在域環(huán)境中配置ISA Server 2004很多朋友提出了在域環(huán)境中不能正確配置ISA Server 2004的問題，主要集中在無法引用域用戶和DNS 無法解析。在這篇文章中，我以一個域環(huán)境實例，來給

在域環(huán)境中配置ISA Server 2004

很多朋友提出了在域環(huán)境中不能正確配置ISA Server 2004的問題，主要集中在無法引用域用戶和DNS 無法解析。在這篇文章中，我以一個域環(huán)境實例，來給大家介紹如何在域環(huán)境中配置ISA Server 2004。從這篇文章，你可以學習到如何在域環(huán)境中配置ISA 防火墻、啟用域用戶的身份驗證、配置內(nèi)部客戶、配置域控上的DNS 轉(zhuǎn)發(fā)和建立訪問規(guī)則。

這個試驗的網(wǎng)絡(luò)拓樸結(jié)構(gòu)如下圖所示：

這是一個由三臺計算機組成的域環(huán)境，也許看起來很簡單，但是卻已經(jīng)足以模擬域環(huán)境中配置ISA Server 中的大部分操作。其中： ? Denver （DC/Dns server ）

FQDN ：denver.contoso.com ；

IP ：10.2.1.2/24；

DG ：10.2.1.1；

DNS ：10.2.1.2；

備注：這是一臺域控，默認網(wǎng)關(guān)是ISA Server 的內(nèi)部接口，DNS 設(shè)置為本機。

? Florence （ISA Server 2004）

FQDN ：Florence （目前還處于工作組環(huán)境，沒有加入域，我會在后面的操作中將其加入域）；

（1）Internal Interface ：

IP ：10.2.1.1/24

DG ：none

DNS ：10.2.1.2

（2）External Interface ：

IP ：61.139.1.1/24

DG ：61.139.1.1

DNS ：none

備注：ISA Server 上的IP 設(shè)置比較講究，首先DNS 只能設(shè)置為內(nèi)部AD 的DNS 服務(wù)器，然后默認網(wǎng)關(guān)為外部出口。

? Sydney （Dns/Web server ）

FQDN ：www.isacn.org

IP ：61.139.1.2/24

DG ：61.139.1.1

DNS ：61.139.1.2

備注：這臺計算機用來模擬外部的DNS 和Web 服務(wù)器。后面我們會在內(nèi)部的DC 上設(shè)置DNS 的轉(zhuǎn)發(fā)，將非域的DNS 解析請求轉(zhuǎn)發(fā)到此DNS 服務(wù)器上，然后通過域名www.isacn.org 來訪問這臺Web 服務(wù)器上的一個Web 站點。 在這篇文章中，我們會通過以下步驟來為內(nèi)部域中配置ISA Server 2004防火墻：

?

?

?

?

?

?

?

?

? 在獨立服務(wù)器上安裝ISA 防火墻； 將ISA 防火墻計算機加入域； 在ISA 防火墻上對域管理員進行ISA 完全控制的授權(quán)； 建立通過驗證的域管理員訪問外部所有協(xié)議的訪問規(guī)則； 測試該訪問規(guī)則，通過IP 地址來訪問外部的Web 服務(wù)器； 在內(nèi)部AD 的DNS 服務(wù)器上設(shè)置DNS 轉(zhuǎn)發(fā)； 建立訪問規(guī)則，允許內(nèi)部網(wǎng)絡(luò)的所有用戶訪問外部的DNS 服務(wù)； 測試內(nèi)部DNS 解析請求的轉(zhuǎn)發(fā)，并通過域名來訪問外部的Web 站點； 配置ISA 防火墻，允許其訪問外部站點

1、在獨立服務(wù)器上安裝ISA 防火墻

關(guān)于ISA Server 2004的安裝已經(jīng)有多篇文章介紹了，在此就不重復。根據(jù)本次試驗的網(wǎng)絡(luò)拓樸結(jié)構(gòu)，在內(nèi)部網(wǎng)絡(luò)選擇時，通過添加適配器來勾選內(nèi)部網(wǎng)絡(luò)接口就可以了。安裝好后，內(nèi)部網(wǎng)絡(luò)如下圖所示：

此時，在防火墻策略中只有默認規(guī)則：

雖然只有默認規(guī)則，但是ISA 防火墻的系統(tǒng)策略中是允許ISA 防火墻訪問域服務(wù)，所以我們依然可以訪問內(nèi)部的域。

2、將ISA 防火墻計算機加入域