Раздел: Документация
0 ... 31 32 33 34 35 36 37 ... 131 Примечание На вызов по трсботм ню настраиваются только клиенты Web-прокси и брандмауэра. Для подключения к Интернету клиентов SecureNAT необходима предварительная установка подключения по телефонной линии. Конфигурирование вызова по требованию ISA-сервер можно настроить на автоматическое подключение к Интернету по требованию, например при запросе объекта, отсутствующего в кэше. ►Настройка вызова по требованию 1.Создайте сетевое подключение по телефонной линии. Подробнее о создании сетевых подключений - в справочной системе Windows 2000. 2.Создайте в консоли ISA Management запись подключения по телефонной линии. 3.Разрешите вызов по требованию для службы брандмауэра (о том, как это сделать, рассказано чуть позже). Эта операция необходима только для клиентов брандмауэра и не требуется для клиентов Ш>-прокси. 4.Включите автоматическое подключение для маршрутизации (об этом — ниже). 5.Убедитесь, что основной шлюз не настроен ни на одном внутреннем интерфейсе ISA- массива. ►Включение вызова по требованию для службы брандмауэра I. В дереве консоли ISA Management щелкните правой кнопкой мыши узел Network Configuration и выберите пункт меню Properties. Откроется окно Network Configuration Properties (рис. 3-3). Network Configuiation Properties Finwal Chaining ge to -specif hew isquMts clients me forwarded to up о routeto i* !IJs»dtal . ip еящ Chain this  OK J fca Рис. 3-3. Окно свойств сети Network Configuration Properties 2.На вкладке Firewall Chaining установите переключатель в положение Use Primary Connection (использовать основное подключение). 3.Установите флажок Use dial-up entry (использовать подключение по телефонной линии). После настройки службы брандмауэра на использование записи подключения телефонной линии при разрешении внешних запросов следует перейти к настройке службы брандмауэра на автоматическое подключение к Интернету по этой записи. ► Включение вызова по требованию для маршрутизации 1.В дереве консоли ISA Management в папке Network Configuration выделите элемент Routing. 2.В области сведений шелкните правой кнопкой мыши правило, которое требуется настроить, и выберите в контекстном меню команду Properties. Откроется окно свойств правила (рис. 3-4). 3.На вкладке Action установите переключатель Retrieving them directly from the specified destination (получать объекты прямо из указанного места назначения). 4.На этой же вкладке установите флажок Use dial-up entry for primary route (использовать в качестве основного маршрута подключение по телефонной линии). Г.-(..ч1г rule PiOfMril№s Acton j Coshe] 8r(jgmcjj Moeess request: by rr getttevmg them *ec% ham the ирефай ttfcs С Rowing rhein to js oh*d.up»tteafti sntvm Primary route: Upstfadm ж-Щ >«шг~- r fortJ7" SStPort.p 3 Automatic- Asl-our P Uw dal-upenbvlo oulej Cared I Рис. 3-4. Настройка правила маршрутизации для автоматического подключения Ограничение подключений ISA-сервера ко внешним узлам Существует возможность ограничивать подключения ISA-сервера к Интернету и выполнять их, только когда это действительно необходимо. Для этого в таблицу LDT средствами оснастки ISA Management вносятся имена всех внутренних компьютеров. Клиенты по таблице LDT определяют, как выполнять разрешение имени — напрямую или через ISA-сервер. Наличие LDT предотвращает подключение ISA-сервера к внешним DNS-серве-рам только для того, чтобы установить, что запрашиваемый компьютер является ним. Клиенты брандмауэра поддержи иг х« регулярно обновляемую локальную копию LDT. Следует иметь в виду, что LDT проверяется только при запросах клиентов брандмауэра. Закрытие подключений После подключения ISA-сервера в Интернет связь поддерживается, пока не происходит одно из следующих событий: •активизируется другое подключени г, •активным назначается другоесетя&зэ подключение по телефонной линии; •отключается запись, используемая ыя построения цепочки брандмауэров; •становится доступным основной маршрут (в случае, когда текущее подключение осуществляется по резервному •останавливается служба брандмауэра. Практикум. Настройка записи подключения по телефонной линии [На этом занятии вы настроите доступ клиента SecureNAT в Интернет через иод - hQ ключение ISA-сервера по телефонной линии. Предполагается, что компьютер Serve г I подключен к Интернету по телефонной линии. Кроме того, считается, что вс инструкциями занятия этой главы создано правило протокола, ра .решающее все виды IP-трафика, а на Server2 установлен и запущен клиент брандмауэра. И, наконец, в свойствах протокола TCP/IP на компьютере Served в качестве основного DNS-серьера задается внешний DNS-еервср интернет-провайдера, а в качестве дополнительного DNS-сервера - адрес 192.168.0.1. Задание . Проверка подключении к Интернету Сейчас вы изучите состояние сеанса клиента брандмауэра, после чего отключите клиент брандмауэра и проанализируетев поведении сеанса. ► Отключение клиента брандмауэра 1.Войдите в домен DomainOl на Server 1 и Server2 под учетной записью Administrator (Администратор). 2.На компьютере Server2 щелкните Start (Пуск) и выберите команду Run (Выполнить). 3.В открывшемся диалоговом окне Run (Выполнить) введите и щелкните, кнопку ОК. Откроется окно командной стрэки. 4.Введите в командной строке nslookup www.microsoft.com и нажмите клавишу Enter. В окне командной строки отобразится информация об IP-адресе, соответствующем имени www microsoft.шт. согласно данным основного DNS-сервера. 5.На Serverl откройте консоль ISA Management и последовательно раскройте узлы МуАггауи Monitoring. 6.Щелкните папку Sessions. 7.В меню View отметьте команду Advanced. 8.Щелкните правой кнопкой мыши область сведений и в контекстном меню выберите Refresh. 9.Найдите в области сведений текущий сеанс работы в Интернете системы Server2. Обратите внимание, что в окне указаны тип сеанса — Firewall Session, имя пользователя-Administrator и клиентский компьютер - Server2. При наличии активного клиента брандмауэра информация об учетной записи пользователя и имени компьютера предоставляется вместе со сведениями сеанса. 0 ... 31 32 33 34 35 36 37 ... 131
|
