Microsoft ISA Server & Forefront TMG

Настройка поддержки WPAD для веб прокси и Firewall клиентов.

оценено 0 пользователями
Этот пост имеет 0 Ответы | 1 Последователь

В Топ 10 активных пользователей
Посты1,574
Moderator
anton04 Geeked [8-|] Опубликовал: Fri, Apr 4 2008 23:52 | Закрыто
Оригинал статьи находится тут.

Протокол автоматического обнаружения веб прокси (Web Proxy Autodiscovery Protocol или WPAD) может использоваться для того, чтобы все браузеры и клиентские брандмауэры смогли автоматически обнаруживать адрес брандмауэра ISA firewall. После этого клиент сможет загрузить информацию с автоматической конфигурацией с брандмауэра после того, как веб прокси или брандмауэр клиента обнаружит этот адрес.

WPAD решает проблему автоматического обеспечения веб браузеров. Настройками по умолчанию в браузере Internet Explorer становятся автоматически обнаруженные настройки клиента веб прокси. Если включена эта настройка, то браузер может сформировать сообщение DHCPINFORM или DNS запрос, чтобы обнаружить адрес брандмауэра ISA firewall, с которого он сможет загрузить информацию для автоматической настройки. Это существенно упрощает настройку веб браузера, который теперь автоматически может использовать брандмауэр для подключения к интернет.

Клиентский брандмауэр также может использовать запись wpad для обнаружения брандмауэра ISA firewall и загрузки информации с конфигурацией для брандмауэра клиента.

В этой статье мы обсудим следующие процедуры:
Настройка поддержки DHCP WPAD
Настройка поддержки DNS WPAD

После того, как wpad информация введена в DHCP и DNS, веб прокси (Web Proxy) и брандмауэрам клиентов не нужна ручная настройка для подключения к Интернет через брандмауэр ISA firewall.

Настройка поддержки DHCP WPAD.

DHCP настройка под номером 252 может использоваться для автоматической настройки веб прокси (Web Proxy) и брандмауэра клиентов. Для того, чтобы DHCP wpad метод заработал, компьютер с веб прокси или с брандмауэром клиента должен быть клиентом DHCP, а входящий пользователь должен быть членом группы локальных администраторов или группы Power users (для Windows 2000). В операционной системе Windows XP у группы Network Configuration Operators (операторов по сетевой настройке) также есть разрешение на выполнение DHCP запросов (DHCPINFORM сообщений).

Примечание: Для получения более подробной информации об ограничениях использования DHCP для автоматической настройки Internet Explorer 6.0, пожалуйста, посмотрите статью Automatic Proxy Discovery in Internet Explorer with DHCP Requires Specific Permissions. Однако, если вы установили пакет обновлений Windows XP SP2, то это больше не является проблемой. Я предполагаю, что проблема исправлена в операционной системе Windows Vista, но наверняка я не знаю этого. Я также предполагаю, что пакет обновлений Windows XP SP2 также позволяет правильно работать Internet Explorer 7.0, не требуя прав администратора.

Выполните следующие шаги на сервере DHCP, чтобы создать специальную настройку DHCP:

1. Откройте консоль DHCP из меню Administrative Tools (Администрирование) и выберите название вашего сервера в левой части консоли. Выберите команду Set Predefined Options (Установить предопределенные настройки).
2. В диалоговом окне Predefined Options and Values (Стандартные параметры и значения), нажмите на кнопку Add (Добавить).



3. В диалоговом окне Option Type (Тип параметра) введите следующую информацию:

Name (Имя): wpad

Data type (Тип данных): String (Строка)

Code (Код): 252

Description (Описание): wpad entry

Нажмите на кнопку OK.



4. Щелкните правой кнопкой мыши на узле Scope Options (Параметры области) в левом окне консоли и выберите команду Configure Options (Настроить параметры). В диалоговом окне Scope Options (Параметры области) прокрутите список Available Options (Доступный параметр) и поставьте галочку в поле 252 wpad. В строке String (Строковое значение) введите URL брандмауэра ISA firewall. Формат следующий: http://ISAServername:AutodiscoveryPort Number/wpad.dat По умолчанию порт для автоматического определения (autodiscovery port) - TCP 80. Вы можете изменить это значение в консоли ISA Firewall . Мы расскажем об этом более подробно позднее в этой статье. В текущем примере введите следующее значение в текстовое поле String (Строковое значение): http://isalocal.msfirewall.org:80/wpad.dat Убедитесь, что вводите буквы wpad.dat в нижнем регистре. Для получения более подробной информации по этой проблеме обратитесь к статье "Automatically Detect Settings" Does Not Work if You Configure DHCP Option 252" Нажмите на кнопку Apply (Применить), а затем на кнопку OK.



5. Теперь запись 252 wpad появится в правой части консоли списка Scope Options (Параметры области).



6. Закройте консоль DHCP.

Теперь клиенты DHCP смогут использовать DHCP wpad поддержку для автоматического обнаружения брандмауэра ISA firewall и последующую собственную автоматическую настройку. Однако, брандмауэр ISA firewall должен быть настроен на поддержку публикации информации для автоматического обнаружения (autodiscovery), что мы сделаем позднее в этой статье.

Настройка DNS WPAD поддержки.

Еще один метод, который мы можем использовать для доставки информации для автоматического обнаружения для веб прокси (Web Proxy) и брандмауэров клиентов, это DNS. Мы можете создать заголовок wpad в DNS и позволить клиентским браузерам использовать эту информацию для собственной автоматической настройки. DNS – это важная вещь, но вы должны знать, что если у вас несколько сетей, у каждой из которых есть собственный брандмауэр ISA Firewall, то у вас должно быть различные записи для wpad для каждой из сетей. Т.к. вы можете поддерживать несколько сетей и несколько ISA Firewalls с помощью DNS, используя возможности упорядочивания сетевых масок (netmask ordering), большинство компаний используют DHCP wpad для поддержки локальных сетей, т.к. для них необходимо использовать локальный сервер DHCP для присвоения адресов локальным клиентам.

Распознавание имен – центральный компонент для обеспечения правильной работы этого метода для автоматической настройки веб прокси и клиентских брандмауэров. В этом случае, операционная система клиента должны быть с состоянии правильно определить полное имя wpad. Причина этого заключается в том, что веб прокси и брандмауэры клиентов знают лишь, что им необходимо распознать название wpad; они не знают, какое конкретное название домена они должны добавить к запросу, чтобы распознать название wpad. Мы расскажем об этой проблеме подробнее позднее в этой статье.

Примечание: В отличие от DHCP метода по получению информации для автоматической настройки веб прокси и брандмауэров клиентов, у вас нет возможности использования произвольного порта для публикации информации для автоматической настройки при использовании DNS метода. Вы всегда должны публиковать информацию для автоматической настройки по TCP 80, если используете DNS метод.

Вы должны выполнить следующие шаги для настройки DNS поддержки для автоматического обнаружения веб прокси и брандмауэрами клиентов брандмауэра ISA firewall:
- Создайте запись wpad в DNS.
- Настроите клиента на использование заголовка wpad.
- Настройте браузер клиента на использование автоматического обнаружения.

Создание записи Wpad в DNS.

На первом этапе необходимо создать заголовок wpad в DNS. Этот заголовок (также известный, как запись CNAME) указывает на запись Host (A) для брандмауэра ISA Server 2004/2006 firewall. Запись Host (A) преобразует название брандмауэра ISA Server 2004/2006 firewall во внутренний IP адрес брандмауэра. Я должен упомянуть, что вы не обязаны использовать CNAME запись, если хотите, вы можете использовать запись A, но записи CNAME обладают некоторыми преимуществами в управлении.

Запись Host (A) должна быть создана прежде, чем вы создадите CNAME запись. Если вы включили автоматическую регистрацию в DNS, то название и IP адрес брандмауэра ISA уже будет введено в запись DNS Host (A). Если вы не включили автоматическую регистрацию, то вы должны самостоятельно создать запись Host (A) для брандмауэра.

В следующем примере брандмауэр ISA firewall был автоматически зарегистрирован в DNS, т.к. внутренний интерфейс брандмауэра ISA настроен на автоматическую регистрацию в DNS, а сервер DNS настроен на принятие небезопасных динамических регистраций. В промышленной среде я рекомендую, чтобы вы принимали лишь безопасные DNS регистрации. Это не является проблемой для вашего брандмауэра ISA Firewall, т.к. он должен быть членом домена по соображениям безопасности.

Выполните следующие шаги на сервере DNS на контроллере домена во внутренней сети:

1. Нажмите на Start (Пуск) и выберите Administrative Tools (Администрирование). Выберите пункт DNS. В консоли управления DNS щелкните правой кнопкой мыши в области Forward lookup zone (Зоны прямого просмотра) для вашего домена и выберите команду New Alias (CNAME) (Создать псевдоним (CNAME)).
2. В диалоговом окне New Resource Record (Новая запись ресурса) введите wpad в текстовом поле Alias name (uses parent domain if left blank) (Псевдоним (если не указан, используется имя род. домена)). В поле Fully qualified domain name (FQDN) for target host (Полное доменное имя (FQDN) конечного узла) введите полное FQDN имя ISA Firewall или выберите его использую кнопку Browse (Обзор).



3. Нажмите на кнопку OK в диалоговом окне New Resource Record (Новая запись ресурса).

4. Элемент Alias (CNAME) появится в правой части консоли управления DNS.



5. Закройте консоль DNS Management.

Настройка клиента на использование заголовка wpad.

Веб прокси и брандмауэры клиентов должны быть в состоянии правильно преобразовать название wpad. И веб прокси и брандмауэры клиентов ничего не знают о домене, содержащем заголовок wpad . Операционная система веб прокси и брандмауэра клиента должна предоставить для них эту информацию.

DNS запросы должны быть полностью квалифицированными перед тем, как запрос отправляется на сервер DNS. Полностью квалифицированный запрос содержит имя хост и имя домена. Веб прокси и брандмауэры клиентов знают лишь имя хоста (host name). Операционная система веб прокси и брандмауэров клиентов должна предоставить правильное имя домена, которое добавляется к имени хоста wpad, перед тем как он сможет отправить DNS запрос на DNS сервер.

Есть несколько методов, с помощью которых вы можете убедиться, что добавляется правильное название домена к wpad перед отправкой запроса на сервер DNS. Два самых популярных из них заключаются в следующем:
Использование DHCP для присвоения названия основного домена
Настройка названия основного домена в диалоговом окне сетевой идентификации операционной системы.

Мы уже настроили, чтобы основное название DNS присваивалось клиентам DHCP, когда мы настраивали область DHCP. Следующие действия демонстрируют, как сделать так, чтобы название основного домена добавлялось к неквалифицированным DNS запросам:

Примечание: Вы должны выполнить эти действия на машине клиента во внутренней сети в нашей тестовой сети. Причина этого заключается в том, что клиент является членом домена Active Directory во внутренней сети. Однако, вы должны выполнить следующие действия, чтобы увидеть, как можно настроить название основного домена на компьютерах, которые не являются членами домена.

1. Щелкните правой кнопкой мыши на иконке My Computer (Мой компьютер) на рабочем столе и выберите команду Properties (Свойства).
2. В диалоговом окне System Properties (Имя компьютера) выберите закладку Network Identification (Изменить).



3. В диалоговом окне Identification Changes (Изменение имени компьютера) нажмите на кнопку More (Дополнительно).



4. В диалоговом окне DNS Suffix and NetBIOS Computer Name (DNS-суффикс и NetBIOS-имя компьютера) введите название домена, который содержит вашу запись wpad в текстовом поле Primary DNS suffix of this computer (Основной DNS-суффикс этого компьютера). Это название домена, которое операционная система будет добавлять к названию wpad перед отправкой DNS запроса на DNS сервер. По умолчанию название основного домена такое же, к которому принадлежит компьютер. Если компьютер не является членом домена, то это текстовое поле будет пустым. Обратите внимание настройка Change primary DNS suffix when domain membership changes (Сменить основной DNS-суффикс при изменении членства в домене) включена по умолчанию. В нашем примере компьютер не является членом домена.



Обратите внимание, что если у вас несколько доменов, и клиенты в вашей внутренней сети принадлежат нескольким доменам, то вы должны создать заголовки wpad CNAME для каждого домена.

Настройка браузера клиента на использование автоматического обнаружения (Autodiscovery).

На следующем этапе необходимо настроить браузер на использование автоматического обнаружения. Если вы еще этого не сделали, выполните следующие действия для настройки веб браузера на использование автоматического обнаружения для собственной автоматической настройки с помощью службы брандмауэра ISA firewall:
Щелкните правой кнопкой мыши на иконке Internet Explorer на рабочем столе и выберите Properties (Свойства).

1. В диалоговом окне Internet Properties (Свойства: Интернет) выберите закладку Connections (Подключения). Нажмите на кнопку LAN Settings (Настройка LAN).
2. В диалоговом окне Local Area Network (LAN) Settings (Настройка локальной сети) поставьте галочку в поле Automatically detect settings (Автоматическое определение параметров). Нажмите на кнопку OK.



3. Нажмите на кнопку Apply (Применить), а затем на кнопку OK в диалоговом окне Internet Properties (Свойства: Интернет).

На следующем этапе необходимо настроить брандмауэр ISA firewall на публикацию информации для автоматического обнаружения его веб прокси и брандмауэрами клиентов.

Настройка ISA Firewall на публикацию информации для автоматического определения.

Записи DHCP и DNS wpad указывают веб прокси и брандмауэрам клиентов на IP адрес и порт, который использует брандмауэр ISA Firewall для предоставления информации по автоматическому определению своим клиентам. Однако, по умолчанию эта публикация на ISA Firewall отключена. Нашей задачей является включить эту настройку в каждой сети ISA Firewall Network, которая содержит веб прокси и брандмауэры клиентов.

1. В консоли ISA Firewall раскройте название сервера в левой части консоли, а затем раскройте узел Configuration (Конфигурация) в левом окне. Выберите узел Networks (Сети).
2. В узле Networks (Сети) выберите закладку Networks (Сети) в средней части консоли. Дважды щелкните на сети ISA Firewall Network, для которой вы хотите включить публикацию автоматического определения. В нашем примере мы включим публикацию для сети по умолчанию Internal ISA Firewall Network.
3. В диалоговом окне Internal Properties (Внутренняя - свойства) выберите закладку Auto Discovery (Автообнаружение). Поставьте галочку в поле Publish automatic discovery information for this network (Публиковать данные автоматического обнаружения для данной сети). По умолчанию брандмауэр ISA Firewall будет принимать все запросы от веб прокси и клиентских брандмауэров по TCP порту 80. Если вы используете записи DHCP wpad, то вы можете изменить этот порт. Однако, если вы используете DNS wpad поддержку, то вы должны оставить это значение по умолчанию, TCP порт 80.



4. Нажмите на кнопку Apply (Применить), а затем нажмите на кнопку OK.
5. Нажмите на кнопку Apply (Применить), чтобы сохранить изменения и обновить политику брандмауэра.

После этого вы можете закрыть все окна брандмауэра и открыть их снова. После этого заработают новые настройки, и веб браузеры смогут получать информацию для автоматической настройки с брандмауэра ISA firewall. Для брандмауэров клиентов, вы должны подождать примерно шесть часов, пока пройдет обновление, или вы можете вручную обновить их конфигурацию. Щелкните правой кнопкой мыши на иконке брандмауэра клиента в системной панели и выберите параметр Automatically detect ISA Server (Автоматически обнаруживать ISA сервер), и нажмите на кнопку Detect Now (Обнаружить сейчас).





Нажмите на кнопку OK, чтобы сохранить настройки.

Заключение.

В этой статье мы обсудили, как настроить веб прокси и брандмауэры клиентов на использование записей wpad для автоматического обнаружения брандмауэра ISA Firewall и собственной автоматической настройки. Мы рассказали о двух методах, которые вы можете использовать для настройки автоматического обнаружения: DHCP и DNS. Мы также продемонстрировали, как настроить клиент для правильного распознавания названия wpad, а также как настроить брандмауэр ISA Firewall для публикации информации для автоматического обнаружения в соответствующих сетях ISA Firewall, которые содержат клиентов, желающих использовать автоматическую настройку.

 Томас Шиндер (Thomas Shinder).

P.S. Ну и на закуску решение проблеммы совмещения на одном ПК IIS и ISA Server`а Automatic Proxy Discovery Package for Co-Located Internet Security and Acceleration (ISA) Server and Internet Information Services (IIS).

Если никак не можешь решить проблему, значит, ты сам - часть этой проблемы. Cлабый всю жизнь идёт лёгкой дорогой, черта сильного выбрать трудный путь. На любой вопрос ответ найдётся здесь

Страница 1 из 1 (всего 1) | RSS
Copyright 2003-2017 www.IsaServer.Ru

Rambler's Top100 Яндекс.Метрика Яндекс цитирования