在域环境中配置ISA Server 2004的图文教程
人气:0非常感谢Ronald Beekelaar,他做的ISA Server 2004 LAB是如此的精致,只需要我些许的修改几个地方,就可以完成这个比较复杂的试验)
很多朋友提出了在域环境中不能正确配置ISA Server 2004的问题,主要集中在无法引用域用户和DNS无法解析。在这篇文章中,我以一个域环境实例,来给大家介绍如何在域环境中配置ISA Server 2004。从这篇文章,你可以学习到如何在域环境中配置ISA防火墙、启用域用户的身份验证、配置内部客户、配置域控上的DNS转发和建立访问规则。
这个试验的网络拓朴结构如下图所示:
这是一个由三台计算机组成的域环境,也许看起来很简单,但是却已经足以模拟域环境中配置ISA Server中的大部分操作。其中:
- Denver(DC/Dns server)
FQDN:denver.contoso.com;
IP :10.2.1.2/24;
DG:10.2.1.1;
DNS:10.2.1.2;
备注:这是一台域控,默认网关是ISA Server的内部接口,DNS设置为本机。
- Florence (ISA Server 2004)
FQDN:Florence(目前还处于工作组环境,没有加入域,我会在后面的操作中将其加入域);
(1)Internal Interface:
IP:10.2.1.1/24
DG:none
DNS:10.2.1.2
(2)External Interface:
IP:61.139.1.1/24
DG:61.139.1.1
DNS:none
备注:ISA Server上的IP设置比较讲究,首先DNS只能设置为内部AD的DNS服务器,然后默认网关为外部出口。
- Sydney(Dns/Web server)
FQDN:www.isacn.org
IP:61.139.1.2/24
DG:61.139.1.1
DNS:61.139.1.2
备注:这台计算机用来模拟外部的DNS和Web服务器。后面我们会在内部的DC上设置DNS的转发,将非域的DNS解析请求转发到此DNS服务器上,然后通过域名www.isacn.org来访问这台Web服务器上的一个Web站点。
在这篇文章中,我们会通过以下步骤来为内部域中配置ISA Server 2004防火墙:
- 在独立服务器上安装ISA防火墙;
- 将ISA防火墙计算机加入域;
- 在ISA防火墙上对域管理员进行ISA完全控制的授权;
- 建立通过验证的域管理员访问外部所有协议的访问规则;
- 测试该访问规则,通过IP地址来访问外部的Web服务器;
- 在内部AD的DNS服务器上设置DNS转发;
- 建立访问规则,允许内部网络的所有用户访问外部的DNS服务;
- 测试内部DNS解析请求的转发,并通过域名来访问外部的Web站点;
- 配置ISA防火墙,允许其访问外部站点
1、在独立服务器上安装ISA防火墙
关于ISA Server 2004的安装已经有多篇文章介绍了,在此就不重复。根据本次试验的网络拓朴结构,在内部网络选择时,通过添加适配器来勾选内部网络接口就可以了。安装好后,内部网络如下图所示:
此时,在防火墙策略中只有默认规则:
虽然只有默认规则,但是ISA防火墙的系统策略中是允许ISA防火墙访问域服务,所以我们依然可以访问内部的域。
2、将ISA防火墙计算机加入域
现在我们需要将Florence加入到内部域中。使用管理员账号登录Florence,右击我的电脑,打开系统属性,然后在计算机名页,点击更改;在弹出的计算机名称更改页,点击隶属于列表下面的域,然后输入内部域的名字Contoso.com,然后点击确定。
此时,系统会让你输入有加入该域权限的账户,输入域管理员账号和密码,点击确定;
系统验证无误后,会弹出欢迎加入contoso.com域的对话框,点击确定;
系统会提示你需要重启计算机,点击确定,然后重启ISA防火墙计算机;
3、在ISA防火墙上对域管理员进行ISA完全控制的授权
由于我是先安装ISA Server 2004,然后再加入域,此时,域管理员没有对ISA Server的管理权限。如果是计算机先加入域然后再安装ISA Server,那么域管理员也会有完全的管理权限,这一步就可以省略了。
现在,我们需要对域管理员进行ISA Server的完全管理授权:
首先使用本地管理账户登录ISA计算机,
打开ISA管理控制台,点击常规,再点击右边面板的管理委派,
此时弹出ISA服务器管理委派向导,点击下一步;
在委派控制页,点击添加;
在管理委派对话框,点击浏览;
在选择用户和组对话框,输入contoso\domain admins,点击确定;
由于此时是登录到本机,没有contoso域的浏览权限,所以系统会提示你输入对contoso.com有权限的账号,在此输入域管理员账号,点击确定;
然后在管理委派页点击确定;
在委派控制页,点击下一步;
在完成管理委派向导页,点击完成;
4、建立通过验证的域管理员访问外部所有协议的访问规则
现在我们可以使用域管理员账号来登录了,
然后打开ISA管理控制台,右击防火墙策略,然后点击新建,选择访问规则;
在新建访问规则向导页,输入规则的名字,在此我们命名为Allow Domain Admins access External,点击下一步;
在规则操作页,选择允许;点击下一步;
在协议页,选择所有出站通讯,点击下一步;
在访问规则源页,选择内部,点击下一步;
在访问规则目标页,选择外部,点击下一步;
在用户集页,删除默认的所有用户,点击添加,
在添加用户对话框,点击新建;
在欢迎使用新建用户集向导页,输入用户集名称,在此我们命名为Domain Admins,点击下一步;
在用户页,点击添加,选择Windows用户和组;
在选择用户或组页,输入contoso\domain admins,点击下一步;
因此我是使用域管理员账户登录,所以系统可以很顺利的读取域中账号。在用户页,点击下一步;
然后在正在完成新建用户集向导页,点击完成;
然后在添加用户对话框,双击新建的Domain Admins,点击关闭;
然后在用户集页点击下一步;
最后在正在完成新建访问规则向导页,点击完成;
在防火墙策略面板,点击应用以保存修改和更新防火墙策略;
5、测试该访问规则,通过IP地址来访问外部的Web服务器
现在我们来测试这条规则。首先先转到Sydney上看看,这是一台Dns和Web服务器,其中建有两个Web站点,一个是默认站点,一个是必须通过www.isacn.org域名才能访问的Web站点,
由于我们在访问规则中使用了身份验证,所以需要设置内部客户为Web代理客户或者防火墙客户。首先,我们使用域管理员账号登录域控Denver,然后设置它为Web代理客户,通过ISA防火墙的默认Web代理来浏览。
此时Denver通过IP地址访问外部的Sydney是可以的,
同时,你可以在ISA的管理控制台中发现Denver提交的身份验证信息,
但是你会发现,你不能解析外部的DNS名字,同时也不能ping外部,这是为什么呢?
我们使用的DNS服务器是内部的DNS,没有设置对于外部的DNS解析请求应该如何处理,在没有设置转发的时候会被DNS服务器丢弃,自然不能解析出外部的DNS名字。同时由于我们启用了身份验证,只有使用Web代理客户或者防火墙客户才能提交身份验证信息。Web代理客户只支持从Web浏览提交身份验证信息,不支持其他的程序,所以在Web代理客户环境下,其他访问是不被ISA防火墙允许的(没有提交身份验证信息);而防火墙客户不支持ICMP信息的转换,所以,无论在Web代理客户环境和防火墙客户环境,都是不支持ICMP的。
6、在内部AD的DNS服务器上设置DNS转发
现在我们在内部的域控上设置外部DNS名字解析请求的转发。使用管理员账号登录域控Denver,在管理工具中打开DNS控制台,右击服务器名,选择属性;
在转发器页,选中上面的“所有其他DNS域”,然后在下面的转发器列表中输入外部的DNS服务器地址,在此我输入外部的DNS服务器Sydney的IP 61.139.1.2,然后点击添加;再点击确定;
注意:如果你的DNS服务器属性中转发器被禁用,这是因为你DNS服务器被作为根DNS服务器所至。在正向区域中删除“.”后重启DNS服务即可。
7、建立访问规则,允许内部网络的所有用户访问外部的DNS服务
其实这一步也不是必须的。只要在内部客户上安装防火墙客户端,那么由于前面我们有条允许内部的域管理员访问外部的所有服务的规则,就可以达到这一目的,但是在域控上是不推荐使用防火墙客户的。所以,在此,我另外新建一条规则来允许内部网络的所有用户访问外部的DNS服务。
在Florence上打开ISA管理控制台,建立访问规则的步骤和第4步基本一致,对应的规则元素为:
- 规则名:Allow DNS from Internal to External;
- 规则操作:允许;
- 协议:所选的协议 DNS;
- 访问规则源:内部;
- 访问规则目标:外部;
- 用户集:所有用户;
最后点击应用来保存修改和更新防火墙策略;
8、测试内部DNS解析请求的转发,并通过域名来访问外部的Web站点
此时,我们再在域控Denver上进行DNS解析请求的测试,
转发的DNS解析已经正常了。
现在我们通过域名来访问外部的Web站点,
你可以很清楚的看到不同访问方式下页面的不同。
9、配置ISA防火墙,允许其访问外部站点
现在我们在ISA防火墙上进行测试,首先是解析域名,看是否正常,
ISA防火墙很容易的通过内部域控的DNS服务解析出了外部的域名;
同样的,我们设置其为Web代理客户,让它来访问外部网络的Web站点试试,
但是,被拒绝了....Why?
很简单,你没有在防火墙策略中允许它访问外部的Web站点。可能有朋友问,我不是可以解析DNS吗?这个功能是由ISA的系统策略来允许的,主要是方便管理和访问一些基础服务,但是HTTP不是基础服务,需要你另外建立访问规则来允许。
所以,我们现在需要建立一条允许本地主机访问外部的访问规则:
打开ISA管理控制台,建立规则的步骤和第4步基本一致,对应的规则元素为:
- 规则名:Allow Localhost to External;
- 规则操作:允许;
- 协议:所选的协议 HTTP;
- 访问规则源:本地主机;
- 访问规则目标:外部;
- 用户集:Domain Admins;
最后点击应用来保存修改和更新防火墙策略;
现在我们只需要简单的刷新一下...访问就已经OK了;
同样的,你也可以看出使用IP和使用域名访问的不同..
加载全部内容