在上一篇文章中我们介绍了如何配置SecureNAT 客户端,接下来我们开始完成剩下的任务,不过这次会有些复杂,要多一点耐心偶。如果管理员要让企业内部员工通过加密方式访问外网,显然再使用SecureNAT客户端是行不通的。我们也就只有使用下面的方法了。
实验拓扑:
二.配置Web代理客户端
A.手工配置Web代理
B.Web代理自动发现
手工配置Web代理之一
在ISA Server 2006中的Web代理服务默认是启用的,我们可以单击“配置”―“网络”选项卡中的“内部”选项后,接着单击“Web代理”页面,可以看到“为此网络启用Web代理客户端连接”选项已勾选,启用的是HTTP的8080端口,这也是为什么我们在刚开始部署前要先预留8080端口。下面还有“启用SSL”加密选项,这样会更安全,但目前还没有安装证书服务,所以暂时先不选用。
建议在做此实验之前先将内网用户的默认网关去掉,以免影响后面的实验结果。
确认了Web代理客户端是开启的,此项客户端又是通过浏览器访问互联网的,所以我们在内网计算机上右击IE浏览器,找到属性,单击打开,然后切换到“连接”选项卡,单击“局域网设置”,进入代理服务配置界面。在“地址”栏输入ISA2006服务器的计算机名或IP地址,“端口”输入8080。
输入外网Web服务器的IP地址。当然为了形象我们完全可以输入域名,只不过要在DNS 服务器上创建A记录和NS记录,例如:www.istanbul.com,在这里我就不在演示了。
手工配置Web代理之二
我们知道如果单一配置一两台计数机肯定没问题,但是如果在企业内网有很多用户,那该怎么办呢?如果企业内网是在域的环境下,那么我们就可以通过组策略来完成此项任务。下面在域控制器上的“开始―程序---管理工具”找到“Active Directory 用户和计算机”单击打开,然后在“ISAtest.com”上右击找到“属性”,单击打开。如图:
切换到“组策略”选项卡,双击“Default Domain Policy”或点击“编辑”
进入组策略编辑器,在“用户配置\Windows设置\Internet Explorer 维护\连接”下找到“代理设置”双击打开,点击“启用代理服务器设置”然后在“代理服务器地址”栏输入ISA 2006服务器的计算机名,再在“端口”栏输入“8080”,单击确定。群集管理Web代理客户端已配置完成,要想使组策略尽快生效,请在“命令提示符”下输入gpupdate /force ,然后回车。
我们可以看到域内的计算机的“Internet 属性”下的“连接”选项卡下的代理服务器选项已自动为用户添加上了。
此时用户计算机无须再做其他配置,直接输入外网Web服务器的IP地址即可。用户计算机已成功的连接到外网了。如图:
手工配置Web 代理客户端已完成。如果我们嫌上面的配置太麻烦的话接下来我将为大家介绍一种一劳永逸的方法,那就是“Web代理自动发现”。我们可以在“配置”―“网络”选项下的“内部”,双击打开,切换到“自动发现”选项卡,然后勾选上“为此网络发布自动发现信息”。勾选后,ISA 服务器会为自动连接到此服务器的计算机提供两份文件:wpad.dat和wspad.dat 。
在“自动发现”面板上我们可以看到自动发现可以通过DHCP服务或DNS服务,不过重要的是要是通过DNS 服务那么自动发现端口必须为80,如果使用DHCP服务那么端口就可以根据自己的需要自定义,此时端口设置就不受限制了。
Web代理自动发现之一
我们先用DNS服务来配置“Web 代理自动发现”。
在本次试验之前我们要先将上面的手工配置的“Web 代理客户端”配置取消,勾选上“自动检测设置”。如图:
“Web 代理自动发现”选项已勾选上了。那么ISA Serever 服务器会为内网用户提供两个文件:wpad.dat 和wspad.dat 。内网用户需要将这两个文件下载到本机上。但是目前内网用户是不能联系到ISA Server 服务器的,必须重新建一条防火墙策略,允许内网用户与ISA 2006服务器取得联系。下面开始新建访问规则。
输入自己容易识辨的访问规则,在此 我输入的是“允许内网本地计算机之间任意访问”,单击“下一步”继续,
选择“允许”, 单击“下一步”继续,
协议选择“所有出站通讯”, 单击“下一步”继续,
服务规则源添加为“内部”和“本地主机”, 单击“下一步”继续,
服务规则目标添加为“内部”和“本地主机”, 单击“下一步”继续,
用户集不做限制,选用“所有用户”, 单击“下一步”继续,
访问规则新建完成,点击“完成”。然后点击“应用”,新建的服务规则便会生效。
来到内网的用户计算机,在IE浏览器中输入http://10.1.1.254/wpad.dat ,然后连接到ISA 服务器,下载wpad.dat文件。(10.1.1.254是ISA 2006的内网ip)
在IE 浏览器中输入http://10.1.1.254/wspad.dat ,下载wspad.dat 文件。
文件已下载完成,在“管理工具”下找到“DNS”服务打开。然后右击“ISAtest.com”,“新建别名记录(cname)”,
“别名”栏输入为“WPAD”,注意必须为大写。然后输入目标主机的完全合格域名(FQDN):isa2006.isatest.com 。点击“确定”完成。
在这里说明一下,WPAD是Web Proxy Auto Discovery的缩写, ,意思是Web代理服务器自动发现。WPAD的设计目的是让浏览器能自动发现代理服务器,这样用户可以轻松访问互联网而且无需知道哪台计算机是代理服务器。在ISA2006中,WPAD不仅能让用户机浏览器自动发现代理服务器,还可以用于防火墙客户端自动发现代理服务器。
别名记录已新建完成,接下来要使记录尽快生效可以在“命令提示符”下输入: ipconfig /flushdns 然后回车。下面我们可以尝试来连接外网了。输入外网IP 。 成功的连接到了istanbul。!!!!
我们再到其他的计算机上看看。同样选中“自动检测设置”,将代理服务器取消掉。
输入外网ip,http://192.168.1.7 成功的连接到了istanbul 。!!!
Web代理自动发现之二
上面用的是DNS 服务器,下面我们就要来介绍如何用DHCP服务设置“Web 代理自动发现”。
1. 新建并激活作用域
2. 授权
3. 设置预定义的选项
4. 配置作用域选项
在做实验之前,我们先将ISA Server 服务器的 自动发现请求端口设为:8080。 当然这个端口可以自己设置,只要不和其他端口发生冲突即可。
1. 新建并激活作用域
在“管理工具”下找到“DHCP ”服务管理器,打开。然后右击 florence.isatest.com ,选中“新建作用域”选项。
可以自己输入名称和描述方便自己识辨就行。在此“名称”输入:wpad,描述输入:test。单击“下一步”继续,
IP地址范围为:10.1.1.100---10.1.1.120,子网掩码设为A类子网掩码,当然也可以根据自己的实际情况来设置,单击“下一步”继续,
在此我们先不添加排除项,单击“下一步”继续,
使用默认的租约期限:8天,足够我们做实验。单击“下一步”继续,
来到“配置DHCP选项”,避免在后面忘记配置,所以我勾选“是,我想现在配置这些选项”, 单击“下一步”继续,
接下来继续配置DNS服务器,输入DNS的服务器名:florence.isatest.com ,IP为:10.1.1.1,单击“下一步”继续,
在这先不配置WINS服务器,单击“下一步”继续,
配置基本已完成,要想使客户端获得地址租约,就要激活作用域,我们勾选“是,我想现在激活作用域”,
作用域成功新建完成,单击“完成”退出作用域向导。
2.授权
要想使该DHCP服务器正常分配IP 地址,必须在Active Directory中进行授权,右击当前服务器的图标“florence.isatest.com”,从快捷菜单中单击“授权”。
3.设置预定义的选项
我们准备设置WPAD此预定义选项,在当前服务器图标下右击,然后从快捷键菜单中选中“设置预定义的选项”。
单击“添加”按钮,开始添加WPAD选项,
名称=WAPD,数据类型=字符串值,代码=252,然后单击“确定”,
字符串值=http://ISA Server的IP地址或完全合格域名/wpad.dat ,在此我们具体设置为,如图:
4.配置作用域选项
预定义选项已设置好,下面就要为新建的“作用域”配置“作用域选项”了。
右击“作用域选项”,选择“配置选项(C)…”
要想让用户通过DHCP服务器获得IP,并能找到ISA Server 服务器,我们就要为作用域指定DNS服务器和WPAD地址。
好,下面开始添加DNS服务器,找到可选项“006 DNS服务器”并勾选,然后单击“确定”,
添加我们预定义的选项:“252 WPAD”。然后勾选上。
作用域、作用域选项已完全配置完成,如图:
接下来我们就要测试DHCP服务器能否正常为用户机服务。找到内网用户机将“Internet 协议(TCP/IP)属性”的常规属性设置为“自动获得IP地址”和“自动获得DNS服务器地址”
这样,用户机就能通过DHCP服务器获得IP并能得知WPAD服务器所在地。
如果要想让用户机很快从DHCP服务器获得IP,那么我们可以在命令提示符下输入:ipconfig /renew ,然后按“回车”,轻松搞定。用户机已成功从DHCP服务器获得IP地址等一系列参数。
此时用户机的“局域网(LAN)设置”为“自动检测设置”。
下面终于到了验证结果的时刻了。 试验成功与否即将揭晓。
在用户机的IE浏览器内输入外网IP,回车。OH,Yeah! 真是皇天不负有心人。实验成功完成。终于可以来杯了。
本次实验先到这吧,估计也够消耗一段时间的。下次再见。