ISA 2006 如何啓用WPAD自動發現模式

     ISA 2006 如何啓用WPAD自動發現模式

 

     WPAD 是 Web Proxy AutoDiscovery Protocol 的縮寫 , 意思是 WEB 代理自動發現協議 , 要想讓此協議發揮功效咱們必須藉助於 DNS DHCP 服務 , 客戶端藉助 DNS 查詢 DHCP 分發獲得 IP 地址來確認 WPAD 服務器 (ISA SERVER) 是誰 , 而 WPAD 服務器經過內置的 2 個自動配置腳本爲客戶端的瀏覽器 (IE) 作設置 , 這 2 個腳本分別爲 wpad.dat( 供 WEB 代理使用 ) 另外的是 wspad.dat( 供防火牆客戶端使用 ),

  如今企業中使用 ISA 服務做爲前端防火牆的比較多 , 相比較而言 , 企業中使用 WEB PROXY 比較多 , 緣由是部署簡單 , 易操做 , 徹底能知足企業的需求 , 今天我在這裏着重介紹 WEB 代理

  先說一下實驗環境 ,

 Virtual Server 2005 R2 Enterprise

 

1 ISA 2006   ISA 服務器    

2 AD        域控制器

Client 1      域客戶端

Client 2      工做組

  實驗目的

  利用組策略部署 WPAD, 測試經過身份驗證訪問網絡資源

  相信你們對裝 ISA ,AD 部署步驟應該比我熟悉 , 在這裏我就很少介紹了 ,

  首先在 Active Directory 用戶和計算機上添加 , 銷售部 OU, 銷售部內添加用戶 zs( 張三 )

有時候爲了工做方便咱們都會創建一個通用用戶 , 目的是爲了方便外來人員或非域用戶訪問企業內一些可有可無而必不可少的資源 , 好比打印機 , 非涉密文檔 , 在這裏我添加的用戶是爲 WEB 代理作準備 , 不過必定要注意此帳號密碼必定是永不過時 , 由於默認的域密碼策略 , 密碼過時爲 42 天

通用帳號爲 test\test

下面創建一條ISA 訪問策略,策略爲 內部訪問外部WEB

選擇訪問 WEB 容器內的內容

訪問規則源爲 本地主機 , 內網 --> 外部

 

  在這裏要注意的是 , 不能選擇全部用戶 , 緣由是選擇全部用戶 , 這條策略就毫無心義了 , 基於一些奇怪的理由在企業內總有些部門和用戶是不能訪問外部網絡 , 爲了更好的管控企業網絡流量和訪問控制 , 咱們必須在訪問上作些限制 , 爲了體現出效果 , 在這裏我選擇 Domain Users 爲訪問條件 , 作這條策略 , 換句話說你必須是域用戶才能訪問外網 , 不然想瀏覽外部網頁門都沒有 !

 在 DNS 添加 WPAD 記錄 , 打開 DNS, 右鍵填加別名記錄 ,

別名爲     wpad

FQDN爲 wpad.test.com,

目標主機爲ISA服務器 1ISA.test.com

打開 DHCP, 在服務器名稱上右鍵選擇 : 設置預約義的選項

 名稱 : WPAD, 數據類型 : 字符串 , 代碼 :252, 描述 :WPAD

字符串 :[url]http://1ISA.test.com[/url] 8080/wpad.dat

配置選項 , 選擇 252 WPAD

安裝 GPMC 組策略控制檯

新建一條 ISA Server WEB Proxy Policy 策略進行編輯

選擇用戶配置下的 IE 維護鏈接選項

在代理設置內填寫 1ISA.test.com 端口爲 8080

 將編輯好的策略拖拉到你想要控制的部門 OU 上按肯定

選擇強制

查看策略是否正確

確認完畢後不要忘記策略刷新

接下來咱們到 Client1 上測試這臺電腦是否符合實驗目的

首先看一下登錄環境 , 確認是不是域客戶端及登錄帳號是否正確

IE-> 屬性 -> 鏈接 -> 局域網設置 , 查看是否已經獲得域策略 , 肯定準確無誤後打開 IE 訪問外網 WEB

 接下來查看 Client 2 是否符合實驗要求 , Client 2 是一臺工做組計算機 , 相關的 IP 是從 2AD 服務器上的 DHCP 抓取到的 , 由於已經 DHCP 已經作了 WPAD 的設置 , 只要 DHCP 不宕機， Client 2 是應該能獲得 WPAD 的運行腳本的

 打開 IE 輸入想要訪問的網址 , 這時候你會看見對話框 , 這個對話框也就是要求驗明身份的對話框 , 在用戶不知道公用賬戶和密碼的時候應該是訪問不了外部網站的 , 在此要提醒各位的是 , 爲了不產生其餘麻煩必定要注意保管好企業公用帳號 , 不然你根本沒法管控你的員工 !