1
Registry Key ProxyEnable wird nicht gesetzt
Hallo,
in der Firma haben wir ein VBS-Script, das per GPO an alle Rechner verteilt wird, dieses setzt unter anderem den Proxy:
Nun haben wir auch User, die einen Laptop haben und auch außerhalb unseres Netzwerkes auf das Internet zugreifen möchte, dies führen dann folgendes VBS-Script aus:
Nun haben wir das Problem, das wenn 1 Laptop dieses Script ausführt und sich anschließend wieder in der Domäne anmeldet, alle Werte gesetzt werden außer ProxyEnable, dieser bleibt auf 0 und somit kann der angemeldete User dann nicht im Internet surfen. Der Laptop hat Windows XP mit SP 2 installiert.
Weiß jemand woran das liegen kann?
Ich habe versucht das Problem auf anderen Laptops nachzuvollziehen, aber dort funktioniert alles einwandfrei.
Gruß KlaDi.
in der Firma haben wir ein VBS-Script, das per GPO an alle Rechner verteilt wird, dieses setzt unter anderem den Proxy:
Dim ProxyEnable
ProxyEnable = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable"
Dim ProxyOverride
ProxyOverride = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride"
Dim ProxyServer
ProxyServer = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer"
'Proxy aktivieren
WSHShell.RegWrite ProxyEnable, 1, "REG_DWORD"
'Proxy eintragen
WSHShell.RegWrite ProxyServer, "proxy:3232"
'Proxy Override
WSHShell.RegWrite ProxyOverride, "*.firma.com, <local>" Nun haben wir auch User, die einen Laptop haben und auch außerhalb unseres Netzwerkes auf das Internet zugreifen möchte, dies führen dann folgendes VBS-Script aus:
Dim WSHShell
Set WSHShell = WScript.CreateObject("WScript.Shell")
Dim ConnectionsTab
ConnectionsTab = "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\ConnectionsTab"
Dim ProxyEnable
ProxyEnable = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable"
Dim ProxyOverride
ProxyOverride = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride"
Dim ProxyServer
ProxyServer = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer"
'Proxy aktivieren
WSHShell.RegWrite ProxyEnable, 0, "REG_DWORD"
'Ausnahmen vom Proxy eintragen
WSHShell.RegWrite ProxyOverride, "<local>"
'Proxy eintragen
WSHShell.RegWrite ProxyServer, "" Nun haben wir das Problem, das wenn 1 Laptop dieses Script ausführt und sich anschließend wieder in der Domäne anmeldet, alle Werte gesetzt werden außer ProxyEnable, dieser bleibt auf 0 und somit kann der angemeldete User dann nicht im Internet surfen. Der Laptop hat Windows XP mit SP 2 installiert.
Weiß jemand woran das liegen kann?
Ich habe versucht das Problem auf anderen Laptops nachzuvollziehen, aber dort funktioniert alles einwandfrei.
Gruß KlaDi.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 91316
Url: https://administrator.de/contentid/91316
Printed on: April 25, 2024 at 08:04 o'clock
1 Comment
Hallo KlaDi:
Einen Zusammenhang hat es vermutlich mit irgendeinem abweichlerischen höherpriorisiertem Direkteintrag per lokaler Richtlinie bzw. GPO oder im ursprünglichen Setup des System. Zuerst würde ich mir die Zugriffsrechte auf die benannten Registry-Keys nicht nur im regedit, sondern auch in den Sicherheitsrichtlinien genauer anschauen. Was erzählt Microsoft's Sysinternal RegMon über den Vorgang?
Viel Erfolg
BGKS
P.S. Außerdem kann es damit zusammenhängen, daß Du trotz geschickter Vermeidung des bekanntermaßen ähnliche Hakeleien einschleppende SP3 oder gar die leidige Automatik irgendein Update von Microsoft eingespielt hat, das auf die altverhaßte Methode Vista promoten soll, konkreter dessen Erweiterung von netsh um das Kommando »netsh winhttp set proxy ProxyServer:PortNumber«
P.P.S. Aber nutzen wir den Steilpaß und kanonieren mal den Spatzen:
Hallo Spatz!
A) __________________________________________________
Warum verwendet Ihr so einen Hack anstatt der regulären Lösung?
http://www.microsoft.com/technet/prodtechnol/ie/ieak/techinfo/deploy/60 ...
Vgl.
1.) DHCP/WPAD zum Finden von ...
vgl. http://support.microsoft.com/kb/312864/
Konkretere Lösung hängt von Eurer hier nicht weiter genannten Topologie ab.
2.) ... PAC: Automatisches Proxy-Konfigurationsscript.
Entweder der Server muß dann auf Port 80 mit MIME type application/x-ns-proxy-autoconfig sowas in folgender Art (nix drumrum, reines JavaScript) servieren. So ist das in den GPO standardmäßig voreingestellt. Inzwischen wohl regelmäßig muß davon ausgegangen werden kann, daß ein externer ISP keinen Webcache bereitstellt oder dies zumindest nicht nach außen auch transparent darstellt, sprich, zwar DHCP-Konfigurationsdaten bereitstellt, nicht aber auch eine automatische Proxy-Konfiguration unterstützt. Oder, zumindest für die Laptops, ist wohl naheliegender, das Script lokal verfügbar zu machen. Dazu muß dann die IEM-GPO entsprechend editiert werden.
Unter der Annahme, Euer Firmen-Intranet sei 10.0.*.* zunächst exemplarisch das interne ProxyOverride:
Unter der Annahme, extern sei der Rechner eben nicht in 10.0.0.* (lästigerweise gilt das nicht unbedingt, wenn der User sich mit seinem Laptop extern in UMTS-Netzen bewegt, die ihn vor Unbill abschirmen, indem sie sich selber als Intranet verstehen, sprich, den 10.*.*.*-IP-Raum vergeben -- das dann allerdings nicht für die Rechner-IP zum Boot-Zeitpunkt):
Was dafür per GPO zu verteilen ist, kann man ohne VBS-Scripterei im GPO-Editor zusammenklickern.
B)__________________________________________
Das Beste an (A) ist, daß ein solches Proxyconfigurationsscript im Gegensatz zu den Registry-Einträgen zum Setzen der Windows-Internetoptionen auch von anderen Web-Browsern verwertet wird, namentlich beispielsweise Firefox.
C)__________________________________________
Ich stolpere über Deine Formulierung, daß Eure Firmennotebooks außerhalb der Firma »auf das Internet zugreifen« wollen, in der Firma »im Internet surfen«. Das hätte ich allenfalls andersrum erwartet. Möglicherweise steckt die wirklich simpelste Lösung in der Aufgabenanalyse und Beispielsweise der Verwendung von Firefox, wenn der User sich im Internet (kein Proxy) bewegt, und von IE ausschließlich solange der User sich im Intranet/VPN (Proxy erzwungen) aufhält. Sicherheitsfetischisten würden draufsetzen: Der IE ist überhaupt nur für ganz spezielle Intranet- bzw. VPN-Aufgaben von Nutzen, und ein Rechner, auf dem WScript installiert ist, sollte sich niemals direkt mit dem Internet verbinden. So halte ich das, auch wenn es unorthodox ist: IE ohne Wenn und Aber im Intranet/VPN einsperren. Vom Firefox eine angepaßte Portable-Edition an die User verteilen. Die Portable-Edition läßt sich besonders leicht mit noch weiter eingeschränkten Nutzerrechten ausführen. Und wenn der User sie gleich hat, braucht er sie nicht auf seinem USB-Stick anzuschleppen. Spart nebenbei eine Menge Strom und damit CO2 auch in puncto Virenscanning
Die Frage wird evtl. noch einfacher: Nach welchen Kriterien entscheidet der Laptop, welches der beiden Scripts angezogen wird? Erfolgt das mittels einer umrahmenden Steuerung beim Logon? Oder wählt der User? Wenn er das "darf", können ihm eigentlich auch direkt die Internet-Verbindungseinstellungen präsentiert werden, und mit einem Klick auf die LAN-Einstellungen und einem weiteren auf das Proxy-Häkchen plus Return ist die Chose geschaukelt.
Einen Zusammenhang hat es vermutlich mit irgendeinem abweichlerischen höherpriorisiertem Direkteintrag per lokaler Richtlinie bzw. GPO oder im ursprünglichen Setup des System. Zuerst würde ich mir die Zugriffsrechte auf die benannten Registry-Keys nicht nur im regedit, sondern auch in den Sicherheitsrichtlinien genauer anschauen. Was erzählt Microsoft's Sysinternal RegMon über den Vorgang?
Viel Erfolg
BGKS
P.S. Außerdem kann es damit zusammenhängen, daß Du trotz geschickter Vermeidung des bekanntermaßen ähnliche Hakeleien einschleppende SP3 oder gar die leidige Automatik irgendein Update von Microsoft eingespielt hat, das auf die altverhaßte Methode Vista promoten soll, konkreter dessen Erweiterung von netsh um das Kommando »netsh winhttp set proxy ProxyServer:PortNumber«
P.P.S. Aber nutzen wir den Steilpaß und kanonieren mal den Spatzen:
Hallo Spatz!
A) __________________________________________________
Warum verwendet Ihr so einen Hack anstatt der regulären Lösung?
http://www.microsoft.com/technet/prodtechnol/ie/ieak/techinfo/deploy/60 ...
Vgl.
1.) DHCP/WPAD zum Finden von ...
vgl. http://support.microsoft.com/kb/312864/
Konkretere Lösung hängt von Eurer hier nicht weiter genannten Topologie ab.
2.) ... PAC: Automatisches Proxy-Konfigurationsscript.
Entweder der Server muß dann auf Port 80 mit MIME type application/x-ns-proxy-autoconfig sowas in folgender Art (nix drumrum, reines JavaScript) servieren. So ist das in den GPO standardmäßig voreingestellt. Inzwischen wohl regelmäßig muß davon ausgegangen werden kann, daß ein externer ISP keinen Webcache bereitstellt oder dies zumindest nicht nach außen auch transparent darstellt, sprich, zwar DHCP-Konfigurationsdaten bereitstellt, nicht aber auch eine automatische Proxy-Konfiguration unterstützt. Oder, zumindest für die Laptops, ist wohl naheliegender, das Script lokal verfügbar zu machen. Dazu muß dann die IEM-GPO entsprechend editiert werden.
Unter der Annahme, Euer Firmen-Intranet sei 10.0.*.* zunächst exemplarisch das interne ProxyOverride:
function FindProxyForURL(url, host)
{
if( isInNet(host, "10.0.0.0", "255.255.0.0") ){
return "DIRECT";
}else{
if (shExpMatch(url, "http:*"))
return "PROXY proxy.firma.com:3232" ;
if (shExpMatch(url, "https:*"))
return "PROXY proxy.firma.com:3232" ;
if (shExpMatch(url, "ftp:*"))
return "PROXY proxy.firma.com:3232" ;
return "DIRECT";
}
}Unter der Annahme, extern sei der Rechner eben nicht in 10.0.0.* (lästigerweise gilt das nicht unbedingt, wenn der User sich mit seinem Laptop extern in UMTS-Netzen bewegt, die ihn vor Unbill abschirmen, indem sie sich selber als Intranet verstehen, sprich, den 10.*.*.*-IP-Raum vergeben -- das dann allerdings nicht für die Rechner-IP zum Boot-Zeitpunkt):
function FindProxyForURL(url, host)
{
if( isInNet( myIpAddress(), "10.0.0.0", "255.255.0.0") ){
if( isInNet(host, "10.0.0.0", "255.255.0.0") ){
return "DIRECT";
}else{
if( shExpMatch(url, "http:*") )
return "PROXY proxy.firma.com:3232" ;
if(shExpMatch(url, "https:*") )
return "PROXY proxy.firma.com:3232" ;
if(shExpMatch(url, "ftp:*") )
return "PROXY proxy.firma.com:3232" ;
return "DIRECT";
}
}else{
return "DIRECT";
}
}Was dafür per GPO zu verteilen ist, kann man ohne VBS-Scripterei im GPO-Editor zusammenklickern.
B)__________________________________________
Das Beste an (A) ist, daß ein solches Proxyconfigurationsscript im Gegensatz zu den Registry-Einträgen zum Setzen der Windows-Internetoptionen auch von anderen Web-Browsern verwertet wird, namentlich beispielsweise Firefox.
C)__________________________________________
Ich stolpere über Deine Formulierung, daß Eure Firmennotebooks außerhalb der Firma »auf das Internet zugreifen« wollen, in der Firma »im Internet surfen«. Das hätte ich allenfalls andersrum erwartet. Möglicherweise steckt die wirklich simpelste Lösung in der Aufgabenanalyse und Beispielsweise der Verwendung von Firefox, wenn der User sich im Internet (kein Proxy) bewegt, und von IE ausschließlich solange der User sich im Intranet/VPN (Proxy erzwungen) aufhält. Sicherheitsfetischisten würden draufsetzen: Der IE ist überhaupt nur für ganz spezielle Intranet- bzw. VPN-Aufgaben von Nutzen, und ein Rechner, auf dem WScript installiert ist, sollte sich niemals direkt mit dem Internet verbinden. So halte ich das, auch wenn es unorthodox ist: IE ohne Wenn und Aber im Intranet/VPN einsperren. Vom Firefox eine angepaßte Portable-Edition an die User verteilen. Die Portable-Edition läßt sich besonders leicht mit noch weiter eingeschränkten Nutzerrechten ausführen. Und wenn der User sie gleich hat, braucht er sie nicht auf seinem USB-Stick anzuschleppen. Spart nebenbei eine Menge Strom und damit CO2 auch in puncto Virenscanning
Die Frage wird evtl. noch einfacher: Nach welchen Kriterien entscheidet der Laptop, welches der beiden Scripts angezogen wird? Erfolgt das mittels einer umrahmenden Steuerung beim Logon? Oder wählt der User? Wenn er das "darf", können ihm eigentlich auch direkt die Internet-Verbindungseinstellungen präsentiert werden, und mit einem Klick auf die LAN-Einstellungen und einem weiteren auf das Proxy-Häkchen plus Return ist die Chose geschaukelt.
