非常感謝Ronald Beekelaar，他做的ISA Server 2004 LAB是如此的精致，只需要我些許的修改幾個地方，就可以完成這個比較復(fù)雜的試驗）

很多朋友提出了在域環(huán)境中不能正確配置ISA Server 2004的問題，主要集中在無法引用域用戶和DNS無法解析。在這篇文章中，我以一個域環(huán)境實例，來給大家介紹如何在域環(huán)境中配置ISA Server 2004。從這篇文章，你可以學(xué)習(xí)到如何在域環(huán)境中配置ISA防火墻、啟用域用戶的身份驗證、配置內(nèi)部客戶、配置域控上的DNS轉(zhuǎn)發(fā)和建立訪問規(guī)則。

這個試驗的網(wǎng)絡(luò)拓樸結(jié)構(gòu)如下圖所示：

這是一個由三臺計算機組成的域環(huán)境，也許看起來很簡單，但是卻已經(jīng)足以模擬域環(huán)境中配置ISA Server中的大部分操作。其中：

• Denver（DC/Dns server）
  FQDN：denver.contoso.com；
  IP ：10.2.1.2/24；
  DG：10.2.1.1；
  DNS：10.2.1.2；

備注：這是一臺域控，默認網(wǎng)關(guān)是ISA Server的內(nèi)部接口，DNS設(shè)置為本機。

• Florence （ISA Server 2004）
  FQDN：Florence（目前還處于工作組環(huán)境，沒有加入域，我會在后面的操作中將其加入域）；
  （1）Internal Interface：
  IP：10.2.1.1/24
  DG：none
  DNS：10.2.1.2
  （2）External Interface：
  IP：61.139.1.1/24
  DG：61.139.1.1
  DNS：none

備注：ISA Server上的IP設(shè)置比較講究，首先DNS只能設(shè)置為內(nèi)部AD的DNS服務(wù)器，然后默認網(wǎng)關(guān)為外部出口。

• Sydney（Dns/Web server）
  FQDN：www.isacn.org
  IP：61.139.1.2/24
  DG：61.139.1.1
  DNS：61.139.1.2

備注：這臺計算機用來模擬外部的DNS和Web服務(wù)器。后面我們會在內(nèi)部的DC上設(shè)置DNS的轉(zhuǎn)發(fā)，將非域的DNS解析請求轉(zhuǎn)發(fā)到此DNS服務(wù)器上，然后通過域名www.isacn.org來訪問這臺Web服務(wù)器上的一個Web站點。

在這篇文章中，我們會通過以下步驟來為內(nèi)部域中配置ISA Server 2004防火墻：

• 在獨立服務(wù)器上安裝ISA防火墻；
• 將ISA防火墻計算機加入域；
• 在ISA防火墻上對域管理員進行ISA完全控制的授權(quán)；
• 建立通過驗證的域管理員訪問外部所有協(xié)議的訪問規(guī)則；
• 測試該訪問規(guī)則，通過IP地址來訪問外部的Web服務(wù)器；
• 在內(nèi)部AD的DNS服務(wù)器上設(shè)置DNS轉(zhuǎn)發(fā)；
• 建立訪問規(guī)則，允許內(nèi)部網(wǎng)絡(luò)的所有用戶訪問外部的DNS服務(wù)；
• 測試內(nèi)部DNS解析請求的轉(zhuǎn)發(fā)，并通過域名來訪問外部的Web站點；
• 配置ISA防火墻，允許其訪問外部站點

1、在獨立服務(wù)器上安裝ISA防火墻

關(guān)于ISA Server 2004的安裝已經(jīng)有多篇文章介紹了，在此就不重復(fù)。根據(jù)本次試驗的網(wǎng)絡(luò)拓樸結(jié)構(gòu)，在內(nèi)部網(wǎng)絡(luò)選擇時，通過添加適配器來勾選內(nèi)部網(wǎng)絡(luò)接口就可以了。安裝好后，內(nèi)部網(wǎng)絡(luò)如下圖所示：

此時，在防火墻策略中只有默認規(guī)則：

雖然只有默認規(guī)則，但是ISA防火墻的系統(tǒng)策略中是允許ISA防火墻訪問域服務(wù)，所以我們依然可以訪問內(nèi)部的域。

2、將ISA防火墻計算機加入域

現(xiàn)在我們需要將Florence加入到內(nèi)部域中。使用管理員賬號登錄Florence，右擊我的電腦，打開系統(tǒng)屬性，然后在計算機名頁，點擊更改；在彈出的計算機名稱更改頁，點擊隸屬于列表下面的域，然后輸入內(nèi)部域的名字Contoso.com，然后點擊確定。

此時，系統(tǒng)會讓你輸入有加入該域權(quán)限的賬戶，輸入域管理員賬號和密碼，點擊確定；

系統(tǒng)驗證無誤后，會彈出歡迎加入contoso.com域的對話框，點擊確定；

系統(tǒng)會提示你需要重啟計算機，點擊確定，然后重啟ISA防火墻計算機；

3、在ISA防火墻上對域管理員進行ISA完全控制的授權(quán)

由于我是先安裝ISA Server 2004，然后再加入域，此時，域管理員沒有對ISA Server的管理權(quán)限。如果是計算機先加入域然后再安裝ISA Server，那么域管理員也會有完全的管理權(quán)限，這一步就可以省略了。

現(xiàn)在，我們需要對域管理員進行ISA Server的完全管理授權(quán)：

首先使用本地管理賬戶登錄ISA計算機，

打開ISA管理控制臺，點擊常規(guī)，再點擊右邊面板的管理委派，

此時彈出ISA服務(wù)器管理委派向?qū)?/B>，點擊下一步；

在委派控制頁，點擊添加；

在管理委派對話框，點擊瀏覽；

在選擇用戶和組對話框，輸入contoso\domain admins，點擊確定；

由于此時是登錄到本機，沒有contoso域的瀏覽權(quán)限，所以系統(tǒng)會提示你輸入對contoso.com有權(quán)限的賬號，在此輸入域管理員賬號，點擊確定；

然后在管理委派頁點擊確定；

在委派控制頁，點擊下一步；

在完成管理委派向?qū)?/B>頁，點擊完成；

4、建立通過驗證的域管理員訪問外部所有協(xié)議的訪問規(guī)則

現(xiàn)在我們可以使用域管理員賬號來登錄了，

然后打開ISA管理控制臺，右擊防火墻策略，然后點擊新建，選擇訪問規(guī)則；

在新建訪問規(guī)則向?qū)ы?，輸入?guī)則的名字，在此我們命名為Allow Domain Admins access External，點擊下一步；

在規(guī)則操作頁，選擇允許；點擊下一步；

在協(xié)議頁，選擇所有出站通訊，點擊下一步；

在訪問規(guī)則源頁，選擇內(nèi)部，點擊下一步；

在訪問規(guī)則目標頁，選擇外部，點擊下一步；

在用戶集頁，刪除默認的所有用戶，點擊添加，

在添加用戶對話框，點擊新建；

在歡迎使用新建用戶集向?qū)?/B>頁，輸入用戶集名稱，在此我們命名為Domain Admins，點擊下一步；