ISA2006实战系列之二:实战ISA三种客户端部署方案(下)

通过上期的学习,我们已经成功的在企业里部署了ISA的三种客户端,但是当我们部署完FireWall Client这种客户端或在部署Web Proxy客户端时选择“自动检测设置”项,它们并不能自动检测到ISA服务器(即代理服务器),那接下来我们就来学习下篇, 如何让我们的这两种客户端能自动检测到代理服务器
实际上如果能让这两种客户端自动检测到代理服务器,我们必须在ISA上启用WPAD功能(Web Proxy Auto Discovery,Web代理自动发现),启动这个功能,就意味着让WPAD这台主机(一般就是ISA服务器)提供两个配置文件(wpad.dat和wspad.dat)。同时让Web Proxy和Firewall Client这两种客户端想办法下载相对应的这两个文件,其中wpad.dat供Web Proxy客户端下载,然后由这个文件提供的相应信息帮助客户端找到代理服务器,wspad.dat供Firewall Client下载,然后由这个文件提供的相应信息帮助客户端找到代理服务器。
   而这两种客户端通过什么方式才能下载相对应的这两种文件呢? 可以通过DNS或DHCP服务器完成。
   可见我们如果要正确的实现这个操作,必须在ISA服务器和客户端分别来做设置。下面我们来看这个配置过程:
一、服务器的操作

启动WPAD功能,如图所示:配置--网络--内部,右击选属性。
如下图:
注意: 默认的端口是80,不修改它,意味着客户端只能通过DNS才能从WPAD主机下载配置文件。在这里我们先不修改端口。客户端我们先用DNS来发现WPAD主机并下载配置文件。
二、客户端的操作
一)利用DNS来发现代理服务器

在这里需要说明一下,如果在服务器端你启用WPAD后,在客户端我们利用 [url]http://10.1.1.1/wpad.dat[/url] 就能下载配置文件,如下图所示:
   但实际上客户端选择自动检测设置时,不是直接用IP去找,而是找wpad.contoso.com这台主机的80端口(在这里我们内部网络是域,域名contoso.com),而wpad.contoso.com的IP其实就是10.1.1.1,也就是我们的代理服务器的内网IP。因此我们必须想办法让我们内部的DNS能把wpad.contoso.com解析为10.1.1.1。
   补充: 如果你的Web Proxy或FireWall Client均是加入域的客户端,则利用它们利用DNS找的WPAD的主机名便是wpad.contoso.com这样的域名;但如果这两种客户端未加入域,建议通过DHCP修改这些客户端的域名后缀,这样通过DNS找的WPAD主机名也是和域内类似。否则就直接找WPAD这个名字了,这样通过DNS实现起来就不容易了。在这里我们讨论域环境。其它感兴趣的朋友可以留言。
   在这个案例中,Denver是我们的DNS服务器,我们打开DNS控制台(dnsmgmt.msc),具体操作如下:

单击后,在下面的对话框内输入ISA的IP地址等信息:
单击“添加主机”如下所示,我们就建立了一个wpad.contoso.com的A记录:
   我们打开Firewall client软件界面,并选择“自动检测到的ISA服务器”,单击“自动检测”如下所示:
可以看到:我们已经成功的联系到了WPAD服务器,并测试成功!!!

其实只要我们启用了WPAD功能并在配置好了DNS服务器后,再把客户端的DNS指向正确,这两种类型的客户端就会利用DNS把wpad.contoso.com主机解析为10.1.1.1,然后再到它的80端口下载相对应的配置文件,通过配置文件再联系到代理服务器。

(二)利用DHCP来发现代理服务器
利用DNS来发现代理服务器,只能使用80端口,但在某些场合,如ISA服务器上相应的Web站点占用了80端口,我们不得不改变WPAD的端口了,如下所示:
这样再利用DNS就不能下载配置文件了,那怎么办呢?我们只能利用DHCP服务器了。
在DHCP服务器里有一个252的选项,它可以实现我们这个功能。我们再把所有客户端配置成DHCP客户端,自动分发IP地址等信息,包括252选项信息。就可以了,见如下操作:
上述的创建过程,各位可以见上篇,此处就不再赘述了。接下来我们先新建DNS选项,如下所示:
单击“配置选项”,在下图中选中“006 DNS服务器”,输入正确的IP地址,单击“确定”。
最后如下:
接下来我们来新建一个252的选项,如下所示:
单击如下,选项“添加”,如下下图所示:
看这里,输入相应的名称及选择相应的数据类型,如下图:
单击“确定”,在“字符串”处写入正确的URL。
单击“确定”,完成252选项的定义。此时就可以配置这个选项了,如下:
单击后如下,选择“252 wpad ”,单击“确定”。
最后的配置选项如下图所示:
这样DHCP服务器就配置完了,再把客户端选择成“自动获得IP等”如下所示:
检查客户端成功的从DHCP获得相应的信息。如下:
再次打开FireWall客户端软件,选择“自动检测到ISA服务器”,单击“立即检测”发现已成功联系上了ISA服务器。测试成功~~!
三、补充说明:
1.如果你DHCP和DNS都启用的话,那么客户端会优先走DHCP。
2.如果你的ISA是加入域的客户端,那么你可以在对应的DNS里建一个CNAME记录:wpad.contoso.com指向ISA的主机记录即可。
3.如果你内网的客户端是工作组,你需要借助于DHCP服务器给所有的客户端添加DNS域名后缀,如contoso.com,这样你在内网搭建自己的DNS,再建contoso.com这个区域,在区域里建wpad这个主机记录就可以了,当然你需要把所有的客户端的DNS指向自己搭建的DNS。
在这里就不演示了,各位有什么问题可以留言。

本文出自 “千山岛主之微软技术空间站” 博客,转载请与作者联系!


你可能感兴趣的:(ISA,2006,三种客户端部署方案(下))