ISA 2006 实验指南（三）客户端类型、WPAD

ISA 2006 实验指南（三）客户端类型

ISA 的代理服务支持三种客户端，分别是 :

Web 代理客户端

Secure NAT 客户端

防火墙客户端

 

一、 web 代理客户端

1 ）设置简单，功能有限。既有 DNS 转发功能、支持身份验证

客户端 IP 设置、 IP 和子网就可以上网了，但这里是域环境需要设 DNS

2 ） ISA 默认拒绝所有通信，所以要先创建一条内网访问外网的访问规则

在此以 IE 、 QQ 为例：

在 IE 菜单栏上、工具、 Internet 选项、连接、局域网设置、下图：

代理服务器、输入 ISA 内网 IP 、端口

ISA 默认已启用代理：

查看：展开 ISA 管理控制台、阵列、配置、网络、网络、双击内部、单击 web 代理：如下图所示：

 

要是手动在每台客户机上设置、不用说工作量非常大

下面用 GPO 来分发下去

3 ） DC 上设置

新建一条组策略，在此就做过多的讲解了

 

双击：代理设置、这里只设置了 HTTP”这里应该用内部NLB  IP”

现在以域用户在客户机上登录、打开 IE 设置查看下：

以经起作用了，但这里只设置了一个 HTTP 所示没有出现 ISA 地址、单击高级

如果、选择对所有协议均使用相同的代理服务器、在上图地址和端口就不会是恢色的了

4 ）测试

 

可以访问外网

 

左边的是在 ISA 上的右边的是客户机上的，说明 FTP 访问不了，应该出现 ISA 拒绝访问才是的，但现在报错，不管他了，访问不了，说明策略生效

在客户机上登录 QQ 看

 

在 QQ 上设置好代理、单击、测试、工作正常说明可以上 QQ 了

二、 Secure NAT 客户端

1 ）将网关指向 ISA 的内网 IP 即可。结合 DHCP 服务器就更简单了，客户机网卡选择自动获得 IP 即可。

2 ）无任何限制、但没有 DNS 转发功能、不支持身份验证

三、防火墙客户端

1 ）需要在客户端上安装防火墙组件、可以通过组策略来分发、这就方便多

2 ）支持 DNS 转发、身份验证、无任何限制

客户端软件位于 ISA 光盘里

 

先把 CLIENT 文件夹复制到本地、共享出来！

3 ）在 DC 上打开组策略、这里就用刚才哪条来做。

 

右击――新建、程序包

 

在文件名里输入 UNC 路径：再点击、打开、就现上图：双击“ MS_FWC.msi” 弹出下图：

确定、经过测试分发给用户的， Domain Users 的用户没权限安装、计算机是可以的、这怎么办、办法是有的、

打开给策略

在受限制的组里右击添加组：弹出下图

注意：这个不是域里的组、确定、

点击――添加――浏览找到 Domain users 组、确定

4 ）在客户机上打开 Power users 组属性、可以看到

 

 

 

单击――添加即可

默认不会自动检测到 ISA 服务器、需要手动、客户端太多手动工作量非常大、

下面用到WPAD来实现自动的

 

四、 WPAD

WPAD 实现防火墙客户端自动检测 ISA 服务器

WPAD 是 Web Proxy Auto Discovery 的缩写，意思是 Web 代理服务器自动发现。 WPAD 的目的是让浏览器、防火墙客户端自动发现代理服务器、这样用户无需知道哪台计算机是代理服务器、就可以轻松访问互联网。 WPAD 对管理员分担了不了工作量、

一、在 ISA 服务器上启用 WPAD

展开 ISA 配置、网络、双击内部、弹出下图：

选择――自动发现、勾上“为此网络发布自动发现信息”此时 ISA 服务就在 80 端口上发布了、 WPAD.DAT 和 WSPAD.DAT 文件、 DNS 实现只能用 80 端口

客户机向 DNS 发出查询 WPAD 主机的 80 端口下载 WPAD.DAT 或 WSPAD.DAT 。 WPAD.DAT 可用于配置客户机浏览器，让浏览器自动发现代理服务器； WSPAD.DAT 则用于配置客户机上的防火墙客户端自动发现代理服务器。测试一下

 

IE 上自动勾上，自动检测设置

一、用 DNS 来实现

1 ）在 DNS 上创建一条 WPAD 别名记录指向 ISA 内网 A 记录

 

或创建条 WPAD 、 A 记录指向 ISAIP 也行、建议用别名“这么一步简单”

2 ）在客户端上打开防火墙客户端软件

 

立即检测――“阵列中的应该创建一条WPAD、A记录IP为内部的NLB 、IP”

但前提是要把网卡指向 DNS

 

支持手工设置 IP 和 DHCP 分发

二、 DHCP 来实现“ ISA 可以在任意端口上发布 WPAD 、 WSPAD “

在测试之前先把 DNS 里的 WPAD 别名删除

在 DHCP 上右击服务名

 

弹出下图：

单击添加――

名称： WPAD

数据类型：字符串

代码： 252

――确定――弹出下图：

 

 

在字符串里输入： [url]http://isa1/wpad.dat[/url]”ISA1是指服务器、要是端口有改就可ISA1：跟端口“

阵列中应该用 NLB 、 IP

单击――弹出下图

点击――确定

还要把 DNS 分配给客户端、因为需要 DNS 来解析名称到 IP

完成！

 

补充:用ISA内部的 NLB的IP

三、 WINS

在工作组环境下用 WINS 来完成方便一点

安装上 WINS

打开 WINS 控制台

右击――新建静态映射

ISA 内部 IP

――显示记录――在弹出一个向导单击――立即查找

哪么现在只要在客户端上指定 WINS 服务器就 OK 了！

或有 DHCP 分发下去！域环境不建议用 WINS

 

本文出自 “RUCAI/Learning Log” 博客，转载请与作者联系！