简介
Microsoft Internet Security and Acceleration (ISA) Server 2004 使您可以从其他计算机(包括漫游 VPN 客户端)管理 ISA 服务器计算机。通过运行终端服务客户端(例如一个远程桌面连接),您可以在一台 VPN 客户端计算机上远程执行所有的 ISA 服务器管理任务。
注意
如“Remote Administration of ISA Server 2004”(ISA Server 2004 的远程管理)(http://go.microsoft.com/fwlink/?LinkID=27856) 这篇文档中所述,您也可以使用 MMC 控制台执行远程管理。但是,当您从 VPN 客户端管理 ISA 服务器时,我们建议您使用终端服务器而不要使用 MMC。在 ISA 服务器中执行的某些管理操作需要您重新启动服务。在您重新启动服务时,会停止许多服务,其中就包括路由和远程访问服务。这样,在再次启动这些服务之前,您的远程 MMC 连接将中断。终端服务器远程管理却不会出现这种问题。基于这一原因,本文没有介绍如何通过 MMC 进行远程管理。
方案
当您呆在家中或在外旅行时,可能想使用一台作为 VPN 客户端连接到内部网络的计算机来对 ISA 服务器进行管理。远程管理使您可以从 VPN 客户端计算机上对 ISA 服务器进行管理。
注意
有关 ISA Server 2004 中的 VPN 客户端的信息,请参阅“VPN Roaming Clients and Quarantine Control in ISA Server 2004”(ISA Server 2004 中的 VPN 漫游客户端和隔离控制)(http://go.microsoft.com/fwlink/?LinkID=20745)。
解决方案
此处提供的解决方案介绍了在漫游 VPN 客户端上使用终端服务客户端对 ISA 服务器计算机进行远程管理的方法。
网络拓扑
下面几部分介绍远程管理的网络拓扑。
ISA 服务器
ISA 服务器相对于其他网络的位置对于远程管理方法的影响仅限于远程客户端的身份验证。如果 ISA 服务器计算机安装在一个工作组内,而不是安装在一个用域控制器识别用户凭据的域中,则凭据的提供方式会有所不同。
远程管理分步指导
此分布指导将引导您完成对 ISA 服务器计算机进行远程管理所必需的步骤。
远程管理分步指导过程 1:导出系统策略
配置远程管理要求您对 ISA 服务器计算机的系统策略进行更改。我们建议:在对系统策略做出任何更改前,先将系统策略配置导出到一个文件中。这样,在必要的时候,您就可以轻松地恢复到原始策略。请按照以下步骤导出系统策略。
1.打开“Microsoft ISA 服务器管理”,展开 ISA 服务器计算机节点,然后单击“防火墙策略”。
2.在任务窗格中,在“任务”选项卡上,单击“导出系统策略”打开“导出配置”对话框。
3.提供您要在其中保存配置的文件的位置和名称。为便于识别文件,您可能要在文件名称中包含导出日期,例如 ExportSystemPolicy2June2004。
4.单击“导出”。
5.导出操作完成后,单击“确定”。
远程管理分布指导过程 2:在 ISA 服务器计算机上配置远程管理当您安装 ISA 服务器时,默认情况下会启用远程管理,不过它仅对“远程管理计算机”这一计算机集启用,而该计算机集默认情况下为空。要确认远程管理是否已经启用,并在配置中指定哪些网络允许远程管理,请执行以下过程。此过程还说明了如何禁用远程管理。
1.打开“Microsoft ISA 服务器管理”,展开 ISA 服务器计算机节点,然后单击“防火墙策略”。
2.在任务窗格中,在“任务”选项卡上,单击“编辑系统策略”来打开“系统策略编辑器”。
3.在“配置组”下,在“远程管理”中选择“终端服务器”。在“常规”选项卡上,选择“启用”来启用使用终端服务器进行远程管理。(这是您安装 ISA 服务器时的默认设置。)
4.在“源网络”选项卡上,在“此规则应用于来自这些源的通讯”列表中,默认情况下会列出“远程管理计算机”计算机集。这表明该计算机集内的计算机将能够通过终端服务器对 ISA 服务器计算机进行远程管理。因为您的计算机将是 VPN 客户端网络的一部分,所以您必须将该网络添加到“源网络”选项卡上。单击“添加”,然后在“添加网络实体”对话框中,展开“网络”。选择“VPN 客户端”网络,单击“添加”,然后单击“关闭。在“系统策略编辑器”中,单击“确定”。
5.在“防火墙策略”详细信息窗格中,单击“应用”以应用此更改。
重要说明
当您清除一个远程管理的“启用”复选框时,正在进行的远程管理会话将继续运行,直到从远程连接上终止它们后,它们才会结束。有关详情,请参见本文档中的“远程管理分步指导过程 5:断开与 ISA 服务器计算机的连接”。
远程管理分步指导过程 3:配置远程计算机配置 VPN 客户端计算机以通过终端服务器访问 ISA 服务器计算机。
要使用终端服务器远程管理一台 ISA 服务器计算机,远程计算机上必须有一个终端服务客户端。在 Windows Server„¢ 2003 和 Windows XP 中,您可以将“远程桌面连接”用作终端服务客户端。要在运行 Windows 2000?Windows NT® 4.0?Windows 98 或者 Windows 95 的计算机上手动安装一个终端服务客户端,请执行以下步骤。
1.在一台运行着某种 Windows Server 2003 家族操作系统的计算机上,共享客户端安装文件夹。
2.从运行着 Windows 2000、Windows NT 4.0、Windows 98 或 Windows 95 的计算机,连接这台运行着某种 Windows Server 2003 家族操作系统的计算机所在的局域网。
3.单击“开始”,然后单击“运行”。
4.在“打开”框中,键入以下内容:
\\computername\Tsclient\Win32\Setup.exe
其中,computername 是这台运行着某种 Windows Server 2003 家族操作系统的计算机的网络计算机名。单击“确定”。
按照屏幕上的说明进行操作。
远程管理分步指导过程 4:从远程计算机管理 ISA 服务器计算机现在,您就可以从远程计算机上通过终端服务来管理 ISA 服务器计算机了。
要从远程计算机上通过终端服务管理 ISA 服务器计算机,请执行以下步骤:
1.在远程计算机上,单击“开始”,指向“所有程序”,指向“附件”,指向“通讯”,然后单击“远程桌面连接”。
2.在“远程桌面连接”中,在“计算机”中输入 ISA 服务器计算机的名称。
3.建立好连接后,请提供用户名和密码。注意,该用户必须拥有管理该 ISA 服务器计算机的权限。
4.现在,您应当可以看到 ISA 服务器计算机的桌面了。从“开始”菜单中打开“ISA 服务器管理”,即可开始对 ISA 服务器进行管理了。
远程管理分步指导过程 5:断开与 ISA 服务器计算机的连接要断开 ISA 服务器计算机与其使用终端服务连接的远程计算机之间的连接,请执行以下步骤。
1.在远程计算机上,在“远程桌面连接”窗口中,单击“开始”,然后单击“注销”。
2.在“注销 Windows”对话框中,单击“注销”。
远程管理分步指导过程 6:从远程计算机运行脚本
借助脚本,您可以使用 ISA 服务器管理对象来访问和控制一个企业的策略与配置,或一个组织内任一 ISA 服务器阵列的策略与配置。ISA 服务器管理脚本有许多优点。例如,在执行一些重复性任务或一些需要在许多服务器或阵列上执行的任务时,它可以节省时间。有关 ISA 服务器管理脚本的更多信息,请参见“ISA 服务器软件开发工具包帮助”。
您可以创建将在远程计算机上运行的 ISA 服务器管理脚本。运行在 ISA 服务器计算机上的脚本和程序与运行在远程计算机上的脚本和程序的不同之处在于:
• 运行在远程计算机上的脚本的根对象必须是 FPCDS,而不能是 FPC。
• 远程计算机上的脚本或程序必须连接到远程 ISA 服务器计算机。
创建根对象
可以使用下面提供的代码来为远程管理创建根对象。
VBScript
Set objFPC
= CreateObject ("FPCDS.Root")
JScript
objFPCRoot = new ActiveXObject ("FPCDS.Root");
Visual Basic
Dim objFPC As New FPCLib.FPCDS
或者
Dim objFPC As New FPCLib.FPC
Set objFPC = CreateObject("FPCDS.Root")
连接到 ISA 服务器计算机
要连接到远程 ISA 服务器计算机,请使用 FPCArrays.Connect 方法。此方法使用以下参数:
• Server[in] BSTR,指定要连接的服务器。
• UserName[in,Optional] BSTR,指定用户名。默认值是一个空的 BSTR。
• Domain[in,optional] BSTR,指定用户的域的名称。默认值是一个空的 BSTR。
• Password [in, optional] BSTR,指定密码。默认值是一个空的 BSTR。
注意
脚本或程序完成后,到 ISA 服务器计算机的连接将被终止。