Мда. 2 темы ноль реакции. Или гуру в отпуске или никто не знает. Или всем лень.
Ну да ладно. Сам разобрался.
Собственно, как и описывал проблема в том, что в системе есть еще адаптер RRAS (создается когда настраивается VPN на TMG2010). Баг давно известный, но MS никак не исправляет. В общем по порядку.
1) Есть вроде как выход из ситуации, если в настройках VPN указать, чтобы клиенты получали адрес не от DHCP (как у меня), а настроить статический пул. Этот вариант мне не подошел по некоторым причинам, поэтому не проверял.
2) Пробовал отключить регистрацию NETBIOS данного интерфейса (похожее предлагала Cameron
тут). То есть сперва проверяем nbtstat -n и видим этот интерфейс и что определяется его имя. Поэтому делаем по мануалу:
читать дальше »
Очень полезно запретить привязку NetBios к интерфейсу internal, если он активен. Это важно, если используется RAS-сервер для подключения Dial-Up клиентов (модемы или VPN) и поможет избавится от некоторых проблем при работе сервера в сети Windows. Если NetBios разрешен на этом интерфейсе, то сервер будет регистрировать свои NetBios-имена с IP-адресами всех интерфейсов, на которые есть привязка этой службы. Появление IP- адреса интерфейса internal в этих регистрациях может привести к проблемам.
Для этого редактором реестра в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ip добавляем параметр DisableNetbiosOverTcpip типа DWORD и значением 1. Службу надо перезапустить.
Проверить привязки NetBios можно, запустив с консоли nbtstat -n. Будет выведен список интерфейсов и имен, зарегистрированных через каждый интерфейс. В идеальном варианте имена должны регистрироваться только на интерфейсе локальной сети.
Не помогло. Вернее как, проверяю nbtstat -n все нормально имя исчезло wpad.dat коректный на выходе. А подсоединияюсь по vpn опять левый адрес фигурирует.
3) Можно создать кастомизированый wpad.dat и подсунуть его TMG2010. В инете есть описание как. Лично я не стал этим методом пользоваться, не люблю изменения ПО подобного рода.
4) Решение проблемы нашел вот как. Взял нормальный wpad.dat (можно взять и с левым адресом и просто отредактировать его, как пример в far). Создал новый сайт на IIS (поднят WSUS, поэтому использовал IIS на этом же сервере), указал директорию сайта, туда положил файл wpad.dat. Прописал новые mime. Хватит вообще то и .dat как application/x-ns-proxy-autoconfig, но на всякий случай еще * как */*. Подправил 252 параметр в DHCP с указанием нового url, где лежит правильный wpad.dat. Все. Проблема решена.
Пользователи получают правильный адрес. Проверял снифером.
