Softwareverteilung über Reverse Proxy

[Stefan]

Hallo zusammen,

hat von euch schon jemand Empirum über einen Reverse Proxy am laufen?
Hintergrund ist, dass wir bei der Softwareverteilung nicht darauf warten wollen, bis sich alle User über VPN einwählen, da sie dies nur alle paar Wochen für kurze Zeit . Sie können fast alles nur mit Internetzugriff erledigen.

Wenn ich mir die Agentkonfig anschaue, kann ich nur bestehende Empirumserver benutzen. Es gibt diesen aber schon. Nur ist er von außen über einen anderen Namen erreichbar. Einen zweiten Depotserver für das gleiche Gerät kann ich ja nicht erstellen, oder?

wie habt ihr das gelöst? einen Server in der DMZ ist leider nicht möglich.

Grüße Stefan

[Hendrik_Ambrosius]

Sollte eigentlich schon gehen dass man ein zweites Computerobjekt für den selben Server unter einem anderen Namen anlegt.

[Stefan]

ich habe nun einen "Dummy" für die externe Adresse angelegt, da ich sonst den Server sowie einen User im Template angeben kann.
Im Debugger baut der Client dann auch eine Verbindung auf, quittiert dann aber nach gewisser Zeit mit dem error 12029

Muss ich auf dem Server noch etwas einstellen oder kann ich die Verbindung z.B. mit Telnet testen? Über telnet bekomm ich derzeit intern wie extern auch keine Verbindung.

[Hendrik_Ambrosius]

Dann kommt der Client nicht zum Server, siehe:
https://msdn.microsoft.com/de-de/librar ... s.85).aspx
12029 ERROR_WINHTTP_CANNOT_CONNECT: Returned if connection to the server failed.

Ob der Test via Telnet geht weiß ich leider nicht - nie versucht bisher.

Diesem Beitrag im Forum können Sie aber die URLs entnehmen die man zum Test verwenden kann:
viewtopic.php?f=141&t=14821

Wenn der Client da raufkommt sollte es dann gehen.

[hdroege]

Hallo,
ist das schon gelöst worden? Ein potentieller Kunde fragt nach und ich kenne nur Implementierungen über Server in der DMZ oder der Cloud.

Gruß

[bboehm]

Hallo,

Wird für uns auch zum Thema. Warten mit den Updates, bis die Benutzer VPN mal wieder starten, kann man sich heutzutage fast nicht mehr "leisten".

Schöne Grüße
Bernhard

[sebastian.pilz]

Hallo,

ich hab das Thema bei uns mal angegangen und wollte berichten. Wir stehen auch vor dem Problem, das unsere Benutzer wenig VPN Verbindungen aufbauen und so ich 0 Kontolle über meine Assets bekomme. Ich hab einen 2. Empirum-Server mit IIS und HTTPS verteilung aufgesezt und ein Agent-Template gebaut was präferiert über DHCP-Optionen seinen Empirum Server findet und als Fallback HTTPS nutzt.

Der Empirum-Server ist per Split-DNS auch öffentlich auflösbar. Offen ist noch das ganze auf einen DNS-Alias Umzustellen, falls wir mal den Server durchtauschen müssen.

Als Proxy habe ich unsere Sophos UTM genutzt, die auch schon den Exchange veröffentlicht. Die Reverse Authentication war ein Stolperstein, da die Sophos nicht Domain\SamAccountname kann (dort wird immer ein \\ zwischen der Domain und Username gemacht) sondern nur den UPN. Daher mussten wir den Account im Depot-Server tauschen.

Prinzipiell hab ich aber heute Abend komplett Schmerzbefreit nen Feature Upgrade auf 1809 komplett ohne VPN und nur mit Internetverbindung gemacht.

Wenn wer nen Erfahrungsaustausch benötigt, darf sich gerne melden.

Grüße,
Sebastian Pilz

[heonaut]

Hallo zusammen,

ich will auch unseren Empirum-Server über einen Reverse-Proxy nach außen hin veröffentlichen. Ich habe die Anleitung auch schon gecheckt, mir erschließt sich allerdings nicht, wie ich eine andere Server-Adresse im Agent-Template eingeben kann.
Aktuell steht folgendes drin: Empirumserver.xxx.local
Aber da muss dann ja eine öffentliche Adresse rein, damit der Agent auch eine Verbindung zum Server herstellen kann. Wie kann ich im Agent-Template die öffentliche Adresse z.b. Empirumserver.xxx.com eintragen?

Wie habt ihr das gelöst?

[Hendrik_Ambrosius]

Man kann dafür einen weiteren Depot-Server in der Konsole mit einem anderen Namen anlegen und im Agent Template zuweisen.

[Jochen_Schmitt]

Hallo,

Empirum nach "außen" per https über einen Reverse-Proxy zu veröffentlichen funktioniert definitiv.
Man muss, wie Hendrik schreibt, ein weiteres Computerobjekt mit dem externen Namen anlegen und die Zuweisung der EmpirumServer in der Management Console korrekt vornehmen. Dies setzt natürlich voraus, dass das AgentTemplate auch die Option "Zugewiesene EmpirumServer verwenden" nutzt.

Ich würde jedoch immer empfehlen einen EmpirumServer in die DMZ zu stellen, der per ReverseProxy zu erreichen ist.

Grüße
Jochen

[munzur]

Dies setzt natürlich voraus, dass das AgentTemplate auch die Option "Zugewiesene EmpirumServer verwenden" nutzt.

Würde ich so nicht unterschreiben. Reicht, wenn der Server als Ausfallserver deklariert wird. Wenn im HomeOffice keine DHCP Optionen zur Verfügung stehen, und der Server aus der %EmpirumServer% (idR. der Master/Depot) erreichbar ist, wird auf den Ausfall geschwenkt.

[Jochen_Schmitt]

Hallo,

Okay, dann sagen wir so: man sollte sich das AgentTemplate ansehen, damit man eine Konfiguration erstellt, der auch das https Depot berücksichtigt.
Dabei kann man auch nach primären Einsatzzweck (Mobiles Arbeiten/LAN) auch die Protokollpriorität entsprechend setzen.

Grüße
Jochen