当前位置：首页 > news >正文

在 ISA Server 2004 中发布 ××× 服务器

news 来源：原创 2024/5/7 4:26:07

最近在做在 ISA Server 2004 中发布 ××× 服务器实验,在网上看了一编,还不错.呵呵

简介
Microsoft Internet Security and Acceleration (ISA) Server 2004 使用服务器发布规则来提供访问内部网络资源的能力，而不会危及内部网络的安全。ISA Server 2004 服务器发布规则包括一个新功能，允许发布虚拟专用网络 (×××) 服务器。在内部专用网络上的 ××× 服务器现在可以是入站 ××× 连接的终结点。使用网络地址转换 (NAT) 遍历 (NAT-T)，××× 连接可以基于点对点隧道协议 (PPTP)、第 2 层隧道协议 (L2TP) 或 Internet 协议安全 (IPSec) 上的 L2TP。

情境

ISA Server 充当 ××× 服务器。然而，您可能遇到需要发布 ××× 服务器（在 ISA Server 计算机之后的网络中）的情境。例如，您可能拥有一台正在工作的 ××× 服务器（也许是 Microsoft 之外的其他公司提供的产品），并且希望安全地发布该服务器。或者，您可能希望将 ISA Server 计算机的资源用于除承载 ××× 之外的其他功能。
本文档为以下 ××× 服务器发布情境提供了解决方案：
?使用 PPTP 发布点对点虚拟专用网络服务器。
?使用 NAT-T 发布 IPSec 上的 L2TP 网络地址转换遍历服务器。这种情境需要运行 Microsoft Windows Server 2003 的 ××× 服务器。
?在不使用 IPSec 的情况下发布只基于 L2TP 的 ××× 服务器。

解决方案

以下章节中讨论的解决方案提供了发布大多数基于 Windows 的操作系统所支持的三种最常见 ××× 连接类型的详细信息，如这些情境中所述。
网络拓扑
要想发布 ××× 服务器，您至少需要：
?作为 ISA Server 计算机的计算机。ISA Server 计算机必须有两个网络适配器。一个适配器将连接到外部网络（代表 Internet），一个适配器将连接到内部网络。
?外部网络适配器必须拥有静态 IP 地址，拥有到 Internet 的持续连接。
?作为 ××× 终点的计算机。该计算机必须拥有至少一个连接到内部网络的网络适配器。除了通过 ISA Server 计算机之外，该计算机应没有任何其他到 Internet 的路由。
?对于 L2TP over IPSec ××× 连接，必须将数字证书安装在 ××× 服务器上。证书颁发机构 (CA) 必须被所有将使用 IPSec ××× 连接上的 L2TP 的客户端信任。有关数字证书的详细信息，请参阅“面向 ISA Server 2004 的数字证书”。
?所有 L2TP over IPSec 客户端必须已经安装了 NAT-T 更新。有关 NAT-T 更新的详细信息，请参阅 Microsoft 知识库中的文章 818043“面向 Windows XP 和 Windows 2000 的 L2TP/IPSec NAT-T 更新”([url]http://go.microsoft.com/fwlink/?LinkId=28084[/url])。

发布 ××× 服务器演练
本演练指导您完成使用 ISA Server 2004 发布 ××× 服务器的必要步骤。
发布 ××× 服务器演练过程
1：配置 ××× 服务器
在发布 ××× 服务器之前，必须配置 ××× 服务器。此过程在 ××× 服务器上进行。要想配置 ××× 服务器，请遵循这些步骤。
1).安装和配置 ××× 服务器。有关如何安装和配置 ××× 服务器的详细信息，请参阅 Microsoft 知识库中的文章 323441“HOW TO：在 Windows Server 2003 中安装和配置虚拟专用网络服务器”([url]http://go.microsoft.com/fwlink/?LinkId=28085[/url])。
2).在 ××× 服务器上，将默认网关设置为 ISA Server 计算机的内部接口。

当配置完 ××× 服务器之后，根据您将发布的 ××× 服务器，执行以下过程之一：
?发布 ××× 服务器演练过程 2a：发布 PPTP 上的 ×××
?发布 ××× 服务器演练过程 2b：使用 NAT-T 发布 L2TP/IPSec 上的 ×××
?发布 ××× 服务器演练过程 2c：发布 L2TP 服务器
?发布 ××× 服务器演练过程 2a：发布 PPTP 上的 ×××

要想发布 ××× 服务器，必须在 ISA Server 计算机上创建服务器发布规则。要想创建服务器发布规则，请遵循以下步骤。
1.在 Microsoft ISA Server 管理控制台树中，选择“防火墙策略”。
2.在任务窗格的“任务”选项卡上，选择“创建新的服务器发布规则”以启动“新建服务器发布规则向导”。
3.在“欢迎”页面上，键入新服务器发布规则的名称。使用说明性的名称（如“使用 PPTP 在 Internet 网络中发布 ××× 服务器”），然后单击“下一步”。
4.在“选择服务器”页面上，提供您要发布的服务器的 IP 地址，然后单击“下一步”。
5.在“选择协议”页面上的“已选择协议”中，选择“PPTP 服务器”，然后单击“下一步”。

6.在“IP 地址”页面上，选择将侦听针对已发布服务器的请求的网络 IP 地址。由于是将服务器发布到 Internet 上，请选择“外部”。单击“下一步”。
注意： 默认情况下，ISA Server 将侦听 ××× 连接的所有外部 IP 地址。如果 ISA Server 计算机的外部接口上有多个 IP 地址，而您希望控制为 ××× 访问所发布的 IP 地址，请单击“地址”按钮以打开“外部网络侦听器 IP 选择”对话框，您可以从中选择侦听特定的 IP 地址。

7.查看向导摘要页面上的信息，然后单击“完成”。
8.在“防火墙策略”详细信息窗格中，单击“应用”以应用新的服务器发布规则。
注意： 您可以通过双击“防火墙策略”详细信息窗格中的规则，打开规则属性对话框，在其中修改任何规则的属性。
发布 ××× 服务器演练过程 2b：使用 NAT-T 发布 L2TP/IPSec 上的 ×××
ISA Server 将在所有传入数据包上执行 NAT，所以当您使用 L2TP 时，必须同时使用 NAT 遍历 (NAT-T)。所有 IPSec 上的 L2TP 客户端必须安装了 NAT-T 更新。有关 NAT-T 更新的详细信息，请参阅 Microsoft 知识库中的文章 818043“面向 Windows XP 和 Windows 2000 的 L2TP/IPSec NAT-T 更新”([url]http://go.microsoft.com/fwlink/?LinkId=28084[/url])。此外，××× 终结点服务器必须运行 Windows Server 2003。
L2TP 上的 IPSec 需要两个发布规则。一个规则将用于发布 Internet 密钥交换 (IKE) 协商，另一个规则将发布 NAT-T。
这个过程假定您已经完成了 ××× 配置。“发布 ××× 服务器演练过程 1：配置 ××× 服务器”中介绍了 ××× 配置。

创建发布 IKE 协商的规则
要想创建发布 IKE 协商的规则，请遵循这些步骤。
1.在 Microsoft ISA Server 管理控制台树中，选择“防火墙策略”。
2.在任务窗格中的“任务”选项卡上，选择“创建新的服务器发布规则”以启动“新建服务器发布规则向导”。
3.在“欢迎”页面上，键入新服务器发布规则的名称。使用说明性的名称（如“发布面向 L2TP/IPSec 的 IKE”），然后单击“下一步”。
4.在“选择服务器”页面上，提供您要发布的服务器的 IP 地址，然后单击“下一步”。
5.在“选择协议”页面上的“已选择协议”中，选择“IKE 服务器”，然后单击“下一步”。

6.在“IP 地址”页面上，选择将侦听针对已发布服务器的请求的网络 IP 地址。由于是将服务器发布到 Internet 上，请选择“外部”。单击“下一步”。
注意：默认情况下，ISA Server 将侦听 ××× 连接的所有外部 IP 地址。如果 ISA Server 计算机的外部接口上有多个 IP 地址，而您希望控制为 ××× 访问所发布的 IP 地址，请单击“地址”按钮以打开“外部网络侦听器 IP 选择”对话框，您可以从中选择侦听特定的 IP 地址。
7.查看向导摘要页面上的信息，然后单击“完成”。
8.在“防火墙策略”详细信息窗格中，单击“应用”以应用新的服务器发布规则。
注意：您可以通过双击“防火墙策略”详细信息窗格中的规则，打开规则属性对话框，在其中修改任何规则的属性。

创建发布 NAT-T 的规则
要想创建发布 NAT-T 的规则，请遵循这些步骤。
1.在 Microsoft ISA Server 管理控制台树中，选择“防火墙策略”。
2.在任务窗格中的“任务”选项卡上，选择“创建新的服务器发布规则”以启动“新建服务器发布规则向导”。
3.在“欢迎”页面上，键入新服务器发布规则的名称。使用说明性的名称（如“面向 L2TP/IPSec 的 NAT-T ××× 发布”），然后单击“下一步”。
4.在“选择服务器”页面上，提供您要发布的服务器的 IP 地址，然后单击“下一步”。
5.在“选择协议”页面上的“已选择协议”中，选择“IPSec NAT-T 服务器”，然后单击“下一步”。
6.在“IP 地址”页面上，选择将侦听针对所发布的服务器的请求的网络 IP 地址。由于是将服务器发布到 Internet 上，请选择“外部”。单击“下一步”。
注意：默认情况下，ISA Server 将侦听 ××× 连接的所有外部 IP 地址。如果 ISA Server 计算机的外部接口上有多个 IP 地址，而您希望控制为 ××× 访问所发布的 IP 地址，请单击“地址”按钮以打开“外部网络侦听器 IP 选择”对话框，您可以从中选择侦听特定的 IP 地址。
7.查看向导摘要页面上的信息，然后单击“完成”。
8.在“防火墙策略”详细信息窗格中，单击“应用”以应用新的服务器发布规则。
注意：您可以通过双击“防火墙策略”详细信息窗格中的规则，打开规则属性对话框，在其中修改任何规则的属性。
发布 ××× 服务器演练过程 2c：发布 L2TP 服务器
当使用不带 IPSec 的 L2TP 时，因为不使用 IPSec，所以无需 NAT 遍历。L2TP 不提供任何数据加密，从而数据将遍历未加密的 ×××。ISA Server 2004 还要求创建面向出站 L2TP 连接的访问策略规则。
除了如“发布 ××× 服务器演练过程
1：配置 ××× 服务器”中说明的那样配置 ××× 服务器配置之外，您必须如 Microsoft 知识库中的文章 310109“HOW TO：禁用自动 L2TP/IPSec 策略”([url]http://go.microsoft.com/fwlink/?LinkId=28086[/url]) 所述那样禁用自动 L2TP/IPSec 策略。禁用自动 IPSec 上的 L2TP 策略将需要您向 ××× 服务器和所有客户端添加注册表项。

创建服务器发布规则
要想创建服务器发布规则，请遵循这些步骤。
1.在 Microsoft ISA Server 管理控制台树中，选择“防火墙策略”。
2.在任务窗格中的“任务”选项卡上，选择“创建新的服务器发布规则”以启动“新建服务器发布规则向导”。
3.在“欢迎”页面上，键入新服务器发布规则的名称。使用说明性的名称（如“没有 IPSec 的 L2TP ××× 发布”），然后单击“下一步”。
4.在“选择服务器”页面上，提供您要发布的服务器的 IP 地址，然后单击“下一步”。
5.在“选择协议”页面上的“已选择协议”中，选择“L2TP 服务器”，然后单击“下一步”。

6.在“添加协议”对话框中，展开“所有协议”，选择“L2TP 客户端”。单击“添加”，然后单击“关闭”来关闭“添加协议”对话框。

7.在“协议”页面上，单击“下一步”。

8.在“访问规则来源”页面上，单击“添加”以打开“添加网络实体”对话框。
9.在“添加网络实体”对话框中，单击“新建”，然后单击“计算机”。

10.在“新建计算机规则元素”对话框中，提供新建计算机的名称“L2TP ××× 服务器”及其 IP 地址，然后单击“确定”。

11.在“添加网络实体”对话框中，展开“计算机”，选择“L2TP ××× 服务器”，单击“添加”，然后单击“关闭”。在“访问规则来源”页面上，单击“下一步”。
12.在“访问规则目标”页面上，单击“添加”以打开“添加网络实体”对话框，单击“网络”，选择“外部”，单击“添加”，然后单击“关闭”。在“访问规则目标”页面上，单击“下一步”。
13.在“用户集”页面上，保留默认用户集“所有用户”，然后单击“下一步”。
14.查看向导摘要页面上的信息，然后单击“完成”。
15.在“防火墙策略”详细信息窗格中，单击“应用”以应用您前面创建的新访问规则和服务器发布规则。

转载于:https://blog.51cto.com/makert/40919