Использование PowerShell через прокси сервер

30.06.2022

Если ваш компьютер находится в сети за прокси сервером, вы получите ряд проблема при доступе из сессии PowerShell к внешним ресурсам. Например, вы не сможете получить содержимое внешней веб-страницы с помощью командлета Invoke-WebRequest, обновить справку с помощью Update-Help, подключиться к тенанту Azure/Microsoft 365 (модуль Exchange Online PowerShell), установить модули из PSGallery, или компоненты RSAT, или загрузить пакет с приложением из внешнего репозитория пакетов (с помощью PackageManagement или winget). В этой статье мы разберемся, как из настроить PowerShell для доступа в Интернет через прокси-сервер с аутентификацией.

Попробуйте обновить справку Powershell:

Update-Help

Или обратиться к внешней веб-странице:

Invoke-WebRequest https://winitpro.ru

При отсутствии прямого выхода в Интернет команда вернет такую ошибку:

update-help : Failed to update Help for the module(s) 'DhcpServer, DirectAccessClientComponents….’  with UI culture(s) {en-US} : Unable to connect to Help content. The server on which Help content is stored might not be available. Verify that the server is available, or wait until the server is back online, and then try the command again.

Invoke-WebRequest: Unable to connect to the remote server

Find-Module modulename

Unable to resolve package source 'https://www.powershellgallery.com/api/v2'

не работает powershell через прокси -сервер

Дело в том, что Powershell (а точнее класс .NET System.Net.WebClient, который используют все командлеты при обращении к внешним ресурсам по HTTP/HTTPS) не использует настройки прокси-сервера, заданные в параметрах пользователя. Рассмотрим, как настроить задать параметры прокси сервера и выполнить аутентификацию из консоли PoweShell.

Содержание:

Настройка параметров подключения к прокси-серверу в PowerShell
Аутентификация на прокси сервере из PowerShell
Использование прокси в PowerShell Core
Как автоматически применить настройки прокси с помощью профиля PowerShell?
Вывести настройки прокси сервера из PowerShell
Как изменить настройки прокси-сервера в Windows из PowerShell?

Настройка параметров подключения к прокси-серверу в PowerShell

Проверьте текущие настройки системного прокси в сессии Powershell:

netsh winhttp show proxy

Как вы видите, настройки прокси не заданы.

Current WinHTTP proxy settings:
Direct access (no proxy server).

netsh winhttp show proxy текущие настройки прокси

Можно импортировать настройки прокси-сервера из настроек Windows (Internet Explorer):

netsh winhttp import proxy source=ie

или задать их вручную:

netsh winhttp set proxy "192.168.0.14:3128"

netsh winhttp set proxy - задать настройки прокси вручную

Вы можете задать список IP адресов или имен сайтов, для подключения к которым не нужно использовать прокси-сервер (bypass list):

netsh winhttp set proxy "192.168.0.14:3128" bypass-list= "10.*,172.*,192.168.*,*.corp.winitpro.ru"

Настройки winnhttp прокси на компьютерах домена можно задать централизованно с помощью GPO.

Вы можете проверить, выполняется ли подключение к определённому URL адресу через прокси или нет. Выполните команду:

([System.Net.WebRequest]::GetSystemWebproxy()).IsBypassed("https://winitpro.ru")

Если команда вернула False , значит подключение к этому URL будет выполнено через прокси-сервер, заданный в сесии PowerShell.

Если на прокси-сервере требуется аутентификация, то при выполнении запросов PowerShell будут появляться ошибки “(407) Proxy Authentication Required”. Например, при попытке подключиться к своей тенанту Azure с помощью модуля AzureAD:

Connect-AzureAD

Я получаю ошибку:

The remote server returned an error: (407) Proxy Authentication Required.Далее рассмотрим, как аутентифицироваться на прокси сервере из PowerShell.

Аутентификация на прокси сервере из PowerShell

Рассмотрим два способа аутентификации на прокси-сервере: вы можете использовать SSO аутентификацию, или указать имя и пользователя для аутентификации вручную.

Если вы авторизованы в системе под доменной учетной записью, и ваш прокси поддерживает Active Directory аутентификацию Kerberos, или NTLM (если вы его еще не отключили), то для аутентификации на прокси-сервере можно воспользоваться учетными данными текущего пользователя (вводить имя/пароль не потребуется):

$Wcl = new-object System.Net.WebClient $Wcl.Headers.Add(“user-agent”, “PowerShell Script”) $Wcl.Proxy.Credentials = [System.Net.CredentialCache]::DefaultNetworkCredentials

Если нужно вручную аутентифицироваться на прокси-сервере, выполните следующие команды. Указав имя и пароль пользователя в окне Windows Security credential request.

$Wcl=New-Object System.Net.WebClient $Creds=Get-Credential $Wcl.Proxy.Credentials=$Creds

powershell введите пароль для аутентфикации на прокси сервере

Теперь можно попробовать обратится к внешнему сайту или обновить справку командой Update-Help.

invoke-webrequest работает через прокси-сервер

Как вы видите, командлет Invoke-Web Request вернул данные со страницы внешнего сайта!

С помощью PowerShell вы можете проверить свой внешний IP адрес, под которым вы выходите в интернет. Если вы настроили подключение через прокси, команда должна вернуть внешний IP адрес вашего прокси сервера:

(Invoke-WebRequest -uri "http://ifconfig.me/ip").Content

Если вы не хотите использовать настройки прокси для всей сессии PowerShell, вы можете использовать специальные параметры командлета Invoke-WebRequest для аутентификации на прокси под текущим пользователем:

Invoke-WebRequest https://winitpro.ru -ProxyUseDefaultCredentials -Proxy http://192.168.0.14:3128

Либо можно запросить учетную запись интерактивно:

$ProxyCreds = Get-Credential Invoke-WebRequest https://winitpro.ru -Proxy " http://192.168.0.14:3128" -ProxyCredential $ProxyCreds

Рассмотренные выше способ позволяет настроить параметры прокси сервера и выполнить аутентификацию в классическом Windows PowerShell 5.1 (как узнать, какая версия PowerShell установлена).

Использование прокси в PowerShell Core

В новых версиях PowerShell Core (7.x) для выполнения веб запросов в командлетах Invoke-WebRequest, Find-Module, Install-Module и т.д., вместо класса System.Net.WebRequest используется класс System.Net.HttpClient.

Соответственно, чтобы настроит параметры прокси сервера в PowerShell Core нужно использовать команду:

[System.Net.Http.HttpClient]::DefaultProxy = New-Object System.Net.WebProxy('http://your-proxy:3128')

Для аутентификации на прокси под текущим пользователем Windows:

[System.Net.Http.HttpClient]::DefaultProxy.Credentials = [System.Net.CredentialCache]::DefaultCredentials

Для интерактивного запроса имени пользователя и пароля для аутентификации на прокси:

[System.Net.Http.HttpClient]::DefaultProxy.Credentials = Get-Credential

Также PowerShell Core поддерживает специальные переменные окружения Windows, в которых можно задать параметры прокси:

HTTP_PROXY – прокси для HTTP запросов
HTTPS_PROXY — прокси для HTTPS запросов
ALL_PROXY – прокси и для HTTP и для HTTPS
NO_PROXY – список адресов исключений для прокси

Из PowerShell вы можете задать переменные окружения с помощью следующих команд:

$proxy='http://192.168.0.14:8080'

Можно сразу в переменных окружения задать имя пользователя и пароль для аутентификации на прокси-сервере:

$proxy='http://username:password@IP:PORT'

$ENV:HTTP_PROXY=$proxy $ENV:HTTPS_PROXY=$proxy

Проверьте, что новые переменные окружения были заданы:

Dir env:

переменная окружения http_proxy для powershell core

В PowerShell Core на Linux вы можете экспортировать системные настройки прокси из переменных окружения так:

export HTTP_PROXY=http://192.168.0.14:3128 export HTTPS_PROXY=http://192.168.0.14:3128

Как автоматически применить настройки прокси с помощью профиля PowerShell?

Вы можете создать профиль PowerShell для автоматического запуска команд импорта настроек прокси при запуске PowerShell.

Для этого выполните команду, которая создаст файл профиля PowerShell (« C:\Users\username\Documents\WindowsPowerShell\Microsoft.PowerShell_profile.ps1 «):

notepad $PROFILE (или notepad $PROFILE.AllUsersCurrentHost – если нужно применить профиль PowerShell ко всем пользователям).

Профиль PowerShell это простой PS1 скрипт, который всегда выполняется при запуске консоли PowerShell.exe.

Скопируйте в блокнот нужный PowerShell код. Например, вы используете для настройки параметров прокси-сервера на клиенте PAC файлы (Autoconfig). Вы можете указать адрес сервера с PAC файлом и способ аутентификации на прокси-сервере под текущим пользователем:

#Использовать актуальную версию TLS 1.2 для подключения [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 [system.net.webrequest]::DefaultWebProxy = new-object system.net.webproxy('http://192.168.1.90:80') #можно заменить предыдущую строку на netsh winhttp import proxy source=ie, если нужно импортировать настройки прокси из Internet Explorer [system.net.webrequest]::DefaultWebProxy.credentials = [System.Net.CredentialCache]::DefaultNetworkCredentials #можно запросить учетные данные пользователя #System.Net.WebRequest]::DefaultWebProxy.Credentials = Get-Credential # можно загрузить пароль пользователя из XML файла (см. статью про использование сохраненных паролей в PowerShell): # System.Net.WebRequest]::DefaultWebProxy= Import-Clixml -Path c:\pc\password.xml [system.net.webrequest]::DefaultWebProxy.BypassProxyOnLocal = $true

Настройки политики запуска PowerShell скриптов (PowerShell Execution Policy) по умолчанию запрещают запуск всех PS скриптов, даже из файлов профилей PowerShell. Чтобы разрешить запуск PS1 скриптов придется выполнить команду:

Set-ExecutionPolicy RemoteSigned

Сохраните файл Microsoft.PowerShell_profile.ps1 и перезапустите командную строку PowerShell. Теперь, когда вы открываете новую сессию PowerShell, выполняется код из файла профиля и в сессию импортируются настройки прокси-сервера.

Вывести настройки прокси сервера из PowerShell

Вы можете получить текущие настройки прокси-сервера в Windows из реестра командой PowerShell:

Get-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings' | Select-Object ProxyServer, ProxyEnable

В моем пример адрес и порт прокси сервера: 192.168.0.14:3128

Прокси сервер включен: ProxyEnable =1

получить текущие настройки прокси из powershell

Также можно получить настройки WebProxy так:

[System.Net.WebProxy]::GetDefaultProxy()

System.Net.WebProxy]::GetDefaultProxy в powershell

Если необходимо, вы можете включить (отключить) использование прокси следующими командами (соответственно):

Set-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings' ProxyEnable -value 1

Set-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings' ProxyEnable -value 0

Как изменить настройки прокси-сервера в Windows из PowerShell?

Вы можете задать параметры прокси-сервера с помощью PowerShell. Например, следующая функция PowerShell позволяет изменить настройки прокси. Предварительно функция доступность прокси-сервер и порта на нем с помощью командлета Test-NetConnection

function Set-Proxy ( $server,$port) { If ((Test-NetConnection -ComputerName $server -Port $port).TcpTestSucceeded) { Set-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings' -name ProxyServer -Value "$($server):$($port)" Set-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings' -name ProxyEnable -Value 1 } Else { Write-Error -Message "Неверные настройки прокси-сервера: $($server):$($port)" } }

Set-Proxy 192.168.0.14 3128

Добавить дополнительные адреса в список исключений прокси:

$ProxyExceptionList = ";*.winitpro.ru;*.yandex.ru" $ProxyProperty = Get-ItemProperty "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings" If ($ProxyProperty.ProxyOverride) { $OldValue = $ProxyProperty.ProxyOverride $NewValue = $OldValue+$ProxyExceptionList $ProxyProperty | Set-ItemProperty -Name ProxyOverride -Value $NewValue } else { Write-Warning "Proxy overrides list empty!" }

Дополнительно, вы можете сохранить в реестре имя и пароль пользователя для аутентификации на прокси сервере:

Set-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings' -name ProxyUser -Value "username" Set-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings' -name ProxyPass -Value "password"

Обратите внимание, что в старых билдах Windows 10, Windows Server 2016 и более старых версиях Window по умолчанию для подключения используется устаревший и небезопасный протокол TLS 1.0. Поэтому, например, при поиске модуля в PSGalery вы получите ошибку:

WARNING: Unable to resolve package source ‘https://www.powershellgallery.com/api/v2’.

Чтобы использовать TLS 1.2 для подключений к конечным точкам из PowerShell, выполните команду:

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Подробнее проблема описана в статье Unable to resolve package source: ошибка установки модулей PowerShell.

Предыдущая статья Следующая статья

Поиск неактивных и отключенных компьютеров/пользователей в Active Directory с помощью PowerShell

Установка приложений с помощью менеджера пакетов PowerShell

Работа с ключами и записями реестра Windows из PowerShell

Просмотр и анализ логов RDP подключений в Windows

Поиск и удаление писем в ящиках Exchange Server (Microsoft 365) с помощью PowerShell

Отправка писем из Outlook с помощью VBA макроса или PowerShell

Не работает поиск в Windows 10 или 11

Комментариев: 6 Оставить комментарий

Taras 10.07.2020
Добрый день, у меня на сервере 2016Core выдает ошибку после ваших манипуляция:
Invoke-WebRequest : Unable to connect to the remote server
(на рабочем компе все работает)
Ответить
- itpro 13.07.2020
  Проверьте доступность порта на прокси сервера с вашего core. PowerShell команда:
  tnc proxynam1 --port 3128
  Ответить
Николай 20.11.2020
Добрый день. В интернет я выхожу через прокси с доменной авторизацией, с браузера всё отлично работает.
Пытаюсь подключиться к арендованному серверу через ssh и ничего не выходит.
В PowerShell при прописывании команды ssh он не стучится на прокси, хотя сам PowerShell при выполнении запросов ходит через прокси. Может есть какие-то параметры у команды ssh или надо что-то подправить в PowerShell.
Еще пытался получить доступ через Putty. Там прописываю прокси, но аутентификация не проходит. Возможно как-то с этой стороны решить проблему удастся.
Ответить
- itpro 24.11.2020
  Чтобы завернуть ssh трафик через прокси нужно еще постараться (ищите информацию по повожу shh через http прокси).
  Прокси поддерживает протокол socks? В клиенте ssh можно использовать параметр
  ssh root@host -o "ProxyCommand=nc -X 5 -x proxyhost:proxyport %h %p" Или заполнить ProxyCommand в конфиг файле ssh
  Ответить
Eugene 26.03.2021
Proxy прописан в профиле PS 5.1.
Однако Invoke-WebRequest : Класс ServicePointManager не поддерживает прокси со схемой https.
Ответить
serg 15.09.2022
При подключении к Azure ресурсам через прокси есть два варианта аутентификации: использовать SSO или указывать креденшелы вручную.
В случае SSO будут использованы те же логин и пароль, что в и Windows сессии, при условии, что прокси поддерживает Kerberos или NTLM аутентификацию. Код будет такой:
$Wcl = new-object System.Net.WebClient $Wcl.Headers.Add(“user-agent”, “PowerShell”) $Wcl.Proxy.Credentials = [System.Net.CredentialCache]::DefaultNetworkCredentials
или можно указать параметры прокси прямо в коде:
[system.net.webrequest]::defaultwebproxy = New-Object system.net.webproxy('http://proxy:port') [system.net.webrequest]::defaultwebproxy.credentials = [System.Net.CredentialCache]::DefaultNetworkCredentials [system.net.webrequest]::defaultwebproxy.BypassProxyOnLocal = $true
Можно указать имя и пароль вручную
$Wcl=New-Object System.Net.WebClient $Creds=Get-Credential $Wcl.Proxy.Credentials=$Creds
Далее — проверка соединения. Выполните строку ниже и вы должны получить результат OK:
(Invoke-WebRequest -Uri login.microsoftonline.com).StatusDescription
Если при выполнения Connect-AzureAD получаете ошибки
Connect-AzureAD : An error occurred while sending the request.
Connect-AzureAD : The underlying connection was closed: An unexpected error occurred on a send.
Проверьте настройки TLS:
для подключения к AAD, требуется поддержка протокола TLS 1.2 и отключенный SSL3.0. Даже если это выполнено на уровне IE, такие настройки не распространяются на Powershell и WinHTTP.
Ответить

Оставить комментарий