|
在域环境中配置ISA Server 2004(9)
同时,你可以在ISA的管理控制台中发现Denver提交的身份验证信息,
但是你会发现,你不能解析外部的DNS名字,同时也不能ping外部,这是为什么呢?
我们使用的DNS服务器是内部的DNS,没有设置对于外部的DNS解析请求应该如何处理,在没有设置转发的时候会被DNS服务器丢弃,自然不能解析出外部的DNS名字。同时由于我们启用了身份验证,只有使用Web代理客户或者防火墙客户才能提交身份验证信息。Web代理客户只支持从Web浏览提交身份验证信息,不支持其他的程序,所以在Web代理客户环境下,其他访问是不被ISA防火墙允许的(没有提交身份验证信息);而防火墙客户不支持ICMP信息的转换,所以,无论在Web代理客户环境和防火墙客户环境,都是不支持ICMP的。
6、在内部AD的DNS服务器上设置DNS转发
现在我们在内部的域控上设置外部DNS名字解析请求的转发。使用管理员账号登录域控Denver,在管理工具中打开DNS控制台,右击服务器名,选择属性;
在转发器页,选中上面的“所有其他DNS域”,然后在下面的转发器列表中输入外部的DNS服务器地址,在此我输入外部的DNS服务器Sydney的IP 61.139.1.2,然后点击添加;再点击确定;
注意:如果你的DNS服务器属性中转发器被禁用,这是因为你DNS服务器被作为根DNS服务器所至。在正向区域中删除“.”后重启DNS服务即可。
7、建立访问规则,允许内部网络的所有用户访问外部的DNS服务
其实这一步也不是必须的。只要在内部客户上安装防火墙客户端,那么由于前面我们有条允许内部的域管理员访问外部的所有服务的规则,就可以达到这一目的,但是在域控上是不推荐使用防火墙客户的。所以,在此,我另外新建一条规则来允许内部网络的所有用户访问外部的DNS服务。
在Florence上打开ISA管理控制台,建立访问规则的步骤和第4步基本一致,对应的规则元素为:
- 规则名:Allow DNS from Internal to External;
- 规则操作:允许;
- 协议:所选的协议 DNS;
- 访问规则源:内部;
- 访问规则目标:外部;
- 用户集:所有用户;
最后点击应用来保存修改和更新防火墙策略;
| 
