Windows, Web-Clients und WPAD

Wenn es an die Verteilung der Einstellungen für den zentralen Web-Proxy geht, taucht ab und an das WPAD auf. Das Webproxy Autodiscovery Protocol (WPAD) wird mittels DNS und/oder DHCP verteilt und der Internet Security and Acceleration Server (ISA) stellt auf Wunsch auch gleich für das interne Netzwerk die Konfiguration (wpad.dat) zur Verfügung.

Das klappt auch soweit ganz gut. Laut einem Beitrag auf gruppenrichtlinien.de nutzt der IE die DHCP Option wohin der Firefox z.B. DNS zum Auffinden der Auto-Konfigurationseinstellungen braucht.

An unserem Standort sind sowohl DHCP wie auch DNS vorhanden so dass beide Dienste für WPAD bereitet werden sollen. Im DHCP wird die Serveroption 252 hinzugefügt:

  1. Rechtsklick in der DHCP Verwaltungskonsole (dhcpmgmt.msc) auf den Server
  2. “Vordefinierte Optionen einstellen…”
  3. Button “Hinzufügen”
    1. Name: WPAD
    2. Datentyp: Zeichenfolge
    3. Code: (leer lassen)
    4. Beschreibung: Web Proxy Autodiscovery
  4. Serveroption 252 hinzufügen und als Zeichenfolgenwert http://<ip-zum-wpad-server>/wpad.dat eintragen.

Über die DNS Verwaltungskonsole (dnsmgmt.msc) wird in der betreffenden Zone ein CNAME Eintrag mit dem Ziel des WPAD Servers angelegt.

Trotz der Vorbereitungen mochte der FirewallClient von nicht die wpad.dat laden. Über

FwcTool.exe TestAutoDetect

bekam er vom ISA Server immer einen HTTP Error 401 zurück:

http_errorr_401

Nach etwas suchen war auch klar warum. Im ISA gibt es für das interne Netzwerk die Möglichkeit, alle Benutzer einer Zwangsauthentifizierung zu unterwerfen. Diese Einstellung übergeht laut Beschreibung auch die Einstellungen in den Firewallrichtlinien.

internes_netzwerk

(ISA-Konsole) -> Konfiguration -> Netzwerke -> Intern -> Webproxy -> Zugelassene Authentifizierungsmethoden konfigurieren

In der ISA-Hilfe empfiehlt Microsoft anstelle der Option “Authentifizierung ist für alle Benutzer erforderlich” lieber die Authentifizierungseinstellungen der Firewallregeln (z.B. über die Benutzersätze “Alle authentifizierten Benutzer”) zu verwenden.

Nach entfernen der Option waren dann auch die Firewall-Clients (und somit auch die Browser) im Netzwerk zufrieden:

meldung_ok

Diese Seite bookmarken:
  • Digg
  • MisterWong.DE
  • del.icio.us
  • Slashdot
  • Facebook
  • Google
  • Live
  • YahooMyWeb
  • Technorati
  • Webnews.de
  • Ma.gnolia
  • TwitThis

Weitere Beiträge

This entry was posted on Freitag, Juni 20th, 2008 at 15:08 and is filed under Debugging, Internet, Sys Management. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Leave a Reply