在域环境中配置ISA Server 2004的图文教程第1/2页
非常感谢Ronald Beekelaar,他做的ISA Server 2004 LAB是如此的精致,只需要我些许的修改几个地方,就可以完成这个比较复杂的试验)
很多朋友提出了在域环境中不能正确配置ISA Server 2004的问题,主要集中在无法引用域用户和DNS无法解析。在这篇文章中,我以一个域环境实例,来给大家介绍如何在域环境中配置ISA Server 2004。从这篇文章,你可以学习到如何在域环境中配置ISA防火墙、启用域用户的身份验证、配置内部客户、配置域控上的DNS转发和建立访问规则。
这个试验的网络拓朴结构如下图所示:
这是一个由三台计算机组成的域环境,也许看起来很简单,但是却已经足以模拟域环境中配置ISA Server中的大部分操作。其中:
- Denver(DC/Dns server)
FQDN:denver.contoso.com;
IP :10.2.1.2/24;
DG:10.2.1.1;
DNS:10.2.1.2;
备注:这是一台域控,默认网关是ISA Server的内部接口,DNS设置为本机。
- Florence (ISA Server 2004)
FQDN:Florence(目前还处于工作组环境,没有加入域,我会在后面的操作中将其加入域);
(1)Internal Interface:
IP:10.2.1.1/24
DG:none
DNS:10.2.1.2
(2)External Interface:
IP:61.139.1.1/24
DG:61.139.1.1
DNS:none
备注:ISA Server上的IP设置比较讲究,首先DNS只能设置为内部AD的DNS服务器,然后默认网关为外部出口。
- Sydney(Dns/Web server)
FQDN:www.isacn.org
IP:61.139.1.2/24
DG:61.139.1.1
DNS:61.139.1.2
备注:这台计算机用来模拟外部的DNS和Web服务器。后面我们会在内部的DC上设置DNS的转发,将非域的DNS解析请求转发到此DNS服务器上,然后通过域名www.isacn.org来访问这台Web服务器上的一个Web站点。
在这篇文章中,我们会通过以下步骤来为内部域中配置ISA Server 2004防火墙:
- 在独立服务器上安装ISA防火墙;
- 将ISA防火墙计算机加入域;
- 在ISA防火墙上对域管理员进行ISA完全控制的授权;
- 建立通过验证的域管理员访问外部所有协议的访问规则;
- 测试该访问规则,通过IP地址来访问外部的Web服务器;
- 在内部AD的DNS服务器上设置DNS转发;
- 建立访问规则,允许内部网络的所有用户访问外部的DNS服务;
- 测试内部DNS解析请求的转发,并通过域名来访问外部的Web站点;
- 配置ISA防火墙,允许其访问外部站点
1、在独立服务器上安装ISA防火墙
关于ISA Server 2004的安装已经有多篇文章介绍了,在此就不重复。根据本次试验的网络拓朴结构,在内部网络选择时,通过添加适配器来勾选内部网络接口就可以了。安装好后,内部网络如下图所示:
此时,在防火墙策略中只有默认规则:
虽然只有默认规则,但是ISA防火墙的系统策略中是允许ISA防火墙访问域服务,所以我们依然可以访问内部的域。
2、将ISA防火墙计算机加入域
现在我们需要将Florence加入到内部域中。使用管理员账号登录Florence,右击我的电脑,打开系统属性,然后在计算机名页,点击更改;在弹出的计算机名称更改页,点击隶属于列表下面的域,然后输入内部域的名字Contoso.com,然后点击确定。
此时,系统会让你输入有加入该域权限的账户,输入域管理员账号和密码,点击确定;
系统验证无误后,会弹出欢迎加入contoso.com域的对话框,点击确定;
系统会提示你需要重启计算机,点击确定,然后重启ISA防火墙计算机;
3、在ISA防火墙上对域管理员进行ISA完全控制的授权
由于我是先安装ISA Server 2004,然后再加入域,此时,域管理员没有对ISA Server的管理权限。如果是计算机先加入域然后再安装ISA Server,那么域管理员也会有完全的管理权限,这一步就可以省略了。
现在,我们需要对域管理员进行ISA Server的完全管理授权:
首先使用本地管理账户登录ISA计算机,
打开ISA管理控制台,点击常规,再点击右边面板的管理委派,
此时弹出ISA服务器管理委派向导,点击下一步;
在委派控制页,点击添加;
在管理委派对话框,点击浏览;
在选择用户和组对话框,输入contoso\domain admins,点击确定;
由于此时是登录到本机,没有contoso域的浏览权限,所以系统会提示你输入对contoso.com有权限的账号,在此输入域管理员账号,点击确定;
然后在管理委派页点击确定;
在委派控制页,点击下一步;
在完成管理委派向导页,点击完成;
4、建立通过验证的域管理员访问外部所有协议的访问规则
现在我们可以使用域管理员账号来登录了,
然后打开ISA管理控制台,右击防火墙策略,然后点击新建,选择访问规则;
在新建访问规则向导页,输入规则的名字,在此我们命名为Allow Domain Admins access External,点击下一步;
在规则操作页,选择允许;点击下一步;
在协议页,选择所有出站通讯,点击下一步;
在访问规则源页,选择内部,点击下一步;
在访问规则目标页,选择外部,点击下一步;
在用户集页,删除默认的所有用户,点击添加,
在添加用户对话框,点击新建;
在欢迎使用新建用户集向导页,输入用户集名称,在此我们命名为Domain Admins,点击下一步;
相关文章
解决IIS的Server Application Error的3种方法
The server has encountered an error while loading an application during the processing of your request. Please refer to the event log for more detail information. Please contact the server administrator for assistance2006-12-12
华众HZHost被控端安装图文教程...2007-06-06
用ISAPI_Rewrite让IIS也支持如Apache下.htaccess的URL重写
用ISAPI_Rewrite让IIS也支持如Apache下.htaccess的URL重写...2007-02-02
Rewrite.dll生成html...2007-02-02
在PHP邮件列表中问得最多的问题可能就是:“如何在我的Windows机器上安装PHP?”,那么也许我可以帮助回答这个问题。当你正确安装完成后,你会发现在Windows下开发PHP程序还是不错的。2008-03-03
TOMCAT+IIS配置方法...2006-10-10
Windows2000安全配置指南...2007-05-05
linux下安装apache与php;Apache+PHP+MySQL配置攻略
linux下安装apache与php;Apache+PHP+MySQL配置攻略...2007-05-05
Win2003架设WEB服务器与IIS的备份和移植...2007-05-05
今天有客户说在我们网站无法下载包含中文文件名的文件,经过多方测试,强烈建议不要用中文文件名,如果修改比较麻烦,可以参考下面的方法2007-02-02
最新评论