ISA2006實戰系列之一:實戰ISA三種客戶端部署方案(上)
阿新 • • 發佈:2020-10-18
各位都知道,在企業裡部署完ISA伺服器後,我們就要統一部署ISA客戶端,這樣才能更好的控制內網使用者如何通過ISA伺服器來訪問公網資源。對於ISA有三種客戶端:1. Web Proxy客戶端2. Secure NAT客戶端3. FireWall Client對於三者的區別:1. SNAT不對使用者身份進行驗證,而Web代理和Firewall client對使用者身份進行驗證。2. Web Proxy和SNAT通用性強,即可以linux和Windows客戶端使用。而Firewall僅對Windows有效。3. 對DNS轉發功能的支援:Web proxy和Firewall client支援,而SNAT不支援。4. 對協議的支援:Firewall Client和SNAT支援最廣泛,幾乎支援所有的協議。而Web Proxy僅支援HTTP、HTTPS、FTP等少量的幾個。 
假設我們的內部網路採用域環境,域名是contoso.com。我們通過組策略來完成三種客戶端的配置:一、Web Proxy客戶端的配置:其實就是把所有的客戶端的IE瀏覽器配置使用ISA作為代理伺服器。 
下面我們通過在Denver這臺DC上利用組策略來完成所有客戶端的統一配置。開啟dsa.msc工具,右擊contoso.com這個域---選屬性,編輯預設的 default domain policy,找到如下所示:
然後所有的客戶端重啟或登入時,設定完畢!二、SNAT客戶端的配置:這個配置其實就是把所有客戶端的閘道器統一指向ISA的內網絡卡,在本例裡就是10.1.1.1。為了統一配置,我們可以利用DHCP來為內網的客戶端統一分配IP和閘道器。還是讓Denver做DHCP伺服器,安裝完DHCP元件後,啟用DHCP控制檯,如下所示操作:
新建作用域,如下:
取名S1,並單擊下一步:
輸入IP地址範圍和子網掩碼,再單擊下一步:
不新增排除:
不改變租約如下:
利用嚮導完成配置選項,如閘道器的設定等,單擊下一步:
新增閘道器,並單擊下一步,對後面的兩個頁面不做處理,直接單擊下一步,如下所示:
選擇“啟用此作用域”,單擊下一步完成配置。如下所示:
已經完成了伺服器端的配置,在Istanbul這臺客戶機上,設定“自動獲得”IP地址,如下所示,成功的從DHCP獲得了IP地址等,包括閘道器。
至此,SNAT客戶端配置完成!!三、FireWall Client客戶端的配置: 這種型別需要為所有客戶端安裝ISA的客戶端軟體,如果你是ISA2004,在ISA伺服器可以通過新增ISA元件的方式把共享安裝到ISA這臺機器上,如果是ISA2006,可以把共享從ISA2006的安裝光碟上拷到Denver上,並共享。ISA2006光碟目錄下有一個client目錄,這裡是所需要的軟體。
把上述這個目錄拷出並共享。如何讓所有的客戶端安裝這個軟體呢?我們通過組策略來分發。如下過程:開啟Denver上的Dsa.msc後,還是編輯default domain policy,在軟體設定下進行操作,如圖所示:
單擊新建--程式包所圖所示:
找到這個共享路徑下的安裝包,選中後,單擊“開啟”,如下:
選擇“已釋出”,單擊確定。如下所示:
已經發布成功,但為了讓所有的域使用者登入後,自動安裝這個軟體,我們調整一下,右擊這個釋出的軟體,選屬性,如下圖:
一定要在上圖中選擇“在登入時安裝此應用程式”,這樣域內的使用者登入時,會在登入過程中安裝軟體,如下所示:
根據情況,可能這臺客戶要重新啟用計算機,再次登入後進入桌面,會發現在工作列的最右面多了一個圖示,如下所示:
雙擊這個圖示,開啟如下:但顯示“沒有檢測到ISA伺服器”,怪了,這是怎麼回事?
其實並不奇怪,這是FireWall客戶端並沒有發現ISA伺服器,沒有發現那就意味著FireWall Client不生效,所以我們還得用後續的配置,讓我們的FireWall Client能自動發現ISA伺服器,這就是所謂的WPAD。先賣個關子,在下節課我們會隆重推出WPAD的配置。讓客戶端能真正的完成自動配置!
假設我們的內部網路採用域環境,域名是contoso.com。我們通過組策略來完成三種客戶端的配置:一、Web Proxy客戶端的配置:其實就是把所有的客戶端的IE瀏覽器配置使用ISA作為代理伺服器。下面我們通過在Denver這臺DC上利用組策略來完成所有客戶端的統一配置。開啟dsa.msc工具,右擊contoso.com這個域---選屬性,編輯預設的 default domain policy,找到如下所示:然後所有的客戶端重啟或登入時,設定完畢!二、SNAT客戶端的配置:這個配置其實就是把所有客戶端的閘道器統一指向ISA的內網絡卡,在本例裡就是10.1.1.1。為了統一配置,我們可以利用DHCP來為內網的客戶端統一分配IP和閘道器。還是讓Denver做DHCP伺服器,安裝完DHCP元件後,啟用DHCP控制檯,如下所示操作:新建作用域,如下:取名S1,並單擊下一步:輸入IP地址範圍和子網掩碼,再單擊下一步:不新增排除:不改變租約如下:利用嚮導完成配置選項,如閘道器的設定等,單擊下一步:新增閘道器,並單擊下一步,對後面的兩個頁面不做處理,直接單擊下一步,如下所示:選擇“啟用此作用域”,單擊下一步完成配置。如下所示:已經完成了伺服器端的配置,在Istanbul這臺客戶機上,設定“自動獲得”IP地址,如下所示,成功的從DHCP獲得了IP地址等,包括閘道器。至此,SNAT客戶端配置完成!!三、FireWall Client客戶端的配置: 這種型別需要為所有客戶端安裝ISA的客戶端軟體,如果你是ISA2004,在ISA伺服器可以通過新增ISA元件的方式把共享安裝到ISA這臺機器上,如果是ISA2006,可以把共享從ISA2006的安裝光碟上拷到Denver上,並共享。ISA2006光碟目錄下有一個client目錄,這裡是所需要的軟體。把上述這個目錄拷出並共享。如何讓所有的客戶端安裝這個軟體呢?我們通過組策略來分發。如下過程:開啟Denver上的Dsa.msc後,還是編輯default domain policy,在軟體設定下進行操作,如圖所示:單擊新建--程式包所圖所示:找到這個共享路徑下的安裝包,選中後,單擊“開啟”,如下:選擇“已釋出”,單擊確定。如下所示:已經發布成功,但為了讓所有的域使用者登入後,自動安裝這個軟體,我們調整一下,右擊這個釋出的軟體,選屬性,如下圖:一定要在上圖中選擇“在登入時安裝此應用程式”,這樣域內的使用者登入時,會在登入過程中安裝軟體,如下所示: 根據情況,可能這臺客戶要重新啟用計算機,再次登入後進入桌面,會發現在工作列的最右面多了一個圖示,如下所示:雙擊這個圖示,開啟如下:但顯示“沒有檢測到ISA伺服器”,怪了,這是怎麼回事?其實並不奇怪,這是FireWall客戶端並沒有發現ISA伺服器,沒有發現那就意味著FireWall Client不生效,所以我們還得用後續的配置,讓我們的FireWall Client能自動發現ISA伺服器,這就是所謂的WPAD。先賣個關子,在下節課我們會隆重推出WPAD的配置。讓客戶端能真正的完成自動配置!
本文出自 “千山島主之微軟技術空間站” 部落格,請務必保留此出處http://jary3000.blog.51cto.com/610705/130422
轉載於:https://blog.51cto.com/lixiangqian/1201906