整合ISA2006和OCS2007边缘服务器(二)

在上一篇中，我已经把OCS边缘服务器(ISA)和OCS前端服务器的基本配置做好了，外部web场也设置了，协议也建了，那现再剩下的工作就是创建防火墙规则了

拓扑图还是要贴上的                                                                                                                                                                  

 

根据下面这个整理出来的方向和端口，来创建访问规则就轻松多了，前面建好的协议OCS已经包含除TCP443和TCP53外所有端口

规则名称	端口	协议	源	目标
外部(internet)--OCS边缘服务器(ISA)	出站TCP5061.444.446.50000-59999，UDP3478.50000-59999	OCS	外部	本地主机
OCS前端服务器--OCS边缘服务器(ISA)	出站TCP5061.8057.443.5062，UDP3478	OCS、HTTPS	OCSServer	本地主机
OCS边缘服务器(ISA)--OCS前端服务器	出站TCP5061	OCS	本地主机	OCSServer
OCS边缘服务器(ISA)--DC(DNS)	出站TCP53	DNS	本地主机	DNSServer

一、 首先创建外部(internet)--OCS边缘服务器(ISA)的访问规则

1.新建访问规则

2.自定义规则名称

3.选择<允许>

4.选择<所选的协议>，添加自建的<OCS>协议

5.访问<源>选择<外部>

6.访问<目标>选择<本地主机>

7.选择<所有用户>

8.完成

       

二、接下来创建OCS前端服务器--OCS边缘服务器(ISA)的访问规则

1.新建访问规则（重复的图我就不贴了）

2.自定义规则名称

3.选择<允许>

4.选择<所选的协议>，添加自建的<OCS>协议

注意OCS前端到OCS边缘需要访问443端口，OCS协议中没包括443端口，所以这里我添加HTTPS协议就可以了

5.访问<源>选择自定义好的<OCSServer>

6.访问<目标>选择<本地主机>

7.选择<所有用户>

8.完成

 

三、然后创建OCS边缘服务器(ISA)--OCS前端服务器的访问规则

1.新建访问规则（重复的图我就不贴了）

2.自定义规则名称

3.选择<允许>

4.选择<所选的协议>，添加自建的<OCS>协议

5.访问<源>选择<本地主机>

6.访问<目标>选择自定义好的<OCSServer>

 

7.选择<所有用户>

8.完成

 

四、最后创建OCS边缘服务器(ISA)--DC(DNS)的访问规则

1.新建访问规则（重复的图我就不贴了）

2.自定义规则名称

3.选择<允许>

4.选择<所选的协议>，协议类型是<DNS>

5.访问<源>选择<本地主机>

6.访问<目标>选择自定义好的<DNSServer>

 

7.选择<所有用户>

8.完成

到这里全部访问规则就创建好了，把规则应用一下，现再OC、LiveMeeting、视频会议都没问题，但是白板是不能用的，原因是我们还没发布那3个URL呢。

那我们来创建发布规则吧，这里怎么又是发布规则了呢？原因很简单，OCS前端服务器在内网，ISA<内部>和<外部>的网络关系是NAT，NAT是单向的，从<内部>的<外部>的规则应该创建<访问规则>，那从<外部>到<内部>就应该创建<发布规则>了

在创建发布规则之前，还有个事要做，就是新建一个Web侦听器，来侦听443端口

 

五、新建Web侦听器

1.在ISA<工具箱><网络对象>新建Web侦听器

2.自定义Web侦听器名称

3.选择<需要与客户端建立SSL安全连接>

4.选择<外部>

5.选择证书（选择从OCS前端服务器导过来的那张）

6.选择没有身份验证

那3个URL是其实有身份验证的，但这里我不用Web侦听器来获取客户端凭据

7.完成

六、创建发布规则

1.新建<网站发布规则>

2.自定义发布规则名称

3.选择<允许>

4.选择<发布单个网站>

5.选择<使用SSL连接到发布的Web服务器>

6.输出内部站点的名称（注意和内部前端服务器IIS证书上的名称要一致）

前面ISA不创建访问内部DNS那条规则，是解析不到这个域名的

7.</*>表示发布网站下面所有目录

8.指定外部用户请求的域名

注意那三个URL地址都是用pool.fuji.cn请求的哦

9.选择刚刚创建好的Web侦听器

10.选择委派方式

这里一定要选择<无委派，但是客户端可以直接进行身份验证>，因为刚刚我创建Web侦听器的时候没并没有委派ISA去验证客户端，但那3个URL地址确是有身份验证的，所以这里我让客户端直接穿过ISA到后端去验证

11.选择<所有用户>

12.完成

到这里，所有的防火墙规则都创建好了，别忘了应用规则

 

七、验证结果

来到外部客户端

1.先在hosts文件中新建2条A纪录，模拟公网DNS，这两条纪录指向ISA的外网卡

2.导入CA根证书（很重要，别漏了！）

3.配置OC登录信息（名称一定要和证书一致哦！）

4.外部用户和内部用户互发即时消息（验证成功！）

  

5.用LiveMeeting召开会议

 

 

6.测试白板（验证成功！）

7.测试A/V视频会议（验证成功！）

   

 

呼！！！终于完成了，图好多，希望对大家有所帮助！

 

tenghua303

1人

了这篇文章

类别： ISA┆阅读( 0)┆评论( 0) ┆ 返回博主首页┆ 返回博客首页

上一篇 整合ISA2006和OCS2007边缘服务器(一) 下一篇 Windows Server 2003 R2域控制器全面迁移至Win..