Início > Comunidade Tecnica, Networking, Segurança, Windows Server 2012 > Distribuindo configuração de proxy para rede via Windows Server 2012

Distribuindo configuração de proxy para rede via Windows Server 2012

Saudações,

Nesse período de férias estou entrando em vários posts do Fórum TechNet Brasil e pude constatar vários posts com dúvidas sobre a distribuição da configuração de proxy a partir de uma GPO criada no AD DS do Windows Server 2012.

A partir do Windows Server 2012, a distribuição da configuração de proxy para Internet Explorer 10 não mais se dá por GPO no AD DS.

Pelo AD DS o administrador pode distribuir a configuração de proxy para Chrome e Firefox, além de versões antigas do IE (8 e 9).

Para versões antigas do IE o caminho é o seguinte:

User Configuration

   └ Preferences

      └ Control Panel Settings

         └ Internet Settings

Após definidas as configurações, selecione os itens alterados e clique em F6 para ativar as configurações.

Muitos administradores postaram que, as estações não pegavam a conf da GPO. Isso ocorria justamente pela falta do F6 para ativar a política.

Para quem já está usando o IE 10, como falei acima, não se configura mais a GPO no AD.

Agora o recomendado é que o administrador use o IEAK (Internet Explorer Administration Kit), que pode ser encontrado em:

http://technet.microsoft.com/pt-br/library/hh846772.aspx

A configuração pode ser feita na página Configurações de proxy do assistente para personalização.

Como muitos administradores não conheciam esse processo, vi diversos sugerindo o uso do WPAD.

Particularmente não sou contra o uso do WPAD, que consiste na criação de um CName no DNS, que responde pelo nome “WPAD” e vai direcionar a requisição para o servidor de proxy, neste caso, o Forefront TMG, mas, também pode ser usada para outros proxies que também tenham suporte para Automatic Discovery.

Entretanto, desde a chegada do Windows Server 2008, a Microsoft aboliu o WPAD por questões de segurança.

Imaginem que um invasor, quebrando a segurança da sua rede, pode acessar o registo do WPAD e apontar para um proxy qualquer, fazendo com que toda sua rede vá para um endereço diferente daquele que foi definido.

Tecnicamente falando o WPAD consta no Global Query Block List – uma lista de hosts aos quais o DNS não irá responder por nenhuma requisição.

Apesar da recomendação de não usar o WPAD, a Microsoft deixa a decisão de usar ou não por conta do cliente.

Para verificar quais hosts constam da Global Query Block List, execute o seguinte comando em seu servidor DNS (em um prompt com permissões elevadas):

dnscmd /info /globalqueryblocklist

O administrador verá que consta dessa lista o WPAD e o ISATAP. Para reconfigurar a lista e liberar o WPAD, use um DOS prompt com permissões elevadas digitando o seguinte comando:

dnscmd /config /globalqueryblocklist isatap

Este comando refaz a Gloal Query Block List mantendo somente o ISATAP. Lembrando que, se o administrador for liberar o WPAD no DNS, terá que executar este comando em todos os DNS Servers de sua estrutura.

Você pode também desabilitar a Global Query Block List (que não é recomendado).

Todos esses detalhes estão em um post muito bom do amigo MVP Richard Hicks que usei como referência para este:

http://tmgblog.richardhicks.com/2009/06/16/dns-security-enhancements-and-web-proxy-auto-discovery/

A idéia deste post era mostrar a forma de configurar a distribuição da configuração de proxy pelo Windows Server 2012 e as formas de fazer a configuração para o IE 10 e versões antigas, mas, resolvei adentrar nessa questão do DNS por ter visto nos posts do Forum TechNet recomendações para usar o WPAD.

Dessa forma fica explícito os prós e contras desta configuração.

Espero que o post possa ajudar os colegas e estarei a disposição para esclarecimentos através deste canal onde os amigos podem deixar seus comentários.

Abraços

Uilson

  1. Fernando H. Silva
    19 de julho de 2013 às 11:29

    Excelente artigo Uilson! com certeza vai ajudar a muitas pessoas que tem essa dúvida! Já pensou em publicar também na microsoft wiki? http://social.technet.microsoft.com/wiki/pt-br/

    Abraço, e parabéns pela iniciativa

    • 20 de julho de 2013 às 21:54

      Olá Fernando! Obrigado! Pensei sim e já tenho diversos postados no WIKI referentes a ISA e TMG. Quanto a esse, talvez eu publique lá sim! Abraços

  2. 14 de outubro de 2013 às 22:54

    Ola Uilson,
    Em um ambiente que tem DC’s 2003, eu preciso instalar o IEAK para pegar por exemplo a configuração do proxy,em maquinas que estão com o WIN7?
    Obrigado,
    Parabens.

    • 15 de outubro de 2013 às 7:24

      Olá Leonardo! Para o caso do 2003 não há necessidade.

      Abraços

      • 15 de outubro de 2013 às 10:41

        Ola Uilson,
        Como eu faço então para aparecer a configuração do proxy do IE10?
        O que eu ja pesquisei foi soluçao de contorno como criar chave pelo registro, instalar windows 8 com rsat ou Windows 2012, e esse IEAK que preciso de mais informações pois achei a ferramenta meio complicada.
        Obrigado

  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: