ISA防火墻中的VPN服務(wù)依賴(lài)于Windows server系統(tǒng)中的路由和遠(yuǎn)程訪問(wèn)服務(wù)(RRAS),對(duì)于用戶(hù)的遠(yuǎn)程撥入授權(quán),ISA防火墻使用和RRAS相同的方式。
當(dāng)某個(gè)用戶(hù)發(fā)起VPN連接時(shí),只有在滿足以下兩個(gè)條件之一時(shí),ISA防火墻允許該用戶(hù)的VPN撥入:
-
用戶(hù)賬戶(hù)屬性的撥入標(biāo)簽中顯式允許此用戶(hù)的遠(yuǎn)程訪問(wèn)權(quán)限 (允許訪問(wèn));
-
用戶(hù)賬戶(hù)屬性的撥入標(biāo)簽中設(shè)置此用戶(hù)通過(guò)遠(yuǎn)程訪問(wèn)策略控制訪問(wèn),但是具有匹配的遠(yuǎn)程訪問(wèn)策略(RAP)授予此用戶(hù)撥入權(quán)限。
要滿足第一個(gè)條件非常簡(jiǎn)單,你可以在相應(yīng)用戶(hù)的賬戶(hù)屬性的撥入標(biāo)簽中簡(jiǎn)單的選擇允許訪問(wèn)即可,如下圖所示:
![]("/UploadFile/upload/200689103317959.jpg")
而第二個(gè)條件稍微有些復(fù)雜。默認(rèn)情況下,不屬于域的Windows server系統(tǒng)和具有域功能級(jí)為Windows 2000 native或者Windows server 2003的活動(dòng)目錄會(huì)將用戶(hù)的撥入權(quán)限設(shè)置為通過(guò)遠(yuǎn)程訪問(wèn)策略控制訪問(wèn),但是未提升域功能級(jí)的活動(dòng)目錄如Windows 2000 mix會(huì)將用戶(hù)的撥入權(quán)限設(shè)置為拒絕訪問(wèn),并且通過(guò)遠(yuǎn)程訪問(wèn)策略控制訪問(wèn)選項(xiàng)不可用,你需要提升域功能級(jí)為Windows 2000 native或者Windows server 2003后才能使用此選項(xiàng)。
在ISA防火墻啟用VPN服務(wù)時(shí),會(huì)在RRAS的遠(yuǎn)程訪問(wèn)策略中創(chuàng)建一個(gè)名為ISA服務(wù)器默認(rèn)策略的RAP,
![]("/UploadFile/upload/200689103332381.jpg")
它的內(nèi)容非常簡(jiǎn)單,就是拒絕任何時(shí)間的VPN訪問(wèn)的遠(yuǎn)程訪問(wèn)權(quán)限,如下圖所示。每次ISA防火墻啟動(dòng)時(shí),會(huì)使用自己的配置覆蓋RRAS中ISA服務(wù)器默認(rèn)策略的設(shè)置,并且確保此ISA服務(wù)器默認(rèn)策略為RAP列表中的第一位,因此,默認(rèn)情況下,除了在訪問(wèn)權(quán)限中顯式允許遠(yuǎn)程撥入的用戶(hù),其他用戶(hù)不能撥入VPN。
![]("http://www.netadmin.com.cn/UploadFile/upload/200689103220301.jpg")
ISA防火墻中唯一可以修改ISA服務(wù)器默認(rèn)策略的位置就是在配置VPN客戶(hù)端訪問(wèn)中的組標(biāo)簽,
![]("/UploadFile/upload/200689103355517.jpg")
在這個(gè)地方你選擇允許撥入VPN的域用戶(hù)組后,ISA防火墻會(huì)修改ISA服務(wù)器默認(rèn)策略為當(dāng)Windows組屬性匹配你選擇的域用戶(hù)組時(shí),授予用戶(hù)遠(yuǎn)程訪問(wèn)權(quán)限,如下圖所示:
![]("/UploadFile/upload/20068910346405.jpg")
但是ISA防火墻中的組設(shè)置只對(duì)域環(huán)境有效。對(duì)于非域環(huán)境,你不能添加本地計(jì)算機(jī)上的內(nèi)建用戶(hù)組,如Administrators、Power users、Users等等,因?yàn)镮SA防火墻無(wú)法區(qū)分內(nèi)建用戶(hù)組和域用戶(hù)組,詳情請(qǐng)參見(jiàn)KB891240,You cannot add some local built-in groups when you configure VPN client access in Internet Security and Acceleration Server 2004。
你可以手動(dòng)對(duì)ISA服務(wù)器默認(rèn)策略進(jìn)行修改,但是每次ISA防火墻啟動(dòng)時(shí),同樣會(huì)使用自己的配置覆蓋RRAS中ISA服務(wù)器默認(rèn)策略的配置;如果此RAP不存在(被刪除),則只有在ISA管理控制臺(tái)中修改VPN屬性中的組設(shè)置時(shí)ISA防火墻才會(huì)重新創(chuàng)建此RAP。
因此,對(duì)于非域環(huán)境下的用戶(hù)遠(yuǎn)程撥入授權(quán),你只能通過(guò)在用戶(hù)賬戶(hù)撥入屬性中顯式允許用戶(hù)遠(yuǎn)程訪問(wèn)進(jìn)行;而對(duì)于域環(huán)境下的用戶(hù)遠(yuǎn)程撥入授權(quán),除了在用戶(hù)賬戶(hù)撥入屬性中顯式允許用戶(hù)遠(yuǎn)程訪問(wèn)外,你還可以通過(guò)在ISA防火墻管理控制臺(tái)中修改VPN屬性允許域用戶(hù)組訪問(wèn)進(jìn)行。
最后還有一點(diǎn),在域環(huán)境下為了讓ISA防火墻讀取域用戶(hù)的撥入權(quán)限設(shè)置,你必須將ISA防火墻計(jì)算機(jī)加入到域的RAS and IAS Servers域本地安全組中,如下圖所示:
![]("/UploadFile/upload/200689103423138.jpg")
你可以在Active Directory用戶(hù)和計(jì)算機(jī)管理控制臺(tái)中手動(dòng)添加,也可以通過(guò)在ISA服務(wù)器上運(yùn)行以下命令來(lái)添加: Netsh ras add registeredserver
