隔离控制配置步骤

本部分提供有关配置 ISA 服务器隔离控制的信息。在启用隔离模式前,必须完成以下步骤:

  1. 创建一个验证客户端配置信息的客户端脚本。
  2. 创建一个通知组件,为已成功运行该脚本的 ISA 服务器计算机提供验证。如果不想创建通知组件,则可以使用 Rqc.exe。
    通知程序组件包含在连接管理器 (CM) 配置文件中,并已安装在客户端计算机上。当管理员提供的脚本在客户端上成功运行后,该通知程序组件就向 ISA 服务器计算机发送通知。
  3. 创建要安装在 ISA 服务器计算机上的侦听器组件(可以从通知组件接收信息),然后从隔离模式删除该客户端,并应用完整的访问策略。如果不想创建侦听器组件,则可以使用 Rqs.exe 示例。侦听器组件安装在 ISA 服务器计算机上,接收来自通知程序组件发出的有关客户端上的脚本已成功执行了所有配置检查的通知。在侦听器组件接收到通知后,会将该客户端从隔离模式删除,并且 ISA 服务器计算机会对该客户端应用标准的防火墙规则。
  4. 如果您使用的是 Rqs.exe 示例,则可以运行 ConfigureRQSForISA.vbs 脚本,该脚本可从 ISA 服务器网站 (http://www.microsoft.com/) 获得。该脚本执行以下操作:
    1. 将 RQS 作为一项服务安装,并将它设置为以本地系统帐户运行。
    2. 创建一个 ISA 服务器访问规则,允许 VPN 客户端和隔离的 VPN 客户端网络通过 RQS 端口 (7250) 与本地主机网络通讯。这是必需的,这样 ISA 服务器计算机就可以收到客户端已满足连接要求的通知。
    3. 修改 ISA 服务器计算机上的注册表项,以便 ISA 服务器可以使用 RQS。
    4. 启动 RQS 服务。
    该脚本有一个开关(安装或删除),它要求两个参数:允许的 RQS 共享密钥集和 RQS.exe 的路径。
    只有向 RQS 服务提供了 RQC.exe 文件中的共享密钥时,VPN 客户端才能退出隔离的 VPN 客户端网络。如果客户端提供的共享密钥不在允许的密钥集之中,它将被断开连接。当为 ConfigureRQSForISA.vbs 脚本提供参数时,可以提供多个共享密钥,它们之间用“\0”隔开。该脚本可从 ISA 服务器网站 (http://www.microsoft.com/) 获得。

    注意

  5. 使用连接管理器管理工具包 (CMAK) 创建 CM 配置文件。有关 CMAK 的详细信息,请参阅 Windows Server 2003 帮助中的 Connection Manager Administration Kit (http://www.microsoft.com/)
  6. 在远程访问客户端计算机上分发 CM 配置文件以便进行安装。

隔离通知程序和侦听器组件

您可以创建自己的通知程序和侦听器组件,也可以使用 Rqs.exe(侦听器组件)和 Rqc.exe(通知程序组件)。有关详细信息,请参阅 Windows 资源工具包工具帮助。在 ISA 服务器上安装了 Rqs.exe 之后,也就安装了远程访问隔离代理服务。创建 CM 配置文件时,可以包括管理员提供的脚本和 Rqc.exe,它们将分发并安装到远程访问客户端计算机上。该配置文件可以安装在以下客户端操作系统上:Windows XP Professional、Windows XP Home Edition、Windows 2000 Professional、Windows Millennium Edition 和 Windows 98 Second Edition。

隔离设置

完成设置隔离的预备步骤之后,就可以在 ISA 服务器计算机上配置隔离设置。在启用隔离模式后,可以配置隔离的 VPN 客户端网络属性,选择下面的某个选项:

即使启用了隔离,也可以让特定用户不处于隔离控制下。



请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。