實戰ISA三種客戶端部署方案（上）

 ISA2006實戰系列之一：實戰ISA三種客戶端部署方案（上）

2009-02-12 12:14:19

    各位都知道，在企業裏部署完ISA服務器後，咱們就要統一部署ISA客戶端，這樣才能更好的控制內網用戶如何經過ISA服務器來訪問公網資源。對於ISA有三種客戶端：

1. Web Proxy客戶端

2. Secure NAT客戶端

3. FireWall Client

 

對於三者的區別：

1. SNAT不對用戶身份進行驗證，而Web代理和Firewall client對用戶身份進行驗證。

2. Web Proxy和SNAT通用性強，便可以linux和Windows客戶端使用。而Firewall僅對Windows有效。

3. 對DNS轉發功能的支持：Web proxy和Firewall client支持，而SNAT不支持。

4. 對協議的支持：Firewall Client和SNAT支持最普遍，幾乎支持全部的協議。而Web Proxy僅支持HTTP、HTTPS、FTP等少許的幾個。

5. 配置：SNAT和Web Proxy無需額外軟件，而FireWall client須要安裝ISA的客戶端軟件。

 

    在實際配置客戶端時，可使用三者中任意，最多能夠都使用，若是ISA 的三種客戶端都使用，則優先順序：

通常狀況下：先走FireWall再走Web proxy最後再走SecureNAT。

但若是訪問Web時走Web Proxy，Ping時走SecureNAT，其它服務走Firewall。

 

但對於這三種客戶端如何進行配置呢？今天的實驗拓樸以下所示：

 

假設咱們的內部網絡採用域環境，域名是contoso.com。咱們經過組策略來完成三種客戶端的配置：

 

1、Web Proxy客戶端的配置：

其實就是把全部的客戶端的IE瀏覽器配置使用ISA做爲代理服務器。以下圖所示：

打開任意一個客戶端的IE瀏覽器，選工具菜單---Internet選項：

 

下面咱們經過在Denver這臺DC上利用組策略來完成全部客戶端的統一配置。

打開dsa.msc工具，右擊contoso.com這個域---選屬性，編輯默認的 default domain policy，找到以下所示：

 

 

而後全部的客戶端重啓或登陸時，設置完畢！

 

2、SNAT客戶端的配置：

這個配置其實就是把全部客戶端的網關統一指向ISA的內網卡，在本例裏就是10.1.1.1。

爲了統一配置，咱們能夠利用DHCP來爲內網的客戶端統一分配IP和網關。

仍是讓Denver作DHCP服務器，安裝完DHCP組件後，啓用DHCP控制檯，以下所示操做：

先選擇上圖中的」受權「，容許此DHCP服務器向個提供DHCP功能。再右擊以下：

 

新建做用域，以下：

 

取名S1，並單擊下一步：

 

輸入IP地址範圍和子網掩碼，再單擊下一步：

 

不添加排除：

 

不改變租約以下：

 

利用嚮導完成配置選項，如網關的設置等，單擊下一步：

 

添加網關，並單擊下一步，對後面的兩個頁面不作處理，直接單擊下一步，以下所示：

 

選擇「激活此做用域」，單擊下一步完成配置。以下所示：

 

已經完成了服務器端的配置，在Istanbul這臺客戶機上，設置「自動得到」IP地址，以下所示，成功的從DHCP得到了IP地址等，包括網關。

 

至此，SNAT客戶端配置完成！！

 

3、FireWall Client客戶端的配置：

    這種類型須要爲全部客戶端安裝ISA的客戶端軟件，若是你是ISA2004，在ISA服務器能夠經過添加ISA組件的方式把共享安裝到ISA這臺機器上，若是是ISA2006，能夠把共享從ISA2006的安裝光盤上拷到Denver上，並共享。

 

ISA2006光盤目錄下有一個client目錄，這裏是所須要的軟件。

 

把上述這個目錄拷出並共享。

 

如何讓全部的客戶端安裝這個軟件呢？咱們經過組策略來分發。以下過程：

打開Denver上的Dsa.msc後，仍是編輯default domain policy，在軟件設置下進行操做，如圖所示：

 

單擊新建--程序包所圖所示：

 

找到這個共享路徑下的安裝包，選中後，單擊「打開」，以下：

 

選擇「已發佈」，單擊肯定。以下所示：

 

已經發布成功，但爲了讓全部的域用戶登陸後，自動安裝這個軟件，咱們調整一下，右擊這個發佈的軟件，選屬性，以下圖：

 

 

必定要在上圖中選擇「在登陸時安裝此應用程序」，這樣域內的用戶登陸時，會在登陸過程當中安裝軟件，以下所示：

 

 根據狀況，可能這臺客戶要從新啓用計算機，再次登陸後進入桌面，會發如今任務欄的最右面多了一個圖標，以下所示：

 

雙擊這個圖標，打開以下：但顯示「沒有檢測到ISA服務器」，怪了，這是怎麼回事？

 

其實並不奇怪，這是FireWall客戶端並無發現ISA服務器，沒有發現那就意味着FireWall Client不生效，因此咱們還得用後續的配置，讓咱們的FireWall Client能自動發現ISA服務器，這就是所謂的WPAD。

 

先賣個關子，在下節課咱們會隆重推出WPAD的配置。讓客戶端能真正的完成自動配置！

 

本文出自 「千山島主之微軟技術空間站」 博客，請務必保留此出處http://jary3000.blog.51cto.com/610705/130422