Automatische Proxykonfiguration im Browser

technische Fragen & Antworten, Hilfe zu Hard- und Software
Benutzeravatar
[RdOT]Lancelot
Ritter der Tafelrunde
Beiträge: 7307
Registriert: Di. 23.7.2002 22:48

Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Lancelot » Di. 6.12.2011 12:33

Hat hier jemand zufällig schonmal einen Proxyserver in Verbindung mit einer automatischen Browserkonfiguration (Stichwort wpad) konfiguriert?

Es scheint bei aktuellen Browsern generell ein Problem mit der DNS Auflösung zu bestehen (wird an den konfigurierten DNS Server geschickt anstatt an den Proxy) und hätte gerne gewusst wie man das am besten löst.
Benutzeravatar
[SEK2000]Blackhawk
Scharfrichter
Beiträge: 29197
Registriert: Mi. 15.1.2003 12:01
Wohnort: Frankfurt
Kontaktdaten:

Re: Automatische Proxykonfiguration im Browser

Beitragvon [SEK2000]Blackhawk » Di. 13.12.2011 13:44

Sorry, aber ich weiss nicht ganz was Du machen willst. Autoconfig wird per DHCP, vorzugsweise aber per DNS gehandhabt. Je nachdem, was in der proxy.pac/wpad.dat dann drinsteht, werden weitere DNS-Anfragen fällig. Also Zeig mir Deine WPAD.DAT, und ich sag Dir was Du erwarten kannst. oder Du rufst mich an, nur 9,99 € pro Minute!

PS:DNS-Anfragen werden per Definition schon nicht an den Proxy geschickt.
Benutzeravatar
[RdOT]Lancelot
Ritter der Tafelrunde
Beiträge: 7307
Registriert: Di. 23.7.2002 22:48

Re: Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Lancelot » Di. 13.12.2011 14:21

Die wpad.dat und der DNS-Eintrag funktioniert, das ist nicht das Problem. Das Problem ist das aktuelle Browser einen DNS-Cache haben und kurz bevor die wpad.dat vom Browser ausgewertet ist der Client versucht selbst die Verbindung aufzubauen anstatt über den Proxy zu gehen. Quasi so:

User: "Geh zu google.de!"
Browser: "Ok, ich schaue mal in den Regeln wo ich die Seite erreic..."
Browser DNS-Cache: "Hey, google.de kenn ich, da war ich schonmal! Das ist a.b.c.d, ich geh mal dahin..."
Browser: "...he. Oh, das muss ich an den Proxy schicken."
Browser DNS-Cache: "*werkjshfnsudzfnskvfskdfdkjshdfkjshfksf* hmm, klappt nicht"

Das führt zu einem Freeze des Browsers. Nachdem er dann aufgibt ist die wpad.dat längst ausgewertet und der zweite Versucht funktioniert dann reibungslos.
Das Thema wird/wurde bei den Chrome-Devs auch schon diskutiert, aber bislang gibt es wohl keine saubere Lösung.
In einer Umgebung mit transparenten Proxies ist das kein Problem, das haben wir hier aber nicht.

Bislang machen wir die Konfig in den Browsern manuell, ich hatte gehofft uns so Arbeit zu ersparen.
Benutzeravatar
[SEK2000]Blackhawk
Scharfrichter
Beiträge: 29197
Registriert: Mi. 15.1.2003 12:01
Wohnort: Frankfurt
Kontaktdaten:

Re: Automatische Proxykonfiguration im Browser

Beitragvon [SEK2000]Blackhawk » Di. 13.12.2011 14:47

[RdOT]Lancelot hat geschrieben:Die wpad.dat und der DNS-Eintrag funktioniert, das ist nicht das Problem. Das Problem ist das aktuelle Browser einen DNS-Cache haben und kurz bevor die wpad.dat vom Browser ausgewertet ist der Client versucht selbst die Verbindung aufzubauen anstatt über den Proxy zu gehen. Quasi so:

User: "Geh zu google.de!"
Browser: "Ok, ich schaue mal in den Regeln wo ich die Seite erreic..."
Browser DNS-Cache: "Hey, google.de kenn ich, da war ich schonmal! Das ist a.b.c.d, ich geh mal dahin..."
Browser: "...he. Oh, das muss ich an den Proxy schicken."
Browser DNS-Cache: "*werkjshfnsudzfnskvfskdfdkjshdfkjshfksf* hmm, klappt nicht"

Das führt zu einem Freeze des Browsers. Nachdem er dann aufgibt ist die wpad.dat längst ausgewertet und der zweite Versucht funktioniert dann reibungslos.
Das Thema wird/wurde bei den Chrome-Devs auch schon diskutiert, aber bislang gibt es wohl keine saubere Lösung.
In einer Umgebung mit transparenten Proxies ist das kein Problem, das haben wir hier aber nicht.

Bislang machen wir die Konfig in den Browsern manuell, ich hatte gehofft uns so Arbeit zu ersparen.


Komisch, genau die von die beschriebene Konfiguration funktioniert hier reibungslos. Willst Du evtl mal Deine Wpad.dat darlegen? Weil das von Dir beschriebene Verhalten kann so eigentlich nicht sein.....
Benutzeravatar
[RdOT]Lancelot
Ritter der Tafelrunde
Beiträge: 7307
Registriert: Di. 23.7.2002 22:48

Re: Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Lancelot » Di. 13.12.2011 15:00

Hier:

Code: Alles auswählen


function FindProxyForURL(url, host) {
if (
     (isPlainHostName(host)) ||
     (dnsDomainIs(host, ".hjk.int")) ||
     (isInNet(host, "172.16.0.0", "255.255.0.0"))
   )
     return "DIRECT"
else

if (
     (isInNet(myIpAddress(), "172.16.0.0", "255.255.0.0"))
   )
     return "PROXY 172.16.20.20:8080"
}


Ich hatte testweise auch eine ganz simple drin, die nur den Proxy ohne Bedingungen zurückgibt, gleiches Problem. Welche Browser benutzt ihr denn?
Benutzeravatar
[SEK2000]Blackhawk
Scharfrichter
Beiträge: 29197
Registriert: Mi. 15.1.2003 12:01
Wohnort: Frankfurt
Kontaktdaten:

Re: Automatische Proxykonfiguration im Browser

Beitragvon [SEK2000]Blackhawk » Di. 13.12.2011 15:29

Geht bei uns mit FF, IE und Chrome.

Habt ihr Clients, die IPv6-fähig sind? W7? Da ist nämlich ein böser Fallstrick drin: IsInNet liefert bei IPV6-enabled Clients kein ordentliches Ergebnis, und in dem Script ist kein Fallback. Dann versucht der Client eine Direktverbindung.
Benutzeravatar
[RdOT]Lancelot
Ritter der Tafelrunde
Beiträge: 7307
Registriert: Di. 23.7.2002 22:48

Re: Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Lancelot » Di. 13.12.2011 16:00

XP, IPv4. Ich lass es erstmal wie es ist, nächstes Jahr wird so einiges umgestellt, evtl. behebt sich das Problem dann.
Benutzeravatar
[SEK2000]Blackhawk
Scharfrichter
Beiträge: 29197
Registriert: Mi. 15.1.2003 12:01
Wohnort: Frankfurt
Kontaktdaten:

Re: Automatische Proxykonfiguration im Browser

Beitragvon [SEK2000]Blackhawk » Di. 13.12.2011 16:22

Irgendwie glaube ich das weniger. Aber es ist Deine Entscheidung, ob wir jetzt Zeit investieren wollen oder nicht.
Benutzeravatar
[RdOT]Lancelot
Ritter der Tafelrunde
Beiträge: 7307
Registriert: Di. 23.7.2002 22:48

Re: Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Lancelot » Di. 13.12.2011 16:35

Ich schau mir das nochmal genauer an wenn hier weniger los ist, aber danke erstmal!
Benutzeravatar
[RdOT]Lancelot
Ritter der Tafelrunde
Beiträge: 7307
Registriert: Di. 23.7.2002 22:48

Re: Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Lancelot » Mi. 30.5.2012 15:59

Ich schau mir gerade wieder dieses Problem an. Ich habe mal Wireshark mitlaufen lassen und da sieht man deutlich das Problem:

Code: Alles auswählen

No.   Time      Source   Dest.   Pro.   Length   Info
266   5.316.893   Client   DNS1   DNS   70   Standard query A www.web.de
267   5.322.882   Client   DNS1   NBNS   92   Name query NB WPAD<00>
268   5.323.225   DNS1   Client   NBNS   104   Name query response NB Web-Server
269   5.323.505   Client   Web-Server   TCP   62   caiccipc > http [SYN] Seq=0 Win=65535 Len=0 MSS=1460 SACK_PERM=1
270   5.323.790   Web-Server   Client   TCP   62   http > caiccipc [SYN, ACK] Seq=0 Ack=1 Win=5840 Len=0 MSS=1460 SACK_PERM=1
271   5.323.807   Client   Web-Server   TCP   54   caiccipc > http [ACK] Seq=1 Ack=1 Win=65535 Len=0
272   5.323.912   Client   Web-Server   HTTP   397   GET /wpad.dat HTTP/1.1
273   5.324.177   Web-Server   Client   TCP   60   http > caiccipc [ACK] Seq=1 Ack=344 Win=6432 Len=0
274   5.324.589   Web-Server   Client   HTTP   540   HTTP/1.1 200 OK  (application/x-ns-proxy-autoconfig)
283   5.486.098   Client   Web-Server   TCP   54   caiccipc > http [ACK] Seq=344 Ack=487 Win=65049 Len=0
325   6.316.200   Client   DNS2   DNS   70   Standard query A www.web.de
381   7.316.144   Client   DNS1   DNS   70   Standard query A www.web.de
467   9.132.338   DNS2   Client   DNS   81   Standard query response, Server failure
468   9.132.408   Client   DNS1   DNS   70   Standard query A www.web.de
469   9.132.525   DNS1   Client   DNS   70   Standard query response, Server failure
470   9.132.671   Client   DNS1   NBNS   92   Name query NB WWW.WEB.DE<00>
471   9.133.051   DNS1   Client   NBNS   98   Name query response
474   9.154.009   Client   172.16.255.255   NBNS   92   Name query NB WWW.WEB.DE<00>
512   9.903.989   Client   172.16.255.255   NBNS   92   Name query NB WWW.WEB.DE<00>
547   10.653.982   Client   172.16.255.255   NBNS   92   Name query NB WWW.WEB.DE<00>
576   11.405.069   Client   Proxy   TCP   62   ssslic-mgr > http-alt [SYN] Seq=0 Win=65535 Len=0 MSS=1460 SACK_PERM=1
577   11.405.342   Proxy   Client   TCP   62   http-alt > ssslic-mgr [SYN, ACK] Seq=0 Ack=1 Win=5840 Len=0 MSS=1460 SACK_PERM=1
578   11.405.365   Client   Proxy   TCP   54   ssslic-mgr > http-alt [ACK] Seq=1 Ack=1 Win=65535 Len=0
579   11.405.459   Client   Proxy   HTTP   375   GET http://www.web.de/ HTTP/1.1

Zunächst fragt er artig nach der wpad.dat, bekommt die auch und dann versucht er trotzdem die Adresse erst über DNS, dann über Netbios aufzulösen. Erst danach fängt er überhaupt an mit dem konfigurierten Proxy zu reden. Das Verhalten ist bei IE7, IE8, IE9 und aktuellem Firefox das gleiche bei zwei verschiedenen Proxies. :motz:
Benutzeravatar
[RdOT]Malagant
Ritter der Tafelrunde
Beiträge: 9713
Registriert: Mi. 24.7.2002 09:44
Wohnort: 1 OG Links
Kontaktdaten:

Re: Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Malagant » Mi. 30.5.2012 16:24

Vermutlich hast Du *.de in den Ausnahmen stehen :D
Benutzeravatar
[RdOT]Lancelot
Ritter der Tafelrunde
Beiträge: 7307
Registriert: Di. 23.7.2002 22:48

Re: Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Lancelot » Mi. 30.5.2012 16:26

Was ich befürchte ist dass an der Stelle so oder so erstmal die Adresse aufgelöst wird um zu schauen welche Regel greifen soll und die Funktion eine externe Auflösung voraussetzt.
Benutzeravatar
[RdOT]Malagant
Ritter der Tafelrunde
Beiträge: 9713
Registriert: Mi. 24.7.2002 09:44
Wohnort: 1 OG Links
Kontaktdaten:

Re: Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Malagant » Mi. 30.5.2012 16:46

Ne das würde ja keinen Sinn ergeben. Aber eine Group-Policy könnte dazwischen 'funken'. Wo hinterlegst Du im Client die wpad.dat? Automatisch erkennen oder ne Proxy-Konfig-URL? Alternativ schick ich einen Kollegen vorbei der euch dabei unterstützt. Hat er schon zigmal gemacht. :)
Benutzeravatar
[RdOT]Lancelot
Ritter der Tafelrunde
Beiträge: 7307
Registriert: Di. 23.7.2002 22:48

Re: Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Lancelot » Mi. 30.5.2012 16:51

Nix Policy, Vanilla XP, kein Member einer Domäne. Die Datei wird über DNS verteilt, aber das funktioniert, sehe ich im Wireshark.
Benutzeravatar
[RdOT]Malagant
Ritter der Tafelrunde
Beiträge: 9713
Registriert: Mi. 24.7.2002 09:44
Wohnort: 1 OG Links
Kontaktdaten:

Re: Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Malagant » Mi. 30.5.2012 17:05

Was passiert, wenn Du vorher "ipconfig /flushdns" ausführst, zieht er dann direkt den Proxy an? Es gibt allerdings auch lokale Policys (gpedit.msc) und die können durch total tolle Tools gesetzt worden sein.
Benutzeravatar
[RdOT]Lancelot
Ritter der Tafelrunde
Beiträge: 7307
Registriert: Di. 23.7.2002 22:48

Re: Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Lancelot » Mi. 30.5.2012 17:33

Ich kann die DNS Server sogar rausnehmen und die wpad.dat manuell angeben, dann läuft gar nichts über DNS aber trotzdem versucht er's zuerst über Netbios.
Benutzeravatar
[RdOT]Koenig
Koenig Arthur Owski
Beiträge: 8156
Registriert: Mi. 24.7.2002 12:12
Wohnort: NRW

Re: Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Koenig » Mi. 30.5.2012 17:37

das kann man irgendwo über Registry Parameter einstellen meine ich
wenn der Client das einmal falsch "gelernt" hat kriegste das nicht mehr so einfach weg
Netbios deaktivieren geht nicht, braucht ihr Netbios?
Benutzeravatar
[RdOT]Koenig
Koenig Arthur Owski
Beiträge: 8156
Registriert: Mi. 24.7.2002 12:12
Wohnort: NRW

Re: Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Koenig » Mi. 30.5.2012 17:43

guck mal was hier eingestellt ist

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\ServiceProvider einstellen (kleine Zahl bedeutet hohe Priorität)
Benutzeravatar
[RdOT]Lancelot
Ritter der Tafelrunde
Beiträge: 7307
Registriert: Di. 23.7.2002 22:48

Re: Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Lancelot » Mi. 30.5.2012 17:56

[RdOT]Koenig hat geschrieben:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\ServiceProvider einstellen (kleine Zahl bedeutet hohe Priorität)

Damit stelle ich die Reihenfolge der Namensauflösung ein. Ich will aber gar keine Auflösung, er soll einfach seine Anfrage an den Proxy schicken.
Benutzeravatar
[RdOT]Koenig
Koenig Arthur Owski
Beiträge: 8156
Registriert: Mi. 24.7.2002 12:12
Wohnort: NRW

Re: Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Koenig » Mi. 30.5.2012 17:57

achso es geht hier nur um den browser
dann vergiss das was ich geschrieben habe
Benutzeravatar
[RdOT]Malagant
Ritter der Tafelrunde
Beiträge: 9713
Registriert: Mi. 24.7.2002 09:44
Wohnort: 1 OG Links
Kontaktdaten:

Re: Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Malagant » Mi. 30.5.2012 18:12

Hast Dir mal ein Standard-Windows-XP-Client installiert und es darüber getestet? Ich bin nach wie vor der Meinung, dass der Client ne Beule hat und nicht das Script.
Vielleicht steht auch was in der LMHOST?
Benutzeravatar
[RdOT]Lancelot
Ritter der Tafelrunde
Beiträge: 7307
Registriert: Di. 23.7.2002 22:48

Re: Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Lancelot » Mi. 30.5.2012 21:13

[RdOT]Malagant hat geschrieben:Hast Dir mal ein Standard-Windows-XP-Client installiert und es darüber getestet? Ich bin nach wie vor der Meinung, dass der Client ne Beule hat und nicht das Script.
Vielleicht steht auch was in der LMHOST?

Alle Teste wurden mit Vanilla XP und Win7 Clients gemacht, frisch von CD/DVD installiert. Wie gesagt, ich vermute/befürchte die externe Auflösung ist Pflicht. Weil man in der wpad.dat abhängig von verschiedenen IP Bereichen verschiedene Ziele definieren kann wollen die Browser vermutlich wissen um welches Netz es sich bei dem Ziel handelt und dann wird die URL und IP dem Script übergeben, egal was in der Datei definiert ist.
Benutzeravatar
[RdOT]Malagant
Ritter der Tafelrunde
Beiträge: 9713
Registriert: Mi. 24.7.2002 09:44
Wohnort: 1 OG Links
Kontaktdaten:

Re: Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Malagant » Mi. 30.5.2012 21:27

Könnte es irgendwie mit den Ports (80?) zu tun haben? Vielleicht muss man auf 8080 wechseln? Alternativ und sofern möglich, die Anpassungen im TCP/UDP vornehmen.

Vielleicht hat der Client aber stress, weil eure PCs sich nicht (?) in der Domäne befinden. Oder hatte ich das falsch verstanden?
Losgelöst davon würde ich auch in den GP ein Blick werfen. Es gibt dort "komische" Domänen/DNS Anfragen.

Ach ja, wie verhält sich ein Client wenn er via VPN angebunden ist?
Benutzeravatar
[RdOT]Lancelot
Ritter der Tafelrunde
Beiträge: 7307
Registriert: Di. 23.7.2002 22:48

Re: Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Lancelot » Mi. 30.5.2012 21:41

Der Proxy läuft auf Port 8080. Ob die PCs in der Domäne sind oder nicht ändert nicht das Verhalten. Ich glaube auch nicht dass es an einer Richtlinie liegt, denn das Verhalten wird ja vom Browser gesteuert, der löst ja die Namensauflösung aus.
Benutzeravatar
[RdOT]Malagant
Ritter der Tafelrunde
Beiträge: 9713
Registriert: Mi. 24.7.2002 09:44
Wohnort: 1 OG Links
Kontaktdaten:

Re: Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Malagant » Mi. 30.5.2012 22:06

Aber wenn Du netbios über tcp/ip deaktivierst, dann klappt es? :D
Benutzeravatar
[RdOT]Lancelot
Ritter der Tafelrunde
Beiträge: 7307
Registriert: Di. 23.7.2002 22:48

Re: Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Lancelot » Do. 31.5.2012 11:26

Ich habe mal ein bisschen gesucht und mir den Quellcode vom Firefox angeschaut. Es hängt mit dem DNS-Prefetch Feature zusammen, was auch andere Browser benutzen. Dies wird wohl vor dem Parsen der PAC Datei ausgeführt. Deaktiviere ich das Feature läuft es wie erwartet.
Bei Chrome wurde das Problem als Bug in den frühesten Versionen gemeldet und in jeder Version angeblich gefixt, allerdings bislang ohne Erfolg, siehe z.B. hier: http://code.google.com/p/chromium/issue ... l?id=29914
Es ist tatsächlich ein Bug, der in allen Browsern existiert. :(
Benutzeravatar
[SEK2000]Blackhawk
Scharfrichter
Beiträge: 29197
Registriert: Mi. 15.1.2003 12:01
Wohnort: Frankfurt
Kontaktdaten:

Re: Automatische Proxykonfiguration im Browser

Beitragvon [SEK2000]Blackhawk » Do. 31.5.2012 12:31

Ich bin verwirrt:
In Deiner PAC hast Du z.B. drinstehen: "(isInNet(host, "172.16.0.0", "255.255.0.0"))". Damit wird schon mal eine DNS-Anfrage fällig.

Also entspricht das getracte Ergebnis eigentlich den Erwartungen: Gib mir die Wpad, ich mach eine Namensauflösung für www.xxx.yyy, um zu sehen ob dieser Namen in dem angegebenen Netzwerk ist, und dann mach ich weiter. Und wenn Du die WPAD nicht optimierst, macht der unter Umständen noch eine ganze Menge mehr an DNS-Anfragen. Wenn Du die DNS-Anfragen verhindern wolltest, müsstest Du anders vorgehen.
Benutzeravatar
[RdOT]Lancelot
Ritter der Tafelrunde
Beiträge: 7307
Registriert: Di. 23.7.2002 22:48

Re: Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Lancelot » Do. 31.5.2012 12:44

Das Verhalten ist das gleiche wenn in der WPAD Datei nur "return "PROXY..." steht. In dem Fall darf eigentlich keine Auflösung passieren.
Benutzeravatar
[SEK2000]Blackhawk
Scharfrichter
Beiträge: 29197
Registriert: Mi. 15.1.2003 12:01
Wohnort: Frankfurt
Kontaktdaten:

Re: Automatische Proxykonfiguration im Browser

Beitragvon [SEK2000]Blackhawk » Do. 31.5.2012 13:18

Ok, Dich stört das "DNS Prefetching", das fast alle Browser implementiert haben..
Im FF und Google Chrome kann man das abstellen, zum Thema Winhttp hab ich jetzt keine Infos vorliegen. Haben diese Requests problematische Nebenwirkungen bei euch, außer das Sie unnötig wären?
Benutzeravatar
[RdOT]Lancelot
Ritter der Tafelrunde
Beiträge: 7307
Registriert: Di. 23.7.2002 22:48

Re: Automatische Proxykonfiguration im Browser

Beitragvon [RdOT]Lancelot » Do. 31.5.2012 13:26

Ja, jeder Aufruf einer Seite wird dadurch für ca. 12 Sekunden verzögert weil die internen DNS Server keine externe Auflösung machen. Der Browser wartet alle Timeouts ab bis er dann den Proxy anspricht.
Langsam habe ich das Gefühl wir sind die einzige Firma die nicht alle Rechner direkt ins Internet routen...

Zurück zu „Support“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste