非常感謝Ronald Beekelaar，他做的ISA Server 2004 LAB是如此的精致，只需要我些許的修改幾個地方，就可以完成這個比較復雜的試驗）

很多朋友提出了在域環境中不能正確配置ISA Server 2004的問題，主要集中在無法引用域用戶和DNS無法解析。在這篇文章中，我以一個域環境實例，來給大家介紹如何在域環境中配置ISA Server 2004。從這篇文章，你可以學習到如何在域環境中配置ISA防火墻、啟用域用戶的身份驗證、配置內部客戶、配置域控上的DNS轉發和建立訪問規則。

這個試驗的網絡拓樸結構如下圖所示：

這是一個由三臺計算機組成的域環境，也許看起來很簡單，但是卻已經足以模擬域環境中配置ISA Server中的大部分操作。其中：

備注：這是一臺域控，默認網關是ISA Server的內部接口，DNS設置為本機。

備注：ISA Server上的IP設置比較講究，首先DNS只能設置為內部AD的DNS服務器，然后默認網關為外部出口。

備注：這臺計算機用來模擬外部的DNS和Web服務器。后面我們會在內部的DC上設置DNS的轉發，將非域的DNS解析請求轉發到此DNS服務器上，然后通過域名來訪問這臺Web服務器上的一個Web站點。

在這篇文章中，我們會通過以下步驟來為內部域中配置ISA Server 2004防火墻：

1、在獨立服務器上安裝ISA防火墻

關于ISA Server 2004的安裝已經有多篇文章介紹了，在此就不重復。根據本次試驗的網絡拓樸結構，在內部網絡選擇時，通過添加適配器來勾選內部網絡接口就可以了。安裝好后，內部網絡如下圖所示：

此時，在防火墻策略中只有默認規則：

雖然只有默認規則，但是ISA防火墻的系統策略中是允許ISA防火墻訪問域服務，所以我們依然可以訪問內部的域。

2、將ISA防火墻計算機加入域

現在我們需要將Florence加入到內部域中。使用管理員賬號登錄Florence，右擊我的電腦，打開系統屬性，然后在計算機名頁，點擊更改；在彈出的計算機名稱更改頁，點擊隸屬于列表下面的域，然后輸入內部域的名字Contoso.com，然后點擊確定。

此時，系統會讓你輸入有加入該域權限的賬戶，輸入域管理員賬號和密碼，點擊確定；

系統驗證無誤后，會彈出歡迎加入contoso.com域的對話框，點擊確定；

系統會提示你需要重啟計算機，點擊確定，然后重啟ISA防火墻計算機；

3、在ISA防火墻上對域管理員進行ISA完全控制的授權

由于我是先安裝ISA Server 2004，然后再加入域，此時，域管理員沒有對ISA Server的管理權限。如果是計算機先加入域然后再安裝ISA Server，那么域管理員也會有完全的管理權限，這一步就可以省略了。

現在，我們需要對域管理員進行ISA Server的完全管理授權：

首先使用本地管理賬戶登錄ISA計算機，

打開ISA管理控制臺，點擊常規，再點擊右邊面板的管理委派，

此時彈出ISA服務器管理委派向導，點擊下一步；

在委派控制頁，點擊添加；

在管理委派對話框，點擊瀏覽；

在選擇用戶和組對話框，輸入contoso/domain admins，點擊確定；

由于此時是登錄到本機，沒有contoso域的瀏覽權限，所以系統會提示你輸入對contoso.com有權限的賬號，在此輸入域管理員賬號，點擊確定；

然后在管理委派頁點擊確定；

在委派控制頁，點擊下一步；

在完成管理委派向導頁，點擊完成；

4、建立通過驗證的域管理員訪問外部所有協議的訪問規則

現在我們可以使用域管理員賬號來登錄了，

然后打開ISA管理控制臺，右擊防火墻策略，然后點擊新建，選擇訪問規則；

在新建訪問規則向導頁，輸入規則的名字，在此我們命名為Allow Domain Admins access External，點擊下一步；

在規則操作頁，選擇允許；點擊下一步；

在協議頁，選擇所有出站通訊，點擊下一步；

在訪問規則源頁，選擇內部，點擊下一步；

在訪問規則目標頁，選擇外部，點擊下一步；

在用戶集頁，刪除默認的所有用戶，點擊添加，

在添加用戶對話框，點擊新建；

在歡迎使用新建用戶集向導頁，輸入用戶集名稱，在此我們命名為Domain Admins，點擊下一步；