使用ISA Server、DHCP、DNS、Windows Server 2003 Active Directory的综合解决方案，达到让指定的用户、在指定的时

shenzhang

采用Windows Server 2003的Active Directory、DHCP、ISA Server，将计算机加入到域、让只有加入到域的用户（每人一个用户名、密码并登录计算机）才能上网，其他用户不能上网。这样就做到了经过认证的用户才能上网，并且出了事情，可以追察到人。同时，在奥运期间，由于许多用户在线看比赛，经过实际测量，新华网的 视频，每个视频需要占用1M以上的带宽，如果一个网络中， 有20个人观看视频，会占用大量的网络带宽。采用Bandwidth_Splitter限制每个用户带宽在350K以内。


     在大多数单位，都是通过限制工作站的IP地址，控制其上网行为，例如，根据部门、人员的不同，为其分配不同的地址或者地址段，在防火墙（或代理服务器）中设置上网策略。但这样的设置，存在一些问题：
（1）因为知道网管对IP地址进行了限制，所以一些员工会将自己的IP地址改成不受限制的IP地址，以避开限制。这样，经常造成网络地址的冲突。
（2）为了解决员工随意修改IP地址的问题，需要将IP地址与MAC地址绑定。但这样需要对三层交换机进行调试，这样会增加网管的负担。另外，现在修改网卡的MAC地址也是非常容易的，这也不是解决问题的最终方法。
（3）如果只是通过IP地址限制上网，由于现在的笔记本电脑很多。如果外来人员，将随身携带的笔记本接入网络，设置一个IP地址，就可以访问外网，这样可能引发问题。
（4）当网络出现问题时，如果只是基于IP地址进行排查，不容易定位故障源：因为IP地址是可以随意设置的。
基于此，这种传统的、基于IP地址进行限制的上网行为，需要做出改进。
为了解决上述问题，本文介绍联合使用ISA Server、DHCP、DNS、Windows Server 2003 Active Directory的综合解决方案，达到让指定的用户、在指定的时间、以指定的流量、访问指定的网络，本方案对用户身份进行验证，不对IP进行限制。即使用户修改IP地址，也不会避开限制。本方案网络拓扑如图1所示。


图1 网络拓扑
解决思路如下：
（1）在网络中需要有一台Windows Server 2003的服务器，升级到Active Directory（域），用于提供身份验证。所有的工作站需要加入该域。ISA Server是该域的“成员服务器”。
（2）网络中提供一台DHCP服务器，为工作站自动分配TCP/IP地址（可选）。
（3）在ISA Server中，创建访问策略时，采用“身份验证”方式，没有经过身份验证的计算机不能访问指定的网络（一般是访问Internet）。
（4）因为ISA Server 2004、ISA Server 2006没有提供“流量”限制功能，可以采用第三方的软件“Bandwidth Splitter for Microsoft ISA Server”软件，提供流量限制功能。
（5）所有的工作站，在访问Internet时，需要采用“Web代理方式”或“ISA Server的防火墙客户端”，否则不能通过“身份验证”，也就不能访问外网。
为了统一起见，网络中重要服务器的参数如下：
Active Directory服务器的IP地址为192.168.7.7，ISA Server服务器的“内网”地址为10.10.0.1（三层交换机的默认路由所指定的地址），外网地址为61.182.x.y；DHCP服务器的地址为192.168.7.6（三层交换机中设置“DHCP中继代理的”地址）。所有的工作站采用192.168.1.0/24～192.168.6.0/24的网段，DNS地址设置为192.168.7.7。
在ISA Server中，使用“Web代理客户端”与“防火墙客户端”，可以通过身份验证。下面分别介绍一下这两种客户端的设置方法。1 使用Web代理客户端上网
（1）在网络中一台Windows Server 2003的服务器上，将DNS地址设置成127.0.0.1，运行dcpromo，将计算机升级到Active Directory。在本例中，DNS域名为jz.local。升级到域之后，按照单位的组织机构创建OU、子OU（与部门名称相同），并在子OU中创建用户，如图2所示。


图2 根据组织结构创建OU与用户
（2）将ISA Server计算机加入到域。说明，不需要将计算机成为“额外的域控制器”，只要加入域，作“成员服务器”即可。然后按照传统的方式，设置访问策略，例如“允许内网访问外网”，即在创建规则时，允许“内部”用户访问“外部”，但在设置“用户”时，将默认的“所有用户”删除，而是添加“所有域用户”或者“所有经过身份验证的用户”，如图3所示。


图3 用户规则
这样，原来的只根据IP地址的限制，变成了IP地址+用户身份限制，但我们创建策略时，允许所有“内部”的用户，这样，起决定作用的就是“用户身份”了。
（3）在“配置→网络”中，双击“内部”，在打开的“内部 属性”页中，在“Web代理”选项卡中，选中“为此网络启用Web代理客户端连接”，并且选中“启用HTTP”，如图4所示。


图4 启用Web代理并指定代理端口
设置策略之后，单击“应用”按钮，让设置生效。
（4）返回到“Active Directory”服务器上，在“Active Directory用户和计算机”中，编辑该OU所在的策略，在“用户配置→Windows设置→Internet Explorer维护→连接”中，双击右侧的“代理设置”，在弹出的对话框中，选中“启用代理服务器设置”选项，在“HTTP”文本框中键入代理服务器的地址（在本例中为10.10.0.1）与端口（本例中为8080），如图5所示。


图5 编辑策略
（5）所有的工作站，加入到域之后，以域用户登录，其IE中的代理服务器地址，将会按照图5中的进行设置，并且可以访问Internet。如果没有加入到域，则不能访问Internet。2 防火墙客户端设置
如果网络中的工作站，使用ISA Server的防火墙客户端的方式访问外网，除了需要按照上面进行设置外，还要进行下面的工作：
（1）在“防火墙客户端”页中，选中“启用此网络的防火墙客户端支持”与“使用Web代理服务器”两个选项，并且将“ISA服务器名称或IP地址”（两处）设置为ISA Server内网的IP地址，切记，不要用计算机的名称，如图6所示。


图6 设置ISA服务器的内网IP地址
（2）在工作站上，安装ISA Server的防火墙客户端软件（在ISA Server安装光盘的“Client”文件夹中，可以用组策略发布该软件）。安装好后，双击右下角的“ ”图标，在弹出的对话框中，在“设置”选项卡中，选中“手动指定的ISA服务器”文本框中，键入10.10.0.1，然后单击“测试服务器”、“确定”按钮即可，如图7所示。


图7 指定ISA Server服务器地址
如果不想让用户指定ISA Server服务器的地址，则可以使用ISA Server提供的“自动发现”功能。这需要进一步的配置。
（3）在ISA Server服务器上，在“自动发现”选项卡中，设置使用自动发现的端口号。如果该ISA Server服务器没有发布Web服务器，并且本身也没有Web服务器，则可以使用“DNS发现功能”，这时，可以使用80端口。但现在的情况，一般ISA Server都会发布Web服务器，所以不能使用80端口，这时候可以指定其他端口（当前服务器没有使用的端口），例如，TCP的2501，如图8所示。


图7b 设置DNS自动发现
在不使用80端口时，只能使用“DHCP”提供“ISA Server”的自动发现功能。
（4）切换到DHCP服务器上，右键单击DHCP服务器的名称，从弹出的快捷菜单中选择“设置预定义的选项”，单击“添加”按钮，在“选项类型”对话框中，在“名称”处键入大写的WPAD，“数据类型”选择“字符串”，“代码”选择252，在“描述”处键入http://10.10.0.1:2501/wpad.dat，然后单击“确定”按钮，如图8所示。


图8 添加WPAD选项
添加之后，右键单击“服务器选项”，在弹出的“服务器 选项”中，选中添加的“252的WPAD”选项，如图9所示。


图9 启用WPAD选项
【说明】还需要为每个VLAN创建作用域、设置作用域的地址范围、子网掩码、网关地址，并在“服务器选项”中，添加DNS地址为192.168.7.7，这些不一一介绍。
经过上述设置后，每台工作站设置“自动获得IP地址”与“DNS”地址，同时，ISA Server的“防火墙客户端”，就可以自动通过DHCP的WPAD选项，自动指定ISA Server服务器的地址。3 流量控制
最后，在ISA Server服务器上安装“Bandwidth Splitter for Microsoft ISA Server”流量控制软件，并且设置策略，为不同的用户或者用户组，设置不同的流量即可。有关Bandwidth Splitter for Microsoft ISA Server的使用，不做详细介绍，下面是安装Bandwidth Splitter for Microsoft ISA Server之后的流量监控界面，如图10所示。


图10 流量监测图
在使用流量限制后（还可以限制并发连接数量），当网络中某人说他的计算机上网慢时，可以在流量控制列表中，根据显示的“用户名”查看该计算机的流量，以及访问的网站，如果网络速度慢是由于该用户下载软件或看视频导致，则提醒该用户。这样，也弥补了ISA Server的不足。4 其他设置
如果使用Web代理客户端或者防火墙客户端的计算机，网络中有服务器，例如一些内部网站服务器，则在访问这些内部网站时，不应该使用代理服务器，这时候，可以在ISA Server上进行设置。
在ISA Server服务器上，在“内部”属性中，选中“直接访问在‘域’选项卡中指定的计算机”和“直接访问‘地址’选项卡中指定的计算机”，或者单击“添加”按钮，将内网服务器的地址添加到“直接访问这些服务器或域”列表中即可，如图11所示。


图11 需要直接访问的地址
最后，如果网络中有服务器、计算机，由于使用Web代理客户端或防火墙客户端出现访问网络问题，或者有的服务器只能使用NAT的客户端，可以将这些服务器、计算机的IP地址创建一个“计算机集”，单独针对这些计算机集创建访问策略，并且这些访问策略要在其他访问策略的前面，这些是ISA Server的使用技巧，不做过多介绍。
如果客户端使用QQ、MSN的比较多，可以在“共享上网”这条策略的前面，专门开放QQ、MSN协议端口，并且不加身份验证。这样，客户端使用QQ、MSN时，不需要配置代理服务器。