用ISA2006搭建×××服務器

 

用ISA2006搭建×××服務器

   ××× 服務器在目前的網絡中應用得愈來愈普遍，正在成爲企業網絡中不可或缺的角色，如何才能建立出本身的××× 服務器
   ×××是虛擬專用網絡的縮寫，屬於遠程訪問技術，簡單地說就是利用公網鏈路架設似有網絡。例如公司員工出差到外地，他想訪問企業內網的 服務器
   實驗拓撲以下，Denver是內網的域控制器，DNS 服務器
   

   ISA2006調用了Win2003中的路由和遠程訪問組件來實現×××功能，但咱們並不須要事先對ISA 服務器
   一 定義×××地址池
   配置××× 服務器
   以下圖所示，在ISA服務器
   

   分配地址可使用靜態地址，也可使用DHCP，在此咱們使用靜態地址池來爲×××用戶分配地址，點擊添加按鈕，爲×××用戶分配的地址範圍是192.168.100.1－192.168.100.200，以下圖所示。
   


  二 配置×××服務器
   設置好了×××地址池後，咱們來配置×××服務器
   

   切換到×××客戶端屬性的「組」標籤，配置容許遠程訪問的域組，通常狀況下，管理員會事先建立好一個容許遠程訪問的組，而後將×××用戶加入這個組，本次實驗中咱們就簡單一些，直接容許Domain Users組進行遠程訪問。
   

   接下來選擇×××使用的隧道協議，默認選擇是PPTP協議，咱們把L2TP也選擇上。設置完×××客戶端訪問後，咱們應重啓ISA服務器
   

   重啓ISA服務器
   


   三 網絡規則
   想讓×××用戶訪問內網，必定要設置網絡規則和防火牆
 

   四 防火牆策略
   既然網絡規則已經爲×××用戶訪問內網開了綠燈，那咱們就能夠在防火牆
   

   爲訪問規則取個名字。
   

   當訪問請求匹配規則時容許操做。
   

   此規則能夠應用到全部的通信協議。
   

   規則的訪問源是×××客戶端網絡。
   

   訪問規則的目標是內網
   

   此規則適用於全部用戶。
   

   完成嚮導，好了，如今ISA已經容許×××用戶撥入了。
   


   五 用戶撥入權限
   最後一步不要忘記，域用戶默認是沒有遠程撥入權限的，咱們準備以域管理員的身份撥入，以下圖所示，在Active Directory用戶和計算機中打開administrator的屬性，切換到「撥入」標籤，以下圖所示，設置撥入權限爲「容許訪問」。
   

   好，至此爲止，×××服務器
   在Istanbul客戶機上打開網上鄰居的屬性，以下圖所示，點擊新建鏈接嚮導。
   

   出現新建鏈接嚮導，點擊下一步。
 

   網絡鏈接類型選擇「鏈接到個人工做場所的網絡」。
   

   選擇建立「虛擬專用網絡鏈接」。
   

   在×××鏈接中輸入公司名稱
   

   輸入×××服務器
   

   選擇此鏈接「只是我使用」，點擊下一步後結束鏈接嚮導建立。
   

   雙擊執行剛建立出來的×××鏈接，以下圖所示，輸入用戶名和密碼，點擊「鏈接」。
   

   輸入的用戶名和口令經過了身份驗證，×××鏈接成功，查看×××鏈接的屬性，以下圖所示，咱們能夠看到當前使用的隧道協議是PPTP，×××客戶機分配到的IP地址是192.168.100.4，地址池中的第一個地址老是保留給×××服務器
   

   既然×××用戶已經經過×××服務器

   



   今天咱們只是搭建了一個簡單的×××服務器

，測試了一下客戶機使用PPTP協議進行撥入，在後續的博文中咱們將以今天的環境爲基礎，把×××的應用推向深刻。進行了撥入，看看可否訪問內網的服務器資源，以下圖所示，在Istanbul上能夠成功訪問內網的Exchange服務器，×××撥入成功！，這個地址被成爲隧道終點，也是×××用戶鏈接內網所使用的網關。的域名或外網IP，此例中咱們使用域名，注意此域名應該解析到ISA的外網IP，192.168.1.254.。已經配置完畢了，接下來咱們用客戶機來測試一下，看看可以經過×××服務器撥入內網。ISA支持PPTP和L2TP兩種隧道協議，今天咱們在客戶機上先對PPTP協議進行測試。策略中建立一個訪問規則容許×××用戶訪問內網了。固然，若是須要的話，也能夠在訪問規則中容許內網訪問×××用戶。以下圖所示，在防火牆策略中選擇新建「訪問規則」。策略，ISA默認已經對網絡規則進行了定義，以下圖所示，從×××客戶端到內網是路由關係，這意味着×××客戶端和內網用戶互相訪問是有可能的。以後，以下圖所示，咱們發現ISA服務器的路由和遠程訪問已經自動啓動了。，讓設置生效。的客戶端設置。以下圖所示，點擊虛擬專用網絡右側任務面板中的「配置×××客戶端訪問」。在常規標籤中，咱們勾選「啓用×××客戶端訪問」，同時設置容許最大的×××客戶端數量爲100.，注意×××客戶端的最大數量不能超過地址池中的地址數。中定位到虛擬專用網絡，點擊右側任務面板中的「定義地址分配」。的第一步就是爲×××用戶分配一個地址範圍，這裏有個誤區，不少人認爲既然要讓×××用戶能訪問內網資源，那就給×××用戶直接分配一個內網地址就好了。例如本次實驗的內網地址範圍是10.1.1.1－10.1.1.254，那×××用戶的地址池就放在10.1.1.100－10.1.1.150吧。若是你的×××服務器是用Win2003的路由和遠程實現的，那這麼作是能夠的，路由和遠程訪問自己就只提供了×××的基本功能，對地址管理並不嚴格。但這麼作在ISA上是不能夠的，由於ISA是基於網絡進行管理的！內網是一個網絡，×××用戶是另外一個網絡，兩個網絡的地址範圍是不能重疊的！雖然咱們使用DHCP技術可使×××用戶也得到內網地址，但毫不推薦這麼作！由於在後期的管理中咱們會發現，把×××用戶放到一個單獨的網絡中，對管理員實現精確控制是很是有利的，管理員能夠單獨設定×××用戶所在網絡與其餘網絡的網絡關係，訪問策略，若是把×××用戶和內網用戶混在一塊兒，就享受不到這種管理的便利了。所以直接給×××用戶分配內網地址並不可取，咱們本次實驗中爲×××用戶設置的地址池是192.168.100.1－192.168.100.200，雖然這個地址範圍和內網大不相同，但不用擔憂，ISA會自動在兩個網絡之間進行路由。上的路由和遠程訪問進行配置，ISA2006會自動實現對路由和遠程訪問的調用。咱們先來看看ISA2006若是要實現×××功能須要進行哪些設置？，CA 服務器，Beijing是ISA2006 服務器，Istanbul模擬外網的客戶機。資源，這種訪問就屬於遠程訪問。怎麼才能讓外地員工訪問到內網資源呢？×××的解決方法是在內網中架設一臺××× 服務器，××× 服務器有兩塊 網卡，一塊鏈接內網，一塊鏈接公網。外地員工在當地連上互聯網後，經過互聯網找到××× 服務器，而後利用××× 服務器做爲跳板進入企業內網。爲了保證數據安全，××× 服務器和客戶機之間的通信數據都進行了加密處理。有了數據加密，咱們能夠認爲數據是在一條專用的數據鏈路上進行安全傳輸，就好像咱們專門架設了一個專用網絡同樣。但實際上×××使用的是互聯網上的公用鏈路，所以只能稱爲虛擬專用網。這下您確定明白了，×××實質上就是利用加密技術在公網上封裝出一個數據通信隧道。有了×××技術，用戶不管是在外地出差仍是在家中辦公，只要能上互聯網就能利用×××很是方便地訪問內網資源，這就是爲何×××在企業中應用得如此普遍。上述介紹的×××應用屬於×××用戶的單點撥入，×××還有一種常見的應用是在兩個內網之間架設站點到站點的×××，咱們今天先介紹如何建立單點撥入的×××，站點到站點的×××架設咱們在後續博文中介紹。？怎麼才能管理好××× 服務器？從今天起咱們將組織一個×××專題，系統地爲你們介紹××× 服務器的配置和管理，內容包括××× 服務器的單點撥入，站點到站點的×××，×××用戶隔離，×××結合Radius驗證，×××接合智能卡和證書等。今天先就爲你們介紹一下如何利用ISA2006來搭建一個本身的××× 服務器。

ISA Server教程相關閱讀