IE mit automatische Konfiguration

Hallo zusammen,

ich bin wirklich kurz vorm Nervenzusammenbruch, der IE treibt mich in den Wahnsinn. Folgende Situation:

In unserem Unternehmen wird WinXP SP2 mit dem IE7 als Standard-Browser verwendet, weil sich dieser gegenüber dem Firefox besser per Richtlinien verwalten lässt. Um den Notebookbenutzern auch außerhalb unseres Unternehmens das Surfen zu ermöglichen, setzten wir die automatische Proxykonfiguration für unseren Proxy ein. Wir haben einen Webserver, der den CNAME wpad trägt und die wpad.dat zur Verfügung stellt. Wir haben DNS und zusätzlich auch DHCP entsprechend konfiguiert. (http://www.gruppenrichtlinien.de/HowTo/Automatische_Proxykonfiguration_WPAD.htm)

Wenn ich den Firefox auf automatische Konfiguration stelle, funktioniert auch alles. Er fragt wer denn wpad ist und holt sich dort die wpad.dat. Und man kommt über den Proxy ins iNet.

Wenn ich allerdings den IE mit automatischer Konfiguration starte, knallt der direkt gegen unsere Firewall, weil er versucht direkt ins iNet zu gelangen. Mit Wireshark haben wir das überprüft und der IE fragt gar nicht nach einem wpad beim DNS an. Es kommt auch keine DHCP-Anfrage, er fragt einfach wer ist denn z.B. http://www.google.de/ und will dann direkt über die Gateway dahin.

Zuerst dachte ich, es würde an einer Richtlinie liegen. Habe also zum Test eine neues Windows installiert (mit IE6) und den gar nicht in unsere Domäne genommen, der IE stellt trotzdem keine Anfrage.

Wie kann das sein? Was hat MS da wieder gebastelt? Unser DHCP ist noch ein Server 2000, kann das daran liegen?

Für Ideen und Anregungen wäre ich sehr dankbar, bin wie gesagt ziemlich verzweifelt.

Vielen Dank schon mal! Robert

GPO-Einstellungen Proxyeinstellungen pro Computer statt pro Benutzer konfigurieren schon probiert?

Oder in Internet-Explorer Wartung die Proxy-Einstellungen direkt eingetragen und den Benutzern das Ändern der Einstellungen nicht erlaubt?

Hi Metzi,

ich glaube du hast nicht ganz verstanden, was ich möchte. Ich will nicht den Proxy per Gruppenrichtlinie fest vorgeben, sonst können die Notebook Anwender zu hause oder im Hotel oder sonst wo nicht mehr ins Internet, da der Proxy da ja nicht vorhanden ist.

Ich möchte den IE nur auf Automatische Suche der Einstellungen konfigurieren, so ist die größte Flexibilität gewährleistet.

Cailore schrieb:

[...]Unser DHCP ist noch ein Server 2000, kann das daran liegen?[...]

Zum Vergrößern anklicken....

Nein, spielt keine Rolle, das funktioniert mit allen DHCP-Server, bei denen sich die Option 252 konfigurieren lässt.

Du darfst im IE _ausschliesslich_ den Haken für die automatische Browserkonfiguration setzen, alle anderen Einstellungen dürfen nicht aktiviert sein - das lässt sich ja per GPO so steuern. Oder Alternativ den kompletten URl zur wpad.dat eintragen und die automatische Konfiguration deaktivieren; ggf. nimmst du einfach mal die IP-Adresse, also http://<serverip>/wpad.dat. Geht es dann?

Wenn du von einem der Rechner ein ping wpad absetzt, wird der Host richtig aufgelöst?
Ich hatte hier das Problem, das ohne entsprechenden Reverse-Lookup in Richtung WINS der Name nicht aufgelöst werden konnte.

Dann hast du möglicherweise etwas falsch konfiguriert.

http://support.microsoft.com/kb/307502/de

Ok, das mit den Notebookbenutzern und außerhalb habe ich tatsächlich nicht richtig mitbekommen.

Man könnte das allerdings imo auch über ein Logonscript lösen, das %LOGONSERVER% abfragt und bedingt die Proxyeinstellungen direkt in der Registry ändert. Das geht auf jeden Fall schneller als die Suche der Einstellungen.
Wenn du nicht klarkommen solltest, kann ich die entsprechenden Keys ja mal raussuchen.

Hi,

Metzi du bist ein Gott, ich danke dir vielmals! Genau das war es, in unserem DNS Server war der CNAME WPAD in Großbuchstaben. Gelöscht und mit Kleinbuchstaben neu erstellt und siehe da, es funktioniert! Man, da wäre ich im Leben nicht drauf gekommen.

Vielen Dank euch!

Na na, immer schön auf dem Teppich bleiben, kannst mich ruhig weiter mit Metzi anreden

Ich kann lediglich gut suchen und hab ab und zu auch mal gute Ideen.

Leider war das doch noch nicht alles, letztendlich hat sich sogar herausgestellt, dass dem IE der DNS-Eintrag ziemlich scheiß egal ist. :|

Der DHCP ist da wesentlich wichtiger, wir hatten die DHCP Option 252 mit der Zeichenfolge http://wpad/wpad.dat konfiguriert. Das scheint dem IE aber auch nicht zu schmecken, erst als ich den FQDN (alternativ die IP, da bin ich aber kein Fan von) statt des einfachen Hostnamen eingetragen hab, funktioniert es. Jetzt habe ich das mal an einen Testkreis verteilt, mal sehen ob es stabil läuft ...


Sehr geholfen hat mir diese Seite: http://www.wlug.org.nz/WPAD

Schon lustig das man auf einer Linux User Group Seite, bessere Infos über MS Produkte und deren Verhalten erhält, als sonst wo! ;D

Ein paar Posts weiter oben steht die Lösung ja schon: WINS konfigurieren. wpad ist KEIN fqdn, ergo interessiert sich der DNS-Server nicht dafür; es handelt sich um einen reinen Hostnamen und die werden von WINS verwaltet. Somit nur logisch, das es nicht klappt. Hättest du einfach die IP genommen, wärs auch gut gewesen (steht auch schon weiter oben).

Gut,

da muss ich jetzt sagen, dass ich den Post überlesen hatte. Also Tag 1 nach Verteilung an ca. 20 Benutzer, es funktioniert bei einem nicht. Ich hab jetzt auch mal den CNAME in die Reverse Lookup Zone eingetragen. Kann das aber erst morgen testen. Wie ich das allerdings in die WINS pflegen soll ist mir nicht ganz klar, das ist doch autark und pflegt sich selbst.

Ich hatte gestern auch den Fall, dass es bei einem Benutzer im Test nicht klappen wollte. Als ich dann das Profil gelöscht hatte ging es sofort. Kennt jemand das Verhalten und hat da jemand eine Idee was man (welchen Cache) beim IE löschen muss, um diesen Effekt hervorzurufen ohne das ganze Profil zu löschen?

Also das Problem mit den Profil liegt an dieser Cache Funktion der Proxy-Settings die der IE eingebaut hat. Wenn man damit ein wenig rumspielt (ab- und anschalten) geht es.