Usando o WPAD com o Microsoft Forefront TMG 2010

Com o WPAD (Web Proxy Address Discovery), programas que usam servidor proxy obterão o endereço e porta do nosso servidor proxy automaticamente ao acessar a internet (proxy transparente).

Poderiamos definir o proxy por GPO, mas somente se aplicaria para os computadores que fazem parte da nossa rede. Hoje em dia, é comum o uso de roteadores wireless e, com isso, computadores que não pertencem a nossa rede (como notebooks) precisariam por as configurações de proxy manualmente para obterem acesso a internet – e, se chegassem em casa e se esquecessem de removê-las, perderiam o acesso a internet em casa. O WPAD é importante também em redes que podem possuir Linux ou outro navegador instalado, como o Firefox ou Chrome. Por GPO funcionaria apenas para o Internet Explorer, navegador exclusivo do Windows.

Para usarmos o WPAD em nossa rede, precisamos abrir nosso servidor DNSZona de pesquisa direta.

Após selecionarmos o nome da zona, dê botão direito nela e selecione Novo HOST (A ou AAAA).

Nome: wpad

Endereço IP: 192.168.0.254 (servidor com Forefront TMG)

Por questões de segurança, a Microsoft desabilitou o WPAD a partir do Windows Server 2003 por que, dependendo da configuração de atualização da zona, uma pessoa má intencionada poderia apontá-lo para um servidor proxy diferente do Forefront, redirecionando os sites acessados pelos clientes, podendo assim roubar senhas e dados pessoais.

Para podermos removê-lo da lista, abra o Menu iniciar e digite regedit.

HKLMSYSTEMCurrentControlSetServicesDNSParametersGlobalQueryBlockList

(Reprodução / http://tmgblog.richardhicks.com/2009/06/16/dns-security-enhancements-and-web-proxy-auto-discovery/)

Após isso, reinicie o serviço DNS dando botão direito no servidor no DNS e selecionando Todas as tarefas > Reiniciar.


Agora, abra o Microsoft Forefront TMG > Networking. Após, dê botão direito no adaptador da rede interna e selecione Propriedades. Na aba Auto discovery, selecione “Publish automatic discovery […]” e tenha certeza de estar utilizando a porta 80, padrão para acesso HTTP.

(Reprodução / http://tmgblog.richardhicks.com/2009/06/16/dns-security-enhancements-and-web-proxy-auto-discovery/)

No cliente, por padrão, a opção “Detectar configurações automaticamenteestá marcada em todos os programas que suportam proxy (como o Internet Explorer em Pressione <ALT> > Tools > Internet options > Connections > Lan settings). Se você usou uma GPO, remova-a e atualize a política (gpupdate /force). Se você definiu manualmente em um computador na rede, volte a usar as configurações automáticas.

Sobre problemas de instalação do Microsoft Forefront TMG 2010

Setup failed while trying to verify Windows Features and Roles are preinstalled. You must install Windows Features and Roles before installing Forefront TMG. See the Forefront TMG release notes for details.

Este erro ocorrerá somente se você, no Assistente de preparação, selecionou que o servidor possuiria somente o gerenciamento do Forefront TMG, mas na instalação do Forefront TMG selecionou para instalar o serviço do Forefront TMG. O gerenciamento serve apenas para controlarmos um servidor que possui o serviço do Forefront instalado. Você o preparou para o gerenciador, não para o serviço.

Se no Assistente de preparação apenas é possível selecionar o gerenciador e não o serviço, você está tentando instalar o Forefront em um servidor que possui o Active Directory instalado.

O Active Directory não pode estar instalado no mesmo servidor que possui o Forefront TMG antes do Service Pack 1, que pode ser integrado ao disco (http://postsporummundomelhor.wordpress.com/2012/07/25/adicionar-o-service-pack-2-ao-disco-de-instalacao-do-microsoft-forefront-tmg-2010/). Depois de adicionar o Service Pack 1 ao disco do Forefront TMG volte aqui, por que outra mensagem aparecerá:

This Forefront TMG setup scenario cannot be installed on a domain controller.

Ah, mas você falou que com Service Pack 1 instalava!“. Calma jovem. Instala sim. Mas não é qualquer controlador de dominío que pode formar o casalzinho Forefront TMG e Active Directory. O Active Directory precisa ser RODC, ou Read Only Domain Controller.

Um Read Only Domain Controller somente dá acesso a recursos da rede, como logon e políticas de grupo, mas não pode adicionar usuários ou grupos no AD. Ao adicionarmos um usuário ou grupo no RODC, ele manda o pedido a um controlador de domínio gravável que o adiciona no domínio e o RODC somente atualiza seu banco de dados de acordo com as mudanças no AD gravável. Vale ressaltar também que todo RODC, tem poder de escrita limitado no Active Directory e não é um novo tipo de BDC (Backup Domain Controller).

Como você pode prever, a notícia é desanimadora: Você não poderá instalar o AD no mesmo computador com Forefront TMG. Logo, precisará de dois servidores, um apenas para o Forefront TMG (ou usar apenas um servidor físico com Hyper-V). Sua estrutura de rede será parecida com esta:

OBS: Lembre-se de adicionar o novo servidor ao domínio.

Adicionar o Service Pack 2 ao disco de instalação do Microsoft Forefront TMG 2010

Para pouparmos tempo, podemos integrar o Service Pack 2 ao disco de instalação do Microsoft Forefront TMG 2010. O Service Pack 1 (mínimo) é necessário para que possamos instalar o Forefront TMG em um servidor que possui o Active Directory instalado.

Primeiro, extraia o instalador do Forefront TMG em C:forefront (você pode usar o WinRAR [http://rarlab.com/download.htm] para esta tarefa). Se você o possui em disco, crie o diretório C:forefront e copie o conteúdo do mesmo para lá.

Após isso, precisamos realizar o download das atualizações:

Para adicionarmos o SP1 ao instalador do forefront, abra o prompt de comando e digite:

msiexec /a C:forefrontFPCMS_FPC_Server.msi /p d:tempsp1TMG-KB981324-AMD64-ENU.msp /qb


(Reprodução/ISAserver.org)

Os outros 2 updates são executáveis. Precisamos extraí-los com os comandos:

SP1U1

TMG-KB2288910-amd64-ENU.exe /t C:SP1U1

SP2

TMG-KB2555840-amd64-ENU.exe /t C:SP2

Dentro destes diretórios, terão os arquivos que precisarão ser adicionados ao instalador do Forefront TMG da mesma forma como fizemos com o SP1 (“msiexec /a […]”).

Adicione-os na ordem dada! O Software Update 1 é necessário ANTES de adicionarmos o SP2 ao disco.

Se o Windows Installer retornar algum erro, verifique se o idioma dos downloads que você realizou é o idioma do disco de instalação e, se o problema persistir, faça o download do Microsoft Forefront TMG 2010 no link: http://www.microsoft.com/en-us/download/details.aspx?id=14238

Agora, você pode regravar o conteúdo do diretório C:forefront em um DVD e instalá-lo posteriormente pelo disco.

Referências