實戰ISA三種客戶端部署方案（下）

 經過上期的學習，咱們已經成功的在企業裏部署了ISA的三種客戶端，可是當咱們部署完FireWall Client這種客戶端或在部署Web Proxy客戶端時選擇「自動檢測設置」項，它們並不能自動檢測到ISA服務器（即代理服務器），那接下來咱們就來學習下篇，如何讓咱們的這兩種客戶端能自動檢測到代理服務器。

 

     實際上若是能讓這兩種客戶端自動檢測到代理服務器，咱們必須在ISA上啓用WPAD功能（Web Proxy Auto Discovery，Web代理自動發現），啓動這個功能，就意味着讓WPAD這臺主機（通常就是ISA服務器）提供兩個配置文件（wpad.dat和wspad.dat)。同時讓Web Proxy和Firewall Client這兩種客戶端想辦法下載相對應的這兩個文件，其中wpad.dat供Web Proxy客戶端下載，而後由這個文件提供的相應信息幫助客戶端找到代理服務器，wspad.dat供Firewall Client下載，而後由這個文件提供的相應信息幫助客戶端找到代理服務器。
   

    而這兩種客戶端經過什麼方式才能下載相對應的這兩種文件呢？ 能夠經過DNS或DHCP服務器完成。

   

    可見咱們若是要正確的實現這個操做，必須在ISA服務器和客戶端分別來作設置。下面咱們來看這個配置過程：

 

1、服務器的操做

啓動WPAD功能，如圖所示：配置--網絡--內部，右擊選屬性。

 

以下圖：

 

注意： 默認的端口是80，不修改它，意味着客戶端只能經過DNS才能從WPAD主機下載配置文件。在這裏咱們先不修改端口。客戶端咱們先用DNS來發現WPAD主機並下載配置文件。

 

2、客戶端的操做
（ 一）利用DNS來發現代理服務器

在這裏須要說明一下，若是在服務器端你啓用WPAD後，在客戶端咱們利用 [url]http://10.1.1.1/wpad.dat[/url] 就能下載配置文件，以下圖所示：

    但實際上客戶端選擇自動檢測設置時，不是直接用IP去找，而是找wpad.contoso.com這臺主機的80端口（在這裏咱們內部網絡是域，域名contoso.com），而wpad.contoso.com的IP其實就是10.1.1.1，也就是咱們的代理服務器的內網IP。所以咱們必須想辦法讓咱們內部的DNS能把wpad.contoso.com解析爲10.1.1.1。

 

    補充： 若是你的Web Proxy或FireWall Client均是加入域的客戶端，則利用它們利用DNS找的WPAD的主機名即是wpad.contoso.com這樣的域名;但若是這兩種客戶端未加入域，建議經過DHCP修改這些客戶端的域名後綴，這樣經過DNS找的WPAD主機名也是和域內相似。不然就直接找WPAD這個名字了，這樣經過DNS實現起來就不容易了。在這裏咱們討論域環境。其它感興趣的朋友能夠留言。
   

    在這個案例中，Denver是咱們的DNS服務器，咱們打開DNS控制檯（dnsmgmt.msc)，具體操做以下：

單擊後，在下面的對話框內輸入ISA的IP地址等信息：

 

單擊「添加主機」以下所示，咱們就創建了一個wpad.contoso.com的A記錄：

 

    咱們打開Firewall client軟件界面，並選擇「自動檢測到的ISA服務器」，單擊「自動檢測」以下所示：

 

能夠看到：咱們已經成功的聯繫到了WPAD服務器，並測試成功！！！

     其實只要咱們啓用了WPAD功能並在配置好了DNS服務器後，再把客戶端的DNS指向正確，這兩種類型的客戶端就會利用DNS把wpad.contoso.com主機解析爲10.1.1.1，而後再到它的80端口下載相對應的配置文件，經過配置文件再聯繫到代理服務器。

（二）利用DHCP來發現代理服務器

     利用DNS來發現代理服務器，只能使用80端口，但在某些場合，如ISA服務器上相應的Web站點佔用了80端口，咱們不得不改變WPAD的端口了，以下所示：

 

這樣再利用DNS就不能下載配置文件了，那怎麼辦呢？咱們只能利用DHCP服務器了。

     在DHCP服務器裏有一個252的選項，它能夠實現咱們這個功能。咱們再把全部客戶端配置成DHCP客戶端，自動分發IP地址等信息，包括252選項信息。就能夠了，見以下操做：

 

上述的建立過程，各位能夠見上篇，此處就再也不贅述了。接下來咱們先新建DNS選項，以下所示：

 

單擊「配置選項」，在下圖中選中「006 DNS服務器」，輸入正確的IP地址，單擊「肯定」。

 

最後以下：

 

接下來咱們來新建一個252的選項，以下所示：

 

單擊以下，選項「添加」，以下下圖所示：

 

看這裏，輸入相應的名稱及選擇相應的數據類型，以下圖：

 

單擊「肯定」，在「字符串」處寫入正確的URL。

 

單擊「肯定」，完成252選項的定義。此時就能夠配置這個選項了，以下：

 

單擊後以下，選擇「252 wpad 」，單擊「肯定」。

 

最後的配置選項以下圖所示：

 

這樣DHCP服務器就配置完了，再把客戶端選擇成「自動得到IP等」以下所示：

 

檢查客戶端成功的從DHCP得到相應的信息。以下：

 

再次打開FireWall客戶端軟件，選擇「自動檢測到ISA服務器」，單擊「當即檢測」發現已成功聯繫上了ISA服務器。測試成功~~！

 

 

3、補充說明：
1.若是你DHCP和DNS都啓用的話，那麼客戶端會優先走DHCP。
2.若是你的ISA是加入域的客戶端，那麼你能夠在對應的DNS裏建一個CNAME記錄：wpad.contoso.com指向ISA的主機記錄便可。
3.若是你內網的客戶端是工做組，你須要藉助於DHCP服務器給全部的客戶端添加DNS域名後綴，如contoso.com，這樣你在內網搭建本身的DNS，再建contoso.com這個區域，在區域裏建wpad這個主機記錄就能夠了，固然你須要把全部的客戶端的DNS指向本身搭建的DNS。在這裏就不演示了，各位有什麼問題能夠留言。

 

本文出自 「千山島主之微軟技術空間站」 博客，轉載請與做者聯繫！