域环境中配置ISA2004

在域环境中配置ISA Server 2004很多朋友提出了在域环境中不能正确配置ISA Server 2004的问题，主要集中在无法引用域用户和DNS 无法解析。在这篇文章中，我以一个域环境实例，来给

在域环境中配置ISA Server 2004

很多朋友提出了在域环境中不能正确配置ISA Server 2004的问题，主要集中在无法引用域用户和DNS 无法解析。在这篇文章中，我以一个域环境实例，来给大家介绍如何在域环境中配置ISA Server 2004。从这篇文章，你可以学习到如何在域环境中配置ISA 防火墙、启用域用户的身份验证、配置内部客户、配置域控上的DNS 转发和建立访问规则。

这个试验的网络拓朴结构如下图所示：

这是一个由三台计算机组成的域环境，也许看起来很简单，但是却已经足以模拟域环境中配置ISA Server 中的大部分操作。其中： ∙ Denver （DC/Dns server ）

FQDN ：denver.contoso.com ；

IP ：10.2.1.2/24；

DG ：10.2.1.1；

DNS ：10.2.1.2；

备注：这是一台域控，默认网关是ISA Server 的内部接口，DNS 设置为本机。

∙ Florence （ISA Server 2004）

FQDN ：Florence （目前还处于工作组环境，没有加入域，我会在后面的操作中将其加入域）；

（1）Internal Interface ：

IP ：10.2.1.1/24

DG ：none

DNS ：10.2.1.2

（2）External Interface ：

IP ：61.139.1.1/24

DG ：61.139.1.1

DNS ：none

备注：ISA Server 上的IP 设置比较讲究，首先DNS 只能设置为内部AD 的DNS 服务器，然后默认网关为外部出口。

∙ Sydney （Dns/Web server ）

FQDN ：www.isacn.org

IP ：61.139.1.2/24

DG ：61.139.1.1

DNS ：61.139.1.2

备注：这台计算机用来模拟外部的DNS 和Web 服务器。后面我们会在内部的DC 上设置DNS 的转发，将非域的DNS 解析请求转发到此DNS 服务器上，然后通过域名www.isacn.org 来访问这台Web 服务器上的一个Web 站点。 在这篇文章中，我们会通过以下步骤来为内部域中配置ISA Server 2004防火墙：

∙

∙

∙

∙

∙

∙

∙

∙

∙ 在独立服务器上安装ISA 防火墙； 将ISA 防火墙计算机加入域； 在ISA 防火墙上对域管理员进行ISA 完全控制的授权； 建立通过验证的域管理员访问外部所有协议的访问规则； 测试该访问规则，通过IP 地址来访问外部的Web 服务器； 在内部AD 的DNS 服务器上设置DNS 转发； 建立访问规则，允许内部网络的所有用户访问外部的DNS 服务； 测试内部DNS 解析请求的转发，并通过域名来访问外部的Web 站点； 配置ISA 防火墙，允许其访问外部站点

1、在独立服务器上安装ISA 防火墙

关于ISA Server 2004的安装已经有多篇文章介绍了，在此就不重复。根据本次试验的网络拓朴结构，在内部网络选择时，通过添加适配器来勾选内部网络接口就可以了。安装好后，内部网络如下图所示：

此时，在防火墙策略中只有默认规则：

虽然只有默认规则，但是ISA 防火墙的系统策略中是允许ISA 防火墙访问域服务，所以我们依然可以访问内部的域。

2、将ISA 防火墙计算机加入域