將 ISA Server 電腦設定為 DHCP 伺服器

發佈日期: 2004 年 6 月 26 日

本頁内容

概觀
建立 DHCP 規則
DHCP 要求規則排序

概觀

在某些組態中,您可能想要在 DHCP 伺服器上安裝 Microsoft Internet Security and Acceleration (ISA) Server 2004。本文件探討在這樣的案例下進行設定時所可能會遇到的問題。

建立 DHCP 規則

根據預設,當在 DHCP 伺服器上安裝 ISA Server 時,DHCP 伺服器不會回應要求。若要讓 DHCP 伺服器能夠運作,必須建立下列規則:

  • 規則 1:能讓 DHCP 將來自 DHCP 用戶端網路上提出的要求送到本機主機網路上。

  • 規則 2:允許 DHCP 由本機主機網路回覆到 DHCP 用戶端網路上。

允許 DHCP (要求) 通訊協定

在這個程序中,DHCP 用戶端位於內部網路中。若要允許 DHCP (要求) 通訊協定,請使用下列步驟:

  1. 在 ISA Server Management 的防火牆原則節點上,於 [防火牆原則] 上按下右鍵,指向 [新增],然後按一下 [存取規則]。

  2. 在新增存取規則精靈中,輸入規則名稱。例如:允許 DHCP 要求。然後按一下 [下一步]。

  3. 在 [規則動作] 頁面中,按一下 [允許]。然後按一下 [下一步]。

  4. 在 [通訊協定] 頁面的 [這個規則套用到] 中,按一下 [選取的通訊協定]。然後按一下 [新增]。

  5. 在 [新增通訊協定] 中的 [所有通訊協定] 上,按一下 [DHCP (要求)]。按一下 [新增],再按一下 [關閉],然後再按一下 [下一步]。

  6. 在 [存取規則來源] 頁面上,按一下 [新增]。

  7. 在 [新增網路實體] 的 [網路] 區段中,按一下 [內部]。按一下 [新增],再按一下 [關閉],然後再按一下 [下一步]。

  8. 在 [存取規則目的地] 頁面上,按一下 [新增]。

  9. 在 [新增網路實體] 的 [網路] 區段上,按一下 [本機主機]。按一下 [新增],再按一下 [關閉],然後再按一下 [下一步]。

  10. 在 [使用者組] 頁面上,預設值選擇的是 [所有使用者]。按一下 [下一步],然後再按一下 [完成]。

允許 DHCP (回覆) 通訊協定

在這項程序中,DHCP 用戶端位於內部網路中。若要允許 DHCP (回覆) 通訊協定,使用下列步驟。

  1. 在 ISA Server Management 的防火牆原則節點中,於 [防火牆原則] 上按右鍵,指向 [新增],然後再按一下 [存取規則]。

  2. 在新增存取規則精靈中,輸入規則名稱。例如:允許 DHCP 回覆。然後按一下 [下一步]。

  3. 在 [規則動作] 頁面上,按一下 [允許]。然後按一下 [下一步]。

  4. 在 [通訊協定] 頁面的 [這個規則套用到] 中,按一下 [選取的通訊協定]。然後按一下 [新增]。

  5. 在 [新增通訊協定] 的 [所有通訊協定] 區段上,按一下 [DHCP (回覆)]。按一下 [新增],再按一下 [關閉],然後再按一下 [下一步]。

  6. 在 [存取規則來源] 頁面上,按一下 [新增]。

  7. 在 [新增網路實體] 的 [網路] 上,按一下 [本機主機]。按一下 [新增],再按一下 [關閉],然後再按一下 [下一步]。

  8. 在 [存取規則目的地] 頁面上,按一下 [新增]。

  9. 在 [新增網路實體] 的 [網路] 區段中,按一下 [內部]。按一下 [新增],再按一下 [關閉],然後再按一下 [下一步]。

  10. 在 [使用者組] 頁面上,預設值是選擇 [所有使用者]。按一下 [下一步],然後再按一下 [完成]。

DHCP 要求規則排序

DHCP 要求的目的地是一種廣播位址。ISA Server 在廣播流量上不執行名稱解析,而是拒絕它。如果有一條允許或拒絕規則符合 DHCP 要求並需要名稱解析,而且它的排序比你所建立的 DHCP 要求規則還高時,可能會拒絕 DHCP 的流量。

需要名稱解析的規則中不是包括了一個網域名稱集,要不就是在目的地條件中的 URL 集。注意,如果在規則中有其他條件無法符合 DHCP 要求,就不會產生衝突。

要避免衝突,應確定所設定的規則能讓 DHCP 要求在規則排序中,較其他使用名稱解析且符合 DHCP 要求的規則為高。其原則如以下範例所示。

下列規則無法作用:

  1. 拒絕所有來自 www.attack.com 的通訊協定

  2. 允許由內部到本機主機的 DHCP 要求

下列規則可以作用:

  1. 拒絕來自 www.attack.com 的 HTTP 通訊協定

  2. 允許由內部到本機主機的 DHCP 要求

下列規則可以作用:

  1. 允許由內部到本機主機的 DHCP 要求

  2. 拒絕所有來自 www.attack.com 的通訊協定

顯示: