3. Amministrazione di Internet Explorer
3.1 Come assegnare in modo automatico il Proxy Server ad un browser
Se si utilizza come proxy server il programma Internet Security and Acceleration Server (o più brevemente ISA Server) allora risulta possibile far assegnare, in modo automatico, l'impostazione del proxy server ad Internet Explorer.
Più in generale la proprietà di assegnare in modo automatico il proxy server, vale sia per Proxy Server diversi da ISA Server sia per browser diversi da Internet Explorer.
Questa caratteristica di ISA Server prende il nome di Automatic Discovery e consente di configurare in automatico sia il Web Proxy, sia il Firewall Client. Per poter però sfruttare questa caratteristica di ISA Server bisogna che le macchine su cui è installato Internet Explorer soddisfino alle seguenti condizioni:
- Il client deve essere in grado di ricevere l'opzione 252 del DHCP Server.
- Il client deve avere configurato nelle sue impostazioni locali di rete il DNS Domain Suffix a cui il client appartiene. Questa informazione può venire rilasciata direttamente dal DHCP Server.
- Internet Explorer deve avere abilitata l'opzione Automatically Detect Settings. Si osservi che per quanto riguarda i client Windows 95 e Windows NT 4.0 questa opzione di Internet Explorer, sebbene presente, non è in grado di funzionare. Per cui, limitamente a questi client, non risulta possibile sfruttare la proprietà di Automatic Discovery. Per maggiori informazioni si consulti la Knowledge Base: KB313367.
Internet Explorer, se configurato per ricercare in modo automatico le impostazioni del proxy server (ovvero è stata abilitata l'opzione Automatically Detect Settings), interroga il DHCP Server affinchè questi gli fornisca il valore dell'opzione 252. Se non riceve alcuna risposta, Internet Explorer, procede alla ricerca dei seguenti URL:
- http://wpad.<DNS Domain Suffix>:80/wpad.dat per la configurazione del Web Proxy.
- http://wpad.<DNS Domain Suffix>:80/wspad.dat per la configurazione del Firewall Client.
Ne segue che affinchè Internet Explorer possa ricevere l'impostazione del proxy server questi deve essere in grado di rintracciare la macchina chiamata wpad.<DNS Domain Suffix> (dove <DNS Domain Suffix> costituisce il DNS Domain Suffix di apparteneza del client e WPAD è l'acronimo di Web Proxy Auto Discovery). La macchina wpad.<DNS Domain Suffix> altri non è, ovviamente, che lo ISA Server che pertanto deve essere in ascolto sulla porta 80. Se Internet Explorer riceve, invece, una risposta dal DHCP Server alla sua query sull'opzione 252, allora Internet Explorer utilizza la risposta del DHCP Server per rintracciare il file WPad.dat per la configurazione del Web Proxy e WSPad.dat per quella del Firewall Client. In questo modo risulta possibile configurare lo ISA Server affinchè questi resti in ascolto su una porta diversa da quella 80. Per accertarsi che la macchina wpad.<DNS Domain Suffix> venga rintracciata, bisogna configurare in modo opportuno i DNS Server:
- Se esiste un solo ISA Server allora basta creare nei DNS Server della rete a cui appartengono i client un Address Record (Record A) dal nome WPAD che ha come Indirizzo IP l'indirizzo IP del ISA Server.
- Se esite un CARP Array (la sigla CARP sta per Cache Array Routing Protocol) di ISA Server è sufficiente creare tanti Record A, chiamati WPAD i cui indirizzi IP sono gli indirizzi IP delle macchine ISA Server che compongono il CARP Array, all'interno dei DNS Server della rete che vengono utilizzati dai client per risolvere i nomi in indirizzi IP. Per consentire il bilanciamento del carico, nei DNS Server deve essere abilitato il Round Robin. Più in generale un CARP Array è un Array di Proxy Server che consente di sfruttare il contenuto delle URL in cache presenti nei vari Proxy Server che compongono l'Array. Infatti, ciascun Proxy Server, prima di andare a cercare la pagina web in Internet, conttatta uno degli altri Proxy Server per vedere se per caso uno di loro non la conserva in cache, riducendo in questo modo i tempi di risposta verso il client che ha chiesto la pagina web.
Si osservi che il record wpad.<DNS Domain Suffix> non deve necessariamente fare riferimento ad ISA Server, ma pu� puntare, pi� genericamente, ad un qualunque server web.
Si pu� far puntare il record wpad.<DNS Domain Suffix> ad un qualunque server web a patto che vengano soddisfatte le seguenti condizioni:
- creare un file wpad.dat (un esempio di file wpad.dat pu� essere visto qui) ed inserirlo nella root directory del server web;
- assicurarsi che il file wpad.dat possa venire scaricato in maniera anonima;
- creare un MIME type per il file wpad.dat chiamato application/x-ns-proxy-autoconfig;
- creare il corrispondente record DNS wpad.<DNS Domain Suffix> oppure l'opzione 252 del DHCP server che punti al server web in cui � stato copiato il file wpad.dat.
Recentemente, la Microsoft, ha introdotto in Windows 2008 alcune modifiche alla configurazione del servizio DNS. In particolare ha introdotto una lista, chiamata DNS Server Global Query Block List, di record DNS riservati, come ad esempio wpad.<DNS Domain Suffix>, che non vengono rilasciati alle postazioni client quando questi svolgono una query DNS per risolverli. In altri termini, per impostazioni predefinite, i server DNS basati su Windows 2008 non sono in grado di rispondere alle query DNS per ottenere l'indirizzo IP del record wpad.<DNS Domain Suffix> Per maggiori informazioni sulla DNS Server Global Query Block List si pu� leggere il documento DNS Server Global Query Block List.
Per rimuovere il record wpad.<DNS Domain Suffix> dalla DNS Server Global Query Block List si pu� utilizzare il comando:
dnscmd /config /globalqueryblocklist isatap
Se si vuole invece disabilitare la DNS Server Global Query Block List, bisogna eseguire il comando:
dnscmd /config /enableglobalqueryblocklist 0
Se si vuole invece conoscere l'elenco dei record A che compongono la DNS Server Global Query Block List, bisogna eseguire il comando:
dnscmd /info /globalqueryblocklist
Se si vuole invece sapere se la DNS Server Global Query Block List � abilitata o meno, si deve eseguire il comando:
dnscmd /info /enableglobalqueryblocklist
Con l'installazione della HotFix MS09-008 nei server con sistema operativo Windows 2000 o Windows 2003 che ospitano il servizio DNS, vengono introdotte delle procedure di sicurezza che inibiscono il rilascio dei record wpad.<DNS Domain Suffix> e isatap.<DNS Domain Suffix> (la sigla ISATAP sta per Intra-Site Automatic Tunnel Addressing Protocol). Per consentire a questi server DNS di poter rispondere alle query DNS sui record wpad.<DNS Domain Suffix> e isatap.<DNS Domain Suffix>, bisogna modificare la chiave di registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList togliendo i riferimenti al record che si vuole abilitare. Ad esempio, se si vuole abilitare la risposta alle query DNS sul record wpad.<DNS Domain Suffix>, bisogna cancellare dalla chiave di registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList i riferimenti alla voce wpad e riavviare il servizio DNS Server. Per maggiori informazioni si pu� consultare la Knowledge Base KB968732.
Per configurare invece il DHCP Server in modo che questi sia in grado di rilasciare l'opzione 252, si deve procedere nel seguente modo (per maggiori informazioni si consulti la Knowledge Base: KB309814):
- Tramite gli Administrative Tools lanciare la DHCP console.
- Cliccare col pulsante destro del mouse sopra al nome del DHCP Server in cui si desidera configurare l'opzione 252. Dal menu contestuale che si apre selezionare la voce Set Predefined Options.
- Cliccare sul pulsante Add.
- Scrivere
wpad
all'interno della casella di testo Name. - Come Data Type selezionare l'opzione String.
- Nella casella di testo Code scrivere
252
. - Confermare i dati inseriti premendo OK.
- All'interno della finestra di dialogo Predefined Option and Values scrivere:
-
http://wpad:<PortaAscoltoISA>/wpad.dat
se si desidera configurare il Web Proxy. Dove <PortaAscoltoISA> è la porta in cui ISA Server resta in ascolto. Se la porta in cui ISA Server resta in ascolto è la 80 allora il valore <PortaAscoltoISA> può venire omesso. Si ricordi infine che ISA Server è Case Sensitive per cui bisogna stare attenti alle lettere maiuscole e minuscole. -
http://wpad:<PortaAscoltoISA>/wspad.dat
se si desidera configurare il Firewall Client. Dove <PortaAscoltoISA> è la porta in cui ISA Server resta in ascolto. porta in cui ISA Server resta in ascolto è la 80 allora il valore <PortaAscoltoISA> può venire omesso. Si ricordi infine che ISA Server è Case Sensitive per cui bisogna stare attenti alle lettere maiuscole e minuscole.
-
- Premere OK per confermare quanto si è inserito.
- Espandere lo Scope del DHCP in cui si vuole inserire la Scope Options 252 appena creata.
- Cliccare col pulsante destro del mouse sulla voce Scope Options.
- Nella finestra Scope Options scorrere la barra di scorrimento sino alla comparsa dell'opzione 252 wpad, selezionare la voce 252 wpad ed assicurarsi che il testo riportato nel campo String Value sia corretto.
- Premere OK per confermare.
- Se si � terminato, chiudere lo snap-in DHCP.
Per configurare Internet Explorer di modo che sia abilitata l'opzione Automatically Detect Settings si può procedere nel seguente modo:
- Lanciare Internet Explorer 5.0 o superiore.
- Aprire il menu Tools e selezionare la voce Internet Options.
- Entrare nella sezione Connections.
- Premere il pulsante LAN Settings.
- Selezionare la voce Automatically Detect Settings.
- Premere due volce OK per confermare.
Il modo di procedere indicato, va bene se il numero di client da configurare è relativamente piccolo, un metodo molto più elegante e conveniente, è quello di ricorrere all'uso di un Group Policy Object opportunamente configurato. L'utilizzo dei Group Policy Object consente anche di assegnare direttamente ai client, in alternativa al DHCP, l'assegnazione dell'Address del file wpad.dat.
Per configurare ISA Server si deve procedere nel seguente modo:
- Aprire la ISA Management Snap-In.
- Cliccare col pulsante destro del mouse sopra il nome del ISA Server o del Array di ISA Server.
- Entrare nella sezione Autodiscovery. Selezionare l'opzione Publish Automatic Discovery Information.
- Di default ISA Server resta in ascolto sulla porta 80 se lo si desidera si può cambiare questo valore. Più in generale deve esistere una coerenza fra la porta in cui resta in ascolto ISA Server e il valore dell'opzione 252 del DHCP Server.
- Confermare le scelte effettuate cliccando su OK.
- Cliccare su Save The Changes and Restart The Service(s) per confermare le modifiche effettuate e riavviare il Web Proxy Services.
Per avere maggiori informazioni sul comportamento di Internet Explorer quando è impostato per ricercare in modo automatico il proxy server si può consultare la Knowledge Base: KB296591.
Per avere maggiori informazioni sulla configurazione del Automatic Discovery di ISA Server si possono leggere le seguenti Knowledge Base: KB255930. KB307502, KB252898 e il documento Deploying the Secure Firewall, Proxy, and Web Cache.
Per avere maggiori informazioni su come realizzare un file WPAD.dat si può consultare il documento Proxy Automatic Configuration. Un tipico esempio di file WPAD.dat può essere visto qui.
Si osservi, infine, che se non si desidera utilizzare i record wpad.<DNS Domain Suffix>, � bene riservare questo record all'interno dei servizi DNS e WINS, onde evitare che un programma male intenzionato, possa registrare un record wpad.<DNS Domain Suffix> che punti ad un file WPAD.dat maligno che esegua del codice inopportuno sul browser. Per registrare in maniere statica il record wpad.<DNS Domain Suffix>, si pu� leggere quanto suggerito dalla Knowledge Base: KB934864.
Automatic Discovery e client remoti
I client che si collegano ad una LAN tramite una qualunque connessione Dial-Up non possono sfruttare la proprietà di Automatic Discovery di ISA Server. Quando parliamo di una qualunque connessione Dial-Up ci riferiamo a tutte le connessioni Dial-Up possibili, ovvero:
- Accesso remoto tramite Modem.
- Accesso remoto tramite VPN.
- Accesso remoto tramite PPP.
L'impossibilità di godere della proprietà di Automatic Discovery di ISA Server sorge in quanto i client remoti non possono ricevere l'opzione 252 del DHCP Server (per maggiori informazioni a tal proposito si consulti la Knowledge Base: KB232703). In questo modo i client remoti non sono in grado di ricevere le impostazioni relative ai file WPad.dat e WSPad.dat fornite dal DHCP Server. Ciò non di meno, se si lascia in ascolto ISA Server sulla porta 80 e si sfrutta il comportamento di Internet Explorer quando questi non riceve risposta dal DHCP Server allora si può far configurare in automatico o il Web Proxy o il Firewall Client anche ai client remoti. In questo caso però, la risoluzione via DNS della macchina wpad.<DNS Domain Suffix> diventa fondamentale (si ricordi che da quanto detto, la macchina wpad.<DNS Domain Suffix> deve puntare o ad ISA Server direttamente o al Array di ISA Server).
Problemi noti
Sui client Windows XP in cui è stato installato Internet Explorer 6 Sp1, si possono verificare dei problemi nell'assegnazione automatica del Proxy Server. Per maggiori informazioni si può consultare la Knowledge Base KB829643.
3.2 Come controllare l'esecuzione di una pagina ASP
Se si è messo in piedi un sito web basato sulla tecnologia ASP (Active Service Page), si può desiderare, prima di andare in produzione, di controllare il funzionamento delle pagine ASP realizzate. Per far ciò si può procedere come riportato di seguito:
- Dagli Administrative Tools aprire la Internet Service Manager console.
- Cliccare col pulsante destro del mouse sul nome del sito di cui si vogliono controllare le pagine ASP. Dal menu contestuale che si apre selezionare la voce Properties.
- Entrare nella sezione Virtual Directory e cliccare sul pulsante Configuration per aprire la finestra di dialogo Application Configuration.
- Entrare nella sezione App Debugging e selezionare la voce Enable ASP Server-Side Script Debugging.
- Premere due volte OK per confermare le scelte effettuate.
3.3 Come non far visualizzare i documenti di office dentro Internet Explorer
Quando si tenta di visualizza un pagina web con dei link ipertestuali a dei documenti di Microsoft Office può succedere che il file venga aperto all'interno di Internet Explorer anzichè all'interno dell'appropriato programma di Office. Questo comportamento, apparentemente anomalo, si verifica quando Internet Explorer viene configurato per trattenere al suo interno i documenti di office presenti nel computer locale (si osservi che questa è, di solito, l'impostazione di default).
Per risolvere il problema si può procedere come segue:
Soluzione per Windows 95/98
La soluzione si applica solamente alle versioni di Internet Explorer superiori alla 3.0. Se si sta utilizzando questa versione di Internet Explorer si cosiglia di eseguire l'aggiornamento alla versione più recente.
- Fare doppio clic su Risorse del Computer (My Computer se la versione del sistema operativo installata è in Inglese).
- Dal menu Visualizza (View) selezionare la voce Opzioni (Option) o Opzioni Cartella (Folders Option).
- Clic su Tipi di File (File Types).
- All'interno della sezione Tutti i tipi di files registrati (Registered files types), selezionare il tipo di file di Office che si vuole modificare, per esempio Foglio di lavoro di Microsoft Excel.
- Nella finestra di dialogo che mostra le impostazioni sul tipo di file
selezionato, compiere una delle seguenti due operazioni, a secondo della
versione di Internet Explorer che si sta utilizzando:
- Se si sta utilizzando Internet Explorer 3.01, 3.02 o 3.02a, togliere il segno di spunta dalla voce Apri i documenti Web nello stesso posto (Open Web documents in place). Questa voce non compare se si sta utilizzando la versione 3.0.
- Se si sta utilizzando Internet Explorer 4.0, o superiore, togliere il segno di spunta dalla voce Visualizza nella stessa finestra (Browse in same window)
3.4 Come risolvere i problemi di esecuzione della Start Web Page di Internet Explorer 7
Quando si esegue per la prima volta l'accesso ad Internet Explorer 7, viene visualizzata una delle due seguenti pagine web http://runonce.msn.com/runonce2.aspx o http://runonce.msn.com/runonce3.aspx. Talvolta la visualizzazione di queste pagine web o la loro compilazione pu� risultare problematica, come descritto nella Knowledge Base della Microsoft KB945385. Il problema dell'erronea compilazione della pagina, � di solito dovuto all'erronea configurazione della chiave di registro HKEY_CLASSES_ROOT\TypeLib\{EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B}\1.1\0\win32 che dovrebbe avere il valore C:\WINDOWS\system32\ieframe.dll ed invece ha il valore C:\WINDOWS\system32\shdocvw.dll. Questo problema ha conseguenze anche nella compilazione della pagina web http://www.microsoft.com/windows/ie/searchguide/en-en/default.mspx relativa all'inserimento di ulteriori motori di ricerca nel campo di ricerca di Internet Explorer 7, oltre a quello predefinitio.
Per risolvere i problemi segnalati, si possono utilizzare due soluzioni:
- Prima Soluzione: cambiare il valore della chiave di registro HKEY_CLASSES_ROOT\TypeLib\{EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B}\1.1\0\win32 inserendovi il valore corretto, C:\WINDOWS\system32\ieframe.dll;
- Seconda Soluzione: non visualizzare la pagina di Start Up d'Internet Explorer 7, ovvero saltare l'accesso alle pagine web http://runonce.msn.com/runonce2.aspx o http://runonce.msn.com/runonce3.aspx.
Per adottare la prima soluzione, basta procedere come segue:
- collegarsi alla postazione in cui si vuole risolvere il problema con un utente avente diritti amministrativi sulla postazione stessa;
- creare un file di testo chiamato IE7_Fix_Registry_Start_Page_#1.reg contenente il testo seguente:
Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\TypeLib\{EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B}\1.1\0\win32] @="C:\\WINDOWS\\system32\\ieframe.dll"
- eseguire il file IE7_Fix_Registry_Start_Page_#1.reg facendoci doppio clic col mouse da Windows Explorer;
- alla domanda Are you sure you want to add the information in path of .reg file to the registry? rispondere premendo il pulsante Yes.
Per risolvere il problema con la seconda soluzione, procedere come indicato di seguito:
- collegarsi alla postazione in cui si vuole risolvere il problema con un utente avente diritti amministrativi sulla postazione stessa;
- creare un file di testo chiamato IE7_Fix_Registry_Start_Page_#2.reg contenente il testo seguente:
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "RunOnceHasShown"=dword:00000001 "RunOnceComplete"=dword:00000001
- eseguire il file IE7_Fix_Registry_Start_Page_#2.reg facendoci doppio clic col mouse da Windows Explorer;
- alla domanda Are you sure you want to add the information in path of .reg file to the registry? rispondere premendo il pulsante Yes.
Qualora lo riteneste pi� semplice, potete scaricare una copia del file citati, IE7_Fix_Registry_Start_Page_#1.reg e IE7_Fix_Registry_Start_Page_#2.reg da qui (codice MD5: 5695eb5a7d7e09a48f5de0b6c5ad5db1).
Questo sito ha superato il test W3C Validator HTML e CSS