彻底剖析ISAServer客户端及配置之二-CSDN博客

六、自动发现

ISA Server的自动发现功能让Web代理客户端与防火墙客户端能够自动检测ISA Server，并通过此ISA Server来访问因特网的资源

（一）、“自动发现”概论

自动发现需要搭配DNS或DHCP服务器，同时在服务器内需要有一笔名为WPAD（Web Proxy AutoDiscovery Protocol）的记录，用来高速客户端哪一台计算机是WPAD服务器，而WPAD服务器内有两个用来配置客户端浏览器的自动配置脚本（automatic configuration script）文件，这两个文件非别是wpad.dat（供Web代理客户端使用）与wspad.dat（供防火墙客户端使用），其内会由可对客户端提供服务的ISA Server等相关信息。自动发现的运作流程请参看下图与以下说明。

1、客户端像DNS或DHCP服务器查询WPAD服务器是哪一台计算机。

2、 DNS或DHCP服务器将WPAD服务器的IP地址告诉客户端。

3、 Web代理客户端向WPAD服务器索取wpad.dat文件或防火墙客户端向WPAD服务器索取wspad.dat文件。

4、 WPAD服务器将wpad.dat或wspad.dat传给客户端。

5、客户端依据wpad.dat或wspad.dat文件的内容来配置浏览器与得知可提供服务的ISA Server。

6、客户端通过所得知的ISA Server来访问因特网的资源。

（二）、将ISA Server配置为WPAD服务器

上图中的WPAD服务器一般是直接由ISA Server来同时扮演，而要将ISA Server配置为WPAD服务器的方法为：在客户端所连接的网络上启用发布这个网络的自动发现信息，例如客户端是连接在内部网络，则请在ISA Server管理控制台中如下图所示选贼“配置”处的“网络”→双击“内部”网络→选择“自动发现”标签→选中“为此网络发布自动发现信息”→单击“确定”。

由图中可以看出ISA Server（WPAD服务器）默认是利用连接端口80来侦听客户端的自动发现请求，因此若ISA Server内有连接端口为80的网站，请将此网站停用或者更改为其连接端口，以免互相冲突。

注：这里需要注意一点的如果将ISA Server默认连接的端口80改为其他号，就无法利用DNS服务器来自动发现ISA Server，但还是可以利用DHCP服务器来自动发现ISA Server。

（三）、利用DHCP服务器来支持“自动发现”功能

以下图的机构为例来说明：

第一步：在上图左边的Windows Server2003上安装DHCP服务器，其方法为“开始”→“控制面板”→“添加或删除程序”→“添加/删除Windows组件”→选择“网络服务”→单击“详细信息”按钮→选中“动态主机配置协议（DHCP）。

第二步：选择“开始”→“管理工具”→DHCP。

第三步：请右击“DHCP服务器”→“新建作用域”来添加支持的内部网络客户的作用域，由于内部网络的网络ID为：192.168.0.0，因此在IP地址范围画面中的网络ID请配置为192.168.0.0，其他步骤都单击“下一步”即可，下图为完成后的画面。

第四步：如下图所示右击“DHCP”服务器→“设置预定义的选项”

第五步：在下图中单击“添加”按钮后在“名称”处输入WPAD,在“数据类型”处选择“字符串”，在代码处输入252，在“描述”处输入说明文字。

第六步：在下图中的“字符串”处输入[url]http://192.168.0.200:80/wpda.dat[/url],其中的192.168.0.200为ISA Server内网卡的IP地址（也而已输入计算机名），而80为ISA Server（WPAD服务器）用来侦听自动发现请求的连接端口，默认值为80，

注：其中的wpda.dat必须是小写，而且不论是针对Web代理客户端还是防火墙客户端，此处都是输入wpad.dat。

第七步：在下图中右击“作用域选项”→“配置选项”。

第八步：如下图所示选中252WPAD。

第九步：如下图所示将防火墙客户端的IP地址改为“自动获得IP地址”，以便想DHCP服务器索取IP地址与查询WPAD服务器。

完成配置后，以后防火墙客户端提出对外的WINSOCK请求时，就会自动通过DHCP服务器找到WPAD服务器与取得自动配置脚本文件，并通过此脚本来配置客户端的环境（例如配置浏览器）与得知可对其提供服务的ISA Server，然后通过此ISA Server来与外部沟通。

也可以手动操作自动检测的程序：在防火墙客户端计算机上双击屏幕右下角的Microsoft Firewall Client图标，或是选择“开始”→“所有程序”→“Microsoft Firewall Client管理”，然后单击下图中的“立即检测”按钮。

注：根据我的实验结果，刚开始可能需要等一段时间，或是将防火墙客户端网络停用再启用，或是将防火墙客户端重启，才找得到ISA Server。

（四）、利用DNS服务器开支持“自动发现”功能

我们利用下图的网络架构来实验，图中假设Windows XP Professional计算机为防火墙客户端。

1、 DNS服务器的配置

第一步：请在上图中左边的Windows Server2003上安装DNS服务器，其方法为“开始”→“控制面板”→“添加或删除程序”→“添加/删除Windows组件”→选择网络服务→双击“详细信息”按钮→选中“域名系统（DNS）”。

第二步：选择“开始”→“管理工具”→DNS。

第三步：请右击下图中“正向查找区域”→新建区域来添加一个支持防火墙客户端的区域，过程中除了在区域名称画面中将区域名称设置为“zhp.com”之外，其他画面都直接单击“下一步”。如下图所示已经建立好的画面。（图中我是域环境，大家也可以不需要用域也可以完成该实验）

注：若是工作组状态由于区域名称为zhp.com，因此客户端的完成计算机名的后缀也需要为zhp.com，例如完成的计算机名Bahamas.zhp.com。一般工作组状态下DNS服务器安装好建立了正向查找区域只会有上图中蓝色选中的两个文件。

第四步：请右击“zhp.com区域”→“新建主机”来新建ISA Server计算机的主机记录（A资源记录），例如主机名为Blegium，IP地址改为内网网卡的192.168.0.200.

第五步：请右击“zhp.com”区域→“新建别名（CNAME）”,然后如下图所示“别名”处输入wpad，然后单击“浏览”按钮到zhp.com区域选择ISA Server主机China-ISA.zhp.com。

第六步：如下图所示为完成画面，其中的China-ISA为ISA Server的主机记录（A），而wpad为别名记录（CNAME）.

2、防火墙客户端的配置

我们需要将客户端的首选 DNS 服务器指定到支持自动发现的 DNS 服务器，同时也要将客户端的完整计算机名的后缀，改为 DNS 服务器内支持自动发现的区域名称 zhp.com 。

如果客户端计算机已经加入 Active Directory 域（ zhp.com ），而且如果我们是将支持 Active Directory 的 DNS 服务器拿来支持自动发现功能，则可以免除上述配置，因为客户端的完整计算机名的后缀会自动被配置为域名 zhp.com ，而且其首选 DNS 服务器也应该指定好了。

若客户端未加入域，请按照下面的步骤做：

第一步：如下图所示将防火墙客户端的 IP 地址改为静态，并将 DNS 服务器指定到支持自动发现的 DNS 服务器 192.168.0.253 。

第二步：单击“开始”菜单 → 右击“我的电脑” → “属性” → 单击“计算机名”标签下的“更改”按钮。

第三步：单击“其他”按钮，输入计算机名后缀 zhp.com ，单击“确定”，完成后重新打开客户端计算机。如下图所示：

完成配置后，以后防火墙客户端提出对外的 WINSOCK 请求时，就会自动通过 DNS 服务器找到 WPAD 服务器与取得其内的自动配置脚本文件，并通过此脚本来配置客户端环境（例如配置浏览器）与得知可对其提供服务的 ISA Server ，然后通过此 ISA Server 来与外部沟通。

也可以手动操作自动检测的程序：在防火墙客户端计算机上双击屏幕右下角的 Microsoft Firewall Client 图标，或是选择“开始” → “所有程序” → “ Microsoft Firewall Client 管理” → 单击“立即检测”按钮。

注：上述步骤完成后，可能需要等一小段时间后才会自动检测到ISA Server ，若仍然检测不到，请在防火墙客户端执行ipconfig /flushdns 命令将DNS 缓存数据删除，或是将防火墙客户端的网络停用在启用，或是将防火墙客户端重新启动。如果将ISA Server 默认连接端口80 改为其他，就无法利用DNS 服务器来自动检测ISA Server 。

（五）、防火墙客户端的自动配置值

当防火墙从 WPAD 服务器取得 wspad.dat 文件后，这个文件内容包含 ISA Server 的计算机名与连接端口（ 1745 ），防火墙客户端就会连接此台 ISA Server 并通过连接端口 1745 来取得客户端所需要的配置值，而在 ISA Server 上的这些配置值是通过选择“配置”处的“网络” → 双击“内部网络” → 如下图选择“防火墙客户端”来配置。

î 防火墙客户端配置

防火墙客户端会将 Winsock 请求传递给此处的 ISA Server 。

î 在防火墙客户端计算机上的 Web 浏览器

用来配置防火墙客户端的浏览器，如下图所示为 Windows XP 防火墙客户端的浏览器配置画面，这些配置都是从 ISA Server 自动下载的。

自动检测设置值如下图

让防火墙客户端在提出网页或 FTP 请求时，能够自动检测代理服务器。它就是利用 WPAD 服务器得知代理服务器与取得相关配置值。

使用自动配置脚本

让防火墙客户端执行位于 ISA Server 的脚本（此脚本为 array.dll?Get.routing.script ），以便于利用此脚本来自动配置客户端。如果代理服务器为 ISA Server 数组，它能够从数组中找到对其提供服务的 ISA Server 。

使用 Web 代理服务器

若客户端无法自动检测到代理服务器，则将此处的 ISA Server 当作代理服务器。

如果客户端是通过执行脚本来配置客户端，则此客户端会应用如下图中的“ Web 浏览器”标签内的配置：

î 对此网络中的 Web 服务器不使用代理

若 Web 服务器是位于内部网络（由于我们正在配置内部网络，因此这个网络就是指内部网络），则不他哦难过 ISA Server 来连接 Web 服务器。

î 直接访问在“域”选项卡中指定计算机

果实访问下图中域选项卡内的 Web 服务器，则不通过 ISA Server 。

î 直接访问“地址”选项卡中指定的计算机

若是访问下图中“地址”标签内的 Web 服务器，则不通过 ISA Server 。

î 如果 ISA 服务器不可用，使用此备份路由连接到 Internet

如果 ISA Server 因故无法访问，则让客户端通过此处的配置，来直接访问 Web 服务器或通过此处指定的备份 ISA Server 。

注：如果客户端自动检测配置与使用自动配置指令文件同时被选中，则会先采用自动检测配置（也就是 WPAD 的方式），若无法检测到，再采用使用自动配置指令文件的方式。

（六）、“ Web 代理客户端”的配置

Web 代理客户端也可以通过以下两种方法来自动检测 ISA Server ：

î 选择打开 Internet Explorer → 选择“工具”菜单 → “ Internet 选项” → 选择“连接”标签 → 单击“局域网设置”按钮 → 选中下图中的“自动检测设置”，此种方法客户端需通过 DHCP 或 DNS 服务器来寻找 WPAD 服务器、在通过 WPAD 服务器来获取 ISA Server 。

î 在上图中选中“使用自动配置脚本”，然后网址处输入脚本 [url]http://China-ISA:8080/array.dll?Get.routing.script[/url] ，以便于执行位于 ISA Server 内的脚本 array.dll?Get.routing.script （脚本的大小写有别）。

七、验证用户身份

可以在 ISA Server 端配置要验证用户身份，也就是说当客户端他哦难过 ISA Server 来访问因特网时，客户端必须提供正确的用户账户与密码。

注：因为Windows Server 2003 要求通过网络来连接的用户，其密码不能为空，因此如果ISA Server 安装在Windows Server 2003 计算机上，则用户账户的密码不能设置为空白的密码。

此处所介绍的身份验证工作，是指ISA Server 在验证客户端的身份，而不是因特网服务器在验证客户端的身份。

（一）、访问 HTTP 对象的验证方式

不同类型的客户端在访问 HTTP 对象（指 HTTP 、 HTTPS 、 FTP ）时，有不同的验证方式，以下将分别说明。

1 、“ Web 代理客户端”的验证方式

ISA Server 支持验证 Web 代理客户端用户身份的验证，举例来说， Web 代理客户端在利用 Internet Explorer 访问因特网页时，会自动利用用户登录 Web 代理客户端计算机时所输入的用户账户与密码来连接 ISA Server 。若该身份经过 ISA Server 的本级安全性数据库（ SAM ）或 Active Directory 数据库验证成功，而且 ISA Server 的访问规则也开放让此用户可以访问 HTTP 对象，则该用户就可以正常访问 HTTP 对象。

如果用户账户与密码不对，就会出现如下图所示的画面来要求输入用户账户与密码。

如果用户账户与密码都正确，但是在访问规则内并没有开放该用户可以通过，或是用户直接在上图中单击“取消”按钮，则用户将无法访问因特网网页，而且屏幕会出显示如下图类似画面。

2 、“ SecureNAT 客户端”的验证方式

由于 SecureNAT 客户端并不具备用户等级的验证功能，因此如果在 ISA Server 的网页访问规则访问内要求必须验用户身份，则客户端将无法访问因特网的 HTTP 对象。

不过如果在 SecureNAT 客户端的网页应用程序（例如 Intenet Explorer ）内指定将 ISA Server 当作代理服务器，则该应用程序将以 Web 代理客户端的身份来访问因特网的 HTTP 对象，如此便可以验证用户的身份。

注：如果SecureNAT 客户端是VPN 客户端，则不论是否将ISA Server 当作代理服务器，都具备验证用户身份的功能。

3 、“防火墙客户端”的验证方式

由于防火墙客户端的 Internet Explorer 内已经自动将 ISA Server 当作代理服务器，因此在利用 Internet Explorer 访问因特网网页与 FTP 对象时，此客户端将被视为 Web 代理客户端，因此具备验证身份的功能。

至于其他网页应用程序（例如 FireFox ）在连接 ISA Server 时，是否具备验证功能，要看是否自行在该程序内指定将 ISA Server 当作代理服务器而定，若有指定，就具备验证身份的功能，否则就具备验证身份的功能，也就无法通过 ISA Server 访问因特网的网页对象。

（二）、访问“非 HTTP ”对象的验证方式

由于 Web 代理客户端无法访问非 HTTP 对象，而 SerureNAT 客户端也不具备用户等级的验证身份功能，因此下面我就针对防火墙客户端来说明。

防火墙客户端再访问 HTTP 对象（例如收发电子邮件）时，会自动利用用户在登录防火墙客户端计算机时所输入的账户与密码来连接 ISA Server 。若身份经过 ISA Server 的本机安全数据库（ SAM ）或 Active Directory 数据库验证成功，而且 ISA Server 的访问规则也开放此用户可以访问非 HTTP 对象，则该用户就可以正常地访问非 HTTP 对象。

如果连接 ISA Server 时所自动提供的用户账户与密码不对，或即时该用户的账户与密码都正确，但是在访问规则内并没有开放该用户可以通过，则用户将无法访问因特网的非 HTTP 对象（例如无法收发电子邮件）。

注：当防火墙客户端应用程序需要访问非HTTP 对象时，如果连接ISA Server 时所自动提供的账户与密码不对，而且该程序并不会要求用户重新输入账户与密码，则用户将无法访问非HTTP 对象。

（三）、验证身份实例演练

我们在了解了身份验证的原理后，下面我们就做实验来练习下，下面实验包含了 HTTP 与非 HTTP 对象访问实验。

我们将分以下主题来练习：

î 建立用户账户与“用户组”

î 只开放让用户 Bahams 可以访问因特网的网页对象与收发电子邮件测试验证身份的功能

î 要求所有的用户都需要验证身份

1、建立用户账户与“用户组”

以下实验假设只让用户 Bahamas 可以访问因特网的网页对象与收发电子邮件，并且 ISA Server 并没有加入域的环境下，我们需要先在 ISA Server 计算机的本地安全性数据库内建立 Bahamas 账户。请在 ISA Server 计算机上右击“我的电脑” → “管理” →如下图所示右击 “用户” → “新用户”的方法来创建此账户。

注：必须如下图所示取消“用户下次登陆时须更改密码”，否则用户无法连接ISA Server ，同时请选中“密码永不过期”，还有因为这台计算机是Windows Server 2003 ，因此用户的密码不可以为空白（Windows Server 2003 默认会拒绝没有密码的用户来连接）。

接下来请在 ISA Server 上建立一个用户组，假设名为 test ，其内包含用户账户 Bahamas 。建立步骤如下：

第一步：如下图所示单击“防火墙策略” → “工具箱” → “工具箱” → “用户” → 单击“新建”。

第二步：在“欢迎使用新建用户集向导”画面中将用户集命名为 test 。如下图所示：

第三步：在下图中单击“添加”按钮后选择“ Windows 用户和组”

第四步：单击下图查找位置中“位置”按钮 → 选择“整个目录” → 单击“确定”。

第五步：单击下图中“高级”按钮到 Active Directory 账户数据中寻找 Bahamas 。完成后单击“确定”按钮。

第六步：回到用户画面时，直接单击“下一步”。

第七步：出现“正在完成新建用户集向导”画面时单击“完成”。

第八步：回到 ISA Server 管理控制台画面时单击“应用”后单击“确定”。

2、只开放用户 Bahamas 可以访问网页与收发电子邮件

我们将开放只让用户 Bahamas 可以访问因特网的网页对象与收发电子邮件。请直接修改之前所建立的访问规则“允许内部与本地主机访问外部网站”。

第一步：双击下图中“允许内部与本地主机访问外部网站”规则

第二步：如下图所示选择“用户”标签下的“所有用户” →单击 “删除” → 单击“添加”按钮。

第三步：在下图中选择用户集“ test ”后，一次单击“添加”按钮、“关闭”按钮。

第四步：如下图所示单击“协议”标签下的“添加”按钮来开放 SMTP 与 POP3 协议。（下图是一完成后的画面）。完成后单击“确定”。

第五步：在下图中单击“应用”后单击“确定”。

3、测试身份验证的功能

请到客户端计算机上测试验证身份的功能，可以用以下集中方式来测试

î 在 Web 代理客户端利用本机用户账户 Bahamas 来登录。

利用 Internet Explorer 上网

Web 代理客户端会自动利用账户 Bahamas 来连接 ISA Server ，而由于 Active Directory 账户数据内也有一个名为 Bahamas 的账户，且密码也相同，故客户端可自动被 Active Directory 验证身份，并且通过 ISA Server 上网访问 HTTP 对象。可以通过如下图所示的单击 ISA Server 计算机 → “监视” → “会话”标签的方法来查看用户 Bahamas 已经利用 Web 代理客户端连上了 ISA Server 。

利用 Ootlook Express 收发电子邮件

Web 代理客户端不具备通过 ISA Server 访问非 HTTP 对象功能，因此无法收发外部电子邮件。

î 在防火墙客户端利用本机用户账户 Bahamas 来登录

利用 Internet Explorer 上网

此时防火墙客户端是以 Web 代理客户端的角色来连接 ISA Server ，因此跟 Web 代理客户端一样会自动被 ISA Server 验证身份，并通过 ISA Server 上网访问 HTTP 对象

利用 Outlook Express 收发外部电子邮件

防火墙客户端会自动利用账户 Bahamas 来连接 ISA Server ，而由于 Active Directory 账户数据内也有一个名为 Bahamas 的账户，且密码也相同，故客户端可自动被 Active Directory 验证身份，并且正常收发电子邮件（非 HTTP 对象）。

注意请使用位于外部网络的电子邮件服务器内的账户来测试，这样次阿辉通过ISA Server 防火墙。

î 在 Web 代理客户端利用其他本机用户账户来登录（不要使用 Bahamas 账户），然后利用 Internet Explorer 上网访问 HTTP 对象。

î Web 代理客户端 Internet Explorer 会自动利用此账户（非 Bahamas 账户）来连接 ISA Server ，因为 ISA Server 内“允许内部与本地主机访问外部网站”规则内没有该账户，故无法自动被 ISA Server 验证成功，并且会要求用户另外输入有效账户与密码后，才可以连接 ISA Server 与通过 ISA Server 上网访问 HTTP 对象。

î 在防火墙客户端利用其他 Active Directory 账户登录

利用 Internet Explorer 上网

防火墙客户端会自动利用此账户，来连接 ISA Server ，但是因为 Active Directory 账户数据并没有此账户，故用户无法自动被 ISA Server 验证成功，并且会要求用户另外在输入有效的账户与密码后，才可以连接到 ISA Server 与通过 ISA Server 上网访问 HTTP 对象。

利用 Outlook Express 收发电子邮件

防火墙客户端会自动利用此账户，来连接 ISA Server ，但是因为 Active Directory 账户数据并没有此账户，故用户无法自动被 ISA Server 验证成功，同时因为 Outlook Express 并不会另外要求用户手动输入账户与密码，因此用户无法正常连接 ISA Server 与收发电子邮件。

请注意使用外部网络电子邮件服务器内的账户来测试，这样才会通过ISA Server 防火墙。

4、要求所有的用户都需要验证身份

可以要求所有 Web 代理客户端用户在访问网页、 FTP 对象，都需要提供账户名与密码，这个配置是通过 Web 代理客户端所连接的网络来定义的，例如 Web 代理客户端是连接在内部网络，则请在 ISA Server 计算机上通过如下图所示单击“网络”标签下的“内部”网络 → 选择“ Web 代理”标签 → 单击“身份验证”按钮 → 选中“要求所有用户进行身份验证”的方法来配置。

注：如果选中要求所有用户进行身份验证，则可能会造成某些不支持验证的网站流量被封锁（例如Windows Update ），因此建议尽量在访问规则内来要求账户与密码，而不要选中此处的选项。

（四）、选择适当的验证方法

ISA Server 提供数种验证 Web 代理客户端的方法，参看上图中，我将介绍集中比较常用到的基本、摘要与集成三种的验证方法。

î 基本验证

绝大部分的浏览器都支持基本验证的方法，不过用户所传递的账户名与密码并不会被加密，因此容易被居心不良的用户拦截与得知，故若要使用基本验证，应该搭配其他可以确保资料传递安全的措施，例如启用 SSL 连接。选择基本验证时，可以单击上图中的“选择域”按钮来配置默认域，这样用户所送来的账户与密码会被送到此域的域控制器来验证。若未选择域，则会利用本机安全性数据库（ SAM ）或本域的 Active Directry 数据库来检查。

î 摘要验证

摘要验证比基本验证更安全，不过他有以下几点要求：

浏览器必须支持 HTTP1.1 ，例如 Internet Explorer5.0 （含）以上版本。

ISA Server 这台计算机必须是 Active Dirctory 域成员服务器或域控制器。

用户账户必须是 Active Dircotry 内的域账户。

如果 Active Dircotry 域为 Windows 2000 域，则 Active Dircotry 内的用户账户必须如下图所示选中“使用可逆的加密保存密码”，这样保存密码方式比较安全，因为它是以纯文字的方式来保存密码。

注：如果Active Dircotry 域为Windows Server 2003 域，则ISA Server 还另外支持一种新版的摘要验证：WDigest 。WDingest 不需要选中使用可逆的加密保存密码。如果ISA Server 与Active Dircotry 域都是在Windows Server 2003 环境下，则摘要验证默认就是采用WDigest 。使用WDigest 时，用户所输入的账户与喻勇大小写都必须与域内的配置相同。

î 集成验证

集成验证就是所谓的集成式 Windwos 验证，它可以确保密码不易外泄，同时是系统默认的验证方法。

用户利用集成验证来连接 ISA Server 时，会自动利用用户在登录计算机时所输入的账户与密码来连接 ISA Server ，如果账户与密码不对，系统才会要求用户手动输入账户与密码。

八、自动安装 Microsoft Firewall Client

若网络环境为 Windows Server 2003 或 Windows 2000 Server 的 Active Dircotry 域，那可以利用组策略的软件部署功能，将 Microsoft Firewall Client 指派给域内的所有计算机（包含 BAHAMAS ）。

第一步：在域中的任何一台服务器内创建一个文件夹，例如 E:\ISAClient ，它是用来保存要被部署的软件。

第二步：将此文件夹设为共享文件夹，建议共享名最后附加 $ 符号，例如 ISAClient$ ，以便于在网络上隐藏此共享文件夹。

第三步：然后将 ISA Server 2006 CD 内 Client 文件夹内的 ms_fwc.mis 文件复制到此文件夹。如下图所示：

第四步：在域控制器选择“开始” → “管理工具” → “组策略管理”打开组策略管理控制台。如下图所示：

第五步：右击“ zhp.com ” → 在弹出的菜单中选择“创建并连接 GPO ” →在新建GPO对话框名称中输入策略名称，例如分发ISAClient→单击“确定”按钮。如下图所示：

第六步：右击“ 分发ISAClient”策略→点击“编辑”。如下图所示：

第七步：再打开的“组策略编辑器”中选择“计算机配置” →“软件安装”→单击上方的“属性”图标。如下图所示：

第八步：在下图中“默认程序包位置”处输入软件的保存位置，注意必须是网络路径（ UNC 路径），例如 \\Belgium\ISAClient$ 。完成后单击“确定”。

注：由于我们将共享文件夹隐藏了起来，故无法利用“浏览”按钮来选择此共享文件夹，因此自行输入。

第九步：如下图所示右击“软件安装” → “新建” → “程序包”。

第十步：在下图中浏览到文件夹 ISAClient$ ，然后选择 Microsoft Firewall Client 的安装文件 ms_fwc.mis ，单击“打开”按钮。

第十一步：在下图中选择“已指派”，单击“确定”。

第十二步：下图为完成指派后的画面，从图的右方可知 Microsoft Firewall Client 的指派配置已经成功。

此时只要启动 zhp.com 域内的任何一台计算机，他就会自动安装 Microsoft Firewall Client 。

九、选择适当的客户端

在经过前面的详细介绍后，了解了 ISA Server 的客户端分别为 Web 代理客户端、 SecureNAT 客户端与防火墙客户端三种，但是要将客户端配置为哪一种才适当呢？下面我列出几种建议供做为选择客户端的参考。

需求	建议选择的客户端
提高网页访问速度	Web 代理客户端
要将架设于内部网络的网站或服务器发布给因特网的用户	SecureNAT 客户端
提高网页访问速度与访问 Winsock	防火墙客户端
控制客户端应用软件与因特网之间的沟通	防火墙客户端
限制只有身份经过验证的用户才可以访问网页	Web 代理客户端或防火墙客户端