外网客户端通过路由器访问内网ISA的实验

首先我们来架设以给实验的环境，DNS1和DNS2以及Web服务器分辨连接内网的ISA，在通过网关ip地址为192.168.1.1的路由器连接到Internet，通过外网计算机来访问。

接下来将改变实验的环境，取消内部网络的XP计算机，改成一个服务器，把XP计算机连接到外网上，使用ISA Server 2006来发布这些服务器，让外网的连接了路由器的XP系统的电脑可以通过ISA的外网地址，得到内部网络服务器的服务。

首先是发布DNS服务器，由于ISA中没有内建DNS服务器的发布，所有选择发布非Web服务器协议，来建一个DNS服务发布。

接下来做一个发布Web网站的实验，其中用到两个DNS服务器，分别为dns1和dns2。一个用于内部网络的域名解析，一个用作对外发布，用于外部网络。Iis服务器的DNS要指到负责内网的dns地址。

首先是安装iis组建，建立一个简单的web网站。然后使用内网的机子测试这个web服务器的运行情况。接下来给两台dns服务器安装dns服务组建，建立两个相同的记录，但是所解析的Ip不同，用于外网的dns把域名解析为ISA服务器的外网地址，用于内网的dns把IP解析为真实的web地址。然后先测试一下内网的解析情况。这种情况下必须建立两个DNS服务器，因为虽然内部和外部访问web服务器使用的域名是一样的，但是域名所对应的IP地址是不同，外部用户使用域名对应的是ISA的外网IP地址，而内部用户使用域名对应的IP是真实的web服务器的IP地址。
如果要让外网可以通过域名访问内网的web服务器，需要在ISA上首先发布刚才建立的用于外网服务的dns服务器。注意ISA的同步需要15秒的时间。发布成功后，在外网找一台机器做测试，看能不能把http://www.luyouqiwang.com 这个域名解析为外网的ISA地址192.168.1.199。
接下来就是发布IIS的web服务器了。选择策略里的发布网站，根据提示操作就可以了。 我在做实验的时候，外网的客户端可以解析了IP，但是就是不能访问，我开始使用的XP系统的IE6访问的，一直得不到结果，后来使用了IE7，得到了一个关于权限没有放开的错误提示，然后在网上找了解决办法才顺利完成了这个发布网站的实验，后面我也把解决办法贴出来。

错误代码: 403 Forbidden。ISA 服务器已配置为阻止要求进行身份验证的 HTTP 请求。 (12250)

很显然，这个是ISA服务器没有允许进行HTTP身份验证了。

微软官方说明，有两种情况会导致这样的情形出现：
①WEB侦听器中，身份验证的高级设置里没有开通【允许通过HTTP进行客户端身份验证】
②使用SSL加密的Exchange邮件服务器，没有开启或正确配置WEB侦听器

对于第一种情况，就是没有使用SSL加密的邮件服务器，我们只需要允许通过HTTP进行客户端身份验证即可。
具体操作：
打开所发布OWA属性页，切换到侦听器那一标签页，点击属性，再点击身份验证，在身份验证窗口下，点击高级按钮。在弹出的高级身份验证选项中，勾选【允许通过HTTP进行客户端身份验证】，即可。如下图所示：

需要注意的是，发布服务器其实是一个地址转换的过程，如果发布了服务器，ISA会把外部访问外网卡的请求根据端口的情况转发到内网的相应服务器上去，但是能不能服务还是要开放相应端口的，这一点容易混淆，如果是内网的一个服务器能够很好的为外网的客户端服务，既要在ISA上发布这个服务器，又要在ISA上开放服务的相应端口才可以。指做其中的任何一个事情，都无法达到想要的结果。

另外还有一些发布邮件服务器、OWA的实验，这里略过。

注意：内部网络到外部网络的网络规则默认为NAT，所以当内部主机要跟外部主机沟通的时候，数据包发送到ISA Server时，ISA Server会将数据包中的内部地址转换为ISA Server 的外网卡地址，然后在传送到外部主机上，因此对于外部主机来说，通讯的是ISA Server，而不是内部主机。

我们可以通过访问规则来让内部主机访问外部资源，可以通过发布规则来让外部主机访问内部资源。