在域环境中配置ISA Server 2004

How to ：在域环境中配置ISA Server 2004 （非常感谢Ronald Beekelaar ，他做的ISA Server 2004 LAB 是如此的精致，只需要我些许的修改几个地方，就

How to ：在域环境中配置ISA Server 2004 （非常感谢Ronald Beekelaar ，他做的ISA Server 2004 LAB 是如此的精致，只需要我些

许的修改几个地方，就可以完成这个比较复杂的试验）

很多朋友提出了在域环境中不能正确配置ISA Server 2004的问题，主要集中在无法引用域用户和DN S 无法解析。在这篇文章中，我以一个域环境实例，来给大家介绍如何在域环境中配置ISA Server 200

4。从这篇文章，你可以学习到如何在域环境中配置ISA 防火墙、启用域用户的身份验证、配置内部客户、配置域控上的DNS 转发和建立访问规则。

这个试验的网络拓朴结构如下图所示：

这是一个由三台计算机组成的域环境，也许看起来很简单，但是却已经足以模拟域环境中配置ISA Serve r 中的大部分操作。其中：

∙ Denver （DC/Dns server ）

FQDN ：denver.contoso.com ；

IP ：10.2.1.2/24；

DG ：10.2.1.1；

DNS ：10.2.1.2；

备注：这是一台域控，默认网关是ISA Server 的内部接口，DNS 设置为本机。 ∙ Florence （ISA Server 2004）

FQDN ：Florence （目前还处于工作组环境，没有加入域，我会在后面的操作中将其加入域）；

（1）Internal Interface ：

IP ：10.2.1.1/24

DG ：none

DNS ：10.2.1.2

（2）External Interface ：

IP ：61.139.1.1/24

DG ：61.139.1.1

DNS ：none

备注：ISA Server 上的IP 设置比较讲究，首先DNS 只能设置为内部AD 的DNS 服务器，然后默认网关为外部出口。

∙ Sydney （Dns/Web server ）

FQDN ：www.isacn.org

IP ：61.139.1.2/24

DG ：61.139.1.1

DNS ：61.139.1.2

备注：这台计算机用来模拟外部的DNS 和Web 服务器。后面我们会在内部的DC 上设置DNS 的转发，将非域的DNS 解析请求转发到此DNS 服务器上，然后通过域名www.isacn.org 来访问这台Web 服务器上的一个Web 站点。

在这篇文章中，我们会通过以下步骤来为内部域中配置ISA Server 2004防火墙：

∙

∙

∙

∙

∙

∙

∙

∙

∙

∙

∙ 在独立服务器上安装ISA 防火墙； 将ISA 防火墙计算机加入域； 在ISA 防火墙上对域管理员进行ISA 完全控制的授权； 建立通过验证的域管理员访问外部所有协议的访问规则； 测试该访问规则，通过IP 地址来访问外部的Web 服务器； 在内部AD 的DNS 服务器上设置DNS 转发； 建立访问规则，允许内部网络的所有用户访问外部的DNS 服务； 测试内部DNS 解析请求的转发，并通过域名来访问外部的Web 站点； 配置ISA 防火墙，允许其访问外部站点 1、在独立服务器上安装ISA 防火墙 关于ISA Server 2004的安装已经有多篇文章介绍了，在此就不重复。根据本次试验的网络拓

朴结构，在内部网络选择时，通过添加适配器来勾选内部网络接口就可以了。安装好后，内部网络如下图所示：

∙

∙ 此时，在防火墙策略中只有默认规则：

∙

∙ 虽然只有默认规则，但是ISA 防火墙的系统策略中是允许ISA 防火墙访问域服务，所以我们依然

可以访问内部的域。

∙

∙ 2、将ISA 防火墙计算机加入域

∙ 现在我们需要将Florence 加入到内部域中。使用管理员账号登录Florence ，右击我的电脑，打

开系统属性，然后在计算机名页，点击更改；在弹出的计算机名称更改页，点击隶属于列表下面的域，然后输入内部域的名字Contoso.com ，然后点击确定。

∙

∙ 此时，系统会让你输入有加入该域权限的账户，输入域管理员账号和密码，点击确定；

∙

∙ 系统验证无误后，会弹出欢迎加入contoso.com 域的对话框，点击确定；

∙

∙ 系统会提示你需要重启计算机，点击确定，然后重启ISA 防火墙计算机；

∙

∙

∙ 3、在ISA 防火墙上对域管理员进行ISA 完全控制的授权 由于我是先安装ISA Server 2004，然后再加入域，此时，域管理员没有对ISA Server 的管

理权限。如果是计算机先加入域然后再安装ISA Server ，那么域管理员也会有完全的管理权限，这一步就可以省略了。

∙

∙ 现在，我们需要对域管理员进行ISA Server 的完全管理授权： 首先使用本地管理账户登录ISA 计算机，

∙

∙ 打开ISA 管理控制台，点击常规，再点击右边面板的管理委派，

∙

∙ 此时弹出I SA 服务器管理委派向导，点击下一步； ∙

∙ 在委派控制页，点击添加；

∙

∙ 在管理委派对话框，点击浏览； ∙

∙ 在选择用户和组对话框，输入contosodomain admins ，点击确定；

∙

∙ 由于此时是登录到本机，没有contoso 域的浏览权限，所以系统会提示你输入对contoso.com

有权限的账号，在此输入域管理员账号，点击确定；

∙

∙ 然后在管理委派页点击确定；

∙

∙ 在委派控制页，点击下一步； ∙

∙ 在完成管理委派向导页，点击完成；