机房：工作组+DHCP+ISA 2006标准版 推荐

[align=center]两个机房，一个机房的计算机都是方正，另一个机房的计算机都是同方，所有计算机都带有保护卡。[/align]
[align=left]最初机房部署的是Windows Server 2003 Active Directory域环境，虽然Active Directory域环境有很大的优越性，但在使用中发现一些问题，最主要的三个问题是：[/align]
[align=left]1、虽然为每个用户创建了用户帐户，用户在使用计算机时需要输入用户名和密码以登录到个人的环境中，以保证个人文件及工作环境的安全，但由于用户不是经常在机房使用计算机，记不住用户名和密码，每次在都要向用户说明用户名和重新设置初始密码，管理困难。[/align]
[align=left]2、虽然能够集中部署软件，但对于一些非MSI安装包的软件必须重新封装，而且许多软件没有设计成可以以非管理员权限运行，而是必须使用管理员权限才能正常运行（这一点大部分国外软件做的比较好，通常都提供了标准MSI安装包，而且能够以普通用户权限运行，许多国产软件不提供标准MSI安装包，还必须以管理员权限才能运行，这可能和大部分用户使用计算机的习惯有关系，有控制一切的欲望……呵呵）[/align]
[align=left]3、对于不熟悉Active Directory域管理的机房管理人员来说，配置各种服务、管理用户、共享资源、部署软件等都很困难。[/align]
[align=left]所以，为了简化用户的使用（也为了自己省事），规划如下：[/align]
[align=left]1、由于机房由不同的部门使用，所以将两个机房的计算机划分到两个工作组中[/align]
[align=left]2、安装一台Windows Server 2003独立服务器，作为DHCP服务器和ISA服务器，以实现IP参数的动态分配及使用ISA防火墙代理网关代理上网[/align]
[align=left]3、由于所有计算机都带有保护卡，在安装了操作系统和常用软件后，利用还原卡的“每次还原”功能对计算机进行保护，避免病毒、木马及恶意用户的破坏。而且保护卡能够通过网络传送硬盘分区信息及硬盘内容、CMOS数据，简化了计算机的维护和管理[/align]
[align=left]4、安装“红蜘蛛多媒体网络教室”[/align]
[align=left]5、服务器和红蜘蛛多媒体网络教室管理机使用静态IP地址[/align]
[align=left]具体实施步骤如下：[/align]
[align=left]一、安装计算机[/b][/align]
[align=left]在两个机房中分别挑选一台计算机作为模板计算机，一般选择机房中第一台计算机（方便保护卡使用自动分配IP功能为其他计算机指定计算机名），先安装保护卡底层驱动，然后安装操作系统、并安装所有补丁（我喜欢用360度安全卫士安装系统补丁及第三方软件补丁，个人感觉比Windows更新速度快，而且方便）、常用应用软件、设置好相应的工作组、计算机名（可以利用保护卡的自动分配IP地址功能，分配其余计算机的计算机名），最后安装保护卡上层驱动。[/align]
[align=left]注意：[/align]
[align=left]1、安装保护卡底层驱动前要规划好硬盘分区及缓存区的大小，在安装保护卡底层驱动后，除非重新安装底层驱动否则不能更改分区大小；缓存区尽量大些，建议为要保护的分区容量的5%-10%，否则在使用过程中会出现缓存区溢出而导致死机的情况。我就犯了这样的错误，第一次安装底层驱动时，缓存区使用了默认的500M，而导致在使用过程中频繁死机[/align]
[align=left]2、一定要安装保护卡上层驱动，否则保护卡只能保护硬盘分区信息，而不会保护操作系统和应用软件，所有对系统的更改都会被保留[/align]
[align=left]3、定期检查系统补丁，如果有系统补丁要安装，可以在模板计算机上出现保护卡操作系统菜单时，按Ctrl+Enter进入总管模式进行安装，然后通过网络传输，更新其他计算机（同方保护卡有增量传输模式，而方正保护卡只能传输全部数据，另外，同方保护卡的传输速度比方正保护卡的传输速度快）[/align]
[align=left]详细步骤略[/align]
[align=left]二、安装DHCP服务并配置[/b][/align]
[align=left]由于服务器要充当代理网关，需要添加一块网卡，将两块网卡分别重命名为“内部网络”、“外部网络”，以方便配置ISA 2006[/align]
[align=left]安装Windows Server 2003，并安装系统补丁，设置连接外部网络网卡的IP地址、子网掩码、默认网关、DNS服务器地址；设置连接内部网络网卡的IP地址、子网掩码（不需要设置默认网关、DNS服务器地址）[/align]
[align=left]开始 – 控制面板 – 添加或删除程序,出现添加或删除程序窗口，单击“添加/删除Windows组件”，出现Windows组件向导窗口[/align]



在组件列表中选择“网络服务”，单击“详细信息”，在“网络服务”窗口中，选择“动态主机配置协议（DHCP）”



[align=left]单击“确定”，返回Windows组件向导窗口，单击“下一步”出现安装界面[/align]



[align=left]单击“完成”结束安装[/align]



[align=left]在管理工具中打开DHCP管理单元，如下图：[/align]



[align=left]不在域环境中的DHCP服务器不需要授权[/align]
[align=left]接下来要创建作用域（地址池）、设置DHCP选项。[/align]
[align=left]右键单击服务器图标，选择“新建作用域”，出现新建作用域向导窗口，如下图：[/align]



[align=left]单击“下一步”[/align]



[align=left]输入作用域名称和描述（可选），单击“下一步”[/align]



[align=left]指定地址范围（起始地址、结束地址）、子网掩码，单击“下一步”[/align]



[align=left]指定排除的地址或地址范围，我没有指定，单击“下一步”[/align]



[align=left]指定租约期限，即客户端能够拥有IP地址多长时间。一般情况下使用默认即可，单击“下一步”[/align]



[align=left]配置DHCP选项，我选择了“否，我想稍后配置这些选项”，单击“下一步”[/align]



[align=left] [/align]



[align=left]单击“完成”，新作用域创建完成[/align]



[align=left]新创建的作用域默认是停用的，停用的作用域不提供服务，要激活此作用域，右键单击作用域，选择“激活”[/align]



[align=left]激活后的作用域能够向客户端提供IP参数[/align]
[align=left]DHCP选项能够在作用域、服务器、类、保留客户端级别配置。根据实际情况，选择在作用域上配置DHCP选项。右键单击“作用域选项”，选择“配置选项”[/align]
[align=center] [/align]



[align=left]设置003 路由器（即默认网关）和006 DNS服务器[/align]





[align=left]注意：[/i][/b]在配置006 DNS服务器选项时，如果内部网络中有DNS服务器，而且设置了DNS转发，将DNS服务器地址设置为内部网络的DNS服务器，否则应当将DNS服务器地址设置为外部网络的DNS服务器。[/i][/align]
[align=left]完成后，在作用域选项的细节窗格（我一直不知道它的名称……）中显示已经配置的作用域选项[/align]



[align=left]此时 ，DHCP服务器安装、配置完成，能够响应DHCP客户端的请求，提供I地址及其他参数[/align]
[align=left]三、安装ISA 2006标准版，进行相应的配置[/b][/align]
[align=left]一般使用光盘安装，我为了加快安装速度，将光盘复制到了硬盘进行安装[/align]
[align=left]双击ISAAutorun.exe，启动ISA 2006安装程序[/align]



[align=left]单击“安装ISA Server 2006”，出现ISA 2006安装向导[/align]
[align=left]单击“下一步”[/align]
[align=center][/align]
[align=left]同意软件许可协议，单击“下一步”[/align]
[align=left]输入用户名、单位、产品序列号，单击“下一步”[/align]
[align=center][/align]
[align=left]选择安装类型，此处我选择了“自定义”安装，单击“下一步”[/align]



[align=left]ISA 2006只有两个组件：[/align]
[align=left]l ISA服务器[/align]
[align=left]n 高级日志[/align]
[align=left]l ISA服务器管理[/align]
[align=left]接下来设置内部网络的地址范围，内部网络地址范围参数很重要，因为在ISA中网络是防火墙策略的一个基本元素[/align]
[align=center][/align]
[align=left]单击“添加”[/align]



[align=left]单击“添加适配器”，选择“内部网络”网卡，单击“确定”，ISA根据选择的网卡添加相应的地址范围[/align]



[align=left]单击“下一步”[/align]



[align=left]如果网络中有ISA 2000之前的防火墙客户端，不支持数据加密。如果网络中有此种类型的防火墙客户端，选择“允许不加密的防火墙客户端”。ISA 2000之后的防火墙客户端支持数据加密，安全性更好。由于网络中没有ISA 2000之前的防火墙客户端，所以没有选择“允许不加密的防火墙客户端连接”[/align]
[align=left]单击“下一步”，安装安装程序警告在安装过程中有些服务会重新启动[/align]



[align=left]单击“下一步”，完成参数设置，开始安装[/align]
[align=left]安装完成后，出现“安装向导完成”，单击“完成”，结束ISA 2006的安装[/align]
[align=left]ISA 2006安装完成，接下来要对ISA 2006进行配置，以允许内网计算机通过代理网关上网。[/align]
[align=left]在开始配置之前，了解一些基础知识[/align]
[align=left]客户端[/b][/align]
[align=left]l Web代理客户端[/align]
[align=left]l 防火墙代理客户端[/align]
[align=left]l SecureNAT客户端[/align]
[align=left]Web代理、防火墙代理支持身份验证，能够控制通过防火墙的用户；Web代理客户端需要对IE浏览器进行配置，而且功能有限，只能使用浏览器访问Internet；防火墙客户端功能上没有限制，但需要在计算机上安装防火墙客户端软件；Web代理、防火墙代理都具有DNS转发功能，即在不需要指定计算机的DNS服务器地址；SecureNAT不支持身份验证，不需要安装进行额外的设置，没有功能限制，没有DNS转发功能，需要设置DNS服务器地址，如果能配合DHCP服务器，客户端计算机不需要任何设置。[/align]
[align=left]所以，我选择了使用SecureNAT客户端，配合DHCP服务器（作用域选项的DNS服务器选项和路由器选项），简化配置。[/align]
[align=left]防火墙策略[/b][/align]
[align=left]安装完成的ISA 2006默认只有一条防火墙策略 - 拒绝所有用户、任何时间从所有网络（本地主机）到所有网络（本地主机）、所有协议、所有内容类型的通讯，简单的说就是拒绝所有通讯（但根据我的实验，内部网络计算机之间的通讯由于不通过ISA服务器，所以不受限制）[/align]



[align=left]在这种情况下，内部网络的计算机无法从ISA服务器（本地主机）的DHCP服务获取IP地址和其他参数，所以首先要创建两条访问规则，允许内部网络的计算机与本地主机的DHCP服务的通讯，从而能够从DHCP获取IP地址和参数：[/align]
[align=left]右键单击“防火墙策略”，选择“新建”-“访问规则”，出现“新建访问规则向导”窗口[/align]



[align=left]命名访问规则，单击“下一步”[/align]



[align=left]指定符合规则条件时要执行的操作，选择“允许”，单击“下一步”[/align]



[align=left]选择此规则要应用到的协议。选择“所选的协议”，单击“添加”[/align]



[align=left]在“添加协议”窗口中，选择“DHCP请求”，单击“添加” – “关闭”[/align]



[align=left]单击“下一步”[/align]



[align=left]选择访问规则源，单击“添加”[/align]



[align=left]在“添加网络实体”窗口中，选择“网络” – “内部”，单击“添加” – “关闭”[/align]



[align=left]单击“下一步”[/align]



[align=left]选择访问规则目标，单击“添加”[/align]



[align=left]在“添加网络实体”窗口中，选择“网络” – “本地主机”，单击“添加” – “关闭”[/align]



[align=left]单击“下一步”[/align]



[align=left]选择用户，由于我使用了SecureNAT客户端，不支持身份验证，所以接受默认的选项，单击“下一步”[/align]



[align=left]单击“完成”，完成访问规则的创建[/align]
[align=left]这条访问规则允许内部网络计算机向服务器（本地主机）发送DHCP请求。目前为止，服务器虽然能够接收来自内部网络计算机的DHCP请求，但ISA防火墙还是不允许从服务器（本地主机）到内部网络计算机的DHCP响应，所以还要创建一条访问规则，以允许从服务器（本地主机）到内部网络计算机的DHCP响应。[/align]
[align=left]创建过程不写了[/align]
[align=left]注意：操作选择“允许”，协议选择“DHCP答复”，源选择“本地主机”，目标选择“内部网络”[/align]



[align=left]注意：[/i][/b][/align]
[align=left]1[/i]、创建访问规则后，要保存更改并更新配置，必须单击“应用”按钮，否则应用规则不起作用[/i][/align]
[align=left]2[/i]、应用规则是按顺序检查的，在创建访问规则时要注意，错误的顺序会导致严重的问题，例如，如果将允许规则放在拒绝规则前，拒绝规则就不会被检查。正确的做法是将拒绝规则放在允许规则前[/i][/align]
[align=left]小结：[/b][/align]
[align=left]通过上面两个访问规则的创建，了解了访问规则是由策略元素组成的，策略元素包括：[/align]
[align=left]l 协议：能够选择标准的协议，而且可以自定义协议[/align]
[align=left]l 用户：通过身份验证控制用户[/align]
[align=left]l 内容类型：将数据划分为音频、视频、文本、HTML、文档等类型，可以更精细地控制对网络内容的访问。缺点是ISA使用不可靠的文件名来进行检测[/align]
[align=left]l 计划：时间[/align]
[align=left]l 网络对象：从、到，即访问网络的源和目标[/align]
[align=left]通过这些策略元素的组合，就能够控制访问网络的行为，起到防火墙的功能[/align]
[align=left]创建了这两条访问规则后，内部网络计算机能够从DHCP服务器获取IP参数，但ISA防火墙仍然不允许对外部网络（Internet）的访问，对于我的情况，希望给予内部网络的用户最大限度浏览Internet的自由，所以创建一条访问规则，允许内部网络用户任意浏览Internet。 [/align]
[align=left]步骤略。[/align]
[align=left]创建访问规则时，操作选择“允许”,协议选择“所有出站通讯”，源选择“内部”（如果要允许本地计算机也能浏览Internet，还应该添加本地计算机），目标选择“外部”[/align]



[align=left]创建完所需的访问规则后，在内网计算机上互相Ping，但意外的是竟然不通。原因呢？[/align]
[align=left]难道ISA服务器也拒绝了内网计算机之间的通讯？不应该啊，只有通过ISA服务器的通讯才有可能被ISA服务器检查，肯定不是ISA服务器的问题。[/align]
[align=left]难道是360度安全卫士的原因？关闭360度安全卫士，再Ping，还是不通。问题不是出在360度安全卫士。[/align]
[align=left]突然想到Windows防火墙中有控制ICMP的选项，在控制面板中打开安全中心，单击“Windows防火墙” - “高级”选项卡，单击ICMP区域的“设置”按钮[/align]
[align=left]由于只是要简单的测试内网计算机之间是否连通，所以在ICMP设置窗口中选择“允许传入回显请求”即可（如果需要更详细的连通性测试，根据需要选择相应的选项）[/align]



再次在内网中的任意计算机上Ping，能够Ping通
[align=left]在内部网络的计算机上进行测试，能够正确获取IP参数，并能使用SecureNAT客户端通过ISA防火墙访问Internet[/align]
[align=left]四、安装红蜘蛛多媒体网络教室[/b][/align]
[align=left]在两个机房的两台管理机上安装管理机程序，在其他计算机上安装客户端，为了不互相干扰，为两个机房设置不同的频道。[/align]
[align=left]安装完成后，进行测试，管理机与红蜘蛛客户端能够正常通讯。[/align]
[align=left]到此，完成部署。[/align]