 上传我的文档
 下载
 收藏
该文档贡献者很忙，什么也没留下。
 下载此文档
正在努力加载中...
ISA2006经典教程
下载积分：30
内容提示：ISA2006经典教程
文档格式：PDF|
浏览次数：125|
上传日期： 19:29:25|
文档星级：
全文阅读已结束，如果下载本文需要使用
 30 积分
下载此文档
该用户还上传了这些文档
ISA2006经典教程
官方公共微信缓存服务器和***
ISA&&Server&缓存：可以减少在外部接口上使用的总带宽；可以大大减少对公共内容的访问
&&&&&&&&&&&&&&&&&次数；动态缓存可以自动刷新公共Web对象；可以减少网络使用高峰期
&&&&&&&&&&&&&&&&&的处理器消耗。
缓存类型：正向缓存、反向缓存、动态缓存
正向缓存：为加快内部用户访问Internet而在ISA&Server上设立的专门存储用户最常访问的
&&&&&&&&&&Web内容放入磁盘空间。
反向缓存：为加快外部用户访问内部Web服务器而在ISA&Server上设立的专门储存用户最
&&&&&&&&&&常访问的Web内容的磁盘空间。
动态缓存：自动更新缓存内的对象；
&&&&&&&&&&保证缓存中的对象保持最新；
***的作用：***让分布于各地的网络之间通过Internet来建立安全的私人隧道，而远程
&&&&&&&&&&&&用户也可以通过Internet来与公司建立***，让用户与公司网络之间能够安全
&&&&&&&&&&&&的联系。
ISA支持两种***：远程访问***连接；
&&&&&&&&&&&&&&&&&&站点到站点的***连接；
实现步骤：
设置***所使用的ip地址范围（ip不能是本地主机网络所在的范围）
设置身份验证（默认）
在&ISA上创建用户&aa，组***&，并把aa&加入到***组中。设置aa的拨入属性为允许访问。
配置***客户端
开启ISA上***
重启***服务
为了***客户端和内部能通讯，我们设置访问规则&
ISA+***+radius+客户端***
在DC上***CA
在DC上***radius服务
在DC上设置radius服务器
在ISA上设置***使用radius
使用域用户建立***连接，并在客户端申请用户***
在ISA&设置&
重启***服务
在DC上***域控制器***
在***客户端设置使用***
ISA+预共享密钥***
开启L2TP/IPsec协议
设置ISA上的***预共享密钥
设置客户端的***预共享密钥
ISA+***IPSec&***
在认证服务器和***服务器***计算机***
下载根***链，使***信任跟ＣＡ
重启***服务
在客户端***计算机***
下载根***链，使客户端信任跟ＣＡ
在客户端设置使用L2TP连接，取消预共享密钥
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。叶俊生 的BLOG
用户名：叶俊生
文章数：218
评论数：438
访问量：670269
注册日期：
阅读量：5863
阅读量：12276
阅读量：415393
阅读量：1102925
51CTO推荐博文
什么是***网络 --&见下图:
传统的***结构: ***网关和防火墙隔离开来& ***客户端可以全权访问内部网络资源& 网络防火墙只能提供有限的保护&
ISA Server ***结构: 集***网关和防火墙功能于一身& 可以灵活控制***客户端如何访问内部网络资源
ISA Server所支持的***功能: ***连接类型: 远程访问***& 站点到站点***&& 可支持的***协议: PPTP& L2TP& IPSec&& 可使用网络规则及访问规则来管理***网络与其它网络间的网络流量&& 支持***隔离控制功能&& ISA Server所支持之网络类型: ***客户端网络& 隔离的***客户端网络& 远程站点网络&
& ISA Server如何保护客户端连接: 广泛的协议支持: PPTP和L2TP/IPSec& 跨网络的IPSec NAT traversal(NAT-T)&& 身份验证: 活动目录使用已经存在的用户账户并且支持双向身份验证的PKI& RADIUS使用标准的非Windows用户账户数据库& SecurID使用令牌和RSA身份验证服务器提供强壮的双向身份验证& 所有跨越Internet的网络流量均被加密
& 如何配置ISA服务器支持远程访问的***呢?
& 我现在来到一台计算机名称叫做florence的计算机& 它是第一台ISA Server 2004服务器并且它也是配置存储服务器& 打开ISA服务管理器--展开阵列--按虚拟专用网络(***)--在右边任务选项的常规***配置里面按定义地址分配--在静态地址池里面按添加--在选择服务器里面选择florence(ISA服务器)--在指定IP地址范围里面输入192.168.1.1 -- 192.168.1.254按确定& 注意: 在ISA服务器上用于分配给***客户端的IP地址范围不可以是ISA服务器里面三块网卡IP地址的任何一个网段IP地址& 也就是说在指定IP地址范围里面不能输入10.1.1.1 - 10.1.1.100&& 23.1.1.1 - 23.1.1.100&& 39.1.1.1 - 39.1.1.100 这三个网段的IP地址范围& 为什么不可以输入同于ISA服务器任何一个网段的IP地址呢? 如果大家设置的IP地址是ISA服务器内网的网段的话 那么ISA服务器就会认为Internet客户端连接进来是以桥接的方式就会导致ISA服务器的网络元素会混乱的& 记得在ISA服务管理器里面按一下应用& 这是第一步& 第二步是启用***客户端访问&
& 按虚拟专用网络(***)--在任务选项的***客户端任务里面按启用***客户端访问& 此时它会自动帮你配置Windows Server 2003系统里面自带的路由和远程访问功能& 记得在ISA服务管理器里面按一下应用 &
&& 通过开始--程序--管理工具--选择路由和远程访问& 按F5键进行刷新一下& 看到了吗? 以前那个FLORENCE(本地)前面的红色图标变成绿色了& 表示已经启用路由和远程访问功能了& 注意: ISA服务器不是自己有路由和远程访问功能 它还是依赖于Windows Server 2003系统里面的路由和远程访问功能来实现的& 在ISA服务器上配置***服务器的话 它不但把路由和远程访问功能启用而且它也对自己做了一下调整& 什么调整呢?
& 按防火墙策略(FLORENCE)--在任务选项的策统策略任务里面按显示系统策略规则& 可以看到它自动配置了一个叫做12的系统策略规则& 在我们没有启用***客户端访问之前& 叫做12这条系统策略规则还是被禁用掉的& 以前这个图标是红色的& 现在红色图标去掉了 表示已经启用***客户端访问了&&
&& 我现在来到一台计算机名称叫做istanbul的计算机& 它是一台Internet客户端& 通过开始--设置--选择控制面板--双击新建连接向导& 接着下一步&
&& 在网络连接类型里面选择连接到我的工作场所的网络& 接着下一步
& 在创建下列连接里面选择虚拟专用网络连接& 接着下一步&
& 在公司名里面输入你公司的名称(Microsoft)& 接着下一步&
& 在主机名或IP地址(例如,或157.54.0.1)里面输入ISA服务器外部网卡IP地址(39.1.1.1)& 也就是说输入ISA服务器的公网IP地址& 接着下一步
& 在创建此连接,为里面选择只是我使用就可以了& 接着下一步
& 这是最后一步了& 按完成就ok了
& 在连接Microsoft里面输入用户名(Administrator)和密码& 按连接&
&& 此时它出现一个错误649: 本账户没有拨入的权限& 按关闭& 这个时候怎么办呢?& 有二种方法可以解决的& 第一种方法是我们需要到ISA服务器的计算机管理器里面把Administrator这个用户的远程访问权限(拨入或***)里面的允许访问选择上才可以了& 第二种方法是把ISA服务器的路由和远程访问功能里面的远程访问策略属性里面的如果一个连接请求匹配指定条件里面选择授予远程访问权限
& 我来到ISA服务器这边& 通过开始--运行--输入compmgmt.msc按确定来打开计算机管理--展开本地用户和组--按用户--对着Administrator右键--选择属性--按拨入--在远程访问权限(拨入或***)里面选择允许访问& 按确定
& 看到了吗?& 现在是不是可以拨入了--&Microsoft 现在已连接& 打开命令提示符--输入ipconfig按回车键& 你会发现客户端不仅有一个公网的IP地址(39.1.1.8)而且它还获得一个ISA服务器分配给它的IP地址(192.168.1.3)& 如果你打开Microsoft现在已连接--按详细信息--你会发现服务器IP地址是192.168.1.1& 那这台服务器是谁呢?& 它就是ISA服务器
&& 我来到ISA服务器这边& 打开命令提示符--输入ipconfig按回车键& 看到了吗?& ISA服务器是不是多出一个IP地址: 192.168.1.1&
&& 我现在来到***客户端这边& 打开命令提示符输入ping 10.1.1.1(ISA服务器内部网卡IP地址) ping 39.1.1.1(ISA服务器外部网卡IP地址)按回车键& 此时你会发现都不能Ping通& 为什么不能够通讯呢?& 因为我还没有在ISA服务器上创建阵列访问规则允许它们能够通讯&& 注意: ISA服务器本身作为一个路由通讯& 因为ISA服务器的安全要求很高的 如果你不在ISA服务器上创建阵列访问规则允许***客户端能够访问到企业内部网络& 即使你使用***拨入企业内部网络中了 也无法和企业内部网络通讯的& 实际上当你使用***拨入企业内部网络中的之后& 192.168.1.0 这个网段的所有IP地址就能够跟10.1.1.0(ISA服务器内部网段)网段进行路由通讯了& 是否能够通讯还取决于ISA服务器上已经创建了对应的规则& 只要你把所有的阵列访问规则都创建好就ok了
& 我现在来到ISA服务器这边创建阵列访问规则& 为什么是创建阵列访问规则而不是发布呢?& 因为***客户端和ISA服务器内部是路由的关系& 按防火墙策略(FLORENCE)--在任务选项的阵列策略任务里面按创建阵列访问规则--访问规则名称就叫做允许***客户端网络Ping及网络访问内部网络吧& 接着下一步&
& 在符合规则条件时要执行的操作里面选择允许& 接着下一步&
& 在此规则应用到里面选择所选的协议--按添加--把Ping和Microsoft CIFS(TCP)这两种协议都添加在协议里面--按关闭& 接着下一步
& 在此规则应用于来自这些源的通讯里面按添加--展开网络--按***客户端--按添加--按关闭& 接着下一步
& 在此规则应用于发送到这些目标的通讯里面按添加--展开网络--按内部--按添加--按关闭& 接着下一步&
& 在此规则应用于来自下列用户集的请求里面保留默认值(所有用户)& 接着下一步
&&& 这是最后一步了& 按完成&
&& 我再来创建一条阵列访问规则--访问规则名称就叫做允许***网络Ping本地主机吧& 接着下一步& &
& 在符合规则条件时要执行的操作里面选择允许& 接着下一步
& 在此规则应用到里面选择所选的协议--按添加--展开通用协议--按Ping--按添加--按关闭& 接着下一步
&& 在此规则应用于来自这些源的通讯里面按添加--展开网络--按***客户端--按添加--按关闭& 接着下一步
& 在此规则应用于来自下列用户集的请求里面保留默认值(所有用户)& 接着下一步
&& 这是最后一步了& 按完成& 注意: 记得在ISA服务管理器里面按一下应用&& 这样一旦用户通过***的方式连接上来 它就会被扔在***客户端网络里面 它就可以去访问到企业内部网络和Ping企业内部网络也可以Ping ISA服务器了&
& 我来到计算机名称叫做istanbul这台计算机& 它是一台Internet客户端& 在命令提示符里面输入ping 10.1.1.6(第一台DC的IP地址)按回车键& 看到了吗? 现在已经可以Ping通了& 为什么TTL=127呢?& 那是因为它经过一个ISA服务器& ISA服务器本身就作为一个路由器来通讯的 每经过一个路由器TTL值就会减1& 所以看到TTL=127& 通过开始--运行--输入\\10.1.1.6按确定& 看到了吧?& 现在Internet客户端是不是能够访问到企业内部的资源了&
& 当ISA服务器不在域里面 但是企业内部的环境是一个域 我是用域用户来验证的 这个时候怎么样去做呢？此时可以使用RADIUS服务器来做验证& 也就是说ISA服务器可以把请求交给一个RADIUS服务器然后RADIUS服务器找DC来验证 首先你需要找一台Windows Server 2003加入域的计算机 然后在这台计算机上的添加/删除Windows组件里面把Internet验证服务***上& ***完成Internet验证服务之后 它就支持RADIUS协议了& 注意: 请确保在DC上也***了Internet验证服务&
& 我现在来到一台计算机名称叫做denver的计算机& 它是第一台DC也可以把它叫做全局编录服务器& 我已经把Internet验证服务***在这台计算机里面了& 通过开始--程序--管理工具--选择Internet验证服务& 对着RADIUS客户端右键--选择新建RADIUS客户端--好记的名称就叫做ISA客户端吧--在客户端地址(IP或DNS)里面输入10.1.1.1(ISA服务器内部网卡IP地址)& 接着下一步&
&& 注意: 在客户端-供应商里面选择RADIUS Standard不要选择Microsoft& 因为只有当***服务器是直接使用Windows Server 2003自带的路由和远程访问功能来实现的& 你才能选择Microsoft作为RADIUS客户端& 因为我现在是使用ISA服务器来做***服务器的& 所以我在这里面选择RADIUS Standard了& 输入共享的机密和确认共享机密& 把请求必须包括消息验证程序属性沟上& 按完成&
& 对着远程访问策略右键--选择新建远程访问策略& 接着下一步&
&& 策略名就叫做***客户端策略吧& 接着下一步
& 在选择您想创建的策略的访问方法里面选择***& 接着下一步
& 在根据以下授予访问权限里面选择组--按添加--在输入对象名称来选择里面输入Domain Users--按确定& 接着下一步&
& 在身份验证方法里面把Microsoft加密身份验证版本2(MS-CHAPv2)沟上& 接着下一步&
& 在策略加密级别里面把增强加密(IPSec56位 DES 或MPPE 56位)沟上& 接着下一步
& 这是最后一步了& 按完成& 这样我就创建了一条***客户端策略来应用那些***客户端了
&& 在Internet验证服务里面按远程访问策略--打开***客户端策略& 你会看到在策略状况里面有二个条件& 就是说用户同时满足这两条件才能使用***方式拨进来& &
& 我现在来到ISA服务器这边& 在ISA服务管理器的阵列里面按虚拟专用网络(***)--在右边任务选项的常规***配置里面按指定RADIUS配置--把使用RADIUS进行身份验证和使用RADIUS记账(记录)都沟上--按RADIUS服务器--按添加--把总是使用消息验证程序沟上--在服务器名里面输入10.1.1.6(RADIUS服务器的IP地址也就是denver那台计算机的IP地址)--按更改--输入新机密和确认新机密& 按确定& 现在ISA服务器为什么要使用RADIUS呢? 因为现在这台ISA服务器没有加入域 也就是说它自身都没法完成客户端使用的域用户的这种身份验证的请求 它必须转发给RADIUS服务器来做验证
&& 我现在来到第一台DC这边& 通过开始--运行--输入dsa.msc按确定来打开Active Directory用户和计算机--按Users--对着Administrator右键--选择属性--按拨入--在远程访问权限(拨入或***)里面选择允许访问--按确定
& 我现在来到istanbul这台计算机& 它是一台Internet客户端& 我已经在这台计算机上***Internet验证服务了& 在虚拟专用网络里面打开Microsoft连接--按属性--按选项--把包含Windows登录域沟上--按确定& 在连接Microsoft里面输入用户名(Administrator)和密码--在域里面输入YEJUNSHENG--按连接&
& 看到了吗?& 现在Microsoft已经成功连接了
& 我现在来到ISA服务器这边& 在路由和远程访问里面按远程访问客户端--看到了吗?& 它现在拨入***使用的身份是域管理员的身份(YEJUNSHENG\administrator)& 在ISA服务管理器里面按监视--在会话里面你可以看到这个***客户端同样会被扔在一个叫做***客户端网络里面--可以看到它现在是使用administrator的身份拨入的--获得一个IP地址是192.168.1.7&本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)