隔离控制的工作方式
下列过程描述了当使用 Rqc.exe、Rqs.exe 和 ISA 服务器策略时,ISA 服务器隔离控制的工作方式:
- 兼容隔离的远程访问客户端上的用户使用已安装的隔离连接管理器 (CM) 配置文件来连接兼容隔离的 ISA 服务器计算机。
- 该远程访问客户端将它的身份验证凭据传递到 ISA 服务器计算机。
- ISA 服务器计算机验证远程访问客户端的身份验证凭据,并在假设凭据有效的情况下检查它的远程访问策略。该连接尝试匹配隔离策略。
- 接受带隔离限制的连接,为该客户端指定一个 IP 地址,并将它置于隔离的 VPN 客户端网络中。此时,该远程访问客户端只能成功发送符合隔离的 VPN 客户端网络的防火墙策略的通讯,并在达到 ISA 服务器隔离属性中指定的秒数后,通知 ISA 服务器计算机该脚本已成功运行。
- CM 配置文件将隔离脚本作为连接后操作运行。
- 隔离脚本运行并验证远程访问客户端计算机的配置是否符合网络策略要求。如果验证是否遵守网络策略的所有测试都已通过,该脚本会使用它的命令行参数运行 Rqc.exe,其中一个命令参数就是该 CM 配置文件所包含的隔离脚本版本文本字符串。
- Rqc.exe 向 ISA 服务器计算机发送一条通知,指示脚本已成功运行。该通知包括隔离脚本的版本字符串。
- 该通知由侦听器组件 (Rqs.exe) 接收。允许通知通讯是因为它属于防火墙策略指定允许的通讯(在 ISA 服务器访问规则中,允许通过 RQS 端口 7250 从 VPN 客户端和隔离的 VPN 客户端网络到本地主机网络的通讯)。
- 该侦听器组件验证通知消息中的脚本版本字符串是否与注册表中配置的那些字符串匹配,如果匹配,则发送指示脚本版本有效的消息,如果不匹配,则发送指示脚本版本无效的消息。
- 如果脚本版本有效,侦听器组件会调用 MprAdminConnectionRemoveQuarantine() API,该 API 会使 ISA 服务器将该客户端从隔离的 VPN 客户端网络移到 VPN 客户端网络。
- 侦听器组件会在系统事件日志中创建详细说明隔离连接的事件。