我们在 20 多个国家/地区设有 40 多个站点。我们使用出口过滤并通过 WPAD 强制大多数用户通过代理服务器。
WPAD 非常棒,对我们来说 99.9% 都有效。但是,我们也遇到过一些案例,WPAD 支持问题导致浏览器(仅限 MSIE - 极少数情况)或第三方应用程序(WebEX voip)无法正常工作,因为它们无法正确确定本地代理的位置 - 尝试直接连接 - 失败。
那么,除了 WPAD 之外,还有其他机制可以让拥有大量出口点/代理的企业支持所有浏览器(即不仅仅是 MSIE)和其他 Web 客户端吗?正如我所提到的,WPAD 实际上对我们而言 99.9% 有效,但这种情况的问题在于人们只“看到”失败 - 然后就开始抱怨了……
附言:不,“使用 DHCP” 不是一个不同的选项。这只是传递 WPAD 的另一种机制(主要机制是 DNS)。我只是想在别人回答之前回答这个问题 ;-)
谢谢
杰森
答案1
据我所知,您唯一的选择是:
配置客户端软件以“手动”了解代理的位置。这可能是一场必败之战,因为您不可能预测所有潜在的客户端软件。最终,您会得到一堆乱七八糟的脚本、注册表合并、MSI 转换,以及一大堆胶水和胶带,试图预先配置客户端软件,然后一些新的东西悄悄溜进来,无法正常工作。
使用标准的自动配置机制,如 Windows 代理自动检测 (WPAD)。如您所见,这并非 100% 可靠。
使用客户端“垫片”插入 TCP/IP 堆栈,例如 Microsoft 的 ISA Server“防火墙客户端”。据我所知,唯一可以做到这一点的产品是 Microsoft ISA Server/防火墙客户端产品。它工作得非常好,但具有高度专有性并且特定于 Windows。
使用透明代理硬件/软件使流量被代理。这在很多情况下都很有效(例如,在 Linux 下使用 ebtables,您实际上可以创建一个对客户端完全透明的第 2 层 HTTP 代理),但其副作用是阻止使用 HTTP 代理身份验证(因为浏览器/客户端不知道它正在被代理 - 它无法正确处理它)。
这是一种“选择你的毒药”类型的场景。