六、自动发现
ISA Server的自动发现功能让Web代理客户端与防火墙客户端能够自动检测ISA Server,并通过此ISA Server来访问因特网的资源
(一)、“自动发现”概论
自动发现需要搭配DNS或DHCP服务器,同时在服务器内需要有一笔名为WPAD(Web Proxy AutoDiscovery Protocol)的记录,用来高速客户端哪一台计算机是WPAD服务器,而WPAD服务器内有两个用来配置客户端浏览器的自动配置脚本(automatic configuration script)文件,这两个文件非别是wpad.dat(供Web代理客户端使用)与wspad.dat(供防火墙客户端使用),其内会由可对客户端提供服务的ISA Server等相关信息。自动发现的运作流程请参看下图与以下说明。
1、
客户端像DNS或DHCP服务器查询WPAD服务器是哪一台计算机。
2、
DNS或DHCP服务器将WPAD服务器的IP地址告诉客户端。
3、
Web代理客户端向WPAD服务器索取wpad.dat文件或防火墙客户端向WPAD服务器索取wspad.dat文件。
4、
WPAD服务器将wpad.dat或wspad.dat传给客户端。
5、
客户端依据wpad.dat或wspad.dat文件的内容来配置浏览器与得知可提供服务的ISA Server。
6、
客户端通过所得知的ISA Server来访问因特网的资源。
(二)、将ISA Server配置为WPAD服务器
上图中的WPAD服务器一般是直接由ISA Server来同时扮演,而要将ISA Server配置为WPAD服务器的方法为:在客户端所连接的网络上启用发布这个网络的自动发现信息,例如客户端是连接在内部网络,则请在ISA Server管理控制台中如下图所示选贼“配置”处的“网络”→双击“内部”网络→选择“自动发现”标签→选中“为此网络发布自动发现信息”→单击“确定”。
由图中可以看出ISA Server(WPAD服务器)默认是利用连接端口80来侦听客户端的自动发现请求,因此若ISA Server内有连接端口为80的网站,请将此网站停用或者更改为其连接端口,以免互相冲突。
注:这里需要注意一点的如果将ISA Server默认连接的端口80改为其他号,就无法利用DNS服务器来自动发现ISA Server,但还是可以利用DHCP服务器来自动发现ISA Server。
(三)、利用DHCP服务器来支持“自动发现”功能
以下图的机构为例来说明:
第一步:在上图左边的Windows Server2003上安装DHCP服务器,其方法为“开始”→“控制面板”→“添加或删除程序”→“添加/删除Windows组件”→选择“网络服务”→单击“详细信息”按钮→选中“动态主机配置协议(DHCP)。
第二步:选择“开始”→“管理工具”→DHCP。
第三步:请右击“DHCP服务器”→“新建作用域”来添加支持的内部网络客户的作用域,由于内部网络的网络ID为:192.168.0.0,因此在IP地址范围画面中的网络ID请配置为192.168.0.0,其他步骤都单击“下一步”即可,下图为完成后的画面。
第四步:如下图所示右击“DHCP”服务器→“设置预定义的选项”
第五步:在下图中单击“添加”按钮后在“名称”处输入WPAD,在“数据类型”处选择“字符串”,在代码处输入252,在“描述”处输入说明文字。
第六步:在下图中的“字符串”处输入[url]http://192.168.0.200:80/wpda.dat[/url],其中的192.168.0.200为ISA Server内网卡的IP地址(也而已输入计算机名),而80为ISA Server(WPAD服务器)用来侦听自动发现请求的连接端口,默认值为80,
注:其中的wpda.dat必须是小写,而且不论是针对Web代理客户端还是防火墙客户端,此处都是输入wpad.dat。
第七步:在下图中右击“作用域选项”→“配置选项”。
第八步:如下图所示选中252WPAD。
第九步:如下图所示将防火墙客户端的IP地址改为“自动获得IP地址”,以便想DHCP服务器索取IP地址与查询WPAD服务器。
完成配置后,以后防火墙客户端提出对外的WINSOCK请求时,就会自动通过DHCP服务器找到WPAD服务器与取得自动配置脚本文件,并通过此脚本来配置客户端的环境(例如配置浏览器)与得知可对其提供服务的ISA Server,然后通过此ISA Server来与外部沟通。
也可以手动操作自动检测的程序:在防火墙客户端计算机上双击屏幕右下角的Microsoft Firewall Client图标,或是选择“开始”→“所有程序”→“Microsoft Firewall Client管理”,然后单击下图中的“立即检测”按钮。
注:根据我的实验结果,刚开始可能需要等一段时间,或是将防火墙客户端网络停用再启用,或是将防火墙客户端重启,才找得到ISA Server。
(四)、利用DNS服务器开支持“自动发现”功能
我们利用下图的网络架构来实验,图中假设Windows XP Professional计算机为防火墙客户端。
1、
DNS服务器的配置
第一步:请在上图中左边的Windows Server2003上安装DNS服务器,其方法为“开始”→“控制面板”→“添加或删除程序”→“添加/删除Windows组件”→选择网络服务→双击“详细信息”按钮→选中“域名系统(DNS)”。
第二步:选择“开始”→“管理工具”→DNS。
第三步:请右击下图中“正向查找区域”→新建区域来添加一个支持防火墙客户端的区域,过程中除了在区域名称画面中将区域名称设置为“zhp.com”之外,其他画面都直接单击“下一步”。如下图所示已经建立好的画面。(图中我是域环境,大家也可以不需要用域也可以完成该实验)
注:若是工作组状态由于区域名称为zhp.com,因此客户端的完成计算机名的后缀也需要为zhp.com,例如完成的计算机名Bahamas.zhp.com。一般工作组状态下DNS服务器安装好建立了正向查找区域只会有上图中蓝色选中的两个文件。
第四步:请右击“zhp.com区域”→“新建主机”来新建ISA Server计算机的主机记录(A资源记录),例如主机名为Blegium,IP地址改为内网网卡的192.168.0.200.
第五步:请右击“zhp.com”区域→“新建别名(CNAME)”,然后如下图所示“别名”处输入wpad,然后单击“浏览”按钮到zhp.com区域选择ISA Server主机China-ISA.zhp.com。
第六步:如下图所示为完成画面,其中的China-ISA为ISA Server的主机记录(A),而wpad为别名记录(CNAME).
2、
防火墙客户端的配置
我们需要将客户端的首选
DNS
服务器指定到支持自动发现的
DNS
服务器,同时也要将客户端的完整计算机名的后缀,改为
DNS
服务器内支持自动发现的区域名称
zhp.com
。
如果客户端计算机已经加入
Active Directory
域(
zhp.com
),而且如果我们是将支持
Active Directory
的
DNS
服务器拿来支持自动发现功能,则可以免除上述配置,因为客户端的完整计算机名的后缀会自动被配置为域名
zhp.com
,而且其首选
DNS
服务器也应该指定好了。
若客户端未加入域,请按照下面的步骤做:
第一步:如下图所示将防火墙客户端的
IP
地址改为静态,并将
DNS
服务器指定到支持自动发现的
DNS
服务器
192.168.0.253
。
第二步:单击“开始”菜单
→
右击“我的电脑”
→
“属性”
→
单击“计算机名”标签下的“更改”按钮。
第三步:单击“其他”按钮,输入计算机名后缀
zhp.com
,单击“确定”,完成后重新打开客户端计算机。如下图所示:
完成配置后,以后防火墙客户端提出对外的
WINSOCK
请求时,就会自动通过
DNS
服务器找到
WPAD
服务器与取得其内的自动配置脚本文件,并通过此脚本来配置客户端环境(例如配置浏览器)与得知可对其提供服务的
ISA Server
,然后通过此
ISA Server
来与外部沟通。
也可以手动操作自动检测的程序:在防火墙客户端计算机上双击屏幕右下角的
Microsoft Firewall Client
图标,或是选择“开始”
→
“所有程序”
→
“
Microsoft Firewall Client
管理”
→
单击“立即检测”按钮。
注:上述步骤完成后,可能需要等一小段时间后才会自动检测到ISA Server
,若仍然检测不到,请在防火墙客户端执行ipconfig /flushdns
命令将DNS
缓存数据删除,或是将防火墙客户端的网络停用在启用,或是将防火墙客户端重新启动。如果将ISA Server
默认连接端口80
改为其他,就无法利用DNS
服务器来自动检测ISA Server
。
(五)、防火墙客户端的自动配置值
当防火墙从
WPAD
服务器取得
wspad.dat
文件后,这个文件内容包含
ISA Server
的计算机名与连接端口(
1745
),防火墙客户端就会连接此台
ISA Server
并通过连接端口
1745
来取得客户端所需要的配置值,而在
ISA Server
上的这些配置值是通过选择“配置”处的“网络”
→
双击“内部网络”
→
如下图选择“防火墙客户端”来配置。
î
防火墙客户端配置
防火墙客户端会将
Winsock
请求传递给此处的
ISA Server
。
î
在防火墙客户端计算机上的
Web
浏览器
用来配置防火墙客户端的浏览器,如下图所示为
Windows XP
防火墙客户端的浏览器配置画面,这些配置都是从
ISA Server
自动下载的。
自动检测设置值如下图
让防火墙客户端在提出网页或
FTP
请求时,能够自动检测代理服务器。它就是利用
WPAD
服务器得知代理服务器与取得相关配置值。
使用自动配置脚本
让防火墙客户端执行位于
ISA Server
的脚本(此脚本为
array.dll?Get.routing.script
),以便于利用此脚本来自动配置客户端。如果代理服务器为
ISA Server
数组,它能够从数组中找到对其提供服务的
ISA Server
。
使用
Web
代理服务器
若客户端无法自动检测到代理服务器,则将此处的
ISA Server
当作代理服务器。
如果客户端是通过执行脚本来配置客户端,则此客户端会应用如下图中的“
Web
浏览器”标签内的配置:
î
对此网络中的
Web
服务器不使用代理
若
Web
服务器是位于内部网络(由于我们正在配置内部网络,因此这个网络就是指内部网络),则不他哦难过
ISA Server
来连接
Web
服务器。
î
直接访问在“域”选项卡中指定计算机
果实访问下图中域选项卡内的
Web
服务器,则不通过
ISA Server
。
î
直接访问“地址”选项卡中指定的计算机
若是访问下图中“地址”标签内的
Web
服务器,则不通过
ISA Server
。
î
如果
ISA
服务器不可用,使用此备份路由连接到
Internet
如果
ISA Server
因故无法访问,则让客户端通过此处的配置,来直接访问
Web
服务器或通过此处指定的备份
ISA Server
。
注:如果客户端自动检测配置与使用自动配置指令文件同时被选中,则会先采用自动检测配置(也就是
WPAD
的方式),若无法检测到,再采用使用自动配置指令文件的方式。
(六)、“
Web
代理客户端”的配置
Web
代理客户端也可以通过以下两种方法来自动检测
ISA Server
:
î
选择打开
Internet Explorer
→
选择“工具”菜单
→
“
Internet
选项”
→
选择“连接”标签
→
单击“局域网设置”按钮
→
选中下图中的“自动检测设置”,此种方法客户端需通过
DHCP
或
DNS
服务器来寻找
WPAD
服务器、在通过
WPAD
服务器来获取
ISA Server
。
î
在上图中选中“使用自动配置脚本”,然后网址处输入脚本
[url]http://China-ISA:8080/array.dll?Get.routing.script[/url]
,以便于执行位于
ISA Server
内的脚本
array.dll?Get.routing.script
(脚本的大小写有别)。
七、验证用户身份
可以在
ISA Server
端配置要验证用户身份,也就是说当客户端他哦难过
ISA Server
来访问因特网时,客户端必须提供正确的用户账户与密码。
注:因为Windows Server 2003
要求通过网络来连接的用户,其密码不能为空,因此如果ISA Server
安装在Windows Server 2003
计算机上,则用户账户的密码不能设置为空白的密码。
此处所介绍的身份验证工作,是指ISA Server
在验证客户端的身份,而不是因特网服务器在验证客户端的身份。
(一)、访问
HTTP
对象的验证方式
不同类型的客户端在访问
HTTP
对象(指
HTTP
、
HTTPS
、
FTP
)时,有不同的验证方式,以下将分别说明。
1
、“
Web
代理客户端”的验证方式
ISA Server
支持验证
Web
代理客户端用户身份的验证,举例来说,
Web
代理客户端在利用
Internet Explorer
访问因特网页时,会自动利用用户登录
Web
代理客户端计算机时所输入的用户账户与密码来连接
ISA Server
。若该身份经过
ISA Server
的本级安全性数据库(
SAM
)或
Active Directory
数据库验证成功,而且
ISA Server
的访问规则也开放让此用户可以访问
HTTP
对象,则该用户就可以正常访问
HTTP
对象。
如果用户账户与密码不对,就会出现如下图所示的画面来要求输入用户账户与密码。
如果用户账户与密码都正确,但是在访问规则内并没有开放该用户可以通过,或是用户直接在上图中单击“取消”按钮,则用户将无法访问因特网网页,而且屏幕会出显示如下图类似画面。
2
、“
SecureNAT
客户端”的验证方式
由于
SecureNAT
客户端并不具备用户等级的验证功能,因此如果在
ISA Server
的网页访问规则访问内要求必须验用户身份,则客户端将无法访问因特网的
HTTP
对象。
不过如果在
SecureNAT
客户端的网页应用程序(例如
Intenet Explorer
)内指定将
ISA Server
当作代理服务器,则该应用程序将以
Web
代理客户端的身份来访问因特网的
HTTP
对象,如此便可以验证用户的身份。
注:如果SecureNAT
客户端是VPN
客户端,则不论是否将ISA Server
当作代理服务器,都具备验证用户身份的功能。
3
、“防火墙客户端”的验证方式
由于防火墙客户端的
Internet Explorer
内已经自动将
ISA Server
当作代理服务器,因此在利用
Internet Explorer
访问因特网网页与
FTP
对象时,此客户端将被视为
Web
代理客户端,因此具备验证身份的功能。
至于其他网页应用程序(例如
FireFox
)在连接
ISA Server
时,是否具备验证功能,要看是否自行在该程序内指定将
ISA Server
当作代理服务器而定,若有指定,就具备验证身份的功能,否则就具备验证身份的功能,也就无法通过
ISA Server
访问因特网的网页对象。
(二)、访问“非
HTTP
”对象的验证方式
由于
Web
代理客户端无法访问非
HTTP
对象,而
SerureNAT
客户端也不具备用户等级的验证身份功能,因此下面我就针对防火墙客户端来说明。
防火墙客户端再访问
HTTP
对象(例如收发电子邮件)时,会自动利用用户在登录防火墙客户端计算机时所输入的账户与密码来连接
ISA Server
。若身份经过
ISA Server
的本机安全数据库(
SAM
)或
Active Directory
数据库验证成功,而且
ISA Server
的访问规则也开放此用户可以访问非
HTTP
对象,则该用户就可以正常地访问非
HTTP
对象。
如果连接
ISA Server
时所自动提供的用户账户与密码不对,或即时该用户的账户与密码都正确,但是在访问规则内并没有开放该用户可以通过,则用户将无法访问因特网的非
HTTP
对象(例如无法收发电子邮件)。
注:当防火墙客户端应用程序需要访问非HTTP
对象时,如果连接ISA Server
时所自动提供的账户与密码不对,而且该程序并不会要求用户重新输入账户与密码,则用户将无法访问非HTTP
对象。
(三)、验证身份实例演练
我们在了解了身份验证的原理后,下面我们就做实验来练习下,下面实验包含了
HTTP
与非
HTTP
对象访问实验。
我们将分以下主题来练习:
î
建立用户账户与“用户组”
î
只开放让用户
Bahams
可以访问因特网的网页对象与收发电子邮件测试验证身份的功能
î
要求所有的用户都需要验证身份
1、
建立用户账户与“用户组”
以下实验假设只让用户
Bahamas
可以访问因特网的网页对象与收发电子邮件,并且
ISA Server
并没有加入域的环境下,我们需要先在
ISA Server
计算机的本地安全性数据库内建立
Bahamas
账户。请在
ISA Server
计算机上右击“我的电脑”
→
“管理”
→如下图所示右击
“用户”
→
“新用户”的方法来创建此账户。
注:必须如下图所示取消“用户下次登陆时须更改密码”,否则用户无法连接ISA Server
,同时请选中“密码永不过期”,还有因为这台计算机是Windows Server 2003
,因此用户的密码不可以为空白(Windows Server 2003
默认会拒绝没有密码的用户来连接)。
接下来请在
ISA Server
上建立一个用户组,假设名为
test
,其内包含用户账户
Bahamas
。建立步骤如下:
第一步:如下图所示单击“防火墙策略”
→
“工具箱”
→
“工具箱”
→
“用户”
→
单击“新建”。
第二步:在“欢迎使用新建用户集向导”画面中将用户集命名为
test
。如下图所示:
第三步:在下图中单击“添加”按钮后选择“
Windows
用户和组”
第四步:单击下图查找位置中“位置”按钮
→
选择“整个目录”
→
单击“确定”。
第五步:单击下图中“高级”按钮到
Active Directory
账户数据中寻找
Bahamas
。完成后单击“确定”按钮。
第六步:回到用户画面时,直接单击“下一步”。
第七步:出现“正在完成新建用户集向导”画面时单击“完成”。
第八步:回到
ISA Server
管理控制台画面时单击“应用”后单击“确定”。
2、
只开放用户
Bahamas
可以访问网页与收发电子邮件
我们将开放只让用户
Bahamas
可以访问因特网的网页对象与收发电子邮件。请直接修改之前所建立的访问规则“允许内部与本地主机访问外部网站”。
第一步:双击下图中“允许内部与本地主机访问外部网站”规则
第二步:如下图所示选择“用户”标签下的“所有用户”
→单击
“删除”
→
单击“添加”按钮。
第三步:在下图中选择用户集“
test
”后,一次单击“添加”按钮、“关闭”按钮。
第四步:如下图所示单击“协议”标签下的“添加”按钮来开放
SMTP
与
POP3
协议。(下图是一完成后的画面)。完成后单击“确定”。
第五步:在下图中单击“应用”后单击“确定”。
3、
测试身份验证的功能
请到客户端计算机上测试验证身份的功能,可以用以下集中方式来测试
î
在
Web
代理客户端利用本机用户账户
Bahamas
来登录。
利用
Internet Explorer
上网
Web
代理客户端会自动利用账户
Bahamas
来连接
ISA Server
,而由于
Active Directory
账户数据内也有一个名为
Bahamas
的账户,且密码也相同,故客户端可自动被
Active Directory
验证身份,并且通过
ISA Server
上网访问
HTTP
对象。可以通过如下图所示的单击
ISA Server
计算机
→
“监视”
→
“会话”标签的方法来查看用户
Bahamas
已经利用
Web
代理客户端连上了
ISA Server
。
利用
Ootlook Express
收发电子邮件
Web
代理客户端不具备通过
ISA Server
访问非
HTTP
对象功能,因此无法收发外部电子邮件。
î
在防火墙客户端利用本机用户账户
Bahamas
来登录
利用
Internet Explorer
上网
此时防火墙客户端是以
Web
代理客户端的角色来连接
ISA Server
,因此跟
Web
代理客户端一样会自动被
ISA Server
验证身份,并通过
ISA Server
上网访问
HTTP
对象
利用
Outlook Express
收发外部电子邮件
防火墙客户端会自动利用账户
Bahamas
来连接
ISA Server
,而由于
Active Directory
账户数据内也有一个名为
Bahamas
的账户,且密码也相同,故客户端可自动被
Active Directory
验证身份,并且正常收发电子邮件(非
HTTP
对象)。
注意请使用位于外部网络的电子邮件服务器内的账户来测试,这样次阿辉通过ISA Server
防火墙。
î
在
Web
代理客户端利用其他本机用户账户来登录(不要使用
Bahamas
账户),然后利用
Internet Explorer
上网访问
HTTP
对象。
î
Web
代理客户端
Internet Explorer
会自动利用此账户(非
Bahamas
账户)来连接
ISA Server
,因为
ISA Server
内“允许内部与本地主机访问外部网站”规则内没有该账户,故无法自动被
ISA Server
验证成功,并且会要求用户另外输入有效账户与密码后,才可以连接
ISA Server
与通过
ISA Server
上网访问
HTTP
对象。
î
在防火墙客户端利用其他
Active Directory
账户登录
利用
Internet Explorer
上网
防火墙客户端会自动利用此账户,来连接
ISA Server
,但是因为
Active Directory
账户数据并没有此账户,故用户无法自动被
ISA Server
验证成功,并且会要求用户另外在输入有效的账户与密码后,才可以连接到
ISA Server
与通过
ISA Server
上网访问
HTTP
对象。
利用
Outlook Express
收发电子邮件
防火墙客户端会自动利用此账户,来连接
ISA Server
,但是因为
Active Directory
账户数据并没有此账户,故用户无法自动被
ISA Server
验证成功,同时因为
Outlook Express
并不会另外要求用户手动输入账户与密码,因此用户无法正常连接
ISA Server
与收发电子邮件。
请注意使用外部网络电子邮件服务器内的账户来测试,这样才会通过ISA Server
防火墙。
4、
要求所有的用户都需要验证身份
可以要求所有
Web
代理客户端用户在访问网页、
FTP
对象,都需要提供账户名与密码,这个配置是通过
Web
代理客户端所连接的网络来定义的,例如
Web
代理客户端是连接在内部网络,则请在
ISA Server
计算机上通过如下图所示单击“网络”标签下的“内部”网络
→
选择“
Web
代理”标签
→
单击“身份验证”按钮
→
选中“要求所有用户进行身份验证”的方法来配置。
注:如果选中要求所有用户进行身份验证,则可能会造成某些不支持验证的网站流量被封锁(例如Windows Update
),因此建议尽量在访问规则内来要求账户与密码,而不要选中此处的选项。
(四)、选择适当的验证方法
ISA Server
提供数种验证
Web
代理客户端的方法,参看上图中,我将介绍集中比较常用到的基本、摘要与集成三种的验证方法。
î
基本验证
绝大部分的浏览器都支持基本验证的方法,不过用户所传递的账户名与密码并不会被加密,因此容易被居心不良的用户拦截与得知,故若要使用基本验证,应该搭配其他可以确保资料传递安全的措施,例如启用
SSL
连接。选择基本验证时,可以单击上图中的“选择域”按钮来配置默认域,这样用户所送来的账户与密码会被送到此域的域控制器来验证。若未选择域,则会利用本机安全性数据库(
SAM
)或本域的
Active Directry
数据库来检查。
î
摘要验证
摘要验证比基本验证更安全,不过他有以下几点要求:
浏览器必须支持
HTTP1.1
,例如
Internet Explorer5.0
(含)以上版本。
ISA Server
这台计算机必须是
Active Dirctory
域成员服务器或域控制器。
用户账户必须是
Active Dircotry
内的域账户。
如果
Active Dircotry
域为
Windows 2000
域,则
Active Dircotry
内的用户账户必须如下图所示选中“使用可逆的加密保存密码”,这样保存密码方式比较安全,因为它是以纯文字的方式来保存密码。
注:如果Active Dircotry
域为Windows Server 2003
域,则ISA Server
还另外支持一种新版的摘要验证:WDigest
。WDingest
不需要选中使用可逆的加密保存密码。如果ISA Server
与Active Dircotry
域都是在Windows Server 2003
环境下,则摘要验证默认就是采用WDigest
。使用WDigest
时,用户所输入的账户与喻勇大小写都必须与域内的配置相同。
î
集成验证
集成验证就是所谓的集成式
Windwos
验证,它可以确保密码不易外泄,同时是系统默认的验证方法。
用户利用集成验证来连接
ISA Server
时,会自动利用用户在登录计算机时所输入的账户与密码来连接
ISA Server
,如果账户与密码不对,系统才会要求用户手动输入账户与密码。
八、自动安装
Microsoft Firewall Client
若网络环境为
Windows Server 2003
或
Windows 2000 Server
的
Active Dircotry
域,那可以利用组策略的软件部署功能,将
Microsoft Firewall Client
指派给域内的所有计算机(包含
BAHAMAS
)。
第一步:在域中的任何一台服务器内创建一个文件夹,例如
E:\ISAClient
,它是用来保存要被部署的软件。
第二步:将此文件夹设为共享文件夹,建议共享名最后附加
$
符号,例如
ISAClient$
,以便于在网络上隐藏此共享文件夹。
第三步:然后将
ISA Server 2006 CD
内
Client
文件夹内的
ms_fwc.mis
文件复制到此文件夹。如下图所示:
第四步:在域控制器选择“开始”
→
“管理工具”
→
“组策略管理”打开组策略管理控制台。如下图所示:
第五步:右击“
zhp.com
”
→
在弹出的菜单中选择“创建并连接
GPO
”
→在新建GPO对话框名称中输入策略名称,例如分发ISAClient→单击“确定”按钮。如下图所示:
第六步:右击“
分发ISAClient”策略→点击“编辑”。如下图所示:
第七步:再打开的“组策略编辑器”中选择“计算机配置”
→“软件安装”→单击上方的“属性”图标。如下图所示:
注:由于我们将共享文件夹隐藏了起来,故无法利用“浏览”按钮来选择此共享文件夹,因此自行输入。
第九步:如下图所示右击“软件安装”
→
“新建”
→
“程序包”。
第十步:在下图中浏览到文件夹
ISAClient$
,然后选择
Microsoft Firewall Client
的安装文件
ms_fwc.mis
,单击“打开”按钮。
第十一步:在下图中选择“已指派”,单击“确定”。
第十二步:下图为完成指派后的画面,从图的右方可知
Microsoft Firewall Client
的指派配置已经成功。
此时只要启动
zhp.com
域内的任何一台计算机,他就会自动安装
Microsoft Firewall Client
。
九、选择适当的客户端
在经过前面的详细介绍后,了解了
ISA Server
的客户端分别为
Web
代理客户端、
SecureNAT
客户端与防火墙客户端三种,但是要将客户端配置为哪一种才适当呢?下面我列出几种建议供做为选择客户端的参考。
需求
|
建议选择的客户端
|
提高网页访问速度
|
Web
代理客户端
|
要将架设于内部网络的网站或服务器发布给因特网的用户
|
SecureNAT
客户端
|
提高网页访问速度与访问
Winsock
|
防火墙客户端
|
控制客户端应用软件与因特网之间的沟通
|
防火墙客户端
|
限制只有身份经过验证的用户才可以访问网页
|
Web
代理客户端或防火墙客户端
|
最后建议:请将要发布因特网的网站或服务器配置为SecureNAT
客户端,其他客户端则配置为防火墙客户端,以便于更容易地控管客户端计算机。
本文转自 zhouhaipeng 51CTO博客,原文链接:http://blog.51cto.com/zhouhaipeng/113437,如需转载请自行联系原作者