引言：

ISA Server 2006是微軟公司在企業網絡邊界安全上的代表產品，ISA Server系列產品實現了集高級應用層防火墻、虛擬專用網絡（VPN，Virtual Private Network）和網絡緩存于一體的解決方案，能夠提高網絡安全和網絡性能從而最大化企業的IT投資收益。ISA Server 2006通過增強的對HTTP協議和FTP協議以及遠程過程調用（RPC，Remote Process Call）連接的過濾與控制實現對應用層的過濾；它提供了擴展的協議支持、增強的用戶認證、增強的對用戶和用戶組的支持、增強的FTP支持、增強的網絡發布等功能，從而提高了企業的安全性。

應用層過濾、高級防火墻以及企業級的VPN是ISA Server系列產品最為關鍵的應用。本文將從實際應用出發，針對ISA Server 2006在應用層過濾上的具體應用，闡述ISA Server 2006口令變更功能配置優化、ISA Server 2006內部客戶端Web訪問應用優化以及Outlook Web Access應用優化三個關鍵應用優化。本文假設讀者已經完成了ISA Server 2006的部署工作，并熟悉ISA Server 2006的主要應用和操作，本文不涉及ISA Server的安裝和管理，僅提供ISA Server 2006在應用層過濾上最優的應用方法。

一、ISA Server 2006口令變更功能配置

ISA Server 2006提供了允許用戶通過基于表單的認證授權連接到Outlook Web訪問來修改他們的口令，ISA Server管理員可以提醒用戶其口令將會在一個指定的日期內過期、并允許用戶創建新的口令，用戶同樣可以修改已經過期的口令。

1、口令變更功能基本配置

口令修改的功能在客戶端輸入基于表單的認證授權的授信時被啟用，ISA Server將通過使用Windows授權認證（基于Active Directory）或者LDAP（Lightweight Directory Access Protocol，基于Active Directory）授權認證，在進行配置之前，注意以下的點：

1）、必須使用一個LDAPS鏈接到LDAP服務器或者域控制器。為使用一個安全的LDAP鏈接，一個服務器證書必須安裝在LDAP服務器上或者域控制器上，證書名稱必須與用戶將要應用于授權認證服務器上的FQDN（Fully Qualified Domain Name）相匹配；

2）、ISA Server計算機必須有一個CA的根證書，該根證書被置于服務器證書的本地計算機信任證書授權存儲目錄中；

3）、在使用LDAP授權認證的時候，用戶必須創建一個LDAP服務器裝置，該服務器將會被用以授權用戶，為使授權認證的功能很好地發揮功能，為該LDAP服務器進行以下配置：

a、啟用采用安全連接的連接到LDAP服務器的連接；

b、為LDAP服務器指定一個FQDN名稱。確保FQDN與安裝在LDAP服務器上的或者域控制器上的證書的名稱一致，指定至少一個日志表達式用以分派LDAP服務器到一個特定的用戶組；

c、禁止使用全局日志（GC，Global Catalog）；

d、指定一個用以識別用戶帳號和帳號細節的域，域中的帳號將會被用以綁定到LDAP服務器以及查詢登錄用戶的授信；

e、必須要有一個帳號才能夠綁定到授權認證服務器，以及確認用戶名和口令狀態。在域授權認證情況下，該帳號必須為一個具有修改Active Directory權限的域帳號。

在創建的用以發布Outlook Web訪問的Web監聽器的屬性欄，配置用戶修改口令的選項，同時配置一個口令過期時間。在正確配置Web發布規則以后，用戶在使用基于表單的授權認證進行登錄的時候，如果口令過期時間臨近，則會收到相應的警告。

以上屬于ISA Server 2006在口令管理上的基礎應用，為避免可能出現的問題，以下是一些優化的配置方法。

2、優化口令變更配置

1）口令變更前確保必要的證書已安裝

在進行口令變更的操作時，如果必要的證書未被安裝，則會出現口令變更功能性失敗的問題。不管是否使用LDAP授權認證或者Windows Active Directory授權認證，必須要有一個基于TPC端口636的到授權認證服務器的LDAPS連接。

在進行口令變更配置之前，對于Windows授權認證，首先獲取一個域控制器上的證書；對于LDAP授權認證，首先獲取一個LDAP服務器上的證書。確保證書的通用名稱與授權認證服務器上的名稱一致。

2）禁用證書的客戶端授權認證

如果用以Web發布的服務器證書采用默認的目的配置“服務器授權認證”和“客戶端授權認證”，那么在客戶端進行登錄的時候則會出現緩慢的情況。其原因是在Windows Server 2003檢測到“客戶端授權認證”的默認目的設置時，操作系統將嘗試通過共有的授權認證的方式來連接域控制器執行TLS的功能。

共有的授權認證處理需要ISA Server能夠訪問啟用“客戶端授權認證”的服務器證書中的私鑰，但是ISA Server并不（而且應該不）具備這樣的訪問權限。為優化服務器證書應用，提高客戶端登錄速度，ISA Server管理員應當禁用服務器證書中的默認“客戶端授權認證”。以下是具體的操作過程：

a、打開Certificates Microsoft Management Console（mmc）面板，首先添加證書管理器（CM，Certificate Manager）到mmc中：
① 點“開始”，然后點“運行”；
② 輸入“mmc”，然后點“Enter”；
③ 選中“文件”菜單，然后選擇“添加/刪除插件”；
④ 在“添加/刪除插件”面板中，點“添加”按鈕；
⑤ 雙擊“證書”插件，選中“計算機帳號”，然后點“結束”
⑥ 選中“本地計算機”，然后點“結束”；
⑦ 關閉對話框。

b、在證書mmc中，點擊以展開“證書”節點，然后展開“專有”節點；

c、右鍵點擊相關的證書，選擇“屬性”；

d、在“細節”一欄中，點“編輯屬性”；

e、選中“僅啟用以下目的地”，然后清理掉“客戶端授權認證”目的地。

注意：在成功完成新口令的配置以后，Active Directory允許新口令和舊口令同時使用一個小時的時間，在這段時間內，使用這兩個口令中的任意一個都可以成功登錄。