ISA 2006 实验指南(三)客户端类型<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
ISA的代理服务支持三种客户端,分别是:
Web代理客户端
Secure NAT客户端
防火墙客户端
一、
web
代理客户端
1)设置简单,功能有限。既有DNS转发功能、支持身份验证
客户端IP设置、IP和子网就可以上网了,但这里是域环境需要设DNS
2)ISA默认拒绝所有通信,所以要先创建一条内网访问外网的访问规则
在此以IE、QQ为例:
在IE菜单栏上、工具、Internet 选项、连接、局域网设置、下图:
![](https://i-blog.csdnimg.cn/blog_migrate/5a3bcc974a6de8bd02bb56d23bceaa81.jpeg)
代理服务器、输入ISA内网IP、端口
ISA默认已启用代理:
查看:展开ISA管理控制台、阵列、配置、网络、网络、双击内部、单击web代理:如下图所示:
![](https://i-blog.csdnimg.cn/blog_migrate/7d139335d4f49cb41b99ae6fb4d99153.jpeg)
要是手动在每台客户机上设置、不用说工作量非常大
下面用GPO来分发下去
3)DC上设置
新建一条组策略,在此就做过多的讲解了
![](https://i-blog.csdnimg.cn/blog_migrate/42039554aadfcb4ee606f3b7a6b6ff91.jpeg)
双击:代理设置、这里只设置了HTTP”这里应该用内部NLB IP”
![](https://i-blog.csdnimg.cn/blog_migrate/24efd98bf9727676f09b7da653b9fe05.jpeg)
现在以域用户在客户机上登录、打开IE设置查看下:
![](https://i-blog.csdnimg.cn/blog_migrate/35340f42848f06e021b85aca0c8d90a3.jpeg)
以经起作用了,但这里只设置了一个HTTP所示没有出现ISA地址、单击高级
![](https://i-blog.csdnimg.cn/blog_migrate/1bb0fb8b7ec10f88580b080fb91c784e.jpeg)
如果、选择对所有协议均使用相同的代理服务器、在上图地址和端口就不会是恢色的了
4)测试
![](https://i-blog.csdnimg.cn/blog_migrate/2daee2a975e5e726ece53b4a5dc53292.jpeg)
可以访问外网
![](https://i-blog.csdnimg.cn/blog_migrate/6fd3dc1fbce09c88abeec0b82d66d2a7.jpeg)
左边的是在ISA上的右边的是客户机上的,说明FTP访问不了,应该出现ISA拒绝访问才是的,但现在报错,不管他了,访问不了,说明策略生效
在客户机上登录QQ看
![](https://i-blog.csdnimg.cn/blog_migrate/fdb3efc2cf20294b65bd859ab08b2992.jpeg)
在QQ上设置好代理、单击、测试、工作正常说明可以上QQ了
二、
Secure NAT
客户端
1)将网关指向ISA的内网IP即可。结合DHCP服务器就更简单了,客户机网卡选择自动获得IP即可。
2)无任何限制、但没有DNS转发功能、不支持身份验证
三、防火墙客户端
1)需要在客户端上安装防火墙组件、可以通过组策略来分发、这就方便多
2)支持DNS转发、身份验证、无任何限制
客户端软件位于ISA光盘里
![](https://i-blog.csdnimg.cn/blog_migrate/bf58cdfa8006930fb4b07f3a2620e45c.jpeg)
先把CLIENT文件夹复制到本地、共享出来!
3)在DC上打开组策略、这里就用刚才哪条来做。
![](https://i-blog.csdnimg.cn/blog_migrate/6992d12d9a00f246c60e9579bc2e8e06.jpeg)
右击——新建、程序包
![](https://i-blog.csdnimg.cn/blog_migrate/f64e691ec029cdf2ce33f11113ecf0ce.jpeg)
在文件名里输入UNC路径:再点击、打开、就现上图:双击“MS_FWC.msi”弹出下图:
![](https://i-blog.csdnimg.cn/blog_migrate/91a276da8526bc06eba899d06dc32b46.jpeg)
确定、经过测试分发给用户的,Domain Users的用户没权限安装、计算机是可以的、这怎么办、办法是有的、
打开给策略
![](https://i-blog.csdnimg.cn/blog_migrate/d19f58566ed0a75f8b8359273cb8897d.jpeg)
在受限制的组里右击添加组:弹出下图
![](https://i-blog.csdnimg.cn/blog_migrate/08ec4a323cf69558a16d3ab463d18276.jpeg)
注意:这个不是域里的组、确定、
点击——添加——浏览找到
Domain users
组、确定
4
)在客户机上打开
Power users
组属性、可以看到
![](https://i-blog.csdnimg.cn/blog_migrate/58aea1b0254eaca6c40980e96c92345c.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/612a675b72425bca14ecfe9ac3fbeb06.jpeg)
单击——添加即可
默认不会自动检测到
ISA
服务器、需要手动、客户端太多手动工作量非常大、
下面用到WPAD来实现自动的
四、
WPAD
WPAD实现防火墙客户端自动检测ISA服务器
WPAD是Web Proxy Auto Discovery的缩写,意思是Web代理服务器自动发现。WPAD的目的是让浏览器、防火墙客户端自动发现代理服务器、这样用户无需知道哪台计算机是代理服务器、就可以轻松访问互联网。WPAD对管理员分担了不了工作量、
一、在ISA服务器上启用WPAD
![](https://i-blog.csdnimg.cn/blog_migrate/bf48d5d93ea3694ea6c1ed98c75fd23a.jpeg)
展开ISA配置、网络、双击内部、弹出下图:
![](https://i-blog.csdnimg.cn/blog_migrate/1743e449ebcc26cf50471f9458e8cc57.jpeg)
选择——自动发现、勾上“为此网络发布自动发现信息”此时ISA服务就在80端口上发布了、WPAD.DAT和WSPAD.DAT文件、DNS实现只能用80端口
客户机向DNS发出查询WPAD主机的80端口下载WPAD.DAT或WSPAD.DAT。WPAD.DAT可用于配置客户机浏览器,让浏览器自动发现代理服务器;WSPAD.DAT则用于配置客户机上的防火墙客户端自动发现代理服务器。测试一下
![](https://i-blog.csdnimg.cn/blog_migrate/09767c0b624934fbba2ed7b85cbe05d0.jpeg)
IE上自动勾上,自动检测设置
![](https://i-blog.csdnimg.cn/blog_migrate/efe65166a2efc45b12c65b34de1cac92.jpeg)
一、用DNS来实现
1)在DNS上创建一条WPAD别名记录指向ISA内网A记录
![](https://i-blog.csdnimg.cn/blog_migrate/b8e1d4ada3ae3f09c45160a6fc8319fa.jpeg)
或创建条WPAD、A记录指向ISAIP也行、建议用别名“这么一步简单”
2)在客户端上打开防火墙客户端软件
![](https://i-blog.csdnimg.cn/blog_migrate/43db9bb877c9fd5411293ff1c93a696b.jpeg)
立即检测——“阵列中的应该创建一条WPAD、A记录IP为内部的NLB 、IP”
但前提是要把网卡指向DNS
![](https://i-blog.csdnimg.cn/blog_migrate/1e0f33dd5f426dc3e77e646fd9d95e9a.jpeg)
支持手工设置IP和DHCP分发
二、DHCP来实现“ISA可以在任意端口上发布WPAD、WSPAD“
在测试之前先把DNS里的WPAD别名删除
在DHCP上右击服务名
![](https://i-blog.csdnimg.cn/blog_migrate/e3428e94b2a70eec69454e095a82e042.jpeg)
弹出下图:
![](https://i-blog.csdnimg.cn/blog_migrate/84c646ea99eeb32ea4b47bf4652e7bb2.jpeg)
单击添加——
![](https://i-blog.csdnimg.cn/blog_migrate/e1a94e0bf27984334f5228f7f8409966.jpeg)
名称:WPAD
数据类型:字符串
代码:252
——确定——弹出下图:
![](https://i-blog.csdnimg.cn/blog_migrate/ff70fa0be73505b00fc7c42faaacf51e.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/ced0198bf868844ef2cae7455531ce11.jpeg)
单击——弹出下图
![](https://i-blog.csdnimg.cn/blog_migrate/470d04c9086f9726ce909236b12800d2.jpeg)
点击——确定
还要把DNS分配给客户端、因为需要DNS来解析名称到IP
完成!
补充:用ISA内部的 NLB的IP
三、WINS
在工作组环境下用WINS来完成方便一点
安装上WINS
打开WINS控制台
![](https://i-blog.csdnimg.cn/blog_migrate/8f254753a23ff2b98f58deedefe1d091.jpeg)
右击——新建静态映射
![](https://i-blog.csdnimg.cn/blog_migrate/f5d8caac7aaa2bf0cfb8ef5d010985a8.jpeg)
ISA 内部IP
![](https://i-blog.csdnimg.cn/blog_migrate/95065ce24a511579219e003f7a5becd2.jpeg)
——显示记录——在弹出一个向导单击——立即查找
![](https://i-blog.csdnimg.cn/blog_migrate/10b18d363a504414511b1c17fc579737.jpeg)
哪么现在只要在客户端上指定WINS服务器就OK了!
或有DHCP分发下去!域环境不建议用WINS
转载于:https://blog.51cto.com/mcitp/133798