本文原发于bbs.54master.com我是网管论坛。系本人原创。
54master ID:blazewind
QQ:12563861
冬天的隼
背景:小白在一家公司做网管,由于近期老总发现公司的网速特别慢,经明查暗访,发现员工们在上班时间看电影,下载私人用资料,聊QQ等,遂要求网管小白想办法从根本上解决此事。小白求助于死党兼师兄老黑。。。。。。。
安装与规则篇。
(1)
小白是一家公司的网管,每天的工作就是维护一下公司的网站,工作十分轻松,惬意。
最近,小白公司的老板对员工们在工作时间聊QQ,看在线电影等行为十分不满,要求小白尽快解决此事。否则,这个月的薪水就………。
但是,小白对此道一窍不通,于是,小白找到了同样是做企业网管的师兄兼死党,老黑。老黑,从大学时代起,就是小白的死党,比小白高一届。
听完小白的叙述,老黑说:“这好办,我给你出个主意,让员工们使用代理服务器上网,就可以限制他们。”
小白:“代理服务器?”
老黑:“对!像我这里一样,做成这样就OK了!”
原来老黑在公司的内网里架了一台代理服务器,所有的员工都要通过这台代理上网,老总是特权,不用代理上网。
小白很不解,问道:“用代理上网速度不是会慢的么?同事们没有向你抱怨吗?”
老黑哈哈一笑,对小白说“我用的是ISA,有缓存功能,不怕的。”
小白:“ISA?什么软件?我怎么从来没听过?”
老黑:“听我慢慢道来。。。。。。”
老黑点起一支烟:“ISA Server,是微软出品的一款网络防火墙,具有防火墙和代理服务器的功能,而且具有web缓存,也就是说,可以对内部网络的web页面的访问请求缓存下来,备用。举个例子,公司里有200台客户端,都通过ISA上网,当其中一台客户端访问www.microsoft.com/china这个web页面的时候,ISA就会把这个页面缓存下来。当然另外的客户端访问的时候,ISA不会去网络上重新下载这个页面,而是直接从缓存里将这个页面取出,发送给客户端,从而实现加速web的访问。利用ISA的深度防护功能,可以彻底解决掉P2P软件,例如QQ等,而且,还可以避免网页挂木马对内网的影响。你还可以决定那些文件不可以被下载,例如,.rm .rmvb等,这样就可以解决掉在线看电影的问题。”
小白说:“我发现有的同事去土豆网这类的网站看在线视频,能封吗?”
老黑说:“能,当然能。”
小白说:“那好,我也弄个ISA试试,看看行不行,不过,我不会弄,你要教我。”
老黑说:“你先回去,找到机子,我下了班过去教你。”
小白:“好!”
小白从微软官方网站上下载了ISA 2004的120天的试用版。下载完后,心里还是不踏实,怕这个月的薪水被老板…………
老黑下班后找到小白,开始一步一步教小白使用ISA
首先是安装ISA,根据向导一步一步来就可以了
(ISA 2004安装向导)
点击“安装ISA Server 2004”
点击“下一步”
这里要根据你的实际情况选择,建议新手们选择完全安装。(安装ISA的分区必须为NTFS分区,否则,将有一些功能是不可以直接使用的。例如防火墙客户端共享安装)
这时,就需要你输入你内网的IP地址范围了,点击添加按钮
这时,你可以自己添加你的内网的IP地址,如果你的服务器有多块网卡的话,建议你使用选择网卡来添加
根据你的实际情况选择就可以了
选择完后,加到这个画面上,点击确定
点击下一步
这里需要注意的是,如果你使用的客户端是防火墙客户,而且,客户端的安装程序是ISA 2000的客户端的话,一定要把“允许运行早期版本的防火墙客户端软件的计算机连接”这项选中。然后点击下一步
点击安装
这时,你就可以喝杯茶,或者,点支烟,等待安装完成了。
安装完成之后,运行“ISA 服务器管理器”,打开ISA。
小白问老黑:“怎么实现你说的那些功能啊?封QQ,在线电影网站?”
老黑说:“先别急,你现在需要了解一下ISA,我先给你讲几个重要的概念。”
老黑说:“先别急,你现在需要了解一下ISA,我先给你讲几个重要的概念。”
(ISA 界面)这就是ISA的界面(这是我以前一篇贴子的图片,偷下懒,大家表向我扔鸡蛋)。
说着,老黑调出来系统策略(方法:查看-显示系统策略
老黑对小白说:“先让你认识一下ISA.你先要了解一下,什么是内部,外部,本地主机,及工具箱中所有的元素。”
说着,老黑打开了工具箱(见ISA界面那张图片右侧的工具箱)中的网络,见下图
《我先讲讲内部,你还记得刚刚在安装的时候让咱们输入的IP地址范围吗?那些IP地址范围就由内部表
外部:除了内部都叫外部本地主机:在ISA 2004中,ISA 2004把自己也当成一个网络来看待,有时候,配置好ISA后,发现ISA自己打不开网页,但是,别人可以通过ISA来上网,就是因为配置外网访问策略中没有将本地主机加上的原因。
还有内容类型
这些都是你以后要用到的。比如说不允许.rmvb .rm等这类视频文件的下载,都要用到内容类型。
小白:“那其他的呢,比如什么工具箱这里面的协议啊,URL集啊等等这些呢?都代表什么?都有什么作用?”
老黑嘿嘿一笑,道:“今天先到这吧,明天再接着告诉你,我刚泡上一MM,刚刚打电话来,约我出去吃饭,明天吧。”
说完,起身就要走,小白无奈的看着老黑。
老黑走后,小白看着眼前的ISA,只觉得十分难懂,什么内部,外部,本地主机等等这类的东西(就本地主机这一个小白能理解)。
这时候,小白看了看,这台机器上就装了ISA,别的什么也没装,于是,拿出一张光盘,装上了瑞星杀毒软件。边装边想,这个老黑,还高手呢,连个杀毒都不装。我给装上吧,省得中毒。这张盘还是从老总那里弄来的呢(老总自己用一套瑞星,因为怕升不了级所以就没让别人用。小白私自刻了一张,并记下了序列号和用户ID,看着这张光盘,小白那个美啊)。装完了以后,小白看看了表,已经有点晚了,所以就关了机器,回家了。
第二天刚上班,因为没什么事,小白就打开那台装了ISA的机器,准备自己先熟悉一下。
进系统后,小白打开ISA,回想着昨天老黑讲的东东,正在自己摸索着配置的时候,那台机器突然蓝屏了,小白当时就愣了,无奈,小白把机器重启了。谁知,这次更郁闷,刚刚重启完,还没进桌面呢,又蓝了。小白以为系统坏了,想到这个机器的系统已经是好久没重装过了,遂重装系统。
重装完系统已经是一个多小时过去了,小白回想着昨天老黑装ISA的步骤,自己装上了ISA。还美滋滋地想,这东西我也回装了。装完ISA后,已经差不多快要下班了,小白想,趁着还有点时间,给系统打打补丁,可是发现,怎么也不开Update的网站,甚至连网也上不去。小白突然想起,老黑昨天讲的,可能是还没配置策略呢,就没管。
既然打不了补丁就装杀毒软件吧,小白又装上了瑞星。装完瑞星,就去吃中午饭了吃完饭回来后,发现那台机器又蓝屏了,小白当时就傻了,怎么回事?二话没说,马上给老黑打电话,老黑听后哈哈一笑,说,下班我过去再说吧。小白无奈的挂上了电话。
小白只有等着。老黑来了以后,看了看,说这简单,先重启了那台机器,然后进入系统后,什么也没做,直接卸载了瑞星,然后对小白说:“没事了,不信你看着!”小白半信半疑的看着老黑。老黑说,兄弟,对不起,今天不能教你了,今天我是人约黄昏后,如此良辰美景我可不能错过。哈哈,我先走了。你先测试着你的这台机器吧。说着一溜烟的跑了。
第二天,小白把那台机器开了一天,也没蓝屏。小白百思不得其解,决定等老黑来了问问老黑。这天下班,老黑如约来到小白公司,小白问:“为什么现在我这台机器不蓝屏了?”
老黑说:“据我的经验,瑞星只适用于ISA 2000,ISA 2004么,不知道那里有冲突,会导致蓝屏和死机。据瑞星的工程师讲,在设备管理器里停用一个隐藏设备就没事了,什么什么basetdi,但是我停用了,瑞星就不稳定了。所以,我不推荐ISA 2004同时使用。”
小白:“原来如此啊!”
小白:“可以继续教我了吧?今天你能不能给我讲点具体的?”
老黑:“你想听什么,问吧。”
小白说:“你给我讲讲内部,外部,本地主机这些吧,从这里讲起,然后一项一项来。”
老黑:“好。”
在ISA 2004中,内部代表的是受ISA保护的网络,还记得你安装的时候,让你输入的一个IP地址范围吗?当时咱们是选择的网卡?那时候就是确定要受ISA保护的网络,你可以这么理解,需要接受ISA管理和保护的网络就是你的内部网络。
外部网络一般情况下指的是公网,也就是通常说的Internet。也可以理解为,除了内部以外都叫外部。
另外,还有一个,叫外围。注意,是外围,不是外部。这两者的差别是,外围网络一般指的是DMZ区。DMZ区:非军事化区,这是一个从军事上演化来的词。你可以这么理解,在你管理的网络中,有一个区域(一般指的是网段),既可以在内网访问,又可以从Internet上访问到的地方,就叫DMZ区。一般情况下,在ISA中,习惯上把这个网段称为外围。
老黑:“不知道你能明白不?”
小白:“原来是这样啊。明白了!”
“那内容类型指的是一些什么东东呢?”
所谓的内容类型,说白了,其实就是文件的扩展名。你看,开这内容类型,咱们选择“文本”这一项,然后双击,在弹出的对话框中
选择内容类型标签,你就会看到,里面列出的全是文件的扩展名。同样,咱们再看一下文档,见图
“列表里也全是一些文件的扩展名,这就是所谓的内容类型。其实,ISA之所以可以控制那些文件不被下载,就靠的是这些内容类型进行检查。当然啦,这需要你在策略中进行限制。”“那这里面要是没有我想要的文件扩展名怎么办?”
“你可以自己添加啊。”看这个对话框,就拿文档来说吧,里面没有word文档的扩展名,你可以在可用类型下面的那个文本框里输入
.doc,然后点后面的那个添加按钮,然后点确定,然后再点应用就可以把.doc这种扩展名的文档添加进来,这样,你以后就可以限定
.doc可不可以被下载了。
“哦,是这样啊。那我可不可以添加其他类型的扩展名呢?”
“当然可以了,ISA虽然自带了很多的扩展名,但是,也不是很全,有些是需要自己添加的。例如:.rar .swf .rmvb,.rm .wmv .wma等等吧,这些你都可以添加进来。然后在策略中过滤掉你想过滤掉的文件名”
“这功能不错。这样一来,我就可以自己看在线电影,去土豆网看视频,让人看不了。我可以给前台的那漂亮MM打开这些,到时候就……哈哈。”小白一阵奸笑。
…………………老黑无语中。
等小白的泡妞梦醒后,老黑说:“梦醒了吧,赶紧吃饭去吧,明天教你划分网络等进一步的操作,以便于你将来做防火墙策略。”
小白这才从刚刚的泡妞梦中醒来,回到现实中来。
小白和老黑在小白公司门口的一家小饭馆狼吞虎咽一顿后,各自散去。
由于第二天是星期六,公司休息,二人决定下午过来
期六下午
老黑和小白来到小白的公司。
老黑:“小白,今天下午咱们来划分网络。”
小白:“划分网络?”
“是啊,确切地说是划分一下IP地址。比如,那些地址属于财务部,那些地址属于业务部啊等等这类的。先叫我看看你公司的IP地址是怎么分配的。”
小白从自己的电脑上打开了一个Excel文档,里面的IP是这么分配的:
192.168.1.4 192.168.14 192.168.24 192.168.1.34 192.168.44 192.168.1.54业务部
192.168.1.58业务部主管
192.168.1.19-192.168.1.24行政部
192.168.1.18行政部主管
�n%d&V#w;G0192.168.1.26-192.168.1.28
前台
192.168.1.29-192.168.1.38财务部
192.168.188小白自己用
192.168.1.248公司内部交换文件用的FTP
192.168.1.249公司财务部(财务软件的一台服务器)
192.168.1.250财务部主管
192.168.1.88老总
192.168.1.68老总秘书
192.168.1.2 ISA
老黑看了一咧嘴:“这么分散,又不连贯。”《我是网
“怎么,有什么问题吗?”
“没,没什么问题?”
老黑打开ISA,然后在工具箱的网络对象
看这里,网络对象里不是有网络集,计算机,地址范围,子网,域名集,URL集,计算机集这些吗?
计算机集:简单点说,就是你一个部门,或者是说同一类的电脑的集合,比如说,你公司的业务部,由于IP地址不连贯,就可以把业务部所有电脑的IP地址添加到计算机集里来。计算机:这指的就是单独的一台电脑,比如说,你公司的老总,你可以把老总电脑的IP地址添加到这里来
地址范围:这里的地址指的是IP地址,比如说,你公司的前台用的那三台电脑的IP地址不是192.168.1.26-192.168.1.28吗?你可以把这段IP添加到地址范围当中去。像这样比较连贯的IP地址,用地址范围比较合适
根据你的实际情况,将这些部门的电脑的IP地址分别添加到不同的类型里面。比如,同一个部门的,比如业务部计算机可以添加到计算机集里面,那些像老总IP地址,可以单独添到计算机里面。也可以把每台计算机都添加到计算机里这样,就可以达到精确控制使用这些IP地址的电脑能否上网了。
小白:“为什么不直接用内部呢?干什么非要添加这些东东呢,好麻烦。”
老黑:“不是不可以用内部那个,如果用那个的话,所有部门的人都可以上网,而根据你的要求,有的人只能打开网页,有的人既能打开网页,又要能上QQ等等吧,如果用了内部,那不等于跟现在一样吗?或者,要封QQ都封住了,要不封QQ都封不住了。”
小白:“对,对,对,还是你黑山老妖厉害!”
老黑:“……………”
“那子网,URL集,域名集做什么用呢?”
子网:是用来添加一个内部网络中的一个子网用的。
URL集:所谓的URL,指的就是像http://www.microsoft.com,说白了就是你访问某个网站时的网址,作用是用来在策略中限制那些URL不可以访问的。
域名集:指的是像www.microsoft.com download.microsoft.com等等这些,这和URL集是有区别的。另外,域名集可以这么建,*.microsoft.com,*.baidu.com等。
3s�s2F$~�x�m |0小白:“有点不明白。”《我是网管》博客 Zw4x�z9kt
老黑:“例如,你现在不想让员工们访问Sinaa,你就可以在策略中限制,*.sinna.com这个域名不允许访问,如果你只是不想让员工访问Sinna中的游戏栏目,那么就需要用URL集进行限制了。你可以设定,http://games.sinna.com/*不可以访问就可以了。”
“明白了,限制域名是整个网站都不可以用,而限制URL只是特定的URL不可以访问,对吧。你为什么要在后面另那个/*呢?”
“如果不加/*,那么http://games.sinaa.com/z/.../index.html就可以访问了,明白了吧。”《我是网管》博客+p)w�["V&{
“哦,我明白了,明白了。看来ISA挺牛的啊。”
“是啊,这些Ccproxy,Wingate等同类软件无法做的。”
小白:“哦,那怎么添加呢?”
�`&v�s8t3F�Q�h+V0“别着急啊,我先给你做一下演示,我分别添加一个计算机集和一个计算机,让你看一下。剩下的,你就自己完成,OK?”
“OK!”
我先把业务部的计算机集给你建起来
在网络对象中的计算机集上右击,选择新建计算机集,然后在弹出的对话框中,先输入名称,最好是部门的名称,然后点击添加按钮,这里需要注意的是,有三个选项,“计算机,地址范围,子网”,这三个选项仅在这个计算机集中显示,不会在网络对象中的计算机,地址范围,子网中显示。也就是说,仅仅在你建立的这个名称为业务部的计算机集中显示,不会在其他地方显示。请大家注意。
老黑将业务部的几个IP依次添加进来。
“这样,计算机集就建好了,名称叫业务部。这就代表业务部所有的电脑。”
“明白。”
“我再给你显示一下怎么建立计算机。我建立一个代表你老总的计算机。”
在网络对象中的计算机上右击,选择新建计算机
在弹出的对话框中,在名称处输入老总,然后在下面的计算机IP地址(I)处,输入老总使用的那台电脑的IP地址,然后点击确定即可。
“怎么样,简单吧。”
“恩,简单。问你个问题,刚刚在建计算机集时不是也可以添加计算机吗?和这里有区别吗?”
“有啊,当然有。新建计算机集时,在那里添加的计算机,起作用的范围,或者说是只显示在你建的那个计算机集里,而不会在网络对象-计算机这个地方显示出来的。虽然名称一样,但是,作用不一样。”
“明白了!”
“剩下的,你自己来吧,你熟悉一下,顺便我也休息会。”
“好。把这些弄完是不是就可以建立访问控制策略了?”
“访问控制策略?你先把这些弄完再说吧。OK?我先抽根烟,喝杯茶。”
几分钟后,小白已经把所有的电脑的IP地址根据情况分别添加到计算机集和计算机中。
老黑看了以后,说道:“前期的工作已经差不多了,现在你要想想,那些网站不允许他们访问,还有,那些内容类型,也就是那些扩展名的文件不允许下载,除了封堵QQ,需不需要封堵其他的一些软件?还有,检查一下你ISA那台机器的硬盘分区的分区格式是不是NTFS?把这些提前弄好,然后我们就可以开始建立策略了。“为什么硬盘分区格式需要是NTFS?”小白问道
老黑:“因为要建立缓存用。”
“缓存?作什么用?”小白不解的问道。
“ISA Server不是叫做因特网安全与加速服务器吗?I代表Internet S代表Security安全,A代表Acceleration加速,缓存就起一个加速的作用。不是真正意义上的加速,是变向加速。”
“变向加速?”
“对,举个例子,公司里有200台客户端,都通过ISA上网,当其中一台客户端访问www.microsoft.com/china这个web页面的时候,ISA就会把这个页面缓存下来。当然另外的客户端访问的时候,ISA不会去网络上重新下载这个页面,而是直接从缓存里将这个页面取出,发送给客户端,从而实现加速web的访问。”
“这些功能是KWF(Kerio Winroute Firewall)等同类软件所不具备的。好了,一会再说这些,咱们先来建策略。”
在ISA主界面的防火墙策略处右击,选择新建,然后选择访问规则...
在访问规则名称处输入名称,当然啦,名称是由你自己定的,这里,我输入Internet,然后点击下一步。
选择“允许”,当然这里也可以选择拒绝,不过,拒绝的用法,后面我们会讲,然后点击下一步
在这里,我们先选择所有出站通讯 ,(一般情况下不推荐选择所有出站通讯),然后点击下一步
在这个对话框里将业务部和老总添加进来,方法是点击添加按钮
在这个对话框中选择老总,然后点击下面的添加按钮,然后再选择业务部,点击下面的添加按钮,然后点击关闭《我是网管》博客 d�g-s�e#X
回到上一个对话框 ,点击下一步
然后用同样的方法,将外部添加进来,然后点击下一步。
这里暂时先选择所有用户,因为要实现身份难的话,是需要把ISA加入到域中的。不在将ISA加入域,因为如果把ISA加入域,如果ISA出问题,会影响到域,同样,域出问题,同样会影响到ISA的。
点击完成,然后回到主界面上,再点击主界面上的应用按钮,直到变成下图这样,然后点击确定
一条访问策略就建好了。建立策略的基本步骤就是这样。
建立好访问策略后,同样,要建立缓存规则。在主界面上点击配置前
面的那个小加号
选择定义缓存驱动器
在弹出的对话框中,可以看到你服务器上所有分区的可用空间,同样,在这里设置,你的ISA的缓存在每个分区上的大小,先在上面选择一个分区,然后在下面最大缓存大小后面的文本框中输入,然后点击设置按钮。记住,缓存必须放在NTFS格式的分区上然后点击确定或者应用都行。
回到主界面后,点击主界面上的应用按钮,然后会出现这个对话框
一定要选择保存更改,并重启动服务,点击确定
等一会,等出现的对话框中的进度条走完以后,点击确定,回到主界面
在主界面的缓存上右击,选择新建-缓存规则
在弹出的对话框中,输入你所建立的缓存规则的名称,这里,我还是输入Internet
这个名字不一定非要和防火墙策略里的名字一样,是随便取的。
这个对话框是要让你选择,缓存访问那些网络的访问请求.
一般情况下,我们选择外部即可,然后点击下一步。
同样,接受默认选项,点击下一步《我是网管》博客
还是继续点击下一步。
这里要注意的是,如果你的同事们不经常访问外网的FTP,可以不启用FTP缓存。如果不启用FTP缓存,不选中启用FTP缓存即可。
点击下一步。
然后在此对话框点击完成
最后不要忘记点主界面上面的应用按钮。否则,以上所有的设置是不生效的。
到此,缓存驱动器和缓存规则建立起来后,缓存就正式启用了。
“弄完这些,ISA服务器就算弄好了吧?”
“只能说是初步完成了,后面需要根据你的实际情况来调整策略即可。”
“那其他的电脑需要怎么设置才可以通过ISA来上网呢?”
“现在,我就跟你讲一下ISA中的三种客户端,以及这三种不同的客户端的设置方法。”
“好。”
ISA 2004中,客户端有三种类型,Snat,Webproxy(WEB代理),防火墙客户端(FWC)。这三种客户端。
“你能具体说说吗?”
Snat客户端的设置是,只要你现在把其他的电脑的默认网和DNS设置成ISA服务器的内网卡即可。同时,这样的话,就要在ISA服务器上,将内部DNS服务器建起来。
在此把DNS服务器安装在ISA Server同一台计算机上)打开控制面板下的添加/删除程序,点击添加/删除Windows组件,在Windows
组件向导中双击网络服务,勾选域名系统(DNS),点击”确定”,再点击”下一步”,安装过
程中可能需要你插入Windows Server 2003的安装光盘。
跟着向导一步一步将DNS组件装完后,打开DNS管理器(开始-程序-管理工具-DNS)。
这个DNS的设置比较简单,只有几个地方需要注意。见图
在DNS管理器窗口左侧,在你的服务器名字处右击,选择属性。
在接口这里,将“只在下列IP地址”选中,将IP地址设置为ISA服务器的IP地址。
在转发器选项这里,将你的ISP的DNS添加进去即可。其他的一概都不用设置。这个DNS服务器只起一个转发DNS请求的作用。
然后,在客户端上进行如下设置,同样,见图
将默认网关和DNS全都指向ISA。
内部的DNS服务器,可以不和ISA Server安装在一台计算机上,但操作系统必须是Windows服务器版本。
需要注意的是,SNAT客户端是无法实现身份验证证的。也就是说,ISA服务器控制SNAT客户端对Internet的访问,必须靠IP地址来完成。在域环境下,ISA如果加入了域,ISA就可以通过进行身份验证。换句话说,你可以通过域用户的身份验证机制,来控制那些用户可以访问Internet,但是,这点,SNAT客户端这种类型的客户端无法做到。
Webproxy客户端设置相对于Snat来说,做的工作要少一些。因为,Webproxy客户端,只要在IE中设置一下即可。不需要设置网关和DNS。
如果你使用WEB代理客户端,设置更为简单。只需要在IE的选项里设置一下即可。见图
点击局域网设置按钮
将代理服务器根据你的实际情况设置即可。端口处填8080,ISA默认的就是8080,如果你没有改过的话。地址就填ISA的内网卡地址。完成后点击确定。回到上一级窗口后,再点确定即可。
然后你还需要在这里进行一下设置,见图
在这里,将默认网关与DNS留空,也就是不填。即可。
“那防火墙客户端怎么弄呢?”
防火墙客户端在安装之前,要和Webproxy客户端一样,需要设置一下这里,见图
同样要将默认网关和DNS处留空不填。然后在此台电脑上安装ISA的客户端程序即可
如果你使用的是ISA 2000的客户端,ISA 2004也可以兼容它。但是,需要在这里设置一下。见图
如果你使用ISA 2000的客户端,在安装的时候就要把上图的那个“允许运行早期版本的防火墙客户端软件的计算机连接”此项选中。如果你安装ISA 2004时没选中,那就要在这里设置一下,同样可以。(本文采用ISA 2004的客户端)见图
在ISA主界面左侧点击配置,然后再选择常规,然后主界面右侧的会有“防火墙客端设置”这一项,单击一下,即可打开这个对话框。
如果你用的是ISA 2004的客户端,则不用设置。
那么,ISA 2004的客户端怎么得到呢?如果你在安装ISA 2004的时候
选择了上图中的防火墙客户端安装共享的话,你可以在你的ISA的安装目录下找到它。见图
首先是在你的ISA的安装目录下,你会发现一个名为“clients”的共享文件夹,如果你没有启用共享客户端安装,这个文件夹是不会共享的。
如果你打算使用防火墙客户端的话,还需要在ISA里进行一下设置,见图
首先,在网络对象的网络中找到内部,然后在内部上右击,选择属性
在打开的对话框中,选中启用此网络的防火墙客户端支持
在防火墙客户端配置这一项中,需要你输入ISA服务器的计算机名或者是IP地址,根据你的情况填上去就可以了。如果你的ISA服务器在安装操作系统的时候没有改过名字的话,会是一串长的字符,而且无规则,那么,这个时候,你就填写IP地址就可以了。如果ISA服务器在安装操作系统完成后,像我一样,改了计算机名的话,建立填写计算机名。或者,你的内网用的是DHCP的方式来获取IP地址的话,则此处必须填写ISA服务器的计算机名。
填好ISA计算机名或者IP地址后,依次勾选所有的选项。
然后,选择自动发现选项卡,见图
勾远自动发现信息,端口号一般情况下,默认的就是80.不做修改。
点击确定,退出这个对话框。返回到ISA主界面上。然后点击主界面上的应用按钮。即可。
这是在ISA服务器上需要做的一些设置。
获得客户端后,就可以到其他需要ISA管理的计算机上去安装了。安装过程见图(ISA 2004客户端)
点击下一步
选择“我接受许可协议中的条款”,点下一步
选择安装目录,一般默认即可,点下一步
这里要根据你的实际情况选择了。选择好后点击下一步。
然后点击安装,开始安装过程。等等安装完成后,就OK了。
附一张ISA 2000客户端安装后好的图片
一般情况下,可以不勾选图中“Automatically detect ISA Server”项,然后在下面“Use this ISA Server”处填上ISA服务器的计算机名。
(未完,待续)