Собственно есть необходимость настроить wpad.dat через DHCP.
Включил публикацию на TMG2010, перешел по ссылке чтобы проверить. В строке где указывается ip адрес прокси стоит другой, нежели имеет lan интерфейс TMG2010.
Если быть точнее то lan имеет адрес 10.60.64.240. А в скрипте указан 10.60.64.20. Данный адрес входит в диапазон выдаваемых vpn клиентам.

Почему прописался он и как выйти из ситуации? Есть у кого идеи.
ЗЫ. Вариант через GPО прописать настройки прокси знаю. Но идеальным решением будет все же wpad.dat

Мда. 2 темы ноль реакции. Или гуру в отпуске или никто не знает. Или всем лень.
Ну да ладно. Сам разобрался.

Собственно, как и описывал проблема в том, что в системе есть еще адаптер RRAS (создается когда настраивается VPN на TMG2010). Баг давно известный, но MS никак не исправляет. В общем по порядку.
1) Есть вроде как выход из ситуации, если в настройках VPN указать, чтобы клиенты получали адрес не от DHCP (как у меня), а настроить статический пул. Этот вариант мне не подошел по некоторым причинам, поэтому не проверял.
2) Пробовал отключить регистрацию NETBIOS данного интерфейса (похожее предлагала Cameron тут (http://forum.oszone.net/thread-224096.html)). То есть сперва проверяем nbtstat -n и видим этот интерфейс и что определяется его имя. Поэтому делаем по мануалу:
Очень полезно запретить привязку NetBios к интерфейсу internal, если он активен. Это важно, если используется RAS-сервер для подключения Dial-Up клиентов (модемы или VPN) и поможет избавится от некоторых проблем при работе сервера в сети Windows. Если NetBios разрешен на этом интерфейсе, то сервер будет регистрировать свои NetBios-имена с IP-адресами всех интерфейсов, на которые есть привязка этой службы. Появление IP- адреса интерфейса internal в этих регистрациях может привести к проблемам.
Для этого редактором реестра в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ip добавляем параметр DisableNetbiosOverTcpip типа DWORD и значением 1. Службу надо перезапустить.
Проверить привязки NetBios можно, запустив с консоли nbtstat -n. Будет выведен список интерфейсов и имен, зарегистрированных через каждый интерфейс. В идеальном варианте имена должны регистрироваться только на интерфейсе локальной сети.
Не помогло. Вернее как, проверяю nbtstat -n все нормально имя исчезло wpad.dat коректный на выходе. А подсоединияюсь по vpn опять левый адрес фигурирует.
3) Можно создать кастомизированый wpad.dat и подсунуть его TMG2010. В инете есть описание как. Лично я не стал этим методом пользоваться, не люблю изменения ПО подобного рода.
4) Решение проблемы нашел вот как. Взял нормальный wpad.dat (можно взять и с левым адресом и просто отредактировать его, как пример в far). Создал новый сайт на IIS (поднят WSUS, поэтому использовал IIS на этом же сервере), указал директорию сайта, туда положил файл wpad.dat. Прописал новые mime. Хватит вообще то и .dat как application/x-ns-proxy-autoconfig, но на всякий случай еще * как */*. Подправил 252 параметр в DHCP с указанием нового url, где лежит правильный wpad.dat. Все. Проблема решена.

Пользователи получают правильный адрес. Проверял снифером.