简繁网站怎么做,哪有深圳网站页面设计,免费高清视频素材网站有哪些,新浪云部署wordpressWPAD的部署原理暨故障排查?XML:NAMESPACE PREFIX O /WPAD是Web Proxy Auto Discovery的缩写#xff0c;意思是Web代理服务器自动发现。WPAD的设计目的是让浏览器能自动发现代理服务器#xff0c;这样用户可以轻松访问互联网而且无需知道哪台计算机是代理服务器。在… WPAD的部署原理暨故障排查?XML:NAMESPACE PREFIX O / WPAD是Web Proxy Auto Discovery的缩写意思是Web代理服务器自动发现。WPAD的设计目的是让浏览器能自动发现代理服务器这样用户可以轻松访问互联网而且无需知道哪台计算机是代理服务器。在ISA2006中WPAD不仅能让客户机浏览器自动发现代理服务器还可以用于防火墙客户端自动发现代理服务器。显然WPAD对代理服务器的透明处理让管理员轻松了不少管理员不再需要去每台客户机上设置代理服务器参数了。但樱桃好吃树难栽WPAD的部署并非都是一帆风顺WPAD的部署可以借助DNS服务器或DHCP服务器容易出问题的是用DNS服务器进行部署尤其是在工作组环境下问题更多。今天我们就来构造一个实验环境为大家剖析WPAD的工作原理以及故障原因。 实验拓扑如下图所示。内网计算机在工作组环境Florence是DNS服务器Perth是客户机Beijing是ISA2006服务器。 ?XML:NAMESPACE PREFIX V / 用DNS来实现WPAD原理如下 1 Perth向DNS服务器发出查询请求要求获得WPAD主机的IP地址。 2 Perth根据查询到的IP地址去WPAD主机的80端口下载WPAD.DAT或WSPAD.DAT。WPAD.DAT可用于配置客户机浏览器让浏览器自动发现代理服务器WSPAD.DAT则用于配置客户机上的防火墙客户端自动发现代理服务器。 从以上的原理分析首先WPAD主机要在80端口提供wpad.dat和wspad.dat有了这两个文件客户机上的浏览器或防火墙客户端才能实现自动配置。其次DNS服务器要创建相关记录当客户机来查询时将解析结果指向WPAD主机。 好我们先来解决第一个问题WPAD主机如何能够提供WPAD.DAT和WSPAD.DAT两个文件呢最简单的办法是让ISA服务器作WPAD主机同时提供两个配置文件具体做法是在ISA服务器上依次点击 开始程序Microsoft ISA ServerISA服务器管理配置网络内部右键点击“内部”选择属性如下图所示切换到“自动发现”标签勾选“为此网络发布自动发现信息”这样ISA就可以在80端口提供WPAD.DAT和WSPAD.DAT两个文件了。 测试一下看看ISA服务器是否提供了配置文件。如下图所示在浏览器中输入http://?XML:NAMESPACE PREFIX ST1 /10.1.1.254/wpad.dat测试结果如下图所示这表明ISA服务器已经在80端口发布了WPAD.DAT用同样的方法可知ISA也发布了WSPAD.DAT。 WPAD主机已经在80端口提供了WPAD.DAT和WSPAD.DAT一个问题解决了接下来我们考虑另一个问题客户机到底是怎么通过DNS来查询WPAD主机呢具体是这样的客户机向DNS发出一个查询请求请求解析的域名为WPADX。怪了怎么会是X呢X代表不确定性如果客户机所在的域为itet.com那么客户机就请求解析wpad.itet.com如果客户机没加入域但计算机名的后缀为abc.com那么客户机就请求解析wpad.abc.com如果客户机既没有加入域也没有计算机名后缀那客户机就请求解析wpad。这里是WPAD配置的关键所在为什么论坛上很多管理员在域环境配置WPAD很正常换到工作组环境就容易出问题呢因为域环境下有统一的名称边界客户机请求解析的域名后缀是固定的而工作组的有组织无纪律特性决定了它的解析请求是无规律的。 下面举个具体的例子。如下图所示Perth属于工作组Perth将10.1.1.101作为自己的DNS服务器我们分析一下Perth是如何利用DNS来自动发现代理服务器的。 将Perth的浏览器配置为自动检测发现在IE浏览器中依次点击 工具Internet选项连接局域网设置如下图所示勾选“自动检测设置”。 在Perth上打开浏览器访问一个网站同时启用Ethereal抓包追踪抓包结果如下图所示我们可以看到Perth请求DNS服务器解析域名WPAD服务器解析失败后Perth又试图用广播进行名称解析名称解析失败后Perth无法找到WPAD主机去下载WPAD.DAT代理服务器自动发现失败。 很多朋友在论坛中发帖说自己在工作组中配置WPAD时出问题其实问题就出在DNS服务器无法解析域名WPAD。 好WPAD配置出问题了而且是意料之中的那如何解决呢两种思路一是想办法让DNS服务器能解析出域名WPAD二是想办法让Perth查询一个DNS服务器容易回答的域名。我们沿着这两种思路来尝试一下。 一 让DNS服务器能解析域名WPAD WPAD这个域名为何难以解析呢从结构上分析WPAD域名隶属于根域一般DNS服务器对根域根本就没有解析资格因此解析这种域名有点勉为其难。兄弟不才尝试用DNS私有根来解决这个问题在DNS服务器中右键点击正向查找区域如下图所示选择“新建区域”。 出现新建区域向导下一步。 新建区域类型为主要区域下一步。 区域名称为. 这就是传说中的根域。 根域的区域数据文件为root.dns。 不需要允许动态更新下一步后结束私有根域创建。 创建根域后我们需要在根域中为WPAD主机创建A记录如下图所示选择“新建主机”。 完全合格域名为WPAD. IP为ISA服务器的内网地址。 OK如下图所示WPAD记录已经创建完毕我们来试试能否发挥作用呢 这次我们在Perth上安装上防火墙客户端从理论上分析防火墙客户端需要从WPAD主机下载WSPAD.DAT我们双击防火墙客户端切换到“设置”标签选择“自动检测到的ISA服务器”点击“立即检测”。 测试结果如下防护器客户端成功地发现了代理服务器。 别忘了把自动检测的过程用Ethereal抓下来如下图所示我们可以很清楚地看到Perth请求DNS服务器解析域名WPADDNS服务器将域名解析为10.1.1.254私有根起作用了Perth接下来就去10.1.1.254下载WSPAD.DAT用此文件将防火墙客户端所使用的代理服务器设置为Beijing。 上次我们用浏览器自动检测失败了这次再试试用Ethereal抓包结果如下图所示。我们可以看到客户机也是先请求DNS服务器对wpad进行域名解析然后根据解析结果到ISA服务器请求下载WPAD.DAT文件下载之后就可以用于配置浏览器了。 从上述实验来看通过DNS的私有根来解决WPAD域名解析在技术层面是可行的但这种方法其实有很大隐患。创建了私有根后会影响互联网上的域名解析而且转发器也不能使用 兄弟至此也没找到两全其美的办法如果哪些弟兄有经验还望不吝赐教。因此我的结论是除非你的单位本来就要部署私有根否则还是别用这种方法解决问题实在是弊大于利。 二 Perth换查询域名 既然Perth发起的WPAD域名解析让DNS服务器处理起来很为难那能否让Perth换一个域名查询呢例如让Perth查询wpad.itet.com这样的域名DNS处理起来不要太轻松哦问题是如何能让Perth更换查询域名呢秘密就在Perth的计算机名中如果我们希望Perth查询的域名是wpad.itet.com只需将Perth的计算机名的DNS后缀改为itet.com即可。操作具体如下在Perth上用右键单击“我的电脑”在属性中切换到“计算机名”标签如下图所示点击“更改”。 在计算机名称更改中点击“其他”如下图所示。 在计算机的DNS后缀处填写“itet.com”点击确定后重新启动计算机。 在DNS服务器上创建区域itet.com并新建一个名为WPAD的A记录如下图所示。现在WPAD记录已经有了就等着客户机来查询了。 在客户机上用防火墙客户端测试一下如下图所示我们可以看到客户机发出的查询已经改为wpad.itet.com了服务器把域名解析为ISA的内网IP随后客户机就去ISA下载wspad.dat了。呵呵如果客户机是在域环境下根本就无需更改计算机名后缀想想其实还是有AD比较方便。 总结用DNS部署WPAD在域环境下比较合适在工作组环境下就需要进行一些调整但无论是创建DNS私有根还是更改客户机的计算机名后缀都不算是非常完美的解决方案。因此我们建议在工作组环境下可以考虑用DHCP来解决这个问题我们在下篇博文中将介绍如何利用DHCP来解决WPAD部署的问 转载于:https://blog.51cto.com/cyc4634/141712
