将 ISA Server 计算机设定为 DHCP 服务器

微软KB库
概观
在某些组态中，您可能想要在 DHCP 服务器上安装 Microsoft Internet Security and Acceleration (ISA) Server 2004。本文件探讨在这样的案例下进行设定时所可能会遇到的问题。

建立 DHCP 规则
根据预设，当在 DHCP 服务器上安装 ISA Server 时，DHCP 服务器不会回显请求。若要让 DHCP 服务器能够运作，必须建立下列规则：
•规则 1：能让 DHCP 将来自 DHCP 客户端网络上提出的要求送到本机主机网络上。
•规则 2：允许 DHCP 由本机主机网络回复到 DHCP 客户端网络上。

允许 DHCP (要求) 通讯协议
在这个程序中，DHCP 客户端位于内部网络中。若要允许 DHCP (要求) 通讯协议，请使用下列步骤：
1.在 ISA Server Management 的防火墙原则节点上，于 [防火墙原则] 上按下右键，指向 [新增]，然后单击 [存取规则]。
2.在新增存取规则精灵中，输入规则名称。例如：允许 DHCP 要求。然后单击 [下一步]。
3.在 [规则动作] 页面中，单击 [允许]。然后单击 [下一步]。
4.在 [通讯协议] 页面的 [这个规则套用到] 中，单击 [选取的通讯协议]。然后单击 [新增]。
5.在 [新增通讯协议] 中的 [所有通讯协议] 上，单击 [DHCP (要求)]。单击 [新增]，再单击 [关闭]，然后再单击 [下一步]。
6.在 [存取规则来源] 页面上，单击 [新增]。
7.在 [新增网络实体] 的 [网络] 区段中，单击 [内部]。单击 [新增]，再单击 [关闭]，然后再单击 [下一步]。
8.在 [存取规则目的地] 页面上，单击 [新增]。
9.在 [新增网络实体] 的 [网络] 区段上，单击 [本机主机]。单击 [新增]，再单击 [关闭]，然后再单击 [下一步]。
10.在 [使用者组] 页面上，默认值选择的是 [所有使用者]。单击 [下一步]，然后再单击 [完成]。

允许 DHCP (回复) 通讯协议
在这项程序中，DHCP 客户端位于内部网络中。若要允许 DHCP (回复) 通讯协议，使用下列步骤。
1.在 ISA Server Management 的防火墙原则节点中，于 [防火墙原则] 上右键单击，指向 [新增]，然后再单击 [存取规则]。
2.在新增存取规则精灵中，输入规则名称。例如：允许 DHCP 回复。然后单击 [下一步]。
3.在 [规则动作] 页面上，单击 [允许]。然后单击 [下一步]。
4.在 [通讯协议] 页面的 [这个规则套用到] 中，单击 [选取的通讯协议]。然后单击 [新增]。
5.在 [新增通讯协议] 的 [所有通讯协议] 区段上，单击 [DHCP (回复)]。单击 [新增]，再单击 [关闭]，然后再单击 [下一步]。
6.在 [存取规则来源] 页面上，单击 [新增]。
7.在 [新增网络实体] 的 [网络] 上，单击 [本机主机]。单击 [新增]，再单击 [关闭]，然后再单击 [下一步]。
8.在 [存取规则目的地] 页面上，单击 [新增]。
9.在 [新增网络实体] 的 [网络] 区段中，单击 [内部]。单击 [新增]，再单击 [关闭]，然后再单击 [下一步]。
10.在 [使用者组] 页面上，默认值是选择 [所有使用者]。单击 [下一步]，然后再单击 [完成]。

DHCP 要求规则排序
DHCP 要求的目的地是一种广播地址。ISA Server 在广播流量上不执行名称解析，而是拒绝它。如果有一条允许或拒绝规则符合 DHCP 要求并需要名称解析，而且它的排序比你所建立的 DHCP 要求规则还高时，可能会拒绝 DHCP 的流量。

需要名称解析的规则中不是包括了一个域名集，要不就是在目的地条件中的 URL 集。注意，如果在规则中有其他条件无法符合 DHCP 要求，就不会产生冲突。

要避免冲突，应确定所设定的规则能让 DHCP 要求在规则排序中，较其他使用名称解析且符合 DHCP 要求的规则为高。其原则如以下范例所示。
下列规则无法作用：
1.拒绝所有来自 [url]www.attack.com[/url] 的通讯协议
2.允许由内部到本机主机的 DHCP 要求
下列规则可以作用：
1.拒绝来自 [url]www.attack.com[/url] 的 HTTP 通讯协议
2.允许由内部到本机主机的 DHCP 要求
下列规则可以作用：
1.允许由内部到本机主机的 DHCP 要求
2.拒绝所有来自 [url]www.attack.com[/url] 的通讯协议