多段プロキシ構成時の注意点について

こんにちは。日本マイクロソフトの伊藤です。

ISA Server や Forefront TMG をフォワード プロキシとして構成する際に、その他のプロキシ サーバーとの "多段構成" となる場合があります。
下位プロキシとして ISA / TMG を構成する場合にはいくつか注意点がありますので、ご紹介します。

■ 上位プロキシの設定方法について
TMG 管理コンソールより [ネットワーキング] - [Web チェーン] を開きます。
Web チェーン ルールを作成することで、ある条件にマッチする通信を上位プロキシへ転送する、ことが出来ます。

[要求の動作] 画面では [指定された上位サーバーに要求をリダイレクトする] を選択してください。

 

■ 注意点 1 : 上位サーバーのポーリング
ウィザードに従って Web チェーン ルールを作成すると、既定の設定ではオプション [上位サーバーを自動的にポールし、構成情報を取得する] が有効です。

本オプションは上位プロキシが ISA / TMG の場合にのみ、有効です。
もし ISA / TMG 以外のプロキシ製品を上位プロキシとして利用する際には、本オプションを無効にして下さい。

 

■ 注意点 2 : TMG 上の名前解決
TMG が上位プロキシへ要求を転送する前には、クライアントが接続したい Web サーバーの名前解決が、TMG 上で行われます。
環境によっては TMG で外部の名前解決が出来ない場合 (= 名前解決は上位プロキシに任せている場合) や、TMG にて名前解決された後の IP アドレスによるアクセスが上位プロキシにとって不都合な場合、などがあります。

そういった環境では、TMG 上の名前解決動作を無効とし、クライアントからの通信をそのまま上位プロキシへ転送させる必要があります。
この設定変更は TMG 管理コンソールからは実行することができず、代わりにスクリプトを実行する必要があります。

How to configure ISA Server 2004, ISA Server 2006 Windows Essential Business Server 2008 to skip name resolution in a Web proxy chaining configuration
http://support.microsoft.com/kb/891244/en-us

KB891244 の "MORE INFORMATION" に書かれた手順に沿ってスクリプトを実行することで、名前解決を無効にすることが出来ます。
もし名前解決を有効に戻したい場合には、スクリプト中の

webProxy.SkipNameResolutionForAccessAndRoutingRules = True

webProxy.SkipNameResolutionForAccessAndRoutingRules = False

に変更して実行します。 

(参考情報)
About Web proxy chaining
http://technet.microsoft.com/en-us/library/cc995172.aspx