- - PR -
2台のプロキシサーバを使い分ける
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2007-07-19 11:30
いつもお世話になっております。
初歩的な質問になるかもしれませんが、社内の他の部署から相談されて、 解決策が見つからず困っていますので、よろしくお願いします。 2台のプロキシサーバがあります。 1台は本社、もう1台は支社にあります。 インターネット閲覧は、本社のプロキシを使います。 支社にあるプロキシは、支社内にある開発環境(Webアプリケーション)に接続するためだけのプロキシです。 上記のように、インターネットは本社、社内開発環境は支社というように、2台のプロキシを使い分けるには、 各クライアントにどのように設定をすればよろしいでしょうか? もしくは、サーバやネットワークの設定でできるのであれば、その方法はありますでしょうか? 弊社は、Active Directoryドメインで運用しており、部署単位でOUを分けています。 今回の要件では、2つ以上部署にまたがり、しかもそれぞれの部署で半分の人間だけが 上記の環境を使うため、 ADから一括でプロキシの設定をすることができません。 PACファイルを作成し、対象者が各クライアントに対し、手動でPACファイルを設定させることも考えました。 しかし、ADのグループポリシーを変更するたびに、上書きされてしまい、 手動で設定したPACファイルの設定が、消えてしまいます。 そのたびに再設定が必要となり、不満の声が上がっています。 何かいい方法はありませんでしょうか? 補足ですが、インターネット、開発環境共に、ブラウザはIEとネスケ両方使いたいそうです。 また、サーバは、Windowsしかありません。(Linuxサーバはありません) なにとぞよろしくお願いいたします。 | ||||||||
|
投稿日時: 2007-07-19 11:56
Proxy指定自体はPACファイル以外の方法はないと思いますが、
むしろグループポリシーでProxy構成を強制していることの方が 問題でしょう。どう設定しても上書きされるんですから。 該当するユーザのグループポリシーについて、 AD側で除外するよう、OU構成、GPO権限、その他の対応は取れないんでしょうか? 取れれば上書きされて云々がなくなって意図したとおりに動くかと。 | ||||||||
|
投稿日時: 2007-07-19 12:01
現在のProxyがどのようなものを使用されているか判りませんが、
透過型Proxyについて調べてみると幸せになれそうな気がします。 | ||||||||
|
投稿日時: 2007-07-19 17:24
Mattunさん、ご回答いただきありがとうございます。
ADには、苦労していて、なかなか上手く設定できていないため、困っています。
AD側で、Proxy構成を空欄(何も設定しない状態)にしていていると、 今度は、ユーザーが手動で設定した内容に対して、上書きして空欄にしてしまったりします。 そこで、仕方なく、Proxy構成を強制しています。
私の会社は、部署異動や組織改変が多く、その度にOUの構成を変更しています。 そのため、少しでも管理工数は削減するために、可能な限りOU構成などを 弄りたくないのが実情です。 何かうまい手はないかと悩んでいるしだいです。 いい方法があれば、是非ともよろしくお願いします。 | ||||||||
|
投稿日時: 2007-07-19 17:30
BackDoorさん、ご回答ありがとうございます。
透過型Proxyは、実は使えるかな?と思って、何度か調べました。 しかし、Linux環境下でのsquidの説明ばかりで、果たしてWindows環境下で、うまく動くのか心配です。 Linuxサーバーを別で購入する予算もなく、また本番環境しかないので、 容易にテスト環境も作れません。 Windows環境で、しかも無償(お金ないので)で作れる方法を教えていただけないでしょうか? このBBSの中で無理であれば、技術サイトのURLなどでも結構です。 よろしくお願い申し上げます。 | ||||||||
|
投稿日時: 2007-07-19 17:42
Proxyの設定を使用する、をONにして、Proxy空白では、 そりゃ空白で上書きされます。 Proxyの設定を使用する、自体をOFFにする必要はあるでしょう。 また、上記は未定義に過ぎないので、定義済みGPOの置き換えは発生 しないはずなので、やはりOUやGPO読み取り権限などでの制御は必要でしょう。
管理部門が管理する構成にしてる以上、必要とあらばいじるのが筋でしょう。 管理を放棄する方向になりますが、あくまでこの項目はユーザ構成なので、 ローカルユーザでログオンしちゃえばスルーできるかと。 _________________ Mattun Microsoft MVP for Directory Services (Oct 2006-Sep 2007) | ||||||||
|
投稿日時: 2007-07-19 17:53
ていうか、
というルールを盛り込んだPACファイルを全社的に展開すればいいだけでは? 現状がProxy直指定をGPOで全社展開しているのであれば、 Pac指定を全社展開に切り替えればいいだけでしょう。 今回該当する人以外が、 ・その開発機アクセスすることがある ・開発機にアクセスする場合、支社Proxy経由で接続されては困る という条件がない限り、該当者以外には何の影響もないでしょう。 _________________ Mattun Microsoft MVP for Directory Services (Oct 2006-Sep 2007) | ||||||||
|
投稿日時: 2007-07-25 13:45
Mattunさん、親切な回答ありがとうございます。
私の説明が下手なので、誤解されてしまったようです。 実は、Proxyの設定を使用するの設定をOFFにしても、空白で上書きされてしまいます。 同様な事例がないかと調べましたが、ネット上ではなかったので、他の環境では再現されないようです。 ADに設定している全設定内容を公開すれば、もしかしたら間違い箇所があるのかもしれませんが、 調査した限りでは、問題が無いように思っています。 不思議です。 また、PACファイルの全社配布の件ですが、セキュリティの観点、弊社の取引先との約束事があり、 どうしても全社配布できない状態です。 そのため、非常に困っています。 そこで、別の方法を考えましたが、設定方法が分かりません。 現行の2台のプロキシサーバーの手前にWindows移植版のSquidを入れようと考えました。 Squidから見ると、現行の2台サーバーは、上位プロキシサーバーになります。 「www.aaa.com」なら支社プロキシに転送(経由)します。 それ以外なら、本社プロキシに転送(経由)と言う設定を Squidにすることは可能ですか? 「cache_peer」で上位プロキシを指定する方法を見つけたのですが、 URL単位で上位プロキシを分ける方法が分からなかったので、 教えて下さい。 ご指導よろしくお願いします。 【補足】 「www.aaa.com」は、社内のドメインになります。 また、URLがIPアドレスの場合があります。 [ メッセージ編集済み 編集者: ZYX 編集日時 2007-07-25 14:33 ] | ||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。