ISA2006客户端类型.doc

ISA 2006 客户端类型 ISA的代理服务支持三种客户端，分别是: Web代理客户端 Secure NAT客户端 防火墙客户端 一、web 代理客户端 1）设置简单，功能有限。既有DNS转发功能、支持身份验证 客户端IP设置、IP和子网就可以上网了，但这里是域环境需要设DNS 2）ISA默认拒绝所有通信，所以要先创建一条内网访问外网的访问规则 在此以IE、QQ为例： 在IE菜单栏上、工具、Internet 选项、连接、局域网设置、下图： 代理服务器、输入ISA内网IP、端口 ISA默认已启用代理： 查看：展开ISA管理控制台、阵列、配置、网络、网络、双击内部、单击web代理：如下图所示： ? 要是手动在每台客户机上设置、不用说工作量非常大 下面用GPO来分发下去 3）DC上设置 新建一条组策略，在此就做过多的讲解了 ? 双击：代理设置、这里只设置了HTTP”这里应该用内部NLB IP” 现在以域用户在客户机上登录、打开IE设置查看下： 以经起作用了，但这里只设置了一个HTTP所示没有出现ISA地址、单击高级 如果、选择对所有协议均使用相同的代理服务器、在上图地址和端口就不会是恢色的了 4）测试 ? 可以访问外网 在QQ上设置好代理、单击、测试、工作正常说明可以上QQ了 二、Secure NAT客户端 1）将网关指向ISA的内网IP即可。结合DHCP服务器就更简单了，客户机网卡选择自动获得IP即可。 2）无任何限制、但没有DNS转发功能、不支持身份验证 三、防火墙客户端 1）需要在客户端上安装防火墙组件、可以通过组策略来分发、这就方便多 2）支持DNS转发、身份验证、无任何限制 客户端软件位于ISA光盘里 ? 先把CLIENT文件夹复制到本地、共享出来！ 3）在DC上打开组策略、这里就用刚才哪条来做。 ? 右击——新建、程序包 ? 在文件名里输入UNC路径：再点击、打开、就现上图：双击“MS_FWC.msi”弹出下图： 确定、经过测试分发给用户的，Domain Users的用户没权限安装、计算机是可以的、这怎么办、办法是有的、 打开给策略 在受限制的组里右击添加组：弹出下图 注意：这个不是域里的组、确定、 点击——添加——浏览找到Domain users组、确定 4）在客户机上打开Power users组属性、可以看到 ? ? ? 单击——添加即可 默认不会自动检测到ISA服务器、需要手动、客户端太多手动工作量非常大、 下面用到WPAD来实现自动的 ? 四、WPAD WPAD实现防火墙客户端自动检测ISA服务器 WPAD是Web Proxy Auto Discovery的缩写，意思是Web代理服务器自动发现。WPAD的目的是让浏览器、防火墙客户端自动发现代理服务器、这样用户无需知道哪台计算机是代理服务器、就可以轻松访问互联网。WPAD对管理员分担了不了工作量、 一、在ISA服务器上启用WPAD 展开ISA配置、网络、双击内部、弹出下图： 选择——自动发现、勾上“为此网络发布自动发现信息”此时ISA服务就在80端口上发布了、WPAD.DAT和WSPAD.DAT文件、DNS实现只能用80端口 客户机向DNS发出查询WPAD主机的80端口下载WPAD.DAT或WSPAD.DAT。WPAD.DAT可用于配置客户机浏览器，让浏览器自动发现代理服务器；WSPAD.DAT则用于配置客户机上的防火墙客户端自动发现代理服务器。测试一下 ? IE上自动勾上，自动检测设置 一、用DNS来实现 1）在DNS上创建一条WPAD别名记录指向ISA内网A记录 ? 或创建条WPAD、A记录指向ISAIP也行、建议用别名“这么一步简单” 2）在客户端上打开防火墙客户端软件 ? 立即检测——“阵列中的应该创建一条WPAD、A记录IP为内部的NLB 、IP” 但前提是要把网卡指向DNS ? 支持手工设置IP和DHCP分发 二、DHCP来实现“ISA可以在任意端口上发布WPAD、WSPAD“ 在测试之前先把DNS里的WPAD别名删除 在DHCP上右击服务名 ? 弹出下图： 单击添加—— 名称：WPAD 数据类型：字符串 代码：252 ——确定——弹出下图： ? ? 在字符串里输入：[url]http://isa1/wpad.dat[/url]”ISA1是指服务器、要是端口有改就可ISA1：跟端口“ 阵列中应该用NLB、IP 单击——弹出下图 点击——确定 还要把DNS分配给客户端、因为需要DNS来解析名称到IP 完成！ ? 补充:用ISA内部的 NLB的IP 三、WINS 在工作组环境下用WINS来完成方便一点 安装上WINS 打开WINS控制台 右击——新建静态映射 ISA 内部IP ——显示记录——在弹出一个向导单击——立即查找 哪么现在只要在客户端上指