概要
ISA Server可以作爲×××服務器使用,但是你可能會遇到需要發佈內部網絡中的其他×××服務器的情況。例如,已經有了正在工作的×××服務器或者你想安全發佈它,或者只想讓ISA
Server作爲專用的網絡防火牆。
在這篇文章中提供了發佈×××服務器的解決方案:
•發佈使用PPTP協議的×××服務器;
•發佈使用NAT-T的L2TP over IPSec協議的×××服務器;這節需要運行在Microsoft
Windows Server 2003上的×××服務器;
•發佈使用沒有無IPSec的L2TP協議的×××服務器;
網絡拓樸
爲了發佈×××服務器,你至少需要:
•ISA Server計算機一臺。至少需要兩個網絡適配器,一個連接外部網絡(Internet),一個連接內部網絡;
•外部網絡適配器必須有靜態IP地址,並且持續連接到Internet。
•內部網絡中的×××服務器。這臺電腦至少有一個網絡適配器,連接到內部網絡。除了通過ISA Server外,這個×××服務器沒有其他通往Internet的路由。
•爲了實行L2TP over IPSec ×××連接,需要先在×××服務器上安裝數字證書。證書授權(CA)必須被使用L2TP over IPSec連接的所有客戶端所信任。關於數字證書更多的信息,請參見"Digital Certificates for ISA Server2004"http://go.microsoft.com/fwlink/?LinkID=28084。
發佈×××服務器
這節引導你通過必須的步驟來使用ISA Server 2004發佈×××服務器。
過程一:配置×××服務器
在發佈×××服務器之前,你必須陪同×××服務器。這些步驟在×××服務器上執行:
1.安裝和配置×××服務器,更多的關於安裝和配置×××服務器的信息,請參見微軟知識庫文章KB323441,"HOW TO: Install and Configure a Virtual Private Network Server in Windows Server2003" (http://go.microsoft.com/fwlink/?LinkID=28085);
2.在×××服務器上,設置連接內部網絡的網絡適配器的默認網關爲ISA Server計算機。
在配置好×××服務器之後,執行下面之一的發佈過程,依賴於你的×××服務器連接類型:
•過程2A:發佈基於PPTP的×××
•過程2B:發佈基於使用NAT-T的L2TP/IPSec的×××
•過程2C:發佈一個L2TP服務器
過程2A:發佈基於PPTP的×××
爲了發佈×××服務器,你必須建立一個服務器發佈規則。執行以下步驟來建立:
1.在ISA Server 2004管理控制檯,點擊防火牆策略;
2.在任務面板,點擊任務標籤,選擇建立新的服務器發佈規則開始新的服務發佈規則嚮導;
3.在歡迎頁,爲新的規則輸入一個名字,例如 Publish ××× server in Internal network using PPTP,然後點擊下一步;
4.在選擇服務器頁,輸入你想發佈的服務器的IP地址,然後點擊下一步;
5.在選擇協議頁,選擇PPTP Server,然後點擊下一步;
6.在IP地址頁,選擇你想偵聽訪問請求的網絡,在此選擇External,點擊下一步;
注意:默認ISA Server會在所有的外部IP地址上偵聽×××連接。如果ISA Server計算機的外部接口有多個IP地址,並且你希望控制偵聽的IP地址,那麼點擊地址按鈕來打開外部網絡偵聽IP選擇對話框,在此你可以選擇偵聽的IP地址。
7.在嚮導完成頁上檢查設置,然後點擊完成;
8.在防火牆策略面板,點擊應用以保存修改和更新防火牆策略;
過程2B:發佈基於使用NAT-T的L2TP/IPSec的×××
ISA Server會對所有進入的數據包執行NAT,所以在你使用L2TP的時候必須使用NAT-T。所有L2TP
over IPSec客戶必須安裝了NAT-T補丁,更多的信息,請參見微軟知識庫文章KB818043,"L2TP/IPSec NAT-T Update for WindowsXP and Windows2000" (http://go.microsoft.com/fwlink/?LinkId=28084)。並且,×××服務器必須運行在Windows Server 2003之上。
L2TP over IPSec需要兩條策略,一條用於發佈IKE(Internet Key Exchange)協商,另一條用於發佈NAT-T。
記住,在發佈之前,請先配置好你的×××服務器。
建立發佈IKE協商的規則
爲了發佈IKE協議,執行以下步驟:
1.在ISA Server 2004控制檯,點擊防火牆策略;
2.在任務面板,點擊任務標籤,然後選擇建立新的服務器發佈規則來開始新建服務器發佈規則嚮導;
3.在歡迎頁,爲發佈規則輸入名字,例如Publish IKE for L2TP/IPSec,然後點擊下一步;
4.在選擇服務器頁,輸入發佈的服務器的IP地址,然後點擊下一步;
5.在選擇協議頁,選擇IKE Server,然後點擊下一步;
6.在IP地址頁,選擇你想偵聽請求的網絡,在此我們選擇外部網絡,點擊下一步;
7.在完成嚮導頁上檢查設置,然後點擊完成;
8.在防火牆細節面板,點擊應用來保存修改和更新防火牆策略;
建立發佈NAT-T的規則
執行以下步驟:
1.在ISA Server 2004控制檯,點擊防火牆策略;
2.在任務面板,點擊任務標籤,然後選擇建立新的服務器發佈規則來開始新建服務器發佈規則嚮導;
3.在歡迎頁,爲發佈規則輸入名字,例如NAT-T ××× Publishing for
L2TP/IPSec,然後點擊下一步;
4.在選擇服務器頁,輸入發佈的服務器的IP地址,然後點擊下一步;
5.在選擇協議頁,選擇IPSec NAT-T Server,然後點擊下一步;
6.在IP地址頁,選擇你想偵聽請求的網絡,在此我們選擇外部網絡,點擊下一步;
7.在完成嚮導頁上檢查設置,然後點擊完成;
8.在防火牆細節面板,點擊應用來保存修改和更新防火牆策略;
過程2C:發佈一個L2TP服務器
當使用無IPSec的L2TP時,不需要穿越NAT,因爲沒有使用IPSec。L2TP不提供數據加密,所以數據在穿越×××的時候沒有加密。ISA
Server 2004同樣需要爲出站的L2TP連接建立一個訪問規則。
在過程一中已經完成的配置×××服務器中,你必須禁止自動L2TP over IPSec策略,如何禁止可以參見微軟知識庫文章KB310109,"HOW TO: Disable the Automatic L2TP/IPSec Policy" (http://go.microsoft.com/fwlink/?LinkId=28086),需要你在×××服務器和客戶機上添加一個註冊表鍵。
建立服務器發佈規則
執行以下步驟
1.在ISA Server 2004控制檯,點擊防火牆策略;
2.在任務面板,點擊任務標籤,然後選擇建立新的服務器發佈規則來開始新建服務器發佈規則嚮導;
3.在歡迎頁,爲發佈規則輸入名字,例如L2TP ××× Publishing without
IPSec,然後點擊下一步;
4.在選擇服務器頁,輸入發佈的服務器的IP地址,然後點擊下一步;
5.在選擇協議頁,選擇L2TP Server,然後點擊下一步;
6.在IP地址頁,選擇你想偵聽請求的網絡,在此我們選擇外部網絡,點擊下一步;
7.在完成嚮導頁上檢查設置,然後點擊完成;
建立訪問規則
執行以下步驟:
1.在ISA Server 2004控制檯,點擊防火牆策略;
2.在任務面板,點擊任務標籤,然後選擇建立新的訪問規則來開始新建服務器發佈規則嚮導;
3.在歡迎頁,爲訪問規則輸入名字,例如Allow L2TP from L2TP ××× Server,然後點擊下一步;
4.在規則動作頁,選擇允許,然後點擊下一步;
5.在協議頁,選擇選擇的協議;然後點擊添加按鈕來打開添加協議對話框;
6.在添加協議對話框,展開所有協議,選擇 L2TP Client,然後點擊添加,然後點擊關閉;
7.在協議頁,點擊下一步;
8.在源網絡頁,點擊添加按鈕來打開添加網絡實體對話框;
9.在添加網絡實體對話框,點擊新建,然後點擊計算機;
10.在新建計算機規則元素對話框,輸入新計算機的名字,例如L2TP ×××
Server和IP地址,然後點擊確定;
11.在添加網絡實體對話框,展開計算機,然後選擇L2TP ××× Server,點擊添加,然後點擊關閉,在源網絡頁,點擊下一步;
12.在目的網絡頁,點擊添加打開添加網絡實體對話框,然後展開網絡選擇外部網絡,點擊添加,然後點擊關閉;點擊下一步;
13.在用戶集頁,保留默認的所有用戶,然後點擊下一步;
14.在完成嚮導頁檢查設置,然後點擊完成;
15.在防火牆面板,點擊應用來保存修改和更新防火牆策略。