bloodydeluxe
Goto Top

Probleme bei Forefront TMG mit integrierter Authentifizierung, WPAD über DNS und Firefox

Hallo zusammen,
ich bin gerade dabei einen Forefront TMG als Webproxy in unser Netzwerk zu integrieren. Dieser soll nichts blockieren, überprüfen oder sonstiges, sondern nur mit loggen auf welchen Seiten Domänennutzer surfen, sowie das Internet nur für Domänennutzer freigeben.

Folgendes habe ich bisher getan:
Authentifizierung auf integriert und für Alle Benutzer erforderlich geschaltet
auf unserem DNS den alias wpad erstellt
proxy.pac auf einem Webserver bereitgestellt
Forefront so eingerichtet das er über DNS diese proxy.pac verteilt.

soweit so gut.
Nun bin ich am testen:

Internet Explorer mit automatischer Proxysuche an funktioniert Problemlos, laut Forefront log holt sich der am PC angemeldete User die WPAD.dat und hat dann Zugriff aufs Internet. Jeder Aufruf wird wie von uns gewünscht mit dem Usernamen verbunden geloggt.

Im Firefox funktioniert es nicht. Hier versucht er sich laut Forefront log die WPAD.dat als Anonymus zu holen, was natürlich fehlschlägt. somit kein Zugriff aufs Internet. Trage ich den Proxy direkt ein, hat man Zugriff aufs Internet und es wird auch wieder richtig mit dem angemeldeten Usernamen geloggt.

Da wir aber Firefox benutzen, wäre es wichtig dass diese automatische Suche auch beim Firefox funktioniert. Ich habe bereits ein paar Lösungen per Google gefunden, wo die about.config verändert wurde, allerdings hatte ich damit bisher keinen Erfolg... evtl. habe ich ja etwas falsch gemacht. Habe bei network.automatic-ntlm-auth.trusted-uris die URL http://wpad eingetragen, sowie bei den network.negotiate Sachen ebenfalls http://wpad eingetragen.
wenn ich bei firefox den link zur proxy.pac unter automatische konfigurationsscript direkt eintrage, funktioniert internet auch

Dies ist Problem 1 und das Problem was unbedingt gelöst werden muss.

Daneben habe ich dann noch das Problem, das PCs die nie in der Domäne waren, bzw. nicht in der Domäne sind den Namen wpad nicht auflösen können, sondern nur mit Domänensuffix hinter und den Proxy somit nicht automatisch finden. Trägt man den Proxy wieder händisch ein, kommt einmalig eine Anmeldemaske und es wird wieder korrekt mit geloggt.

Leider bin ich erst Montag wieder in der Firma, aber ich hoffe dass wir bis dahin Lösungen/Lösungsansätze gefunden haben, die ich dann direkt ausprobieren kann. Vielen Danke schon mal. Ich schaue ab und an hier rein und kann dann fehlende Informationen mitteilen.

Gruß

Content-Key: 159059

Url: https://administrator.de/contentid/159059

Ausgedruckt am: 29.03.2024 um 08:03 Uhr

Mitglied: dog
dog 20.01.2011 um 19:32:35 Uhr
Goto Top
sondern nur mit loggen auf welchen Seiten Domänennutzer surfen, sowie das Internet nur für Domänennutzer freigeben.

Da hast du grade sehr viel Geld sinnlos ausgegeben.

und für Alle Benutzer erforderlich geschaltet

Macht man nicht.
Nimm das wieder raus und erstell eine Regel in der du als Benutzergruppe die AD Domänen-Benutzer-Gruppe auswählst.

sondern nur mit Domänensuffix

Darum verteilt man den ja auch über DHCP.
Mitglied: bloodydeluxe
bloodydeluxe 20.01.2011 um 20:31:41 Uhr
Goto Top
danke schonma für die antwort.
der forefront wird natürlich später noch für mehr verwendet ... für logging only wäre das natürlich echt verschwendung :D

das mit der regel teste ich am montag mal, das könnte aufjedenfall beim ersten problem helfen.

dhcp funktioniert bei firefox ja leider nicht (?), deswegen hab ich dns genommen, was ja innerhalb der domäne auch super funktioniert
Mitglied: bloodydeluxe
bloodydeluxe 24.01.2011 um 08:44:25 Uhr
Goto Top
hi
das mit der Regel klappt schonmal gut. Mit Firefox kann man nun auch automatisch auf den Proxy zugreifen. Danke face-smile

Bleibt nurnoch das Problem mit dem nicht auflösen können des cname wpad außerhalb der domäne. das muss doch auch noch irgendwie hinzukriegen sein. ich mein die namen der server/pc's kann ich ja auch ohne domänensuffix auflösen, nur den cname wpad nicht. Hat da Jemand noch eine Idee?