非常感謝Ronald Beekelaar，他做的ISA Server 2004 LAB是如此的精致，只需要我些許的修改幾個(gè)地方，就可以完成這個(gè)比較復(fù)雜的試驗(yàn)）

很多朋友提出了在域環(huán)境中不能正確配置ISA Server 2004的問(wèn)題，主要集中在無(wú)法引用域用戶和DNS無(wú)法解析。在這篇文章中，我以一個(gè)域環(huán)境實(shí)例，來(lái)給大家介紹如何在域環(huán)境中配置ISA Server 2004。從這篇文章，你可以學(xué)習(xí)到如何在域環(huán)境中配置ISA防火墻、啟用域用戶的身份驗(yàn)證、配置內(nèi)部客戶、配置域控上的DNS轉(zhuǎn)發(fā)和建立訪問(wèn)規(guī)則。

這個(gè)試驗(yàn)的網(wǎng)絡(luò)拓樸結(jié)構(gòu)如下圖所示：

這是一個(gè)由三臺(tái)計(jì)算機(jī)組成的域環(huán)境，也許看起來(lái)很簡(jiǎn)單，但是卻已經(jīng)足以模擬域環(huán)境中配置ISA Server中的大部分操作。其中：

• Denver（DC/Dns server）
  FQDN：denver.contoso.com；
  IP ：10.2.1.2/24；
  DG：10.2.1.1；
  DNS：10.2.1.2；

備注：這是一臺(tái)域控，默認(rèn)網(wǎng)關(guān)是ISA Server的內(nèi)部接口，DNS設(shè)置為本機(jī)。

• Florence （ISA Server 2004）
  FQDN：Florence（目前還處于工作組環(huán)境，沒有加入域，我會(huì)在后面的操作中將其加入域）；
  （1）Internal Interface：
  IP：10.2.1.1/24
  DG：none
  DNS：10.2.1.2
  （2）External Interface：
  IP：61.139.1.1/24
  DG：61.139.1.1
  DNS：none

備注：ISA Server上的IP設(shè)置比較講究，首先DNS只能設(shè)置為內(nèi)部AD的DNS服務(wù)器，然后默認(rèn)網(wǎng)關(guān)為外部出口。

• Sydney（Dns/Web server）
  FQDN：www.isacn.org
  IP：61.139.1.2/24
  DG：61.139.1.1
  DNS：61.139.1.2

備注：這臺(tái)計(jì)算機(jī)用來(lái)模擬外部的DNS和Web服務(wù)器。后面我們會(huì)在內(nèi)部的DC上設(shè)置DNS的轉(zhuǎn)發(fā)，將非域的DNS解析請(qǐng)求轉(zhuǎn)發(fā)到此DNS服務(wù)器上，然后通過(guò)域名www.isacn.org來(lái)訪問(wèn)這臺(tái)Web服務(wù)器上的一個(gè)Web站點(diǎn)。

在這篇文章中，我們會(huì)通過(guò)以下步驟來(lái)為內(nèi)部域中配置ISA Server 2004防火墻：

• 在獨(dú)立服務(wù)器上安裝ISA防火墻；
• 將ISA防火墻計(jì)算機(jī)加入域；
• 在ISA防火墻上對(duì)域管理員進(jìn)行ISA完全控制的授權(quán)；
• 建立通過(guò)驗(yàn)證的域管理員訪問(wèn)外部所有協(xié)議的訪問(wèn)規(guī)則；
• 測(cè)試該訪問(wèn)規(guī)則，通過(guò)IP地址來(lái)訪問(wèn)外部的Web服務(wù)器；
• 在內(nèi)部AD的DNS服務(wù)器上設(shè)置DNS轉(zhuǎn)發(fā)；
• 建立訪問(wèn)規(guī)則，允許內(nèi)部網(wǎng)絡(luò)的所有用戶訪問(wèn)外部的DNS服務(wù)；
• 測(cè)試內(nèi)部DNS解析請(qǐng)求的轉(zhuǎn)發(fā)，并通過(guò)域名來(lái)訪問(wèn)外部的Web站點(diǎn)；
• 配置ISA防火墻，允許其訪問(wèn)外部站點(diǎn)

1、在獨(dú)立服務(wù)器上安裝ISA防火墻

關(guān)于ISA Server 2004的安裝已經(jīng)有多篇文章介紹了，在此就不重復(fù)。根據(jù)本次試驗(yàn)的網(wǎng)絡(luò)拓樸結(jié)構(gòu)，在內(nèi)部網(wǎng)絡(luò)選擇時(shí)，通過(guò)添加適配器來(lái)勾選內(nèi)部網(wǎng)絡(luò)接口就可以了。安裝好后，內(nèi)部網(wǎng)絡(luò)如下圖所示：

此時(shí)，在防火墻策略中只有默認(rèn)規(guī)則：

雖然只有默認(rèn)規(guī)則，但是ISA防火墻的系統(tǒng)策略中是允許ISA防火墻訪問(wèn)域服務(wù)，所以我們依然可以訪問(wèn)內(nèi)部的域。

2、將ISA防火墻計(jì)算機(jī)加入域

現(xiàn)在我們需要將Florence加入到內(nèi)部域中。使用管理員賬號(hào)登錄Florence，右擊我的電腦，打開系統(tǒng)屬性，然后在計(jì)算機(jī)名頁(yè)，點(diǎn)擊更改；在彈出的計(jì)算機(jī)名稱更改頁(yè)，點(diǎn)擊隸屬于列表下面的域，然后輸入內(nèi)部域的名字Contoso.com，然后點(diǎn)擊確定。

此時(shí)，系統(tǒng)會(huì)讓你輸入有加入該域權(quán)限的賬戶，輸入域管理員賬號(hào)和密碼，點(diǎn)擊確定；

系統(tǒng)驗(yàn)證無(wú)誤后，會(huì)彈出歡迎加入contoso.com域的對(duì)話框，點(diǎn)擊確定；

系統(tǒng)會(huì)提示你需要重啟計(jì)算機(jī)，點(diǎn)擊確定，然后重啟ISA防火墻計(jì)算機(jī)；

3、在ISA防火墻上對(duì)域管理員進(jìn)行ISA完全控制的授權(quán)

由于我是先安裝ISA Server 2004，然后再加入域，此時(shí)，域管理員沒有對(duì)ISA Server的管理權(quán)限。如果是計(jì)算機(jī)先加入域然后再安裝ISA Server，那么域管理員也會(huì)有完全的管理權(quán)限，這一步就可以省略了。

現(xiàn)在，我們需要對(duì)域管理員進(jìn)行ISA Server的完全管理授權(quán)：

首先使用本地管理賬戶登錄ISA計(jì)算機(jī)，

打開ISA管理控制臺(tái)，點(diǎn)擊常規(guī)，再點(diǎn)擊右邊面板的管理委派，

此時(shí)彈出ISA服務(wù)器管理委派向?qū)?/B>，點(diǎn)擊下一步；

在委派控制頁(yè)，點(diǎn)擊添加；

在管理委派對(duì)話框，點(diǎn)擊瀏覽；

在選擇用戶和組對(duì)話框，輸入contoso\domain admins，點(diǎn)擊確定；

由于此時(shí)是登錄到本機(jī)，沒有contoso域的瀏覽權(quán)限，所以系統(tǒng)會(huì)提示你輸入對(duì)contoso.com有權(quán)限的賬號(hào)，在此輸入域管理員賬號(hào)，點(diǎn)擊確定；

然后在管理委派頁(yè)點(diǎn)擊確定；

在委派控制頁(yè)，點(diǎn)擊下一步；

在完成管理委派向?qū)?/B>頁(yè)，點(diǎn)擊完成；

4、建立通過(guò)驗(yàn)證的域管理員訪問(wèn)外部所有協(xié)議的訪問(wèn)規(guī)則

現(xiàn)在我們可以使用域管理員賬號(hào)來(lái)登錄了，

然后打開ISA管理控制臺(tái)，右擊防火墻策略，然后點(diǎn)擊新建，選擇訪問(wèn)規(guī)則；

在新建訪問(wèn)規(guī)則向?qū)ы?yè)，輸入規(guī)則的名字，在此我們命名為Allow Domain Admins access External，點(diǎn)擊下一步；

在規(guī)則操作頁(yè)，選擇允許；點(diǎn)擊下一步；

在協(xié)議頁(yè)，選擇所有出站通訊，點(diǎn)擊下一步；

在訪問(wèn)規(guī)則源頁(yè)，選擇內(nèi)部，點(diǎn)擊下一步；

在訪問(wèn)規(guī)則目標(biāo)頁(yè)，選擇外部，點(diǎn)擊下一步；

在用戶集頁(yè)，刪除默認(rèn)的所有用戶，點(diǎn)擊添加，

在添加用戶對(duì)話框，點(diǎn)擊新建；

在歡迎使用新建用戶集向?qū)?/B>頁(yè)，輸入用戶集名稱，在此我們命名為Domain Admins，點(diǎn)擊下一步；