Howto：使用分支办公室 VPN 连接向导配置分支办公室与企业总部之

对于企业中具有分支办公室的 IT 管理员来说，分支办公室和企业总部之间的连接是一个比较棘手的问题。目前大部分企业都是通过站点到站点 VPN 连接来实现分支办公室和企业总部的连接，ISA Server 以其强大的功能 、卓越的性能和人性化的配置界面，在站点到站点 VPN 连接部署中得到了极其广泛的应用。

最为困扰 IT 管理员的，不是选择什么连接方式，而是针对连接的管理。分支办公室中通常没有专门的 IT 管理员来管理网络连接，因此通常都是由企业总部的 IT 管理员 进行管理。通常情况下，IT 管理员在企业中部署 ISA Server 企业版，然后将分支办公室中的 ISA Server 连接到企业总部的配置存储服务器，从而接受企业总部 IT 管理员的集中管理。 网管u家u.bitscn@com

现在的问题就变成了如何将分支办公室的 ISA Server 连接到企业总部的配置存储服务器。通常情况下，具有以下两种办法： 网管u家u.bitscn@com

1. 对外部网络（Internet）发布企业总部中的配置存储服务器，分支办公室中的 ISA Server 直接通过外部网络（Internet）访问企业总部中的配置存储服务器； 网管bitscn_com

2. 在分支办公室和企业总部之间创建站点到站点 VPN 连接，然后分支办公室中的 ISA Server 通过站点到站点 VPN 连接访问企业总部中的配置存储服务器； 网管u家u.bitsCN.com

由于第二种方式具有更低的安全风险，因此在企业网络中大量采用。但是此时又遇到一个先有鸡还是先有蛋的问题：如果没有安装 ISA Server ，就不能通过 ISA Server 建立站点到站点 VPN 连接；但是如果没有建立站点到站点 VPN 连接，就不能 正确安装 ISA Server ，该怎么办呢？

网管网www.bitscn.com

迫于无奈，许多企业的 IT 管理员只好先采用第一种方式，然后配置好站点到站点 VPN 后修改为第二种方式，或者直接在分支办公室中部署一台配置存储服务器 ，然后配置分支办公室中的 ISA Server 使用本地的配置存储服务器。当然，这都增加了 IT 管理成本。

微软 ISA Server 开发组敏锐的发现了这个问题。于是在 ISA Server 2006 企业版中增加了两个组件：分支办公室 VPN 连接向导和应答文件创建向导。应答文件创建向导允许企业总部的 IT 管理员根据某个分支办公室的远程站点创建一个应答文件，分支办公室 VPN 连接向导则可以根据此应答文件在对应的分支办公室的 ISA Server 计算机上进行以下操作：

网管联盟bitsCN@com

1. 创建和企业总部的站点到站点 VPN 连接； 网管下载dl.bitscn.com

2. 加入企业总部中的域（可选，需要重启计算机）；

   网管下载dl.bitscn.com

3. 将原本为使用本地配置存储服务器的 ISA Server 迁移到使用企业总部中的配置存储服务器 （可选）； 网管论坛bbs_bitsCN_com

4. 卸载位于本地 ISA Server 计算机上的配置存储服务器 （和第3步一起进行，不可选）。 中国网管论坛bbs.bitsCN.com

当分支办公室 VPN 连接向导完成操作后，分支办公室中的 ISA Server 通过站点到站点 VPN 连接到企业总部的配置存储服务器，从而可以接受企业总部 IT 管理员的集中管理。由于通过应答文件，这个过程基本是“零配置”；一切设置都可以从应答文件中读取，而不需要 人工交互。当然，这也并不是那么简单，你还需要完成其他的准备，比如需要预先在企业总部的 ISA Server 上创建站点到站点 VPN 连接、安装证书（如果身份验证需要）、正确配置分支办公室中的 ISA Server 以确保可以解析活动目录服务及配置存储服务器的域名等等。

网管网www.bitscn.com

这篇文章的试验网络结构如下图所示，企业总部网络的 IP 地址范围为 10.1.1.0/24 ，内部域为 ISACN.ORG ，Seattle 是域控制器； Boston 加入域 ISACN.ORG ，安装了 ISA Server 2006 企业版（ ISA Server + CSS），作为边缘防火墙连接到 Internet ；分支办公室网络的 IP 地址范围为 10.2.1.0/24 ，Hawaii 位于工作组环境，安装了 ISA Server 2006 企业版（ ISA Server + CSS），作为边缘防火墙连接到 Internet 。在这个试验中，我将通过分支办公室 VPN 连接向导将 Hawaii 迁移到使用企业总部网络中的配置存储服务器（Boston），从而接受企业总部 IT 管理员的集中管理。

中国网管论坛bbs.bitsCN.com

网管网www_bitscn_com

各计算机的 TCP/IP 配置如下所示： 网管论坛bbs_bitsCN_com

Seattle.isacn.org（ISACN.ORG DC）：

• IP：10.1.1.8/24 中国网管论坛bbs.bitsCN.com

• DG：10.1.1.1

  网管联盟bitsCN@com

• DNS：10.1.1.8

  网管网www_bitscn_com

Boston.isacn.org（ISA Server + CSS）： 网管网www_bitscn_com

外部网络接口：

• IP：61.139.1.1/24

  网管u家u.bitscn@com

• DG：61.139.1.1

  网管下载dl.bitscn.com

• DNS：None 网管u家u.bitscn@com

内部网络接口：

中国网管论坛bbs.bitsCN.com

• IP：10.1.1.1/24 网管联盟bitsCN@com

• DG：None 网管下载dl.bitscn.com

• DNS：10.1.1.8

  中国网管联盟bitsCN.com

网管网www_bitscn_com

Hawaii（ISA Server + CSS）：

外部网络接口：

• IP：61.139.1.2/24

  网管bitscn_com

• DG：61.139.1.2 中国网管联盟bitsCN.com

• DNS：None

  中国网管论坛bbs.bitsCN.com

内部网络接口： 网管联盟bitsCN_com

• IP：10.2.1.1/24 网管下载dl.bitscn.com

• DG：None

  网管联盟bitsCN_com

• DNS：10.1.1.8 中国网管联盟bitsCN.com

　 网管u家u.bitscn@com

可能大家很奇怪，为什么 Hawaii 上的 DNS 服务器设置为企业总部网络中的 DC Seattle ？这是为以后做准备，在加入域及连接到配置存储服务器时，需要保证能够正确的解析域名，因此需要为 Hawaii 正确的配置 DNS 服务器。

网管联盟bitsCN@com

这篇文章的试验步骤如下： 网管联盟bitsCN@com

• 在企业总部的 ISA Server 上创建到分支办公室的远程站点；

  网管u家u.bitsCN.com

• 在企业总部上使用应答文件创建向导根据到分支机构的远程站点创建应答文件； 中国网管论坛bbs.bitsCN.com

• 在分支办公室的 ISA Server 上使用分支办公室 VPN 连接向导通过应答文件完成迁移操作； 网管bitscn_com