ISA Server 2004/2006 VPN Quarantine Service (实际操作篇)
ISA Server 2004/2006 VPN Quarantine Service (实际操作篇)
花了将近2天的时间,仔细的研究了ISA Server 2004/2006中的Quarantine功能,比照网上的一些有关内容,反复的做测试,不过总是磕磕绊绊的(说实话,都快吐了),但总算是搞通了,原来是网上的script出了问题,网上给出的script中rqc.exe命令的执行格式与现在实际用的命令是略有不同的,(咋也没个人说一声的),于是在此作个记录,日后自己也好有个参照,(免得自己再吐口水哦);
要启动ISA中的VPN Quarantine功能,需要以下几部分的工作(这里全部是W2K3 R2 with SP1作为系统平台,ISA Server 2006 Standard);
第一部分(ISA Server所在的服务器)
1. 在ISA Server所在的防火墙上安装Remote Access Quarantine Service (具体位置可以在"Add/Remove Windows Components"-->"Networking Services"--->Details--->"Remote Access Quarantine Service") (注:网上也有说明可以在Windows Server 2003 SP1 Resource Kit Tools找到,但我觉得不如上面的方法"better and straightfoward".) 注意,这个Service不是自动启用的,需要打开Services.msc来手动Start,如果需要还要将它设置成自动;
第二部分(ISA Server本身的设置)
1. 默认Remote Access Quarantine Service需要和客户端通讯所需要的端口(Port)---7250,所以需要在ISA Server 2004/2006启动相应的Firewall Policy来Allow这样的通讯,当然可以通过添加修改注册表中有关RQS端口的键值来修改这个默认的端口;
这步相对简单,但要注意,在自定义New Protocol(For RQS),选项为:Protocol type--->TCP, Direction--->OutBound, Port Range From:7250 To:7250;建立Firewall Rule时, Traffic--->自定义New Protocol(For RQS), Source--->Quarantined VPN Clients&VPN Clients, Destination--->Local Host, Accepted user set--->All Users;
2. 另外,需要启用ISA Server中的 VPN Quarantine:
ISA Server Management Console中打开Quarantine VPN Clients Network的Properties--->Quarantine Tab--->Check "Enable Quarantine Control", 我在这里为了简单,选择了"Quarantine according to ISA Server policies",同时,可以设置验证不通过而断开的时间和特殊的用户/组;
第三部分(在ISA Server所在的服务器上制作客户端程序包)
实际上,不一定非要在ISA Server所在的服务器上安装CMAK(Connection manager Administration Kit),我这里只是为了方便;
1. 安装CMAK:
"Add/Remove Windows Componts"-->"Management and Monitoring Tools"--->"Connection Manager Administration Kit"
2. 制作CMAK VPN Profile:
制作过程中一般都保留默认值,但有几个页面需要注意:
a>. "VPN Support" Page --->Check "Phone book from this profile" & Enter the IP address or VPN Server name in "Always use the same VPN Server" Field;
b>. "Phone Book" Page --->Uncheck "Automatically download phone book updates";
c>. "Custom Actions" Page (Important!) --->Choose "Post-Connect" & Click "New"--->"Edit Custom Action" Page --->"Program to run:"-- RQScript.vbs(我这里使用的例程); "Parameters:"---%DialRasEntry% %TunnelRasEntry% %Domain% %UserName%(这里参数的设置要和例程中的对应), Make sure "Action type"---Post-connect, "Run this custome action for"--All connections, check both options below "include the custome action program with this service profile"&"Program interacts with the user";(具体的例程见下面,找的我好辛苦的,而且还是错的,还好有编程的底子,仔细分析了之后,找到了问题,呵呵)
d>. "Additional Files" Page --->将"\program files\CMAK\support\"下的rqc.exe加进来,如果你使用的例程中还要调用其他程序,这里一并加进来,我这里使用的例程是不需要的。
到此,这个客户端使用的CMAK profile就完成了,可以在"\Program Files\Cmak\Profiles\"下找到这个制作好的folder,于是可以通过任何方式,Distribute this folder to clients and Excute on client computer.
特别注意:
如果要使用这里的这段例程,实际上在第一部分中漏掉了一个很重要的一步,修改注册表,使Quarantine Service能够真正的和客户端通讯(在后面我也收集了网上其他达人有关Quarantine的原理):
在安装有QRS服务的Server上,查看\HKLM\System\CurrentControlSet\Services\rqs\下键值"AllowedSet"(Type:REG_MULTI_SZ) 值为"RQVersion3"(如果没有就需要手动建立)和"Autherticator"(Type:REG_SZ)值为"C:\Program Files\Microsoft ISA Server\vpnplgin.dll"(不带引号,注:我觉得好像没用,我没有试,但网上说最好设好,否则也不能成功通讯,不过如果舍的话一定要设对,设错路径,这个服务就可能无法启动而报错);
关掉注册表编辑,restart一下RQS服务;
如此这般,如果一切设置正确,就应该可以成功试验这个功能了。
