在某些配置中，您可能想在一臺(tái) DHCP 服務(wù)器上安裝 Microsoft Internet Security and Acceleration （ISA） Server 2004.本文將設(shè)法解決您在配置這樣一個(gè)方案時(shí)可能會(huì)遇到的問題。

創(chuàng)建 DHCP

規(guī)則



默認(rèn)情況下，當(dāng)您在一臺(tái) DHCP 服務(wù)器上安裝 ISA 服務(wù)器時(shí)，DHCP 服務(wù)器不會(huì)對請求做出響應(yīng)。要使 DHCP 服務(wù)器運(yùn)行，您需要?jiǎng)?chuàng)建下列規(guī)則：

一條允許從 DHCP 客戶端所在的網(wǎng)絡(luò)向本地主機(jī)網(wǎng)絡(luò)發(fā)送 DHCP 請求的規(guī)則。

一條允許從本地主機(jī)網(wǎng)絡(luò)向 DHCP 客戶端所在的網(wǎng)絡(luò)發(fā)送 DHCP 答復(fù)的規(guī)則。

允許 DHCP（請求）協(xié)議



在此過程中，DHCP 客戶端位于內(nèi)部網(wǎng)絡(luò)中。要允許 DHCP（請求）協(xié)議，請執(zhí)行以下步驟。

1.在“ISA 服務(wù)器管理”的“防火墻策略”節(jié)點(diǎn)中，右鍵單擊“防火墻策略”，指向“新建”，然后單擊“訪問規(guī)則”。

2.在“新建訪問規(guī)則向?qū)А敝校瑸樵撘?guī)則鍵入一個(gè)名稱。例如：允許 DHCP 請求。然后，單擊“下一步”。

3.在“規(guī)則操作”頁上，單擊“允許”。然后，單擊“下一步”。

4.在“協(xié)議”頁上，在“此規(guī)則應(yīng)用于”中，單擊“所選的協(xié)議”。然后單擊“添加”。

5.在“添加協(xié)議”中，在“所有協(xié)議”部分單擊“DHCP（請求）”。單擊“添加”，單擊“關(guān)閉”，然后單擊“下一步”。

6.在“訪問規(guī)則來源”頁上，單擊“添加”。

7.在“添加網(wǎng)絡(luò)實(shí)體”中，在“網(wǎng)絡(luò)”部分單擊“內(nèi)部”。單擊“添加”，單擊“關(guān)閉”，然后單擊“下一步”。

8.在“訪問規(guī)則目標(biāo)”頁上，單擊“添加”。

9.在“添加網(wǎng)絡(luò)實(shí)體”中，在“網(wǎng)絡(luò)”部分單擊“本地主機(jī)”。單擊“添加”，單擊“關(guān)閉”，然后單擊“下一步”。

10.在“用戶設(shè)置”頁上，默認(rèn)情況下“所有用戶”已選中。單擊“下一步”，然后單擊“完成”。

允許 DHCP（答復(fù)）協(xié)議



在此過程中，DHCP 客戶端位于內(nèi)部網(wǎng)絡(luò)中。要允許 DHCP（答復(fù)）協(xié)議，請執(zhí)行以下步驟。

1.在“ISA 服務(wù)器管理”的“防火墻策略”節(jié)點(diǎn)中，右鍵單擊“防火墻策略”，指向“新建”，然后單擊“訪問規(guī)則”。

2.在“新建訪問規(guī)則向?qū)А敝校瑸樵撘?guī)則鍵入一個(gè)名稱。例如：允許 DHCP 答復(fù)。然后，單擊“下一步”。

3.在“規(guī)則操作”頁上，單擊“允許”。然后，單擊“下一步”。

4.在“協(xié)議”頁上，在“此規(guī)則應(yīng)用于”中，單擊“所選的協(xié)議”。然后單擊“添加”。

5.在“添加協(xié)議”中，在“所有協(xié)議”部分單擊“DHCP（答復(fù)）”。單擊“添加”，單擊“關(guān)閉”，然后單擊“下一步”。

6.在“訪問規(guī)則來源”頁上，單擊“添加”。

7.在“添加網(wǎng)絡(luò)實(shí)體”中，在“網(wǎng)絡(luò)”部分單擊“本地主機(jī)”。單擊“添加”，單擊“關(guān)閉”，然后單擊“下一步”。

8.在“訪問規(guī)則目標(biāo)”頁上，單擊“添加”。

9.在“添加網(wǎng)絡(luò)實(shí)體”中，在“網(wǎng)絡(luò)”部分單擊“內(nèi)部”。單擊“添加”，單擊“關(guān)閉”，然后單擊“下一步”。

10.在“用戶設(shè)置”頁上，默認(rèn)情況下“所有用戶”已選中。單擊“下一步”，然后單擊“完成”。

排序DHCP請求規(guī)則



DHCP 請求目標(biāo)是一個(gè)廣播地址。ISA 服務(wù)器不會(huì)對廣播通訊執(zhí)行名稱解析，而會(huì)拒絕這種通訊。如果有一條允許或拒絕規(guī)則匹配 DHCP 請求并要求進(jìn)行名稱解析，并且此規(guī)則在規(guī)則順序中高于您所創(chuàng)建的 DHCP 請求規(guī)則，則 DHCP 通訊可能會(huì)被拒絕。

要求進(jìn)行名稱解析的規(guī)則在目標(biāo)（至）條件中包含一個(gè)域名稱集或一個(gè) URL 集。請注意，如果在此規(guī)則中有其他不匹配 DHCP 請求的條件，就不會(huì)發(fā)生沖突。

為避免沖突，應(yīng)確保您配置的允許 DHCP 請求的規(guī)則在規(guī)則排序中高于其他任何匹配 DHCP請求的、使用名稱解析的規(guī)則。從下面的例子中可以看出此原則。

此規(guī)則將不會(huì)生效：

1.拒絕所有來自 www.attack.com 的協(xié)議

2.允許從內(nèi)部向本地主機(jī)發(fā)送的 DHCP 請求

此規(guī)則將會(huì)生效：

1.拒絕來自 www.attack.com 的 HTTP 協(xié)議

2.允許從內(nèi)部向本地主機(jī)發(fā)送的 DHCP 請求

此規(guī)則將會(huì)生效：

1. 允許從內(nèi)部向本地主機(jī)發(fā)送的 DHCP 請求

2. 拒絕所有來自 www.attack.com 的協(xié)議