为防火墙客户和Web代理客户配置自动发现

为防火墙客户和为防火墙客户和 WebWeb 代理客户配置自动发现代理客户配置自动发现 2004 09 05 18 22 来源 Microsoft Corp 为防火墙客户和为防火墙客户和 Web 代理客户配置自动发现代理客户配置自动发现 译自微软技术文章 Automatic Discovery for Firewall and Web Proxy Clients 前言 前言 ISA Server 2004 支持防火墙客户和 Web 代理客户自动发现和定位 ISA Server ISA Server 使用 Web Proxy Automatic Discovery WPAD 协议 它允许自动发现 Web 代理服务器 ISA Server 使用 WPAD 提供了一种机制 为客户定位一个包含产生 Wpad dat 和 Wspad dat 的服务器 URL 的 WPAD 项 Wpad dat 文件是个 java 脚本 由 IE 建立 包含默认的 URL 模板 Wpad dat 文件用于 Web 代理客户自动发现信息 ISA Server 的 WinSock 代理自动检测 WSPAD 使用 Wpad dat 文 件 并且为防火墙客户建立 Wspad dat 文件来提供自动发现信息 更多的关于自动发现协议的信息 请参见 Web Proxy Auto Discovery Protocol 文档 概念和步骤概念和步骤 这篇文章中包括 配置自动发现 Web 代理客户 防火墙客户 客户支持 配置 WPAD 项 配置 WPAD 服务器 引用 配置自动发现配置自动发现 为客户建立自动发现需要以下步骤 配置 Web 代理客户和防火墙客户使用自动发现 建立包含有指向 Wpad dat 和 Wspad dat 文件的服务器的 URL 的 WPAD 项 你可以通过 DNS D HCP 或者两者来建立 WPAD 项 配置一个存放 WPAD 和 WSPAD 文件的 WPAD 服务器 URL 指向 这个 WPAD 服务器 可以有以下几种配置 1 最简单的配置 WPAD 服务器就是 ISA Server 计算机 2 或者 WPAD 服务器可以使用其他计算机 如果 ISA Server 作为 WPAD 服务器 那么配置 ISA Server 通过某个特定的端口发布自动发现信息 并且侦听自动发现请求 Web 代理客户代理客户 对于 Web 代理客户 IE 使用 WPAD 协议来在 DNS 和 DHCP 中定位包含有 Wpad dat 脚本文件的 WP AD 项 如果找到 对于 Web 请求 IE 连接到 Wpad dat 文件中指定的 ISA Server Web 浏览器调 用 http wpad port wpad dat 端口是侦听自动发现请求的端口 对于 DNS 项 你必须侦听在 80 端口 对于 DHCP 你可以侦听任何端口 ISA Server 默认是侦听 8080 端口 你可以在 Web 浏览 器中输入 URL 来查看对于特定的客户的代理设置 以及一些配置为自动连接的域名字清单 在 IE 中 你可以启用自动发现 或者手动指定一个 Web 代理服务器 在防火墙客户中 你可以在防火 墙客户端对话框中配置 Web 代理设置 如果自动发现失败 在合理配置默认网关的情况下 Web 代理 客户将成为 SNAT 客户 自动发现需要 IE5 0 及更高版本的支持 在在 IE 中允许自动发现中允许自动发现 在运行 IE5 0 或者更高版本的 Web 代理客户计算机上 执行以下步骤 1 在工具工具菜单 点击 Internet 选项选项 2 点击连接连接标签 3 点击局域网设置局域网设置 4 勾选自动检测设置自动检测设置 然后点击两次确定确定 在在 ISA Server 2004 防火墙客户计算机上启用防火墙客户计算机上启用 Web 代理自动代理自动 发现发现 执行以下步骤 1 在 ISA Server 2004 防火墙客户端对话框的 Web 浏览器页 勾选允许 Web 浏览器 自动配置 2 为了应用设置 点击现在配置现在配置 防火墙客户防火墙客户 为了在防火墙客户上实现自动发现 ISA Server 使用 WPAD 协议在 DHCP 或者 DNS 上定位 WPAD 协 议 如果防火墙客户允许了自动发现 那么会执行以下步骤 1 当客户产生 WinSock 请求 客户连接到 DHCP 或者 DNS 服务器 2 DHCP 服务器或者 DNS 服务器将包含有 WPAD 服务器的 IP 地址的 WPAD 项 URL 返回给客户 包 含有 Wpad dat 和 Wspad dat 文件的服务器 3 客户请求 Wspad dat 里面的自动发现信息 调用 htt p wpad port wspad dat 4 在 Wspad dat 里面提供的 ISA Server 计算机将被防火墙客户用于 WinSock 连接 你可以通过在防火墙客户端对话框里面点击现在检测现在检测按钮来测试自动发现 如果失败 在正确配置默认网 关的情况下 防火墙客户将会成为 SNAT 客户 为为 ISA Server 2004 防火墙客户启用自动发现防火墙客户启用自动发现 执行以下步骤 1 在 ISA Server 2004 控制台 点击配置配置 然后点击网络网络 2 在细节面板 点击网络网络标签 3 在任务任务标签 点击编辑选择网络编辑选择网络 4 在防火墙客户防火墙客户标签 勾选自动检测设置自动检测设置 为为 ISA Server 2000 防火墙客户启用自动发现防火墙客户启用自动发现 执行以下步骤 1 在 ISA Server 管理控制台 点击 ISA Server 计算机 然后点击客户端配置客户端配置 2 在细节面板 右击防火墙客户防火墙客户 然后点击属性属性 3 在常规常规面板 勾选启用防火墙客户的自动发现 客户支持客户支持 下表汇总了在各种操作系统下对于防火墙客户和 Web 代理客户自动发现的支持 例如 Microsoft Windo ws Server 2003 Windows XP Windows2000 WindowsNT Server4 0 WindowsMillenni um Edition Windows98 and Windows95 注 主要是用户权限的问题 有些服务需要特定的权 限 操作系统IE 5 0 和更高版本ISA Server 2000 的防火墙客户 端 ISA Server 2004 的防火墙客户端 操作系统IE 5 0 和更高版本ISA Server 2000 的防火墙客户 端 ISA Server 2004 的防火墙客户端 Windows S erver2003 All usersAll users DNS Admin users only DHCP All users WindowsXPAll usersAll users DNS Admin users only DHCP All users Windows20 00 All users DNS Admin users only DHCP All users DNS Admin users only DHCP All users WindowsNT 4 0 All usersAll users DNS only All users DNS only WindowsM e All usersAll usersAll users Windows98 Second Ed ition All usersAll usersAll users Windows98All usersAll usersAll users Windows95All usersAll users DNS static only No Firewall Client support 注意 注意 在 ISA Server 2000 中 DHCP 有以下限制 运行在 Windows 2000 上的 Web 代理客户只能为 ad ministrators 和 power users 组使用自动发现 在 Windows XP 中 Network Configuration Ope rators group 同样可以发布 DHCP 请求信息 更多的信息 请参见微软知识库文章 KB307502 Auto matically Detect Settings Does Not Work if You Configure DHCP Option252 配置配置 WPAD 项项 你可以在 DHCP DNS 或者两者中建立 WPAD 项 不过这两种方法都有优点和缺点 为了使用 DNS ISA Server 必须在 80 端口发布自动发现信息 侦听自动发现请求 使用 DHCP 你可以指定任何 端口 不过在 ISA Server 中 默认是使用端口 8080 侦听自动发现请求 如果客户跨越了多个域 你需要为每个允许客户自动发现的域配置 DNS 项 允许自动发现的客户必须 能够直接查询 DHCP 服务器的第 252 项 远程访问和 VPN 客户不能直接访问 DHCP 服务器来查询 252 项 如果自动发现只是通过 DHCP 来配置 那么远程访问客户将不能使用这个特性 通常的 在 LAN 中通过 DHCP 服务器来使用自动检测是最好的 对于 LAN 和拨号连接 可以使用基于 DNS 服务器的自动检测 不过 DHCP 服务器提供更快的访问和更好的扩展性 如果你同时配置了 DNS 和 DHCP 客户在查询自动发现信息时 会先查询 DHCP 服务器 然后再是 DNS 服务器 DHCP 执行以下步骤以配置通过 DHCP 使用自动发现 确保你的 DHCP 服务器有效 然后为每个包含客户的 子网建立了作用域 为 DHCP 服务器选项 252 添加一个 WPAD 项 252 项作为一个注册和查询自动发现 Web 代理 时 间服务器和其他服务的指针 它是一个字符串值 指出 WPAD 服务器的 URL 为适当的作用域配置 25 2 项 就算只有一个作用域 保证客户机配置为 DHCP 客户 DHCP 信息通过以下方式提供 在地址分配过程中或者获取需要的信息时 DHCP 服务器为 DHCP 客户 机提供 WPAD 信息 在防火墙客户计算机 当你点击现在检测现在检测 防火墙客户将查询 DHCP 客户的 WPAD 信息 在在 DHCP 服务器中建立服务器中建立 252 项项 执行以下步骤 1 打开管理工具管理工具里面的 DHCP 2 在 DHCP 控制台中 右击服务器名 然后点击设置预定义选项设置预定义选项 然后点击添加添加 3 在名字名字栏 输入 W PAD 4 在代码代码栏 输入 252 5 在数据类型数据类型 选择字符串字符串 然后点击确定确定 6 在字符串字符串 输入 http Computer Name Port wpad dat Computer Name 是 WPAD 的 FQDN 名字 在此我们使用 ISA Server 计算机的名字 Port 是侦听自动发现请求的端口 默认情况下 ISA Server 侦听端口 8080 7 右击服务器选项服务器选项 然 后点击配置选项配置选项 8 确认勾选了选项选项 252 注意 注意 当你输入选项 252 字符串的时候 在输入 wpad dat 的时候确认使用小写字母 例如 如果你 输入了 http isaserver 8080 Wpad dat 请求将失败 ISA Server 使用 wpad dat 并且 区分大小写 更多的信息 请参见 KB252898 HOW TO Enable Proxy Autodiscovery in Wind ows2000 你不需要建立其他形式来指定 wspad dat wspad dat 使用和 wpad dat 同样的 252 项 并且会将 w pad dat 改名为 wspad dat 在在 DHCP 作用域中配置作用域中配置 252 项项 执行以下步骤 1 在管理工具管理工具中打开 DHCP 然后右击作用域选项作用域选项 然后点击配置选项配置选项 2 点击高级高级 然后在销售商类销售商类中 点击标准选项标准选项 3 在可用选项可用选项中 勾选 252 Proxy Autodiscove ry 然后点击确定确定 注 这个我没有在 Windows Server 2003 的 DHCP 服务器中的 DHCP 作用域里面找到 来源 Microsoft Corp DNS 为了让 DNS 服务器为客户提供 WPAD 项 你必须配置 DNS 项 可以通过以下方式来建立 为你的 WPAD 服务器配置主机记录 A 记录 然后建立一个别名记录 CNAME 如果 WPAD 服务器就 是你的 ISA Server 那么你必须为你的 ISA Server 建立主机记录 注意 在建立别名项以前 主机 记录必须存在于客户所属的 DNS 区域中 另外 你也可以配置一个计算机名字为 WPAD 然后为这台计算机添加一个主机记录 这样可以避免 使用别名的情况 在 DNS 服务器上设置好后 这个 dns 名字 应该解析到 WPAD 服务器上 Web 代理客户和防火墙客户不知道包含 WPAD 服务器的域 这依赖于操作系统的提供 操作系统必须提供 正确的域名 域名后缀 附加在 WPAD 名字后以查询此 WPAD 服务器 默认域使用客户的主要域后 缀 如果主要域后缀不能工作 那么将使用连接指定的 DNS 后缀 如果 WPAD 服务器还是没有找到 则使用上级域名 这样直到找到 WPAD 服务器或者已经使用了三级域名 例如 在 a b microsoft co m 域中 以下的名字将在 WPAD 寻找过程中使用 如果在这三级域名中都没有找到 WPAD 服务器 那么自动发现失败 域名后缀一般通过以下方式分配给客户 通过 DHCP 为客户分配主域名 手动配置客户计算机的 IP 属性 设置正确的域名后缀 注意 你应该配置防火墙客户通过内部的 DNS 服务器来解析 WPAD 项 在在 DNS 中建立中建立 WPAD 项项 执行以下步骤 1 打开管理工具管理工具中的 DNS 2 右击对应的前向查询区域 点击新建别名新建别名 3 在别名别名 输入 WPAD 4 在目的主机的完全限定域名目的主机的完全限定域名中 输入 WPAD 服务器的 FQDN 注意 注意 在建立别名之间 你需要为 WPAD 服务器已经建立好了主机记录 配置配置 WPAD 服务器服务器 这节阐述 WPAD 和 WSPAD 文件 一个标准的配置和辅助配置 WPAD 和和 WSPAD 文件文件 Wpad dat 文件是个 JScript 文件 包含了默认的 URL 模板 由 IE 建立 ISA Server 构建 wspad d at 文件来保持通知了防火墙客户所有可用的 ISA Server 计算机 以及其他的参数 如负载比例和状态 标志来帮助服务器选择 Wspad dat 的 CFILE 包含了一个明确的 TTL 项 在 TTL 过时后 WinSock 代理客户清除 CFILE 然后尝试重新获得 CFILE CFILE 的格式和防火墙客户端配置文件一样 在文 件的 Common 一节 显示了如下的 3 项 Common Port 1745 Servers Ip Addresses Name ISAS 标准配置标准配置 在一个单 ISA Server 的计算机配置中 WPAD 服务器将运行在 ISA Server 上侦听客户的请求 注 意配置中的以下部分 如果 ISA Server 计算机不存在 客户不能向 ISA Server 计算机发送请求 或者请求 WPAD 或者 WSPAD 信息 结果就是你不能更新 WPAD 或者 WSPAD 文件来执行一个备份 的 ISA Server 计算机 为了更新 WPAD server 你更新了 DHCP 或者 DNS 的 WPAD 项执行的服务器 但是 信息缓存在 DNS 和 DHCP 服务器中 从它们返回的 WPAD 项可能没有包含最新的 ISA Server 信息 使用 ISA Server 计算机作为 WPAD 服务器的优点是在 ISA Server 服务器配置修改后会自动更新 wpad dat 和 wspad dat 在使用 DHCP 选项的标准的配置中 你应该保持 URL 为这种格式 http ISA port wpad dat w pad dat 必须在根目录 并且你不能修改文件名 发布自动发现信息发布自动发现信息 为了使用一个配置为 WPAD 服务器的 ISA Server 计算机侦听自动发现请求 你需要为 ISA Server 计算机启用自动发现 然后指定侦听 WPAD 和 WSPAD 请求的端口 默认 ISA Server 使用端口 80 80 如果你使用 DHCP 方式来进行自动发现 那么你可以使用任何端口 如果你使用 DNS 方式来进行 则只能使用 80 端口 记住在 DHCP 的 252 项中指定你在 ISA Server 控制台中指定的端口 启用和配置启用和配置 ISA Server 2004 侦听自动发现请求侦听自动发现请求 执行以下步骤 1 在 ISA Server 管理控制台 点击防火墙策略防火墙策略 2 在细节面板 选择对应的网络 通常是内部网络内部网络 3 在任务任务标签 点击编辑选择的网络编辑选择的网络 4 在自动发现自动发现标签 勾选发布自动发现信息 发布自动发现信息 启用和配置启用和配置 ISA Server 2000 侦听自动发现请求侦听自动发现请求 执行以下步骤 1 在 ISA 管理控制台 右击计算机名 然后点击属性属性 2 在自动发现自动发现标签 勾选发布自动发现信息发布自动发现信息 3 在使用此端口侦听自动发现请求使用此端口侦听自动发现请求 输入对应的端口 辅助配置辅助配置 在另外一种情况下 你可以将 wpad dat 和 wspad dat 放置在另外的计算机上 例如一台运行 IIS 的服 务器上 在这种配置中 DNS 和 DHCP 项执行这台运行 IIS 的服务器 并且这台服务器作为一个提供 w pad 和 wspad 的转向指示器 以下是需要注意的 使用这种方式 将会在运行 IIS 的服务器上保持 wp ad 和 wspad 文件 当你修改 wpad 项的时候 可能会出现缓存延迟的问题 可以提供故障恢复能力 你可以配置多个运行 IIS 的 Web 服务器 然后在不同的 Web 服务器上放置不 同的 wpad 和 wspad 文件 当前活动的 Web 服务器可以提供只包含当前活动的 ISA Server 服务器的 W