Come assegnare in modo automatico il Proxy Server ad un browser

Ottima guida integralmente riportata dal link:

http://www.homeworks.it/Html/GestioneWindows-3.html


Se si utilizza come proxy server il programma Internet Security and Acceleration Server (o più brevemente ISA Server) allora risulta possibile far assegnare, in modo automatico, l'impostazione del proxy server ad Internet Explorer.

Più in generale la proprietà di assegnare in modo automatico il proxy server, vale sia per Proxy Server diversi da ISA Server sia per browser diversi da Internet Explorer.

Questa caratteristica di ISA Server prende il nome di Automatic Discovery e consente di configurare in automatico sia il Web Proxy, sia il Firewall Client. Per poter però sfruttare questa caratteristica di ISA Server bisogna che le macchine su cui è installato Internet Explorer soddisfino alle seguenti condizioni:

  • Il client deve essere in grado di ricevere l'opzione 252 del DHCP Server.
  • Il client deve avere configurato nelle sue impostazioni locali di rete il DNS Domain Suffix a cui il client appartiene. Questa informazione può venire rilasciata direttamente dal DHCP Server.
  • Internet Explorer deve avere abilitata l'opzione Automatically Detect Settings. Si osservi che per quanto riguarda i client Windows 95 e Windows NT 4.0 questa opzione di Internet Explorer, sebbene presente, non è in grado di funzionare. Per cui, limitamente a questi client, non risulta possibile sfruttare la proprietà di Automatic Discovery. Per maggiori informazioni si consulti la Knowledge Base: KB313367.

Internet Explorer, se configurato per ricercare in modo automatico le impostazioni del proxy server (ovvero è stata abilitata l'opzione Automatically Detect Settings), interroga il DHCP Server affinchè questi gli fornisca il valore dell'opzione 252. Se non riceve alcuna risposta, Internet Explorer, procede alla ricerca dei seguenti URL:

  • http://wpad.:80/wpad.dat per la configurazione del Web Proxy.
  • http://wpad.:80/wspad.dat per la configurazione del Firewall Client.

Ne segue che affinchè Internet Explorer possa ricevere l'impostazione del proxy server questi deve essere in grado di rintracciare la macchina chiamata wpad. (dove costituisce il DNS Domain Suffix di apparteneza del client e WPAD è l'acronimo di Web Proxy Auto Discovery). La macchina wpad. altri non è, ovviamente, che lo ISA Server che pertanto deve essere in ascolto sulla porta 80. Se Internet Explorer riceve, invece, una risposta dal DHCP Server alla sua query sull'opzione 252, allora Internet Explorer utilizza la risposta del DHCP Server per rintracciare il file WPad.dat per la configurazione del Web Proxy e WSPad.dat per quella del Firewall Client. In questo modo risulta possibile configurare lo ISA Server affinchè questi resti in ascolto su una porta diversa da quella 80. Per accertarsi che la macchina wpad. venga rintracciata, bisogna configurare in modo opportuno i DNS Server:

  • Se esiste un solo ISA Server allora basta creare nei DNS Server della rete a cui appartengono i client un Address Record (Record A) dal nome WPAD che ha come Indirizzo IP l'indirizzo IP del ISA Server.
  • Se esite un CARP Array (la sigla CARP sta per Cache Array Routing Protocol) di ISA Server è sufficiente creare tanti Record A, chiamati WPAD i cui indirizzi IP sono gli indirizzi IP delle macchine ISA Server che compongono il CARP Array, all'interno dei DNS Server della rete che vengono utilizzati dai client per risolvere i nomi in indirizzi IP. Per consentire il bilanciamento del carico, nei DNS Server deve essere abilitato il Round Robin. Più in generale un CARP Array è un Array di Proxy Server che consente di sfruttare il contenuto delle URL in cache presenti nei vari Proxy Server che compongono l'Array. Infatti, ciascun Proxy Server, prima di andare a cercare la pagina web in Internet, conttatta uno degli altri Proxy Server per vedere se per caso uno di loro non la conserva in cache, riducendo in questo modo i tempi di risposta verso il client che ha chiesto la pagina web.

Si osservi che il record wpad. non deve necessariamente fare riferimento ad ISA Server, ma può puntare, più genericamente, ad un qualunque server web.

Si può far puntare il record wpad. ad un qualunque server web a patto che vengano soddisfatte le seguenti condizioni:

  • creare un file wpad.dat (un esempio di file wpad.dat può essere visto qui) ed inserirlo nella root directory del server web;
  • assicurarsi che il file wpad.dat possa venire scaricato in maniera anonima;
  • creare un MIME type per il file wpad.dat chiamato application/x-ns-proxy-autoconfig;
  • creare il corrispondente record DNS wpad. oppure l'opzione 252 del DHCP server che punti al server web in cui è stato copiato il file wpad.dat.

Recentemente, la Microsoft, ha introdotto in Windows 2008 alcune modifiche alla configurazione del servizio DNS. In particolare ha introdotto una lista, chiamata DNS Server Global Query Block List, di record DNS riservati, come ad esempio wpad., che non vengono rilasciati alle postazioni client quando questi svolgono una query DNS per risolverli. In altri termini, per impostazioni predefinite, i server DNS basati su Windows 2008 non sono in grado di rispondere alle query DNS per ottenere l'indirizzo IP del record wpad. Per maggiori informazioni sulla DNS Server Global Query Block List si può leggere il documento DNS Server Global Query Block List.

Per rimuovere il record wpad. dalla DNS Server Global Query Block List si può utilizzare il comando:

dnscmd /config /globalqueryblocklist isatap

Se si vuole invece disabilitare la DNS Server Global Query Block List, bisogna eseguire il comando:

dnscmd /config /enableglobalqueryblocklist 0

Se si vuole invece conoscere l'elenco dei record A che compongono la DNS Server Global Query Block List, bisogna eseguire il comando:

dnscmd /info /globalqueryblocklist

Se si vuole invece sapere se la DNS Server Global Query Block List è abilitata o meno, si deve eseguire il comando:

dnscmd /info /enableglobalqueryblocklist

Con l'installazione della HotFix MS09-008 nei server con sistema operativo Windows 2000 o Windows 2003 che ospitano il servizio DNS, vengono introdotte delle procedure di sicurezza che inibiscono il rilascio dei record wpad. e isatap. (la sigla ISATAP sta per Intra-Site Automatic Tunnel Addressing Protocol). Per consentire a questi server DNS di poter rispondere alle query DNS sui record wpad. e isatap., bisogna modificare la chiave di registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList togliendo i riferimenti al record che si vuole abilitare. Ad esempio, se si vuole abilitare la risposta alle query DNS sul record wpad., bisogna cancellare dalla chiave di registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList i riferimenti alla voce wpad e riavviare il servizio DNS Server. Per maggiori informazioni si può consultare la Knowledge Base KB968732.

Per configurare invece il DHCP Server in modo che questi sia in grado di rilasciare l'opzione 252, si deve procedere nel seguente modo (per maggiori informazioni si consulti la Knowledge Base: KB309814):

  • Tramite gli Administrative Tools lanciare la DHCP console.
  • Cliccare col pulsante destro del mouse sopra al nome del DHCP Server in cui si desidera configurare l'opzione 252. Dal menu contestuale che si apre selezionare la voce Set Predefined Options.
  • Cliccare sul pulsante Add.
  • Scrivere wpad all'interno della casella di testo Name.
  • Come Data Type selezionare l'opzione String.
  • Nella casella di testo Code scrivere 252.
  • Confermare i dati inseriti premendo OK.
  • All'interno della finestra di dialogo Predefined Option and Values scrivere:

*   http://wpad:/wpad.dat se si desidera configurare il Web Proxy. Dove è la porta in cui ISA Server resta in ascolto. Se la porta in cui ISA Server resta in ascolto è la 80 allora il valore può venire omesso. Si ricordi infine che ISA Server è Case Sensitive per cui bisogna stare attenti alle lettere maiuscole e minuscole.

*   http://wpad:/wspad.dat se si desidera configurare il Firewall Client. Dove è la porta in cui ISA Server resta in ascolto. porta in cui ISA Server resta in ascolto è la 80 allora il valore può venire omesso. Si ricordi infine che ISA Server è Case Sensitive per cui bisogna stare attenti alle lettere maiuscole e minuscole.

Più in generale possiamo dire che vi deve essere coerenza fra quanto riportato nel DNS Server e quanto riportato nell'opzione 252.

  • Premere OK per confermare quanto si è inserito.
  • Espandere lo Scope del DHCP in cui si vuole inserire la Scope Options 252 appena creata.
  • Cliccare col pulsante destro del mouse sulla voce Scope Options.
  • Nella finestra Scope Options scorrere la barra di scorrimento sino alla comparsa dell'opzione 252 wpad, selezionare la voce 252 wpad ed assicurarsi che il testo riportato nel campo String Value sia corretto.
  • Premere OK per confermare.
  • Se si è terminato, chiudere lo snap-in DHCP.

Per configurare Internet Explorer di modo che sia abilitata l'opzione Automatically Detect Settings si può procedere nel seguente modo:

  • Lanciare Internet Explorer 5.0 o superiore.
  • Aprire il menu Tools e selezionare la voce Internet Options.
  • Entrare nella sezione Connections.
  • Premere il pulsante LAN Settings.
  • Selezionare la voce Automatically Detect Settings.
  • Premere due volce OK per confermare.

Il modo di procedere indicato, va bene se il numero di client da configurare è relativamente piccolo, un metodo molto più elegante e conveniente, è quello di ricorrere all'uso di un Group Policy Object opportunamente configurato. L'utilizzo dei Group Policy Object consente anche di assegnare direttamente ai client, in alternativa al DHCP, l'assegnazione dell'Address del file wpad.dat.

Per configurare ISA Server si deve procedere nel seguente modo:

  • Aprire la ISA Management Snap-In.
  • Cliccare col pulsante destro del mouse sopra il nome del ISA Server o del Array di ISA Server.
  • Entrare nella sezione Autodiscovery. Selezionare l'opzione Publish Automatic Discovery Information.
  • Di default ISA Server resta in ascolto sulla porta 80 se lo si desidera si può cambiare questo valore. Più in generale deve esistere una coerenza fra la porta in cui resta in ascolto ISA Server e il valore dell'opzione 252 del DHCP Server.
  • Confermare le scelte effettuate cliccando su OK.
  • Cliccare su Save The Changes and Restart The Service(s) per confermare le modifiche effettuate e riavviare il Web Proxy Services.

Per avere maggiori informazioni sul comportamento di Internet Explorer quando è impostato per ricercare in modo automatico il proxy server si può consultare la Knowledge Base: KB296591.

Per avere maggiori informazioni sulla configurazione del Automatic Discovery di ISA Server si possono leggere le seguenti Knowledge Base: KB255930. KB307502, KB252898 e il documento Deploying the Secure Firewall, Proxy, and Web Cache.

Per avere maggiori informazioni su come realizzare un file WPAD.dat si può consultare il documento Proxy Automatic Configuration. Un tipico esempio di file WPAD.dat può essere visto qui.

Si osservi, infine, che se non si desidera utilizzare i record wpad., è bene riservare questo record all'interno dei servizi DNS e WINS, onde evitare che un programma male intenzionato, possa registrare un record wpad. che punti ad un file WPAD.dat maligno che esegua del codice inopportuno sul browser. Per registrare in maniere statica il record wpad., si può leggere quanto suggerito dalla Knowledge Base: KB934864.

Automatic Discovery e client remoti

I client che si collegano ad una LAN tramite una qualunque connessione Dial-Up non possono sfruttare la proprietà di Automatic Discovery di ISA Server. Quando parliamo di una qualunque connessione Dial-Up ci riferiamo a tutte le connessioni Dial-Up possibili, ovvero:

  • Accesso remoto tramite Modem.
  • Accesso remoto tramite VPN.
  • Accesso remoto tramite PPP.

L'impossibilità di godere della proprietà di Automatic Discovery di ISA Server sorge in quanto i client remoti non possono ricevere l'opzione 252 del DHCP Server (per maggiori informazioni a tal proposito si consulti la Knowledge Base: KB232703). In questo modo i client remoti non sono in grado di ricevere le impostazioni relative ai file WPad.dat e WSPad.dat fornite dal DHCP Server. Ciò non di meno, se si lascia in ascolto ISA Server sulla porta 80 e si sfrutta il comportamento di Internet Explorer quando questi non riceve risposta dal DHCP Server allora si può far configurare in automatico o il Web Proxy o il Firewall Client anche ai client remoti. In questo caso però, la risoluzione via DNS della macchina wpad. diventa fondamentale (si ricordi che da quanto detto, la macchina wpad. deve puntare o ad ISA Server direttamente o al Array di ISA Server).

Problemi noti

Sui client Windows XP in cui è stato installato Internet Explorer 6 Sp1, si possono verificare dei problemi nell'assegnazione automatica del Proxy Server. Per maggiori informazioni si può consultare la Knowledge Base KB829643.

 

Commenti

Posta un commento

Post popolari in questo blog

Come aumentare la dimensione di un disco VHD

Questo post è stato creato da Luca Ritossa ed è presente nel suo blog: http://luca.ritossa.it/ Le macchine virtuali (di seguito VM), ed in particolare i file VHD che corrispondono ai dischi virtuali, creati sotto Virtual PC 2007 o Virtual Server 2005 R2, non possono essere aumentati di dimensione una volta creati… almeno, non tramite l’interfaccia messa a disposizione dagli stessi Virtual*. Ho “provato sulla mia pelle” la procedura descritta nell’articolo Resizing A Virtual Disk del sito Peter’s Knowledge Base e posso dire che sono molto soddisfatto del risultato. Adesso mi ritrovo con un disco virtuale che potenzialmente può arrivare a 32GB, mentre prima era “limitato” a 16GB ormai quasi tutti pieni. Dico potenzialmente perché essendo Dynamic, il disco si espande fisicamente solo quando ne ha bisogno. Esistono, come sempre, soluzioni diverse per ottenere lo stesso risultato. Questo che ho scelto però utilizza tutti strumenti freeware. Qui di seguito un piccolo vademecum dei passi da
Continua a leggere

Recupero di messaggi in quarantena dalla cassetta postale di quarantena per la posta indesiderata: Guida di Exchange 2007

Recupero di messaggi in quarantena dalla cassetta postale di quarantena per la posta indesiderata Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007 Ultima modifica: 2007-03-13 In questo argomento viene descritto come utilizzare Microsoft Office Outlook 2007 per recuperare un messaggio in quarantena dalla cassetta postale di quarantena per la posta indesiderata. Se un messaggio raggiunge la soglia di quarantena per la posta indesiderata viene racchiuso in un rapporto di mancato recapito (NDR) e recapitato nella cassetta postale di quarantena per la posta indesiderata. Per ulteriori informazioni sull'impostazione dell'organizzazione di Exchange per l'utilizzo della funzione di quarantena per la posta indesiderata, vedere Configurazione e gestione della quarantena per la posta indesiderata . In Microsoft Exchange Server 2007, la quarantena per la posta indesiderata è una funzione dell'Agente filtro con
Continua a leggere

Windows Update - errore 80070003

Rimuovere i file temporanei utilizzati da Windows per individuare gli aggiornamenti per il computer. Per rimuovere i file temporanei 1) interrompere il servizio Windows Update; 2) eliminare i file di aggiornamento temporanei; 3) riavviare il servizio Windows Update; 4) controllare nuovamente la disponibilità di aggiornamenti per Windows. Per eliminare i file di aggiornamento temporanei cliccare su Start – Computer - fare doppio clic sul disco rigido locale in cui è installato Windows (in genere l'unità C) - Fare doppio clic sulla cartella Windows e quindi sulla cartella Software Distribution. Fare doppio clic sulla cartella DataStore per aprirla e quindi eliminare tutti i file contenuti (se viene chiesto di specificare una password di amministratore o di confermare, digitare la password o confermare). Cliccare sul pulsante Indietro e nella cartella SoftwareDistribution fare doppio clic sulla cartella Download per aprirla e quindi eliminare tutti i
Continua a leggere