最近在運（yùn）維（wéi）過程（chéng）中，遇到了兩個曆史悠久而且截（jié）然（rán）不（bú）同的疑難問題。但巧合的（de）是（shì），兩個（gè）問題殊（shū）途（tú）同歸，最後居然使用了同樣（yàng）的解（jiě）決（jué）方法。為了慶祝送別這兩個問題，也為了和（hé）大家共同學習，共同進步，現在（zài）把解決問題的詳細過程獻出（chū）來和（hé）大（dà）家分享。

　　先對問題進行（háng）一下描述啊。第一（yī）個問題（tí）就是MSN無法登錄（lù）！估計很多朋（péng）友看到（dào）這個題目就要暗自點（diǎn）頭，大有一見如故的感覺。這（zhè）個問題非常普遍，在我們公（gōng）司更是由（yóu）來已（yǐ）久（jiǔ）。無論用（yòng）戶（hù）的級別高低，無（wú）論（lùn）使用的MSN版本新舊，總有一部分不和諧的用戶會跑來反映自己（jǐ）的MSN無法（fǎ）登錄。按理說，即時通訊軟件很不受（shòu）網管待（dài）見，應（yīng）該（gāi）學會（huì）在夾縫裏求生存，登錄方（fāng）式（shì）應該（gāi）手段繁多，花樣翻新。什（shí）麽封（fēng）裝成HTTP，HTTPS，什麽通過（guò）Web代理，Socks代理，加密代（dài）理（lǐ）登錄等等，應該讓網管覺得MSN登錄真是防（fáng）不（bú）勝防，堵不（bú）勝堵（dǔ）才好。可MSN倒（dǎo）好，我們還沒想（xiǎng）限製呢，它先（xiān）自己頂不（bú）住了。

　　為了（le）解決這個（gè）問（wèn）題，勞動人民可是想了不少主意，大家上網搜了不（bú）少辦法。什麽（me）導入證書法，什（shí）麽在瀏覽器中勾選（xuǎn）自動檢（jiǎn）測設置啊，這些方法倒也不是一無是處，可奇怪的是有些辦法在（zài）張三（sān）的機器上行，在（zài）李四的機器上就（jiù）不行，搞來搞去，也（yě）沒有一個通用的解決（jué）辦法。最可氣的是有些用戶第（dì）一天能登錄，第二天就不能登錄了，搞得大家每次登錄MSN時（shí）心情都忐忑不安，充（chōng）滿了憧憬和期待。以前（qián）在MSN中配（pèi）置代理服務器登錄（lù）還是（shì）比較靠譜的一招，我（wǒ）們在（zài）TMG服務器（qì）上（shàng）也配置（zhì）了防火牆策略，希望用（yòng）戶（hù）通過HTTPS協議登（dēng）錄MSN服務器。可後來配置（zhì）Web代理基本上（shàng）就毫無作用了。很長一段時（shí）間以來，遇到用戶無法登錄（lù）MSN，大家都很頭疼去進行（háng）技（jì）術支持（chí）。對（duì）比一下吃苦耐勞，從不挑肥揀瘦的QQ，這MSN跟別人的差距可真不是一星半點（diǎn）。

　　第（dì）二個問題也是一個（gè）老問（wèn）題（tí）了，WPAD和WSUS之間有衝突。這（zhè）個問題聽起來挺匪（fěi）夷所思的，WSUS是幹嘛的，WSUS是用於（yú）給客戶機自動更新微軟補丁（dīng）的；WPAD是幹嘛（ma）的（de），WPAD是自動（dòng）在客（kè）戶機的Web代理或防（fáng）火（huǒ）牆客戶端上配（pèi）置代理（lǐ）服務器的。咋一看這（zhè）兩者之間（jiān）沒什麽關聯，可（kě）奇怪的是隻（zhī）要一（yī）啟用WPAD，客戶機（jī）能自動發現代理服務器的同時（shí）會立即（jí）和（hé）WSUS服務器失去（qù）聯係。為了解決這個奇（qí）怪的問題（tí），我們在微軟（ruǎn）特意開了CASE，可（kě）微軟抓（zhuā）了不少包進（jìn）行（háng）分析，最後也沒分析出什麽（me）結果。結（jié）果呢，這個（gè）CASE就一直掛在（zài）那了。問題沒解（jiě）決，我（wǒ）們隻能在WPAD和WSUS之間選擇Kill一個了（le），WSUS是負責（zé）更新（xīn）補丁的（de），安全問題應該（gāi）優先保證，所以隻（zhī）能委屈一下WPAD了。

　　介（jiè）紹完現有的問題後，再來介紹（shào）一下是怎麽（me）解決問題的。我們先（xiān）在MSN問題上找（zhǎo）到了突破口，查詢微軟（ruǎn）Technet三月份（fèn）的安全博客時，忽然發（fā）現有篇（piān）文章介紹MSN登錄原理，文章提到如何希望MSN通過（guò）代理（lǐ）服務器登錄（lù）服務器，僅僅配置Web代（dài）理是不夠的，MSN隻是在完（wán）成登錄的部分工作時使（shǐ）用到Web代理（lǐ）！注（zhù）意（yì），這也就（jiù）意味著如果僅（jǐn）僅在MSN中配置下圖（tú）所示的Web代理，是無法完成MSN登錄的（de）。

　　通過在客戶機上抓包分析，發現MSN登錄時要（yào）做很多（duō）工作，要聯係一些*.microsoft.com的服務器，要聯係（xì）一（yī）些*.hotmail.com的（de）服務器，還要聯係一（yī）些*.live.com和*.msn.com的（de）服務（wù）器。當MSN訪問這些（xiē）服（fú）務器時，有部分（fèn）工作可以（yǐ）由Web代理完成（chéng），但有些工作是不（bú）能（néng）通（tōng）過Web代理的。那剩下的登錄工作應（yīng）該交（jiāo）給（gěi）誰（shuí）呢？答案是Winhttp代理（lǐ）！

Winhttp代（dài）理和Web代（dài）理是（shì）兩（liǎng）套不（bú）同的代理機（jī）製，我們在瀏覽器（qì）中配置（zhì）的代理服務器屬於Web代理，那Winhttp代理應（yīng）該如何配置呢？其實在Win7計算機中使用Netsh就可（kě）以輕鬆配（pèi）置，如下圖所（suǒ）示，我們在Win7客戶機中（zhōng）以管（guǎn）理（lǐ）員身（shēn）份（fèn）運行一個命令提（tí）示符，然後輸入：Netsh Winhttp Set Proxy proxy.chamc.com.cn:80。這條（tiáo）指令的目的就是把我們當（dāng）前使用的代理服務器proxy.chamc.com.cn設置（zhì）為Winhttp的代理服務器。

　　設置（zhì）了Winhttp代（dài）理後，果（guǒ）然效果不凡，大家的MSN紛紛（fēn）能夠成功（gōng）登錄了！真（zhēn）是不容易（yì）啊（ā），這個該死的微軟（ruǎn），居（jū）然畫蛇添足地（dì）設計什麽Winhttp代理！群眾中有幾個人懂這個啊（ā），都使用Web代理不就完事了嘛，這些程序（xù）員到底有木（mù）有腦子啊！大家正在義憤填膺地（dì）譴責微軟，忽然有同事發現新問（wèn）題了。隻要（yào）在計算機上配（pèi）置了Winhttp代理，就無法訪問（wèn）WSUS服務器了！

　　檢查（chá）一下計（jì）算機c:\windows\windowsupdate.log文件，可以發現客戶機訪問WSUS服務（wù）器（qì）時的（de）日誌內容，日誌中有這樣的語句（jù）DownloadFileInternal failed for http://hq-sus/selfupdate/wuident.cab: error 0x801901f6。這（zhè）種錯誤提示（shì）和配置WPAD後的錯誤提示完全（quán）相同（tóng），這種情況下我們就提（tí）高警（jǐng）惕了，為什麽WSUS和Winhttp代理之（zhī）間（jiān）也有這種兼（jiān）容性（xìng）問（wèn）題呢？

通過查閱資料，發（fā）現原來（lái）WSUS客戶（hù）端在訪問WSUS服務器時（shí），也是要調用（yòng）Winhttp代理進行通（tōng）訊的。由於WSUS客戶機和WSUS服（fú）務（wù）器同在TMG的內（nèi）網（wǎng），因（yīn）此WSUS客戶機（jī）應該直接（jiē）訪問WSUS服（fú）務器，根本不應該客戶機先（xiān）訪問到TMG服務（wù）器（qì），然後再通過TMG服（fú）務（wù）器訪問（wèn）WSUS服務器！找到（dào）問（wèn）題之後（hòu），怎麽解（jiě）決呢？其實（shí）解決方法也很簡（jiǎn）單，在netsh Winhttp中設置旁路列表（biǎo），告訴Winhttp代理，訪問WSUS服務器不用經過（guò）Winhttp代理，這樣就可（kě）以了（le）。例如WSUS服務器是hq-sus，那麽我們就可以在（zài）客戶（hù）機上輸（shū）入如下圖所示命令：Netsh Winhttp set proxy proxy.chamc.com.cn:80 “hq-sus”。這條（tiáo）指令就是通知Winhttp代理（lǐ），訪（fǎng）問hq-sus服務器可以直接訪問（wèn），不用經過（guò）Winhttp代理（lǐ）了。如果有內網其他的服務器要排（pái）除，可以用分號隔開

　　在客戶機上配置完Netsh Winhttp後，問題（tí）解決了。用戶可以登錄MSN，也不會和WSUS有（yǒu）衝（chōng）突了，問題貌似圓滿（mǎn）解決啊！但是，但（dàn）是，問題好像（xiàng）還留了一個小尾巴。為什麽WSUS和WPAD當初會有衝（chōng）突呢？難道也是（shì）類似原因導致（zhì）的。在微（wēi）軟（ruǎn）網站找（zhǎo）資（zī）料！找啊找，找（zhǎo）啊找，嘿嘿，功夫不負有心人啊，真的（de）被俺找到了（le）。原來Winhttp代理除（chú）了可以通過Netsh Winhttp進行配置，還（hái）可以通過WPAD進（jìn）行自（zì）動（dòng）配置。但是，當Winhttp代理通過WPAD下載wpad.dat文件進行自動（dòng）配置（zhì）時，由於wpad.dat文件中（zhōng）沒有對wsus服務（wù）器進行排除，因此（cǐ）WSUS客（kè）戶端（duān）通過Winhttp代理就不會直接訪問WSUS服務器（qì）。而是需要通（tōng）過TMG代理服務器去訪問WSUS服（fú）務器，這（zhè）樣當然是不行的！

　　搞清楚道理，問題就好解決了。隻要在配置WPAD時（shí）把內網的WSUS服務器排（pái）除之外就OK了。在TMG服（fú）務器上打（dǎ）開（kāi）管（guǎn）理控製台，找到“網絡連接”－“內部”－“屬性（xìng）”中的（de）“Web瀏覽器”標簽，如下圖所（suǒ）示，把WSUS服務（wù）器（qì）hq-sus添加到直接訪問的列表中（zhōng），這樣WPAD就（jiù）會通知使用Web代理或Winhttp代理不要通過代理服（fú）務器訪問WSUS服（fú）務器，如果（guǒ）還（hái）有其他的服務器（qì）要排除（chú），參考這種操作就（jiù）可（kě）以。

　　排除的服務器可以通過TMG服務器上的wpad.dat文（wén）件體現出來（lái），我們可（kě）以（yǐ）使用瀏覽器從TMG服務器（qì）上（shàng）下載wpad.dat文（wén）件查（chá）看排除服（fú）務器列（liè）表。如下圖所示，我們使用（yòng）記事本打開（kāi）TMG服務（wù）器上的wpad.dat，可（kě）以看（kàn）到WSUS服務器hq-sus已經被排除使用（yòng）代理服務器訪問了。

　　現在（zài），通過（guò）在WPAD中設置排除服務器，WPAD可（kě）以啟用了（le）。用戶的Winhttp代理可以通過WPAD自動獲取配（pèi）置（zhì），不需要（yào）通過Netsh Winhttp進行（háng）配置。現（xiàn）在（zài），用戶登錄MSN，訪問WSUS服（fú）務器都（dōu）沒有問題了（le），非常和諧。從這個問（wèn）題中，我們可以得出（chū）兩個結論：第一是不要迷（mí）信微軟，微（wēi）軟的產品之間也會有兼容性（xìng）問題；第二是一定要相信微（wēi）軟，問題最終還是可以解決的。