ISA 2006 如何启用WPAD自动发现模式

ISA 2006 如何启用WPAD自动发现模式

     WPAD是Web Proxy AutoDiscovery Protocol的缩写,意思是WEB代理自动发现协议,要想让此协议发挥功效我们必须借助于DNS DHCP服务,客户端借助DNS查询DHCP分发得到IP地址来确认WPAD服务器(ISA SERVER)是谁,而WPAD服务器通过内置的2个自动配置脚本为客户端的浏览器(IE)做设置,这2个脚本分别为wpad.dat(供WEB代理使用)另外的是wspad.dat(供防火墙客户端使用),

现在企业中使用ISA服务作为前端防火墙的比较多,相比较而言,企业中使用WEB PROXY比较多,原因是部署简单,易操作,完全能满足企业的需求, 今天我在这里着重介绍WEB 代理

先说一下实验环境,

Virtual Server 2005 R2 Enterprise

1 ISA 2006 ISA服务器

2 AD 域控制器

Client 1 域客户端

Client 2 工作组

实验目的

利用组策略部署WPAD,测试通过身份验证访问网络资源

相信大家对装ISA ,AD部署步骤应该比我熟悉,在这里我就不多介绍了,

首先在Active Directory用户和计算机上添加,销售部OU,销售部内添加用户 zs(张三)

有时候为了工作方便我们都会建立一个通用用户,目的是为了方便外来人员或非域用户访问企业内一些无关紧要而必不可少的资源,比如打印机,非涉密文档,在这里我添加的用户是为WEB代理做准备,不过一定要注意此账号密码一定是永不过期,因为默认的域密码策略,密码过期为42天

通用账号为test\test

下面建立一条ISA 访问策略,策略为 内部访问外部WEB

选择访问WEB容器内的内容

访问规则源为 本地主机,内网-->外部

  在这里要注意的是,不能选择所有用户,原因是选择所有用户,这条策略就毫无意义了,基于一些奇怪的理由在企业内总有些部门和用户是不能访问外部网络,为了更好的管控企业网络流量和访问控制,我们必须在访问上做些限制,为了体现出效果,在这里我选择Domain Users为访问条件,做这条策略,换句话说你必须是域用户才能访问外网,否则想浏览外部网页门都没有!

在DNS添加WPAD记录,打开DNS,右键填加别名记录,

别名为    wpad

FQDN为 wpad.test.com,

目标主机为ISA服务器 1ISA.test.com

打开DHCP,在服务器名称上右键选择:设置预定义的选项

名称: WPAD,数据类型:字符串,代码:252,描述:WPAD

字符串:[url]http://1ISA.test.com[/url] 8080/wpad.dat

配置选项,选择252 WPAD

安装GPMC组策略控制台

新建一条 ISA Server WEB Proxy Policy策略进行编辑

选择用户配置下的 IE维护连接选项

在代理设置内填写1ISA.test.com端口为8080

将编辑好的策略拖拉到你想要控制的部门OU上按确定

选择强制

查看策略是否正确

确认完毕后不要忘记策略刷新

接下来我们到Client1上测试这台电脑是否符合实验目的

首先看一下登陆环境,确认是否是域客户端及登陆账号是否正确

IE->属性->连接->局域网设置,查看是否已经得到域策略,确定准确无误后打开IE访问外网WEB

接下来查看Client 2是否符合实验要求, Client 2是一台工作组计算机,相关的IP是从 2AD服务器上的DHCP抓取到的,因为已经DHCP已经做了WPAD的设置,只要DHCP不宕机，Client 2是应该能得到WPAD的运行脚本的

打开IE输入想要访问的网址,这时候你会看见对话框,这个对话框也就是要求验明身份的对话框,在用户不知道公用帐户和密码的时候应该是访问不了外部网站的,在此要提醒各位的是,为了避免产生其他麻烦一定要注意保管好企业公用账号,否则你根本无法管控你的员工!

本文出自 51CTO.COM技术博客