由漫遊 VPN 用戶端來遠端管理 ISA Server 2004
發佈日期: 2004 年 6 月 28 日
本頁内容
簡介
案例
解決方案
簡介
Microsoft Internet Security and Acceleration (ISA) Server 2004 可讓你由其他的電腦,包括漫遊 VPN 用戶端來管理 ISA Server 電腦。從 VPN 用戶端藉由執行終端機服務用戶端功能,像是遠端桌面連線方式由遠端執行所有的 ISA Server 管理工作。
注意
你也可以使用 MMC 主控台執行遠端管理,就如同<ISA Server 2004 的遠端管理>文件中所述 (https://go.microsoft.com/fwlink/?LinkID=27856 (英文))。然而,當由 VPN 用戶端管理 ISA Server 時,建議使用終端機伺服器而非 MMC。某些在 ISA Server 的管理動作需要重新啟動服務。當這麼做時,在所有服務之間的路由及遠端存取服務會停止,因此在服務重新啟動前也終止遠端 MMC 連線。這在終端機伺服器遠端管理上不是問題。基於這個原因,本文件中沒有說明透過 MMC 的遠端管理。
案例
你可能想使用以 VPN 用戶端型態連接到內部網路的電腦,由家中或在旅行時管理 ISA Server。遠端管理可讓你由 VPN 用戶端電腦來管理 ISA Server。
注意
如需 ISA Server 2004 中的 VPN 用戶端的詳細資訊,請參閱<在 ISA Server 2004 中的 VPN 漫遊用戶端和隔離控制>(https://go.microsoft.com/fwlink/?LinkID=20745 (英文))。
解決方案
這裡所介紹的解決方案敘述在一個漫遊 VPN 用戶端上使用終端機服務用戶端來遠端管理 ISA Server 電腦。
網路拓樸
下面章節敘述遠端管理的網路拓樸。
ISA Server
只有在進行遠端用戶端的驗證時,ISA Server 與其他網路間的位置才會影響遠端管理的方式。若 ISA Server 電腦是安裝在某個工作群組,而非網域控制站可辨識使用者認證的單一網域時,認證的規定會不同。
遠端管理的逐步說明
這個逐步說明指導會引導你完成遠端管理 ISA Server 電腦所需的每一個步驟。
遠端管理逐步說明程序 1:匯出系統原則
設定遠端管理時需要在 ISA Server 電腦的系統原則上做些改變。建議在改變系統原則前先將系統原則組態匯出到一個檔案中,有需要時可以很容易就回復到原始的原則。依據下列步驟匯出系統原則。
開啟 Microsoft ISA Server Management,展開 ISA Server 電腦節點,並按一下 [防火牆原則]。
在工作窗格的 [工作] 索引標籤中,按一下 [匯出系統原則],以開啟 [匯出設定] 對話方塊。
提供想要儲存組態的檔案位置和名稱。也可在檔名中包括匯出的日期以利於辨識,像是 ExportSystemPolicy2June2004。
按一下 [匯出]。
當匯出作業完成後,按一下 [確定]。
遠端管理逐步說明程序 2:在 ISA Server 電腦上設定遠端管理
當安裝 ISA Server 時,預設值中已啟用遠端管理,不過只是啟用遠端管理電腦的電腦組,這在預設值中是空白的。依據這項程序確認遠端管理已啟用,並設定可提供遠端管理的網路。在該程序中也說明如何將遠端管理停用。
開啟 Microsoft ISA Server Management,展開 ISA Server 電腦節點,並按一下 [防火牆原則]。
在工作窗格的 [工作] 索引標籤中,按一下 [編輯系統原則],以開啟系統原則編輯器。
在 [設定群組] 之下的 [遠端管理] 中,選取 [終端機伺服器]。在 [一般] 索引標籤中,選取 [啟用] 以能夠使用終端機伺服器來啟用遠端管理 (當安裝 ISA Server 時,這是預設值設定)。
在 [從] 索引標籤的 [這個規則套用到來自下列來源的流量] 清單上,其中 [遠端管理電腦] 電腦組在預設值中是列於清單上。這表示在該電腦組中的電腦可透過終端機伺服器來執行 ISA Server 電腦的遠端管理。由於電腦屬於 VPN 用戶端網路的一部份,所以必須將該網路增加到 [從] 索引標籤中。按一下 [新增],同時在 [新增網路實體] 對話方塊中,展開 [網路]。選取 [VPN 用戶端] 網路,按一下 [新增],然後再按一下 [關閉]。在系統原則編輯器中,按一下 [確定]。
在 [防火牆原則] 詳細資料窗格中,按一下 [套用] 以套用這項變更。
重要:
當清除遠端管理 [啟用] 核取方塊時,遠端管理工作階段會持續進行,直到如遠端管理逐步說明程序 5 中所敘述的由遠端連線將其終止:由本文件中所敘述的 ISA Server 電腦上中斷連線。
遠端管理逐步說明程序 3:設定遠端電腦
設定 VPN 用戶端電腦以透過終端機伺服器來存取 ISA Server 電腦。
要使用終端機伺服器遠端管理 ISA Server 電腦,必須在遠端電腦上具備終端機服務用戶端。在 Windows Server 2003 和 Windows XP 中,可使用遠端桌面連線做為終端機服務用戶端。依據下列步驟以手動方式將終端機服務用戶端安裝在使用 Windows 2000、Windows NT® 4.0、Windows 98 或 Windows 95 的電腦上。
至於在使用 Windows Server 2003 作業系統系列的電腦上,則是共用用戶端設定檔案夾。
對於使用 Windows 2000、Windows NT 4.0、Windows 98 或 Windows 95 的電腦,則是連接到內含執行 Windows Server 2003 作業系統系列之電腦的區域網路上。
按一下 [開始],然後按一下 [執行]。
在 [開啟] 中,輸入下列資料:
\\computername\Tsclient\Win32\Setup.exe
其中 computername 是使用 Windows Server 2003 作業系統系列的網路電腦名稱。按一下 [確定]。
遵照螢幕上的指示進行。
遠端管理逐步說明程序 4:由遠端電腦管理 ISA Server 電腦
現在可透過終端機服務由遠端電腦來管理 ISA Server 電腦。
依據下列步驟,透過終端機服務由遠端電腦來管理 ISA Server 電腦。
在遠端電腦上,按一下 [開始],指向 [所有程式],再指向 [附屬應用程式],然後指向 [通訊],並按一下 [遠端桌面連線]。
在 [遠端桌面連線] 的 [電腦] 中,輸入 ISA Server 電腦的名稱。
當連線建立後,提供使用者名稱和密碼。請注意,使用者必須有適當的權限來管理 ISA Server 電腦。
這時候應可以看到 ISA Server 電腦的桌面。由 [開始] 功能表中開啟 ISA Server Management,以開始管理 ISA Server。
遠端管理逐步說明程序 5:由 ISA Server 電腦上中斷連線
依據下列步驟,由一個使用終端機服務連線的遠端電腦上中斷與 ISA Server 電腦的連線。
在遠端電腦上,於 [遠端桌面連線] 視窗中,按一下 [開始],然後再按一下 [登出]。
在 [登出視窗] 對話方塊中,按一下 [登出]。
遠端管理逐步說明程序 6:由遠端電腦執行指令碼
指令碼可讓你使用 ISA Server 管理物件來存取和控制企業內或組織中任何 ISA Server 陣列的原則和組態。ISA Server 管理指令碼有許多優點,像是節省在重複性工作上的時間或是需要執行許多伺服器陣列時。如需 ISA Server 系統管理指令碼的詳細資訊,請參閱 ISA Server 軟體開發套件說明。
你也可自行建立能夠在遠端電腦上執行的 ISA Server 管理指令碼。這些在 ISA Server 電腦和在遠端電腦上執行的指令碼和程式之間的差異如下:
在遠端電腦上執行的根物件指令碼必須是 FPCDS,而非 FPC。
在遠端電腦上的指令碼或程式必須連接到遠端 ISA Server 電腦上。
建立根物件
使用下面的程式碼來建立遠端管理的根物件。
VBScript
Set objFPC = CreateObject ("FPCDS.Root")
JScript FakePre-d4eec0b6ca474a4aad62e6cad15d686a-69d60bf41ba943e5990fee7249bba413Visual BasicFakePre-aa33c91da28348f7868445ebe85834c2-7101d011206f47b9b1097ff5842417fc
或
Dim objFPC As New FPCLib.FPC Set objFPC = CreateObject("FPCDS.Root")
連接到 ISA Server 電腦
若要連線到遠端 ISA Server 電腦上,請使用 FPCArrays.Connect 方法。此方法採用下列參數:
Server [in] BSTR 指定伺服器連接到那裡。
UserName [in, optional] BSTR 指定使用者名稱。預設值是空白的 BSTR。
Domain [in, optional] BSTR 指定使用者網域的名稱。預設值是空白的 BSTR。
Password [in, optional] BSTR 指定密碼。預設值是空白的 BSTR。
注意
當完成指令碼或程式時,會終止與 ISA Server 電腦的連線。
對於本文件有何意見?傳送意見。