域控+ISA防火墙控制内部上网

准备:windows server 2003服务器,安装AD域控,ISA控制端。配备两张网卡,Net直连物理机网络进行浏览外网,VMnet8建立内网服务器,控制域内其他机器联网行为。windows 7,网卡配置VMnet8,IP地址和域控服务器在相同的段内,DNS设为域控服务器的IP地址,进行代理上网。

1.安装AD域控,不同的服务端安装方法不同。以下例举windows server 2003下安装AD域控2.开始-所有程序-控制面板-添加或删除程序

3.添加/删除Windows组件,选择AD服务和.NET 2.0,然后下一步进行安装。安装好后会提示重启计算机。

4.安装成功后,CMD命令:dcpromo,进入AD配置向导。安装过程参考:server2003安装AD域https://jingyan.baidu.com/article/ce436649c3727e3773afd33f.htmlserver2008安装AD域安装过程中需要手动安装DNS服务器,可能存在缺少dns文件导致无法安装完成,需要去网上搜索。需要配置电脑的IP地址为静态IP地址,安装结束后会提示重启计算机。

5.右下角开始–控制面板–管理工具–Active Directory用户和计算机。在新建的林dd.com右击–新建组织单位kehu–在组织单位kehu右击新建用户zhangsan–右击zhangsan属性–隶属于添加一个Administrator–确定。

6.设置windows7网络连接,DNS地址设为域控服务器的IP地址。右击计算机–属性–高级系统设置–计算机名–更改–隶属于–域--输入域的名字–确定–输入域控服务器有管理权限的用户名和密码–确定。后会弹出一个欢迎框“欢迎加入域ddd.com”

7.windows7打开IE浏览器,工具–Internet选项–连接–局域网(lan)设置–勾选代理服务器。地址:域控服务器的IP,端口8080。

8.在windows server 2003安装gpmc,组策略管理控制器。打开运行窗口,输入CMD命令:gmpc.msc进入组策略管理。展开林:ddd.com–展开域–展开ddd.com–找到刚才新建的组织单位,右击创建并链接GPO(建模)。打开新建组策略对象–点击设置选项–用户配置右击编辑。

由上一步,进入组策略编辑。点击用户配置–windows设置–Internet Explore 维护–连接–代理设置。启用代理服务器设置,代理服务器地址是域控服务器的IP地址,端口设为8080。其他的设置根据个人需求进行更改。

9.在windows server 2003安装ISA 2006(尝试安装2004版本,遇到错误不能连接到***上)。点击ISA文件夹中的ISAAUTORUN.EXE进行安装。安装向导–同意协议条款–输入用户名、单位、序列号–选择自定义安装–ISA服务器、ISA服务器管理选上–添加地址范围(常用的是虚拟机里,编辑–虚拟网络编辑器–VMnet8模式–NET模式DHCP设置内的IP地址范围)–允许不加密的防火墙客户端连接。一直下一步安装。

10.安装好后,进入PC端。新建网络策略让使用代理服务器的机器可以上网。

防火墙策略–新建–访问规则。访问规则名称(例:liangwang)–符合规则条件时执行操作为“允许”–此规则应用到“所选的协议”–添加协议-通用协议“HTTP、HTTPS”–此规则应用于来自这些源的通讯“内部”–此规则应用于发送到这些目标的通讯“外部”–此规则应用于来自下列用户集的请求“所有用户”–完成。

11.现在我们的windows7就可以上网了(虽然显示无网络连接23333…)