Konfiguration des ISA für automatische Suche der Clienteinstellungen (WPAD/WSPAD)
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
Die automatische Suchfunktion des ISA Server ermöglicht die Konfiguration von Clients, sodass sie automatisch den entsprechenden ISA Server-Computer suchen und finden. Auf diese Weise können zum Beispiel mobile Clients eine Verbindung zum nächstgelegenen ISA Server-Computer herstellen. Dies ist besonders für Unternehmen mit mehreren Standorten interessant. Jeder Standort ist durch einen eigenen ISA Server geschützt, hat aber ein anderes IP-Netzwerk. Benutzer, die mit ihren Notebook zwischen den einzelnen Standorten wechseln, müssen keine Konfigurationsänderungen am Webbrowser und/oder Firewallclient vornehmen. Durch Aktivieren der automatischen Suche suchen alle Webproxy- und Firewallclients automatisch den entsprechenden ISA Server-Computer. Dies senkt auch den administrativen Aufwand erheblich, denn künftig müssen bei Netzwerkveränderungen die Clients nicht mehr manuell angepasst werden.
Voraussetzung für das Webproxy Autodiscovery Protokoll (WPAD) bzw. Winsock Proxy Autodiscovery Protokoll (WSPAD) ist eine funktionierende DNS- und/oder DHCP-Umgebung. Wenn die automatische Suche konfiguriert ist, verbinden sich die Webproxy- oder Firewallclients mit dem DNS oder DHCP-Server und fragen nach einem WPAD-Eintrag, der auf den ISA Server verweist. Wenn der WPAD-Eintrag zur Verfügung gestellt werden kann können die Clients den angegebenen ISA Server verwenden. WPAD setzt einen Internet Explorer 5.0 oder höher voraus. WPAD/WSPAD über DNS wird von Windows Server 2003, Windows XP, Windows 2000, Windows NT 4.0, Windows 98 und Windows Me unterstützt. WPAD/WSPAD über DHCP ist für Windows Server 2003, Windows XP, Windows 2000, Windows 98 und Windows Me nutzbar.
Neben den angesprochenen Einstellungen am DNS- oder DHCP-Server ist eine (einfache) Einstellung am ISA Server vorzunehmen. Alle Konfigurationsdetails werden nachfolgend erläutert:
1. Einstellungen am ISA Server zur Veröffentlichung der WPAD-Informationen
WPAD-Informationen können für jedes interne Netzwerk individuell festgelegt werden.
In den Eigenschaften des internen Netzwerkes (ISA Verwaltungskonsole -> [Servername] -> Konfiguration -> Netzwerke -> [Netzwerkname]) gibt es die Registerkarte "Automatische Erkennung":
Der Port kann auch geändert werden, wenn er z.B. durch den IIS belegt ist. Der Port 80 beißt sich hier nicht mit dem Port für ausgehende Webanfragen.
2. Konfiguration der DNS-Einstellungen
In der internen DNS-Zone muss ein CName-Record (Alias) für den ISA Server eingerichtet werden:
Der Aliasname muss WPAD lauten, im nächsten Eingabefeld wird der komplette Domänenname des ISA Servers eingetragen. In diesem Beispiel heißt der Server "Panther", die Domäne lautet msisafaq.de.
3. Konfiguration der DHCP-Einstellungen
Es muss eine neue vordefinierte Option im DHCP-Server erstellt werden:
Es muss ein neuer Optionsname "WPAD" mit folgenden Daten eingerichtet werden:
Nachdem der Optionsname erstellt wurde, wird er auch verwendet.
Als Zeichenfolge wird der Pfad zum ISA Server eingetragen. Wurde ein entsprechender DNS-Eintrag erstellt und der Port im ISA auf 80 belassen, reicht obiger Eintrag aus. Der Einzutragende Name hat grundsätzlich das Format http://Computername:AutoDiscoveryPortNummer/Wpad.dat wobei Computername den vollqualifizierten Domänennamen des ISA Server-Computers und AutoDiscoveryPortNummer die Portnummer darstellt, auf der die Informationen für die automatische Suche veröffentlich werden. Dieser Port stimmt entweder mit der Portnummer für ausgehende Webanfragen oder einem zusätzlichen Port überein, der für die Veröffentlichung der automatischen Suche verwendet wird.
Als nächstes muss die soeben erstellte Option auch verwendet werden. Je nach DHCP-Konfiguration kann das in den Server- oder in den Bereichsoptionen eingestellt werden.
Es muss sichergestellt werden, dass die Option 252 aktiviert ist. Ein Beispiel für einen konfigurierten DHCP-Bereich mit Optionen könnte so aussehen:
4. Konfiguration der Clienteinstellungen für Firewallclients
Um die Einstellungen für die automatische Suche den Clients bei der Installation des Firewallclients mitzugeben, kann dies am ISA Server eingestellt werden.
Dazu werden weder die Eigenschaften internen Netzwerks geöffnet:
Durch diese Einstellung wird der Internet Explorer auf Clientcomputern, die den Firewallclient installiert haben, automatisch für WPAD konfiguriert und somit zum Webproxyclient.
In den Eigenschaften des Netzwerkes können auf der Registerkarte "Webbrowser" noch weitere Optionen konfiguriert werden:
Sofern z.B. im internen Netzwerk Webserver stehen, sollten diese direkt und ohne Proxyserver angesprochen werden. Dazukönnen diese Server oder Serverbereiche im obigen Feld als Proxyausnahmen eingetragen werden.
5. Konfiguration des Webbrowsers für die Automatische Suche
Wenn kein Firewallclient installiert ist, muss der Internet Explorer ggfs. manuell angepasst werden:
In den Eigenschaften der LAN-Einstellungen (IE -> Extras -> Internetoptionen -> Verbindungen) muss das Kontrollkästchen bei "Automatische Suche der Einstellungen" aktiviert sein. Bei einer Standard-Installation des IE ist dies der Fall.
Von nun an sucht sich der Client die Proxyeinstellungen selber. Erfahrungsgemäß kann dies beim ersten Aufruf des Browsers einige Sekunden dauern. Die automatische Suche kann auch für den Browser des ISA Computers selber verwendet werden.
6. Konfiguration des Firewallclients für die Automatische Suche
Natürlich unterstützt auch der Firewallclient die automatische Suche. Sobald der Client installiert ist müssen lediglich folgender Haken gesetzt werden:
Stand: Friday, 28. August 2009/DR.
