工作组DHCPISA2006标准版.doc

机房：工作组+DHCP+ISA 2006标准版 2009-11-24 22:44:07标签：机房 工作组 DHCP 休闲 ISA 原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http:/iwantfly.blog.51cto.com/1048259/234139 两个机房，一个机房的计算机都是方正，另一个机房的计算机都是同方，所有计算机都带有保护卡。最初机房部署的是Windows Server 2003 Active Directory域环境，虽然Active Directory域环境有很大的优越性，但在使用中发现一些问题，最主要的三个问题是：1、虽然为每个用户创建了用户帐户，用户在使用计算机时需要输入用户名和密码以登录到个人的环境中，以保证个人文件及工作环境的安全，但由于用户不是经常在机房使用计算机，记不住用户名和密码，每次在都要向用户说明用户名和重新设置初始密码，管理困难。2、虽然能够集中部署软件，但对于一些非MSI安装包的软件必须重新封装，而且许多软件没有设计成可以以非管理员权限运行，而是必须使用管理员权限才能正常运行（这一点大部分国外软件做的比较好，通常都提供了标准MSI安装包，而且能够以普通用户权限运行，许多国产软件不提供标准MSI安装包，还必须以管理员权限才能运行，这可能和大部分用户使用计算机的习惯有关系，有控制一切的欲望呵呵）3、对于不熟悉Active Directory域管理的机房管理人员来说，配置各种服务、管理用户、共享资源、部署软件等都很困难。所以，为了简化用户的使用（也为了自己省事），规划如下：1、由于机房由不同的部门使用，所以将两个机房的计算机划分到两个工作组中2、安装一台Windows Server 2003独立服务器，作为DHCP服务器和ISA服务器，以实现IP参数的动态分配及使用ISA防火墙代理网关代理上网3、由于所有计算机都带有保护卡，在安装了操作系统和常用软件后，利用还原卡的“每次还原”功能对计算机进行保护，避免病毒、木马及恶意用户的破坏。而且保护卡能够通过网络传送硬盘分区信息及硬盘内容、CMOS数据，简化了计算机的维护和管理4、安装“红蜘蛛多媒体网络教室”5、服务器和红蜘蛛多媒体网络教室管理机使用静态IP地址具体实施步骤如下：一、安装计算机在两个机房中分别挑选一台计算机作为模板计算机，一般选择机房中第一台计算机（方便保护卡使用自动分配IP功能为其他计算机指定计算机名），先安装保护卡底层驱动，然后安装操作系统、并安装所有补丁（我喜欢用360度安全卫士安装系统补丁及第三方软件补丁，个人感觉比Windows更新速度快，而且方便）、常用应用软件、设置好相应的工作组、计算机名（可以利用保护卡的自动分配IP地址功能，分配其余计算机的计算机名），最后安装保护卡上层驱动。注意：1、安装保护卡底层驱动前要规划好硬盘分区及缓存区的大小，在安装保护卡底层驱动后，除非重新安装底层驱动否则不能更改分区大小；缓存区尽量大些，建议为要保护的分区容量的5%-10%，否则在使用过程中会出现缓存区溢出而导致死机的情况。我就犯了这样的错误，第一次安装底层驱动时，缓存区使用了默认的500M，而导致在使用过程中频繁死机2、一定要安装保护卡上层驱动，否则保护卡只能保护硬盘分区信息，而不会保护操作系统和应用软件，所有对系统的更改都会被保留3、定期检查系统补丁，如果有系统补丁要安装，可以在模板计算机上出现保护卡操作系统菜单时，按Ctrl+Enter进入总管模式进行安装，然后通过网络传输，更新其他计算机（同方保护卡有增量传输模式，而方正保护卡只能传输全部数据，另外，同方保护卡的传输速度比方正保护卡的传输速度快）详细步骤略二、安装DHCP服务并配置由于服务器要充当代理网关，需要添加一块网卡，将两块网卡分别重命名为“内部网络”、“外部网络”，以方便配置ISA 2006安装Windows Server 2003，并安装系统补丁，设置连接外部网络网卡的IP地址、子网掩码、默认网关、DNS服务器地址；设置连接内部网络网卡的IP地址、子网掩码（不需要设置默认网关、DNS服务器地址）开始 控制面板 添加或删除程序,出现添加或删除程序窗口，单击“添加/删除Windows组件”，出现Windows组件向导窗口在组件列表中选择“网络服务”，单击“详细信息”，在“网络服务”窗口中，选择“动态主机配置协议（DHCP）”单击“确定”，返回Windows组件向导窗口，单击“下一步”出现安装界面单击“完成”结束安装在管理工具中打开DHCP管理单元，如下图：不在域环境中的DHCP服务器不需要授权接下来要创建作用域（地址池）、设置DHCP选项。右键单击服务器图标，选择“新建作用域”，出现新建作用域向导窗口，如下图：单击“下一步”输入作用域名称和描述（可选），单击“下一步”指定地址范围（起始地址、结束地址）、子网掩码，单击“下一步”指定排除的地址或地址范围，我没有指定，单击“下一步”指定租约期限，即客户端能够拥有IP地址多长时间。一般情况下使用默认即可，单击“下一步”配置DHCP选项，我选择了“否，我想稍后配置这些选项”，单击“下一步”单击“完成”，新作用域创建完成新创建的作用域默认是停用的，停用的作用域不提供服务，要激活此作用域，右键单击作用域，选择“激活”激活后的作用域能够向客户端提供IP参数DHCP选项能够在作用域、服务器、类、保留客户端级别配置。根据实际情况，选择在作用域上配置DHCP选项。右键单击“作用域选项”，选择“配置选项”设置003 路由器（即默认网关）和006 DNS服务器注意：在配置006 DNS服务器选项时，如果内部网络中有DNS服务器，而且设置了DNS转发，将DNS服务器地址设置为内部网络的DNS服务器，否则应当将DNS服务器地址设置为外部网络的DNS服务器。完成后，在作用域选项的细节窗格（我一直不知道它的名称）中显示已经配置的作用域选项此时 ，DHCP服务器安装、配置完成，能够响应DHCP客户端的请求，提供I地址及其他参数三、安装ISA 2006标准版，进行相应的配置一般使用光盘安装，我为了加快安装速度，将光盘复制到了硬盘进行安装双击ISAAutorun.exe，启动ISA 2006安装程序单击“安装ISA Server 2006”，出现ISA 2006安装向导单击“下一步”同意软件许可协议，单击“下一步”输入用户名、单位、产品序列号，单击“下一步”选择安装类型，此处我选择了“自定义”安装，单击“下一步”ISA 2006只有两个组件：l ISA服务器n 高级日志l ISA服务器管理接下来设置内部网络的地址范围，内部网络地址范围参数很重要，因为在ISA中网络是防火墙策略的一个基本元素单击“添加”单击“添加适配器”，选择“内部网络”网卡，单击“确定”，ISA根据选择的网卡添加相应的地址范围单击“下一步”如果网络中有ISA 2000之前的防火墙客户端，不支持数据加密。如果网络中有此种类型的防火墙客户端，选择“允许不加密的防火墙客户端”。ISA 2000之后的防火墙客户端支持数据加密，安全性更好。由于网络中没有ISA 2000之前的防火墙客户端，所以没有选择“允许不加密的防火墙客户端连接”单击“下一步”，安装安装程序警告在安装过程中有些服务会重新启动单击“下一步”，完成参数设置，开始安装安装完成后，出现“安装向导完成”，单击“完成”，结束ISA 2006的安装ISA 2006安装完成，接下来要对ISA 2006进行配置，以允许内网计算机通过代理网关上网。在开始配置之前，了解一些基础知识客户端l Web代理客户端l 防火墙代理客户端l SecureNAT客户端Web代理、防火墙代理支持身份验证，能够控制通过防火墙的用户；Web代理客户端需要对IE浏览器进行配置，而且功能有限，只能使用浏览器访问Internet；防火墙客户端功能上没有限制，但需要在计算机上安装防火墙客户端软件；Web代理、防火墙代理都具有DNS转发功能，即在不需要指定计算机的DNS服务器地址；SecureNAT不支持身份验证，不需要安装进行额外的设置，没有功能限制，没有DNS转发功能，需要设置DNS服务器地址，如果能配合DHCP服务器，客户端计算机不需要任何设置。所以，我选择了使用SecureNAT客户端，配合DHCP服务器（作用域选项的DNS服务器选项和路由器选项），简化配置。防火墙策略安装完成的ISA 2006默认只有一条防火墙策略 - 拒绝所有用户、任何时间从所有网络（本地主机）到所有网络（本地主机）、所有协议、所有内容类型的通讯，简单的说就是拒绝所有通讯（但根据我的实验，内部网络计算机之间的通讯由于不通过ISA服务器，所以不受限制）在这种情况下，内部网络的计算机无法从ISA服务器（本地主机）的DHCP服务获取IP地址和其他参数，所以首先要创建两条访问规则，允许内部网络的计算机与本地主机的DHCP服务的通讯，从而能够从DHCP获取IP地址和参数：右键单击“防火墙策略”，选择“新建”-“访问规则”，出现“新建访问规则向导”窗口命名访问规则，单击“下一步”指定符合规则条件时要执行的操作，选择“允许”，单击“下一步”选择此规则要应用到的协议。选择“所选的协议”，单击“添加”在“添加协议”窗口中，选择“DHCP请求”，单击“添加” “关闭”单击“下一步”选择访问规则源，单击“添加”在“添加网络实体”窗口中，选择“网络” “内部”，单击“添加” “关闭”单击“下一步”选择访问规则目标，单击“添加”在“添加网络实体”窗口中，选择“网络” “本地主机”，单击“添加” “关闭”单击“下一步”选择用户，由于我使用了SecureNAT客户端，不支持身份验证，所以接受默认的选项，单击“下一步”单击“完成”，完成访问规则的创建这条访问规则允许内部网络计算机向服务器（本地主机）发送DHCP请求。目前为止，服务器虽然能够接收来自内部网络计算机的DHCP请求，但ISA防火墙还是不允许从服务器（本地主机）到内部网络计算机的DHCP响应，所以还要创建一条访问规则，以允许从服务器（本地主机）到内部网络计算机的DHCP响应。创建过程不写了注意：操作选择“允许”，协议选择“DHCP答复”，源选择“本地主机”，目标选择“内部网络”注意：1、创建访问规则后，要保存更改并更新配置，必须单击“应用”按钮，否则应用规则不起作用2、应用规则是按顺序检查的，在创建访问规则时要注意，错误的顺序会导致严重的问题，例如，如果将允许规则放在拒绝规则前，拒绝规则就不会被检查。正确的做法是将拒绝规则放在允许规则前小结：通过上面两个访问规则的创建，了解了访问规则是由策略元素组成的，策略元素包括：l 协议：能够选择标准的协议，而且可以自定义协议l 用户：通过身份验证控制用户l 内容类型：将数据划分为音频、视频、文本、HTML、文档等类型，可以更精细地控制对网络内容的访问。缺点是ISA使用不可靠的文件名来进行检测l 计划：时间l 网络对象：从、到，即访问网络的源和目标通过这些策略元素的组合，就能够控制访问网络的行为，起到防火墙的功能创建了这两条访问规则后，内部网络计算机能够从DHCP服务器获取IP参数，但ISA防火墙仍然不允许对外部网络（Internet）的访问，对于我的情况，希望给予内部网络的用户最大限度浏览Internet的自由，所以创建一条访问规则，允许内部网络用户任意浏览Internet。 步骤略。创建访问规则时，操作选择“允许”,协议选择“所有出站通讯”，源选择“内部”（如果要允许本地计算机也能浏览Internet，还应该添加本地计算机），目标选择“外部”创建完所需的访问规则后，在内网计算机上互相Ping，但意外的是竟然不通。原因呢？难道ISA服务器也拒绝了内网计算机之间的通讯？不应该啊，只有通过ISA服务器的通讯才有可能被ISA服务器检查，肯定不是ISA服务器的问题。难道是360度安全卫士的原因？关闭360度安全卫士，再Ping，还是不通。问题不是出在360度安全卫士。突然想到Windows防火墙中有控制ICMP的选项，在控制面板中打开安全中心，单击“Windows防火墙” - “高级”选项卡，单击ICMP区域的“设置”按钮由于只是要简单的测试内网计算机之间是否连通，所以在ICMP设置窗口中选择“允许传入回显请求”即可（如果需要更详细的连通性测试，根据需要选择相应的选项）再次在内网中的任意计算机上Ping，能够Ping通在内部网络的计算机上进行测试，能够正确获取IP参数，并能使用SecureNAT客户端通过ISA防火墙访问Internet四、安装红蜘蛛多媒体网络教室在两个机房的两台管理机上安装管理机程序，在其他计算机上安装客户端，为了不互相干扰，为两个机房设置不同的频道。安装完成后，进行测试，管理机与红蜘蛛客户端能够正常通讯。到此，完成部署。