设定替代的 WPAD 服务器
此替代设定是将 Wpad.dat 及 Wspad.dat 档案存放在 ISA Server 计算机以外的另一台计算机上。例如,您可以将档案存放在执行 IIS 的服务器上。在此种设定下,DNS 及 DHCP 项目会指向执行 IIS 的计算机,由此计算机担任专属的重新导向器,为客户端提供 WPAD 及 WSPAD 信息。要取得 Wpad.dat 及 Wspad.dat 档案,最简单的方法是透过网页浏览器联机到 ISA Server 计算机,再从下列 URL 取得档案:
? http://computer_name:port/wpad.dat
? http://computer_name:port/wspad.dat
Wpad.dat 及 Wspad.dat 档案应如下存放:
? 若为 DHCP 项目,只要选项 252 指向正确的位置,即可将档案放置在任何地方,而不仅限于已发行 Web 服务器的根数据夹。您可以修改 Wpad.dat 档案的名称,但不应该变更 Wspad.dat 档案的名称。可以在任何连接埠上发行 Web 服务器。
? 若为 DNS 项目,则必须将档案放置在已发行 Web 服务器的根数据夹中,且必须在连接埠 80 上发行 Web 服务器。
在所有情况下,Wspad.dat 档案都必须与 Wpad.dat 档案放在同一个数据夹中。
设定让客户端使用自动探索
为了方便部署,当您在 ISA Server 网络上设定防火墙客户端支持时,可设定网络内容,让网络中的防火墙客户端计算机的网页浏览器启用自动探索。其设定方法是,在网络内容的 [防火墙客户端] 索引卷标上启用 [自动侦测设定]。
在客户端计算机上安装防火墙客户端后,便会套用这些设定。若您日后变更 ISA Server 计算机上的防火墙客户端组态设定,ISA Server 会在以下情况下更新组态设定:每次重新启动防火墙客户端时、每次在 [Microsoft Firewall Client for ISA Server] 对话框中的 [设定] 索引卷标上点选 [立即侦测] 或 [测试服务器] 时,以及前次重新整理后每六小时。设定会套用到防火墙客户端计算机上的所有使用者。
对于不是在安装有防火墙客户端的计算机上执行的 Web Proxy 客户端,您可以在浏览器内容中启用自动探索。Internet Explorer 7、Internet Explorer 6 及 Internet Explorer 5 均支持自动侦测。若要启用自动侦测,在 Internet Explorer 中按一下 [因特网选项] 菜单。按一下 [联机] 索引卷标,然后按 [局域网络设定]。在 [局域网络 (LAN) 设定] 索引卷标上,按一下 [自动侦测设定],开始使用 WPAD 进行自动侦测。
使用自动设定指令码进行自动侦测
Web Proxy 客户端可使用设定指令码自动更新浏览器设定。客户端可使用该设定指令码辅助 WPAD 自动探索,亦可单独作为替代设定。
ISA Server 提供预设的设定指令码,位于 http://FQDN:8080/array.dll?Get.Routing.Script,其中 FQDN 是 ISA Server 计算机的 FQDN。此指令码含有在网络内容的 [网页浏览器] 索引卷标上指定的设定。若 Web Proxy 客户端设定为使用设定指令码,即可透过此信息自动更新。
或者,您可以自行建构 Proxy 自动设定 (PAC) 档案,并将其放置在 Web 服务器上。当网页浏览器在您指定的 URL 寻找设定指令码时,Web 服务器会接收要求,并将自订的自动设定指令码传回到浏览器。
如果同时启用 WPAD 并设定指令码,当 WPAD 侦测失败时,会使用指令码位置。
如下设定让客户端使用自动设定指令码:
? ISA Server 允许您指定让特定网络中所有的防火墙客户端使用自动设定指令码。在网络内容页面上,按一下 [防火墙客户端] 索引卷标。选取 [使用自动设定指令文件] 设定。
? 对于不是在防火墙客户端计算机上执行的 Web Proxy 客户端,应在网页浏览器内容中设定使用设定指令码。其设定方法是,在 Internet Explorer 中按一下 [因特网选项] 菜单。按一下 [联机] 索引卷标,然后按 [局域网络设定]。在 [局域网络 (LAN) 设定] 索引卷标上,按一下 [使用自动组态指令码],指定设定指令码的位置。或者,您可以使用群组原则来指定指令码的位置。
ISA Server 2006 Enterprise Edition 中的 Web Proxy 客户端容错移转
ISA Server 2006 Enterprise Edition 中具有某些 Proxy 容错移转能力、客户端 CARP 能力,以及网络负载平衡 (NLB) 设定。请考虑下列因素:
? CARP 提供负载平衡及快取散布,但未提供真正的容错移转解决方案。例如,Internet Explorer 依预设会进行 50 分钟的设定指令码 (Wpad.dat 或 Isa.routing.script) 快取,而新的网页浏览器工作阶段会先检查指令码的快取。若有指令码所指定的 ISA Server 数组成员因故无法使用,客户端仍会以快取到的指令码尝试与其联机。
? 设定指令码属于客户端型,而 CARP 实作取决于客户端对于特定服务器状态的转译。相较于 NLB 服务器型解决方案,指令码的错误回复力较低。
? 同时实作 NLB 及 CARP 可确保自动设定指令码具有高度可用性,因此提供某种程度的容错移转能力。若您已设定 NLB,可在自动设定指令码的所在位置指定 NLB 丛集的虚拟 IP 地址,或是在 DNS 或 DHCP WPAD 项目中指定虚拟 IP 地址。NLB 只会向数组的可用成员转送指令码的要求。而指令码中的客户端 CARP 算法会确保让最合适的数组成员处理 URL 要求。
? 若为真正的容错移转能力,客户端会联机到数组虚拟 IP 地址,而非使用自动设定指令码中的客户端 CARP 能力。
更多内容请看ISA Server专题,或进入讨论组讨论。
相关专题
- ISA Server (194篇文章)
- 百毒不侵 安全手段让电脑轻松过春节 (150次浏览)
- 高手支招 详解注册表与系统安全 (149次浏览)
- 不怕攻击 家庭上网必学八招安全绝招 (84次浏览)
- Windows安全经验之预防病毒的八个忠告 (83次浏览)
- 最安全的打开U盘的方法 (62次浏览)
- 艳照门启示录:要给电脑“洗澡” (57次浏览)
- “网页挂马”新形态初现 木马传播数量激增 (52次浏览)
- 系统安全:剿清删不掉的DLL木马 (51次浏览)
- 后门程序:其实我就是传说中的卧底! (48次浏览)
- 让电脑裸奔 制作百毒不侵的Windows系统 (44次浏览)
