Usando o WPAD com o Microsoft Forefront TMG 2010

Com o WPAD (Web Proxy Address Discovery), programas que usam servidor proxy obterão o endereço e porta do nosso servidor proxy automaticamente ao acessar a internet (proxy transparente).

Poderiamos definir o proxy por GPO, mas somente se aplicaria para os computadores que fazem parte da nossa rede. Hoje em dia, é comum o uso de roteadores wireless e, com isso, computadores que não pertencem a nossa rede (como notebooks) precisariam por as configurações de proxy manualmente para obterem acesso a internet – e, se chegassem em casa e se esquecessem de removê-las, perderiam o acesso a internet em casa. O WPAD é importante também em redes que podem possuir Linux ou outro navegador instalado, como o Firefox ou Chrome. Por GPO funcionaria apenas para o Internet Explorer, navegador exclusivo do Windows.

Para usarmos o WPAD em nossa rede, precisamos abrir nosso servidor DNSZona de pesquisa direta.

Após selecionarmos o nome da zona, dê botão direito nela e selecione Novo HOST (A ou AAAA).

Nome: wpad

Endereço IP: 192.168.0.254 (servidor com Forefront TMG)

Por questões de segurança, a Microsoft desabilitou o WPAD a partir do Windows Server 2003 por que, dependendo da configuração de atualização da zona, uma pessoa má intencionada poderia apontá-lo para um servidor proxy diferente do Forefront, redirecionando os sites acessados pelos clientes, podendo assim roubar senhas e dados pessoais.

Para podermos removê-lo da lista, abra o Menu iniciar e digite regedit.

HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList

(Reprodução / http://tmgblog.richardhicks.com/2009/06/16/dns-security-enhancements-and-web-proxy-auto-discovery/)

Após isso, reinicie o serviço DNS dando botão direito no servidor no DNS e selecionando Todas as tarefas > Reiniciar.


Agora, abra o Microsoft Forefront TMG > Networking. Após, dê botão direito no adaptador da rede interna e selecione Propriedades. Na aba Auto discovery, selecione “Publish automatic discovery [...]” e tenha certeza de estar utilizando a porta 80, padrão para acesso HTTP.

(Reprodução / http://tmgblog.richardhicks.com/2009/06/16/dns-security-enhancements-and-web-proxy-auto-discovery/)

No cliente, por padrão, a opção “Detectar configurações automaticamenteestá marcada em todos os programas que suportam proxy (como o Internet Explorer em Pressione <ALT> > Tools > Internet options > Connections > Lan settings). Se você usou uma GPO, remova-a e atualize a política (gpupdate /force). Se você definiu manualmente em um computador na rede, volte a usar as configurações automáticas.

Código 80072EE2 no Windows Update

Com o Forefront TMG instalado, você pode perder o acesso ao Windows Update no servidor (mesmo acessando a internet normalmente) com o erro 80072EE2 ao procurar por atualizações.

(Reprodução / http://tmgblog.richardhicks.com/2010/08/07/running-windows-update-on-a-tmg-firewall-fails-with-result-code-80072ee2/)

Para resolver o problema, abra o prompt de comando e digite:

netsh winhttp set proxy localhost:8080

(Reprodução / http://tmgblog.richardhicks.com/2010/08/07/running-windows-update-on-a-tmg-firewall-fails-with-result-code-80072ee2/)

Usei localhost neste caso por que o computador em questão é o Firewall da rede. Se eu estiver em um computador cliente, devemos usar o IP do computador que está com o Forefront TMG (Firewall da rede) no lugar de localhost.

Se você está em um computador cliente, instale o cliente do Forefront TMG (apenas 1.2 MB!): Ele redireciona todas as conexões do Windows e aplicativos de terceiros para o proxy. Com o cliente do Forefront instalado, a mensagem deve desaparecer. Caso contrário, implemente o WPAD na rede (caso ele ainda não tenha sido implementado).


okCaso você não esteja em uma rede corporativa e esta mensagem esteja aparecendo para você, tente:

  • Desabilitar o Firewall de terceiros (se houver),
  • Conectar o computador diretamente ao modem,
  • Por padrão, o Windows não possuí configurado nenhum servidor proxy. Um vírus pode ter modificado a configuração padrão. Para verificar isso, abra o Internet Explorer e pressione <ALT> > Ferramentas > Opções da Internet > Conexões > Configurações da LAN. Verifique se a opção “Detectar configurações automaticamente” (padrão) está marcada. O Windows Update usa a mesma configuração do IE.
  • Use a iniciação do diagnóstico. Ela remove da iniciação todos os programas e serviços de terceiros. Com isso, o Windows inicia apenas com o necessário. Se houver um programa ou serviço barrando a conexão, o Windows Update deve funcionar normalmente. Pressione as teclas <Windows> + <R> e digite msconfig. Na aba Geral, selecione Iniciação de Diagnóstico e clique em OK.Iniciação de Diagnóstico com MSCONFIG
  • Restaurar o computador a um estado anterior usando a Restauração do Sistema (somente programas e configurações recentes são removidas. Seus arquivos e dados pessoais são mantidos),
  • Use o comando sfc /scannow para reparar os componentes do Windows,
  • Se a internet estiver instável, tente novamente mais tarde.

Se o problema continuar, a raiz do problema pode estar no Windows Update. Pude encontrar este problema ao desinstalar o IE8 para voltar a usar o IE6. Procurando no Google, encontrei a solução no Microsoft Answers.

Antes de tudo, você precisa baixar o Unlocker. Isso por que precisamos deletar alguns diretórios do Windows Update que são protegidos pelo Windows (mas nada que o Unlocker não possa nos ajudar!).

Após o download e instalação do Unlocker (desmarque a QuickSearch durante a instalação!), abra o Menu iniciar Executar (ou use a barra de pesquisa no Windows Vista+) e digite %WINDIR%\SoftwareDistribution e pressione <ENTER>.

Dê botão direito no diretório Downloads e selecione a opção Unlocker.

UnlockerNa nova janela que aparecer, selecione a opção Apagar e pressione OK.

Apagando arquivos com o Unlocker

Precisamos realizar o mesmo procedimento no diretório %WINDIR%\system32\CatRoot.

Com isso, o Windows Update deve voltar a funcionar normalmente!

Sobre problemas de instalação do Microsoft Forefront TMG 2010

Setup failed while trying to verify Windows Features and Roles are preinstalled. You must install Windows Features and Roles before installing Forefront TMG. See the Forefront TMG release notes for details.

Este erro ocorrerá somente se você, no Assistente de preparação, selecionou que o servidor possuiria somente o gerenciamento do Forefront TMG, mas na instalação do Forefront TMG selecionou para instalar o serviço do Forefront TMG. O gerenciamento serve apenas para controlarmos um servidor que possui o serviço do Forefront instalado. Você o preparou para o gerenciador, não para o serviço.

Se no Assistente de preparação apenas é possível selecionar o gerenciador e não o serviço, você está tentando instalar o Forefront em um servidor que possui o Active Directory instalado.

O Active Directory não pode estar instalado no mesmo servidor que possui o Forefront TMG antes do Service Pack 1, que pode ser integrado ao disco (http://documentosdoadm.wordpress.com/2012/07/25/adicionar-o-service-pack-2-ao-disco-de-instalacao-do-microsoft-forefront-tmg-2010/). Depois de adicionar o Service Pack 1 ao disco do Forefront TMG volte aqui, por que outra mensagem aparecerá:

This Forefront TMG setup scenario cannot be installed on a domain controller.

Ah, mas você falou que com Service Pack 1 instalava!“. Calma jovem. Instala sim. Mas não é qualquer controlador de dominío que pode formar o casalzinho Forefront TMG e Active Directory. O Active Directory precisa ser RODC, ou Read Only Domain Controller.

Um Read Only Domain Controller somente dá acesso a recursos da rede, como logon e políticas de grupo, mas não pode adicionar usuários ou grupos no AD. Ao adicionarmos um usuário ou grupo no RODC, ele manda o pedido a um controlador de domínio gravável que o adiciona no domínio e o RODC somente atualiza seu banco de dados de acordo com as mudanças no AD gravável.

Como você pode prever, a notícia é desanimadora: Você não poderá instalar o AD no mesmo computador com Forefront TMG. Logo, precisará de dois servidores, um apenas para o Forefront TMG (ou usar apenas um servidor físico com Hyper-V). Sua estrutura de rede será parecida com esta:

OBS: Lembre-se de adicionar o novo servidor ao domínio.

Adicionar o Service Pack 2 ao disco de instalação do Microsoft Forefront TMG 2010

Para pouparmos tempo, podemos integrar o Service Pack 2 ao disco de instalação do Microsoft Forefront TMG 2010. O Service Pack 1 (mínimo) é necessário para que possamos instalar o Forefront TMG em um servidor que possui o Active Directory instalado.

Primeiro, extraia o instalador do Forefront TMG em C:\forefront (você pode usar o WinRAR [http://rarlab.com/download.htm] para esta tarefa). Se você o possui em disco, crie o diretório C:\forefront e copie o conteúdo do mesmo para lá.

Após isso, precisamos realizar o download das atualizações:

Para adicionarmos o SP1 ao instalador do forefront, abra o prompt de comando e digite:

msiexec /a C:\forefront\FPC\MS_FPC_Server.msi /p d:\temp\sp1\TMG-KB981324-AMD64-ENU.msp /qb


(Reprodução/ISAserver.org)

Os outros 2 updates são executáveis. Precisamos extraí-los com os comandos:

SP1U1

TMG-KB2288910-amd64-ENU.exe /t C:\SP1U1

SP2

TMG-KB2555840-amd64-ENU.exe /t C:\SP2

Dentro destes diretórios, terão os arquivos que precisarão ser adicionados ao instalador do Forefront TMG da mesma forma como fizemos com o SP1 (“msiexec /a [...]“).

Adicione-os na ordem dada! O Software Update 1 é necessário ANTES de adicionarmos o SP2 ao disco.

Se o Windows Installer retornar algum erro, verifique se o idioma dos downloads que você realizou é o idioma do disco de instalação e, se o problema persistir, faça o download do Microsoft Forefront TMG 2010 no link: http://www.microsoft.com/en-us/download/details.aspx?id=14238

Agora, você pode regravar o conteúdo do diretório C:\forefront em um DVD e instalá-lo posteriormente pelo disco.

Referências