[转载]How to :在域环境中配置ISA Server 2004
<P>信息来源:<A href="http://www.isacn.org/info/info.php?sessid=&infoid=134&page=1">[url]http://www.isacn.org/info/info.php?sessid=&infoid=134&page=1[/url]</A></P><P align=center><FONT face=Verdana color=#ff0000 size=2>(非常感谢Ronald Beekelaar,他做的ISA Server 2004 LAB是如此的精致,只需要我些许的修改几个地方,就可以完成这个比较复杂的试验)</FONT>
<P><FONT face=Verdana>很多朋友提出了在域环境中不能正确配置ISA Server 2004的问题,主要集中在无法引用域用户和DNS无法解析。在这篇文章中,我以一个域环境实例,来给大家介绍如何在域环境中配置ISA Server 2004。从这篇文章,你可以学习到如何在域环境中配置ISA防火墙、启用域用户的身份验证、配置内部客户、配置域控上的DNS转发和建立访问规则。</FONT>
<P><FONT face=Verdana>这个试验的网络拓朴结构如下图所示:</FONT>
<P align=center><FONT face=Verdana><IMG height=173 src="http://www.isacn.org/pic/domain/topological.jpg" width=649 border=0></FONT>
<P><FONT face=Verdana>这是一个由三台计算机组成的域环境,也许看起来很简单,但是却已经足以模拟域环境中配置ISA Server中的大部分操作。其中:</FONT>
<UL>
<LI><FONT face=Verdana><B><FONT color=#008000 size=4>Denver</FONT><FONT size=4></FONT></B>(DC/Dns server) <BR>FQDN:denver.contoso.com; <BR>IP :10.2.1.2/24; <BR>DG:10.2.1.1; <BR>DNS:10.2.1.2;</FONT> </LI></UL>
<P><FONT face=Verdana><FONT size=2>备注:这是一台域控,默认网关是ISA Server的内部接口,DNS设置为本机。</FONT></FONT>
<UL>
<LI><FONT face=Verdana><FONT color=#ff0000 size=4><B>Florence</B></FONT> (ISA Server 2004) <BR>FQDN:Florence(目前还处于工作组环境,没有加入域,我会在后面的操作中将其加入域);<B> <BR>(1)Internal</B> Interface: <BR>IP:10.2.1.1/24 <BR>DG:none <BR>DNS:10.2.1.2 <BR><B>(2)External</B> Interface: <BR>IP:61.139.1.1/24 <BR>DG:61.139.1.1 <BR>DNS:none</FONT> </LI></UL>
<P><FONT face=Verdana size=2>备注:ISA Server上的IP设置比较讲究,首先DNS只能设置为内部AD的DNS服务器,然后默认网关为外部出口。</FONT>
<UL>
<LI><FONT face=Verdana><FONT color=#cc9900><B><FONT size=4>Sydney</FONT></B></FONT><FONT size=4></FONT>(Dns/Web server) <BR>FQDN:www.isacn.org <BR>IP:61.139.1.2/24 <BR>DG:61.139.1.1 <BR>DNS:61.139.1.2</FONT> </LI></UL>
<P><FONT face=Verdana size=2>备注:这台计算机用来模拟外部的DNS和Web服务器。后面我们会在内部的DC上设置DNS的转发,将非域的DNS解析请求转发到此DNS服务器上,然后通过域名www.isacn.org来访问这台Web服务器上的一个Web站点。</FONT>
<P><FONT face=Verdana>在这篇文章中,我们会通过以下步骤来为内部域中配置ISA Server 2004防火墙:</FONT>
<UL>
<LI><B><FONT face=Verdana color=#336699>在独立服务器上安装ISA防火墙;</FONT></B>
<LI><B><FONT face=Verdana color=#336699>将ISA防火墙计算机加入域;</FONT></B>
<LI><B><FONT face=Verdana color=#336699>在ISA防火墙上对域管理员进行ISA完全控制的授权;</FONT></B>
<LI><B><FONT face=Verdana color=#336699>建立通过验证的域管理员访问外部所有协议的访问规则;</FONT></B>
<LI><B><FONT face=Verdana color=#336699>测试该访问规则,通过IP地址来访问外部的Web服务器;</FONT></B>
<LI><B><FONT face=Verdana color=#336699>在内部AD的DNS服务器上设置DNS转发;</FONT></B>
<LI><B><FONT face=Verdana color=#336699>建立访问规则,允许内部网络的所有用户访问外部的DNS服务;</FONT></B>
<LI><B><FONT face=Verdana color=#336699>测试内部DNS解析请求的转发,并通过域名来访问外部的Web站点;</FONT></B>
<LI><B><FONT face=Verdana color=#336699>配置ISA防火墙,允许其访问外部站点</FONT></B> </LI></UL>
<P> <BR> </P>
<P><B><FONT face=Verdana color=#003366 size=4>1、在独立服务器上安装ISA防火墙</FONT></B>
<P><FONT face=Verdana>关于ISA Server 2004的安装已经有多篇文章介绍了,在此就不重复。根据本次试验的网络拓朴结构,在内部网络选择时,通过添加适配器来勾选内部网络接口就可以了。安装好后,内部网络如下图所示:</FONT>
<P align=center><FONT face=Verdana><IMG height=543 src="http://www.isacn.org/pic/domain/snap001.jpg" width=789 border=0></FONT>
<P><FONT face=Verdana>此时,在防火墙策略中只有默认规则:</FONT>
<P align=center><FONT face=Verdana><IMG height=238 src="http://www.isacn.org/pic/domain/snap002.jpg" width=648 border=0></FONT>
<P><FONT face=Verdana>虽然只有默认规则,但是ISA防火墙的系统策略中是允许ISA防火墙访问域服务,所以我们依然可以访问内部的域。</FONT>
<P align=center>
<P><FONT face=Verdana color=#003366 size=4><B>2、将ISA防火墙计算机加入域</B></FONT>
<P><FONT face=Verdana>现在我们需要将Florence加入到内部域中。使用管理员账号登录Florence,右击<B>我的电脑</B>,打开<B>系统</B>属性,然后在<B>计算机名</B>页,点击<B>更改</B>;在弹出的<B>计算机名称更改</B>页,点击<B>隶属于</B>列表下面的<B>域</B>,然后输入内部域的名字<B>Contoso.com</B>,然后点击<B>确定</B>。</FONT>
<P align=center><FONT face=Verdana><IMG height=471 src="http://www.isacn.org/pic/domain/snap003.jpg" width=574 border=0></FONT>
<P><FONT face=Verdana>此时,系统会让你输入有加入该域权限的账户,输入域管理员账号和密码,点击<B>确定</B>;</FONT>
<P align=center><FONT face=Verdana><IMG height=377 src="http://www.isacn.org/pic/domain/snap004.jpg" width=357 border=0></FONT>
<P><FONT face=Verdana>系统验证无误后,会弹出欢迎加入contoso.com域的对话框,点击<B>确定</B>;</FONT>
<P align=center><FONT face=Verdana><IMG height=357 src="http://www.isacn.org/pic/domain/snap005.jpg" width=326 border=0></FONT>
<P><FONT face=Verdana>系统会提示你需要重启计算机,点击<B>确定</B>,然后重启ISA防火墙计算机;</FONT>
<P align=center><FONT face=Verdana><IMG height=359 src="http://www.isacn.org/pic/domain/snap006.jpg" width=325 border=0></FONT>
<P> </P>
<P><FONT face=Verdana color=#003366 size=4><B>3、在ISA防火墙上对域管理员进行ISA完全控制的授权</B></FONT>
<P><FONT face=Verdana>由于我是先安装ISA Server 2004,然后再加入域,此时,域管理员没有对ISA Server的管理权限。如果是计算机先加入域然后再安装ISA Server,那么域管理员也会有完全的管理权限,这一步就可以省略了。</FONT>
<P><FONT face=Verdana>现在,我们需要对域管理员进行ISA Server的完全管理授权:</FONT>
<P><FONT face=Verdana>首先使用本地管理账户登录ISA计算机,</FONT>
<P align=center><FONT face=Verdana><IMG height=330 src="http://www.isacn.org/pic/domain/snap007.jpg" width=419 border=0></FONT>
<P><FONT face=Verdana>打开ISA管理控制台,点击<B>常规</B>,再点击右边面板的<B>管理委派</B>,</FONT>
<P align=center><FONT face=Verdana><IMG height=314 src="http://www.isacn.org/pic/domain/snap008.jpg" width=493 border=0></FONT>
<P><FONT face=Verdana>此时弹出I<B>SA服务器管理委派向导</B>,点击<B>下一步</B>;</FONT>
<P align=center><FONT face=Verdana><IMG height=384 src="http://www.isacn.org/pic/domain/snap009.jpg" width=501 border=0></FONT>
<P><FONT face=Verdana>在<B>委派控制</B>页,点击<B>添加</B>;</FONT>
<P align=center><FONT face=Verdana><IMG height=380 src="http://www.isacn.org/pic/domain/snap010.jpg" width=504 border=0></FONT>
<P><FONT face=Verdana>在<B>管理委派</B>对话框,点击<B>浏览</B>;</FONT>
<P align=center><FONT face=Verdana><IMG height=381 src="http://www.isacn.org/pic/domain/snap011.jpg" width=502 border=0></FONT>
<P><FONT face=Verdana>在<B>选择用户和组</B>对话框,输入<B>contoso\domain admins</B>,点击<B>确定</B>;</FONT>
<P align=center><FONT face=Verdana><IMG height=381 src="http://www.isacn.org/pic/domain/snap012.jpg" width=502 border=0></FONT>
<P><FONT face=Verdana>由于此时是登录到本机,没有contoso域的浏览权限,所以系统会提示你输入对contoso.com有权限的账号,在此输入域管理员账号,点击<B>确定</B>;</FONT>
<P align=center><FONT face=Verdana><IMG height=363 src="http://www.isacn.org/pic/domain/snap013.jpg" width=494 border=0></FONT>
<P><FONT face=Verdana>然后在<B>管理委派</B>页点击<B>确定</B>;</FONT>
<P align=center><FONT face=Verdana><IMG height=382 src="http://www.isacn.org/pic/domain/snap014.jpg" width=501 border=0></FONT>
<P><FONT face=Verdana>在<B>委派控制</B>页,点击<B>下一步</B>;</FONT>
<P align=center><FONT face=Verdana><IMG height=380 src="http://www.isacn.org/pic/domain/snap015.jpg" width=503 border=0></FONT>
<P><FONT face=Verdana>在<B>完成管理委派向导</B>页,点击完成;</FONT>
<P align=center><FONT face=Verdana><IMG height=380 src="http://www.isacn.org/pic/domain/snap016.jpg" width=502 border=0></FONT>
<P> </P>
<P><FONT face=Verdana color=#003366 size=4><B>4、建立通过验证的域管理员访问外部所有协议的访问规则</B></FONT>
<P><FONT face=Verdana>现在我们可以使用域管理员账号来登录了,</FONT>
<P align=center><FONT face=Verdana><IMG height=332 src="http://www.isacn.org/pic/domain/snap017.jpg" width=418 border=0></FONT>
<P><FONT face=Verdana>然后打开ISA管理控制台,右击<B>防火墙策略</B>,然后点击<B>新建</B>,选择<B>访问规则</B>;</FONT>
<P align=center><FONT face=Verdana><IMG height=315 src="http://www.isacn.org/pic/domain/snap018.jpg" width=440 border=0></FONT>
<P><FONT face=Verdana>在新建访问规则向导页,输入规则的名字,在此我们命名为<B>Allow Domain Admins access External</B>,点击<B>下一步</B>;</FONT>
<P align=center><FONT face=Verdana><IMG height=382 src="http://www.isacn.org/pic/domain/snap019.jpg" width=503 border=0></FONT>
<P><FONT face=Verdana>在<B>规则操作</B>页,选择<B>允许</B>;点击<B>下一步</B>;</FONT>
<P><FONT face=Verdana>在<B>协议</B>页,选择<B>所有出站通讯</B>,点击<B>下一步</B>;</FONT>
<P><FONT face=Verdana>在<B>访问规则源</B>页,选择<B>内部</B>,点击<B>下一步</B>;</FONT>
<P><FONT face=Verdana>在<B>访问规则目标</B>页,选择<B>外部</B>,点击<B>下一步</B>;</FONT>
<P><FONT face=Verdana>在<B>用户集</B>页,删除默认的<B>所有用户</B>,点击<B>添加</B>,</FONT>
<P align=center><FONT face=Verdana><IMG height=382 src="http://www.isacn.org/pic/domain/snap024.jpg" width=502 border=0></FONT>
<P><FONT face=Verdana>在<B>添加用户</B>对话框,点击<B>新建</B>;</FONT>
<P align=center><FONT face=Verdana><IMG height=423 src="http://www.isacn.org/pic/domain/snap025.jpg" width=525 border=0></FONT>
<P><FONT face=Verdana>在<B>欢迎使用新建用户集向导</B>页,输入用户集名称,在此我们命名为<B>Domain Admins</B>,点击<B>下一步</B>;</FONT>
<P align=center><FONT face=Verdana><IMG height=362 src="http://www.isacn.org/pic/domain/snap026.jpg" width=501 border=0></FONT>
<P><FONT face=Verdana>在<B>用户</B>页,点击<B>添加</B>,选择<B>Windows用户和组</B>;</FONT>
<P align=center><FONT face=Verdana><IMG height=362 src="http://www.isacn.org/pic/domain/snap027.jpg" width=563 border=0></FONT>
<P><FONT face=Verdana>在<B>选择用户或组</B>页,输入<B>contoso\domain admins</B>,点击<B>下一步</B>;</FONT>
<P align=center><FONT face=Verdana><IMG height=360 src="http://www.isacn.org/pic/domain/snap028.jpg" width=502 border=0></FONT>
<P><FONT face=Verdana>因此我是使用域管理员账户登录,所以系统可以很顺利的读取域中账号。在<B>用户</B>页,点击<B>下一步</B>;</FONT>
<P align=center><FONT face=Verdana><IMG height=362 src="http://www.isacn.org/pic/domain/snap029.jpg" width=503 border=0></FONT>
<P><FONT face=Verdana>然后在<B>正在完成新建用户集向导</B>页,点击<B>完成</B>;</FONT>
<P align=center><FONT face=Verdana><IMG height=361 src="http://www.isacn.org/pic/domain/snap030.jpg" width=502 border=0></FONT>
<P><FONT face=Verdana>然后在<B>添加用户</B>对话框,双击新建的<B>Domain Admins</B>,点击<B>关闭</B>;</FONT>
<P align=center><FONT face=Verdana><IMG height=421 src="http://www.isacn.org/pic/domain/snap031.jpg" width=268 border=0></FONT>
<P><FONT face=Verdana>然后在<B>用户集</B>页点击<B>下一步</B>;</FONT>
<P align=center><FONT face=Verdana><IMG height=383 src="http://www.isacn.org/pic/domain/snap032.jpg" width=500 border=0></FONT>
<P><FONT face=Verdana>最后在<B>正在完成新建访问规则向导</B>页,点击<B>完成</B>;</FONT>
<P align=center><FONT face=Verdana><IMG height=381 src="http://www.isacn.org/pic/domain/snap033.jpg" width=505 border=0></FONT>
<P><FONT face=Verdana>在防火墙策略面板,点击<B>应用</B>以保存修改和更新防火墙策略;</FONT>
<P align=center><FONT face=Verdana><IMG height=274 src="http://www.isacn.org/pic/domain/snap034.jpg" width=641 border=0></FONT>
<P>
<P> <BR> </P>
<P><FONT face=Verdana color=#003366 size=4><B>5、测试该访问规则,通过IP地址来访问外部的Web服务器</B></FONT>
<P><FONT face=Verdana>现在我们来测试这条规则。首先先转到Sydney上看看,这是一台Dns和Web服务器,其中建有两个Web站点,一个是默认站点,一个是必须通过www.isacn.org域名才能访问的Web站点,</FONT>
<P align=center><FONT face=Verdana><IMG height=275 src="http://www.isacn.org/pic/domain/snap035.jpg" width=345 border=0></FONT>
<P><FONT face=Verdana>由于我们在访问规则中使用了身份验证,所以需要设置内部客户为Web代理客户或者防火墙客户。首先,我们使用域管理员账号登录域控Denver,然后设置它为Web代理客户,通过ISA防火墙的默认Web代理来浏览。</FONT>
<P align=center><FONT face=Verdana><IMG height=452 src="http://www.isacn.org/pic/domain/snap036.jpg" width=404 border=0></FONT>
<P><FONT face=Verdana>此时Denver通过IP地址访问外部的Sydney是可以的,</FONT>
<P align=center><FONT face=Verdana><IMG height=343 src="http://www.isacn.org/pic/domain/snap037.jpg" width=711 border=0></FONT>
<P><FONT face=Verdana>同时,你可以在ISA的管理控制台中发现Denver提交的身份验证信息,</FONT>
<P align=center><FONT face=Verdana><IMG height=195 src="http://www.isacn.org/pic/domain/snap038.jpg" width=522 border=0></FONT>
<P><FONT face=Verdana>但是你会发现,你不能解析外部的DNS名字,同时也不能ping外部,这是为什么呢?</FONT>
<P><FONT face=Verdana>我们使用的DNS服务器是内部的DNS,没有设置对于外部的DNS解析请求应该如何处理,在没有设置转发的时候会被DNS服务器丢弃,自然不能解析出外部的DNS名字。同时由于我们启用了身份验证,只有使用Web代理客户或者防火墙客户才能提交身份验证信息。Web代理客户只支持从Web浏览提交身份验证信息,不支持其他的程序,所以在Web代理客户环境下,其他访问是不被ISA防火墙允许的(没有提交身份验证信息);而防火墙客户不支持ICMP信息的转换,所以,无论在Web代理客户环境和防火墙客户环境,都是不支持ICMP的。</FONT> </P>
<P> </P>
<P><FONT face=Verdana color=#003366 size=4><B>6、在内部AD的DNS服务器上设置DNS转发</B></FONT>
<P><FONT face=Verdana>现在我们在内部的域控上设置外部DNS名字解析请求的转发。使用管理员账号登录域控Denver,在<B>管理工具</B>中打开<B>DNS</B>控制台,右击服务器名,选择<B>属性</B>;</FONT>
<P align=center><FONT face=Verdana><IMG height=417 src="http://www.isacn.org/pic/domain/snap040.jpg" width=356 border=0></FONT>
<P><FONT face=Verdana>在转发器页,选中上面的“所有其他DNS域”,然后在下面的转发器列表中输入外部的DNS服务器地址,在此我输入外部的DNS服务器Sydney的IP 61.139.1.2,然后点击<B>添加</B>;再点击<B>确定</B>;</FONT>
<P align=center><FONT face=Verdana><IMG height=465 src="http://www.isacn.org/pic/domain/snap041.jpg" width=401 border=0></FONT>
<P><FONT face=Verdana><FONT color=#ff0000>注意:如果你的DNS服务器属性中转发器被禁用,这是因为你DNS服务器被作为根DNS服务器所至。在正向区域中删除“.”后重启DNS服务即可。</FONT></FONT>
<P>
<P>
<P><FONT face=Verdana color=#003366 size=4><B>7、建立访问规则,允许内部网络的所有用户访问外部的DNS服务</B></FONT>
<P><FONT face=Verdana>其实这一步也不是必须的。只要在内部客户上安装防火墙客户端,那么由于前面我们有条允许内部的域管理员访问外部的所有服务的规则,就可以达到这一目的,但是在域控上是不推荐使用防火墙客户的。所以,在此,我另外新建一条规则来允许内部网络的所有用户访问外部的DNS服务。</FONT>
<P><FONT face=Verdana>在Florence上打开ISA管理控制台,建立访问规则的步骤和第4步基本一致,对应的规则元素为: </FONT>
<UL>
<LI><FONT face=Verdana>规则名:Allow DNS from Internal to External;</FONT>
<LI><FONT face=Verdana>规则操作:允许;</FONT>
<LI><FONT face=Verdana>协议:所选的协议 DNS;</FONT>
<LI><FONT face=Verdana>访问规则源:内部;</FONT>
<LI><FONT face=Verdana>访问规则目标:外部;</FONT>
<LI><FONT face=Verdana>用户集:所有用户;</FONT> </LI></UL>
<P><FONT face=Verdana>最后点击<B>应用</B>来保存修改和更新防火墙策略;</FONT> </P>
<P> </P>
<P><FONT face=Verdana color=#003366 size=4><B>8、测试内部DNS解析请求的转发,并通过域名来访问外部的Web站点</B></FONT>
<P><FONT face=Verdana>此时,我们再在域控Denver上进行DNS解析请求的测试,</FONT>
<P align=center><FONT face=Verdana><IMG height=361 src="http://www.isacn.org/pic/domain/snap053.jpg" width=532 border=0></FONT>
<P><FONT face=Verdana>转发的DNS解析已经正常了。</FONT>
<P><FONT face=Verdana>现在我们通过域名来访问外部的Web站点,</FONT>
<P align=center><FONT face=Verdana><IMG height=523 src="http://www.isacn.org/pic/domain/snap055.jpg" width=596 border=0></FONT>
<P><FONT face=Verdana>你可以很清楚的看到不同访问方式下页面的不同。</FONT>
<P>
<P><FONT face=Verdana color=#003366 size=4><B>9、配置ISA防火墙,允许其访问外部站点</B></FONT>
<P><FONT face=Verdana>现在我们在ISA防火墙上进行测试,首先是解析域名,看是否正常,</FONT>
<P align=center><FONT face=Verdana><IMG height=328 src="http://www.isacn.org/pic/domain/snap056.jpg" width=421 border=0></FONT>
<P><FONT face=Verdana>ISA防火墙很容易的通过内部域控的DNS服务解析出了外部的域名;</FONT>
<P><FONT face=Verdana>同样的,我们设置其为Web代理客户,让它来访问外部网络的Web站点试试,</FONT>
<P align=center><FONT face=Verdana><IMG height=444 src="http://www.isacn.org/pic/domain/snap057a.jpg" width=427 border=0></FONT>
<P><FONT face=Verdana>但是,被拒绝了....Why?</FONT>
<P align=center><FONT face=Verdana><IMG height=505 src="http://www.isacn.org/pic/domain/snap057b.jpg" width=448 border=0></FONT>
<P><FONT face=Verdana>很简单,你没有在防火墙策略中允许它访问外部的Web站点。可能有朋友问,我不是可以解析DNS吗?这个功能是由ISA的系统策略来允许的,主要是方便管理和访问一些基础服务,但是HTTP不是基础服务,需要你另外建立访问规则来允许。</FONT>
<P><FONT face=Verdana>所以,我们现在需要建立一条允许本地主机访问外部的访问规则:</FONT>
<P><FONT face=Verdana>打开ISA管理控制台,建立规则的步骤和第4步基本一致,对应的规则元素为: </FONT>
<UL>
<LI><FONT face=Verdana>规则名:Allow Localhost to External;</FONT>
<LI><FONT face=Verdana>规则操作:允许;</FONT>
<LI><FONT face=Verdana>协议:所选的协议 HTTP;</FONT>
<LI><FONT face=Verdana>访问规则源:本地主机;</FONT>
<LI><FONT face=Verdana>访问规则目标:外部;</FONT>
<LI><FONT face=Verdana>用户集:Domain Admins;</FONT> </LI></UL>
<P><FONT face=Verdana>最后点击<B>应用</B>来保存修改和更新防火墙策略;</FONT>
<P><FONT face=Verdana>现在我们只需要简单的刷新一下...访问就已经OK了;</FONT>
<P align=center><FONT face=Verdana><IMG height=378 src="http://www.isacn.org/pic/domain/snap067.jpg" width=714 border=0></FONT>
<P><FONT face=Verdana>同样的,你也可以看出使用IP和使用域名访问的不同..</FONT>
<P align=center><FONT face=Verdana><IMG height=491 src="http://www.isacn.org/pic/domain/snap068.jpg" width=602 border=0></FONT> <BR><BR></P>
页:
[1]