用ISA2006搭建***服务器：ISA2006系列之二十

用 ISA2006 搭建 *** 服务器

***服务器在目前的网络中应用得越来越广泛，正在成为企业网络中不可或缺的角色，如何才能创建出自己的***服务器？怎么才能管理好***服务器？从今天起我们将组织一个***专题，系统地为大家介绍***服务器的配置和管理，内容包括***服务器的单点拨入，站点到站点的***，***用户隔离，***结合Radius验证，***接合智能卡和证书等。今天先就为大家介绍一下如何利用ISA2006来搭建一个自己的***服务器。

***是虚拟专用网络的缩写，属于远程访问技术，简单地说就是利用公网链路架设私有网络。例如公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢？***的解决方法是在内网中架设一台***服务器，***服务器有两块网卡，一块连接内网，一块连接公网。外地员工在当地连上互联网后，通过互联网找到***服务器，然后利用***服务器作为跳板进入企业内网。为了保证数据安全，***服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，我们可以认为数据是在一条专用的数据链路上进行安全传输，就好像我们专门架设了一个专用网络一样。但实际上***使用的是互联网上的公用链路，因此只能称为虚拟专用网。这下您肯定明白了，***实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了***技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用***非常方便地访问内网资源，这就是为什么***在企业中应用得如此广泛。上述介绍的***应用属于***用户的单点拨入，***还有一种常见的应用是在两个内网之间架设站点到站点的***，我们今天先介绍如何创建单点拨入的***，站点到站点的***架设我们在后续博文中介绍。

实验拓扑如下，Denver是内网的域控制器，DNS服务器，CA服务器，Beijing是ISA2006服务器，Istanbul模拟外网的客户机。

 

ISA2006调用了Win2003中的路由和远程访问组件来实现***功能，但我们并不需要事先对ISA服务器上的路由和远程访问进行配置，ISA2006会自动实现对路由和远程访问的调用。我们先来看看ISA2006如果要实现***功能需要进行哪些设置？

一 定义 *** 地址池

配置***服务器的第一步就是为***用户分配一个地址范围，这里有个误区，很多人认为既然要让***用户能访问内网资源，那就给***用户直接分配一个内网地址就行了。例如本次实验的内网地址范围是10.1.1.1－10.1.1.254，那***用户的地址池就放在10.1.1.100－10.1.1.150吧。如果你的***服务器是用Win2003的路由和远程实现的，那这么做是可以的，路由和远程访问本身就只提供了***的基本功能，对地址管理并不严格。但这么做在ISA上是不可以的，因为ISA是基于网络进行管理的！内网是一个网络，***用户是另一个网络，两个网络的地址范围是不能重叠的！虽然我们使用DHCP技术可以使***用户也获得内网地址，但绝不推荐这么做！因为在后期的管理中我们会发现，把***用户放到一个单独的网络中，对管理员实现精确控制是非常有利的，管理员可以单独设定***用户所在网络与其他网络的网络关系，访问策略，如果把***用户和内网用户混在一起，就享受不到这种管理的便利了。因此直接给***用户分配内网地址并不可取，我们本次实验中为***用户设置的地址池是192.168.100.1－192.168.100.200，虽然这个地址范围和内网大不相同，但不用担心，ISA会自动在两个网络之间进行路由。

如下图所示，在ISA服务器中定位到虚拟专用网络，点击右侧任务面板中的“定义地址分配”。

 

分配地址可以使用静态地址，也可以使用DHCP，在此我们使用静态地址池来为***用户分配地址，点击添加按钮，为***用户分配的地址范围是192.168.100.1－192.168.100.200，如下图所示。

 

二 配置 *** 服务器

设置好了***地址池后，我们来配置***服务器的客户端设置。如下图所示，点击虚拟专用网络右侧任务面板中的“配置***客户端访问”。在常规标签中，我们勾选“启用***客户端访问”，同时设置允许最大的***客户端数量为100.，注意***客户端的最大数量不能超过地址池中的地址数。

 

切换到***客户端属性的“组”标签，配置允许远程访问的域组，一般情况下，管理员会事先创建好一个允许远程访问的组，然后将***用户加入这个组，本次实验中我们就简单一些，直接允许Domain Users组进行远程访问。

 

接下来选择***使用的隧道协议，默认选择是PPTP协议，我们把L2TP也选择上。设置完***客户端访问后，我们应重启ISA服务器，让设置生效。

 

重启ISA服务器之后，如下图所示，我们发现ISA服务器的路由和远程访问已经自动启动了。

 

三 网络规则

想让***用户访问内网，一定要设置网络规则和防火墙策略，ISA默认已经对网络规则进行了定义，如下图所示，从***客户端到内网是路由关系，这意味着***客户端和内网用户互相访问是有可能的。

 

四 防火墙策略

既然网络规则已经为***用户访问内网开了绿灯，那我们就可以在防火墙策略中创建一个访问规则允许***用户访问内网了。当然，如果需要的话，也可以在访问规则中允许内网访问***用户。如下图所示，在防火墙策略中选择新建“访问规则”。

 

为访问规则取个名字。

 

当访问请求匹配规则时允许操作。

 

此规则可以应用到所有的通讯协议。

 

规则的访问源是***客户端网络。

 

访问规则的目标是内网。

 

此规则适用于所有用户。

 

完成向导，好了，现在ISA已经允许***用户拨入了。

 

五   用户拨入权限

最后一步不要忘记，域用户默认是没有远程拨入权限的，我们准备以域管理员的身份拨入，如下图所示，在Active Directory用户和计算机中打开administrator的属性，切换到“拨入”标签，如下图所示，设置拨入权限为“允许访问”。

 

好，至此为止，***服务器已经配置完毕了，接下来我们用客户机来测试一下，看看能够通过***服务器拨入内网。ISA支持PPTP和L2TP两种隧道协议，今天我们在客户机上先对PPTP协议进行测试。

在Istanbul客户机上打开网上邻居的属性，如下图所示，点击新建连接向导。

 

出现新建连接向导，点击下一步。

 

网络连接类型选择“连接到我的工作场所的网络”。

 

选择创建“虚拟专用网络连接”。

 

在***连接中输入公司名称。

 

输入***服务器的域名或外网IP，此例中我们使用域名，注意此域名应该解析到ISA的外网IP，192.168.1.254.。

 

选择此连接“只是我使用”，点击下一步后结束连接向导创建。

 

双击执行刚创建出来的***连接，如下图所示，输入用户名和密码，点击“连接”。

 

输入的用户名和口令通过了身份验证，***连接成功，查看***连接的属性，如下图所示，我们可以看到当前使用的隧道协议是PPTP，***客户机分配到的IP地址是192.168.100.4，地址池中的第一个地址总是保留给***服务器，这个地址被成为隧道终点，也是***用户连接内网所使用的网关。

 

既然***用户已经通过***服务器进行了拨入，看看能否访问内网的服务器资源，如下图所示，在Istanbul上可以成功访问内网的Exchange服务器，***拨入成功！

今天我们只是搭建了一个简单的***服务器，测试了一下客户机使用PPTP协议进行拨入，在后续的博文中我们将以今天的环境为基础，把***的应用推向深入。