非常感谢Ronald Beekelaar，他做的ISA Server 2004 LAB是如此的精致，只需要我些许的修改几个地方，就可以完成这个比较复杂的试验）

很多朋友提出了在域环境中不能正确配置ISA Server 2004的问题，主要集中在无法引用域用户和DNS无法解析。在这篇文章中，我以一个域环境实例，来给大家介绍如何在域环境中配置ISA Server 2004。从这篇文章，你可以学习到如何在域环境中配置ISA防火墙、启用域用户的身份验证、配置内部客户、配置域控上的DNS转发和建立访问规则。

这个试验的网络拓朴结构如下图所示：

这是一个由三台计算机组成的域环境，也许看起来很简单，但是却已经足以模拟域环境中配置ISA Server中的大部分操作。其中：

• Denver（DC/Dns server）
  FQDN：denver.contoso.com；
  IP ：10.2.1.2/24；
  DG：10.2.1.1；
  DNS：10.2.1.2；

备注：这是一台域控，默认网关是ISA Server的内部接口，DNS设置为本机。

• Florence （ISA Server 2004）
  FQDN：Florence（目前还处于工作组环境，没有加入域，我会在后面的操作中将其加入域）；
  （1）Internal Interface：
  IP：10.2.1.1/24
  DG：none
  DNS：10.2.1.2
  （2）External Interface：
  IP：61.139.1.1/24
  DG：61.139.1.1
  DNS：none

备注：ISA Server上的IP设置比较讲究，首先DNS只能设置为内部AD的DNS服务器，然后默认网关为外部出口。

• Sydney（Dns/Web server）
  FQDN：，然后点击确定。

  此时，系统会让你输入有加入该域权限的账户，输入域管理员账号和密码，点击确定；

  系统验证无误后，会弹出欢迎加入contoso.com域的对话框，点击确定；

  系统会提示你需要重启计算机，点击确定，然后重启ISA防火墙计算机；

  　 　

  3、在ISA防火墙上对域管理员进行ISA完全控制的授权

  由于我是先安装ISA Server 2004，然后再加入域，此时，域管理员没有对ISA Server的管理权限。如果是计算机先加入域然后再安装ISA Server，那么域管理员也会有完全的管理权限，这一步就可以省略了。

  现在，我们需要对域管理员进行ISA Server的完全管理授权：

  首先使用本地管理账户登录ISA计算机，

  打开ISA管理控制台，点击常规，再点击右边面板的管理委派，

  此时弹出ISA服务器管理委派向导，点击下一步；

  在委派控制页，点击添加；

  在管理委派对话框，点击浏览；

  在选择用户和组对话框，输入contoso\domain admins，点击确定；

  由于此时是登录到本机，没有contoso域的浏览权限，所以系统会提示你输入对contoso.com有权限的账号，在此输入域管理员账号，点击确定；

  然后在管理委派页点击确定；

  在委派控制页，点击下一步；

  在完成管理委派向导页，点击完成；

  　

  4、建立通过验证的域管理员访问外部所有协议的访问规则

  现在我们可以使用域管理员账号来登录了，

  然后打开ISA管理控制台，右击防火墙策略，然后点击新建，选择访问规则；

  在新建访问规则向导页，输入规则的名字，在此我们命名为Allow Domain Admins access External，点击下一步；

  在规则操作页，选择允许；点击下一步；

  在协议页，选择所有出站通讯，点击下一步；

  在访问规则源页，选择内部，点击下一步；

  在访问规则目标页，选择外部，点击下一步；

  在用户集页，删除默认的所有用户，点击添加，

  在添加用户对话框，点击新建；

  在欢迎使用新建用户集向导页，输入用户集名称，在此我们命名为Domain Admins，点击下一步；

  12下一页阅读全文