ISAServer2006安裝之完全手冊

1、（一）ISA Server計算機網(wǎng)絡適配器的TCP/IP設置在你安裝ISA防火墻之前，你需要正確的配置這臺服務器計算機的網(wǎng)絡屬性，這對ISA防火墻的運行至關重要。因為ISA防火墻的防火墻服務和系統(tǒng)的TCP/IP驅(qū)動工作在相同的層次，錯誤的配置將可能導致你的ISA防火墻不能正常運行。在這篇文章中我將通過一個簡單的ISA防火墻計算機的配置進行介紹并對每一步驟加以說明，我假設了一個這樣的網(wǎng)絡環(huán)境：你擁有一臺ISA防火墻，它具有兩個網(wǎng)絡適配器，一個連接到你的內(nèi)部網(wǎng)絡，并且另外一個連接到Internet。從安全上考慮，我們現(xiàn)在將連接到Internet的網(wǎng)絡適配器從物理上斷開，直到配置完成后才連接到Int

2、ernet；你可以訪問內(nèi)部或外部的DNS服務器解析Internet域名，你的內(nèi)部網(wǎng)絡中的客戶通過內(nèi)部網(wǎng)絡中的DNS服務器來解析Internet名字；你已經(jīng)了解網(wǎng)絡適配器所需要的TCP/IP配置；你對Windows 2000網(wǎng)絡具有基本的了解；防火墻的網(wǎng)絡適配器通常改名為“North”和“South”，分別代表Internet和內(nèi)部網(wǎng)絡，在此我也按照這種方式進行命名。配置網(wǎng)絡適配器順序首先我們需要確認網(wǎng)絡適配器按照正確的順序進行綁定，由于名字解析依賴于此設置，所以我們需要確認它是絕對正確的。1.右擊網(wǎng)上鄰居，然后選擇屬性，在彈出的網(wǎng)絡和撥號連接窗口中，你可以看到ISA防火墻上的網(wǎng)絡適配器，其中N

3、orth代表Internet，South代表內(nèi)部網(wǎng)絡；2.點擊菜單欄的高級，再點擊高級設置，彈出的對話框如下圖所示。首先我們需要確認South網(wǎng)絡適配器在面板的最上面，如果沒有，選中它再點擊右邊的向上箭頭，文件和打印機共享和Microsoft網(wǎng)絡客戶這兩個服務都應該綁定到South網(wǎng)絡適配器上。對North網(wǎng)絡適配器強化安全1、接下來我們需要檢查服務器計算機上的服務沒有對外部的非法訪問者開放，選擇North網(wǎng)絡適配器，然后取消綁定這些相同的服務（文件和打印機共享和Microsoft網(wǎng)絡客戶），配置如下圖所示。我們并不需要讓外部網(wǎng)絡中的客戶訪問這些服務，并且我們應該在安裝ISA防火墻之前將這臺服

4、務器配置為比較安全的狀態(tài)。2.        點擊確定關閉對話框。配置North網(wǎng)絡適配器的TCP/IP設置現(xiàn)在我們來分別配置每個網(wǎng)絡適配器，首先是配置連接到Internet適配器North，1.右擊North網(wǎng)絡適配器，然后選擇屬性，確認取消綁定了文件和打印機共享和Microsoft網(wǎng)絡客戶。2.雙擊Internet協(xié)議(TCP/IP)，然后選擇使用下面的IP地址，然后輸入正確的IP地址，將DNS服務器留空。相信我，當我們配置完成時，這一切工作是正常的。3. 點擊高級按鈕，如果你具有其他的IP地址，你可

5、以在此輸入。在你繼續(xù)進行配置之前，確認你的配置是正確的。4.        點擊DNS標簽，我們在這個地方需要做的唯一一件事情是取消選擇在DNS中注冊此連接的地址。這將禁止DHCP客戶端服務嘗試為這個網(wǎng)絡適配器在DNS服務器更新自己的記錄。5.        點擊WINS標簽，取消選擇啟用LMHOSTS查詢和選擇禁用NetBIOS over TCP/IP，這樣就關閉了外部網(wǎng)絡適配器上的最后一個安全漏洞；6. 依次點擊確定關閉所

6、有North網(wǎng)絡適配器的對話框。配置South網(wǎng)絡適配器的TCP/IP設置   現(xiàn)在我們來配置連接到內(nèi)部網(wǎng)絡的網(wǎng)絡適配器South，我們將允許它擁有更多的服務，當然也就擁有更多的安全弱點。1. 右擊South網(wǎng)絡適配器，然后選擇屬性。在彈出的South屬性對話框中，不需要修改綁定的協(xié)議。2.           雙擊Internet協(xié)議(TCP/IP) ，然后為你的內(nèi)部網(wǎng)絡輸入正確的IP地址。對于內(nèi)部網(wǎng)絡，你應該選擇IANA在RFC-1918中定義的私有I

7、P地址，這些私有IP地址不能在Internet上進行路由。如果你在內(nèi)部網(wǎng)絡中使用Internet上可以路由的IP地址，會帶來很多問題。在此我使用最常用的地址段，配置好的IP地址如下圖所示，注意，在這個網(wǎng)絡適配器上沒有配置默認網(wǎng)關。3.輸入為內(nèi)部網(wǎng)絡提供名字解析服務的DNS服務器的IP地址作為DNS服務器。如果你在內(nèi)部網(wǎng)絡中使用了域服務，那么域中的DNS服務器將是首選。4.留空默認網(wǎng)關設置，默認網(wǎng)關只能有一個。5.如果你在內(nèi)部網(wǎng)絡中具有多個子網(wǎng)，你必須為這些遠程子網(wǎng)定義靜態(tài)路由。最簡單的辦法是創(chuàng)建一個無類別的路由項，例如，如果你的這些網(wǎng)絡都使用定義，那么你可以執(zhí)行以下命令：Route -p ad

8、d 192.168.0.0 mask 255.255.0.0 192.168.0.1 這樣就可以告訴ISA防火墻如何路由到達這些遠程子網(wǎng)的數(shù)據(jù)包。6.        點擊DNS標簽，如果你的內(nèi)部DNS服務器支持動態(tài)更新（例如AD集成的DNS服務器），那么可以選擇在DNS中注冊此連接的地址。7.        點擊WINS標簽，你可以保留啟用NetBIOS over TCP/IP。注意，啟用LMHOSTS查詢是一個全局設置，在一個網(wǎng)絡適配

9、器上禁止它將會影響所有的網(wǎng)絡適配器。8.依次點擊確定關閉所有South網(wǎng)絡適配器的屬性對話框。9.打開命令提示符窗口，然后運行“ipconfig /all”，下面列出了我們做的網(wǎng)絡適配器的TCP/IP配置：Ethernet adapter sounth: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapter (Generic) #2 Physical Address. . . . . . . . . : 00-03-FF

10、-06-E6-A6 DHCP Enabled. . . . . . . . . . . : No Default Gateway . . . . . . . . . :Ethernet adapter North: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapter (Generic) Physical Address. . . . . . . . . : 00-03-FF-05-E6-A6 DHCP Enabled.

11、 . . . . . . . . . . : No Default Gateway . . . . . . . . . : NetBIOS over Tcpip. . . . . . . . : Disabled （二）安裝 ISA Server 2006 以域管理員身份登錄到需要安裝ISA Server 2006的主機(ISA_Server)上，由于我們的ISA Server服務器已經(jīng)加入了域，在ISA Server 服務器上內(nèi)部網(wǎng)卡的DNS上面我們填寫了內(nèi)網(wǎng)的DNS服務器的IP。ISA Server的內(nèi)部接口（192.168.0.200）。都是以正確的安裝為基礎的，所以，我們會對

12、安裝ISA Server 2006進行著重的介紹。我們安裝的版本是ISA Server 2006 中文標企業(yè)版。運行ISA Server 2006安裝光盤根目錄下的ISAAutorun.exe開始ISA Server 2006的安裝，如下圖：點擊“安裝 ISA Server 2004”，出現(xiàn)安裝界面：點擊“下一步”，在授權畫面上選擇“我接受許可協(xié)議中的條款”，然后點擊“下一步”；在“客戶信息”頁，輸入個人信息和產(chǎn)品序列號，點擊“下一步”繼續(xù)。出現(xiàn)“安裝方案”對話框，在該對話框中選擇”安裝方案”，在此選擇”同時安裝ISA Server服務和配置存儲服務器”選項，單擊“下一步”按鈕；出現(xiàn)“組件選擇

13、”對話框，在此安裝“ISA服務器”、“ISA服務器管理”和“配置存儲服務器”組件，單擊“下一步”按鈕：出現(xiàn)“企業(yè)安裝選項”對話框，選擇“創(chuàng)建新ISA服務器企業(yè)”選項，單擊“下一步”按鈕：出現(xiàn)“新建企業(yè)警告”對話框，顯示將此計算機配置為配置存儲服務器，單擊“下一步”按鈕；出現(xiàn)“內(nèi)部網(wǎng)絡”對話框，在該對話框中指定內(nèi)部網(wǎng)絡單擊“下一步”按鈕；單擊“添加”按鈕，出現(xiàn)“地址”對話框；單擊“添加適配器”按鈕，出現(xiàn)“選擇網(wǎng)絡適配器”對話框，在該對話框中選擇ISA Server的內(nèi)部網(wǎng)卡“sounth”來確定公司內(nèi)部網(wǎng)絡IP地址范圍；單擊“確定”按鈕，返回“地址”對話框，可以看到已經(jīng)添加了地址范圍。單擊“確定”按鈕，返回“內(nèi)部網(wǎng)絡”對話框；單擊“下一步”按鈕，出現(xiàn)“防火墻客戶端連接”