前言:
ISA Server 2004支持防火墙客户和Web代理客户自动发现和定位ISA Server。ISA Server使用Web Proxy Automatic Discovery (WPAD)协议,它允许自动发现Web代理服务器。ISA
Server使用WPAD提供了一种机制,为客户定位一个包含产生Wpad.dat和Wspad.dat的服务器URL的WPAD项。Wpad.dat文件是个java脚本,由IE建立,包含默认的URL模板。Wpad.dat文件用于Web代理客户自动发现信息,ISA Server的WinSock代理自动检测(WSPAD)使用Wpad.dat文件,并且为防火墙客户建立Wspad.dat文件来提供自动发现信息。更多的关于自动发现协议的信息,请参见Web'http://go.microsoft.com/fwlink/?LinkId=31658"Web
Proxy Auto-Discovery Protocol文档。
概念和步骤
这篇文章中包括
•配置自动发现
•Web代理客户
•防火墙客户
•客户支持
•配置WPAD项
•配置WPAD服务器
•引用
配置自动发现
为客户建立自动发现需要以下步骤:
•配置Web代理客户和防火墙客户使用自动发现;
•建立包含有指向Wpad.dat和Wspad.dat文件的服务器的URL的WPAD项。你可以通过DNS、DHCP或者两者来建立WPAD项。
•配置一个存放WPAD和WSPAD文件的WPAD服务器,URL指向这个WPAD服务器。可以有以下几种配置:
最简单的配置,WPAD服务器就是ISA Server计算机。
或者,WPAD服务器可以使用其他计算机;
•如果ISA Server作为WPAD服务器,那么配置ISA Server通过某个特定的端口发布自动发现信息,并且侦听自动发现请求。
Web代理客户
对于Web代理客户,IE使用WPAD协议来在DNS和DHCP中定位包含有Wpad.dat脚本文件的WPAD项。如果找到,对于Web请求,IE连接到Wpad.dat文件中指定的ISA Server。Web浏览器调用http://wpad:port/wpad.dat,端口是侦听自动发现请求的端口。对于DNS项,你必须侦听在80端口,对于DHCP,你可以侦听任何端口(ISA Server默认是侦听8080端口)。你可以在Web浏览器中输入URL来查看对于特定的客户的代理设置,以及一些配置为自动连接的域名字清单。
在IE中,你可以启用自动发现,或者手动指定一个Web代理服务器。在防火墙客户中,你可以在防火墙客户端对话框中配置Web代理设置。如果自动发现失败,在合理配置默认网关的情况下,Web代理客户将成为SNAT客户。自动发现需要IE5.0及更高版本的支持。
在IE中允许自动发现
在运行IE5.0或者更高版本的Web代理客户计算机上,执行以下步骤:
1.在工具菜单,点击Internet选项;
2.点击连接标签;
3.点击局域网设置;
4.勾选自动检测设置,然后点击两次确定;
在ISA Server 2004防火墙客户计算机上启用Web代理自动发现
执行以下步骤:
1.在ISA Server 2004防火墙客户端对话框的Web浏览器页,勾选允许Web浏览器自动配置;
2.为了应用设置,点击现在配置;
防火墙客户
为了在防火墙客户上实现自动发现,ISA Server使用WPAD协议在DHCP或者DNS上定位WPAD协议。如果防火墙客户允许了自动发现,那么会执行以下步骤:
1.当客户产生WinSock请求,客户连接到DHCP或者DNS服务器;
2.DHCP服务器或者DNS服务器将包含有WPAD服务器的IP地址的WPAD项URL返回给客户。(包含有Wpad.dat和Wspad.dat文件的服务器)
3.客户请求Wspad.dat里面的自动发现信息,调用http://wpad:port/wspad.dat。
4.在Wspad.dat里面提供的ISA Server计算机将被防火墙客户用于WinSock连接。
你可以通过在防火墙客户端对话框里面点击现在检测按钮来测试自动发现,如果失败,在正确配置默认网关的情况下,防火墙客户将会成为SNAT客户。
为ISA Server 2004防火墙客户启用自动发现
执行以下步骤:
1.在ISA Server 2004控制台,点击配置,然后点击网络;
2.在细节面板,点击网络标签;
3.在任务标签,点击编辑选择网络;
4.在防火墙客户标签,勾选自动检测设置;
为ISA Server 2000防火墙客户启用自动发现
执行以下步骤:
1.在ISA Server管理控制台,点击ISA Server计算机,然后点击客户端配置;
2.在细节面板,右击防火墙客户,然后点击属性;
3.在常规面板,勾选启用防火墙客户的自动发现;
客户支持
下表汇总了在各种操作系统下对于防火墙客户和Web代理客户自动发现的支持,例如Microsoft Windows Server„2003, Windows®XP, Windows2000, WindowsNT®
Server4.0, WindowsMillennium Edition, Windows98, and Windows95。(注:主要是用户权限的问题,有些服务需要特定的权限);
注意:
在ISA Server 2000中,DHCP有以下限制:运行在Windows 2000上的Web代理客户只能为administrators和power users组使用自动发现。在Windows XP中,Network Configuration Operators group同样可以发布DHCP请求信息。更多的信息,请参见微软知识库文章KB307502, "Automatically'http://go.microsoft.com/fwlink/?LinkId=31659"Automatically Detect Settings Does Not Work if You Configure DHCP Option252" 。
配置WPAD项
你可以在DHCP、DNS或者两者中建立WPAD项,不过这两种方法都有优点和缺点:
•为了使用DNS,ISA Server必须在80端口发布自动发现信息(侦听自动发现请求)。使用DHCP,你可以指定任何端口。不过在ISA Server中,默认是使用端口8080侦听自动发现请求。
•如果客户跨越了多个域,你需要为每个允许客户自动发现的域配置DNS项。
•允许自动发现的客户必须能够直接查询DHCP服务器的第252项。远程访问和VPN客户不能直接访问DHCP服务器来查询252项。如果自动发现只是通过DHCP来配置,那么远程访问客户将不能使用这个特性。
•通常的,在LAN中通过DHCP服务器来使用自动检测是最好的;对于LAN和拨号连接,可以使用基于DNS服务器的自动检测。不过DHCP服务器提供更快的访问和更好的扩展性。如果你同时配置了DNS和DHCP,客户在查询自动发现信息时,会先查询DHCP服务器,然后再是DNS服务器。
DHCP
执行以下步骤以配置通过DHCP使用自动发现:
•确保你的DHCP服务器有效,然后为每个包含客户的子网建立了作用域。
•为DHCP服务器选项252添加一个WPAD项,252项作为一个注册和查询自动发现、Web代理、时间服务器和其他服务的指针。它是一个字符串值,指出WPAD服务器的URL。
•为适当的作用域配置252项,就算只有一个作用域。
•保证客户机配置为DHCP客户。
DHCP信息通过以下方式提供:
•在地址分配过程中或者获取需要的信息时,DHCP服务器为DHCP客户机提供WPAD信息。
•在防火墙客户计算机,当你点击现在检测,防火墙客户将查询DHCP客户的WPAD信息。
在DHCP服务器中建立252项
执行以下步骤:
1.打开管理工具里面的DHCP;
2.在DHCP控制台中,右击服务器名,然后点击设置预定义选项,然后点击添加;
3.在名字栏,输入WPAD;
4.在代码栏,输入 252;
5.在数据类型,选择字符串,然后点击确定;
6.在字符串,输入http://Computer_Name:Port/wpad.dat ;
•Computer_Name 是WPAD的FQDN名字,在此我们使用ISA Server计算机的名字;
•Port 是侦听自动发现请求的端口;默认情况下,ISA Server 侦听端口8080;
7.右击服务器选项,然后点击配置选项;
8.确认勾选了选项252;
注意:
•当你输入选项252字符串的时候,在输入wpad.dat的时候确认使用小写字母。例如,如果你输入了http://isaserver:8080/Wpad.dat,请求将失败。ISA Server使用wpad.dat,并且区分大小写。更多的信息,请参见KB252898, "HOW TO: Enable Proxy Autodiscovery in Windows2000
•你不需要建立其他形式来指定wspad.dat,wspad.dat使用和wpad.dat同样的252项,并且会将wpad.dat改名为wspad.dat。
在DHCP作用域中配置252项
执行以下步骤:
1.在管理工具中打开DHCP,然后右击作用域选项,然后点击配置选项;
2.点击高级,然后在销售商类中,点击标准选项;3.在可用选项中,勾选 252 Proxy Autodiscovery ,然后点击确定。
(注:这个我没有在Windows Server 2003的DHCP服务器中的DHCP作用域里面找到。)
DNS
为了让DNS服务器为客户提供WPAD项,你必须配置DNS项。可以通过以下方式来建立:
•为你的WPAD服务器配置主机记录(A记录),然后建立一个别名记录(CNAME)。如果WPAD服务器就是你的ISA Server,那么你必须为你的ISA Server建立主机记录。注意,在建立别名项以前,主机记录必须存在于客户所属的DNS区域中。
•另外,你也可以配置一个计算机名字为WPAD,然后为这台计算机添加一个主机记录,这样可以避免使用别名的情况。
在DNS服务器上设置好后,这个dns名字wpad.domain.com应该