在某些配置中，您可能想在一臺 DHCP 服務(wù)器上安裝 Microsoft Internet Security and Acceleration （ISA） Server 2004.本文將設(shè)法解決您在配置這樣一個方案時可能會遇到的問題。

創(chuàng)建 DHCP

規(guī)則



默認(rèn)情況下，當(dāng)您在一臺 DHCP 服務(wù)器上安裝 ISA 服務(wù)器時，DHCP 服務(wù)器不會對請求做出響應(yīng)。要使 DHCP 服務(wù)器運(yùn)行，您需要創(chuàng)建下列規(guī)則：

一條允許從 DHCP 客戶端所在的網(wǎng)絡(luò)向本地主機(jī)網(wǎng)絡(luò)發(fā)送 DHCP 請求的規(guī)則。

一條允許從本地主機(jī)網(wǎng)絡(luò)向 DHCP 客戶端所在的網(wǎng)絡(luò)發(fā)送 DHCP 答復(fù)的規(guī)則。

允許 DHCP（請求）協(xié)議



在此過程中，DHCP 客戶端位于內(nèi)部網(wǎng)絡(luò)中。要允許 DHCP（請求）協(xié)議，請執(zhí)行以下步驟。

1.在“ISA 服務(wù)器管理”的“防火墻策略”節(jié)點(diǎn)中，右鍵單擊“防火墻策略”，指向“新建”，然后單擊“訪問規(guī)則”。

2.在“新建訪問規(guī)則向?qū)А敝校瑸樵撘?guī)則鍵入一個名稱。例如：允許 DHCP 請求。然后，單擊“下一步”。

3.在“規(guī)則操作”頁上，單擊“允許”。然后，單擊“下一步”。

4.在“協(xié)議”頁上，在“此規(guī)則應(yīng)用于”中，單擊“所選的協(xié)議”。然后單擊“添加”。

5.在“添加協(xié)議”中，在“所有協(xié)議”部分單擊“DHCP（請求）”。單擊“添加”，單擊“關(guān)閉”，然后單擊“下一步”。

6.在“訪問規(guī)則來源”頁上，單擊“添加”。

7.在“添加網(wǎng)絡(luò)實(shí)體”中，在“網(wǎng)絡(luò)”部分單擊“內(nèi)部”。單擊“添加”，單擊“關(guān)閉”，然后單擊“下一步”。

8.在“訪問規(guī)則目標(biāo)”頁上，單擊“添加”。

9.在“添加網(wǎng)絡(luò)實(shí)體”中，在“網(wǎng)絡(luò)”部分單擊“本地主機(jī)”。單擊“添加”，單擊“關(guān)閉”，然后單擊“下一步”。

10.在“用戶設(shè)置”頁上，默認(rèn)情況下“所有用戶”已選中。單擊“下一步”，然后單擊“完成”。

允許 DHCP（答復(fù)）協(xié)議



在此過程中，DHCP 客戶端位于內(nèi)部網(wǎng)絡(luò)中。要允許 DHCP（答復(fù)）協(xié)議，請執(zhí)行以下步驟。

1.在“ISA 服務(wù)器管理”的“防火墻策略”節(jié)點(diǎn)中，右鍵單擊“防火墻策略”，指向“新建”，然后單擊“訪問規(guī)則”。

2.在“新建訪問規(guī)則向?qū)А敝校瑸樵撘?guī)則鍵入一個名稱。例如：允許 DHCP 答復(fù)。然后，單擊“下一步”。

3.在“規(guī)則操作”頁上，單擊“允許”。然后，單擊“下一步”。

4.在“協(xié)議”頁上，在“此規(guī)則應(yīng)用于”中，單擊“所選的協(xié)議”。然后單擊“添加”。

5.在“添加協(xié)議”中，在“所有協(xié)議”部分單擊“DHCP（答復(fù)）”。單擊“添加”，單擊“關(guān)閉”，然后單擊“下一步”。

6.在“訪問規(guī)則來源”頁上，單擊“添加”。

7.在“添加網(wǎng)絡(luò)實(shí)體”中，在“網(wǎng)絡(luò)”部分單擊“本地主機(jī)”。單擊“添加”，單擊“關(guān)閉”，然后單擊“下一步”。

8.在“訪問規(guī)則目標(biāo)”頁上，單擊“添加”。

9.在“添加網(wǎng)絡(luò)實(shí)體”中，在“網(wǎng)絡(luò)”部分單擊“內(nèi)部”。單擊“添加”，單擊“關(guān)閉”，然后單擊“下一步”。

10.在“用戶設(shè)置”頁上，默認(rèn)情況下“所有用戶”已選中。單擊“下一步”，然后單擊“完成”。

排序DHCP請求規(guī)則



DHCP 請求目標(biāo)是一個廣播地址。ISA 服務(wù)器不會對廣播通訊執(zhí)行名稱解析，而會拒絕這種通訊。如果有一條允許或拒絕規(guī)則匹配 DHCP 請求并要求進(jìn)行名稱解析，并且此規(guī)則在規(guī)則順序中高于您所創(chuàng)建的 DHCP 請求規(guī)則，則 DHCP 通訊可能會被拒絕。

要求進(jìn)行名稱解析的規(guī)則在目標(biāo)（至）條件中包含一個域名稱集或一個 URL 集。請注意，如果在此規(guī)則中有其他不匹配 DHCP 請求的條件，就不會發(fā)生沖突。

為避免沖突，應(yīng)確保您配置的允許 DHCP 請求的規(guī)則在規(guī)則排序中高于其他任何匹配 DHCP請求的、使用名稱解析的規(guī)則。從下面的例子中可以看出此原則。

此規(guī)則將不會生效：

1.拒絕所有來自 www.attack.com 的協(xié)議

2.允許從內(nèi)部向本地主機(jī)發(fā)送的 DHCP 請求

此規(guī)則將會生效：

1.拒絕來自 www.attack.com 的 HTTP 協(xié)議

2.允許從內(nèi)部向本地主機(jī)發(fā)送的 DHCP 請求

此規(guī)則將會生效：

1. 允許從內(nèi)部向本地主機(jī)發(fā)送的 DHCP 請求

2. 拒絕所有來自 www.attack.com 的協(xié)議