The WPAD (Web Proxy Auto-Discovery) protokoll võimaldab teil hõlpsalt konfigureerida võrgu klientide puhverserveri sätteid. WPAD-i idee seisneb selles, et klient saab kasutada DHCP-d ja/või DNS-i, et leida teie võrgust veebiserver, millel on PAC-i konfiguratsioonifail koos puhverserveri sätetega (http://yourdomain/wpad.dat).
Sisu:
- Puhverserveri automaattuvastusfaili loomine (wpad.dat)
- WPAD-kirjete konfigureerimine DHCP-s või DNS-is
- Kuidas WPAD-i jaoks brausereid konfigureerida
Puhverserveri automaattuvastusfaili loomine (wpad.dat)
Eriline PAC (Puhverserveri automaatse konfiguratsiooni) fail kirjeldab puhverserveri kasutamise reegleid. PAC-faili eelmääratletud nimi on wpad.dat. See fail sisaldab reegleid, mis määravad, kas klient peab konkreetse ressursiga (HTTP, HTTPS või FTP) ühenduse loomisel kasutama puhverserverit või sellele otse juurde pääsema.
Javascripti süntaksit kasutatakse failis wpad.dat. Saate määrata puhverserveri vaikeaadressi ning ka erinevad erandid ja reeglid selle kohta, millal klient peaks (või ei peaks) kasutama ühenduste jaoks puhverserverit.
Vaatame wpad.dat süntaksi lihtsat näidet:
function FindProxyForURL(url, host)
{ if (shExpMatch(host, "127.0.0.1" )) {return "DIRECT";} if (shExpMatch(host, "*/localhost*" )) {return "DIRECT";} if (isInNet(host, "192.0.0.0", "255.0.0.0")) {return "DIRECT";} if (isInNet(host, "10.0.0.0", "255.0.0.0")) {return "DIRECT";} // Dedicated proxy for a specific IP network if (isInNet(myIpAddress(), "172.15.1.0", "255.255.255.0")) {return "PROXY prx2.woshub.com: 8080";} if (dnsDomainIs(host, "*.corp.woshub.com")) {return "DIRECT";} // Local addresses to be accessed directly if ( shExpMatch(url,"http://*.woshub.com") || shExpMatch(url,"https://*.woshub.com") || shExpMatch(url,"ftp://*.woshub.com") ) return "DIRECT"; // If the URL does not contain dots in the address, the client should access it directly. if (isPlainHostName(host)) {return "DIRECT";} if (shExpMatch(host,"bank.example.com")) {return "DIRECT";} // Use a separate proxy server to access a specific wildcard domain if (shExpMatch(url,"*.microsoft.com*")){return "PROXY prx2.woshub.com: 8080";} //a default proxy server address return "PROXY proxy.woshub.com: 3128"; }
PAC-fail koosneb tavaliselt ühest FindProxyForURL funktsioon, mis tagastab kliendile puhverserveri aadressi taotletud URL-i alusel. Sel juhul tagastatakse "OTSE” direktiiv näitab, et nendele IP-aadressidele ja domeenidele juurdepääsuks tuleks kasutada otseühendust (ilma puhverserverita). Kui veebisait, millele klient juurde pääseb, ei vasta ühelegi WPAD-faili reeglile, vaikepuhverserver (PROXY proxy.woshub.com: 3128) kasutatakse sellele juurdepääsuks.
PAC-faili saate kasutada lihtsa sisu filtreerimise vahendina, et keelata juurdepääs teatud veebisaitidele või takistada juurdepääsu reklaamidega domeenidele.
proxy_empty = "PROXY 127.0.0.1:3128"; // a link to an non-existing proxy
if ( shExpMatch(url,"*://twitter.com/*")) { return proxy_empty; }
if ( shExpMatch(url,"*://spam.*")) { return proxy_empty; }
if ( shExpMatch(url,"*doubleclick.net/*")) { return proxy_empty; }
Erinevatel OS-i versioonidel on piirangud PAC-faili maksimaalsele suurusele. Windowsi puhul ei tohi faili wpad.dat suurus ületada 1 MB.
Asetage wpad.dat oma kohaliku võrgu HTTP-veebiserverisse ja lubage kõigil kasutajatel seda lugeda. Võite kasutada Linuxi-põhist (nginx, apache, lighttpd) või Windowsi-põhist (IIS või lihtne PowerShellil põhinev HTTP-server) veebiserver.
Selles näites avaldan faili wpad.dat domeenikontrolleri IIS-i veebiserveris. Kopeeri wpad.dat juurde C:\inetpub\wwwroot.
Kui teie võrgus on domeeniväliseid kliente, andke IIS-i kaustas IUSR ja IIS APPPOOL\DefaultAppPool kirjutuskaitstud õigused.
Avage IIS-i haldur (inetmgr), valige MIME tüübid IIS-i veebisaidi seadetes ja lisage uus tüüp:
- Failinime laiend:
.dat - MIME tüüp:
application/x-ns-proxy-autoconfig
Taaskäivitage IIS.
WPAD-kirjete konfigureerimine DHCP-s või DNS-is
Nüüd peate konfigureerima DHCP-serverid või DNS-kirjed, et kliendid saaksid PAC-faili avastada.
Kui kasutate DHCP-serverit, saate suvandi abil määrata klientidele WPAD-aadressi 252. Selles näites jaoks DHCP, milles töötab Windows Server:
- Avage DHCP konsool (
dhcpmgmt.msc), klõpsake jaotist IPv4 ja valige Määrake eelmääratletud valikud; - Klõpsake Lisama ja lisage kirje järgmiste valikutega:
Nimi:WPAD
Andmetüüp:string
Kood:252 - Klõpsake nuppu OK ja määrake oma WPAD-hosti aadress (
http://wpad.woshub.com).
- Seejärel avage Reguleerimisala valikud ja lubage 252 WPAD selle jaoks suvand (või seadistage seade jaotises Serveri valikud jaotis).
Seejärel looge A- või CNAME-i DNS-kirjed wpad nimi teie domeenis.
Kui kasutate Active Directoryt, pange tähele, et vaikimisi blokeerib Microsofti DNS-server selle kasutamise wpad ja isatap nimed. Seda saate kontrollida, käivitades käsu::
dnscmd mun-dc02 /info /globalqueryblocklist
Nende nimede DNS-is kasutamise lubamiseks käivitage see käsk:
dnscmd mun-dc02 /config /enableglobalqueryblocklist 0
dnscmd /config /globalqueryblocklist
Ja lisage rekord isatap:
dnscmd /config /globalqueryblocklist isatap
Tehke samad muudatused kõigis DNS-serverites.
Seejärel looge nimega A-kirje wpad mis osutab teie veebiserverile, kus WPAD-fail asub. A-kirje saate luua käsitsi DNS-halduris (dnsmgmt.msc) või kasutades Add-DnsServerResourceRecordA PowerShelli cmdlet:
Add-DnsServerResourceRecordA -Name wpad -IPv4Address 192.168.13.10 -ZoneName woshub.loc -TimeToLive 01:00:00
Kuidas WPAD-i jaoks brausereid konfigureerida
Nüüd peate oma brauserid konfigureerima PAC-faili käivitamisel automaatselt vastu võtma. Selleks lubage Automaatse tuvastamise sätted suvand (Tööriistad > Interneti-suvandid > Ühendused > LAN-sätted) IE sätetes või Windowsi puhverserveri sätetes jaotises Seaded (MS-Settings kiire URI käsk: ms-settings: network-proxy).
Saate selle valiku keskselt lubada, kasutades Grupipoliitika valik Kasutaja konfiguratsioon -> Eelistused -> Juhtpaneeli sätted -> Interneti-sätted –> Uus -> Internet Explorer 10.
Nüüd otsivad kliendiseadmete brauserid a wpad sisestamise DNS-i (või hankige see DHCP-st), kui need on laaditud. Kui võrgust avastatakse WPAD-iga host, laadib klient faili alla http://wpad.%domain%/wpad.dat, käivitage JavaScripti kood ja rakendage PAC-faili puhverserveri reegleid.
Näiteks Windows otsib wpad nimi esmalt DNS-is, seejärel Link-Local Multicast Name Resolutioni (LLMNR) kaudu ja seejärel NetBIOS-i (NBNS) abil. Kui LLMNR ja NetBIOS protokollid on keelatud, kasutatakse ainult DNS-i otsingut.
Saate kontrollida, kas brauser kasutab Internetti sisenedes PAC-faili (Chromiumi-põhiste veebibrauserite puhul: Google Chrome, Opera, Microsoft Edge):
- Avage brauser ja minge aadressile
chrome://net-export/ - Valige Eemaldage privaatne teave ja klõpsake Alustage kettale logimist;
- Seejärel määrake andmete salvestamiseks JSON-faili nimi;
- Klõpsake Lõpeta logimine;
- Avage oma JSON-fail mis tahes tekstiredaktoris ja otsige
proxySettings. Selles näites näete, et brauser kasutab puhverserveri sätteid saidilt wpad.dat:"proxySettings":{"effective":{"pac_url":"http://wpad/wpad.dat"},"original":{"auto_detect":true,"from_system":true}}
Kui soovite keelata WPAD-i kasutamise Windowsi arvutis, looge DWORD-parameeter nimega Keela Wpad väärtusega 1 registrivõtmes HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\.
Puhverserveri sätete konfigureerimine WPAD-faili (PAC) abil pakub täiendavat paindlikkust, mida ei saa saavutada puhverserveri seadistamisega Windowsi GPO kaudu. WPAD-i toetavad ka Windows, Linux, MacOS ja muud operatsioonisüsteemid ning mobiilseadmed.
