ISA 2006 如何啓用WPAD自動發現模式
WPAD是Web Proxy AutoDiscovery Protocol的縮寫,意思是WEB代理自動發現協議,要想讓此協議發揮功效我們必須藉助於DNS DHCP服務,客戶端藉助DNS查詢DHCP分發得到IP地址來確認WPAD服務器(ISA SERVER)是誰,而WPAD服務器通過內置的2個自動配置腳本爲客戶端的瀏覽器(IE)做設置,這2個腳本分別爲wpad.dat(供WEB代理使用)另外的是wspad.dat(供防火牆客戶端使用),
現在企業中使用ISA服務作爲前端防火牆的比較多,相比較而言,企業中使用WEB PROXY比較多,原因是部署簡單,易操作,完全能滿足企業的需求, 今天我在這裏着重介紹WEB 代理
先說一下實驗環境,
Virtual Server 2005 R2 Enterprise
1 ISA 2006 ISA服務器
2 AD 域控制器
Client 1 域客戶端
Client 2 工作組
實驗目的
利用組策略部署WPAD,測試通過身份驗證訪問網絡資源
相信大家對裝ISA ,AD部署步驟應該比我熟悉,在這裏我就不多介紹了,
首先在Active Directory用戶和計算機上添加,銷售部OU,銷售部內添加用戶 zs(張三)
有時候爲了工作方便我們都會建立一個通用用戶,目的是爲了方便外來人員或非域用戶訪問企業內一些無關緊要而必不可少的資源,比如打印機,非涉密文檔,在這裏我添加的用戶是爲WEB代理做準備,不過一定要注意此賬號密碼一定是永不過期,因爲默認的域密碼策略,密碼過期爲42天
通用賬號爲test\test
下面建立一條ISA 訪問策略,策略爲 內部訪問外部WEB
選擇訪問WEB容器內的內容
訪問規則源爲 本地主機,內網-->外部
在這裏要注意的是,不能選擇所有用戶,原因是選擇所有用戶,這條策略就毫無意義了,基於一些奇怪的理由在企業內總有些部門和用戶是不能訪問外部網絡,爲了更好的管控企業網絡流量和訪問控制,我們必須在訪問上做些限制,爲了體現出效果,在這裏我選擇Domain Users爲訪問條件,做這條策略,換句話說你必須是域用戶才能訪問外網,否則想瀏覽外部網頁門都沒有!
在DNS添加WPAD記錄,打開DNS,右鍵填加別名記錄,
別名爲 wpad
FQDN爲 wpad.test.com,
目標主機爲ISA服務器 1ISA.test.com
打開DHCP,在服務器名稱上右鍵選擇:設置預定義的選項
名稱: WPAD,數據類型:字符串,代碼:252,描述:WPAD
字符串:[url]http://1ISA.test.com[/url] 8080/wpad.dat
配置選項,選擇252 WPAD
在代理設置內填寫1ISA.test.com端口爲8080安裝GPMC組策略控制檯
新建一條 ISA Server WEB Proxy Policy策略進行編輯
選擇用戶配置下的 IE維護連接選項
將編輯好的策略拖拉到你想要控制的部門OU上按確定
選擇強制
查看策略是否正確
確認完畢後不要忘記策略刷新
打開IE輸入想要訪問的網址,這時候你會看見對話框,這個對話框也就是要求驗明身份的對話框,在用戶不知道公用帳戶和密碼的時候應該是訪問不了外部網站的,在此要提醒各位的是,爲了避免產生其他麻煩一定要注意保管好企業公用賬號,否則你根本無法管控你的員工!接下來我們到Client1上測試這臺電腦是否符合實驗目的
首先看一下登陸環境,確認是否是域客戶端及登陸賬號是否正確
IE->屬性->連接->局域網設置,查看是否已經得到域策略,確定準確無誤後打開IE訪問外網WEB
接下來查看Client 2是否符合實驗要求, Client 2是一臺工作組計算機,相關的IP是從 2AD服務器上的DHCP抓取到的,因爲已經DHCP已經做了WPAD的設置,只要DHCP不宕機,Client 2是應該能得到WPAD的運行腳本的