兩個機房,一個機房的計算機都是方正,另一個機房的計算機都是同方,所有計算機都帶有保護卡。
最初機房部署的是Windows Server 2003 Active Directory域環境,雖然Active Directory域環境有很大的優越性,但在使用中發現一些問題,最主要的三個問題是:
1、雖然爲每個用戶創建了用戶帳戶,用戶在使用計算機時需要輸入用戶名和密碼以登錄到個人的環境中,以保證個人文件及工作環境的安全,但由於用戶不是經常在機房使用計算機,記不住用戶名和密碼,每次在都要向用戶說明用戶名和重新設置初始密碼,管理困難。
2、雖然能夠集中部署軟件,但對於一些非MSI安裝包的軟件必須重新封裝,而且許多軟件沒有設計成可以以非管理員權限運行,而是必須使用管理員權限才能正常運行(這一點大部分國外軟件做的比較好,通常都提供了標準MSI安裝包,而且能夠以普通用戶權限運行,許多國產軟件不提供標準MSI安裝包,還必須以管理員權限才能運行,這可能和大部分用戶使用計算機的習慣有關係,有控制一切的慾望……呵呵)
3、對於不熟悉Active Directory域管理的機房管理人員來說,配置各種服務、管理用戶、共享資源、部署軟件等都很困難。
所以,爲了簡化用戶的使用(也爲了自己省事),規劃如下:
1、由於機房由不同的部門使用,所以將兩個機房的計算機劃分到兩個工作組中
2、安裝一臺Windows Server 2003獨立服務器,作爲DHCP服務器和ISA服務器,以實現IP參數的動態分配及使用ISA防火牆代理網關代理上網
3、由於所有計算機都帶有保護卡,在安裝了操作系統和常用軟件後,利用還原卡的“每次還原”功能對計算機進行保護,避免病毒、***及惡意用戶的破壞。而且保護卡能夠通過網絡傳送硬盤分區信息及硬盤內容、CMOS數據,簡化了計算機的維護和管理
4、安裝“紅蜘蛛多媒體網絡教室”
5、服務器和紅蜘蛛多媒體網絡教室管理機使用靜態IP地址
具體實施步驟如下:
一、安裝計算機
在兩個機房中分別挑選一臺計算機作爲模板計算機,一般選擇機房中第一臺計算機(方便保護卡使用自動分配IP功能爲其他計算機指定計算機名),先安裝保護卡底層驅動,然後安裝操作系統、並安裝所有補丁(我喜歡用360度安全衛士安裝系統補丁及第三方軟件補丁,個人感覺比Windows更新速度快,而且方便)、常用應用軟件、設置好相應的工作組、計算機名(可以利用保護卡的自動分配IP地址功能,分配其餘計算機的計算機名),最後安裝保護卡上層驅動。
注意:
1、安裝保護卡底層驅動前要規劃好硬盤分區及緩存區的大小,在安裝保護卡底層驅動後,除非重新安裝底層驅動否則不能更改分區大小;緩存區儘量大些,建議爲要保護的分區容量的5%-10%,否則在使用過程中會出現緩存區溢出而導致死機的情況。我就犯了這樣的錯誤,第一次安裝底層驅動時,緩存區使用了默認的500M,而導致在使用過程中頻繁死機
2、一定要安裝保護卡上層驅動,否則保護卡只能保護硬盤分區信息,而不會保護操作系統和應用軟件,所有對系統的更改都會被保留
3、定期檢查系統補丁,如果有系統補丁要安裝,可以在模板計算機上出現保護卡操作系統菜單時,按Ctrl+Enter進入總管模式進行安裝,然後通過網絡傳輸,更新其他計算機(同方保護卡有增量傳輸模式,而方正保護卡只能傳輸全部數據,另外,同方保護卡的傳輸速度比方正保護卡的傳輸速度快)
詳細步驟略
二、安裝DHCP服務並配置
由於服務器要充當代理網關,需要添加一塊網卡,將兩塊網卡分別重命名爲“內部網絡”、“外部網絡”,以方便配置ISA 2006
安裝Windows Server 2003,並安裝系統補丁,設置連接外部網絡網卡的IP地址、子網掩碼、默認網關、DNS服務器地址;設置連接內部網絡網卡的IP地址、子網掩碼(不需要設置默認網關、DNS服務器地址)
開始 – 控制面板 – 添加或刪除程序,出現添加或刪除程序窗口,單擊“添加/刪除Windows組件”,出現Windows組件嚮導窗口
單擊“確定”,返回Windows組件嚮導窗口,單擊“下一步”出現安裝界面
單擊“完成”結束安裝
在管理工具中打開DHCP管理單元,如下圖:
不在域環境中的DHCP服務器不需要授權
接下來要創建作用域(地址池)、設置DHCP選項。
右鍵單擊服務器圖標,選擇“新建作用域”,出現新建作用域嚮導窗口,如下圖:
單擊“下一步”
輸入作用域名稱和描述(可選),單擊“下一步”
指定地址範圍(起始地址、結束地址)、子網掩碼,單擊“下一步”
指定排除的地址或地址範圍,我沒有指定,單擊“下一步”
指定租約期限,即客戶端能夠擁有IP地址多長時間。一般情況下使用默認即可,單擊“下一步”
配置DHCP選項,我選擇了“否,我想稍後配置這些選項”,單擊“下一步”
單擊“完成”,新作用域創建完成
新創建的作用域默認是停用的,停用的作用域不提供服務,要激活此作用域,右鍵單擊作用域,選擇“激活”
激活後的作用域能夠向客戶端提供IP參數
DHCP選項能夠在作用域、服務器、類、保留客戶端級別配置。根據實際情況,選擇在作用域上配置DHCP選項。右鍵單擊“作用域選項”,選擇“配置選項”
設置003 路由器(即默認網關)和006 DNS服務器
注意:在配置006 DNS服務器選項時,如果內部網絡中有DNS服務器,而且設置了DNS轉發,將DNS服務器地址設置爲內部網絡的DNS服務器,否則應當將DNS服務器地址設置爲外部網絡的DNS服務器。
完成後,在作用域選項的細節窗格(我一直不知道它的名稱……)中顯示已經配置的作用域選項
此時 ,DHCP服務器安裝、配置完成,能夠響應DHCP客戶端的請求,提供I地址及其他參數
三、安裝ISA 2006標準版,進行相應的配置
一般使用光盤安裝,我爲了加快安裝速度,將光盤複製到了硬盤進行安裝
雙擊ISAAutorun.exe,啓動ISA 2006安裝程序
單擊“安裝ISA Server 2006”,出現ISA 2006安裝嚮導
單擊“下一步”
同意軟件許可協議,單擊“下一步”
輸入用戶名、單位、產品序列號,單擊“下一步”
選擇安裝類型,此處我選擇了“自定義”安裝,單擊“下一步”
ISA 2006只有兩個組件:
l ISA服務器
n 高級日誌
l ISA服務器管理
接下來設置內部網絡的地址範圍,內部網絡地址範圍參數很重要,因爲在ISA中網絡是防火牆策略的一個基本元素
單擊“添加”
單擊“添加適配器”,選擇“內部網絡”網卡,單擊“確定”,ISA根據選擇的網卡添加相應的地址範圍
單擊“下一步”
如果網絡中有ISA 2000之前的防火牆客戶端,不支持數據加密。如果網絡中有此種類型的防火牆客戶端,選擇“允許不加密的防火牆客戶端”。ISA 2000之後的防火牆客戶端支持數據加密,安全性更好。由於網絡中沒有ISA 2000之前的防火牆客戶端,所以沒有選擇“允許不加密的防火牆客戶端連接”
單擊“下一步”,安裝安裝程序警告在安裝過程中有些服務會重新啓動
單擊“下一步”,完成參數設置,開始安裝
安裝完成後,出現“安裝嚮導完成”,單擊“完成”,結束ISA 2006的安裝
ISA 2006安裝完成,接下來要對ISA 2006進行配置,以允許內網計算機通過代理網關上網。
在開始配置之前,瞭解一些基礎知識
客戶端
l Web代理客戶端
l 防火牆代理客戶端
l SecureNAT客戶端
Web代理、防火牆代理支持身份驗證,能夠控制通過防火牆的用戶;Web代理客戶端需要對IE瀏覽器進行配置,而且功能有限,只能使用瀏覽器訪問Internet;防火牆客戶端功能上沒有限制,但需要在計算機上安裝防火牆客戶端軟件;Web代理、防火牆代理都具有DNS轉發功能,即在不需要指定計算機的DNS服務器地址;SecureNAT不支持身份驗證,不需要安裝進行額外的設置,沒有功能限制,沒有DNS轉發功能,需要設置DNS服務器地址,如果能配合DHCP服務器,客戶端計算機不需要任何設置。
所以,我選擇了使用SecureNAT客戶端,配合DHCP服務器(作用域選項的DNS服務器選項和路由器選項),簡化配置。
防火牆策略
安裝完成的ISA 2006默認只有一條防火牆策略 - 拒絕所有用戶、任何時間從所有網絡(本地主機)到所有網絡(本地主機)、所有協議、所有內容類型的通訊,簡單的說就是拒絕所有通訊(但根據我的實驗,內部網絡計算機之間的通訊由於不通過ISA服務器,所以不受限制)
在這種情況下,內部網絡的計算機無法從ISA服務器(本地主機)的DHCP服務獲取IP地址和其他參數,所以首先要創建兩條訪問規則,允許內部網絡的計算機與本地主機的DHCP服務的通訊,從而能夠從DHCP獲取IP地址和參數:
右鍵單擊“防火牆策略”,選擇“新建”-“訪問規則”,出現“新建訪問規則嚮導”窗口
命名訪問規則,單擊“下一步”
指定符合規則條件時要執行的操作,選擇“允許”,單擊“下一步”
選擇此規則要應用到的協議。選擇“所選的協議”,單擊“添加”
在“添加協議”窗口中,選擇“DHCP請求”,單擊“添加” – “關閉”
單擊“下一步”
選擇訪問規則源,單擊“添加”
在“添加網絡實體”窗口中,選擇“網絡” – “內部”,單擊“添加” – “關閉”
單擊“下一步”
選擇訪問規則目標,單擊“添加”
在“添加網絡實體”窗口中,選擇“網絡” – “本地主機”,單擊“添加” – “關閉”
單擊“下一步”
選擇用戶,由於我使用了SecureNAT客戶端,不支持身份驗證,所以接受默認的選項,單擊“下一步”
單擊“完成”,完成訪問規則的創建
這條訪問規則允許內部網絡計算機向服務器(本地主機)發送DHCP請求。目前爲止,服務器雖然能夠接收來自內部網絡計算機的DHCP請求,但ISA防火牆還是不允許從服務器(本地主機)到內部網絡計算機的DHCP響應,所以還要創建一條訪問規則,以允許從服務器(本地主機)到內部網絡計算機的DHCP響應。
創建過程不寫了
注意:操作選擇“允許”,協議選擇“DHCP答覆”,源選擇“本地主機”,目標選擇“內部網絡”
注意:
1、創建訪問規則後,要保存更改並更新配置,必須單擊“應用”按鈕,否則應用規則不起作用
2、應用規則是按順序檢查的,在創建訪問規則時要注意,錯誤的順序會導致嚴重的問題,例如,如果將允許規則放在拒絕規則前,拒絕規則就不會被檢查。正確的做法是將拒絕規則放在允許規則前
小結:
通過上面兩個訪問規則的創建,瞭解了訪問規則是由策略元素組成的,策略元素包括:
l 協議:能夠選擇標準的協議,而且可以自定義協議
l 用戶:通過身份驗證控制用戶
l 內容類型:將數據劃分爲音頻、視頻、文本、HTML、文檔等類型,可以更精細地控制對網絡內容的訪問。缺點是ISA使用不可靠的文件名來進行檢測
l 計劃:時間
l 網絡對象:從、到,即訪問網絡的源和目標
通過這些策略元素的組合,就能夠控制訪問網絡的行爲,起到防火牆的功能
創建了這兩條訪問規則後,內部網絡計算機能夠從DHCP服務器獲取IP參數,但ISA防火牆仍然不允許對外部網絡(Internet)的訪問,對於我的情況,希望給予內部網絡的用戶最大限度瀏覽Internet的自由,所以創建一條訪問規則,允許內部網絡用戶任意瀏覽Internet。
步驟略。
創建訪問規則時,操作選擇“允許”,協議選擇“所有出站通訊”,源選擇“內部”(如果要允許本地計算機也能瀏覽Internet,還應該添加本地計算機),目標選擇“外部”
創建完所需的訪問規則後,在內網計算機上互相Ping,但意外的是竟然不通。原因呢?
難道ISA服務器也拒絕了內網計算機之間的通訊?不應該啊,只有通過ISA服務器的通訊纔有可能被ISA服務器檢查,肯定不是ISA服務器的問題。
難道是360度安全衛士的原因?關閉360度安全衛士,再Ping,還是不通。問題不是出在360度安全衛士。
突然想到Windows防火牆中有控制ICMP的選項,在控制面板中打開安全中心,單擊“Windows防火牆” - “高級”選項卡,單擊ICMP區域的“設置”按鈕
由於只是要簡單的測試內網計算機之間是否連通,所以在ICMP設置窗口中選擇“允許傳入回顯請求”即可(如果需要更詳細的連通性測試,根據需要選擇相應的選項)
再次在內網中的任意計算機上Ping,能夠Ping通
在內部網絡的計算機上進行測試,能夠正確獲取IP參數,並能使用SecureNAT客戶端通過ISA防火牆訪問Internet
四、安裝紅蜘蛛多媒體網絡教室
在兩個機房的兩臺管理機上安裝管理機程序,在其他計算機上安裝客戶端,爲了不互相干擾,爲兩個機房設置不同的頻道。
安裝完成後,進行測試,管理機與紅蜘蛛客戶端能夠正常通訊。
到此,完成部署。
本文出自 “技術成就夢想” 博客,請務必保留此出處http://iwantfly.blog.51cto.com/1048259/234139