模板
教程
环境
性能
功能
管理
ISA教程 附录B的问题和答案(2)
ISA教程 附录B的问题和答案
10. 解释怎样发布专用服务器应用程序。
Web服务器发布支持适用于客户地址集、用户和组的规则限制。然而服务器发布规则仅支持客户地址集(IP地址),所以您必须识别和限制仅基于IP地址范围的访问。创建一个客户地址集或者多个包括所有远端用户的客户地址集,如,Contoso的Internet服务供应商(ISP)的IP地址 范围。
其次,为TCP的端口2122创建一个入站的协议定义。因为它要列在可用的服务器发布协议中,所以协议必须定义为入站的。通过指定ISA Server计算机的外部IP地址和专用服务器应用程序的内部地址来发布服务器。
Contoso网络工作小组已经重新设计了网络以创建一个IT维护子网,并在它的子网上增加了一个质量保证实验室(QA),如图B.3所示。然而,由于添加了新的子网和路由器,QA职员不能在他们的实验室访问Internet。
11. 为了恢复连接,在ISA Server和这些子网中的客户机上应该重新配置什么?
检查ISA Server计算机的路由选择表,并为QA实验室添加分配给ISA Server计算机内部接口的目的和网关。本例中,ISA Server计算机必须配置成通过接口192.168.0.1,把传向192.168.1.0/24和192.168.2.0/24子网的数据包路由到网关192.168.0.2。使用route命令来验证并排除路由问题。将中间路由器的默认网关配置为指向上游路由,最后指向ISA Server计算机的内部接口。
确保安全网络地址转换客户端的默认网关配置为适当的中间路由器的IP地址。对于本例,将QA实验室的计算机默认网关配置为192.168.2。同时,确保防火墙客户端和Web代理客户端的代理地址配置为ISA Server计算机(192.168.0.1)的内部IP地址。一旦中间路由器和客户机配置正确,TCP/IP路由就能保证客户端的连接。
执行管理层要求您减少部门开支。您考虑到可以通过用VPN连接代替在总部和巴黎分公司之间的专用T1/E1WAN连接,并使用高容量的电路升级巴黎分公司到Internet的拨号ISDN连接。您想要巴黎分公司直接访问它的Internet内容而不再由西雅图总部来管理或者通过总部来访问。西雅图总部的职员会启动VPN连接。您也已经为巴黎创建了一个独立域,并把该域控制器放在巴黎分公司。网络小组成功地升级了网络。您已经在巴黎ISA Server计算机上删除了拨号适配器,并且添加了外部网络适配器来将巴黎分公司连接到Internet上,如图B.4所示。
12. 为了支持新拓扑,必须采取什么措施来重新配置ISA Server计算机?
在企业策略中删除巴黎的ISA Server阵列,并卸载ISA Server以从阵列中删除成员计算机。把该计算机添加到巴黎域中,并运行ISA Enterprise Initialization工具以更新新的巴黎域的ISA Server活动目录架构。重新安装ISA Server,并在巴黎域中创建一个新的ISA Server阵列。这样,就会把该计算机添加到阵列中。添加协议、站点和内容规则以允许巴黎的职员访问Internet。
在西雅图,通过进行本地VPN配置来给巴黎分公司配置VPN连接。在巴黎的ISA Server计算机上,使用Configure A Remote Virtual Private Network向导和配置本地VPN来建立巴黎分公司的VPN端点时创建的VPN数据文件。
13. 您已经为西雅图总部配置了VPN,但是不能连接到巴黎分公司。为排除该连接故障,您应该查看什么配置?
检查指定的协议。ISA Server支持L2TP和PPTP。L2TP使用网际协议安全(IPSec)。同时,确定通过导入适当的*.vpc VPN向导文件来正确配置远端端点。默认情况下,VPN向导不允许双向连接启动,除非已指定。同时,运行Routing and Remote Aclearcase/" target="_blank" >ccess控制台,确定配置了静态路径,并确定出现在General节点详细信息窗格中的请求拨号接口是可以操作的。
Contoso Ltd.雇用了一支远程销售力量。他们遍布全球,通过免费的长途专用连接调制解调器服务连接到总部。这样直接访问费用高,并且在使用量大时通常都
很繁忙。您相信通过配置使用ISA Server的VPN既可以省钱又能提供多人次访问。
14. 解释怎样通过ISA Server配置将用户从该专用的拨号服务迁移到VPN?
在西雅图阵列的ISA Management中运行Virtual Private Network Configuration向导。运行该向导来启动Routing and Remote Access Server,并将该服务器配置用于PPTP和L2TP隧道的VPN端口。该向导还添加了允许PPTP和L2TP数据包访问ISA Server计算机的4个IP数据数据包筛选器规则。为每个客户配置一个连接到Internet的拨号账号和辅助VPN连接。对于Windows 2000客户,使用Network Connection向导并配置通过Internet连接到专用网的新连接。将VPN主机名指定为IP地址或ISA Server计算机外部适配器地址的完全合格的域名。
这些远端用户经常访问Contoso其他两个分公司,并将他们的便携式电脑接入局域网(LAN)中。然而,无论何时他们没有连接到总部的局域网,他们就不能访问不了Internet。这些用户运行的是防火墙客户机软件。
15. 为什么用户不能从远端办公室访问Internet?描述不需要手动配置每台便携式电脑,又能解决问题的高效管理方法。
防火墙客户或者Web代理客户和ISA Server计算机不能配置成自动发现特性。从客户计算机的控制面板中,双击Firewall Client图标并选中Automatically Detect ISA Server复选框。Web代理客户端的自动发现特性是通过客户端的Web浏览器设置的。当禁用自动发现特性时,客户端不能自动升级对其他ISA Server计算机的连接,比如访问其他分公司时。
ISA Server支持通过WPAD升级客户。在阵列属性对话框中,单击Auto Discovery选项卡。然后,选中Publish Automatic Discovery Information复选框,并为自动发现请求指定端口。默认端口为80。该端口是Web服务器的默认端口。因此,如果您在ISA Server计算机上运行IIS,确定服务器上的Web站点没有使用端口80。否则,它将会和为同一端口设置的自动发现特性冲突。使用像netstat–an这样的工具来查找共享该端口的其他应用程序。其次,配置DNS或者DHCP,为客户配置适当的WPAD项。本书和ISA Server帮助文件中有怎样配置DNS和DHCP项的详细指令。
奥兰多分公司已经改组并使用一个新名称。为了能反映此变化,该分公司整个迁移到一个新Active Directory域。然而,在奥兰多的网络通信仍配置为通过西雅图总部的ISA Server计算机路由到Internet上。
16. 域名改变后,您发现到Internet的网络通信已经明显增加了,并且用户访问内部网和速度很慢。奥兰多职员运行的是防火墙客户端软件。用户遇到的网络延时问题的最可能的原因是什么?
检查内部和外部域名服务器(DNS)的逻辑位置并确保客户端没有配置成通过外部名称服务器来解析内部计算机请求。启用防火墙客户端软件,客户端将发出名称解析请求。该请求由ISA Server来解析而不是客户端。因为客户端使用的是防火墙客户端软件,所以为本地域表(LDT)配置内部域名。防火墙客户端软件将先在LDT中查讯目的域。如果其中列有该域,那么客户端将在本地解析名称而不把请求转送给ISA Server。对于解析内部域的名称,这是一个有效的方法。LDT查询只能在配置为防火墙客户端计算机上运行。(小节完)
