非常感谢Ronald Beekelaar，他做的ISA Server 2004 LAB是如此的精致，只需要我些许的修改几个地方，就可以完成这个比较复杂的试验） 很多朋友提出了在域环境中不能正确配置ISA Server 2004的问题，主要集中在无法引用域用户和DNS无法解析。在这篇文章中，我以一个域环境实例，来给大家介绍如何在域环境中配置ISA Server 2004。从这篇文章，你可以学习到如何在域环境中配置ISA防火墙、启用域用户的身份验证、配置内部客户、配置域控上的DNS转发和建立访问规则。 这个试验的[url=http://www.zhaoxi.net/]网络[/url]拓朴结构如下图所示： [img]http://www.qcode.org/article/UploadPic/2006-3/200631335051441.jpg[/img] 这是一个由三台计算机组成的域环境，也许看起来很简单，但是却已经足以模拟域环境中配置ISA Server中的大部分操作。其中： [list] [*][b]Denver[/b]（DC/Dns server） FQDN：denver.contoso.com； IP ：10.2.1.2/24； DG：10.2.1.1； DNS：10.2.1.2； [/*][/list]备注：这是一台域控，默认网关是ISA Server的内部接口，DNS设置为本机。 [list] [*][b]Florence[/b] （ISA Server 2004） FQDN：Florence（目前还处于工作组环境，没有加入域，我会在后面的操作中将其加入域）；[b] （1）Internal[/b] Interface： IP：10.2.1.1/24 DG：none DNS：10.2.1.2 [b]（2）External[/b] Interface： IP：61.139.1.1/24 DG：61.139.1.1 DNS：none [/*][/list]备注：ISA Server上的IP设置比较讲究，首先DNS只能设置为内部AD的DNS服务器，然后默认网关为外部出口。 [list] [*][b]Sydney[/b]（Dns/Web server） FQDN：www.isacn.org IP：61.139.1.2/24 DG：61.139.1.1 DNS：61.139.1.2 [/*][/list]备注：这台计算机用来模拟外部的DNS和Web服务器。后面我们会在内部的DC上设置DNS的转发，将非域的DNS解析请求转发到此DNS服务器上，然后通过域名www.isacn.org来访问这台Web服务器上的一个Web站点。 在这篇文章中，我们会通过以下步骤来为内部域中配置ISA Server 2004防火墙： [list] [*][b]在独立服务器上安装ISA防火墙；[/b] [/*][*][b]将ISA防火墙计算机加入域；[/b] [/*][*][b]在ISA防火墙上对域管理员进行ISA完全控制的授权；[/b] [/*][*][b]建立通过验证的域管理员访问外部所有协议的访问规则；[/b] [/*][*][b]测试该访问规则，通过IP地址来访问外部的Web服务器；[/b] [/*][*][b]在内部AD的DNS服务器上设置DNS转发；[/b] [/*][*][b]建立访问规则，允许内部[url=http://www.zhaoxi.net/]网络[/url]的所有用户访问外部的DNS服务；[/b] [/*][*][b]测试内部DNS解析请求的转发，并通过域名来访问外部的Web站点；[/b] [/*][*][b]配置ISA防火墙，允许其访问外部站点[/b] [/*][/list]　 　  [b]1、在独立服务器上安装ISA防火墙[/b] 关于ISA Server 2004的安装已经有多篇文章介绍了，在此就不重复。根据本次试验的[url=http://www.zhaoxi.net/]网络[/url]拓朴结构，在内部[url=http://www.zhaoxi.net/]网络[/url]选择时，通过添加适配器来勾选内部[url=http://www.zhaoxi.net/]网络[/url]接口就可以了。安装好后，内部[url=http://www.zhaoxi.net/]网络[/url]如下图所示： [img]http://www.qcode.org/article/UploadPic/2006-3/200631335051852.jpg[/img] 此时，在防火墙策略中只有默认规则： [img]http://www.qcode.org/article/UploadPic/2006-3/200631335051648.jpg[/img] 虽然只有默认规则，但是ISA防火墙的系统策略中是允许ISA防火墙访问域服务，所以我们依然可以访问内部的域。 　 [b]2、将ISA防火墙计算机加入域[/b] 现在我们需要将Florence加入到内部域中。使用管理员账号登录Florence，右击[b]我的[url=http://www.zhaoxi.net/]电脑[/url][/b]，打开[b]系统[/b]属性，然后在[b]计算机名[/b]页，点击[b]更改[/b]；在弹出的[b]计算机名称更改[/b]页，点击[b]隶属于[/b]列表下面的[b]域[/b]，然后输入内部域的名字[b]Contoso.com[/b]，然后点击[b]确定[/b]。 [img]http://www.qcode.org/article/UploadPic/2006-3/200631335051550.jpg[/img] 此时，系统会让你输入有加入该域权限的账户，输入域管理员账号和密码，点击[b]确定[/b]； [img]http://www.qcode.org/article/UploadPic/2006-3/200631335051378.jpg[/img] 系统验证无误后，会弹出欢迎加入contoso.com域的对话框，点击[b]确定[/b]； [img]http://www.qcode.org/article/UploadPic/2006-3/200631335052969.jpg[/img] 系统会提示你需要重启计算机，点击[b]确定[/b]，然后重启ISA防火墙计算机； [img]http://www.qcode.org/article/UploadPic/2006-3/200631335052543.jpg[/img] 　 　 [b]3、在ISA防火墙上对域管理员进行ISA完全控制的授权[/b] 由于我是先安装ISA Server 2004，然后再加入域，此时，域管理员没有对ISA Server的管理权限。如果是计算机先加入域然后再安装ISA Server，那么域管理员也会有完全的管理权限，这一步就可以省略了。 现在，我们需要对域管理员进行ISA Server的完全管理授权： 首先使用本地管理账户登录ISA计算机， [img]http://www.qcode.org/article/UploadPic/2006-3/200631335052500.jpg[/img] 打开ISA管理控制台，点击[b]常规[/b]，再点击右边面板的[b]管理委派[/b]， [img]http://www.qcode.org/article/UploadPic/2006-3/200631335052867.jpg[/img] 此时弹出I[b]SA服务器管理委派向导[/b]，点击[b]下一步[/b]； [img]http://www.qcode.org/article/UploadPic/2006-3/200631335052168.jpg[/img] 在[b]委派控制[/b]页，点击[b]添加[/b]； [img]http://www.qcode.org/article/UploadPic/2006-3/200631335052396.jpg[/img] 在[b]管理委派[/b]对话框，点击[b]浏览[/b]； [img]http://www.qcode.org/article/UploadPic/2006-3/200631335052176.jpg[/img] 在[b]选择用户和组[/b]对话框，输入[b]contoso\domain admins[/b]，点击[b]确定[/b]； [img]http://www.qcode.org/article/UploadPic/2006-3/200631335052667.jpg[/img] 由于此时是登录到本机，没有contoso域的浏览权限，所以系统会提示你输入对contoso.com有权限的账号，在此输入域管理员账号，点击[b]确定[/b]； [img]http://www.qcode.org/article/UploadPic/2006-3/200631335052839.jpg[/img] 然后在[b]管理委派[/b]页点击[b]确定[/b]； [img]http://www.qcode.org/article/UploadPic/2006-3/200631335052605.jpg[/img] 在[b]委派控制[/b]页，点击[b]下一步[/b]； [img]http://www.qcode.org/article/UploadPic/2006-3/200631335052182.jpg[/img] 在[b]完成管理委派向导[/b]页，点击完成； [img]http://www.qcode.org/article/UploadPic/2006-3/200631335052978.jpg[/img] 　  [b]4、建立通过验证的域管理员访问外部所有协议的访问规则[/b] 现在我们可以使用域管理员账号来登录了， [img]http://www.qcode.org/article/UploadPic/2006-3/200631335052589.jpg[/img] 然后打开ISA管理控制台，右击[b]防火墙策略[/b]，然后点击[b]新建[/b]，选择[b]访问规则[/b]； [img]http://www.qcode.org/article/UploadPic/2006-3/200631335052575.jpg[/img] 在新建访问规则向导页，输入规则的名字，在此我们命名为[b]Allow Domain Admins access External[/b]，点击[b]下一步[/b]； [img]http://www.qcode.org/article/UploadPic/2006-3/200631335052201.jpg[/img] 在[b]规则操作[/b]页，选择[b]允许[/b]；点击[b]下一步[/b]； 在[b]协议[/b]页，选择[b]所有出站通讯[/b]，点击[b]下一步[/b]； 在[b]访问规则源[/b]页，选择[b]内部[/b]，点击[b]下一步[/b]； 在[b]访问规则目标[/b]页，选择[b]外部[/b]，点击[b]下一步[/b]； 在[b]用户集[/b]页，删除默认的[b]所有用户[/b]，点击[b]添加[/b]， [img]http://www.qcode.org/article/UploadPic/2006-3/200631335052876.jpg[/img] 在[b]添加用户[/b]对话框，点击[b]新建[/b]； [img]http://www.qcode.org/article/UploadPic/2006-3/200631335053242.jpg[/img] 在[b]欢迎使用新建用户集向导[/b]页，输入用户集名称，在此我们命名为[b]Domain Admins[/b]，点击[b]下一步[/b]； [img]http://www.qcode.org/article/UploadPic/2006-3/200631335053646.jpg[/img]