none
не работает автообнаружение WebProxy RRS feed

  • Вопрос

  • На TMG 2010 включил автообнаружение "использовать порт 8080".

    Сначала настроил TmgAdConfig.exe add -default -type winsock -url http://MyTMG:8080/wspad.dat

    Потом настроил WPAD на DHCP по тому же адресу...

    Если у клиента оставить только галку "автоматическое обнаружение параметров" интернет не работает (ошибка 403)

    По http://MyTMG:8080/wspad.dat предлагает открыть/сохранить файл...

    10 февраля 2011 г. 7:54

Ответы

  • посмотрите еще здесь

    http://social.technet.microsoft.com/Forums/en-GB/ForefrontedgeIA/thread/2c4e342f-0ab7-4cd7-b007-0f2b0c559704

    проверьте порядок привязки сетевых интерфейсов


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    • Помечено в качестве ответа petru440 1 марта 2011 г. 7:21
    28 февраля 2011 г. 13:37

Все ответы

  • через ad конфигурятся тмг клиенты а не прокси клиенты. тмг клиенты на компах установлены?

     

    10 февраля 2011 г. 8:03
    Отвечающий
  • Бог с ними, с клиентами... это еще в перспективе...

    Меня больше волнует WPAD через DHCP.

    В самом TMG, наблюдая за компом клиента, я не вижу, что бы он обращался к http://mytmg:8080/wspad.dat

    10 февраля 2011 г. 8:15
  • а dhcp настроен на wpad? и в случае прокси обращение идет к wpad а не wspad, последний для firewall/tmg клиента.

    я предпочитаю настраивать через dns, потому как dhcp используется не всеми (сервера например), а dns практически всеми :)

    10 февраля 2011 г. 8:46
    Отвечающий
  • Исправил порт автообнаружения на 80; В DHCP в параметрах сервера: 252 WPAD http://mytmg:80/wpad.dat; В DNS создал CNAME WPAD со значением mytmg.domain.local. - не работает... (в IE при попытке открыть узел, в строке состояния не появляется "поиск параметров прокси сервера") и пинг до wpad не идёт...

    11 февраля 2011 г. 15:24
  • dns 2008t? читаем ту же статью, там упоминали что по умолчанию запись wpad в 2008х серверах запрещена

    11 февраля 2011 г. 18:07
    Отвечающий
  • Как уже Вы и писали, целесообразнее использовать dhcp (при этом при перемещении клиентов между сайтами, да и для клиентов не из домена tmg будет обнаружен). в url Вы должны прописать fqdn сервера, а не его netbios имя. И в исключениях для обозревателя Вы должны прописать, что он не должен использовать прокси для url самого tmg сервера, а также для локальных адресов.

    Кроме того, fqdn серввра должен разрешаться в его "внутренний" адрес, иначе обращение может быть перехвачено и направлено на web-proxy сервис (если подобное поведение для tmg разрешено).

     


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru
    12 февраля 2011 г. 16:54
  • в DHCP WPAD исправил на  http://mytmg.domain.local:80/wpad.dat; в DNS WPAD разблокировал, но что-то как-то ничего не помогает...

    16 февраля 2011 г. 11:21
  • Будьте добры, через netsh dump выгрузите параметры области dhcp сервера и приведите здесь пожалуйста строки дампа, относящиеся к wpad.

    Это первое, и второе: если мы говорим про dns, то хост должен быть wpad.domain.local, сервис должен быть доступ по http://wpad.domain.local:80/wpad.dat. Именно - wpad. У Вас указанный fqdn вообще с tmg связан?

    ну и после всего этого прошу сделать следующее: попробуйте через telnet на wpad.domain.local:80 GET /wpad.dat Посмотрите, что Вам TMG ответит на это. Он не должен просить ни авторизации, ничего другого. другими словами, ответ должен быть HTTP 200, и сам файл в придачу. Выкладывайте целиком сессию сюда, посмотрим. Делаем и пишем так:

    telnet -f c:\temp\111.txt wpad.domain.local 80

    и выкладываем полученный текстовый файл.


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru
    16 февраля 2011 г. 11:47
  • в загружаемом файле wpad.dat:

    }
    DirectNames=new MakeNames();
    cDirectNames=2;
    HttpPort="8080";
    cNodes=1;
    function MakeProxies(){
    this[0]=new Node("192.168.1.99",3344834364,1.000000);
    }

    адрес моего прокси 192.168.1.111

    16 февраля 2011 г. 14:31
  • какой то больно короткий wpad да еще и неправильный
    16 февраля 2011 г. 14:42
    Отвечающий
  • Я всё-таки просил не файл, а HTTP сессию. Но и сам файл смущает. Проверьте настройки LAT и LDT на TMG. И какое отношение 192.168.1.99 имеет к Вашему TMG?


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru
    16 февраля 2011 г. 20:18
  • Сергей, я прошу прощения, но не хватает компетентности...

    1. netsh dump - ни одгого упоминания про WPAD

    2. telnet выкидывает по таймауту

    3. 192.168.1.99 не имеет никакого отношения, более того, сегодня (ночью сервер перегружался) wpad.dat говорит function MakeProxies(){this[0]=new Node("192.168.1.81",3344834364,1.000000);

    4. что такое LAT и LDT?

    17 февраля 2011 г. 8:52
  • 1. Пример настройки dhcp через netsh сценарий читаем здесь: http://sergey-s-betke.blogs.novgaro.ru/nastraivaem-dhcp-server-s-pomoshhyu-netsh-scenariya. В том числе - и автоопределение там настраивается, смотрите optionvalue 252. Или Вы руками настраиваете dhcp? Пора забывать про руки и мыши, всё необходимо делать сценариями, иначе как потом осуществлять мигрирование на другой сервер или отслеживать изменения?

    Поэтому ещё раз - на dhcp сервере netsh dhcp dump.

    2. если правильно указали fqdn и порт - значит у Вас не настроено автоопределение на самом tmg. И в этом и проблема.

    3. Круто. у Вас нет на tmg "лишних" внутренних интерфейсов, которые с dhcp адрес получают? очень похоже...

    4. LAT - local address table. Адресное пространство (ip адреса имеются в виду), которое относится к LAN, пакеты на него не упаковываются клиентом файрвола в туннель, а уходят адресату по маршрутам

    LDT - local domains table. Перечень fqdn с масками (*.novgaro.ru), которые должны быть доступны локально, а не через web proxy service. Соответственно, указанные домены будут в исключениях (не использовать прокси для следующих адресов) браузера при получении настроек с tmg/isa.


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru
    17 февраля 2011 г. 12:25
  • 1. если в кратце, то как то так:

    C:\ >netsh dhcp server dump

     

    #  Параметры настройки сервера DHCP.domain.local

    #     Добавление фильтра

    Dhcp Server \\DHCP.domain.local v4 Set Filter EnforceAllowList=0 EnforceDenyList=0

    Dhcp Server \\DHCP.domain.local v4 Add Filterexemption 0

    Dhcp Server \\DHCP.domain.local v4 Add Filterexemption 2

    Dhcp Server \\DHCP.domain.local v4 Add Filterexemption 3

    Dhcp Server \\DHCP.domain.local v4 Add Filterexemption 250

    Dhcp Server \\DHCP.domain.local v4 Add Filterexemption 251

    Dhcp Server \\DHCP.domain.local v4 Add Filterexemption 252

    Dhcp Server \\DHCP.domain.local v4 Add Filterexemption 253

    Dhcp Server \\DHCP.domain.local v4 Add Filterexemption 254

    Dhcp Server \\DHCP.domain.local v4 Add Filterexemption 255

    #     Конец добавления фильтра

    #     Начало добавления определения параметра

    Dhcp Server \\DHCP.domain.local Add Optiondef 252 "WPAD" STRING 0 comment="" "http://MyTMG.domain.local:80/wpad.dat"

    #     Конец добавления определения параметра

    #     Начало установки значения параметра

    Dhcp Server \\DHCP.domain.local set optionvalue 6 IPADDRESS "192.168.1.112" "192.168.1.113"

    Dhcp Server \\DHCP.domain.local set optionvalue 252 STRING "http://MyTMG.domain.local:80/wpad.dat"

    #     Конец установки значения параметра

    #  Конец параметров настройки сервера DHCP.domain.local

    192.168.1.112,113 - мои DNS сервера

    2. Автообнаружение включено (в консоле галка стоит, порт 80)

    3. грешен... каюсь... посмотрел в DHCP - это TMGшные RRAS адреса

    4. всё настроено правильно и галки стоят о том, что не использовать прокси при по этим направлениям.

    17 февраля 2011 г. 13:24
  • Идём далее. Я перенёс в своё время с 80ого порта на 8081 (естественно, при этом autodiscovery через dns работать не будет). и причина простая - reverse proxy и автоопределение на isa2000 вместе не жили, а у меня были публикации вебсервисов сторонних и собственных через isa.

    Возможно - и Вам следует убрать автоопределение (и в настройках tmg/isa, и в dhcp) на 8081 (8080 по умолчанию занят под webproxy).

    Если проблема - в конфликте, но при старте служб tmg/isa у Вас должна быть ругань в журнале событий (одна ошибка на каждый запуск служб).


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru
    17 февраля 2011 г. 13:34
  • Итак, удалил запись WPAD из DNS, в TMG исправил пупликацию на порт 8081, в DHCP исправил 252 WPAD на http://MyTMG.domain.local:8081/wpad.dat.
    17 февраля 2011 г. 15:04
  • перезапустили все сервисы TMG, службу dhcp client на клиенте (я надеюсь, он получает адрес с dhcp? иначе всё это смысла не имеет) и каков результат?

    Если у Вас срок аренды на dhcp сервере установлен большой, перезагрузка клиента или перезапуск службы dhcp client не приведёт к результату. Сделайте так на клиенте:

    net stop dhcp

    импортируйте reg файл следующего содержания:

    Windows Registry Editor Version 5.00

    Windows Registry Editor Version 5.00
    
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters]
    "ServiceDll"="%SystemRoot%\\System32\\dhcpcsvc.dll"
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters\Options]
    

    net start dhcp

    предварительно удаляемую ветку сохраните на всякий случай. Таким образом Вы обновите на клиенте параметры с dhcp сервера. После чего уже запускайте IE и смотрите результаты.


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru
    17 февраля 2011 г. 15:58
  • Увы, но проделанное плодов не принесло. Мне кажется нужно капать в сторону того, что WPAD.dat содержит не тот ip адрес.

    18 февраля 2011 г. 6:51
  • Как заставить этот файлик давать правильный ip?

    21 февраля 2011 г. 14:35
  • что-то никак...

    25 февраля 2011 г. 15:04
  • посмотрите эти статьи

    http://sfomin.wordpress.com/tag/tmg/

    http://www.isaserver.org/tutorials/Forefront-Threat-Management-Gateway-TMG-2010-Firewall-Client-Features-Benefits.html

    и сверьте ваши настройки и порядок конфигурирования


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    28 февраля 2011 г. 8:10
  • Всё так и настраивалось. Кроме клиента TMG (он не используется). Тут вопрос в том, что wpad.dat даёт клиентам на другой ip.

    28 февраля 2011 г. 13:22
  • посмотрите еще здесь

    http://social.technet.microsoft.com/Forums/en-GB/ForefrontedgeIA/thread/2c4e342f-0ab7-4cd7-b007-0f2b0c559704

    проверьте порядок привязки сетевых интерфейсов


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    • Помечено в качестве ответа petru440 1 марта 2011 г. 7:21
    28 февраля 2011 г. 13:37
  • сделал для VPN-клиентов статический пул адресов, вроде помогло
    1 марта 2011 г. 7:21