《工作组DHCPISA2006标准版》由会员分享,可在线阅读,更多相关《工作组DHCPISA2006标准版(29页珍藏版)》请在金锄头文库上搜索。
1、机房:工作组+DH+ISA 206标准版 2091124 22:44:0标签:机房 工作组DHC休闲ISA 原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。 两个机房,一个机房的计算机都是方正,另一个机房的计算机都是同方,所有计算机都带有保护卡.最初机房部署的是Windows Servr 2003 AciveDrecoy域环境,虽然Aciv Diectoy域环境有很大的优越性,但在使用中发现一些问题,最主要的三个问题是:1、虽然为每个用户创建了用户帐户,用户在使用计算机时需要输入用户名和密码以登录到个人的环境中,以保证个人文件及工作环境的
2、安全,但由于用户不是经常在机房使用计算机,记不住用户名和密码,每次在都要向用户说明用户名和重新设置初始密码,管理困难.、虽然能够集中部署软件,但对于一些非MI安装包的软件必须重新封装,而且许多软件没有设计成可以以非管理员权限运行,而是必须使用管理员权限才能正常运行(这一点大部分国外软件做的比较好,通常都提供了标准MSI安装包,而且能够以普通用户权限运行,许多国产软件不提供标准MSI安装包,还必须以管理员权限才能运行,这可能和大部分用户使用计算机的习惯有关系,有控制一切的欲望呵呵)3、对于不熟悉ActiveDrtory域管理的机房管理人员来说,配置各种服务、管理用户、共享资源、部署软件等都很困难
3、。所以,为了简化用户的使用(也为了自己省事),规划如下:、由于机房由不同的部门使用,所以将两个机房的计算机划分到两个工作组中2、安装一台Wndws ever 2003独立服务器,作为DCP服务器和S服务器,以实现I参数的动态分配及使用I防火墙代理网关代理上网3、由于所有计算机都带有保护卡,在安装了操作系统和常用软件后,利用还原卡的“每次还原”功能对计算机进行保护,避免病毒、木马及恶意用户的破坏。而且保护卡能够通过网络传送硬盘分区信息及硬盘内容、CMOS数据,简化了计算机的维护和管理4、安装“红蜘蛛多媒体网络教室”、服务器和红蜘蛛多媒体网络教室管理机使用静态IP地址具体实施步骤如下:一、安装计算
4、机在两个机房中分别挑选一台计算机作为模板计算机,一般选择机房中第一台计算机(方便保护卡使用自动分配IP功能为其他计算机指定计算机名),先安装保护卡底层驱动,然后安装操作系统、并安装所有补丁(我喜欢用360度安全卫士安装系统补丁及第三方软件补丁,个人感觉比dows更新速度快,而且方便)、常用应用软件、设置好相应的工作组、计算机名(可以利用保护卡的自动分配IP地址功能,分配其余计算机的计算机名),最后安装保护卡上层驱动。注意:1、安装保护卡底层驱动前要规划好硬盘分区及缓存区的大小,在安装保护卡底层驱动后,除非重新安装底层驱动否则不能更改分区大小;缓存区尽量大些,建议为要保护的分区容量的%1%,否则
5、在使用过程中会出现缓存区溢出而导致死机的情况。我就犯了这样的错误,第一次安装底层驱动时,缓存区使用了默认的500,而导致在使用过程中频繁死机2、一定要安装保护卡上层驱动,否则保护卡只能保护硬盘分区信息,而不会保护操作系统和应用软件,所有对系统的更改都会被保留、定期检查系统补丁,如果有系统补丁要安装,可以在模板计算机上出现保护卡操作系统菜单时,按Cl+Ener进入总管模式进行安装,然后通过网络传输,更新其他计算机(同方保护卡有增量传输模式,而方正保护卡只能传输全部数据,另外,同方保护卡的传输速度比方正保护卡的传输速度快)详细步骤略二、安装DHCP服务并配置由于服务器要充当代理网关,需要添加一块网
6、卡,将两块网卡分别重命名为“内部网络”、“外部网络,以方便配置ISA 6安装WindoServer 003,并安装系统补丁,设置连接外部网络网卡的IP地址、子网掩码、默认网关、S服务器地址;设置连接内部网络网卡的I地址、子网掩码(不需要设置默认网关、DN服务器地址)开始 控制面板 添加或删除程序,出现添加或删除程序窗口,单击“添加/删除Window组件”,出现Winos组件向导窗口在组件列表中选择“网络服务”,单击“详细信息”,在“网络服务窗口中,选择“动态主机配置协议(DHCP)单击“确定”,返回indows组件向导窗口,单击“下一步出现安装界面单击“完成”结束安装在管理工具中打开DHC管理
7、单元,如下图:不在域环境中的DP服务器不需要授权接下来要创建作用域(地址池)、设置DHCP选项。右键单击服务器图标,选择“新建作用域”,出现新建作用域向导窗口,如下图:单击“下一步”输入作用域名称和描述(可选),单击“下一步指定地址范围(起始地址、结束地址)、子网掩码,单击“下一步”指定排除的地址或地址范围,我没有指定,单击“下一步”指定租约期限,即客户端能够拥有IP地址多长时间.一般情况下使用默认即可,单击“下一步”配置DHC选项,我选择了“否,我想稍后配置这些选项”,单击“下一步单击“完成”,新作用域创建完成新创建的作用域默认是停用的,停用的作用域不提供服务,要激活此作用域,右键单击作用域
8、,选择“激活”激活后的作用域能够向客户端提供I参数C选项能够在作用域、服务器、类、保留客户端级别配置。根据实际情况,选择在作用域上配置DCP选项。右键单击“作用域选项,选择“配置选项”设置003路由器(即默认网关)和0 S服务器注意:在配置006 DNS服务器选项时,如果内部网络中有NS服务器,而且设置了N转发,将DNS服务器地址设置为内部网络的NS服务器,否则应当将S服务器地址设置为外部网络的DN服务器。完成后,在作用域选项的细节窗格(我一直不知道它的名称)中显示已经配置的作用域选项此时,P服务器安装、配置完成,能够响应HCP客户端的请求,提供地址及其他参数三、安装ISA 206标准版,进行
9、相应的配置一般使用光盘安装,我为了加快安装速度,将光盘复制到了硬盘进行安装双击ISAAutrun.ee,启动ISA 006安装程序单击“安装ISA erver 2006”,出现ISA 200安装向导单击“下一步同意软件许可协议,单击“下一步”输入用户名、单位、产品序列号,单击“下一步”选择安装类型,此处我选择了“自定义安装,单击“下一步”ISA 2006只有两个组件:l IA服务器n 高级日志lA服务器管理接下来设置内部网络的地址范围,内部网络地址范围参数很重要,因为在IS中网络是防火墙策略的一个基本元素单击“添加”单击“添加适配器,选择“内部网络”网卡,单击“确定”,ISA根据选择的网卡添加
10、相应的地址范围单击“下一步如果网络中有I200之前的防火墙客户端,不支持数据加密。如果网络中有此种类型的防火墙客户端,选择“允许不加密的防火墙客户端”。I 200之后的防火墙客户端支持数据加密,安全性更好。由于网络中没有ISA 2000之前的防火墙客户端,所以没有选择“允许不加密的防火墙客户端连接”单击“下一步”,安装安装程序警告在安装过程中有些服务会重新启动单击“下一步,完成参数设置,开始安装安装完成后,出现“安装向导完成”,单击“完成”,结束ISA 00的安装ISA 006安装完成,接下来要对I 206进行配置,以允许内网计算机通过代理网关上网。在开始配置之前,了解一些基础知识客户端l W
11、eb代理客户端l 防火墙代理客户端l ScureNT客户端e代理、防火墙代理支持身份验证,能够控制通过防火墙的用户;Wb代理客户端需要对IE浏览器进行配置,而且功能有限,只能使用浏览器访问nteret;防火墙客户端功能上没有限制,但需要在计算机上安装防火墙客户端软件;Wb代理、防火墙代理都具有DS转发功能,即在不需要指定计算机的DNS服务器地址;ecreNAT不支持身份验证,不需要安装进行额外的设置,没有功能限制,没有DS转发功能,需要设置DNS服务器地址,如果能配合DHP服务器,客户端计算机不需要任何设置。所以,我选择了使用SureA客户端,配合DHCP服务器(作用域选项的DNS服务器选项和
12、路由器选项),简化配置。防火墙策略安装完成的ISA 20默认只有一条防火墙策略 拒绝所有用户、任何时间从所有网络(本地主机)到所有网络(本地主机)、所有协议、所有内容类型的通讯,简单的说就是拒绝所有通讯(但根据我的实验,内部网络计算机之间的通讯由于不通过IS服务器,所以不受限制)在这种情况下,内部网络的计算机无法从ISA服务器(本地主机)的DHCP服务获取P地址和其他参数,所以首先要创建两条访问规则,允许内部网络的计算机与本地主机的HC服务的通讯,从而能够从DHC获取IP地址和参数:右键单击“防火墙策略,选择“新建”“访问规则”,出现“新建访问规则向导”窗口命名访问规则,单击“下一步”指定符合
13、规则条件时要执行的操作,选择“允许,单击“下一步选择此规则要应用到的协议。选择“所选的协议”,单击“添加”在“添加协议窗口中,选择“DCP请求”,单击“添加” “关闭”单击“下一步”选择访问规则源,单击“添加”在“添加网络实体”窗口中,选择“网络” “内部”,单击“添加” “关闭”单击“下一步”选择访问规则目标,单击“添加”在“添加网络实体”窗口中,选择“网络” “本地主机”,单击“添加”“关闭单击“下一步”选择用户,由于我使用了SecueNAT客户端,不支持身份验证,所以接受默认的选项,单击“下一步”单击“完成”,完成访问规则的创建这条访问规则允许内部网络计算机向服务器(本地主机)发送DCP
14、请求。目前为止,服务器虽然能够接收来自内部网络计算机的CP请求,但ISA防火墙还是不允许从服务器(本地主机)到内部网络计算机的DHCP响应,所以还要创建一条访问规则,以允许从服务器(本地主机)到内部网络计算机的DCP响应.创建过程不写了注意:操作选择“允许”,协议选择“DHCP答复”,源选择“本地主机”,目标选择“内部网络”注意:1、创建访问规则后,要保存更改并更新配置,必须单击“应用按钮,否则应用规则不起作用2、应用规则是按顺序检查的,在创建访问规则时要注意,错误的顺序会导致严重的问题,例如,如果将允许规则放在拒绝规则前,拒绝规则就不会被检查。正确的做法是将拒绝规则放在允许规则前小结:通过上面两个访问规则的创建,了解了访问规则是由策略元素组成的,策略元素包括:l 协议:能够选择标准的协议,而且可以自定义协议l用户:通过身份验证控制用户l 内容类型:将数据划分为音频、视频、文本、TL、文档等类型,可以更精细地控制对网络内容的访问。缺点是SA使用不可靠的文件名来进行检测l 计划:时间l 网络对象:从、到,即访问网络的源和目标通过这些策略元素的组合,就能够控制访问网络的行为,起到防火墙的功能创建了这两条访问规则后,内部网络计算机能够从DH服务器获取IP参数,但SA防火墙仍然不允许对外部网络(Inteet)的访问,对于我的情况,希望给予内部网络的用户最大限度浏览ntnet的自由,所
