Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 38 subscribers
  • Views 4656 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proxy Profile auf Terminal Server

Abyss_X
Hallo zusammen,

wir setzen seit kurzem Citrix XEN App ein und ich bekomme bisher die Proxy Profile nicht zum laufen. Im normalen Clientbereich läuft alles wunderbar.

Server OS: Windows Server 2012R2
Browser: IE11
Betriebsmodus: Standard (Active Directory SSO)
Automatische Proxy Konfiguration:

function FindProxyForURL(url, host)
{
   //The following URLs will not be proxied
   if (shExpMatch(url, "*domainfirma.local*"))
         return "DIRECT";
   if (shExpMatch(url, "*domainfirma.de*"))
         return "DIRECT";
   if (shExpMatch(host, "10.10.*"))
         return "DIRECT";
   if (shExpMatch(host, "10.11.*"))

// Set the desired proxy server for local addresses
   if (isInNet(myIpAddress(), "10.10.0.0", "255.255.0.0"))
         return "PROXY 10.1.X.X:8080" ;
   if (isInNet(myIpAddress(), "10.11.X.18", "255.255.255.255"))
         return "PROXY 10.1.X.X:8080" ;

   // For all other networks, do not proxy
   return "DIRECT" ;
}

Die 10.X.X.18 ist einer der XEN Server. Hat jemand eine TS - Proxy Konfiguration am laufen oder eine Idee wo der Fehler liegen könnte?

Cu, Abyss_X


This thread was automatically locked due to age.
  • 0
    Ich verstehe nicht so ganz was denn genau nicht funktioniert? Die findproxyforurl oder die zuordnung zu einem Profil in der UTM?

    Gruß
    Manfred
  • 0 in reply to Hallowach2
    Unter einem TS user greift das Proxy Profil scheinbar nicht da beim Start des IE die Default Content filter Action hoch kommt, in unserem Fall ist dafür im Webfilter der Transparenzmodus mit Browserauthentifizierung definiert.

    Also nochmal kurz zusammen gefasst, ein user meldet sich am Client an und bekommt per AD-SSO auf das entsprechende Webfilterprofil. Greift der Proxy nicht oder ist per Browser deaktiviert greift der Std Webfilter, also Tranzparenzmodus incl. Browserauth.

    Genau dieses Fenster bekommen alle Citrix user, es sollte aber AD-SSO und das entsprechende Proxy Profil greifen.

    Cu, Abyss_X
  • 0
    Ist denn in dem Profil das für die TS User getroffen werden soll, die IP Adresse oder der Netzbereich enthalten aus dem der TS Server kommt?

    Gruß
    Manfred
  • 0 in reply to Hallowach2
    Ja unter zugelassene Netzwerke stehen sowohl das Clientnetz als auch das Servernetz.

    Wenn ich den Richtlinientest starte wird auch alles korrekt wieder gegeben, ich vermute es liegt an der TS Anmeldung.

    Cu, Abyss_X
  • 0
    Poste doch mal bitte eine Zeile aus dem Webfilterlog wo so ein Request zu sehen ist und wie die Reihenfolge der Proxyprofile aussieht.

    Gruß
    Manfred
  • 0 in reply to Hallowach2
    Im Webfilter Log taucht kein Eintrag auf, dafür tauchen natürlich im Firewall LOG geblockte zugriffe vom Xen Server ins Internet auf.

    Die Profile sehen wie folgt aus:

    1. Strikt User (nur definierte Webseiten) AD auth.
    2. Std. User (Std. Access) AD auth.
    3. Full User (Full Access) AD auth.
    4. Default Content Filter Action - Tranzparenzmodus Browser Auth.

    Der user welcher in der AD Gruppe der Std. User ist bekommt sofort das Profil 4 und soll sich am Browser authentifizieren.

    Cu, Abyss_X
  • 0
    Das klingt ja so, als ob entweder die wpad.dat vom XEN Server aus gar nicht gezogen wird oder als ob die Reihenfolge der Einträge in dem Script nicht stimmt.

    Schau mal hier PAC Magic | UTM Tools - da gibts ein Tool mit dem man sein Script prüfen kann und ein bisschen was dazu, wie das Script zu den Clients kommen kann.

    Hilft das?

    Viele Grüße
    Manfred
  • 0 in reply to Hallowach2
    Hey,

    danke für den Denkanstoß. Ich hab bisher total unterschlagen das der Server natürlich nicht per DHCP mit der wpad Adresse gefüttert wird, Anfängerfehler...

    Ich habe also im DNS einen A Eintrag wpad.fqdndomäne angelegt und auf die UTM IP verwiesen, dann habe ich den Eintrag wpad aus der DNS Blockliste entfernt und auf der UTM einen DNAT Eintrag hinterlegt welcher von UTMIP:80 auf UTMIP:8080 verweist. Soweit sogut, leider ist das Ergebnis das gleiche, auf dem Citrix Server kommt die Abfrage zur Browser Authentifizierung.

    Es bleiben also immer noch 2 Möglichkeiten

    A) Das Script kommt beim Xen Server nicht sauber an und wird nicht genutzt

    B) Die AD Authentifizierung über den XEN Server zur UTM arbeitet nicht

    Gibt es eine Möglichkeit heraus zu finden ob das Script unter der Useranmeldung genutzt wird? Dann könnte ich diesen Punkt schon einmal ausschließen.

    Cu, Abyss_X
  • 0 in reply to Abyss_X
    Manchmal hilft scheinbar einfach Geduld, nach einigem warten sowie Ab- und Anmelden funktioniert es jetzt, vielen Dank für die Unterstützung. [:)]

    Cu, Abyss_X
  • 0
    Bitteschön - gut das du die Lösung auch noch hier postest, das hilft vielleicht schon dem nächsten.

    Gruß
    Manfred
Unfiltered HTML