Hoe configureert u proxy-instellingen in Windows met Groepsbeleidvoorkeuren?

Hoe u proxy-instellingen configureert en problemen oplost in een domeinomgeving op Windows.

Het instellen van proxyconfiguraties op Windows-machines binnen een domein kan soms behoorlijk lastig zijn. Veel mensen lopen tegen problemen aan waarbij browsers of apps de proxy niet goed lijken te herkennen, of waarbij de instellingen gewoon niet worden opgeslagen. Vooral bij het werken met Groepsbeleid – want Windows moet het natuurlijk ingewikkelder maken dan nodig. Deze handleiding beschrijft een aantal praktische manieren om proxy-instellingen soepel te laten werken in uw netwerk, of het nu via Groepsbeleidvoorkeuren, registeraanpassingen of het beheren van WinHTTP-proxy’s voor systeemservices is. Aan het einde van deze handleiding heeft u een beter beeld van hoe u proxy-instellingen kunt implementeren, controleren en problemen oplossen zonder al te veel moeite (of frustratie).

Hoe stel ik proxy-instellingen in Windows in via GPO?

Vroeger was het configureren van de proxy van Internet Explorer via Groepsbeleid vrij eenvoudig met het Internet Explorer Maintenance (IEM)-beleid. Maar dat is in moderne Windows-versies niet meer beschikbaar – sinds Windows 8/Server 2012 is het gewoon verdwenen. De aanbevolen methode is nu via Groepsbeleidvoorkeuren (GPP).Het nadeel is dat het instellen van proxyconfiguraties niet meer zo simpel is als een schakelaar omzetten, maar het is nog steeds mogelijk als u bekend bent met het gedeelte Voorkeuren in de GPO-editor en slimme targeting. Als u een domein met meerdere gebruikers beheert en proxy-instellingen wilt afdwingen die u niet meer hoeft aan te passen, is dit meestal de beste manier. Bovendien respecteren Chrome en andere browsers deze instellingen als ze via GPP of via het register zijn geconfigureerd, wat het beheer aanzienlijk vereenvoudigt.Opmerking: Voor IE moet u de beleidsinstelling “Internet Explorer 10” gebruiken, die in feite van toepassing is op IE-versies 10 en hoger. In sommige configuraties is dit eenvoudiger dan handmatig PAC-bestanden toe te wijzen of beleidsregels automatisch te detecteren, vooral in grote, beheerde omgevingen.

Proxy instellen met behulp van Groepsbeleidvoorkeuren

  • Open de Group Policy Management Console ( GPMC.msc ).
  • Kies een organisatie-eenheid (OU) met uw beoogde gebruikers of computers.
  • Maak een nieuw groepsbeleidsobject (GPO) aan of bewerk een bestaand GPO en koppel het.
  • Ga naar Gebruikersconfiguratie > Voorkeuren > Instellingen Configuratiescherm > Internetinstellingen
  • Klik met de rechtermuisknop en selecteer Nieuw > Internet Explorer 10 — of een vergelijkbare optie voor IE 11, maar IE10 is over het algemeen compatibel met alle versies.
  • Stel de gewenste proxy-opties in op het tabblad *Verbindingen* door op LAN-instellingen te klikken.
  • Vink ‘ Een proxyserver gebruiken voor uw LAN’ aan en voer vervolgens het IP-adres/DNS-adres en de poort van uw proxy in.
  • Als u lokale adressen wilt gebruiken om de proxy te omzeilen, vink dan ‘Proxyserver omzeilen voor lokale adressen’ aan.
  • Voor aangepaste lokale adressen klikt u op Geavanceerd en voegt u zaken toe zoals 10.1.*;192.168.*;*.company.localin *Gebruik geen proxy voor adressen die beginnen met*.
  • Vergeet niet op ‘Opslaan’ te drukken F5nadat je wijzigingen hebt aangebracht, zodat het beleid wordt toegepast (soms is er wat Windows-magie nodig om het daadwerkelijk op te slaan).
Waarom zou je dat doen? Omdat je met deze methode, die gebruikmaakt van GPP, specifieke groepen of machines kunt targeten met itemgerichte targeting. Je kunt bijvoorbeeld proxyconfiguraties alleen toepassen op gebruikers in de groep ’thuiswerkers’ of alleen op computers in een bepaalde locatie. Dat is veel flexibeler dan elk apparaat handmatig te bewerken of te vertrouwen op verouderde beleidsregels die niet meer worden ondersteund.

Zodra je dat hebt gedaan, kun je de beleidsregels geforceerd bijwerken op gpupdate /forcede doelcomputers of wachten tot de beleidsregels automatisch worden vernieuwd. Je kunt de instellingen controleren via Instellingen > Netwerk en internet > Proxy om er zeker van te zijn dat ze correct zijn geconfigureerd. Kinderspel, toch?

Proxy configureren via register en GPO

Een andere optie is om het register rechtstreeks aan te passen. Een beetje ouderwets, maar nog steeds handig als je zeer nauwkeurige controle nodig hebt, of als GPP niet naar behoren werkt. Om bijvoorbeeld een proxy voor Internet Explorer in te schakelen, kun je de volgende registersleutels in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings instellen via een GPO-voorkeur of script:

  • ProxyEnable(REG_DWORD) = 1om de proxy in te schakelen.
  • ProxyServer(REG_SZ) = 192.168.0.1:8080(het IP-adres en de poort van uw proxy).
  • ProxyOverride(REG_SZ) = http://*.local;https://*.company.com;<local>— adressen die de proxy omzeilen.
Zorg ervoor dat u aparte GPP-items aanmaakt voor Gebruikersconfiguratie (voor de huidige gebruikersinstellingen) en Computerconfiguratie (als u een systeemwijde proxy op de machine wilt).Houd er rekening mee dat het wijzigen van deze registersleutels enigszins kwetsbaar is; u kunt gemakkelijk iets over het hoofd zien of beschadigen als u niet voorzichtig bent, dus controleer alles goed na het toepassen.—

Beheer de WinHTTP-proxy-instellingen voor systeemservices.

Hier wordt het een beetje vreemd: sommige Windows-services of -apps, zoals PowerShell of WSUS, respecteren de proxy-instellingen van de gebruiker niet, maar gebruiken in plaats daarvan de WinHTTP-proxy-instellingen. Als uw updates of scripts plotseling niet meer werken, is het de moeite waard om te controleren of WinHTTP een proxy heeft ingesteld. Voer deze opdracht uit in PowerShell of de opdrachtprompt om te zien wat er geconfigureerd is: 

netsh winhttp show proxy
Als er staat “Directe toegang (geen proxyserver)”, dan is er op dat niveau geen proxy ingesteld. Om dit te configureren of bij te werken, kunt u opdrachten uitvoeren zoals: 

netsh winhttp set proxy proxy.woshub.com:3128 "localhost;192.168.*;10.1.*"
Of, als u de huidige instellingen van Internet Explorer wilt importeren, gebruikt u: 

netsh winhttp import proxy source=ie
Het is echter niet eenvoudig om WinHTTP via GPO te beheren; er is geen simpele instelling in de GPO-editor. De oplossing is om de huidige WinHTTP-proxy-instellingen te exporteren vanuit het register van een referentiecomputer (specifiek HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections ) en die configuratie vervolgens te importeren in de doelcomputers met behulp van een GPP-registeritem.

Vanwege de complexiteit en enkele nuances in de binaire werkwijze van Windows kan het beheren hiervan wat lastig zijn. Toch is het raadzaam om deze instellingen handmatig of via een script te controleren als toegang tot de proxy op systeemniveau niet werkt.

Samenvatting

  • Configureer proxy-instellingen via GPP en richt u op de juiste gebruikers- of computerbeleidsregels.
  • Gebruik registeraanpassingen voor meer controle, vooral als GPP niet voldoende is.
  • Controleer en beheer de WinHTTP-proxy als systeemservices of updates de instellingen niet lijken te respecteren.
  • Onthoud dat het vernieuwen van het beleid of een herstart vaak onjuiste instellingen in de praktijk verhelpt.

Samenvatting

Het configureren van proxy’s binnen een domein was vroeger een stuk eenvoudiger, maar met moderne Windows-versies heb je een combinatie nodig van GPP, registeraanpassingen en soms zelfs magische registerexports voor WinHTTP. Het overkoepelende doel is om alles consistent te houden en te voorkomen dat gebruikers met instellingen gaan knoeien, terwijl je tegelijkertijd problemen kunt oplossen. Soms is het gewoon een kwestie van weten waar je moet zoeken of welke commando’s je moet uitvoeren. Dat is nu eenmaal de realiteit van het beheren van Windows-omgevingen in een bedrijfsomgeving. Hopelijk helpen deze tips je om de proxy’s naar behoren te laten werken en voorkom je een hoop kopzorgen.

Hoe configureert u toepassingsbeperkingsbeleid met AppLocker in Windows?
Hoe configureert u een iSCSI-doel en -initiator op Windows Server?