Migration ISA Server 2k4, 2k6 zu TMG, WPAD

#client, #de, #server, #security edit this page

Wenn der ISA Server zu TMG oder einem anderen physischen Server migriert wird und sich dadurch der Servername ändert, funktioniert unter Umständen die automatische Browserkonfiguration über WPAD bei DHCP Clients nicht mehr.

WPAD

Das Web Proxy Autodiscovery Protocol (WPAD) ist ein Protokoll, mit dem Web-Clients automatisiert zu verwendende Web-Proxies innerhalb eines Computernetzwerkes finden können, indem eine Proxy autoconfiguration (PAC)-Datei unter einer erratbaren URL gespeichert wird, beispielsweise http://wpad.example.com/wpad.dat

WPAD wird in den DHCP Einstellungen sowie in DNS konfiguriert um DHCP Clients und jene Geräte mit den automatischen Einstellungen zu versorgen, die eine statische IP Adresse besitzen.

Das Problem nach Migrationen / Serverumzug des ISA / TMG Servers bei DHCP Clients erklärt sich so:

Am DHCP Server wird eine neue Option (252) konfiguriert, die den Pfad zur WPAD.dat Datei bereitstellt. Sobald ein neuer DHCP Client sich vom DHCP Server eine IP Adresse holt, bekommt er auch eine Lease-Zeit zugewiesen, wie lange er die Adresse verwenden darf. Die Lease wird standardmäßig nach der Hälfte der Lease-Zeit verlängert.
Solange sich der Client in dieser Lease befindet und die IP Adresse dem DHCP Server anbietet, wird die WPAD Datei nicht aktualisiert.

Ändert sich jetzt der Servername des ISA / TMG Servers und ist in der Option 252 vom DHCP Server der jeweilige Servername eingetragen, so erhalten die DHCP Clients nicht die neue Konfiguration. Man müsste bei jedem Client, der sich in einer Lease befindet die Befehle ipconfig /release und ipconfig /renew ausführen um einen manuellen Refresh durchzuführen.

Es gibt mehrere Methoden das Problem zu umgehen:

Methode 1 – Option 252 von Anfang an mit dem CNAME WPAD konfigurieren

Wenn man in den DHCP Einstellungen nicht den FQDN des Servers verwendet, sondern den CNAME WPAD (so wie man es für DNS konfigurieren muss), so wird der CNAME WPAD immer auf den jeweiligen aktuellen Server zeigen.
ACHTUNG: Dies muss natürlich von Anfang an so erfolgen!!

image

Methode 2 – Clients daran hindern die WPAD Option von DHCP zu zeihen.

Durch hinzufügen des Registry Keys: AutoProxyDetectType mit dem Wert 2 unter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

werden die Clients angewiesen das WPAD File über DNS anzufragen.

image

Grüße
dn