Secure NAT客户端可以说是TMG/ISA三种客户端中最简单的一种客户端,因为这种客户端并不需要特殊软件的支持,也不需要配置一些代理,但是确是依赖于组织的路由结构来将请求转到给ISA/TMG服务器的。所以必须要给客户端计算机配置默认网关,以便于ISA服务器可以通过路由器来进行直接或间接方式地向Internet发送所有通讯信息。
总结来说,Secure NAT客户端在配置前还需要确定一下您当前的网络环境,下边整理了两个:
1、简单网络。在简单网络方案中,SecureNAT 客户端和 ISA 服务器计算机之间没有路由器,应该将 SecureNAT 客户端的默认网关设置为客户端所在的 ISA 服务器网络(通常为内部网络)的 IP 地址。可以使用客户端上的 TCP/IP 设置手动进行设置。(可以通过单击“控制面板”中的“网络”图标来访问这些设置。)
2、复杂网络。在复杂网络中,在 SecureNAT 客户端与 ISA 服务器计算机之间配置了桥接多个子网的一个或多个路由器。此链中的最后一台路由器上的默认网关设置应指向 ISA 服务器。最佳的情况是,路由器应该使用到 ISA 服务器计算机最短路径进行路由的默认网关。此外,不应该将路由器配置为丢弃发往公司网络外的地址的数据包。ISA 服务器将确定如何路由这些数据包。
我们知道不论是ISA还是TMG三种客户端模式中除了Secure NAT客户端不会向ISA服务器发送凭据的,验证 SecureNAT 客户端的传出请求时唯一可用的控制方法是按 IP 地址控制。如果 ISA 服务器访问规则要求身份验证,则用户可以看见身份验证消息或失败消息。
通常将使用 ISA 服务器的服务器发布功能发布的内部服务器配置为 SecureNAT 客户端。
在服务器发布方案中,ISA 服务器会侦听特定 IP 地址和端口是否有对内部服务器的请求。收到请求后,ISA 服务器将根据服务器发布规则将其转发给已发布的服务器。如果 ISA 服务器配置为将请求和用于生成数据包的外部客户端的原始源 IP 地址一起转发到已发布的服务器,则必须将已发布的服务器配置为 SecureNAT 客户端。内部服务器需要通过 ISA 服务器的到 Internet 的默认路由,从而使回复数据包由 ISA 服务器转换并返回给源 IP 地址。将已发布的服务器配置为 SecureNAT 客户端,以确保它具有通过 ISA 服务器计算机(发布它的服务器)的至 Internet 的默认网关。如果不能将已发布的服务器配置为 SecureNAT 客户端(它没有到 Internet 的默认路由),请确保选中了服务器规则的“使请求显示为来自 ISA 服务器计算机”设置。
关于SecureNAT的名称解析,在下边也做一个简单分享:
SecureNAT 客户端既可以请求本地网络计算机中的对象,也可以请求 Internet 上计算机中的对象。因此,SecureNAT 客户端将要求 DNS 服务器能够解析外部和内部计算机的名称。建议您执行以下操作:
1、如果要仅允许访问 Internet,应该将客户端上的 TCP/IP 设置配置为使用 Internet 上的 DNS 服务器。您应该创建允许 SecureNAT 客户端使用 DNS 协议的访问规则,并为 SecureNAT 客户端配置 DNS 筛选器。
2、如果 SecureNAT 客户端将请求 Internet 和内部资源中的数据,则这些客户端应该使用位于内部网络的 DNS 服务器。您应该配置 DNS 服务器解析内部地址和 Internet 地址。特别是,当配置 SecureNAT 客户端的名称解析时,要避免通过 ISA 服务器计算机环回对内部资源的请求,这一点很重要。例如,如果 SecureNAT 客户端对由外部网络上的 ISA 服务器发布的内部资源作出请求,则名称解析不应将请求解析到外部网络上的公共 IP 地址。否则,SecureNAT 客户端将请求发送到外部 IP 地址时,发布服务器可能会直接响应 SecureNAT 客户端,然后丢弃此响应。用 ISA 服务器内部网络适配器的 IP 地址替换客户端的源 IP 地址,发布的服务器会视该地址为内部地址,因此直接响应 SecureNAT 客户端。这时会出现以下情形:往一个方向发送的数据包经过无 ISA 服务器的路由,而往另一个方向发送的数据包经过 ISA 服务器,然后 ISA 服务器因为数据包无效而将其丢弃。
本文转自wangtingdong 51CTO博客,原文链接:http://blog.51cto.com/tingdongwang/688391,如需转载请自行联系原作者
