglich der Serveredition Datacenter oder Standard ist mir nicht bekannt, was da für oder gegen einen Proxy spricht?
Vielleicht hast du oder jemand anders so ein Problem schon mal gehabt.
Wenn es ein Standard-Problem wäre, dann hätte ich dieses bestimmt beim googlen oder in der Forumssuche gefunden.
Vielen Dank!
dng-alt
Ist es eine frische Installation? Du kannst es ja nochmal mit einer test-VM versuchen zu duplizieren...
Hallo NordicMike,
ich habe jetzt noch mal folgendes gemacht und konnte das Problem gut eingrenzen:
Sobald ich die ActiveDirectory-Rolle auf einen Server 2019 installiere, wird das Proxy-Skript nicht mehr sauber vom Internet Explorer übernommen. Wir haben das jetzt mit zwei Testinstallationen an zwei Standorten versucht und das Problem lässt sich reproduzieren. DNS-Auflösung und Firewall funktionieren problemlos. Es muss mit der Serverrolle zu tun haben. Wenn ich einen Proxy fest eintrage, dann funktioniert alles. Nur das Proxy-Skript wird nicht übernommen.
Hat jemand hier einen Server 2019 als Domänen-Controller laufen und ebenfalls ein Proxy-Skript eingetragen? Kann jemand der Fehler bestätigen?
Vielen Dank!
dng-alt
ich habe jetzt noch mal folgendes gemacht und konnte das Problem gut eingrenzen:
- Neuinstallation Server 2019 von der DVD (kein VM-Template) -> proxy.pac funktioniert
- Server gepatcht auf aktuellen Stand -> proxy.pac funktioniert
- DNS-Server-Dienst installiert und konfiguriert -> proxy.pac funktioniert
- ActiveDirectory-Rolle installiert und konfiguriert -> proxy.pac funktioniert NICHT MEHR!
Sobald ich die ActiveDirectory-Rolle auf einen Server 2019 installiere, wird das Proxy-Skript nicht mehr sauber vom Internet Explorer übernommen. Wir haben das jetzt mit zwei Testinstallationen an zwei Standorten versucht und das Problem lässt sich reproduzieren. DNS-Auflösung und Firewall funktionieren problemlos. Es muss mit der Serverrolle zu tun haben. Wenn ich einen Proxy fest eintrage, dann funktioniert alles. Nur das Proxy-Skript wird nicht übernommen.
Hat jemand hier einen Server 2019 als Domänen-Controller laufen und ebenfalls ein Proxy-Skript eingetragen? Kann jemand der Fehler bestätigen?
Vielen Dank!
dng-alt
Hast du es in ein vorhandenes AD eingepflegt oder eine neue Domain dafür getestet? Falls das Vorhandene: Schau doch mal mit RSOP nach, ob vielleicht eine Gruppenrichtlinie die Einstellung erzwingt.
Hallo NordicMike,
sorry für die späte Antwort. Die Antwort ist: sowohl als auch!
Der Fehler tritt bei einer komplett neu eingerichteten, frischen Domäne ohne irgendwelche Policies (bis auf Default) auf, als auch wenn ich einen DC zur bestehenden Domäne hinzufüge.
Wir sind gerade mit dem Hersteller und einem Dienstleister dran, die auch daran verzweifeln.
Für mich sieht es nach einem Bug im Server 2019 aus. Wenn sich die Beweise verdichten, dann werde ich mal einen Microsoft-Call aufmachen.
Es bleibt spannend - ich werde berichten!
sorry für die späte Antwort. Die Antwort ist: sowohl als auch!
Der Fehler tritt bei einer komplett neu eingerichteten, frischen Domäne ohne irgendwelche Policies (bis auf Default) auf, als auch wenn ich einen DC zur bestehenden Domäne hinzufüge.
Wir sind gerade mit dem Hersteller und einem Dienstleister dran, die auch daran verzweifeln.
Für mich sieht es nach einem Bug im Server 2019 aus. Wenn sich die Beweise verdichten, dann werde ich mal einen Microsoft-Call aufmachen.
Es bleibt spannend - ich werde berichten!
Hallo,
Ich das Problem auch. Leider funktionieren dadurch die Wsus Updates nicht mehr. Komisch ist nur der Edge ins internet kommt mit der geleichen Einstellung wo der IE nicht ins Netz kommt.
Hast Du schon eine Lösung gefunden?
Ich das Problem auch. Leider funktionieren dadurch die Wsus Updates nicht mehr. Komisch ist nur der Edge ins internet kommt mit der geleichen Einstellung wo der IE nicht ins Netz kommt.
Hast Du schon eine Lösung gefunden?
Hallo dng-alt,
ich habe dasselbe Problem. Windows Server 2019 DC kann via Proxy PAC Datei nicht ins Internet, via Proxy Settings im IE ohne Probleme.
Hast Du mittlerweile hierfür eine Lösung gefunden? Ich wäre Dir sehr dankbar, wenn Du kurz schreiben würdest, ob Du das Problem lösen konntest oder nicht. Wenn ja, wie.
ich habe dasselbe Problem. Windows Server 2019 DC kann via Proxy PAC Datei nicht ins Internet, via Proxy Settings im IE ohne Probleme.
Hast Du mittlerweile hierfür eine Lösung gefunden? Ich wäre Dir sehr dankbar, wenn Du kurz schreiben würdest, ob Du das Problem lösen konntest oder nicht. Wenn ja, wie.
Nein keine Lösung, nur ein Workaround. Auf den DCs ist nun der Proxy Server direkt eingetragen. Ich arbeite da einfach nicht mehr mit der PAC.
Hallo dgn-alt,
OK, trotzdem danke für Deine Rückmeldung!
OK, trotzdem danke für Deine Rückmeldung!