После того как мы начали использовать для авто-настройки параметров прокси WPAD файл который генерируется Forefront TMG, заметили то, что попытка использовать в настройках сети Internal в списке исключений для обхода прокси комбинацию имён и IP диапазонов приводит к проблеме открытия некоторых локальных узлов. Похожая проблема была описана в статье KB920715, но не смотря на то, что речь там идёт про ISA 2004, схожие симптомы мы наблюдали и на TMG. Когда из списка исключений для обхода прокси убирались IP диапазоны – проблема устранялась. Ещё к большему желанию отказаться от использования генерируемого TMG файла wpad.dat привела статья Richard Hicks' Forefront TMG Blog - WPAD Considerations for Kerberos Authentication with NLB VIP on Forefront TMG 2010. По одной из ссылок в этой статье было найдено описание метода “скармливания” TMG самостоятельно сформированного кастомизированного файла wpad.dat -
Дело осталось за малым, корректно создать собственный файл параметров авто-настройки WPAD. В изучении вопроса оказались полезными ресурсы Wikipedia - Proxy auto-config и Penguins Joys - Wpad.dat
В итоге у меня получился такой вот файл wpad.dat:
function FindProxyForURL(url, host) {
if (shExpMatch(host, "127.0.0.1" ) ||
shExpMatch(host, "localhost" ) ||
isInNet(host, "10.0.0.0", "255.0.0.0") ||
dnsDomainIs(host, ".holding.com" )||
dnsDomainIs(host, ".localdomain.ru" )||
dnsDomainIs(host, ".my.domain.local" )||
shExpMatch(url,"*.holding.com/*") ||
shExpMatch(url, "*.holding.com:*/*") ||
shExpMatch(url, "www.samedom1.ru") ||
shExpMatch(url, "app.samedom2.com") ||
isPlainHostName(host)) {return "DIRECT";}
return "PROXY KOM-AD01-TMGCL.holding.com:8080; DIRECT";
}
Для того чтобы заставить TMG использовать созданный нами wpad.dat воспользуемся набором скриптов, которые можно загрузить по ссылке указанной в статье Swedish Windows Security User Group > Use ISA/TMG to distribute your custom WPAD configuration file
Распаковываем на TMG сервере архив KB953293.zip в отдельный каталог, например C:ToolsCustomWPADKB953293 и создаём два командных файла для установки кастомизированного файла wpad.dat и для удаления (возврату к генерируемому файлу TMG). В нашем случае соответственно файлы получились такие:
wpad-file-install.cmd:
cd /d C:ToolsCustomWPADKB953293
cscript kb953293.wsf /array:. /net:internal /script:C:ToolsCustomWPADwpad.dat
wpad-file-uninstall.cmd:
cd /d C:ToolsCustomWPADKB953293
cscript kb953293.wsf /array:. /net:internal /del
Обратите внимание на то что в переменной array в качестве значения имени массива TMG можно указать точку, чтобы использовать текущий массив.
Сама процедура установки первым командным файлом выглядит примерно так:
В указанной статье обращается внимание на то, что в случае если в созданном нами файле wpad.dat будут найдены символы non-ASCII, то возможно процедура установки такого файла завершиться неуспешно.
После того, как наш файл авто-настройки успешно установлен в TMG, - очищаем кэш браузера с проверяем то, что по ссылке http://wpad.holding.com/wpad.dat нам возвращается именно наш файл. Проверяем работу браузеров с заданными нами настройками и убеждаемся в том, что комбинирование правил исключений для имён и IP работает успешно. Дополнительно собственным файлом авто-настройки мы решаем ещё одну проблему описанную Ричардом Хиксом - теперь клиенты будут обращаются на виртуальный IP нашего NLB кластера, а не на какую-то конкретную ноду, как это происходит в случае с использованием генерируемого TMG файла wpad.dat.
Установив кастомизированный файл авто-настройки следует помнить о том, что все последующие изменения, которые необходимо вносить в конфигурацию (например расширения списка обхода прокси) нужно производить путём корректировки созданного нами файла и повторной его установки командным файлом wpad-file-install.cmd. При этом изменения выполняемые на соответствующих закладках свойств сети Internal в консоли TMG будут игнорироваться, по крайней мере это показывают практические тесты.
RSS - Записи
Последние комментарии