Клиенты подключаются к DNS или DHCP для получения сведений о расположении сервера WPAD, на котором находятся конфигурационные файлы Wpad.dat и Wspad.dat. Затем клиенты подключаются к серверу для получения автоматических настроек веб-прокси.

В качестве сервера WPAD можно использовать Forefront TMG либо разместить файл Wpad.dat или Wspad.dat в альтернативном месте, например на сервере c IIS. При планировании работы с сервером WPAD следует учесть следующие моменты.

• Основное преимущество использования Forefront TMG в качестве сервера WPAD заключается в автоматическом обновлении файлов Wpad.dat и Wspad.dat при изменении параметров веб-прокси на консоли управления Forefront TMG. Содержимое файлов WPAD и WSPAD, размещенных на другом сервере, необходимо обновлять вручную.
  
  
• Если Forefront TMG действует как сервер WPAD и является недоступным, клиенты не могут запрашивать данные WPAD.
  
  
• При обработке файлов WPAD и WSPAD на компьютере с IIS исключаются проблемы, связанные с временем ожидания при обращении к кэш-памяти, которые возникают при постоянном изменении записей WPAD, указывающих на альтернативные компьютеры Forefront TMG.
  
  
• Настройка файлов WPAD и WSPAD на компьютере с IIS может быть связана с рядом предоставленных возможностей переключения при отказе. В IIS можно настроить несколько веб-серверов и в каждый из них поместить разные файлы WPAD и WSPAD. Активным будет считаться веб-сервер, содержащий информацию WPAD и WSPAD для активного в настоящий момент компьютера Forefront TMG.
  
  
• Если компьютер Forefront TMG не выступает в роли сервера WPAD, публиковать данные автообнаружения не требуется, поскольку Forefront TMG не прослушивает запросы на автообнаружение. Этот вариант может быть удобен в случае, если IIS установлены на компьютере Forefront TMG и существует возможность возникновения конфликта портов.
  
  
• Для обновления расположения сервера WPAD следует выполнить обновление записей DHCP или DNS WPAD, указывающих на сервер. Информация кэшируется на серверах DHCP или DNS, и в возвращенной записи WPAD могут отсутствовать самые актуальные данные о Forefront TMG.
  
  

Настройка сервера WPAD

Настройка альтернативного сервера WPAD

Принимая решение об использовании записи DHCP WPAD, записи DNS или обоих вариантов, необходимо учитывать следующие требования.

• Записи WPAD в DNS могут использоваться только клиентскими компьютерами, входящими в состав домена; клиенты должны быть настроены на разрешение имен DNS.
  
  
• При реализации WPAD с DNS-сервером следует настроить выполняющие автообнаружение записи для каждого домена, в который входят клиенты.
  
  
• Должен быть установлен действующий сервер DHCP.
  
  
• При использовании DNS для публикации WPAD функция автообнаружения должна использовать порт 80. В качестве альтернативы можно настроить прослушивание веб-запросов на порте 80.
  
  
• WPAD в DHCP доступен только определенным группам пользователей в некоторых клиентских операционных системах. Дополнительные сведения см. в следующей статье базы знаний Майкрософт: 3128, "Специальные разрешения для автоматического обнаружения прокси-серверов в Internet Explorer с помощью DHCP".
  
  
• Обычно серверы DHCP с функцией автообнаружения лучше всего работают для клиентов в сетях LAN, тогда как DNS-серверы позволяют выполнять автообнаружение на компьютерах, подключенных к локальной сети и имеющих удаленный доступ. Несмотря на то что DNS-серверы могут обрабатывать сетевые подключения и подключения удаленного доступа, серверы DHCP предоставляют пользователям LAN более быстрый доступ и значительную гибкость. Если настроены и DHCP, и DNS, то клиенты сначала обращаются с запросом на данные автообнаружения к DHCP, а затем - к DNS.
  
  

Протоколы, такие как WPAD, используют функцию динамического обновления DNS, позволяющую клиентским компьютерам DNS регистрировать и динамически обновлять записи ресурсов при изменении клиентом сетевого адреса или имени хоста. За счет использования этой функции клиенты становятся уязвимыми при перехватах. Например, злоумышленник может зарегистрировать компьютер в качестве сервера WPAD и направлять ему все запросы WPAD. При этом участие системного администратора необязательно.

С целью сокращения этого риска роль сервера DNS в Windows Server 2008 представляет глобальный список блокировки запросов. Действие списка блокировки.

• После установки или обновления служба DNS-сервера перечисляет зоны, для которых она является удостоверяющей. При нахождении записи ресурса компьютера (A или AAAA) для компьютера с именем WPAD соответствующее имя удаляется из списка блокировки прежде, чем список будет сохранен в реестре. Эти действия не влияют на клиентов, использующих WPAD.
  
  
• Если настройка или удаление WPAD происходит после развертывания роли сервера DNS на сервере с Windows Server 2008, необходимо обновить список блокировки на всех DNS-серверах, где находятся измененные зоны. Измененные зоны - это области регистрации серверов WPAD.
  
  

Инструкции см. в разделе Удаление WPAD из черного списка DNS.