微软KB库
概观
在某些组态中,您可能想要在 DHCP 服务器上安装 Microsoft Internet Security and Acceleration (ISA) Server 2004。本文件探讨在这样的案例下进行设定时所可能会遇到的问题。
建立 DHCP 规则
根据预设,当在 DHCP 服务器上安装 ISA Server 时,DHCP 服务器不会回显请求。若要让 DHCP 服务器能够运作,必须建立下列规则:
•规则 1:能让 DHCP 将来自 DHCP 客户端网络上提出的要求送到本机主机网络上。
•规则 2:允许 DHCP 由本机主机网络回复到 DHCP 客户端网络上。
允许 DHCP (要求) 通讯协议
在这个程序中,DHCP 客户端位于内部网络中。若要允许 DHCP (要求) 通讯协议,请使用下列步骤:
1.在 ISA Server Management 的防火墙原则节点上,于 [防火墙原则] 上按下右键,指向 [新增],然后单击 [存取规则]。
2.在新增存取规则精灵中,输入规则名称。例如:允许 DHCP 要求。然后单击 [下一步]。
3.在 [规则动作] 页面中,单击 [允许]。然后单击 [下一步]。
4.在 [通讯协议] 页面的 [这个规则套用到] 中,单击 [选取的通讯协议]。然后单击 [新增]。
5.在 [新增通讯协议] 中的 [所有通讯协议] 上,单击 [DHCP (要求)]。单击 [新增],再单击 [关闭],然后再单击 [下一步]。
6.在 [存取规则来源] 页面上,单击 [新增]。
7.在 [新增网络实体] 的 [网络] 区段中,单击 [内部]。单击 [新增],再单击 [关闭],然后再单击 [下一步]。
8.在 [存取规则目的地] 页面上,单击 [新增]。
9.在 [新增网络实体] 的 [网络] 区段上,单击 [本机主机]。单击 [新增],再单击 [关闭],然后再单击 [下一步]。
10.在 [使用者组] 页面上,默认值选择的是 [所有使用者]。单击 [下一步],然后再单击 [完成]。
允许 DHCP (回复) 通讯协议
在这项程序中,DHCP 客户端位于内部网络中。若要允许 DHCP (回复) 通讯协议,使用下列步骤。
1.在 ISA Server Management 的防火墙原则节点中,于 [防火墙原则] 上右键单击,指向 [新增],然后再单击 [存取规则]。
2.在新增存取规则精灵中,输入规则名称。例如:允许 DHCP 回复。然后单击 [下一步]。
3.在 [规则动作] 页面上,单击 [允许]。然后单击 [下一步]。
4.在 [通讯协议] 页面的 [这个规则套用到] 中,单击 [选取的通讯协议]。然后单击 [新增]。
5.在 [新增通讯协议] 的 [所有通讯协议] 区段上,单击 [DHCP (回复)]。单击 [新增],再单击 [关闭],然后再单击 [下一步]。
6.在 [存取规则来源] 页面上,单击 [新增]。
7.在 [新增网络实体] 的 [网络] 上,单击 [本机主机]。单击 [新增],再单击 [关闭],然后再单击 [下一步]。
8.在 [存取规则目的地] 页面上,单击 [新增]。
9.在 [新增网络实体] 的 [网络] 区段中,单击 [内部]。单击 [新增],再单击 [关闭],然后再单击 [下一步]。
10.在 [使用者组] 页面上,默认值是选择 [所有使用者]。单击 [下一步],然后再单击 [完成]。
DHCP 要求规则排序
DHCP 要求的目的地是一种广播地址。ISA Server 在广播流量上不执行名称解析,而是拒绝它。如果有一条允许或拒绝规则符合 DHCP 要求并需要名称解析,而且它的排序比你所建立的 DHCP 要求规则还高时,可能会拒绝 DHCP 的流量。
需要名称解析的规则中不是包括了一个域名集,要不就是在目的地条件中的 URL 集。注意,如果在规则中有其他条件无法符合 DHCP 要求,就不会产生冲突。
要避免冲突,应确定所设定的规则能让 DHCP 要求在规则排序中,较其他使用名称解析且符合 DHCP 要求的规则为高。其原则如以下范例所示。
下列规则无法作用:
1.拒绝所有来自
www.attack.com 的通讯协议
2.允许由内部到本机主机的 DHCP 要求
下列规则可以作用:
1.拒绝来自
www.attack.com 的 HTTP 通讯协议
2.允许由内部到本机主机的 DHCP 要求
下列规则可以作用:
1.允许由内部到本机主机的 DHCP 要求
2.拒绝所有来自
www.attack.com 的通讯协议
