構建基於ISA Server 2006的遠端接入×××伺服器

接上回，本次將會說到在ISA Server 2006上配置遠端接入×××服務。以此來解決公司員工出差之後訪問公司內部的問題。配置了遠端接入×××服務後，出差的員工不管走到哪裡，只要能上網都能夠通過撥號的方式連線到公司內部網路。

遠端接入×××服務可以配置在windows系統上。之前我寫過一篇文章windows下NAT妙用（http://zpp2009.blog.51cto.com/730423/238512），就是把×××服務做在windows系統上的，既使用NAT把它放到了內網但還是感覺不×××全，因為windows系統本身應對一些安全問題還是比較吃力的。這一次就彌補了這個問題，我們把ISA Server 2006裝在windows系統上，使這臺伺服器變得強大。然後再在ISA Server 2006上構建遠端接入×××服務。這樣的話，安全性就大大提高了。下面我們來看看具體的實施方法。

拓撲在如下：

雖然這幅圖大家已經見到好幾次了，但每次都是有些區別的。比如這次就增加了出差的員工，這在企業裡是不得不考慮的問題 。公司作為windows域環境，各員之間，員工與公司之間的關係都是非常緊密的。

現在我們就開始邊做邊說吧！

第一部分：設定×××策略

1. 開啟DC，在上面建立一個組，名子就叫***-group吧，然後再建立一個測試用的帳戶zpp001,並把他加入***-group。這樣做的目的就是為了便於稍後配置時定義哪些個組的使用者可以撥入，總的來說還是為了提高安全性。我這是域環境所以建立的是域使用者及組。並且我是在DC上新增的，要是是工作組環境下，就要在ISA Server上新增本地的使用者和組，大家千萬別搞錯了啊。如圖：

2. 只有上面還不夠在使用者屬性撥入選項卡上還得選擇“允許訪問”，如圖，只有這樣使用者才可以撥進來的。

3. 現在我們就到ISA Server上來設定吧,先展開陣列，然後單擊“虛擬專用網路×××”就顯示瞭如下圖所示的介面，如圖，可以看到配置×××客戶端的幾個步驟。

4. 點選圖中第一步上的“配置地址分配方法”，就會彈出讓我們給×××客戶端分配IP地址的介面。如圖，咱們可以通過動態地址配置協議（DHCP）給×××客戶端分配置IP地址，也可以通過分配靜態地址的方法來分配。

注意：這裡的地址隨便配都可以只要不提示出錯，我這裡就配成192.168.100.1-30。不要給的太多，有幾人出差就給幾個是最好的，免得被***大哥們利用了。

5. 現在到第二步裡面點選“指定windows使用者”，在彈出的組對話方塊中新增，剛剛建立的***-group組，如圖，添完之後點選確定即可。（現在明白剛剛為什麼要建立使用者和組了吧！）

6. 現在該第三步了吧，如圖,點選“驗證×××屬性”，在彈出的對話方塊中選中“啟用PPTP”。然後確定即可。

7. 現在單擊第三步中的“遠端訪問配置”，在彈出的對話方塊中勾選外部，如圖。

這一步是幹什麼的呢？它的作用就是讓×××客戶端通過×××伺服器的這個外部網路連線撥上來。

8. 好了，現在×××策略已經設定好了，只需點選應用確定，就可以了。如圖：

大家可能會在想，那第四步和第五步為什麼不做啊？因為第四步和第五步都是檢視，不是必要的動作。不過還沒完，剛剛設定的是×××的策略，接下來還要設定防火牆策略。

第二部分：設定防火牆策略

1. 展開陣列，右擊防火牆策略，選擇新建，再選擇訪問規則。如圖所示：

2. 現在彈出了新建訪問規則嚮導，咱們給規則命個名，就叫×××吧。如圖：

3. 這裡選擇“允許”，就不用解釋了吧，咱們前面已經看到很多這個介面了啊。

4. 在協議選項卡里選擇“所有出站通訊”。單擊下一步，注意，如果不這樣選擇的話即使使用者撥上來，也做不了什麼。

5. 訪問規則源選擇這裡選擇“×××客戶端”。這裡就是讓咱們指定從哪兒來的物件。

6. 目標選擇“內部”，因為咱們是讓×××客戶端通過撥號的方式撥入到內部網路。

7. 使用者集這裡選擇所有使用者。當然為了更高的安全性，還可以根據實際情況縮小小使用者集的範圍。選擇之後點選下一步即可。

8. 策略設定頂好了，現在確認一下有無錯誤，如果沒的話，就可以點選“完成”。如圖：

9. 現在點選“應用”，可以看到在“防火牆規則”中多了一條名稱為“×××”的策略規則。

至此，我們就完成了ISA Server上遠端接入服務的配置，接下來就是配置客戶端及測試。

第三部分：配置客戶端及測試

1. 現在來到外網客戶機這裡，它的IP是61.134.1.10/8和拓撲一致，在網路連線屬性中單擊“建立一個新的連線”在彈出的對話方塊中點選下一步。如圖：

2. 網路連線內型這裡選擇第二項“連線到我的工作場所的網路”。單擊下一步，如圖：

3. 現在它問我們想要如何與工作點連線，我們選擇第二項“虛擬專用網路連線”，也就是咱們的×××。單擊下一步，如圖：

4. 連線名這裡它要求咱們輸人公司的名稱，其實這只是做個標記而已，跟公司跟伺服器端沒有一點關係，設定這個是給自己看到。設完之後點選下一步即可，如圖：

5. 現在它讓咱們輸入×××伺服器的名稱或地址，咱這當然是輸入外網介面的地址：61.134.1.4.要是想輸入域名的話，必須要在DNS註冊商那裡註冊相關記錄才行。

6. 現在會彈出如圖所示的登入介面，輸入使用者名稱[email protected],和密碼就可以登入了，注意我這用的使用者名稱是[email protected]我寫的是郵件名，直接寫zpp001都可以，無所謂。

7．OK！撥上來了啊，可以看到下面的虛擬專用網路中的網路連線顯示已連線。執行命令ipconfig之後可以看到，客戶機獲得了一個來自ISA Server的IP（192.168.100.2/32）。

現在直接在開始執行中使用UNC路徑就可以訪問公司內網檔案伺服器（IP：192.168.1.10）上的共享資源了，如圖，大家可要想到現在是跨Internet在訪問啊。

此時，我們就解決了企業中的員工出差訪問公司內部的問題。使他們既能不受限制從任何可以上網的地方連線到內部網路中，同時也提供了安全性。

本文出自 “zpp” 部落格，請務必保留此出處http://zpp2009.blog.51cto.com/730423/284398

本文出自 51CTO.COM技術部落格

轉載於:https://blog.51cto.com/lzy821218/287032