ISA Server 2004 的远程管理
Microsoft Internet Security and Acceleration (ISA) Server 2004
本页内容
 | 简介 |
| 情境 |
| 解决方案 |
简介
Microsoft Internet Security and Acceleration (ISA) Server 2004 支持您从其他计算机上管理 ISA Server 计算机。您可以从运行“终端服务”客户端的计算机(如“远程桌面连接”)或从远程计算机上安装的“Microsoft 管理控制台 (MMC)”上远程执行所有 ISA Server 管理任务。
您还可以从一台 ISA Server 计算机上管理多台 ISA Server 计算机。
“终端服务器”和“Microsoft 管理控制台”
“终端服务器”和 MMC 在管理 ISA Server 计算机方面都具有一定的优势。
“终端服务器”允许您就像坐在连接到 ISA Server 计算机的监视器前面一样,查看 ISA Server 计算机的桌面。这带来了更快的刷新率,因为刷新视图的工作是由 ISA Server 计算机来完成,只有组成监视器上的画面的信息才必须被传送到远程计算机。然而,每个“终端服务器”会话使您能够只查看单一的 ISA Server 计算机。
MMC 的刷新率比“终端服务器”略低,因为您可能做出的配置变更必须传送到远程计算机。然而,MMC 允许您一次连接并显示来自许多 ISA Server 计算机的信息。这对于集中管理地理分散的 ISA Server 计算机,或在您为运行 ISA Server 的许多公司提供咨询服务的情况中非常有用。MMC 是典型 ISA Server 安装的一部分,但是也可以作为 ISA Server 计算机管理的独立组件来单独安装。
注意
当从 VPN 客户端来管理 ISA Server 时,我们建议您使用“终端服务器”而不要使用“MMC”。ISA Server 中的某些管理操作要求您重新启动服务。当您重启服务时,“路由和远程访问”服务也在被停止的服务之中,因此应停止远程 MMC 连接,然后才可以再次启用服务。在“终端服务器”远程管理中,不存在这种问题。
情境
通常,您的 ISA Server 计算机将与其他公司服务器一起部署在一个远离办公地点的中央位置。您可能希望从与 ISA Server 计算机所在的相同网络上或从家用计算机上管理 ISA Server。您可能为正在使用 ISA Server 来保护网络的客户端提供咨询服务,并负责维护和监视其 ISA Server 计算机。您可能希望管理位于不同网络上的许多 ISA Server 计算机。远程管理使您能够在所有这些情况中管理 ISA Server。
解决方案
有两种方法可以进行远程管理:
| • | 使用“终端服务”进行远程管理。我们建议使用这种方法从 VPN 客户端进行管理。 |
| • | 通过 Microsoft 管理控制台 (MMC) 进行远程管理。MMC 是 ISA Server 的一个组成部分,但是也可以不要 ISA Server 防火墙功能而单独安装,只用于管理。 注意 |
网络拓扑
下面的小节说明了远程管理的网络拓扑。
ISA Server MMC 的系统要求
ISA Server MMC 在运行 Windows XP、Windows?2000 Professional 或 Windows 2000 Server 的计算机上运行。
ISA Server
ISA Server 相对于其他网络的布局只影响与远程客户端身份验证有关的远程管理方法。如果 ISA Server 计算机被安装在工作组中而不是域(其域控制器识别用户凭据)上,则凭据的规定有所区别。本文档中提供的过程说明了这两种情况。
远程管理演练
该演练过程指导您完成远程管理 ISA Server 计算机的必要步骤。
远程管理演练过程 1:导出系统策略
配置远程管理需要您更改 ISA Server 计算机的系统策略。我们建议您首先将系统策略配置导出到文件中,然后再更改系统策略,从而可以在需要时轻松还原到 初始策略。遵循这些步骤来导出系统策略。
1. | 打开“Microsoft ISA Server 管理”,展开“ISA Server”计算机节点,然后单击“防火墙策略”。 |
2. | 在任务窗格中的“任务”选项卡上,单击“导出系统策略”以打开“导出配置”对话框。 |
3. | 提供您希望把配置保存到的文件的位置和名称。您可能希望在文件名中包括导出日期以便于识别,如 ExportSystemPolicy2June2004。 |
4. | 单击“导出”。 |
5. | 当导出操作完成时,单击“确定”。 |
远程管理演练过程 2:在 ISA Server 计算机上配置远程管理
当安装 ISA Server 时默认启用远程管理,虽然只启用它用于“远程管理计算机”计算机集(默认为空)。遵循本过程以确定启用了远程管理,并配置允许哪些网络进行远程管理。本过程还指出如何禁用远程管理。
1. | 打开“Microsoft ISA Server 管理”,展开“ISA Server”计算机节点,然后单击“防火墙策略”。 |
2. | 在任务窗格中的“任务”选项卡上,单击“编辑系统策略”以打开“系统策略编辑器”。 |
3. | 在“配置组”下的“远程管理”中,选择“Microsoft 管理控制台 (MMC)”。在“常规”选项卡上,选择“启用”以启用使用 MMC 的远程管理。(这是您安装 ISA Server 时的默认设置。) |
4. | 在“从”选项卡上的“此规则应用于来自这些源的流量”列表中,默认列出“远程管理计算机”计算机集。这表明该计算机集中的计算机将能够通过 MMC 执行 ISA Server 计算机的远程管理。网络、计算机集或包含您将允许远程连接的计算机的其他网络对象(只有该网络对象)必须列出。有关网络对象的详细信息,请参阅本文档附录 B:“网络对象规则要素”。您可以使用关联的“添加”、“编辑”和“删除”按钮来修改该列表。同样,您可以使用关联的“添加”、“编辑”和“删除”按钮来修改“例外”列表。例如,您可能希望除了一组特定的计算机之外,允许特殊网络上的所有计算机进行远程管理访问。您将把该网络添加到“此规则应用于来自这些源的流量”列表中,创建包含要排除在外的计算机的计算机集,然后将该计算机集添加到“例外”列表中。 注意 |
5. | 在“配置组”下的“远程管理”中,选择“终端服务器”。在“常规”选项卡上,选择“启用”以启用使用“终端服务器”的远程管理。(这是您安装 ISA Server 时的默认设置。) |
6. | 在“从”选项卡上的“此规则应用于来自这些源的流量”列表中,默认列出“远程管理计算机”计算机集。这表明该计算机集中的计算机将能够通过“终端服务器”执行 ISA Server 计算机的远程管理。网络、计算机集或包含您将允许远程连接的计算机的其他网络对象(只有该网络对象)必须列出。有关网络对象的详细信息,请参阅本文档附录 B:“网络对象规则要素。”您可以使用关联的“添加”、“编辑”和“删除”按钮来修改该列表。同样,您可以使用关联的“添加”、“编辑”和“删除”按钮来修改“例外”列表。例如,您可能希望除了一组特定的计算机之外,允许特殊网络上的所有计算机进行远程管理访问。您将把该网络添加到“此规则应用于来自这些源的流量”列表中,创建包含要排除在外的计算机的计算机集,然后将该计算机集添加到“例外”列表中。 重要 |
远程管理演练过程 3:配置“远程计算机”
您可以配置远程计算机,以便通过“终端服务器”或 MMC 访问 ISA Server 计算机。本文档中的“终端服务器和 Mcirosoft 管理控制台”说明了每种方式的优点和缺点。
配置“终端服务”客户端
为使用“终端服务器”远程管理 ISA Server 计算机,您必须在远程计算机上安装了“终端服务”客户端。在 Windows Server 2003 和 Windows XP 中,您可以使用“远程桌面连接”作为“终端服务”客户端。遵循这些步骤,在运行 Windows 2000、Windows NT 4.0、Windows 98 或 Windows 95 的计算机上手动安装“终端服务”客户端。
1. | 在运行 Windows Server 2003 家族操作系统成员之一的计算机上,共享客户端安装文件夹。 |
2. | 从运行 Windows 2000、Windows NT 4.0、Windows 98 或 Windows 95 的计算机连接到包含运行 Windows Server 2003 家族操作系统成员之一的计算机的局域网。 |
3. | 单击“开始”,然后点击“运行”。 |
4. | 在“打开”中,键入: \\computername\Tsclient\Win32\Setup.exe |
其中,computername 是运行 Windows Server 2003 家族操作系统成员之一的计算机的网络计算机名称。单击“确定”。
遵循屏幕上的指导进行操作。
使用 MMC 配置计算机
要想使用 MMC 远程管理 ISA Server 计算机,您必须安装 MMC 客户端。如果您是从 ISA Server 计算机进行管理,则可以跳过这一步。
1. | 插入 ISA Server 2004 光盘。应出现安装屏幕。如果没有出现该屏幕,则运行 Isaautorun.exe。 |
2. | 单击“安装 ISA Server 2004”。 |
3. | 在“欢迎”屏幕上,单击“下一步”。 |
4. | 在“许可协议”屏幕上,阅读许可协议。如果同意,则选择“我接受许可协议中的条款”,并单击“下一步”。 |
5. | 在“客户信息”页面上,提供用户姓名、组织和序列号信息,然后单击“下一步”。 |
6. | 如果您是在运行非 Windows Server 2003 或 Windows 2000 Server 的操作系统的计算机上安装 MMC 客户端,则安装程序将提供“安装要求摘要”页面。该页面将指出您不能安装 ISA Server 防火墙组件。您将能够安装 MMC 客户端。单击“下一步”。 |
7. | 如果您是在运行 Windows Server 2003 或 Windows 2000 Server 的计算机上安装 MMC 客户端,则在“安装类型”页面上,选择“自定义”。 |
8. | 在“自定义安装”页面上,应只选择“ISA Server 管理”。要想清除其他项,单击每个项附近的硬盘驱动器图标,然后选择“无法使用这项功能”。当配置完这些功能后,单击“下一步”。 |
9. | 单击“安装”。 |
远程管理演练过程 4:创建访问规则
本过程只适用于从 ISA Server 计算机管理 ISA Server 计算机的情况。如果您是从非 ISA Server 计算机 MMC 或使用“终端服务”客户端来管理 ISA Server,可跳过本过程。
必须创建访问规则,以便允许在本地 ISA Server 计算机和其他 ISA Server 计算机之间进行通信。其他 ISA Server 计算机必须在连接到本地 ISA Server 计算机的网络中。在 ISA Server 计算机(将从此 ISA Server 计算机上进行远程管理)上执行这一过程。
遵循这些步骤创建访问规则。
1. | 打开“Microsoft ISA Server 管理”,展开“ISA Server”计算机节点,然后单击“防火墙策略”。 |
2. | 在“任务”窗格中的“任务”选项卡上,选择“新建访问规则”以启动“新建访问规则向导”。 |
3. | 在“欢迎”页面上,输入访问规则的名称,如“允许管理额外的 ISA Server 计算机”,然后单击“下一步”。 |
4. | 在“规则操作”页面上,选择“允许”,然后单击“下一步”。 |
5. | 在“协议”页面上,选择“已选择的协议”,单击“添加”。在“添加协议”对话框中,展开“所有协议”,选择“MS 防火墙控制”。单击“添加”,然后单击“关闭”来关闭“添加协议”对话框。在“协议”页面上,单击“下一步”。 |
6. | 在“访问规则源”页面上,单击“添加”以打开“添加网络实体”对话框,展开“网络”,选择“本地主机”,单击“添加”,再单击“关闭”。在“访问规则源”页面上,单击“下一步”。 |
7. | 在“访问规则目标”页面上,单击“添加”以打开“添加网络实体”对话框,展开“网络”,选择包含您希望管理的 ISA Server 计算机的网络,单击“添加”,然后单击“关闭”。在“访问规则目标”页面上,单击“下一步”。 |
8. | 在“用户集”页面上,如果您的规则适用于所有用户,则可以保留用户集为“所有用户”不变,进入向导的下一个页面。如果规则适用于特定用户,则选择“所有用户”,并单击“删除”。然后,单击“添加”以打开“添加用户”对话框,添加规则应用到的用户集。“添加用户”对话框还通过“新建”菜单项提供对“新建用户集向导”的访问。在完成用户集选择之后,请单击“下一步”。 |
9. | 查看向导摘要页面上的信息,然后单击“完成”。 |
10. | 在“防火墙策略”详细信息窗格中,单击“应用”以便应用新的访问规则。应用规则可能要花费一些时间。切记,访问规则是有顺序的,从而如果有一个顺序在前面的规则拒绝此访问,则此规则将不会得到希望的效果。 注意 |
远程管理演练过程 5:从远程计算机管理 ISA Server 计算机
您可以通过“终端服务”或 MMC 从远程计算机来管理 ISA Server 计算机。
使用“终端服务”管理 ISA Server 计算机
遵循这些步骤,通过“终端服务”从远程计算机来管理 ISA Server 计算机。
1. | 在远程计算机上,单击“开始”,依次指向“所有程序”、“附件”和“通讯”,然后单击“远程桌面连接”。 |
2. | 在“远程桌面连接”的“计算机”中,键入 ISA Server 计算机的名称。 |
3. | 当建立了连接后,提供用户名和密码。请注意,用户必须拥有适当的权限来管理 ISA Server 计算机。 |
4. | 您现在应看到 ISA Server 计算机的桌面。从“开始”菜单中打开“ISA Server 管理”,以开始管理 ISA Server。 |
使用 MMC 管理 ISA Server 计算机
遵循这些步骤,通过 MMC 从远程计算机来管理 ISA Server 计算机。
1. | 在远程计算机上,单击“开始”,依次指向“所有程序”、“Microsoft ISA Server”,然后单击“ISA Server 管理”。 |
2. | 在“ISA Server 管理”中,单击最上面的节点“Microsoft Internet Security and Acceleration Server 2004”。在任务窗格中的“任务”选项卡上,单击“连接到本地或远程 ISA Server”。 |
3. | 在“连接到”对话框中,验证选中了“其他计算机(远程管理)”。键入 ISA Server 计算机的名称,或单击“浏览”以浏览该计算机。 |
4. | 如果您正在连接的 ISA Server 计算机与您的计算机处于相同域中,从而域控制器将识别您的凭据,如果您是 ISA Server 计算机上的管理员,则选择“使用已登录用户的凭据连接”。如果 ISA Server 计算机是在另一个域或工作组中,域控制器将不能识别您的凭据。在这种情况下,请选择“使用其他用户凭据连接”,并提供是 ISA Server 计算机上的管理员的用户的用户名、密码和域。 |
5. | 您现在即可在远程 ISA Server 计算机上执行管理任务。 注意 |
远程管理演练过程 6:从 ISA Server 计算机断开连接
遵循这些步骤,从 ISA Server 计算机上断开远程计算机连接。
当使用“终端服务”时从 ISA Server 计算机上断开连接
遵循这些步骤,从使用“终端服务”连接的远程计算机上断开 ISA Server 计算机的连接。
1. | 在远程计算机上的“远程桌面连接”窗口中,单击“开始”,然后单击“注销”。 |
2. | 在“注销窗口”对话框中,单击“注销”。 |
当使用 MMC 时从 ISA Server 计算机上断开连接
1. | 在远程计算机上,在“ISA Server 管理”控制台树中,单击您希望与之断开连接的 ISA Server 计算机的名称。 |
2. | 在任务窗格的“任务”选项卡上,单击“从管理控制台上与所选择的服务器断开连接”。在确认对话框中,单击“是”确认您希望断开连接。 |
远程管理演练过程 7:从远程计算机上运行脚本
脚本允许您使用 ISA Server 管理对象来访问和控制面向企业或面向组织中的任何 ISA Server 阵列的策略和配置。ISA Server 管理脚本有许多优点,比如节省重复性的、或需要在大量服务器或阵列上执行的任务的时间。有关 ISA Server 管理脚本的详细信息,请参阅“ISA Server 软件开发工具包帮助文档”。
您可以创建将在远程计算机上运行的 ISA Server 管理脚本。远程计算机上的脚本或程序必须连接到远程 ISA Server 计算机。
创建根对象
使用下面所示的代码来创建远程管理的根对象。
VBScript
Set objFPC = CreateObject ("FPC.Root")JScript
objFPCRoot = new ActiveXObject ("FPC.Root");Visual Basic
Dim objFPC As New FPCLib.FPC
或
Dim objFPC As New FPCLib.FPC Set objFPC = CreateObject("FPC.Root")连接到 ISA Server 计算机
要想连接到远程 ISA Server 计算机,请使用 FPCArrays.Connect 方法。该方法采用以下参数:
| • | Server [in] BSTR,指定要连接到的服务器。 |
| • | UserName [in, optional] BSTR,指定用户名。默认值是空 BSTR。 |
| • | Domain [in, optional] BSTR,指定用户的域的名称。默认值是空 BSTR。 |
| • | Password [in, optional] BSTR,指定密码。默认值是空 BSTR。 注意 |
附录 A:向“远程管理计算机”计算机集添加计算机
遵循本过程向“远程管理计算机”计算机集添加计算机。
1. | 打开“Microsoft ISA Server 管理”,展开“ISA Server”计算机节点,然后单击“防火墙策略”。 |
2. | 在“任务”窗格的“工具箱”选项卡上,单击“网络对象”标头,展开“计算机集”。 |
3. | 双击“远程管理计算机”以打开“远程管理计算机属性”对话框。 |
4. | 单击“添加”,选择您是否希望添加“计算机”、“AddressRange”或“子网”。提供所需的 IP 地址信息,并单击“确定”。单击“确定”以关闭“远程管理计算机属性”对话框。 |
5. | 单击详细信息窗格中的“应用”以应用更改。 |
附录 B:网络对象规则元素
ISA Server 规则元素是您修改 ISA Server 策略所使用的对象。例如,一个子网规则元素代表网络中的一个子网。您可以创建只应用于子网的策略,或应用于除该子网之外的整个网络的策略。网络对象规则要素允许您创建将应用或不应用某一策略的多组计算机。您可以使用网络对象来限制将能远程访问 ISA Server 计算机的计算机。
网络对象规则元素提供多种计算机表示方法。下面是您为远程管理 ISA Server 设置系统策略时可能用到的规则元素:
| • | 网络。 网络规则元素表示由(直接或通过一个或多个路由器)连接到单一 ISA Server 计算机网络适配器的所有计算机构成的网络。 |
| • | 网络集。网络集规则元素表示包括一个或多个网络分组。您可以使用该规则元素将规则应用于多个网络。 |
| • | 计算机。 计算机规则元素表示由 IP 地址确定的单一计算机。 |
| • | 计算机集。 计算机集规则元素是一组计算机、地址范围和子网。 |
| • | 地址范围。 地址范围规则元素是由连续的 IP 地址范围表示的一组计算机。 |
| • | 子网。 子网规则元素表示由网络地址和掩码指定的网络子网。 |
想要对本文档发表意见吗?发送反馈.