在本练习中,您将对两个 ISAServer 阵列进行配置以创建站点到站点 ××× 连接。

注意:本实验室练习使用以下计算机:Denver - Florence - Berlin - Istanbul
注意:在以下任务中,您将配置 ITALY 阵列以使用站点到站点 ××× 连接来与 GERMANY 阵列相连。此过程包含 6 个步骤,必须按照正确的顺序执行这些步骤。

  ● 步骤 1 – 使用 ISA Server 控制台配置 ××× 地址范围。
  ● 步骤 2 – 创建远程站点网络。
  ● 步骤 3 – 为远程站点网络创建网络规则。
  ● 步骤 4 – 为远程站点网络创建访问规则。
  ● 步骤 5 – 启用 ××× 客户端访问。
  ● 步骤 6 – 创建与远程站点网络同名的用户帐户。

在 Florence 计算机上执行以下步骤。
1. 在 Florence 计算机上,使用 ISA Server控制台配置 ××× 地址范围。
   IP 地址范围:  
Florence  - 10.3.1.1 - 10.3.1.100
   Firenze   - 10.3.1.101 -10.3.1.200              
   (步骤 1)
a. 在 Florence 计算机上,在 ISA Server 控制台的左窗格中,
    选择“虚拟专用网络(×××)”。
b. 在任务窗格的“任务”选项卡上,单击“定义地址分配”。
     ※如果在之前的练习中已经建立了 Florence 和Firenze 的 IP 地址范围,那么可以单击“取消”跳过此任务。
     ※如果阵列中包含多个 ISA Server,那么首先必须定义每个服务器的静态 IP 地址范围。
c. 在“虚拟专用网络(×××)属性”对话框的“地址分配”选项卡
   上,单击“添加”。
d. 在“服务器 IP 地址范围属性”对话框中,填写以下信息:
  ● 选择服务器:Florence
  ● 起始地址:10.3.1.1
  ● 结束地址:10.3.1.100
  然后单击“确定”。
     ※Florence 上的 ××× IP 地址是地址范围中的第一个IP 地址 (10.3.1.1)。
     ※注意:站点到站点 ××× 连接只要求每个站点一个 IP地址,不过远程访问 ××× 客户端也使用相同的 IP地址范围。
e. 在“地址分配”选项卡上,单击“添加”。
f. 在“服务器 IP 地址范围属性”对话框中,填写以下信息:
   ● 选择服务器:Firenze
   ● 起始地址:10.3.1.101
   ● 结束地址:10.3.1.200
  然后单击“确定”。
g. 单击“确定”以关闭“虚拟专用网络(×××)属性”对话框。
配置ISA Server以创建站点到站点××× 连接之一_第1张图片
2.创建远程站点网络:
  名称:Germany Site
  ××× 协议:PPTP
  连接所有者:Floren
  远程 ××× 服务器:39.1.1.8
  远程用户帐户:– 名称:Italy Site - 密码:password 4  IP 地址范围:10.2.1.0 - 10.2.1.255
  (步骤 2)
a. 在右窗格中,选择“远程站点”选项卡。
b. 在任务窗格的“任务”选项卡上,单击“添加远程站点网络”。
c. 在“新建站点到站点网络向导”对话框中的“网络名称”文本框中,键入 Germany Site,然后单击“下一步”。
   ※请认真选择网络名称。站点到站点 ××× 连接在“路由和远程访问”中将使用同名的请求拨号接口。这也要求拨入用户帐户使用相同的名称。
d. 在“××× 协议”页面上,选择“点到点隧道协议(PPTP)”,然后单击“下一步”。
     ※对于站点到站点 ××× 连接,ISA Server 2004 支持三种不同的 ××× 协议。此时将显示一个警告消息框,提醒您必须创建与网络名称同名的用户帐户。
e. 单击“确定”以关闭警告消息框。
f. 在“连接所有者”页面上的“选择连接所有者”列表框中,选择“Florence”,然后单击“下一步”。
     ※为避免两个站点之间分别建立两个 ××× 连接,必须选择一个连接所有者。如果启用 NLB 集成,则将自动管理连接所有者,因而不需要此步骤。
g. 在“远程站点网关”页面上的“远程 ××× 服务器名称或 IP地址”文本框中,键入 39.1.1.8,然后单击“下一步”。
    ※ 39.1.1.8 是 Berlin 的“外部”网络的 IP 地址。
    ※如果在远程站点上启用 NLB,则必须在此指定 NLB虚拟 IP 地址。
h. 在“远程身份验证”页面上,填写以下信息:
  ● 本地站点可以发动与远程站点的连接:启用
  ● 用户名:Italy Site
  ● 域:(留空)
  ● 密码:password 4
  ● 确认密码:password 4
  然后单击“下一步”。
    ※Florence 使用这些凭据来创建与 Berlin 上的“ItalySite”网络的 ××× 连接。本练习稍后将创建“Italy Site”网络。

i. 在“网络地址”页面上,单击“添加范围”。
j. 在“IP 地址范围属性”对话框中,填写以下信息:
  ● 起始地址:10.2.1.0
   ● 结束地址:10.2.1.255
  然后单击“确定”。
     ※IP 地址范围与 Berlin 的“内部”网络的 IP 地址匹配。
     ※注意:在 ISA Server 2004 Enterprise Edition 中,为了轻松地管理 IP 地址范围,您可以为每个办事处定义“企业网络”,并使用它在该对话框中指定地址范围。
配置ISA Server以创建站点到站点××× 连接之一_第2张图片
k. 在“网络地址”页面上,单击“下一步”。
l. 在“正在完成新建网络向导”页面上,单击“完成”。
     ※片刻之后,将出现一个警告消息框。由于 Firenze 不可用,ISA Server 控制台无法验证其配置。如果 ISA服务器处于域中,则计算机帐户将添加到“RAS 和IAS 服务器”组中。
m. 单击“确定”以关闭警告消息框。
     ※此时建立了名为“Germany Site”的新的远程站点。ISAServer 还启用系统策略规则 13(至 ISA Server 的××× 站点到站点通讯)和系统策略规则 14(来自 ISAServer 的 ××× 站点到站点通讯)。
配置ISA Server以创建站点到站点××× 连接之一_第3张图片
3.考察“Germany Site”属性。
a. 在右窗格中,右键单击“Germany Site”,然后单击“属性”。
b. 在“Germany Site”对话框中,选择“连接”选项卡。
     ※您可以指定多长时间以后自动断开不活动的 ××× 连接。默认值为“从不”。
     ※远程网关 IP 地址为 39.1.1.8。
配置ISA Server以创建站点到站点××× 连接之一_第4张图片
c. 选择“远程 NLB”选项卡。
     ※在远程站点上启用 NLB 时,指定 NLB 虚拟 IP 地址作为远程网关 IP 地址。最初的 ××× 连接将连接到此 IP 地址。不过,将从远程站点上某个专用的 IP 地址建立 ××× 隧道。您必须在此选项卡上指定这些专用的 IP 地址。
d. 单击“取消”以关闭“Germany Site 属性”对话框。

4.考察 ××× 访问网络。
a. 在任务窗格的“任务”选项卡上,单击“选择访问网络”。
     ※注意:即使新的“Germany Site”网络作为现有网络列出,也不要将网络启用为 ×××访问网络。××× 站点到站点连接将从“外部”网络建立。
b. 单击“取消”以关闭“虚拟专用网络(×××)属性”对话框。
配置ISA Server以创建站点到站点××× 连接之一_第5张图片
5.创建新的网络规则
名称:Germany Site访问
源网络: Germany Site
目标网络:内部
关系:路由
(步骤 3)

a. 在左窗格中,选择“网络”。
b. 在右窗格中,选择“网络规则”选项卡。
c. 选择第一个网络规则以指定新的网络规则添加到列表中的
   位置。
     ※注意:本地主机访问网络规则始终位于最前面。新的网络规则将位列其后。
d. 在任务窗格的“任务”选项卡上,单击“创建网络规则”。
e. 在“新建网络规则向导”对话框中的“网络规则名称”文本框中,键入“Germany Site 访问”。
f. 在“网络通讯源”页面上,单击“添加”。
g. 在“添加网络实体”对话框中,
   ● 依次单击“网络”、“Germany Site”和“添加”,
   然后单击“关闭”以关闭“添加网络实体”对话框。
配置ISA Server以创建站点到站点××× 连接之一_第6张图片
h. 在“网络通讯源”页面上,单击“下一步”。
i. 在“网络通讯目标”页面上,单击“添加”。
j. 在“添加网络实体”对话框中,
   ● 依次单击“网络”、“内部”和“添加”,
   然后单击“关闭”以关闭“添加网络实体”对话框。
k. 在“网络通讯目标”页面上,单击“下一步”。
l. 在“网络关系”页面上,选择“路由”,然后单击“下一步”。
m. 在“正在完成新建网络规则向导”页面上,单击“完成”。
     ※此时建立了名为“Germany Site 访问”的网络规则。远程站点网络与“内部”网络的关系为“路由”。
配置ISA Server以创建站点到站点××× 连接之一_第7张图片
6. 创建新的访问规则。
   名称:允许站点:Germany 至内部网络
   应用于:所有通讯
   源网络:Germany Site
   目标网络:内部
   (步骤 4)
a. 在左窗格中,选择“防火墙策略(ITALY)”。
b. 在右窗格中,选择第一个规则,以指示新规则将添加到规则列表中的位置。
c. 在任务窗格的“任务”选项卡上,单击“创建阵列访问规则”。
d. 在“新建访问规则向导”对话框中的“访问规则名称”文本框中,键入“允许站点:Germany 至内部网络”,然后单击“下一步”。
e. 在“规则操作”页面上,单击“允许”,然后单击“下一步”。
f. 在“协议”页面上的“此规则应用到”列表框中,选择“所有出
   站通讯”,然后单击“下一步”。
g. 在“访问规则源”页面上,单击“添加”。
h. 在“添加网络实体”对话框中,
   ● 依次单击“网络”、“Germany Site”和“添加”,
   然后单击“关闭”以关闭“添加网络实体”对话框。
i. 在“访问规则源”页面上,单击“下一步”。
j. 在“访问规则目标”页面上,单击“添加”。
k. 在“添加网络实体”对话框中,
   ● 依次单击“网络”、“内部”和“添加”,
   然后单击“关闭”以关闭“添加网络实体”对话框。
l. 在“访问规则目标”页面上,单击“下一步”。
m. 在“用户集”页面上,单击“下一步”。
n. 在“正在完成新建访问规则向导”页面上,单击“完成”。
     ※此时建立了一个新的防火墙策略规则,该规则允许从“Germany Site”网络上的客户端到“内部”网络的所有网络通讯。
配置ISA Server以创建站点到站点××× 连接之一_第8张图片
7.创建另一个访问规则(上一规则的反向)
  名称:允许站点:内部网络至 Germany
  应用于:所有通讯
  源网络:内部
  目标网络:Germany Site

a. 在右窗格中,选择第一个规则,以指示新规则将添加到规则列表中的位置。
b. 在任务窗格的“任务”选项卡上,单击“创建阵列访问规则”。
c. 在“新建访问规则向导”对话框中的“访问规则名称”文本框中,键入“允许站点:内部网络至 Germany”,然后单击“下一步”。
d. 在“规则操作”页面上,单击“允许”,然后单击“下一步”。
e. 在“协议”页面上的“此规则应用到”列表框中,选择“所有出站通讯”,然后单击“下一步”。
f. 在“访问规则源”页面上,单击“添加”。
g. 在“添加网络实体”对话框中,
   ● 依次单击“网络”、“内部”和“添加”,
   然后单击“关闭”以关闭“添加网络实体”对话框。
h. 在“访问规则源”页面上,单击“下一步”。
i.在“访问规则目标”页面上,单击“添加”。
j. 在“添加网络实体”对话框中,
   ● 依次单击“网络”、“Germany Site”和“添加”,
  然后单击“关闭”以关闭“添加网络实体”对话框。
k. 在“访问规则目标”页面上,单击“下一步”。
l. 在“用户集”页面上,单击“下一步”。
m.在“正在完成新建访问规则向导”页面上,单击“完成”。
     ※此时建立了一个新的防火墙策略规则,该规则允许从 “内部”网络上的客户端到“Germany Site”网络的所有网络通讯。
配置ISA Server以创建站点到站点××× 连接之一_第9张图片
8.启用 ××× 客户端访问。
  (步骤 5)

a. 在左窗格中,选择“虚拟专用网络(×××)”。
b. 在右窗格中,选择“××× 客户端”选项卡,然后在任务窗格的“任务”选项卡上,单击“启用 ××× 客户端”。
     ※ISA Server 将远程站点网关视为通用的远程访问客户端。
c. 单击“确定”以确认“路由和远程访问”服务已重新启动。
     由于 Firenze 不可用,片刻之后将显示一条警告消息。
d. 单击“确定”以关闭警告消息框。

9. 应用 ××× 配置。
a. 在 ISA Server 控制台中,单击“应用”以应用 ××× 配置,然后单击“确定”。等待,直到 CSS 状态变为“已同步”。
     ※此步骤将在 ISA Server 上配置和启用 ××× 连接,并配置和启动 ISA Server 计算机上的“路由和远程访问”服务。
等待 30 秒,ISA Server 将配置和启动“路由和远程访问”服务,然后执行下面的任务。

10. 考察“路由和远程访问”控制台的配置。
a. 在“开始”菜单上,单击“管理工具”,然后单击“路由和远程访问”。
b. 展开“FLORENCE(本地)”,然后选择“网络接口”。
     ※此时 ISA Server 创建了一个名为“Germany Site”的新的请求拨号接口。
c. 在右窗格中,右键单击“Germany Site”,然后单击“属性”。
     ※请求拨号接口的目标 IP 地址为 39.1.1.8。
配置ISA Server以创建站点到站点××× 连接之一_第10张图片
d. 选择“选项”选项卡。
     ※××× 连接并不是持续型连接。这表明,当“路由和远程访问”服务启动时,连接不会自动启动。但是在使用请求拨号静态路由时,连接将启动。
e. 单击“取消”以关闭“Germany Site 属性”对话框。
f. 在左窗格中,展开“IP 路由”,然后选择“静态路由”。
     ※ISA Server 为“Germany Site”网络上的所有 IP 地址 (10.2.1.1 - 10.2.1.255) 配置了请求拨号静态路由。
g. 在右窗格中,右键单击任意请求拨号静态路由,然后单击 “属性”。
    ※请注意,此路由中的任意目标地址均可发动与“Germany Site”网络的请求拨号连接。
h. 单击“取消”以关闭“静态路由”对话框。
i. 关闭“路由和远程访问”控制台。

11. 创建新的用户帐户:
    名称:Germany Site
    密码:password 5
    拨入:允许访问
     (步骤 6)
a. 在“开始”菜单上,单击“管理工具”,然后单击“计算机管
    理”。
b. 在“计算机管理”控制台的左窗格中,展开“本地用户和组”,
   然后选择“用户”。
c. 右键单击“用户”,然后选择“新建用户”。
d. 在“新建用户”对话框中,填写以下信息:
   ●用户名:Germany Site
   ● 密码:password 5
   ● 确认密码:password 5
   ● 用户下次登录时须更改密码:禁用
   ● 密码永不过期:启用
   然后单击“创建”。
      ※此时建立了名为“Germany Site”的新的用户帐户。
e. 单击“关闭”以关闭“新建用户”对话框。
f. 在右窗格中,右键单击“Germany Site”,然后单击“属性”。
g. 在“Germany Site 属性”对话框中的“拨入”选项卡上,选择“允许访问”,然后单击“确定”。
h. 关闭“计算机管理”控制台。
     ※ Berlin 使用“Germany Site”用户帐户创建与 Florence的 ××× 连接。拨入凭据和请求拨号接口采用相同的名称可以确保“路由和远程访问”不会试图分别使用两个独立的 ××× 连接传入和传出网络通讯。
     ※ 注意:如果必要,您还必须在 Firenze 上创建相同的用户帐户,以便 Firenze 也可以作为 ××× 连接所有者。