ISA 2006 实验指南（三）客户端类型、WPAD

ISA 2006 实验指南（三）客户端类型<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

ISA的代理服务支持三种客户端，分别是:

Web代理客户端

Secure NAT客户端

防火墙客户端

 

一、 web 代理客户端

1）设置简单，功能有限。既有DNS转发功能、支持身份验证

客户端IP设置、IP和子网就可以上网了，但这里是域环境需要设DNS

2）ISA默认拒绝所有通信，所以要先创建一条内网访问外网的访问规则

在此以IE、QQ为例：

在IE菜单栏上、工具、Internet 选项、连接、局域网设置、下图：

代理服务器、输入ISA内网IP、端口

ISA默认已启用代理：

查看：展开ISA管理控制台、阵列、配置、网络、网络、双击内部、单击web代理：如下图所示：

 

要是手动在每台客户机上设置、不用说工作量非常大

下面用GPO来分发下去

3）DC上设置

新建一条组策略，在此就做过多的讲解了

 

双击：代理设置、这里只设置了HTTP”这里应该用内部NLB  IP”

现在以域用户在客户机上登录、打开IE设置查看下：

以经起作用了，但这里只设置了一个HTTP所示没有出现ISA地址、单击高级

如果、选择对所有协议均使用相同的代理服务器、在上图地址和端口就不会是恢色的了

4）测试

 

可以访问外网

 

左边的是在ISA上的右边的是客户机上的，说明FTP访问不了，应该出现ISA拒绝访问才是的，但现在报错，不管他了，访问不了，说明策略生效

在客户机上登录QQ看

 

在QQ上设置好代理、单击、测试、工作正常说明可以上QQ了

二、 Secure NAT 客户端

1）将网关指向ISA的内网IP即可。结合DHCP服务器就更简单了，客户机网卡选择自动获得IP即可。

2）无任何限制、但没有DNS转发功能、不支持身份验证

三、防火墙客户端

1）需要在客户端上安装防火墙组件、可以通过组策略来分发、这就方便多

2）支持DNS转发、身份验证、无任何限制

客户端软件位于ISA光盘里

 

先把CLIENT文件夹复制到本地、共享出来！

3）在DC上打开组策略、这里就用刚才哪条来做。

 

右击——新建、程序包

 

在文件名里输入UNC路径：再点击、打开、就现上图：双击“MS_FWC.msi”弹出下图：

确定、经过测试分发给用户的，Domain Users的用户没权限安装、计算机是可以的、这怎么办、办法是有的、

打开给策略

在受限制的组里右击添加组：弹出下图

注意：这个不是域里的组、确定、

点击——添加——浏览找到 Domain users 组、确定

4 ）在客户机上打开 Power users 组属性、可以看到

 

 

 

单击——添加即可

默认不会自动检测到 ISA 服务器、需要手动、客户端太多手动工作量非常大、

下面用到WPAD来实现自动的

 

四、 WPAD

WPAD实现防火墙客户端自动检测ISA服务器

WPAD是Web Proxy Auto Discovery的缩写，意思是Web代理服务器自动发现。WPAD的目的是让浏览器、防火墙客户端自动发现代理服务器、这样用户无需知道哪台计算机是代理服务器、就可以轻松访问互联网。WPAD对管理员分担了不了工作量、

一、在ISA服务器上启用WPAD

展开ISA配置、网络、双击内部、弹出下图：

选择——自动发现、勾上“为此网络发布自动发现信息”此时ISA服务就在80端口上发布了、WPAD.DAT和WSPAD.DAT文件、DNS实现只能用80端口

客户机向DNS发出查询WPAD主机的80端口下载WPAD.DAT或WSPAD.DAT。WPAD.DAT可用于配置客户机浏览器，让浏览器自动发现代理服务器；WSPAD.DAT则用于配置客户机上的防火墙客户端自动发现代理服务器。测试一下

 

IE上自动勾上，自动检测设置

一、用DNS来实现

1）在DNS上创建一条WPAD别名记录指向ISA内网A记录

 

或创建条WPAD、A记录指向ISAIP也行、建议用别名“这么一步简单”

2）在客户端上打开防火墙客户端软件

 

立即检测——“阵列中的应该创建一条WPAD、A记录IP为内部的NLB 、IP”

但前提是要把网卡指向DNS

 

支持手工设置IP和DHCP分发

二、DHCP来实现“ISA可以在任意端口上发布WPAD、WSPAD“

在测试之前先把DNS里的WPAD别名删除

在DHCP上右击服务名

 

弹出下图：

单击添加——

名称：WPAD

数据类型：字符串

代码：252

——确定——弹出下图：

 

 

在字符串里输入： ”ISA1是指服务器、要是端口有改就可ISA1：跟端口“

阵列中应该用NLB、IP

单击——弹出下图

点击——确定

还要把DNS分配给客户端、因为需要DNS来解析名称到IP

完成！

 

补充:用ISA内部的 NLB的IP

三、WINS

在工作组环境下用WINS来完成方便一点

安装上WINS

打开WINS控制台

右击——新建静态映射

ISA 内部IP

——显示记录——在弹出一个向导单击——立即查找

哪么现在只要在客户端上指定WINS服务器就OK了！

或有DHCP分发下去！域环境不建议用WINS

 

转载于:https://blog.51cto.com/mcitp/133798