ISA 2006 如何启用WPAD自动发现模式

     ISA 2006 如何启用WPAD自动发现模式

 

     WPAD 是 Web Proxy AutoDiscovery Protocol 的缩写 , 意思是 WEB 代理自动发现协议 , 要想让此协议发挥功效咱们必须借助于 DNS DHCP 服务 , 客户端借助 DNS 查询 DHCP 分发获得 IP 地址来确认 WPAD 服务器 (ISA SERVER) 是谁 , 而 WPAD 服务器经过内置的 2 个自动配置脚本为客户端的浏览器 (IE) 作设置 , 这 2 个脚本分别为 wpad.dat( 供 WEB 代理使用 ) 另外的是 wspad.dat( 供防火墙客户端使用 ),

  如今企业中使用 ISA 服务做为前端防火墙的比较多 , 相比较而言 , 企业中使用 WEB PROXY 比较多 , 缘由是部署简单 , 易操做 , 彻底能知足企业的需求 , 今天我在这里着重介绍 WEB 代理

  先说一下实验环境 ,

 Virtual Server 2005 R2 Enterprise

 

1 ISA 2006   ISA 服务器    

2 AD        域控制器

Client 1      域客户端

Client 2      工做组

  实验目的

  利用组策略部署 WPAD, 测试经过身份验证访问网络资源

  相信你们对装 ISA ,AD 部署步骤应该比我熟悉 , 在这里我就很少介绍了 ,

  首先在 Active Directory 用户和计算机上添加 , 销售部 OU, 销售部内添加用户 zs( 张三 )

有时候为了工做方便咱们都会创建一个通用用户 , 目的是为了方便外来人员或非域用户访问企业内一些可有可无而必不可少的资源 , 好比打印机 , 非涉密文档 , 在这里我添加的用户是为 WEB 代理作准备 , 不过必定要注意此帐号密码必定是永不过时 , 由于默认的域密码策略 , 密码过时为 42 天

通用帐号为 test\test

下面创建一条ISA 访问策略,策略为 内部访问外部WEB

选择访问 WEB 容器内的内容

访问规则源为 本地主机 , 内网 --> 外部

 

  在这里要注意的是 , 不能选择全部用户 , 缘由是选择全部用户 , 这条策略就毫无心义了 , 基于一些奇怪的理由在企业内总有些部门和用户是不能访问外部网络 , 为了更好的管控企业网络流量和访问控制 , 咱们必须在访问上作些限制 , 为了体现出效果 , 在这里我选择 Domain Users 为访问条件 , 作这条策略 , 换句话说你必须是域用户才能访问外网 , 不然想浏览外部网页门都没有 !

 在 DNS 添加 WPAD 记录 , 打开 DNS, 右键填加别名记录 ,

别名为     wpad

FQDN为 wpad.test.com,

目标主机为ISA服务器 1ISA.test.com

打开 DHCP, 在服务器名称上右键选择 : 设置预约义的选项

 名称 : WPAD, 数据类型 : 字符串 , 代码 :252, 描述 :WPAD

字符串 :[url]http://1ISA.test.com[/url] 8080/wpad.dat

配置选项 , 选择 252 WPAD

安装 GPMC 组策略控制台

新建一条 ISA Server WEB Proxy Policy 策略进行编辑

选择用户配置下的 IE 维护链接选项

在代理设置内填写 1ISA.test.com 端口为 8080

 将编辑好的策略拖拉到你想要控制的部门 OU 上按肯定

选择强制

查看策略是否正确

确认完毕后不要忘记策略刷新

接下来咱们到 Client1 上测试这台电脑是否符合实验目的

首先看一下登录环境 , 确认是不是域客户端及登录帐号是否正确

IE-> 属性 -> 链接 -> 局域网设置 , 查看是否已经获得域策略 , 肯定准确无误后打开 IE 访问外网 WEB

 接下来查看 Client 2 是否符合实验要求 , Client 2 是一台工做组计算机 , 相关的 IP 是从 2AD 服务器上的 DHCP 抓取到的 , 由于已经 DHCP 已经作了 WPAD 的设置 , 只要 DHCP 不宕机， Client 2 是应该能获得 WPAD 的运行脚本的

 打开 IE 输入想要访问的网址 , 这时候你会看见对话框 , 这个对话框也就是要求验明身份的对话框 , 在用户不知道公用账户和密码的时候应该是访问不了外部网站的 , 在此要提醒各位的是 , 为了不产生其余麻烦必定要注意保管好企业公用帐号 , 不然你根本没法管控你的员工 !