最近在運（yùn）維過程中，遇到了兩個曆（lì）史悠久（jiǔ）而且截然（rán）不同的疑難問題。但巧合的是，兩個問題殊途同歸，最後（hòu）居然使用了同樣的解決（jué）方法。為了慶祝送別這兩個問題，也為了和大家共同學習，共同（tóng）進步，現在（zài）把（bǎ）解決問題的詳細過程獻出（chū）來和大家分享。

　　先對問題進行一（yī）下描述啊（ā）。第一個問（wèn）題就是MSN無法登錄！估計很多朋友看到這個題目就要暗自點頭（tóu），大有一見如故的感（gǎn）覺。這個問題非常普遍，在我（wǒ）們（men）公司（sī）更（gèng）是由來已久。無論用戶的級（jí）別高（gāo）低，無論（lùn）使用的MSN版本新（xīn）舊，總（zǒng）有（yǒu）一部（bù）分不和諧的用戶會跑來（lái）反映自己的MSN無法登錄。按理說（shuō），即時（shí）通訊軟件（jiàn）很不受網管待見，應該學（xué）會在夾縫裏求生存，登錄方式應該手段繁（fán）多，花樣翻新（xīn）。什麽封裝成HTTP，HTTPS，什麽通過Web代理，Socks代理，加密（mì）代理登錄等等，應該讓（ràng）網管覺（jiào）得MSN登（dēng）錄真是防不（bú）勝防，堵不勝堵才好。可（kě）MSN倒好，我（wǒ）們還沒想限製（zhì）呢（ne），它先自己頂不（bú）住（zhù）了。

　　為了解（jiě）決這個問題，勞動人民可是想了不少主意，大（dà）家上網搜（sōu）了不（bú）少辦法（fǎ）。什麽導入證（zhèng）書法（fǎ），什麽在瀏覽器（qì）中勾選自動（dòng）檢測設置啊，這些方（fāng）法倒也不是一無是處，可奇怪的是有（yǒu）些辦法（fǎ）在張三（sān）的機器上行，在李四的機器上（shàng）就不（bú）行，搞來搞去（qù），也沒有一個通用的解決辦法。最（zuì）可氣的是有些用（yòng）戶第一天能（néng）登錄（lù），第二天就不能登錄了（le），搞得（dé）大（dà）家（jiā）每次登錄MSN時心（xīn）情都忐忑不（bú）安，充滿了憧憬和期待。以前在MSN中配置代理服務（wù）器登錄還是比較靠（kào）譜的一招，我們在（zài）TMG服務器上也配置了防火牆策略，希（xī）望用戶通過HTTPS協議（yì）登錄MSN服務器。可後來配置Web代理基本上就毫無作用了。很長一段時間以來，遇到用戶無（wú）法（fǎ）登錄MSN，大家都很（hěn）頭（tóu）疼（téng）去（qù）進行技術支（zhī）持。對比一下（xià）吃苦耐勞，從不挑肥揀（jiǎn）瘦（shòu）的QQ，這MSN跟別（bié）人的差距可真不是一星（xīng）半點。

　　第二個問題也是一（yī）個老問題了，WPAD和WSUS之間有衝突。這個問題聽起（qǐ）來（lái）挺匪（fěi）夷所思的，WSUS是幹嘛（ma）的，WSUS是用於給客（kè）戶（hù）機（jī）自（zì）動（dòng）更（gèng）新（xīn）微（wēi）軟補丁的；WPAD是幹（gàn）嘛的，WPAD是（shì）自動在（zài）客戶機的Web代理或防火牆客戶端上配置代（dài）理服（fú）務器的。咋一看（kàn）這兩者之間沒什麽關聯，可奇怪的是隻要一啟用（yòng）WPAD，客戶機（jī）能（néng）自動發現代（dài）理服務器的同時會立即和WSUS服務器失（shī）去聯係（xì）。為（wéi）了（le）解決這個奇怪的（de）問題，我們在微軟特意開了CASE，可（kě）微軟抓了（le）不少包（bāo）進行（háng）分析，最後（hòu）也沒分（fèn）析出什麽結果。結果呢，這個CASE就一（yī）直掛在（zài）那了。問（wèn）題沒解決（jué），我們隻能在WPAD和WSUS之間選擇Kill一（yī）個了，WSUS是（shì）負責更新補丁的，安全問題應該優（yōu）先（xiān）保證，所以隻能委屈一下（xià）WPAD了。

　　介紹完現有（yǒu）的問題後，再來介紹（shào）一下是怎麽解決問題的。我們先在MSN問題上（shàng）找到了突破口（kǒu），查詢微（wēi）軟Technet三月份的安全博客時，忽然發現有篇（piān）文章介（jiè）紹MSN登錄原理，文章（zhāng）提到如何希望MSN通過代理服務器（qì）登錄服務器，僅僅配置Web代理是不夠（gòu）的，MSN隻是在（zài）完成登錄的（de）部分（fèn）工作時使用（yòng）到（dào）Web代理（lǐ）！注（zhù）意，這（zhè）也就（jiù）意味著（zhe）如（rú）果僅（jǐn）僅在MSN中配（pèi）置下圖所示的Web代理，是（shì）無法完成MSN登（dēng）錄的（de）。

　　通過在客戶（hù）機上抓包分析，發現MSN登錄時要做很多工作，要聯係（xì）一些（xiē）*.microsoft.com的服務（wù）器，要聯係一些*.hotmail.com的服務器（qì），還要聯係（xì）一些（xiē）*.live.com和*.msn.com的服務器。當MSN訪（fǎng）問這些服（fú）務（wù）器時，有部分工（gōng）作可以由Web代理完成，但有些工作（zuò）是不能通過Web代（dài）理的。那（nà）剩下的登（dēng）錄（lù）工作應該交給誰呢（ne）？答案是Winhttp代理！

Winhttp代理和Web代（dài）理是兩套不同的代理機（jī）製，我們在瀏（liú）覽器中（zhōng）配置的代理服（fú）務器屬於Web代理，那Winhttp代理應（yīng）該如何配置呢？其實（shí）在Win7計算機中（zhōng）使用Netsh就可（kě）以輕鬆配（pèi）置，如下圖所示，我們（men）在Win7客戶機中以管理（lǐ）員（yuán）身（shēn）份運行一（yī）個命（mìng）令提（tí）示符，然後輸入：Netsh Winhttp Set Proxy proxy.chamc.com.cn:80。這條指令的目的（de）就是把（bǎ）我們當前使用的代理服（fú）務器proxy.chamc.com.cn設置為Winhttp的代理（lǐ）服務器（qì）。

　　設置了Winhttp代（dài）理後，果然效（xiào）果（guǒ）不凡，大家的MSN紛紛能夠成功登錄了（le）！真是不容易啊，這個（gè）該死的微軟，居然畫蛇添足地設計什（shí）麽Winhttp代理（lǐ）！群眾中有幾個人懂這個啊，都使用（yòng）Web代（dài）理不就完事了嘛，這些程序員到底（dǐ）有木（mù）有腦（nǎo）子啊！大家正在義憤填膺地譴責微軟，忽然有同事發現新問題（tí）了（le）。隻要在計算（suàn）機（jī）上配（pèi）置（zhì）了（le）Winhttp代理，就無法訪問WSUS服務器了（le）！

　　檢（jiǎn）查（chá）一（yī）下計（jì）算機c:\windows\windowsupdate.log文件（jiàn），可以（yǐ）發現客戶（hù）機訪問WSUS服務器時的日誌內容，日誌中有這樣的（de）語句DownloadFileInternal failed for http://hq-sus/selfupdate/wuident.cab: error 0x801901f6。這種（zhǒng）錯誤提示和配置WPAD後（hòu）的錯（cuò）誤提示完全相同，這（zhè）種（zhǒng）情況下（xià）我們就（jiù）提高（gāo）警（jǐng）惕了，為什麽WSUS和Winhttp代（dài）理之間也有這種（zhǒng）兼容性問題呢？

通過查閱（yuè）資料（liào），發現原來WSUS客戶端在訪問WSUS服務器時，也是要調用Winhttp代理進行通訊的。由（yóu）於WSUS客戶機和WSUS服務器同在TMG的內網，因此WSUS客戶機應該直接訪問WSUS服（fú）務器，根本不應該客戶機先訪問到TMG服務器（qì），然後（hòu）再通過TMG服（fú）務器（qì）訪問WSUS服務器！找到問題之（zhī）後，怎麽解決呢（ne）？其（qí）實解（jiě）決方法也很簡單，在netsh Winhttp中設置（zhì）旁路列表，告訴（sù）Winhttp代理，訪問WSUS服務器不（bú）用（yòng）經過Winhttp代理，這樣就可以了（le）。例如WSUS服務器是hq-sus，那（nà）麽我們就（jiù）可以在客戶機上輸（shū）入如下圖所示命令：Netsh Winhttp set proxy proxy.chamc.com.cn:80 “hq-sus”。這條指（zhǐ）令就是（shì）通知Winhttp代理，訪問hq-sus服務器可以直接訪問，不（bú）用經（jīng）過Winhttp代理了。如（rú）果有內（nèi）網（wǎng）其他的（de）服（fú）務器（qì）要排除，可以用分號（hào）隔開（kāi）

　　在客戶（hù）機上（shàng）配置完Netsh Winhttp後，問題解決了。用戶可以（yǐ）登錄MSN，也不會和WSUS有（yǒu）衝突了（le），問題貌似圓滿解決啊（ā）！但是，但（dàn）是，問（wèn）題好像還留了一個小尾巴。為什麽WSUS和WPAD當初會有衝突呢？難道也是類似原因（yīn）導致的。在（zài）微軟（ruǎn）網站找（zhǎo）資料！找啊找，找啊找，嘿嘿，功夫不負有心人啊，真的被俺找到了。原來Winhttp代理除了可以通過Netsh Winhttp進行（háng）配置，還可（kě）以通過WPAD進行自動配置。但（dàn）是，當Winhttp代理通過WPAD下載wpad.dat文件進行自動配置時，由於wpad.dat文件中沒有對wsus服（fú）務器進行排除，因此WSUS客（kè）戶端通（tōng）過Winhttp代理（lǐ）就不會直接訪問WSUS服（fú）務器。而是需要通過TMG代理（lǐ）服務器去訪問WSUS服務器，這樣（yàng）當然是不行的（de）！

　　搞清楚（chǔ）道理，問（wèn）題（tí）就好解決了。隻要在配置WPAD時把內（nèi）網的WSUS服務（wù）器（qì）排除之外就（jiù）OK了（le）。在（zài）TMG服務器上打開（kāi）管理控製台，找到（dào）“網絡連接”－“內部”－“屬性”中的“Web瀏覽（lǎn）器”標簽，如下圖（tú）所（suǒ）示，把WSUS服務（wù）器hq-sus添（tiān）加到直接訪問（wèn）的列（liè）表中，這樣WPAD就會通（tōng）知使（shǐ）用Web代理或Winhttp代（dài）理不要通過代理服務器（qì）訪問WSUS服務器，如果還（hái）有其他（tā）的（de）服務器（qì）要排（pái）除，參考這種（zhǒng）操作就可（kě）以。

　　排除的服務器可以通（tōng）過TMG服務（wù）器上的（de）wpad.dat文件體現（xiàn）出來（lái），我（wǒ）們可（kě）以（yǐ）使用瀏覽器從TMG服務（wù）器上下載（zǎi）wpad.dat文件查（chá）看排除服務器（qì）列表。如下（xià）圖所示，我們使（shǐ）用記事本打開TMG服務器上的wpad.dat，可以看到WSUS服務器（qì）hq-sus已經被（bèi）排除使（shǐ）用代（dài）理服務（wù）器訪問了。

　　現（xiàn）在（zài），通過在WPAD中設置排除（chú）服務器，WPAD可以啟用了。用戶的Winhttp代（dài）理可以通（tōng）過WPAD自動（dòng）獲（huò）取配置，不需要通過Netsh Winhttp進行配置。現在，用戶登錄MSN，訪問WSUS服務器都沒有問題了，非常和諧。從這（zhè）個問題中，我們可以得出兩個結論：第一是不要迷信微軟，微軟（ruǎn）的產品之間（jiān）也會有兼容性問（wèn）題（tí）；第二是一（yī）定（dìng）要相信微軟，問題（tí）最終還是（shì）可以解決（jué）的。