问题[pac](server)

我从 PAC 文件中得到了这种奇怪的行为。我有一个运行良好的现有 PAC 文件。由于最近的迁移，我不得不开始修改 PAC 文件，并从代理中排除一些 IP 和 URL，主要用于 MS Teams。

测试修改后，发现浏览时存在极度延迟。在处理 PAC 文件时，我对其进行了调整以减少网络请求并一次性解析域，然后检查 IP 地址。但是，它导致每个必须访问代理的网站都无法正常工作。

下面是我更新的 PAC 文件，其中删除了一些细节：

function FindProxyForURL(url, host) {

    if(!isResolvable(host))
        return "DIRECT";
    var resolved_IP = dnsResolve(host);
    
    if ((shExpMatch(url, "ctldl.windowsupdate.com")) || 
    (shExpMatch(url, "download.windowsupdate.com")) || 
    (shExpMatch(url, "windowsupdate.microsoft.com")) || 
    (shExpMatch(url, "update.microsoft.com")) || 
    //check for local IP addresses
    (isInNet(resolved_IP, "127.0.0.1", "255.0.0.0")) || 
    (shExpMatch(url, "*.internaldomain1.com")) || 
    (shExpMatch(url, "*.internaldomain2.com")) || 
    (shExpMatch(url, "*.internaldomain3.com")) || 
    (shExpMatch(url, "internaldomain4.com")) ||
    /* Skype for Business and MS Teams */
    (isInNet(resolved_IP, "52.112.0.0", "255.252.0.0")) || 
    (isInNet(resolved_IP, "52.120.0.0", "255.252.0.0")))
        return "DIRECT"; 
    else
        if (url.substring(0, 5) == 'http:' ||
        url.substring(0, 6) == 'https:' ||
        url.substring(0, 4) == 'ftp:')
        return "PROXY <Primary Proxy IP>:8080; PROXY <Secondary Proxy IP>:8080";
    return 'DIRECT';
}

我不确定我在这里缺少什么导致拒绝请求。

我还在 Firefox 上启用了开发人员工具，并看到了被阻止的请求（虽然不是每次都如此）

==============================

更新：

修改前的 PAC 文件

function FindProxyForURL(url, host) {

    if (shExpMatch(url, "ctldl.windowsupdate.com")) { return "DIRECT"; }
    if (shExpMatch(url, "download.windowsupdate.com")) { return "DIRECT"; }
    if (shExpMatch(url, "windowsupdate.microsoft.com")) { return "DIRECT"; }
    if (shExpMatch(url, "update.microsoft.com")) { return "DIRECT"; }


     //check for local IP addresses
    if ((shExpMatch(host, "127.0.0.1"))

                 || (shExpMatch(host, "*.domain1.com"))
                 || (shExpMatch(host, "*.domain2.com"))
                 || (shExpMatch(host, "*.domain3.com"))
                 || (shExpMatch(host, "domain3.com"))


         ) { return "DIRECT"; }


if (url.substring(0, 5) == 'http:' ||
url.substring(0, 6) == 'https:' ||
url.substring(0, 4) == 'ftp:')
{
return "PROXY <Proxy1>:8080; PROXY <Proxy2>:8080";
}
return 'DIRECT';
}

如果我在一个自动代理 PAC 文件中并返回“PROXY xxx.com:80”选项，该链接可以指向另一个 PAC 文件吗？FindProxyForURL(url, host) 的 url 和 host 参数保持不变还是丢失了什么？

继续讨论同一主题，如果这些代理文件中的一个或两个都托管在 HTTPS 后面会怎样？

在我们的大型企业环境中，我们设置了 4 个 ISA 2006 服务器。用户 (WinXP IE8) 配置有自动代理配置脚本。最近，PAC 被修改为返回 FQDN 而不是 ISA 服务器的 IP 地址。这样做是为了强制使用 Kerberos 身份验证而不是 NTLM。

此更改已导致某些用户出现间歇性问题。通过 SSL 访问站点时，他们会收到多个来自代理服务器的身份验证提示。并非所有用户都受到影响。不同的站点受到影响。有一次，其中一个代理服务器开始喷出“502 代理错误。不支持缓冲区空间。” 它被重新启动并重新开始营业。

我们能想到的最好结果是它与较大的 Kerberos 令牌大小有关（我们是一个拥有成百上千个 AD 安全组的大型操作）。

一些用户为 Kerberos 配置了 MaxPacketSize 和 MaxTokenSize。有些人没有。我看到的两个问题用户都有这些设置。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]
"MaxPacketSize"=dword:00000001
"MaxTokenSize"=dword:0000ffff

回滚 PAC 以使用 IP 地址（和 NTLM）可以解决用户的问题。但代理管理员仍然需要 Kerberos，原因如下：为什么在 IIS 中使用 Kerberos 而不是 NTLM？.

将这些注册表设置推送给所有用户会解决问题，还是这些设置是问题的根源？

ISA 服务器上是否有需要调整的设置以匹配桌面上的令牌大小设置？

谢谢。

我有相当复杂的代理设置，其中一个代理需要用户名/密码。有没有一种方法可以配置用户名/密码，以便用户在将流量重定向到这个代理时不必输入它们？至少返回PROXY username:password@server:port或PROXY http://username:password@server:port不会工作。

正是标题所说的。我需要阻止 IE 8 在浏览器发出的每个请求上重新加载 PAC 文件。

我只要求它在每个会话中加载一次。

如何防止 Internet Explorer 重新加载 PAC 文件？我需要阻止 IE8 在浏览器发出的每个请求上重新加载 PAC 文件。

我只要求它在每个会话中加载一次。

我们公司刚刚将代理设置从使用一个代理服务器更改为一堆，并将 pac 文件插入到 IE 设置中。问题是，任何不允许显式设置代理脚本（pac 文件）的软件都不能再上网了。我想在我的系统中全局设置代理设置，发现 proxycfg 用于此，但它似乎不接受 pac 文件。

有任何想法吗？

谢谢你，安德烈