在某些配置中，您可能想在一臺 DHCP 服務器上安裝 Microsoft Internet Security and Acceleration （ISA） Server 2004.本文將設法解決您在配置這樣一個方案時可能會遇到的問題。

創建 DHCP

規則



默認情況下，當您在一臺 DHCP 服務器上安裝 ISA 服務器時，DHCP 服務器不會對請求做出響應。要使 DHCP 服務器運行，您需要創建下列規則：

一條允許從 DHCP 客戶端所在的網絡向本地主機網絡發送 DHCP 請求的規則。

一條允許從本地主機網絡向 DHCP 客戶端所在的網絡發送 DHCP 答復的規則。

允許 DHCP（請求）協議



在此過程中，DHCP 客戶端位于內部網絡中。要允許 DHCP（請求）協議，請執行以下步驟。

1.在“ISA 服務器管理”的“防火墻策略”節點中，右鍵單擊“防火墻策略”，指向“新建”，然后單擊“訪問規則”。

2.在“新建訪問規則向導”中，為該規則鍵入一個名稱。例如：允許 DHCP 請求。然后，單擊“下一步”。

3.在“規則操作”頁上，單擊“允許”。然后，單擊“下一步”。

4.在“協議”頁上，在“此規則應用于”中，單擊“所選的協議”。然后單擊“添加”。

5.在“添加協議”中，在“所有協議”部分單擊“DHCP（請求）”。單擊“添加”，單擊“關閉”，然后單擊“下一步”。

6.在“訪問規則來源”頁上，單擊“添加”。

7.在“添加網絡實體”中，在“網絡”部分單擊“內部”。單擊“添加”，單擊“關閉”，然后單擊“下一步”。

8.在“訪問規則目標”頁上，單擊“添加”。

9.在“添加網絡實體”中，在“網絡”部分單擊“本地主機”。單擊“添加”，單擊“關閉”，然后單擊“下一步”。

10.在“用戶設置”頁上，默認情況下“所有用戶”已選中。單擊“下一步”，然后單擊“完成”。

允許 DHCP（答復）協議



在此過程中，DHCP 客戶端位于內部網絡中。要允許 DHCP（答復）協議，請執行以下步驟。

1.在“ISA 服務器管理”的“防火墻策略”節點中，右鍵單擊“防火墻策略”，指向“新建”，然后單擊“訪問規則”。

2.在“新建訪問規則向導”中，為該規則鍵入一個名稱。例如：允許 DHCP 答復。然后，單擊“下一步”。

3.在“規則操作”頁上，單擊“允許”。然后，單擊“下一步”。

4.在“協議”頁上，在“此規則應用于”中，單擊“所選的協議”。然后單擊“添加”。

5.在“添加協議”中，在“所有協議”部分單擊“DHCP（答復）”。單擊“添加”，單擊“關閉”，然后單擊“下一步”。

6.在“訪問規則來源”頁上，單擊“添加”。

7.在“添加網絡實體”中，在“網絡”部分單擊“本地主機”。單擊“添加”，單擊“關閉”，然后單擊“下一步”。

8.在“訪問規則目標”頁上，單擊“添加”。

9.在“添加網絡實體”中，在“網絡”部分單擊“內部”。單擊“添加”，單擊“關閉”，然后單擊“下一步”。

10.在“用戶設置”頁上，默認情況下“所有用戶”已選中。單擊“下一步”，然后單擊“完成”。

排序DHCP請求規則



DHCP 請求目標是一個廣播地址。ISA 服務器不會對廣播通訊執行名稱解析，而會拒絕這種通訊。如果有一條允許或拒絕規則匹配 DHCP 請求并要求進行名稱解析，并且此規則在規則順序中高于您所創建的 DHCP 請求規則，則 DHCP 通訊可能會被拒絕。

要求進行名稱解析的規則在目標（至）條件中包含一個域名稱集或一個 URL 集。請注意，如果在此規則中有其他不匹配 DHCP 請求的條件，就不會發生沖突。

為避免沖突，應確保您配置的允許 DHCP 請求的規則在規則排序中高于其他任何匹配 DHCP請求的、使用名稱解析的規則。從下面的例子中可以看出此原則。

此規則將不會生效：

1.拒絕所有來自 www.attack.com 的協議

2.允許從內部向本地主機發送的 DHCP 請求

此規則將會生效：

1.拒絕來自 www.attack.com 的 HTTP 協議

2.允許從內部向本地主機發送的 DHCP 請求

此規則將會生效：

1. 允許從內部向本地主機發送的 DHCP 請求

2. 拒絕所有來自 www.attack.com 的協議