Dienstag, 7. August 2012

GPP und der Internet Explorer 9 - Das endlose Drama?

Man muss sich schon einmal fragen, was sich Microsoft dabei gedacht hat...

Mittels Group Policy Preferences lassen sich die Einstellungen des Internet Explorers steuern. Das funktioniert auch wunderbar, zumindest unter IE 5,6,7 und 8.

Kommt jedoch ein IE 9 ins Spiel, wird es kritisch.

Das Problem:

Beim Programmieren der GPMC von Windows 7 (Vista, Server 2008 und Server 2008 R2) gab es noch keinen IE 9.
Die Einstellungen der Preferences werden bekanntlich in XML Dateien gespeichert. Dort wird ein Eintrag erzeugt, der die maximal unterstützte Version des Internet Explorers angibt.


Folglich steht diese Version auf max="9.0.0.0" .
Was nichts anderes bedeutet, als Internet Explorer 8 - jedoch nicht Internet Explorer 9.

Auf Einzelheiten möchte ich hier nicht näher eingehen, dass
wurde bereits an anderer Stelle vielfach getan.


http://www.grouppolicy.biz/2011/03/how-to-enable-group-policy-preferences-support-for-ie9/


http://blogs.technet.com/b/asiasupp/archive/2011/03/30/internet-explorer-9-ie9-group-policy-preferences-gpp.aspx

Seit einiger Zeit hat Microsoft einen Hotfix bereitgestellt, der
dieses Verhalten ändert.
Jedoch muss dieser Hotfix auf jedem Client installiert werden,
der Preferences für den Internet Explorer bearbeiten soll.


http://support.microsoft.com/kb/2530309

Vorhandene Preferences werden nicht abgeändert.


Es gibt also zwei Lösungsansätze:

1. Manuelles Editieren der XML Datei
2. Hotfix "KB2530309" auf jedem Client installieren der Policies bearbeitet


Egal für welche Lösung man sich entscheidet, es bleibt immer ein Problem:

Sollte jemand eine Policy editieren (z.B. neue Items einfügen) bzw. eine neue Policy anlegen die GPP IE Settings enthält, wird unter Umständen wieder eine nicht kompatible InternetSettings.xml erzeugt (wenn z.B. dieser Computer den Hotfix nicht installiert hat).


Was mache ich jedoch wenn ich wissen möchte, welche Policy Einstellungen enthält, die nicht IE 9 konform sind?

Entweder:

Jede Policy manuell durchkämmen

Oder:

GPP Incompatible IE XML Finder


Ich habe mir einmal die Mühe gemacht dieses kleine Tool zu programmieren.


Das Progamm durchsucht das SYSVOL Verzeichnis nach allen InternetSettings.xml und wertet diese Dateien aus.

Es werden alle Policies angezeigt die nicht IE 9 konform sind (bzw. IE 10 konform). Sind in einer Policy mehrere Items enthalten die nicht konform sind, so wird diese Policy mehrfach angezeigt.




Die betreffenden Policies können dann mit der GPMC gefixed werden.

Bei diesem Tool handelt es sich noch um Version 1.0.

Solltet ihr Bugs entdecken, schreib mir schreibt einen Kommentar.

Das Programm benutzt ihr natürlich auf eure eigene Verantwortung.

Download


PS:
Unter Windows 8 bzw. Server 2012 ist das Verhalten nun endlich anders.

GPP unterstützen sowohl IE 9 als auch den IE10.



Erzeugt man ein Item für IE 10, so wird in das XML File
max="99.0.0.0" eingetragen. 


Die erzeugten Items sind dann automatisch mit zukünftigen IE Versionen kompatibel.


Update 12.09.2012

Zur Vollständigkeit, es gibt noch einen dritten Lösungsweg.


Im XML-File befindet sich ein Eintrag hidden="1".

Dadurch wird das Item Level Targeting nicht im GUI angezeigt.
Ihr könnt den Wert hidden auf 0 setzen.

Dann erscheint der Versionsfilter in der GUI:

Der Filter kann dort ebenfalls editiert werden.
Theoretisch kann er sogar komplett entfernt werden.


Das macht jedoch nur bedingt Sinn, da dann absolut keine Versionsprüfung mehr stattfindet. (weder für IE 8,9,10 noch für 5,6,7).


Update 01.08.2013:

Version 1.1 des "GPP Incompatible IE XML Finder" veröffentlicht.

- Domäne kann nun manuell ausgewählt werden

- Programm wird im Fehlerfalle nicht mehr beendet

13 Kommentare:

  1. Your blog is awe-inspiring. I have found many new things. Your way of staging is also fascinating. You have elected very incredible topic. I appreciated it.

    AntwortenLöschen
  2. Danke für diesen Post und das Incompatible IE XML Finder.
    Allerdings schlägt die Anwendung fehl, wenn der Client Mitglied einer fiktiven Subdomain ist.
    Die Subdomain existiert nicht im AD, aber im DNS.
    Vielleich kannst Du das noch so fixen, das man die Domain ggf. anpassen kann.
    Vielleicht rührt daher auch die Meldung nach dem Start, das ein doppelter Name im Netz verfügbar sei und ich das bitte korrigieren möchte. Der Name ist aber definitv nicht doppelt vorhanden. Oder prüft er auf basis der SID?

    AntwortenLöschen
  3. Hallo,

    ich habe nun ein paar Änderungen durchgeführt.
    Der Fehler sollte immer noch erscheinen, jedoch kannst du jetzt die Domäne manuell eingeben.

    Version 1.1 steht zum Download bereit.

    AntwortenLöschen
  4. Wo finde ich denn diesen "Target Editor" ???, den ich da unten auf dem Bild sehe? Ich suche mich gerade tot...

    AntwortenLöschen
  5. Hallo,

    ganz einfach:
    http://abload.de/img/untitledv4ukn.png

    AntwortenLöschen
  6. So, Danke für den Loink. Ich habe aber das Problem, dass ich zwar den Wert max="99.0.0.0" eingegeben habe, diese aber nicht vom IE10.1 geladen werden. Hat da noch jemand einen Tipp? Ich habe auf der MS-Seite gelesen, dass wenn ich mit der rechten Maustaste im Gruppenpolicy Editor auf IE klicke, müsste ich auch die Einstellungen für den IE9 sowie 10 angezeigt bekommen. Bei mir geht die Auswahlliste aber trotzdem nur bis IE 8. Was habe ich denn noch vergessen? Meine ganzen IE10.1 Clients kommen wieder ins Internet :-( und laden die Proxyeinstellungen nicht.

    AntwortenLöschen
  7. Von welchem Client aus bearbeitest du die GPO?
    Es muss mind. ein Windows 8 bzw. Server 2012 sein.
    Sonst wird dir diese Option nicht angezeigt.

    AntwortenLöschen
  8. Es ist ein Windows 2008R2 SP1. Wenn das mit diesem nicht geht, kann ich das mit einem ganz normalen Windows 8 Client machen, auf dem ich die Gruppenrichtlinien-Admin-Tools (vorrausgesetzt die gibt es) installiere oder muss das ein Serverbetriebsystem sein? 1000-Dank!

    AntwortenLöschen
  9. Hallo,

    es muss kein Server sein. Du kannst auch Windows 8 benutzen.
    Dort musst du die RSAT (Remote Server Administrator Tools) installieren.

    http://www.microsoft.com/de-de/download/details.aspx?id=28972

    Dann sollte es klappen ;-)

    AntwortenLöschen
  10. Wenn das klappt, gebe ich dir einen aus! Kann ich erst nächste Woche testen, weil ich noch kein Win8 Client im Netz habe. Werde mir aber mal einen in der VM aufsetzen. Ich habe bisher 1000e Euro für IT Berater ausgegeben, die mir das mit dem Proxy konfigurieren sollten. Es wurde hier eingerichtet, lief auch problemlos unter IE8. Kurz danach schickte MS den IE9 raus und ab da, waren alle so schlauen Berater ratlos. Es hieß, das liegt an Microsoft und es gäbe einen Patch, der aber nicht funktioniert. Dann wollten sie das bei sich nachstellen und nochmal mit Microsoft sprechen und ich habe nie wieder was gehört. Ich bedanke mich nochmal und wünsche ein schönes Wochenende! Freue mich schon auf die nächste Woche, dann läuft das hoffentlich wieder.

    AntwortenLöschen
  11. Einfach meinen Artikel hier genau lesen, dann klappt das definitiv :-)
    Den Patch den du meinst ist sicherlich der "KB2530309", wie oben genannt.

    Sollten die Einstellungen dennoch nicht gezogen werden, lege einmal ein Logfile an mittels GPP Tracing.

    http://blogs.technet.com/b/askds/archive/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the-rsat.aspx

    AntwortenLöschen
  12. Tja, lesen ist gut. Ich habe jetzt alles gemacht. Win8 aufgesetzt, die Tools installiert. Die GPO neu erstellt und das, was mir am wichtigsten war, nämlich den Proxy reinzuschreiben und eine Änderung zu verhindern, geht nicht. Das einzige was funktioniert, ist der Haken, dass man die Änderung des Proxys nicht mehr am Client vornehmen kann. Wenn er doch nun im IE10 wenigstens meinen Proxy in das Feld reinschreiben würde. Ich weiß jetzt nicht mehr weiter und finde es wirklich sch..., das MS so einen Mist macht.
    Was gibt es denn jetz für einen Weg, einen Proxy in den IE 10 der Cleints zu geben? Deinen anderen Blogbeitrag, in dem es um den IE10 geht, habe ich gelesen, dort steht aber auch, dass es nicht geht. Geht es denn jetzt überhaupt oder nicht mehr?

    AntwortenLöschen
  13. Je nachdem wie du die Einstellungen gesetzt hast, kann es noch einen Sonderfall geben.
    Es gibt noch einen Bug in der IE 10 GPP.
    Schau dir bitte einmal diese zwei Threads an:

    http://social.technet.microsoft.com/Forums/windowsserver/de-DE/9d2998cf-6fa8-48c5-a5f7-68ffc7af8392/internet-explorer-10-proxy-settings-werden-nicht-bernommen

    http://social.technet.microsoft.com/Forums/windowsserver/de-DE/aaf737ff-2ba9-49b2-bd9b-1a9fa356407e/internet-explorer-10-proxysettings-werden-nicht-angewendet

    Ab Dienstag, 11. Juni 2013 15:46 wird es hier interessant.

    AntwortenLöschen