各位都知道,在企业里部署完ISA服务器后,咱们就要统一部署ISA客户端,这样才能更好的控制内网用户如何经过ISA服务器来访问公网资源。对于ISA有三种客户端:
1. Web Proxy客户端
2. Secure NAT客户端
3. FireWall Client
对于三者的区别:
1. SNAT不对用户身份进行验证,而Web代理和Firewall client对用户身份进行验证。
2. Web Proxy和SNAT通用性强,便可以linux和Windows客户端使用。而Firewall仅对Windows有效。
3. 对DNS转发功能的支持:Web proxy和Firewall client支持,而SNAT不支持。
4. 对协议的支持:Firewall Client和SNAT支持最普遍,几乎支持全部的协议。而Web Proxy仅支持HTTP、HTTPS、FTP等少许的几个。
5. 配置:SNAT和Web Proxy无需额外软件,而FireWall client须要安装ISA的客户端软件。
在实际配置客户端时,可使用三者中任意,最多能够都使用,若是ISA 的三种客户端都使用,则优先顺序:
通常状况下:先走FireWall再走Web proxy最后再走SecureNAT。
但若是访问Web时走Web Proxy,Ping时走SecureNAT,其它服务走Firewall。
但对于这三种客户端如何进行配置呢?今天的实验拓朴以下所示:
假设咱们的内部网络采用域环境,域名是contoso.com。咱们经过组策略来完成三种客户端的配置:
1、Web Proxy客户端的配置:
其实就是把全部的客户端的IE浏览器配置使用ISA做为代理服务器。以下图所示:
打开任意一个客户端的IE浏览器,选工具菜单---Internet选项:
下面咱们经过在Denver这台DC上利用组策略来完成全部客户端的统一配置。
打开dsa.msc工具,右击contoso.com这个域---选属性,编辑默认的 default domain policy,找到以下所示:
而后全部的客户端重启或登陆时,设置完毕!
2、SNAT客户端的配置:
这个配置其实就是把全部客户端的网关统一指向ISA的内网卡,在本例里就是10.1.1.1。
为了统一配置,咱们能够利用DHCP来为内网的客户端统一分配IP和网关。
仍是让Denver作DHCP服务器,安装完DHCP组件后,启用DHCP控制台,以下所示操做:
先选择上图中的”受权“,容许此DHCP服务器向个提供DHCP功能。再右击以下:
新建做用域,以下:
取名S1,并单击下一步:
输入IP地址范围和子网掩码,再单击下一步:
不添加排除:
不改变租约以下:
利用向导完成配置选项,如网关的设置等,单击下一步:
添加网关,并单击下一步,对后面的两个页面不作处理,直接单击下一步,以下所示:
选择“激活此做用域”,单击下一步完成配置。以下所示:
已经完成了服务器端的配置,在Istanbul这台客户机上,设置“自动得到”IP地址,以下所示,成功的从DHCP得到了IP地址等,包括网关。
至此,SNAT客户端配置完成!!
3、FireWall Client客户端的配置:
这种类型须要为全部客户端安装ISA的客户端软件,若是你是ISA2004,在ISA服务器能够经过添加ISA组件的方式把共享安装到ISA这台机器上,若是是ISA2006,能够把共享从ISA2006的安装光盘上拷到Denver上,并共享。
ISA2006光盘目录下有一个client目录,这里是所须要的软件。
把上述这个目录拷出并共享。
如何让全部的客户端安装这个软件呢?咱们经过组策略来分发。以下过程:
打开Denver上的Dsa.msc后,仍是编辑default domain policy,在软件设置下进行操做,如图所示:
单击新建--程序包所图所示:
找到这个共享路径下的安装包,选中后,单击“打开”,以下:
选择“已发布”,单击肯定。以下所示:
已经发布成功,但为了让全部的域用户登陆后,自动安装这个软件,咱们调整一下,右击这个发布的软件,选属性,以下图:
必定要在上图中选择“在登陆时安装此应用程序”,这样域内的用户登陆时,会在登陆过程当中安装软件,以下所示:
根据状况,可能这台客户要从新启用计算机,再次登陆后进入桌面,会发如今任务栏的最右面多了一个图标,以下所示:
双击这个图标,打开以下:但显示“没有检测到ISA服务器”,怪了,这是怎么回事?
其实并不奇怪,这是FireWall客户端并无发现ISA服务器,没有发现那就意味着FireWall Client不生效,因此咱们还得用后续的配置,让咱们的FireWall Client能自动发现ISA服务器,这就是所谓的WPAD。
先卖个关子,在下节课咱们会隆重推出WPAD的配置。让客户端能真正的完成自动配置!
本文出自 “千山岛主之微软技术空间站” 博客,请务必保留此出处http://jary3000.blog.51cto.com/610705/130422浏览器