ISA Server 2004 客户端部署方案
ISA Server 2004 的默认配置是什么? ISA Server 的默认配置阻塞连接到ISA Server的网络间的所有通信: 只有本地管理员组的成员具有管理权限 创建默认网络 访问规则包括系统策略规则和默认访问规则 不发布任何服务器 禁用缓存 可访问Firewall Client Installation Share(如果已安装)
Types of ISA Server Clients -->见下图:
我现在来到一台计算机名称叫做Denver的计计算机 它是森林中第一台域控制器并且它也是第一台Exchange服务器 如何验证这台计算机是不是Web Proxy Client和SecureNAT Client呢? 通过开始--运行--输入cmd按确定来打开命令提示符 在里面输入ipconfig /all按回车键 可以看到Default Gateway(默认网关)地址指向10.1.1.1 因为我那台ISA Server 2004服务器的内部网卡IP地址是10.1.1.1 从而可以知道Denver这台计算机已经是ISA服务器的SecureNAT Client了 究竟它是不是Web Proxy Client呢? 对着Internet Explorer右键--选择属性--按连接--按局域网设置 如果把为LAN使用代理服务器沟上并且在地址里面输入ISA服务器的内部网卡IP地址(10.1.1.1) 在端口里面输入8080 说明Denver这台计算机已经是ISA服务器的Web Proxy Client了 注意: 一般ISA开放的端口都是8080 如果你发现某一个客户端在端口里面输入8080 那么说明它的防火墙软件很可能就是ISA
How to Configure Firewall Client Settings?
我现在来到Denver这台计算机 通过开始--运行--输入 \\10.1.1.1 按确定 可以看到有任务计划这一项 但是没有任何共享 如果想建立共享怎么办呢?
我现在来到一台计算机名称叫做Florence的计算机 它是第一台ISA Server 2004服务器 它也就是配置存储服务器 我把ISA Server 2004安装光盘放进光驱 在弹出的界面选择安装ISA Server 2004 接着下一步
这一步选择修改 接着下一步
现在可以看到其中有一项叫做防火墙客户端安装共享 前面有X号表示还没有被安装 按小三角形--选择这项功能及其所有子功能都会被安装到本地硬盘上. 并且在右边的功能说明也提示: 创建网络共享 \\ServerName\mspclnt ,用于防火墙客户端的集中安装. 接着下一步--按安装就ok了 当安装完成之后 它会把客户端的安装程序去拷贝到这台计算机上并且把这些安装程序共享出来 提供给客户端来安装
我再来到计算机名称叫做Denver这台计算机 通过开始--运行--输入 \\10.1.1.1 按确定 可以看到多出一个共享文件夹叫做mspclnt 双击mspclnt这个共享文件夹--可以看到有一个叫做MS_FWC.msi安装程序--双击它--按运行
看到了吗? 现在已经可以看到欢迎使用Microsoft Firewall Client的安装向导了 后面那几步都接着下一步--直到安装完成的时候 按完成就ok了
当安装完成Microsoft Firewall Client之后 你就会发现在桌面的右下角会多出一个图标 对着这个图标右键--选择配置--选择手动选择ISA服务器--在键入防火墙客户端网络访问要使用的ISA服务器名称里面输入ISA服务器的IP地址(10.1.1.1) 按测试服务器 等一下在键入防火墙客户端网络访问要使用的ISA服务器名称里面就可以看到ISA服务器的计算机名称(FLORENCE)了 此时Denver这台计算机就是Florence(ISA服务器)那台计算机的Firewall Client了
如果你希望把Microsoft Firewall Client这个软件自动地安装每一台计算机上的时候 此时我们就需要用到AD里面的组策略了 通过开始--运行--输入dsa.msc按确定来打开Active Directory 用户和计算机--对着yejunsheng.com(域名)右键--选择属性 按组策略--按新建--名称就叫做Firewall Client吧--按编辑--展开计算机配置--软件设置--对着软件安装右键--选择新建--按程序包 注意: 在文件名里面一定要输入MS_FWC.msi这个软件的网络路径 按MS_FWC.msi这个软件--按打开 此时它提示确实要用这个路径部署这个程序吗? 你按是--然后选择已指派--按确定就ok了 还要注意的一点就是如果是在用户配置的软件安装里面进行部署软件并且在部署软件的选择部署方法里面选择已发布的话 此时这个软件还没有被真正安装在这台计算机上 当用户想使用这个软件的时候再开始安装 如果是在计算机配置的软件安装里面进行部署软件 当用户登陆的时候就已经安装这个软件了
我来到Denver这台计算机 我现在想使用Denver这台计算机通过ISA服务器来访问到另一台计算机 那台计算机的完全计算机名称叫做istanbul.yejunsheng.com 它是一台Internet客户端并且它是处于工作组模型 打开IE浏览器--在地址里面输入 http://istanbul.yejunsheng.com/ 按回车键 此时立即看到错误消息 不能显示此页 错误代码:502 Proxy Error. The ISA Server denied the specified Uniform Resource Locator (URL).(12202) 这个错误是什么原因导致的呢? 因为默认情况下ISA服务器是拒绝所有的访问请求的 如果在IE浏览器里面能够看到这个效果的话 代表客户端(Denver)这台计算机已经是Web Proxy Client了 只不过防火墙没有给它的能力去访问到公网 此时我们需要到ISA服务器上创建一条访问规则来允许它通过ISA服务器能够访问到公网才行了
我现在来到一台计算机名称叫做Florence的计算机 它是第一台ISA Server 2004服务器并且它也是配置存储服务器 打开ISA服务管理器--展开阵列--FLORENCE--按防火墙策略--在右边任务的阵列策略任务里面选择创建阵列访问规则--访问规则名称就叫做Allow吧 接着下一步
在符合规则条件时要执行的操作里面选择允许 接着下一步
在此规则应用到里面选择所选的协议--按添加 比如我现在想让用户访问到HTTP HTTPS FTP这三种协议 展开Web--把这三种协议都添加在协议里面--按关闭 接着下一步
在此规则应用于来自这些源的通讯里面按添加--展开网络--按内部--按添加--按关闭 接着下一步
在此规则应用于发送到这些目标的通讯里面按添加--展开网络--按外部--按添加--按关闭 接着下一步
在此规则应用于来自下列用户集的请求里面就保留默认值(所有用户)吧 接着下一步
这是最后一步了 按完成就ok了
注意: 刚才创建的阵列访问规则还没有生效 还需要按一下应用才会生效的 现在所有的配置都保存在CSS(配置存储服务器)里面了
我现在来到Denver这台计算机 打开IE浏览器--在地址里面输入 http://istanbul.yejunsheng.com/ 按回车键 看到了吗? 现在已经可以访问到istanbul那台计算机了 但是为什么在浏览器里面显示建设中 您想要查看的站点当前没有默认页呢? 那是因为我没有把主页内容添加到Istanbul那台计算机的IIS默认网站里面 当前我使用的连接方式就是通过Web Proxy Client连接的 现在看到浏览器里面的内容就是Web Proxy Client连接的效果