Настройка поддержки WPAD для веб прокси и Firewall клиентов

Протокол автоматического обнаружения веб прокси (Web Proxy Autodiscovery Protocol или WPAD) может использоваться для того, чтобы все браузеры и клиентские брандмауэры смогли автоматически обнаруживать адрес брандмауэра ISA firewall. После этого клиент сможет загрузить информацию с автоматической конфигурацией с брандмауэра после того, как веб прокси или брандмауэр клиента обнаружит этот адрес.

WPAD решает проблему автоматического обеспечения веб браузеров. Настройками по умолчанию в браузере Internet Explorer становятся автоматически обнаруженные настройки клиента веб прокси. Если включена эта настройка, то браузер может сформировать сообщение DHCPINFORM или DNS запрос, чтобы обнаружить адрес брандмауэра ISA firewall, с которого он сможет загрузить информацию для автоматической настройки. Это существенно упрощает настройку веб браузера, который теперь автоматически может использовать брандмауэр для подключения к интернет.

Клиентский брандмауэр также может использовать запись wpad для обнаружения брандмауэра ISA firewall и загрузки информации с конфигурацией для брандмауэра клиента.

В этой статье мы обсудим следующие процедуры:

• Настройка поддержки DHCP WPAD
• Настройка поддержки DNS WPAD

После того, как wpad информация введена в DHCP и DNS, веб прокси (Web Proxy) и брандмауэрам клиентов не нужна ручная настройка для подключения к Интернет через брандмауэр ISA firewall.

Настройка поддержки DHCP WPAD

DHCP настройка под номером 252 может использоваться для автоматической настройки веб прокси (Web Proxy) и брандмауэра клиентов. Для того, чтобы DHCP wpad метод заработал, компьютер с веб прокси или с брандмауэром клиента должен быть клиентом DHCP, а входящий пользователь должен быть членом группы локальных администраторов или группы Power users (для Windows 2000). В операционной системе Windows XP у группы Network Configuration Operators (операторов по сетевой настройке) также есть разрешение на выполнение DHCP запросов (DHCPINFORM сообщений).

Примечание: Для получения более подробной информации об ограничениях использования DHCP для автоматической настройки Internet Explorer 6.0, пожалуйста, посмотрите статью Automatic Proxy Discovery in Internet Explorer with DHCP Requires Specific Permissions по адресу http://support.microsoft.com/default.aspx?scid=kb;en-us;312864 Однако, если вы установили пакет обновлений Windows XP SP2, то это больше не является проблемой. Я предполагаю, что проблема исправлена в операционной системе Windows Vista, но наверняка я не знаю этого. Я также предполагаю, что пакет обновлений Windows XP SP2 также позволяет правильно работать Internet Explorer 7.0, не требуя прав администратора.

Выполните следующие шаги на сервере DHCP, чтобы создать специальную настройку DHCP:

1. Откройте консоль DHCP из меню Administrative Tools (Администрирование) и выберите название вашего сервера в левой части консоли. Выберите команду Set Predefined Options (задать предопределенные настройки) .
2. В диалоговом окне Predefined Options and Values (предопределенные параметры и значения), нажмите на кнопку Add (добавить).

   

   Рисунок 1

1. В диалоговом окне Option Type (тип настройки) введите следующую информацию:

Name (название): wpad

Data type (тип данных): String (строка)

Code (код): 252

Description (описание): wpad entry

Нажмите на кнопку OK.

Рисунок 2

1. В окне Value (значение) введите URL брандмауэра ISA firewall в текстовом поле String (строка). Формат следующий: http://ISAServername:AutodiscoveryPort Number/wpad.dat По умолчанию порт для автоматического определения (autodiscovery port) — TCP 80. Вы можете изменить это значение в консоли ISA Firewall . Мы расскажем об этом более подробно позднее в этой статье. В текущем примере введите следующее значение в текстовое поле String (строока): http://isalocal.msfirewall.org:80/wpad.dat Убедитесь, что вводите буквы wpad.dat в нижнем регистре . Для получения более подробной информации по этой проблеме обратитесь к статье «Automatically Detect Settings» Does Not Work if You Configure DHCP Option 252 Нажмите на кнопку OK.

   

   Рисунок 3

1. Щелкните правой кнопкой мыши на узле Scope Options (параметры области) в левом окне консоли и выберите команду Configure Options (настройка параметров).
2. В диалоговом окне Scope Options (параметры области) прокрутите список Available Options (доступные параметры) и поставьте галочку в поле 252 wpad. Нажмите на кнопку Apply (применить), а затем на кнопку OK.

   

   Рисунок 4

1. Теперь запись 252 wpad появится в правой части консоли ниже списка Scope Options (параметры области).

   

   Рисунок 5

1. Закройте консоль DHCP.

Теперь клиенты DHCP смогут использовать DHCP wpad поддержку для автоматического обнаружения брандмауэра ISA firewall и последующую собственную автоматическую настройку. Однако, брандмауэр ISA firewall должен быть настроен на поддержку публикации информации для автоматического обнаружения (autodiscovery), что мы сделаем позднее в этой статье.

Настройка DNS WPAD поддержки

Еще один метод, который мы можем использовать для доставки информации для автоматического обнаружения для веб прокси (Web Proxy) и брандмауэров клиентов, это DNS. Мы можете создать заголовок wpad в DNS и позволить клиентским браузерам использовать эту информацию для собственной автоматической настройки. DNS – это важная вещь, но вы должны знать, что если у вас несколько сетей, у каждой из которых есть собственный брандмауэр ISA Firewall, то у вас должно быть различные записи для wpad для каждой из сетей. Т.к. вы можете поддерживать несколько сетей и несколько ISA Firewalls с помощью DNS, используя возможности упорядочивания сетевых масок (netmask ordering), большинство компаний используют DHCP wpad для поддержки локальных сетей, т.к. для них необходимо использовать локальный сервер DHCP для присвоения адресов локальным клиентам.

Распознавание имен – центральный компонент для обеспечения правильной работы этого метода для автоматической настройки веб прокси и клиентских брандмауэров. В этом случае, операционная система клиента должны быть с состоянии правильно определить полное имя wpad. Причина этого заключается в том, что веб прокси и брандмауэры клиентов знают лишь, что им необходимо распознать название wpad; они не знают, какое конкретное название домена они должны добавить к запросу, чтобы распознать название wpad. Мы расскажем об этой проблеме подробнее позднее в этой статье.

Примечание: В отличие от DHCP метода по получению информации для автоматической настройки веб прокси и брандмауэров клиентов, у вас нет возможности использования произвольного порта для публикации информации для автоматической настройки при использовании DNS метода. Вы всегда должны публиковать информацию для автоматической настройки по TCP 80, если используете DNS метод.

Вы должны выполнить следующие шаги для настройки DNS поддержки для автоматического обнаружения веб прокси и брандмауэрами клиентов брандмауэра ISA firewall:

• Создайте запись wpad в DNS
• Настроите клиента на использование заголовка wpad
• Настройте браузер клиента на использование автоматического обнаружения

Создание записи Wpad в DNS

На первом этапе необходимо создать заголовок wpad в DNS. Этот заголовок (также известный, как запись CNAME) указывает на запись Host (A) для брандмауэра ISA Server 2004 firewall. Запись Host (A) преобразует название брандмауэра ISA Server 2004 firewall во внутренний IP адрес брандмауэра. Я должен упомянуть, что вы не обязаны использовать CNAME запись, если хотите, вы можете использовать запись A, но записи CNAME обладают некоторыми преимуществами в управлении.

Запись Host (A) должна быть создана прежде, чем вы создадите CNAME запись. Если вы включили автоматическую регистрацию в DNS, то название и IP адрес брандмауэра ISA уже будет введено в запись DNS Host (A). Если вы не включили автоматическую регистрацию, то вы должны самостоятельно создать запись Host (A) для брандмауэра.

В следующем примере брандмауэр ISA firewall был автоматически зарегистрирован в DNS, т.к. внутренний интерфейс брандмауэра ISA настроен на автоматическую регистрацию в DNS, а сервер DNS настроен на принятие небезопасных динамических регистраций. В промышленной среде я рекомендую, чтобы вы принимали лишь безопасные DNS регистрации. Это не является проблемой для вашего брандмауэра ISA Firewall, т.к. он должен быть членом домена по соображениям безопасности.

Выполните следующие шаги на сервере DNS на контроллере домена во внутренней сети:

1. Нажмите на Start (пуск) и выберите Administrative Tools (администрирование). Выберите пункт DNS. В консоли управления DNS щелкните правой кнопкой мыши в области (forward lookup zone) для вашего домена и выберите команду New Alias (CNAME) (новый заголовок).
2. В диалоговом окне New Resource Record (новый ресурс) введите wpad в текстовом поле Alias name (uses parent domain if left blank) (название заголовка, используется родительский домен, если оставить незаполненным). Нажмите на кнопку Browse (обзор).

   

   Рисунок 6

1. В диалоговом поле Browse (обзор) дважды щелкните на названии вашего сервера в списке Records (записи).

   

   Рисунок 7

1. В диалоговом поле Browse (обзор) дважды щелкните на элементе Forward Lookup Zone в окне Records (записи).

   

   Рисунок 8

1. В диалоговом окне Browse (обзор) дважды щелкните на названии вашей области (forward lookup zone) в окне Records (записи).

   

   Рисунок 9

1. В диалоговом окне Browse (обзор) выберите название брандмауэра ISA firewall в окне Records (записи). Нажмите на кнопку OK.

   

   Рисунок 10

1. Нажмите на кнопку OK в диалоговом окне New Resource Record (новый ресурс).

   

   Рисунок 11

1. Элемент CNAME (alias) появится в правой части консоли управления DNS.

   

   Рисунок 12

1. Закройте консоль DNS Management.

Настройка клиента на использование заголовка wpad

Веб прокси и брандмауэры клиентов должны быть в состоянии правильно преобразовать название wpad. И веб прокси и брандмауэры клиентов ничего не знают о домене, содержащем заголовок wpad . Операционная система веб прокси и брандмауэра клиента должна предоставить для них эту информацию.

DNS запросы должны быть полностью квалифицированными перед тем, как запрос отправляется на сервер DNS. Полностью квалифицированный запрос содержит имя хост и имя домена. Веб прокси и брандмауэры клиентов знают лишь имя хоста (host name). Операционная система веб прокси и брандмауэров клиентов должна предоставить правильное имя домена, которое добавляется к имени хоста wpad, перед тем как он сможет отправить DNS запрос на DNS сервер.

Есть несколько методов, с помощью которых вы можете убедиться, что добавляется правильное название домена к wpad перед отправкой запроса на сервер DNS. Два самых популярных из них заключаются в следующем:

• Использование DHCP для присвоения названия основного домена
• Настройка названия основного домена в диалоговом окне сетевой идентификации операционной системы.

Мы уже настроили, чтобы основное название DNS присваивалось клиентам DHCP, когда мы настраивали область DHCP. Следующие действия демонстрируют, как сделать так, чтобы название основного домена добавлялось к неквалифицированным DNS запросам:

Примечание: Вы должны выполнить эти действия на машине клиента во внутренней сети в нашей тестовой сети. Причина этого заключается в том, что клиент является членом домена Active Directory во внутренней сети. Однако, вы должны выполнить следующие действия, чтобы увидеть, как можно настроить название основного домена на компьютерах, которые не являются членами домена.

1. Щелкните правой кнопкой мыши на иконке My Computer (мой компьютер) на рабочем столе и выберите команду Properties (свойства).
2. В диалоговом окне System Properties (свойства системы) выберите закладку Network Identification (сетевая идентификация). Нажмите на кнопку Properties (свойства).

   

   Рисунок 13

1. В диалоговом окне Identification Changes (Изменение идентификации) нажмите на кнопку More (дополнительно).

   

   Рисунок 14

1. В диалоговом окне DNS Suffix and NetBIOS Computer Name введите название домена, который содержит вашу запись wpad в текстовом поле Primary DNS suffix of this computer (основной DNS суффикс этого компьютера). Это название домена, которое операционная система будет добавлять к названию wpad перед отправкой DNS запроса на DNS сервер. По умолчанию название основного домена такое же, к которому принадлежит компьютер. Если компьютер не является членом домена, то это текстовое поле будет пустым. Обратите внимание настройка Change primary DNS suffix when domain membership changes (изменить суффикс DNS, при изменении членства в домене) включена по умолчанию. В нашем примере компьютер не является членом домена.

Закройте все диалоговые окна, чтобы не менять сейчас название основного домена.

Рисунок 15

Обратите внимание, что если у вас несколько доменов, и клиенты в вашей внутренней сети принадлежат нескольким доменам, то вы должны создать заголовки wpad CNAME для каждого домена.

Настройка браузера клиента на использование автоматического обнаружения (Autodiscovery)

На следующем этапе необходимо настроить браузер на использование автоматического обнаружения. Если вы еще этого не сделали, выполните следующие действия для настройки веб браузера на использование автоматического обнаружения для собственной автоматической настройки с помощью службы брандмауэра ISA firewall:

1. Щелкните правой кнопкой мыши на иконке Internet Explorer на рабочем столе и выберите Properties (свойства).
2. В диалоговом окне Internet Properties (свойства интернет) выберите закладку Connections (соединения). Нажмите на кнопку LAN Settings (настройки LAN).
3. В диалоговом окне Local Area Network (LAN) Settings поставьте галочку в поле Automatically detect settings (автоматически обнаруживать настройки). Нажмите на кнопку OK.

   

   Рисунок 16

1. Нажмите на кнопку Apply (применить), а затем на кнопку OK в диалоговом окне Internet Properties (свойства интернет).

На следующем этапе необходимо настроить брандмауэр ISA firewall на публикацию информации для автоматического обнаружения его веб прокси и брандмауэрами клиентов.

Настройка ISA Firewall на публикацию информации для автоматического определения

Записи DHCP и DNS wpad указывают веб прокси и брандмауэрам клиентов на IP адрес и порт, который использует брандмауэр ISA Firewall для предоставления информации по автоматическому определению своим клиентам. Однако, по умолчанию эта публикация на ISA Firewall отключена. Нашей задачей является включить эту настройку в каждой сети ISA Firewall Network, которая содержит веб прокси и брандмауэры клиентов.

1. В консоли ISA Firewall раскройте название сервера в левой части консоли, а затем раскройте узел Configuration (конфигурация) в левом окне. Выберите узел Networks (сети).
2. В узле Networks (сети) выберите закладку Networks (сети) в средней части консоли. Дважды щелкните на сети ISA Firewall Network, для которой вы хотите включить публикацию автоматического определения. В нашем примере мы включим публикацию для сети по умолчанию Internal ISA Firewall Network.
3. В диалоговом окне Internal Properties (внутренние свойства) выберите закладку Auto Discovery (автоматическое обнаружение). Поставьте галочку в поле Publish automatic discovery information for this network (публиковать информацию об автоматическом определении для этой сети). По умолчанию брандмауэр ISA Firewall будет принимать все запросы от веб прокси и клиентских брандмауэров по TCP порту 80. Если вы используете записи DHCP wpad, то вы можете изменить этот порт. Однако, если вы используете DNS wpad поддержку, то вы должны оставить это значение по умолчанию, TCP порт 80.

   

   Рисунок 17

1. Нажмите на кнопку Apply (применить), а затем нажмите на кнопку OK.
2. Нажмите на кнопку Apply (применить), чтобы сохранить изменения и обновить политику брандмауэра.

После этого вы можете закрыть все окна брандмауэра и открыть их снова. После этого заработают новые настройки, и веб браузеры смогут получать информацию для автоматической настройки с брандмауэра ISA firewall. Для брандмауэров клиентов, вы должны подождать примерно шесть часов, пока пройдет обновление, или вы можете вручную обновить их конфигурацию. Щелкните правой кнопкой мыши на иконке брандмауэра клиента в системной панели и выберите параметр Automatically detect ISA Server (автоматически обнаруживать ISA сервер), и нажмите на кнопку Detect Now (обнаружить сейчас).

Рисунок 18

Рисунок 19

Нажмите на кнопку OK, чтобы сохранить настройки.

Заключение

В этой статье мы обсудили, как настроить веб прокси и брандмауэры клиентов на использование записей wpad для автоматического обнаружения брандмауэра ISA Firewall и собственной автоматической настройки. Мы рассказали о двух методах, которые вы можете использовать для настройки автоматического обнаружения: DHCP и DNS. Мы также продемонстрировали, как настроить клиент для правильного распознавания названия wpad, а также как настроить брандмауэр ISA Firewall для публикации информации для автоматического обнаружения в соответствующих сетях ISA Firewall, которые содержат клиентов, желающих использовать автоматическую настройку.

www.isaserver.org

• Планировщик заданий Windows server 2008
• Посмотреть фрагментацию таблиц ms sql
• Как создать контакт в active directori?
• Принт сервер на Windows server
• Нстройка впн server 2008

Tags: dns, domain, forward, ISA Server, proxy, Windows Vista, Windows XP