在域环境中配置ISA Server 2004

出处：ISA中文站作者：风间子时间：2004-11-1 2:09:00

非常感谢Ronald Beekelaar，他做的ISA Server 2004 LAB是如此的精致，只需要我些许的修改几个地方，就可以完成这个比较复杂的试验）

很多朋友提出了在域环境中不能正确配置ISA Server 2004的问题，主要集中在无法引用域用户和DNS无法解析。在这篇文章中，我以一个域环境实例，来给大家介绍如何在域环境中配置ISA Server 2004。从这篇文章，你可以学习到如何在域环境中配置ISA防火墙、启用域用户的身份验证、配置内部客户、配置域控上的DNS转发和建立访问规则。

这个试验的网络拓朴结构如下图所示：

这是一个由三台计算机组成的域环境，也许看起来很简单，但是却已经足以模拟域环境中配置ISA Server中的大部分操作。其中：

Denver（DC/Dns server）
FQDN：denver.contoso.com；
IP ：10.2.1.2/24；
DG：10.2.1.1；
DNS：10.2.1.2；

备注：这是一台域控，默认网关是ISA Server的内部接口，DNS设置为本机。

Florence （ISA Server 2004）
FQDN：Florence（目前还处于工作组环境，没有加入域，我会在后面的操作中将其加入域）；
（1）Internal Interface：
IP：10.2.1.1/24
DG：none
DNS：10.2.1.2
（2）External Interface：
IP：61.139.1.1/24
DG：61.139.1.1
DNS：none

备注：ISA Server上的IP设置比较讲究，首先DNS只能设置为内部AD的DNS服务器，然后默认网关为外部出口。

Sydney（Dns/Web server）
FQDN：www.isacn.org
IP：61.139.1.2/24
DG：61.139.1.1
DNS：61.139.1.2

备注：这台计算机用来模拟外部的DNS和Web服务器。后面我们会在内部的DC上设置DNS的转发，将非域的DNS解析请求转发到此DNS服务器上，然后通过域名www.isacn.org来访问这台Web服务器上的一个Web站点。

在这篇文章中，我们会通过以下步骤来为内部域中配置ISA Server 2004防火墙：

在独立服务器上安装ISA防火墙；
将ISA防火墙计算机加入域；
在ISA防火墙上对域管理员进行ISA完全控制的授权；
建立通过验证的域管理员访问外部所有协议的访问规则；
测试该访问规则，通过IP地址来访问外部的Web服务器；
在内部AD的DNS服务器上设置DNS转发；
建立访问规则，允许内部网络的所有用户访问外部的DNS服务；
测试内部DNS解析请求的转发，并通过域名来访问外部的Web站点；
配置ISA防火墙，允许其访问外部站点

1、在独立服务器上安装ISA防火墙

关于ISA Server 2004的安装已经有多篇文章介绍了，在此就不重复。根据本次试验的网络拓朴结构，在内部网络选择时，通过添加适配器来勾选内部网络接口就可以了。安装好后，内部网络如下图所示：

此时，在防火墙策略中只有默认规则：

虽然只有默认规则，但是ISA防火墙的系统策略中是允许ISA防火墙访问域服务，所以我们依然可以访问内部的域。

2、将ISA防火墙计算机加入域

现在我们需要将Florence加入到内部域中。使用管理员账号登录Florence，右击我的电脑，打开系统属性，然后在计算机名页，点击更改；在弹出的计算机名称更改页，点击隶属于列表下面的域，然后输入内部域的名字Contoso.com，然后点击确定。

此时，系统会让你输入有加入该域权限的账户，输入域管理员账号和密码，点击确定；

系统验证无误后，会弹出欢迎加入contoso.com域的对话框，点击确定；

系统会提示你需要重启计算机，点击确定，然后重启ISA防火墙计算机；

3、在ISA防火墙上对域管理员进行ISA完全控制的授权

由于我是先安装ISA Server 2004，然后再加入域，此时，域管理员没有对ISA Server的管理权限。如果是计算机先加入域然后再安装ISA Server，那么域管理员也会有完全的管理权限，这一步就可以省略了。

现在，我们需要对域管理员进行ISA Server的完全管理授权：

首先使用本地管理账户登录ISA计算机，

打开ISA管理控制台，点击常规，再点击右边面板的管理委派，

此时弹出ISA服务器管理委派向导，点击下一步；

在委派控制页，点击添加；

在管理委派对话框，点击浏览；

在选择用户和组对话框，输入contoso\domain admins，点击确定；

由于此时是登录到本机，没有contoso域的浏览权限，所以系统会提示你输入对contoso.com有权限的账号，在此输入域管理员账号，点击确定；

然后在管理委派页点击确定；

在委派控制页，点击下一步；

在完成管理委派向导页，点击完成；

4、建立通过验证的域管理员访问外部所有协议的访问规则

现在我们可以使用域管理员账号来登录了，

然后打开ISA管理控制台，右击防火墙策略，然后点击新建，选择访问规则；

在新建访问规则向导页，输入规则的名字，在此我们命名为Allow Domain Admins access External，点击下一步；

在规则操作页，选择允许；点击下一步；

在协议页，选择所有出站通讯，点击下一步；

在访问规则源页，选择内部，点击下一步；

在访问规则目标页，选择外部，点击下一步；

在用户集页，删除默认的所有用户，点击添加，

在添加用户对话框，点击新建；

在欢迎使用新建用户集向导页，输入用户集名称，在此我们命名为Domain Admins，点击下一步；

在用户页，点击添加，选择Windows用户和组；

在选择用户或组页，输入contoso\domain admins，点击下一步；

因此我是使用域管理员账户登录，所以系统可以很顺利的读取域中账号。在用户页，点击下一步；

然后在正在完成新建用户集向导页，点击完成；

然后在添加用户对话框，双击新建的Domain Admins，点击关闭；

然后在用户集页点击下一步；

最后在正在完成新建访问规则向导页，点击完成；

在防火墙策略面板，点击应用以保存修改和更新防火墙策略；

5、测试该访问规则，通过IP地址来访问外部的Web服务器

现在我们来测试这条规则。首先先转到Sydney上看看，这是一台Dns和Web服务器，其中建有两个Web站点，一个是默认站点，一个是必须通过www.isacn.org域名才能访问的Web站点，

由于我们在访问规则中使用了身份验证，所以需要设置内部客户为Web代理客户或者防火墙客户。首先，我们使用域管理员账号登录域控Denver，然后设置它为Web代理客户，通过ISA防火墙的默认Web代理来浏览。

此时Denver通过IP地址访问外部的Sydney是可以的，

同时，你可以在ISA的管理控制台中发现Denver提交的身份验证信息，

但是你会发现，你不能解析外部的DNS名字，同时也不能ping外部，这是为什么呢？

我们使用的DNS服务器是内部的DNS，没有设置对于外部的DNS解析请求应该如何处理，在没有设置转发的时候会被DNS服务器丢弃，自然不能解析出外部的DNS名字。同时由于我们启用了身份验证，只有使用Web代理客户或者防火墙客户才能提交身份验证信息。Web代理客户只支持从Web浏览提交身份验证信息，不支持其他的程序，所以在Web代理客户环境下，其他访问是不被ISA防火墙允许的（没有提交身份验证信息）；而防火墙客户不支持ICMP信息的转换，所以，无论在Web代理客户环境和防火墙客户环境，都是不支持ICMP的。

6、在内部AD的DNS服务器上设置DNS转发

现在我们在内部的域控上设置外部DNS名字解析请求的转发。使用管理员账号登录域控Denver，在管理工具中打开DNS控制台，右击服务器名，选择属性；