當(dāng)前位置：首頁(yè) > 编程资源 > 编程问答 >内容正文

编程问答

WPAD原理介绍暨故障排查：ISA2006系列之三

發(fā)布時(shí)間：2023/12/9 编程问答 36 豆豆

生活随笔收集整理的這篇文章主要介紹了 WPAD原理介绍暨故障排查：ISA2006系列之三小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

WPAD的部署原理暨故障排查<?XML:NAMESPACE PREFIX = O />

?WPAD是Web Proxy Auto Discovery的縮寫，意思是Web代理服務(wù)器自動(dòng)發(fā)現(xiàn)。WPAD的設(shè)計(jì)目的是讓瀏覽器能自動(dòng)發(fā)現(xiàn)代理服務(wù)器，這樣用戶可以輕松訪問(wèn)互聯(lián)網(wǎng)而且無(wú)需知道哪臺(tái)計(jì)算機(jī)是代理服務(wù)器。在ISA2006中，WPAD不僅能讓客戶機(jī)瀏覽器自動(dòng)發(fā)現(xiàn)代理服務(wù)器，還可以用于防火墻客戶端自動(dòng)發(fā)現(xiàn)代理服務(wù)器。顯然，WPAD對(duì)代理服務(wù)器的透明處理讓管理員輕松了不少，管理員不再需要去每臺(tái)客戶機(jī)上設(shè)置代理服務(wù)器參數(shù)了。但櫻桃好吃樹難栽，WPAD的部署并非都是一帆風(fēng)順，WPAD的部署可以借助DNS服務(wù)器或DHCP服務(wù)器，容易出問(wèn)題的是用DNS服務(wù)器進(jìn)行部署，尤其是在工作組環(huán)境下問(wèn)題更多。今天我們就來(lái)構(gòu)造一個(gè)實(shí)驗(yàn)環(huán)境，為大家剖析WPAD的工作原理以及故障原因。實(shí)驗(yàn)拓?fù)淙缦聢D所示。內(nèi)網(wǎng)計(jì)算機(jī)在工作組環(huán)境，Florence是DNS服務(wù)器，Perth是客戶機(jī)，Beijing是ISA2006服務(wù)器。 <?XML:NAMESPACE PREFIX = V /> 用DNS來(lái)實(shí)現(xiàn)WPAD，原理如下： 1 Perth向DNS服務(wù)器發(fā)出查詢請(qǐng)求，要求獲得WPAD主機(jī)的IP地址。

2 Perth根據(jù)查詢到的IP地址，去WPAD主機(jī)的80端口下載WPAD.DAT或WSPAD.DAT。WPAD.DAT可用于配置客戶機(jī)瀏覽器，讓瀏覽器自動(dòng)發(fā)現(xiàn)代理服務(wù)器；WSPAD.DAT則用于配置客戶機(jī)上的防火墻客戶端自動(dòng)發(fā)現(xiàn)代理服務(wù)器。

從以上的原理分析，首先WPAD主機(jī)要在80端口提供wpad.dat和wspad.dat，有了這兩個(gè)文件，客戶機(jī)上的瀏覽器或防火墻客戶端才能實(shí)現(xiàn)自動(dòng)配置。其次，DNS服務(wù)器要?jiǎng)?chuàng)建相關(guān)記錄，當(dāng)客戶機(jī)來(lái)查詢時(shí)，將解析結(jié)果指向WPAD主機(jī)。好，我們先來(lái)解決第一個(gè)問(wèn)題，WPAD主機(jī)如何能夠提供WPAD.DAT和WSPAD.DAT兩個(gè)文件呢？最簡(jiǎn)單的辦法是讓ISA服務(wù)器作WPAD主機(jī)，同時(shí)提供兩個(gè)配置文件，具體做法是，在ISA服務(wù)器上依次點(diǎn)擊開始－程序－Microsoft ISA Server－ISA服務(wù)器管理－配置－網(wǎng)絡(luò)－內(nèi)部，右鍵點(diǎn)擊“內(nèi)部”，選擇屬性，如下圖所示，切換到“自動(dòng)發(fā)現(xiàn)”標(biāo)簽，勾選“為此網(wǎng)絡(luò)發(fā)布自動(dòng)發(fā)現(xiàn)信息”，這樣ISA就可以在80端口提供WPAD.DAT和WSPAD.DAT兩個(gè)文件了。

測(cè)試一下，看看ISA服務(wù)器是否提供了配置文件。如下圖所示，在瀏覽器中輸入http://<?XML:NAMESPACE PREFIX = ST1 />10.1.1.254/wpad.dat，測(cè)試結(jié)果如下圖所示，這表明ISA服務(wù)器已經(jīng)在80端口發(fā)布了WPAD.DAT，用同樣的方法可知ISA也發(fā)布了WSPAD.DAT。

WPAD主機(jī)已經(jīng)在80端口提供了WPAD.DAT和WSPAD.DAT，一個(gè)問(wèn)題解決了，接下來(lái)我們考慮另一個(gè)問(wèn)題，客戶機(jī)到底是怎么通過(guò)DNS來(lái)查詢WPAD主機(jī)呢？具體是這樣的，客戶機(jī)向DNS發(fā)出一個(gè)查詢請(qǐng)求，請(qǐng)求解析的域名為WPAD+X。怪了，怎么會(huì)是X呢？X代表不確定性，如果客戶機(jī)所在的域?yàn)?/span>itet.com，那么客戶機(jī)就請(qǐng)求解析wpad.itet.com；如果客戶機(jī)沒(méi)加入域，但計(jì)算機(jī)名的后綴為abc.com，那么客戶機(jī)就請(qǐng)求解析wpad.abc.com；如果客戶機(jī)既沒(méi)有加入域，也沒(méi)有計(jì)算機(jī)名后綴，那客戶機(jī)就請(qǐng)求解析wpad。這里是WPAD配置的關(guān)鍵所在，為什么論壇上很多管理員在域環(huán)境配置WPAD很正常，換到工作組環(huán)境就容易出問(wèn)題呢？因?yàn)橛颦h(huán)境下有統(tǒng)一的名稱邊界，客戶機(jī)請(qǐng)求解析的域名后綴是固定的，而工作組的有組織無(wú)紀(jì)律特性決定了它的解析請(qǐng)求是無(wú)規(guī)律的。

下面舉個(gè)具體的例子。如下圖所示，Perth屬于工作組，Perth將10.1.1.101作為自己的DNS服務(wù)器，我們分析一下Perth是如何利用DNS來(lái)自動(dòng)發(fā)現(xiàn)代理服務(wù)器的。

將Perth的瀏覽器配置為自動(dòng)檢測(cè)發(fā)現(xiàn)，在IE瀏覽器中依次點(diǎn)擊工具－Internet選項(xiàng)－連接－局域網(wǎng)設(shè)置，如下圖所示，勾選“自動(dòng)檢測(cè)設(shè)置”。

在Perth上打開瀏覽器訪問(wèn)一個(gè)網(wǎng)站，同時(shí)啟用Ethereal抓包追蹤，抓包結(jié)果如下圖所示，我們可以看到Perth請(qǐng)求DNS服務(wù)器解析域名WPAD，服務(wù)器解析失敗后Perth又試圖用廣播進(jìn)行名稱解析，名稱解析失敗后Perth無(wú)法找到WPAD主機(jī)去下載WPAD.DAT，代理服務(wù)器自動(dòng)發(fā)現(xiàn)失敗。很多朋友在論壇中發(fā)帖說(shuō)自己在工作組中配置WPAD時(shí)出問(wèn)題，其實(shí)問(wèn)題就出在DNS服務(wù)器無(wú)法解析域名WPAD。

好，WPAD配置出問(wèn)題了，而且是意料之中的，那如何解決呢？兩種思路，一是想辦法讓DNS服務(wù)器能解析出域名WPAD，二是想辦法讓Perth查詢一個(gè)DNS服務(wù)器容易回答的域名。我們沿著這兩種思路來(lái)嘗試一下。

一? 讓DNS服務(wù)器能解析域名WPAD

WPAD這個(gè)域名為何難以解析呢？從結(jié)構(gòu)上分析，WPAD域名隸屬于根域，一般DNS服務(wù)器對(duì)根域根本就沒(méi)有解析資格，因此解析這種域名有點(diǎn)勉為其難。兄弟不才，嘗試用DNS私有根來(lái)解決這個(gè)問(wèn)題，在DNS服務(wù)器中右鍵點(diǎn)擊正向查找區(qū)域，如下圖所示，選擇“新建區(qū)域”。

出現(xiàn)新建區(qū)域向?qū)?#xff0c;下一步。

新建區(qū)域類型為主要區(qū)域，下一步。

區(qū)域名稱為. ，這就是傳說(shuō)中的根域。

根域的區(qū)域數(shù)據(jù)文件為root.dns。

不需要允許動(dòng)態(tài)更新，下一步后結(jié)束私有根域創(chuàng)建。

創(chuàng)建根域后，我們需要在根域中為WPAD主機(jī)創(chuàng)建A記錄，如下圖所示，選擇“新建主機(jī)”。

完全合格域名為WPAD. ，IP為ISA服務(wù)器的內(nèi)網(wǎng)地址。

OK，如下圖所示，WPAD記錄已經(jīng)創(chuàng)建完畢，我們來(lái)試試能否發(fā)揮作用呢？

這次我們?cè)?/span>Perth上安裝上防火墻客戶端，從理論上分析，防火墻客戶端需要從WPAD主機(jī)下載WSPAD.DAT，我們雙擊防火墻客戶端，切換到“設(shè)置”標(biāo)簽，選擇“自動(dòng)檢測(cè)到的ISA服務(wù)器”，點(diǎn)擊“立即檢測(cè)”。

測(cè)試結(jié)果如下，防護(hù)器客戶端成功地發(fā)現(xiàn)了代理服務(wù)器。別忘了把自動(dòng)檢測(cè)的過(guò)程用Ethereal抓下來(lái)，如下圖所示，我們可以很清楚地看到，Perth請(qǐng)求DNS服務(wù)器解析域名WPAD，DNS服務(wù)器將域名解析為10.1.1.254（私有根起作用了），Perth接下來(lái)就去10.1.1.254下載WSPAD.DAT，用此文件將防火墻客戶端所使用的代理服務(wù)器設(shè)置為Beijing。

上次我們用瀏覽器自動(dòng)檢測(cè)失敗了，這次再試試，用Ethereal抓包，結(jié)果如下圖所示。我們可以看到客戶機(jī)也是先請(qǐng)求DNS服務(wù)器對(duì)wpad進(jìn)行域名解析，然后根據(jù)解析結(jié)果到ISA服務(wù)器請(qǐng)求下載WPAD.DAT，文件下載之后就可以用于配置瀏覽器了。

從上述實(shí)驗(yàn)來(lái)看，通過(guò)DNS的私有根來(lái)解決WPAD域名解析在技術(shù)層面是可行的，但這種方法其實(shí)有很大隱患。創(chuàng)建了私有根后會(huì)影響互聯(lián)網(wǎng)上的域名解析，而且轉(zhuǎn)發(fā)器也不能使用，兄弟至此也沒(méi)找到兩全其美的辦法，如果哪些弟兄有經(jīng)驗(yàn)，還望不吝賜教。因此，我的結(jié)論是，除非你的單位本來(lái)就要部署私有根，否則還是別用這種方法解決問(wèn)題，實(shí)在是弊大于利。

二? Perth換查詢域名既然Perth發(fā)起的WPAD域名解析讓DNS服務(wù)器處理起來(lái)很為難，那能否讓Perth換一個(gè)域名查詢呢？例如讓Perth查詢wpad.itet.com，這樣的域名DNS處理起來(lái)不要太輕松哦！問(wèn)題是，如何能讓Perth更換查詢域名呢？秘密就在Perth的計(jì)算機(jī)名中，如果我們希望Perth查詢的域名是wpad.itet.com，只需將Perth的計(jì)算機(jī)名的DNS后綴改為itet.com即可。操作具體如下，在Perth上用右鍵單擊“我的電腦”，在屬性中切換到“計(jì)算機(jī)名”標(biāo)簽，如下圖所示，點(diǎn)擊“更改”。

在計(jì)算機(jī)名稱更改中，點(diǎn)擊“其他”，如下圖所示。

在計(jì)算機(jī)的DNS后綴處填寫“itet.com”，點(diǎn)擊確定后重新啟動(dòng)計(jì)算機(jī)。

在DNS服務(wù)器上創(chuàng)建區(qū)域itet.com，并新建一個(gè)名為WPAD的A記錄，如下圖所示?，F(xiàn)在WPAD記錄已經(jīng)有了，就等著客戶機(jī)來(lái)查詢了。

在客戶機(jī)上用防火墻客戶端測(cè)試一下，如下圖所示，我們可以看到客戶機(jī)發(fā)出的查詢已經(jīng)改為wpad.itet.com了，服務(wù)器把域名解析為ISA的內(nèi)網(wǎng)IP，隨后客戶機(jī)就去ISA下載wspad.dat了。呵呵，如果客戶機(jī)是在域環(huán)境下，根本就無(wú)需更改計(jì)算機(jī)名后綴，想想其實(shí)還是有AD比較方便。

總結(jié)：用DNS部署WPAD在域環(huán)境下比較合適，在工作組環(huán)境下就需要進(jìn)行一些調(diào)整，但無(wú)論是創(chuàng)建DNS私有根還是更改客戶機(jī)的計(jì)算機(jī)名后綴，都不算是非常完美的解決方案。因此我們建議在工作組環(huán)境下可以考慮用DHCP來(lái)解決這個(gè)問(wèn)題，我們?cè)谙缕┪闹袑⒔榻B如何利用DHCP來(lái)解決WPAD部署的問(wèn)

轉(zhuǎn)載于:https://blog.51cto.com/cyc4634/141712

總結(jié)

以上是生活随笔為你收集整理的WPAD原理介绍暨故障排查：ISA2006系列之三的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。

上一篇：大数据采集技术综述
下一篇：小说全自动采集详细过程-支持各大开源小说