Репост с http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/d1f60c6f-d862-4998-ac73-1979efe32467


Добрый день.

Есть домен single-label(достался по наследству).

Сейчас используется обнаружение wpad через dhcp, в принципе работает нормально в 95% случаев, иногда не обнаруживает isa сервер, помогает только перезагрузка машины(такое бывает на только XP, совершенно разных конфигурациях и сетевых картах(ipconfig /release и /renew не помогают), понять почему и выявить зависимость не удается, зависимости не прослеживается.

Запись в DNS тоже добавлена. Сейчас решил проверить, работает ли она, на что получил:



FwcTool version 7.0.7734.100
Forefront TMG Client support tool
Copyright (c) Microsoft Corporation. All rights reserved.

Action: Test the auto detection mechanism
Type: Default

Detection details:

Timeout is set to 60 seconds
Locating WSPAD URL on the Active Directory server
Unable to find WSPAD object on the Active Directory server
WSPAD URL was not found on the Active Directory server
Locating WSPAD URL in DHCP Server
Locating option 252 in DHCP
Reading network adapters information
DHCP option for WPAD not found
WSPAD URL was not found in DHCP Server
Locating WSPAD URL in DNS Server
Locating domain name in registry
Opening registry key:
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
Querying registry value:
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Domain
Domain name found:
domain
This is a top level domain, quitting
WSPAD URL was not found in DNS Server
Failed to detect Forefront TMG


Поиском нашел похожую тему(http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/705a4b03-55d9-48f4-ab5c-14bd8ac7837b) но там ничего не решилось.

Может есть способ заставить работать обнаружение wpad в одноименном домене?

PS: ISA 2006, DNS на 2008 r2 wpad параметр разблокирован(удален из реестра)

C:\Program Files\Forefront TMG Client>nslookup wpad
Server: *****.domain
Address: 192.168.1.2

Name: isa.domain
Addresses: 192.168.1.1, 192.168.2.1, 192.168.0.1, 192.168.3.1
Aliases: wpad.domain

Проверка DNS способа осуществлялась с машины с вручную настроенным ip



Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : tk-kamery-2
Основной DNS-суффикс . . . . . . : domain
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : domain

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : NETGEAR FA311 Fast Ethernet адаптер
Физический адрес. . . . . . . . . : 00-09-5B-BB-C1-47
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.191
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.1
DNS-серверы . . . . . . . . . . . : 192.168.1.2

Server: *****.domain
Address: 192.168.1.2
Name: isa.domain
Addresses: 192.168.1.1, 192.168.2.1, 192.168.0.1, 192.168.3.1
Aliases: wpad.domain »

хм... а зачем у Вас в Addresses столько IP!?
у меня например всего один...

Основной DNS-суффикс . . . . . . : domain »

А почему суффикс без точки и приписки типа: domain.local

Тип узла. . . . . . . . . . . . . : неизвестный »

У меня тип узла "Смешанный".

P.S. Попробуйте проанализировать статью (http://isaserver.ru/forums/t/6715.aspx) и посмотреть где у Вас сделано, что не так.

хм... а зачем у Вас в Addresses столько IP!?
у меня например всего один... »
вланы?
А почему суффикс без точки и приписки типа: domain.local »
потому что Single-Label DNS name.
Сейчас используется обнаружение wpad через dhcp, в принципе работает нормально в 95% случаев, иногда не обнаруживает isa сервер, помогает только перезагрузка машины(такое бывает на только XP, совершенно разных конфигурациях и сетевых картах(ipconfig /release и /renew не помогают), понять почему и выявить зависимость не удается, зависимости не прослеживается. »
а у вас на хостах где такая проблема наблюдается стоит ISA Client или TMG client?

вы пробовали опубликовать нужные информацию в АД? (adconfig по-моему утилита называется)

хм... а зачем у Вас в Addresses столько IP!?
у меня например всего один...

вланы?

Разные сайты, для разных территориальных офисов. Все соединены site-to-site
Делалось кстати по какой-то статье или форуму, точно не помню. Существуют A записи isa и CNAME Wpad указывающий на isa


А почему суффикс без точки и приписки типа: domain.local

Как правильно сказано выше, Single-Label name домен ... чтоб его :)

а у вас на хостах где такая проблема наблюдается стоит ISA Client или TMG client?

вы пробовали опубликовать нужные информацию в АД? (adconfig по-моему утилита называется)

На хостах солянка 50/50. До меня все вручную ставили, сейчас перешли на развертывание софта, в том числе и tmg клиента, через gpo и переходим на tmg client. Т.е. где-то старые isa клиенты, где-то tmg
Но глюк бывает на тех и на тех.

Публикацию в ад видел, но не пробовал тестировать с autodetect и отключенным dhcp. Вечером постараюсь потестить

Разные сайты, для разных территориальных офисов. Все соединены site-to-site »
в таком случае эти адреса не должны фигурировать в DNS.
возможно поэтому-то у вас ISA и ресолвится в неверный адрес для клиента и поэтому FWC не цепляется.
что бы это исправить откройте оснастку "маршрутизация и удалённый доступ" и свойствах StS интерфейсов уберите "регистрация в DNS".
и удалите все эти записи из DNS.
если у вас на ISA есть DNS сервер то нужно в его свойствах явно указать что он должен работать только на внутреннем IP (не STS).

Черт, написал пост, моргнул свет и хана :( переписываю :)

в таком случае эти адреса не должны фигурировать в DNS.
возможно поэтому-то у вас ISA и ресолвится в неверный адрес для клиента и поэтому FWC не цепляется.
что бы это исправить откройте оснастку "маршрутизация и удалённый доступ" и свойствах StS интерфейсов уберите "регистрация в DNS".
и удалите все эти записи из DNS.
если у вас на ISA есть DNS сервер то нужно в его свойствах явно указать что он должен работать только на внутреннем IP (не STS). »

Site-to-site в dns не регистрируются, галочки сняты. Тут все ок
Каждая иса в днс под своим именем и айпи есть. ДНС серверов на них нет.

В днс специально вручную создавались записи, для обнаружения wpad через dns
Примерная таблица:

Тип Имя Параметр
A isa 192.168.0.1
A isa 192.168.1.1
A isa 192.168.2.1
CNAME wpad isa

Вариант

Тип Имя Параметр
CNAME wpad isaname.domain

Тоже не проходил, видимо из-за того же single-label.

Видимо определение через днс не заработает при текущем названии домена. На technet написали переименовывать домен :)


Настроил AD Marker, посмотрим будет ли при нем у кого-то отваливаться

Timeout is set to 60 seconds
Locating WSPAD URL on the Active Directory server
WSPAD object was found in the current Active Directory site: SiteName
WSPAD URL found on the Active Directory server:
http://isaname.domain:80/wspad.dat
Initializing Web server connection
Resolving IP addresses for isaname.domain
Resolved 1 address(es):
192.168.1.1
Connecting to address #1: 192.168.1.1:80
Waiting for address #1 to connect
Address #1 successfully connected
Requesting wspad.dat file
Web server is connected and ready to send WSPAD file
Downloading WSPAD file
WSPAD file was downloaded successfully
Detected Forefront TMG: isaname.domain:1745

Site-to-site в dns не регистрируются, галочки сняты. Тут все ок »
тогда откуда у вас эти адреса в DNS?
В днс специально вручную создавались записи, для обнаружения wpad через dns
Примерная таблица: »
зачем?! если у вас у ISA только один IP адрес в сети internal?

Как написал выше, созданы вручную для поиска wpad в dns

ISA серверов несколько, в каждой подсети(офисе) свой
Домен же во всех офисах один и в днс зона одна.
Другого способа создать разные wpad записи в одной днс зоне я не представляю :)

Как написал выше, созданы вручную для поиска wpad в dns »
это надежда на netmask ordering что ли? или непонимание как это работает?
ISA серверов несколько, в каждой подсети(офисе) свой
Домен же во всех офисах один и в днс зона одна. »
да, но разные сайты, или как минимум сабнеты сайта.
Другого способа создать разные wpad записи в одной днс зоне я не представляю »
в этом случае лучше делать это через DHCP- option 252, у вас ведь разные области или разные серверы DHCP.

это надежда на netmask ordering что ли
Вообще да, на него, сейчас задумался :)

да, но разные сайты, или как минимум сабнеты сайта.
Про это не подумал, каюсь

в этом случае лучше делать это через DHCP- option 252, у вас ведь разные области или разные серверы DHCP.
Сейчас оно так и сделано, вся эта тема возникла только из-за единичных случаев не определения сервера, лечащихся только перезагрузкой машины

Сегодня вот добавился ad marker, надеюсь с ним эти единичные случаи уйдут. Днс записи созданные вручную удалил :)

Вообще да, на него, сейчас задумался »
загадочно однако..
а раунд робин отключен? :)
может всё же расскажите больше, о своим задуках и прочем? ато как-то телепатировать уже не интересно.
Сейчас оно так и сделано, вся эта тема возникла только из-за единичных случаев не определения сервера, лечащихся только перезагрузкой машины »
в таком случае подозреваю всё же проблемы с DNS, аля netmask ordering/round robin =)
Про это не подумал, каюсь »
ну да, начинать надо с топологии АД, тогда всё становится понятней и проще.