将ISA服务器计算机配置为DHCP服务器
--------------------------------------------------------------------------------

将 ISA 服务器计算机配置为 DHCP 服务器
发布日期： 2004年10月18日

概述
在某些配置中，您可能想在一台 DHCP 服务器上安装 Microsoft Internet Security and Acceleration (ISA) Server 2004。本文档将设法解决您在配置这样一个方案时可能会遇到的问题。


创建 DHCP 规则
默认情况下，当您在一台 DHCP 服务器上安装 ISA 服务器时，DHCP 服务器不会对请求做出响应。要使 DHCP 服务器运行，您需要创建下列规则：

? 一条允许从 DHCP 客户端所在的网络向本地主机网络发送 DHCP 请求的规则。

? 一条允许从本地主机网络向 DHCP 客户端所在的网络发送 DHCP 答复的规则。


允许 DHCP（请求）协议
在此过程中，DHCP 客户端位于内部网络中。要允许 DHCP（请求）协议，请执行以下步骤。

1.
在“ISA 服务器管理”的“防火墙策略”节点中，右键单击“防火墙策略”，指向“新建”，然后单击“访问规则”。

2.
在“新建访问规则向导”中，为该规则键入一个名称。例如：允许 DHCP 请求。然后，单击“下一步”。

3.
在“规则操作”页上，单击“允许”。然后，单击“下一步”。

4.
在“协议”页上，在“此规则应用于”中，单击“所选的协议”。然后单击“添加”。

5.
在“添加协议”中，在“所有协议”部分单击“DHCP（请求）”。单击“添加”，单击“关闭”，然后单击“下一步”。

6.
在“访问规则来源”页上，单击“添加”。

7.
在“添加网络实体”中，在“网络”部分单击“内部”。单击“添加”，单击“关闭”，然后单击“下一步”。

8.
在“访问规则目标”页上，单击“添加”。

9.
在“添加网络实体”中，在“网络”部分单击“本地主机”。单击“添加”，单击“关闭”，然后单击“下一步”。

10.
在“用户设置”页上，默认情况下“所有用户”已选中。单击“下一步”，然后单击“完成”。


允许 DHCP（答复）协议
在此过程中，DHCP 客户端位于内部网络中。要允许 DHCP（答复）协议，请执行以下步骤。

1.
在“ISA 服务器管理”的“防火墙策略”节点中，右键单击“防火墙策略”，指向“新建”，然后单击“访问规则”。

2.
在“新建访问规则向导”中，为该规则键入一个名称。例如：允许 DHCP 答复。然后，单击“下一步”。

3.
在“规则操作”页上，单击“允许”。然后，单击“下一步”。

4.
在“协议”页上，在“此规则应用于”中，单击“所选的协议”。然后单击“添加”。

5.
在“添加协议”中，在“所有协议”部分单击“DHCP（答复）”。单击“添加”，单击“关闭”，然后单击“下一步”。

6.
在“访问规则来源”页上，单击“添加”。

7.
在“添加网络实体”中，在“网络”部分单击“本地主机”。单击“添加”，单击“关闭”，然后单击“下一步”。

8.
在“访问规则目标”页上，单击“添加”。

9.
在“添加网络实体”中，在“网络”部分单击“内部”。单击“添加”，单击“关闭”，然后单击“下一步”。

10.
在“用户设置”页上，默认情况下“所有用户”已选中。单击“下一步”，然后单击“完成”。



排序 DHCP 请求规则
DHCP 请求目标是一个广播地址。ISA 服务器不会对广播通讯执行名称解析，而会拒绝这种通讯。如果有一条允许或拒绝规则匹配 DHCP 请求并要求进行名称解析，并且此规则在规则顺序中高于您所创建的 DHCP 请求规则，则 DHCP 通讯可能会被拒绝。

要求进行名称解析的规则在目标（至）条件中包含一个域名称集或一个 URL 集。请注意，如果在此规则中有其他不匹配 DHCP 请求的条件，就不会发生冲突。

为避免冲突，应确保您配置的允许 DHCP 请求的规则在规则排序中高于其他任何匹配 DHCP 请求的、使用名称解析的规则。从下面的例子中可以看出此原则。

此规则将不会生效：

1.
拒绝所有来自 www.attack.com 的协议

2.
允许从内部向本地主机发送的 DHCP 请求


此规则将会生效：

1.
拒绝来自 www.attack.com 的 HTTP 协议

2.
允许从内部向本地主机发送的 DHCP 请求


此规则将会生效：

1.
允许从内部向本地主机发送的 DHCP 请求

2.
拒绝所有来自 www.attack.com 的协议