两个机房,一个机房的计算机都是方正,另一个机房的计算机都是同方,所有计算机都带有保护卡。
最初机房部署的是Windows Server 2003 Active Directory域环境,虽然Active Directory域环境有很大的优越性,但在使用中发现一些问题,最主要的三个问题是:
1、虽然为每个用户创建了用户帐户,用户在使用计算机时需要输入用户名和密码以登录到个人的环境中,以保证个人文件及工作环境的安全,但由于用户不是经常在机房使用计算机,记不住用户名和密码,每次在都要向用户说明用户名和重新设置初始密码,管理困难。
2、虽然能够集中部署软件,但对于一些非MSI安装包的软件必须重新封装,而且许多软件没有设计成可以以非管理员权限运行,而是必须使用管理员权限才能正常运行(这一点大部分国外软件做的比较好,通常都提供了标准MSI安装包,而且能够以普通用户权限运行,许多国产软件不提供标准MSI安装包,还必须以管理员权限才能运行,这可能和大部分用户使用计算机的习惯有关系,有控制一切的欲望……呵呵)
3、对于不熟悉Active Directory域管理的机房管理人员来说,配置各种服务、管理用户、共享资源、部署软件等都很困难。
所以,为了简化用户的使用(也为了自己省事),规划如下:
1、由于机房由不同的部门使用,所以将两个机房的计算机划分到两个工作组中
2、安装一台Windows Server 2003独立服务器,作为DHCP服务器和ISA服务器,以实现IP参数的动态分配及使用ISA防火墙代理网关代理上网
3、由于所有计算机都带有保护卡,在安装了操作系统和常用软件后,利用还原卡的“每次还原”功能对计算机进行保护,避免病毒、***及恶意用户的破坏。而且保护卡能够通过网络传送硬盘分区信息及硬盘内容、CMOS数据,简化了计算机的维护和管理
4、安装“红蜘蛛多媒体网络教室”
5、服务器和红蜘蛛多媒体网络教室管理机使用静态IP地址
具体实施步骤如下:
一、安装计算机
在两个机房中分别挑选一台计算机作为模板计算机,一般选择机房中第一台计算机(方便保护卡使用自动分配IP功能为其他计算机指定计算机名),先安装保护卡底层驱动,然后安装操作系统、并安装所有补丁(我喜欢用360度安全卫士安装系统补丁及第三方软件补丁,个人感觉比Windows更新速度快,而且方便)、常用应用软件、设置好相应的工作组、计算机名(可以利用保护卡的自动分配IP地址功能,分配其余计算机的计算机名),最后安装保护卡上层驱动。
注意:
1、安装保护卡底层驱动前要规划好硬盘分区及缓存区的大小,在安装保护卡底层驱动后,除非重新安装底层驱动否则不能更改分区大小;缓存区尽量大些,建议为要保护的分区容量的5%-10%,否则在使用过程中会出现缓存区溢出而导致死机的情况。我就犯了这样的错误,第一次安装底层驱动时,缓存区使用了默认的500M,而导致在使用过程中频繁死机
2、一定要安装保护卡上层驱动,否则保护卡只能保护硬盘分区信息,而不会保护操作系统和应用软件,所有对系统的更改都会被保留
3、定期检查系统补丁,如果有系统补丁要安装,可以在模板计算机上出现保护卡操作系统菜单时,按Ctrl+Enter进入总管模式进行安装,然后通过网络传输,更新其他计算机(同方保护卡有增量传输模式,而方正保护卡只能传输全部数据,另外,同方保护卡的传输速度比方正保护卡的传输速度快)
详细步骤略
二、安装DHCP服务并配置
由于服务器要充当代理网关,需要添加一块网卡,将两块网卡分别重命名为“内部网络”、“外部网络”,以方便配置ISA 2006
安装Windows Server 2003,并安装系统补丁,设置连接外部网络网卡的IP地址、子网掩码、默认网关、DNS服务器地址;设置连接内部网络网卡的IP地址、子网掩码(不需要设置默认网关、DNS服务器地址)
开始 – 控制面板 – 添加或删除程序,出现添加或删除程序窗口,单击“添加/删除Windows组件”,出现Windows组件向导窗口
在组件列表中选择“网络服务”,单击“详细信息”,在“网络服务”窗口中,选择“动态主机配置协议(DHCP)”
单击“确定”,返回Windows组件向导窗口,单击“下一步”出现安装界面
单击“完成”结束安装
在管理工具中打开DHCP管理单元,如下图:
不在域环境中的DHCP服务器不需要授权
接下来要创建作用域(地址池)、设置DHCP选项。
右键单击服务器图标,选择“新建作用域”,出现新建作用域向导窗口,如下图:
单击“下一步”
输入作用域名称和描述(可选),单击“下一步”
指定地址范围(起始地址、结束地址)、子网掩码,单击“下一步”
指定排除的地址或地址范围,我没有指定,单击“下一步”
指定租约期限,即客户端能够拥有IP地址多长时间。一般情况下使用默认即可,单击“下一步”
配置DHCP选项,我选择了“否,我想稍后配置这些选项”,单击“下一步”
单击“完成”,新作用域创建完成
新创建的作用域默认是停用的,停用的作用域不提供服务,要激活此作用域,右键单击作用域,选择“激活”
激活后的作用域能够向客户端提供IP参数
DHCP选项能够在作用域、服务器、类、保留客户端级别配置。根据实际情况,选择在作用域上配置DHCP选项。右键单击“作用域选项”,选择“配置选项”
设置003 路由器(即默认网关)和006 DNS服务器
注意:在配置006 DNS服务器选项时,如果内部网络中有DNS服务器,而且设置了DNS转发,将DNS服务器地址设置为内部网络的DNS服务器,否则应当将DNS服务器地址设置为外部网络的DNS服务器。
完成后,在作用域选项的细节窗格(我一直不知道它的名称……)中显示已经配置的作用域选项
此时 ,DHCP服务器安装、配置完成,能够响应DHCP客户端的请求,提供I地址及其他参数
三、安装ISA 2006标准版,进行相应的配置
一般使用光盘安装,我为了加快安装速度,将光盘复制到了硬盘进行安装
双击ISAAutorun.exe,启动ISA 2006安装程序
单击“安装ISA Server 2006”,出现ISA 2006安装向导
单击“下一步”
同意软件许可协议,单击“下一步”
输入用户名、单位、产品序列号,单击“下一步”
选择安装类型,此处我选择了“自定义”安装,单击“下一步”
ISA 2006只有两个组件:
l ISA服务器
n 高级日志
l ISA服务器管理
接下来设置内部网络的地址范围,内部网络地址范围参数很重要,因为在ISA中网络是防火墙策略的一个基本元素
单击“添加”
单击“添加适配器”,选择“内部网络”网卡,单击“确定”,ISA根据选择的网卡添加相应的地址范围
单击“下一步”
如果网络中有ISA 2000之前的防火墙客户端,不支持数据加密。如果网络中有此种类型的防火墙客户端,选择“允许不加密的防火墙客户端”。ISA 2000之后的防火墙客户端支持数据加密,安全性更好。由于网络中没有ISA 2000之前的防火墙客户端,所以没有选择“允许不加密的防火墙客户端连接”
单击“下一步”,安装安装程序警告在安装过程中有些服务会重新启动
单击“下一步”,完成参数设置,开始安装
安装完成后,出现“安装向导完成”,单击“完成”,结束ISA 2006的安装
ISA 2006安装完成,接下来要对ISA 2006进行配置,以允许内网计算机通过代理网关上网。
在开始配置之前,了解一些基础知识
客户端
l Web代理客户端
l 防火墙代理客户端
l SecureNAT客户端
Web代理、防火墙代理支持身份验证,能够控制通过防火墙的用户;Web代理客户端需要对IE浏览器进行配置,而且功能有限,只能使用浏览器访问Internet;防火墙客户端功能上没有限制,但需要在计算机上安装防火墙客户端软件;Web代理、防火墙代理都具有DNS转发功能,即在不需要指定计算机的DNS服务器地址;SecureNAT不支持身份验证,不需要安装进行额外的设置,没有功能限制,没有DNS转发功能,需要设置DNS服务器地址,如果能配合DHCP服务器,客户端计算机不需要任何设置。
所以,我选择了使用SecureNAT客户端,配合DHCP服务器(作用域选项的DNS服务器选项和路由器选项),简化配置。
防火墙策略
安装完成的ISA 2006默认只有一条防火墙策略 - 拒绝所有用户、任何时间从所有网络(本地主机)到所有网络(本地主机)、所有协议、所有内容类型的通讯,简单的说就是拒绝所有通讯(但根据我的实验,内部网络计算机之间的通讯由于不通过ISA服务器,所以不受限制)
在这种情况下,内部网络的计算机无法从ISA服务器(本地主机)的DHCP服务获取IP地址和其他参数,所以首先要创建两条访问规则,允许内部网络的计算机与本地主机的DHCP服务的通讯,从而能够从DHCP获取IP地址和参数:
右键单击“防火墙策略”,选择“新建”-“访问规则”,出现“新建访问规则向导”窗口
命名访问规则,单击“下一步”
指定符合规则条件时要执行的操作,选择“允许”,单击“下一步”
选择此规则要应用到的协议。选择“所选的协议”,单击“添加”
在“添加协议”窗口中,选择“DHCP请求”,单击“添加” – “关闭”
单击“下一步”
选择访问规则源,单击“添加”
在“添加网络实体”窗口中,选择“网络” – “内部”,单击“添加” – “关闭”
单击“下一步”
选择访问规则目标,单击“添加”
在“添加网络实体”窗口中,选择“网络” – “本地主机”,单击“添加” – “关闭”
单击“下一步”
选择用户,由于我使用了SecureNAT客户端,不支持身份验证,所以接受默认的选项,单击“下一步”
单击“完成”,完成访问规则的创建
这条访问规则允许内部网络计算机向服务器(本地主机)发送DHCP请求。目前为止,服务器虽然能够接收来自内部网络计算机的DHCP请求,但ISA防火墙还是不允许从服务器(本地主机)到内部网络计算机的DHCP响应,所以还要创建一条访问规则,以允许从服务器(本地主机)到内部网络计算机的DHCP响应。
创建过程不写了
注意:操作选择“允许”,协议选择“DHCP答复”,源选择“本地主机”,目标选择“内部网络”
注意:
1、创建访问规则后,要保存更改并更新配置,必须单击“应用”按钮,否则应用规则不起作用
2、应用规则是按顺序检查的,在创建访问规则时要注意,错误的顺序会导致严重的问题,例如,如果将允许规则放在拒绝规则前,拒绝规则就不会被检查。正确的做法是将拒绝规则放在允许规则前
小结:
通过上面两个访问规则的创建,了解了访问规则是由策略元素组成的,策略元素包括:
l 协议:能够选择标准的协议,而且可以自定义协议
l 用户:通过身份验证控制用户
l 内容类型:将数据划分为音频、视频、文本、HTML、文档等类型,可以更精细地控制对网络内容的访问。缺点是ISA使用不可靠的文件名来进行检测
l 计划:时间
l 网络对象:从、到,即访问网络的源和目标
通过这些策略元素的组合,就能够控制访问网络的行为,起到防火墙的功能
创建了这两条访问规则后,内部网络计算机能够从DHCP服务器获取IP参数,但ISA防火墙仍然不允许对外部网络(Internet)的访问,对于我的情况,希望给予内部网络的用户最大限度浏览Internet的自由,所以创建一条访问规则,允许内部网络用户任意浏览Internet。
步骤略。
创建访问规则时,操作选择“允许”,协议选择“所有出站通讯”,源选择“内部”(如果要允许本地计算机也能浏览Internet,还应该添加本地计算机),目标选择“外部”
创建完所需的访问规则后,在内网计算机上互相Ping,但意外的是竟然不通。原因呢?
难道ISA服务器也拒绝了内网计算机之间的通讯?不应该啊,只有通过ISA服务器的通讯才有可能被ISA服务器检查,肯定不是ISA服务器的问题。
难道是360度安全卫士的原因?关闭360度安全卫士,再Ping,还是不通。问题不是出在360度安全卫士。
突然想到Windows防火墙中有控制ICMP的选项,在控制面板中打开安全中心,单击“Windows防火墙” - “高级”选项卡,单击ICMP区域的“设置”按钮
由于只是要简单的测试内网计算机之间是否连通,所以在ICMP设置窗口中选择“允许传入回显请求”即可(如果需要更详细的连通性测试,根据需要选择相应的选项)
再次在内网中的任意计算机上Ping,能够Ping通
在内部网络的计算机上进行测试,能够正确获取IP参数,并能使用SecureNAT客户端通过ISA防火墙访问Internet
四、安装红蜘蛛多媒体网络教室
在两个机房的两台管理机上安装管理机程序,在其他计算机上安装客户端,为了不互相干扰,为两个机房设置不同的频道。
安装完成后,进行测试,管理机与红蜘蛛客户端能够正常通讯。
到此,完成部署。