在域环境中配置isa serverWord下载.docx

1、10.2.1.1；DNS：10.2.1.2；备注：这是一台域控，默认网关是ISA Server的内部接口，DNS设置为本机。 Florence （ISA Server 2004） Florence（目前还处于工作组环境，没有加入域，我会在后面的操作中将其加入域）；（1）Internal Interface：IP：10.2.1.1/24 none 10.2.1.2 （2）External Interface：61.139.1.1/24 61.139.1.1 ISA Server上的IP设置比较讲究，首先DNS只能设置为内部AD的DNS服务器，然后默认网关为外部出口。 Sydney（Dns/Web

2、 server） www.isacn.org 61.139.1.2/24 61.139.1.2 这台计算机用来模拟外部的DNS和Web服务器。后面我们会在内部的DC上设置DNS的转发，将非域的DNS解析请求转发到此DNS服务器上，然后通过域名www.isacn.org来访问这台Web服务器上的一个Web站点。在这篇文章中，我们会通过以下步骤来为内部域中配置ISA Server 2004防火墙： 在独立服务器上安装ISA防火墙； 将ISA防火墙计算机加入域； 在ISA防火墙上对域管理员进行ISA完全控制的授权； 建立通过验证的域管理员访问外部所有协议的访问规则； 测试该访问规则，通过IP地址来访

3、问外部的Web服务器； 在内部AD的DNS服务器上设置DNS转发； 建立访问规则，允许内部网络的所有用户访问外部的DNS服务； 测试内部DNS解析请求的转发，并通过域名来访问外部的Web站点； 配置ISA防火墙，允许其访问外部站点 1、在独立服务器上安装ISA防火墙 关于ISA Server 2004的安装已经有多篇文章介绍了，在此就不重复。根据本次试验的网络拓朴结构，在内部网络选择时，通过添加适配器来勾选内部网络接口就可以了。安装好后，内部网络如下图所示：此时，在防火墙策略中只有默认规则：虽然只有默认规则，但是ISA防火墙的系统策略中是允许ISA防火墙访问域服务，所以我们依然可以访问内部的域

4、。2、将ISA防火墙计算机加入域 现在我们需要将Florence加入到内部域中。使用管理员账号登录Florence，右击我的电脑，打开系统属性，然后在计算机名页，点击更改；在弹出的计算机名称更改页，点击隶属于列表下面的域，然后输入内部域的名字C，然后点击确定。此时，系统会让你输入有加入该域权限的账户，输入域管理员账号和密码，点击确定；系统验证无误后，会弹出欢迎加入域的对话框，点击确定；系统会提示你需要重启计算机，点击确定，然后重启ISA防火墙计算机；3、在ISA防火墙上对域管理员进行ISA完全控制的授权 由于我是先安装ISA Server 2004，然后再加入域，此时，域管理员没有对ISA S

5、erver的管理权限。如果是计算机先加入域然后再安装ISA Server，那么域管理员也会有完全的管理权限，这一步就可以省略了。现在，我们需要对域管理员进行ISA Server的完全管理授权：首先使用本地管理账户登录ISA计算机， 打开ISA管理控制台，点击常规，再点击右边面板的管理委派，此时弹出ISA服务器管理委派向导，点击下一步；在委派控制页，点击添加；在管理委派对话框，点击浏览；在选择用户和组对话框，输入contosodomain admins，点击确定；由于此时是登录到本机，没有contoso域的浏览权限，所以系统会提示你输入对有权限的账号，在此输入域管理员账号，点击确定；然后在管理委

6、派页点击确定；在委派控制页，点击下一步；在完成管理委派向导页，点击完成；4、建立通过验证的域管理员访问外部所有协议的访问规则 现在我们可以使用域管理员账号来登录了， 然后打开ISA管理控制台，右击防火墙策略，然后点击新建，选择访问规则；在新建访问规则向导页，输入规则的名字，在此我们命名为Allow Domain Admins access External，点击下一步；在规则操作页，选择允许；点击下一步；在协议页，选择所有出站通讯，点击下一步；在访问规则源页，选择内部，点击下一步；在访问规则目标页，选择外部，点击下一步；在用户集页，删除默认的所有用户，点击添加， 在添加用户对话框，点击新建；在

7、欢迎使用新建用户集向导页，输入用户集名称，在此我们命名为Domain Admins，点击下一步；在用户页，点击添加，选择Windows用户和组；在选择用户或组页，输入contosodomain admins，点击下一步；因此我是使用域管理员账户登录，所以系统可以很顺利的读取域中账号。在用户页，点击下一步；然后在正在完成新建用户集向导页，点击完成；然后在添加用户对话框，双击新建的Domain Admins，点击关闭；然后在用户集页点击下一步；最后在正在完成新建访问规则向导页，点击完成；在防火墙策略面板，点击应用以保存修改和更新防火墙策略；5、测试该访问规则，通过IP地址来访问外部的Web服务器

8、现在我们来测试这条规则。首先先转到Sydney上看看，这是一台Dns和Web服务器，其中建有两个Web站点，一个是默认站点，一个是必须通过www.isacn.org域名才能访问的Web站点， 由于我们在访问规则中使用了身份验证，所以需要设置内部客户为Web代理客户或者防火墙客户。首先，我们使用域管理员账号登录域控Denver，然后设置它为Web代理客户，通过ISA防火墙的默认Web代理来浏览。此时Denver通过IP地址访问外部的Sydney是可以的， 同时，你可以在ISA的管理控制台中发现Denver提交的身份验证信息， 但是你会发现，你不能解析外部的DNS名字，同时也不能ping外部，这是

9、为什么呢？我们使用的DNS服务器是内部的DNS，没有设置对于外部的DNS解析请求应该如何处理，在没有设置转发的时候会被DNS服务器丢弃，自然不能解析出外部的DNS名字。同时由于我们启用了身份验证，只有使用Web代理客户或者防火墙客户才能提交身份验证信息。Web代理客户只支持从Web浏览提交身份验证信息，不支持其他的程序，所以在Web代理客户环境下，其他访问是不被ISA防火墙允许的（没有提交身份验证信息）；而防火墙客户不支持ICMP信息的转换，所以，无论在Web代理客户环境和防火墙客户环境，都是不支持ICMP的。6、在内部AD的DNS服务器上设置DNS转发 现在我们在内部的域控上设置外部DNS名

10、字解析请求的转发。使用管理员账号登录域控Denver，在管理工具中打开DNS控制台，右击服务器名，选择属性；在转发器页，选中上面的“所有其他DNS域”，然后在下面的转发器列表中输入外部的DNS服务器地址，在此我输入外部的DNS服务器Sydney的IP 61.139.1.2，然后点击添加；再点击确定；注意：如果你的DNS服务器属性中转发器被禁用，这是因为你DNS服务器被作为根DNS服务器所至。在正向区域中删除“.”后重启DNS服务即可。7、建立访问规则，允许内部网络的所有用户访问外部的DNS服务 其实这一步也不是必须的。只要在内部客户上安装防火墙客户端，那么由于前面我们有条允许内部的域管理员访问

11、外部的所有服务的规则，就可以达到这一目的，但是在域控上是不推荐使用防火墙客户的。所以，在此，我另外新建一条规则来允许内部网络的所有用户访问外部的DNS服务。在Florence上打开ISA管理控制台，建立访问规则的步骤和第4步基本一致，对应的规则元素为： 规则名：Allow DNS from Internal to External； 规则操作：允许； 协议：所选的协议 DNS； 访问规则源：内部； 访问规则目标：外部； 用户集：所有用户；最后点击应用来保存修改和更新防火墙策略；8、测试内部DNS解析请求的转发，并通过域名来访问外部的Web站点 此时，我们再在域控Denver上进行DNS解析请求

12、的测试， 转发的DNS解析已经正常了。现在我们通过域名来访问外部的Web站点， 你可以很清楚的看到不同访问方式下页面的不同。 9、配置ISA防火墙，允许其访问外部站点 现在我们在ISA防火墙上进行测试，首先是解析域名，看是否正常， ISA防火墙很容易的通过内部域控的DNS服务解析出了外部的域名；同样的，我们设置其为Web代理客户，让它来访问外部网络的Web站点试试， 但是，被拒绝了.Why？很简单，你没有在防火墙策略中允许它访问外部的Web站点。可能有朋友问，我不是可以解析DNS吗？这个功能是由ISA的系统策略来允许的，主要是方便管理和访问一些基础服务，但是HTTP不是基础服务，需要你另外建立访问规则来允许。所以，我们现在需要建立一条允许本地主机访问外部的访问规则：打开ISA管理控制台，建立规则的步骤和第4步基本一致，对应的规则元素为：Allow Localhost to External；所选的协议 HTTP；本地主机；Domain Admins；现在我们只需要简单的刷新一下.访问就已经OK了；同样的，你也可以看出使用IP和使用域名访问的不同.