本实验室在虚拟计算机中使用以下六台计算机。


Florence(红色)和 Firenze(红色)运行 ISA Server 2004 Enterprise Edition。这两台计算机配备三个网卡,分别用于连接内部网络、外围网络和外部网络 (Internet)。Florence 和 Firenze 处于名为ITALY 的阵列中。只有 Florence 运行配置存储服务器 (CSS)。

Denver.contoso.com(绿色)是内部网络上 contoso.com 域的域控制器。Denver 上运行 DNS、RADIUS 和 Exchange 2003,同时也是证书颁发机构 (CA)。

Perth.contoso.com(×××)是 Web 服务器,它位于外围网络上。Perth 不是该域的成员。

Istanbul.fabrikam.com(紫色)是外部网络 (Internet) 上的 Web服务器和客户端计算机。

Istanbul 上运行 Outlook 2003。Istanbul不是某个域的成员。Berlin(红色)运行 ISA Server 2004 Enterprise Edition。这台计算机代表一个办事处。Berlin 处在名为 GERMANY 的阵列中。
Berlin 也运行配置存储服务器 (CSS),但与 Florence 上的 CSS属于不同的企业。

这些计算机不能与主机通信。
为便于检查和了解网络通讯,每台虚拟计算机上都安装了 Microsoft Network Monitor 5.2,它属于 Windows Server 2003 的一部分。



配置 ISA Server 接受传入的 ××× 连接
在本练习中,您将对 ISA Server 进行配置,以接受来自 Internet上客户端计算机的传入××× 连接。
注意:本实验室练习使用以下计算机:Florence


在 Florence 计算机上执行以下步骤。
1. 在 Florence 计算机上,检查“路由和远程访问”服务的状态。
a. 在 Florence 计算机上,单击“开始”菜单中的“管理工具”,然后单击“路由和远程访问”。
b. 在“路由和远程访问”控制台中,选择“FLORENCE(本地)”。
※“路由和远程访问”服务尚未启动,也没有配置该服务。在 ××× 连接得到批准后,ISA Server 使用“路由和远程访问”服务来处理 ××× 连接。
※注意:所有 ××× 配置(用户和组的远程访问拨入权限除外)都是通过 ISA Server 控制台实现的。


2. 使用 ISA Server 控制台配置 ××× 地址范围。
IP 地址范围:
Florence
10.3.1.1 - 10.3.1.100
Firenze
10.3.1.101 -10.3.1.200
a. 在“开始”菜单上,依次单击“所有程序”和“Microsoft ISAServer”,然后单击“ISA 服务器管理”。
b. 在 ISA Server 控制台中,依次展开“阵列”、“ITALY”,然后选择“虚拟专用网络(×××)”。
c. 在右窗格中,确保选择“××× 客户端”选项卡。
※ISA Server 支持以下两种类型的 ××× 连接:
● 远程访问 ××× - Internet 上的客户端计算机建立到ISA Server 的 ××× 连接。此类型在“××× 客户端”选项卡上配置。
● 站点到站点 ××× – 两个专用网络或办事处通过××× 连接相连。此类型在“远程站点”选项卡上配置。


d. 在任务窗格的“任务”选项卡上,单击“定义地址分配”。
※注意:在 ISA Server 2004 Enterprise Edition 中,使用DHCP 服务器为 ××× 客户端分配 IP 地址只限于只
包含单个 ISA Server 的阵列。这是为了避免阵列内通讯以及当 ××× 客户端连接时每个阵列成员需要进行路由表更新。
※如果阵列中包含多个 ISA Server,那么首先必须定义每个服务器的静态 IP 地址范围,然后再启用 ×××访问。
e. 在“虚拟专用网络(×××)属性”对话框中的“地址分配”选项卡上,单击“添加”。
f. 在“服务器 IP 地址范围属性”对话框中,填写以下信息:
● 选择服务器:Florence
● 起始地址:10.3.1.1
● 结束地址:10.3.1.100
  然后单击“确定”。
※这一 IP 地址范围最大允许:
● Florence 上的 1 个目标 ××× IP 地址 (10.3.1.1)
● 99 ××× 客户端地址 (10.3.1.2-10.3.1.100)。
g. 在“地址分配”选项卡上,单击“添加”。
h. 在“服务器 IP 地址范围属性”对话框中,填写以下信息:
● 选择服务器:Firenze
● 起始地址:10.3.1.101
● 结束地址:10.3.1.200
  然后单击“确定”。
i 单击“确定”以关闭“虚拟专用网络(×××)属性”对话框。


3.启用和配置 ××× 客户端访问。
最大客户端数:5
协议:PPTP
a. 在“任务”选项卡上,单击“启用 ××× 客户端访问”。
※这一步骤启用对于 ISA Server 的 ××× 访问。此时将启用系统策略规则,且配置“路由和远程访问”服务。
※片刻之后,将出现一个警告消息框。由于 Firenze 不可用,ISA Server 控制台无法验证其配置。如果 ISA
服务器处于域中,则计算机帐户将添加到“RAS 和IAS 服务器”组中。
By RickyFang 此时,我也打开了FIRENZE
b. 单击“确定”以关闭警告消息框。
c. 在“任务”选项卡上,单击“配置 ××× 客户端访问”。
d. 在“××× 客户端属性”对话框“常规”选项卡上的“允许的最大 ××× 客户端数量”文本框中,保留默认值 5。
※可同时连接的最大 ××× 客户端数量取决于 ISAServer 的容量以及可用的 IP 地址数。


e. 在“协议”选项卡上,确保只选择“启用 PPTP”。
※在本练习中,只使用 PPTP 协议。
f. 单击“确定”以关闭“××× 客户端属性”对话框。
※注意,此时尚未应用 ××× 连接。

4.考察 ××× 连接设置。
访问网络:外部
身份验证:MS-CHAPv2
a. 在左窗格中,右键单击“虚拟专用网络(×××)”,然后单击“属性”。
※也可以从任务窗格中访问“虚拟专用网络(×××)属性”对话框的四个选项卡。
b. 在“虚拟专用网络(×××)属性”对话框中,选择“访问网络”选项卡。
※ISA Server 目前已配置为只接受来自“外部”网络的传入 ××× 连接。
c. 选择“身份验证”选项卡。
※ISA Server 当前配置为只允许对传入的 ××× 连接进行 MS CHAPv2 身份验证。
d. 单击“确定”以关闭“虚拟专用网络(×××)属性”对话框。


5. 考察 ××× 访问规则。
系统策略规则:允许 ××× 客户端到ISA 服务器的通讯(规则 12)。
a. 在左窗格中,选择“防火墙策略(ITALY)”。
b. 在任务窗格的“任务”选项卡上,单击“显示系统策略规则”。
c. 在右窗格中,选择“允许 ××× 客户端到 ISA 服务器的通讯”系统策略规则(规则 12)。
※这一系统策略规则允许通过 PPTP 协议从“外部”网络向“本地主机”网络 (ISA Server) 进行访问。
如果同时启用 L2TP/IPSec ××× 协议来支持 ×××客户端访问,则会使用所需的 L2TP/IPSec 协议(IKE、
IPSec、L2TP)来扩展此规则。
※如果在“虚拟专用网络(×××)属性”对话框的“访问网络”选项卡上启用了其他网络,则会使用这些网络来扩展此规则。
d. 在任务窗格的“任务”选项卡上,单击“隐藏系统策略规则”。


6. 启动“阵列状态监视器”以迅速查看当前的CSS 状态。
文件:C:\Tools\Status\ArrayStatus.hta
a. 使用 Windows 资源管理器(或“我的电脑”)打开C:\Tools\Status 文件夹。
b. 在 Status 文件夹中,右键单击 ArrayStatus.hta,然后单击“打开”。
※“阵列状态监视器”是一个用于此实验室的 HTML 应用程序。它可持续显示阵列的 CSS 同步状态和 NLB
状态。
※这些信息与“监视”节点处 ISA Server 控制台中“配置”选项卡(CSS 状态)和“服务”选项卡(NLB 状态)上所显示的信息是相同的。
c. 关闭 Status 文件夹。


7. 应用 ××× 配置。
a. 在 ISA Server 控制台中,单击“应用”以应用 ××× 配置,然后单击“确定”。等待,直到 CSS 状态变为“已同步”。
※此步骤将在 ISA Server 上配置和启用 ××× 连接,并配置和启动 ISA Server 计算机上的“路由和远程访
问”服务。
等待 30 秒,ISA Server 将配置和启动“路由和远程访问”服务,然后执行下面的任务。




8.考察“路由和远程访问”控制台的配置。
a. 在“路由和远程访问”控制台的左窗格中,右键单击 “FLORENCE(本地)”,然后单击“刷新”。
※用户界面将更新,以显示已配置和启动“路由和远程访问”服务。
b. 右键单击“FLORENCE(本地)”,然后单击“属性”。
c. 在“FLORENCE(本地)属性”对话框中,选择“IP”选项卡。
※此时,ISA Server 已配置“路由和远程访问”服务来使用 IP 地址的静态地址池。
d. 单击“取消”以关闭“FLORENCE(本地)属性”对话框中。
e. 展开“FLORENCE(本地)”,然后选择“远程访问策略”。
f. 在右窗格中,右键单击“ISA 服务器默认策略”远程访问策略,然后单击“属性”。
※此时,ISA Server 添加了一个新的远程访问策略。
● 该策略位于列表中的第一位,并应用于“所有”传入的远程访问连接(日期和时间限制符合 7x
"00:00-24:00")。
● 相关的配置文件指定这些连接所允许的“身份验证”方法。
● 除非在用户配置文件中指定了单独的访问权限(下一个任务),否则将“拒绝”远程访问。


g. 单击“取消”以关闭“ISA 服务器默认策略属性”对话框。
h. 在左窗格中,选择“IP 路由”。在右窗格中,右键单击“静态路由”,然后单击“显示 IP 路由表”。
※在 Florence 上,ISA Server 为 Firenze 上的 ××× 地址范围 (10.3.1.101-10.3.1.200) 添加了路由。
Firenze 上 ××× 客户端(甚至可能来自其他 ××× 客户端)的网络通讯将在阵列内正确路由。
i. 关闭“FLORENCE - IP 路由表”窗口。
j. 关闭“路由和远程访问”控制台。


9.配置 Administrator帐户的用户配置文件以允许拨入。

a. 在“开始”菜单上,单击“管理工具”,然后单击“计算机管理”。
b. 在“计算机管理”控制台的左窗格中,展开“本地用户和组”,然后选择“用户”。
c. 在右窗格中,右键单击“Administrator”,然后单击“属性”。
d. 在“Administrator 属性”对话框中的“拨入”选项卡上,选择“允许访问”,然后单击“确定”。
e. 关闭“计算机管理”控制台。


※出于演示需要,在本练习中使用本地 Administrator 帐户来创建 ××× 连接。通常,应使用域用户帐户来创建 ××× 连接。

※注意:ISA Server 现在可以接受从“外部”网络上的客户端计算机传入的 ××× 连接。这样,这些客户端计算机将自动进入“××× 客户端”网络。在后面的练习中,您将创建允许“××× 客户端”网络访问“内部”网络的访问规则。