机房管理对策探微

摘要：本文介绍了几种最常见的机房管理手段并结合Windows2003 server平台上利用ISA Server2004提出了一套比较行之有效的网络管理方法。

关键词：网络管理；对策；ISA；服务器

中图分类号：TP308文献标识码：A文章编号：1007-9599 （2010） 13-0000-01

The Exploration Strategy for Lab Management

Cheng Meng

(Sheyang Human Resources and Social Security Bureau,Yancheng224300,China)

Abstract:This article introduces some of the most common room with Windows2003 server management tools and the use of ISA Server 2004 platform proposed a set of relatively effective network management.

Keywords:Network management;Strategy;ISA;Proxy server

我们不能因为互联网存有一些不良影响就禁止上网，而应该疏堵结合保障有益信息的通畅，同时坚决阻止不良内容污染工作环境。如何对办公环境中电脑上网实行必要的监控，让他们既能上网查找到需要的东西又能杜绝做与工作无关的事？

一、安装ISA

在服务器上装好Windows2003 Server（至少装上sp2）后，再安装ISA（可以从微软网站下载测试版）。在ISA Server安装过程中，除同意它的授权信息及输入CD-Key外，依次选择“full installation”、“YES”作为一个独立服务器、“Integrated mode”集成模式（有三种服务）、“OK”关闭IIS的80端口、选择NTFS格式的C盘，cache size 设在D盘为100MS“OK”、“Construct Table”、把Add the following private ranges：10.x.x.x前边的小勾去掉，选择自己的内部网卡“OK”、去掉“Start ISA Server Getting Started Wizard”前边的小勾“OK”ISA Server安装成功。

二、配制ISA使员工能上网

打开“程序”中的“Microsoft ISA Server”下的“ISA Management”，从服务器名称标签下“Monitoring”中的service里可看到“有三种服务”已经启动。下面展开“Access Policy”选中“Protocol Rules”右击鼠标选“新建”“Rule...”根据需要或自己的爱好在“protocol rule name”后可填入协议规则名称，如输入Allow To Internet。接下来选择这个协议规则的处理方法“Allow”，选择“All IP traffic”，使这条规则对所有IP都生效（以后还可以修改，后面还要讲到），选择此规则生效的时间段可暂时选“Always”，后面可根据员工的时间表来修改，使上班时间段不能上网。还可以对允许通过的客户端进行授权，设置允许哪些客户端通过，这里可先设成“any request”，点击“完成”。员工电脑设置成用上网，即在IE的“属性”、“连接”、“局域网设置”、“服务器”里将ISA的内部IP地址填上（作者用的是192.168.100.200），端口写8080，保存。以上设置完后即可上网了。

三、配制ISA使员工能登陆QQ

要让QQ的数据能够顺利地进出，具体方法是这样的在“Policy Elements”下右击“Protocol Definitions”、选“新建”、“Definitions”，定义协议名称为QQ，QQ对于ISA需要发送（Direction：Send）数据到服务器的8000端口（Port number），使用UDP协议（Protocol type）。QQ默认客户端是使用4000端口，因此选Port range From：4000 TO：4000，而相对于QQ客户端就是接受消息（Direc2tion：receive），仍用UDP协议（Protocol type）。所以在“Do you want to use secondary connections”下选择“YES”后按“NEW”来设置上面四个选项，单击“完成”。但是此时ping不通外网，还要在Windows2003 Server上安装NAT，其方法是：“开始”、“程序”、“管理工具”、“路由和远程访问”，若原先没有配过，此时状态不可用，用右键点机器名，找“配置并启用路由远程访问”、“下一步”、“Internet连接服务器”、“下一步”、选“设置网络地址转换（NAT）路由协议的路由器”、“下一步”、选外网卡即可完成对Secure Nat Serv2er的配置。完成以上操作后，就能登陆QQ了。

四、通过IP限制上网机器及上网时间段

通过ISA将各机房按IP分成组，可以实现对机器上网的控制。以下为具体操作步骤。

（一）配置每机房的IP地址

在“Policy Elements”下，选中“Client Address Sets”点击鼠标右键，将“新建”、“set...”名字填入“一机房”，一机房的IP地址范围为192.168.100.1-192.168.100.150“OK”。二、三机房设置方法相同，地址为192.168.200.1-192.168.200.160和192.168.30.1-192.168.30.130。

（二）配置各机房的时间表

右键单击“Policy Element”下的“schedules”，选“新建”、“schedule”，在“name”后输“一机房”。如星期一、二、四、五8点到12点不能上网，星期一-三的下午1点到5点，星期四下午1点到3点不让上网，其余时间均可，则选择不同的时间表“OK”完成。同理设置二、三机房的时间表（即不允许上网时间）。

（三）使每间机房的时间表发挥作用

右键单击“Access policy”下的“set and content rules”，选取“新建”、“Rule⋯”在“site and content rule name”后输“一机房”、“下一步”，选取“allow”、“allow access only at certain times”，在“use this schedule”下选“一机房”、“完成”。

同理设置二、三机房。在“set and content rules”下双击“一机房”选“Applies To”标签的“Client address sets specified below”，点击“Add”将“一机房”添加进去，“OK”。同理设置二、三机房。

由于在安装时是“Allow To Internet”（前面已建好的），所以这里（在“set and content rules”下）还要再双击它将其General选项卡中“Enable”前的勾去掉，使其不起作用。

参考文献：

[1]黄亚平.网络病毒的预防[J].微机发展,2002,12,1

[2]李斌.ISA 2004经典部署与应用