了解ISA2006之WPAD原理 轻松排查网络故障

• 关 键 词：
• microsoft
• internet
• dhcp服务器
• 代理服务器设置
• server

     一 让DNS服务器能解析域名WPAD

　　WPAD这个域名为何难以解析呢?从结构上分析，WPAD域名隶属于根域，一般DNS服务器对根域根本就没有解析资格，因此解析这种域名有点勉为其难。兄弟不才，尝试用DNS私有根来解决这个问题，在DNS服务器中右键点击正向查找区域，如下图所示，选择“新建区域”。

点击查看大图

• 五十八种网络故障及其解决办法
• 菜鸟必看：网络故障汇总
• 网络故障诊断的原则
• 常见的网络故障排除办法
• 局域网类故障-网络故障维修
• 利用ADSL指示灯 教你轻松识别网络
• 解决本地路由引起的网络故障
• 网管解决网络故障的五个常见盲点
• 实例剖析：由于本地路由导致的网络
• 利用ADSL灯 轻松识别网络故障

　　出现新建区域向导，下一步。

　　新建区域类型为主要区域，下一步。

　　区域名称为. ，这就是传说中的根域。

　　根域的区域数据文件为root.dns。

　　不需要允许动态更新，下一步后结束私有根域创建。

　　创建根域后，我们需要在根域中为WPAD主机创建A记录，如下图所示，选择“新建主机”。

　　完全合格域名为WPAD. ，IP为ISA服务器的内网地址。

　　OK，如下图所示，WPAD记录已经创建完毕，我们来试试能否发挥作用呢?

　　这次我们在Perth上安装上防火墙客户端，从理论上分析，防火墙客户端需要从WPAD主机下载WSPAD.DAT，我们双击防火墙客户端，切换到“设置”标签，选择“自动检测到的ISA服务器”，点击“立即检测”。

　　测试结果如下，防护器客户端成功地发现了代理服务器。

　　别忘了把自动检测的过程用Ethereal抓下来，如下图所示，我们可以很清楚地看到，Perth请求DNS服务器解析域名WPAD，DNS服务器将域名解析为10.1.1.254(私有根起作用了)，Perth接下来就去10.1.1.254下载WSPAD.DAT，用此文件将防火墙客户端所使用的代理服务器设置为Beijing。

　　上次我们用浏览器自动检测失败了，这次再试试，用Ethereal抓包，结果如下图所示。我们可以看到客户机也是先请求DNS服务器对wpad进行域名解析，然后根据解析结果到ISA服务器请求下载WPAD.DAT，文件下载之后就可以用于配置浏览器了。

　　从上述实验来看，通过DNS的私有根来解决WPAD域名解析在技术层面是可行的，但这种方法其实有很大隐患。创建了私有根后会影响互联网上的域名解析，而且转发器也不能使用，

　　兄弟至此也没找到两全其美的办法，如果哪些弟兄有经验，还望不吝赐教。因此，我的结论是，除非你的单位本来就要部署私有根，否则还是别用这种方法解决问题，实在是弊大于利。

　　二 Perth换查询域名

　　既然Perth发起的WPAD域名解析让DNS服务器处理起来很为难，那能否让Perth换一个域名查询呢?例如让Perth查询wpad.itet.com，这样的域名DNS处理起来不要太轻松哦!问题是，如何能让Perth更换查询域名呢?秘密就在Perth的计算机名中，如果我们希望Perth查询的域名是wpad.itet.com，只需将Perth的计算机名的DNS后缀改为itet.com即可。操作具体如下，在Perth上用右键单击“我的电脑”，在属性中切换到“计算机名”标签，如下图所示，点击“更改”。

　　在计算机名称更改中，点击“其他”，如下图所示。

　　在计算机的DNS后缀处填写“itet.com”，点击确定后重新启动计算机。

　　在DNS服务器上创建区域itet.com，并新建一个名为WPAD的A记录，如下图所示。现在WPAD记录已经有了，就等着客户机来查询了。

　　在客户机上用防火墙客户端测试一下，如下图所示，我们可以看到客户机发出的查询已经改为wpad.itet.com了，服务器把域名解析为ISA的内网IP，随后客户机就去ISA下载wspad.dat了。呵呵，如果客户机是在域环境下，根本就无需更改计算机名后缀，想想其实还是有AD比较方便。

　　总结：用DNS部署WPAD在域环境下比较合适，在工作组环境下就需要进行一些调整，但无论是创建DNS私有根还是更改客户机的计算机名后缀，都不算是非常完美的解决方案。因此我们建议在工作组环境下可以考虑用DHCP来解决这个问题，我们在下篇博文中将介绍如何利用DHCP来解决WPAD部署的问题。

【深 度 阅 读】 相 关 文 章

• 网络故障及其解决办法一览
• 常见网络故障的排除方法之(下)
• 常见网络故障 诊断技巧70例
• 网络故障排除四部曲“望、闻、问、切”