ISA 2006 如何启用WPAD自动发现模式

     ISA 2006 如何启用WPAD自动发现模式

 

     WPAD 是 Web Proxy AutoDiscovery Protocol 的缩写 , 意思是 WEB 代理自动发现协议 , 要想让此协议发挥功效我们必须借助于 DNS DHCP 服务 , 客户端借助 DNS 查询 DHCP 分发得到 IP 地址来确认 WPAD 服务器 (ISA SERVER) 是谁 , 而 WPAD 服务器通过内置的 2 个自动配置脚本为客户端的浏览器 (IE) 做设置 , 这 2 个脚本分别为 wpad.dat( 供 WEB 代理使用 ) 另外的是 wspad.dat( 供防火墙客户端使用 ),

  现在企业中使用 ISA 服务作为前端防火墙的比较多 , 相比较而言 , 企业中使用 WEB PROXY 比较多 , 原因是部署简单 , 易操作 , 完全能满足企业的需求 , 今天我在这里着重介绍 WEB 代理

  先说一下实验环境 ,

 Virtual Server 2005 R2 Enterprise

 

1 ISA 2006   ISA 服务器    

2 AD        域控制器

Client 1      域客户端

Client 2      工作组

  实验目的

  利用组策略部署 WPAD, 测试通过身份验证访问网络资源

  相信大家对装 ISA ,AD 部署步骤应该比我熟悉 , 在这里我就不多介绍了 ,

  首先在 Active Directory 用户和计算机上添加 , 销售部 OU, 销售部内添加用户 zs( 张三 )

有时候为了工作方便我们都会建立一个通用用户 , 目的是为了方便外来人员或非域用户访问企业内一些无关紧要而必不可少的资源 , 比如打印机 , 非涉密文档 , 在这里我添加的用户是为 WEB 代理做准备 , 不过一定要注意此账号密码一定是永不过期 , 因为默认的域密码策略 , 密码过期为 42 天

通用账号为 test\test

下面建立一条ISA 访问策略,策略为 内部访问外部WEB

选择访问 WEB 容器内的内容

访问规则源为 本地主机 , 内网 --> 外部

 

  在这里要注意的是 , 不能选择所有用户 , 原因是选择所有用户 , 这条策略就毫无意义了 , 基于一些奇怪的理由在企业内总有些部门和用户是不能访问外部网络 , 为了更好的管控企业网络流量和访问控制 , 我们必须在访问上做些限制 , 为了体现出效果 , 在这里我选择 Domain Users 为访问条件 , 做这条策略 , 换句话说你必须是域用户才能访问外网 , 否则想浏览外部网页门都没有 !

 在 DNS 添加 WPAD 记录 , 打开 DNS, 右键填加别名记录 ,

别名为     wpad

FQDN为 wpad.test.com,

目标主机为ISA服务器 1ISA.test.com

打开 DHCP, 在服务器名称上右键选择 : 设置预定义的选项

 名称 : WPAD, 数据类型 : 字符串 , 代码 :252, 描述 :WPAD

字符串 :[url]http://1ISA.test.com[/url] 8080/wpad.dat

配置选项 , 选择 252 WPAD

安装 GPMC 组策略控制台

新建一条 ISA Server WEB Proxy Policy 策略进行编辑

选择用户配置下的 IE 维护连接选项

在代理设置内填写 1ISA.test.com 端口为 8080

 将编辑好的策略拖拉到你想要控制的部门 OU 上按确定

选择强制

查看策略是否正确

确认完毕后不要忘记策略刷新

接下来我们到 Client1 上测试这台电脑是否符合实验目的

首先看一下登陆环境 , 确认是否是域客户端及登陆账号是否正确

IE-> 属性 -> 连接 -> 局域网设置 , 查看是否已经得到域策略 , 确定准确无误后打开 IE 访问外网 WEB

 接下来查看 Client 2 是否符合实验要求 , Client 2 是一台工作组计算机 , 相关的 IP 是从 2AD 服务器上的 DHCP 抓取到的 , 因为已经 DHCP 已经做了 WPAD 的设置 , 只要 DHCP 不宕机， Client 2 是应该能得到 WPAD 的运行脚本的

 打开 IE 输入想要访问的网址 , 这时候你会看见对话框 , 这个对话框也就是要求验明身份的对话框 , 在用户不知道公用帐户和密码的时候应该是访问不了外部网站的 , 在此要提醒各位的是 , 为了避免产生其他麻烦一定要注意保管好企业公用账号 , 否则你根本无法管控你的员工 !