引言：

ISA Server 2006是微軟公司在企業(yè)網(wǎng)絡邊界安全上的代表產(chǎn)品，ISA Server系列產(chǎn)品實現(xiàn)了集高級應用層防火墻、虛擬專用網(wǎng)絡（VPN，Virtual Private Network）和網(wǎng)絡緩存于一體的解決方案，能夠提高網(wǎng)絡安全和網(wǎng)絡性能從而最大化企業(yè)的IT投資收益。ISA Server 2006通過增強的對HTTP協(xié)議和FTP協(xié)議以及遠程過程調(diào)用（RPC，Remote Process Call）連接的過濾與控制實現(xiàn)對應用層的過濾；它提供了擴展的協(xié)議支持、增強的用戶認證、增強的對用戶和用戶組的支持、增強的FTP支持、增強的網(wǎng)絡發(fā)布等功能，從而提高了企業(yè)的安全性。

應用層過濾、高級防火墻以及企業(yè)級的VPN是ISA Server系列產(chǎn)品最為關鍵的應用。本文將從實際應用出發(fā)，針對ISA Server 2006在應用層過濾上的具體應用，闡述ISA Server 2006口令變更功能配置優(yōu)化、ISA Server 2006內(nèi)部客戶端Web訪問應用優(yōu)化以及Outlook Web Access應用優(yōu)化三個關鍵應用優(yōu)化。本文假設讀者已經(jīng)完成了ISA Server 2006的部署工作，并熟悉ISA Server 2006的主要應用和操作，本文不涉及ISA Server的安裝和管理，僅提供ISA Server 2006在應用層過濾上最優(yōu)的應用方法。

一、ISA Server 2006口令變更功能配置

ISA Server 2006提供了允許用戶通過基于表單的認證授權(quán)連接到Outlook Web訪問來修改他們的口令，ISA Server管理員可以提醒用戶其口令將會在一個指定的日期內(nèi)過期、并允許用戶創(chuàng)建新的口令，用戶同樣可以修改已經(jīng)過期的口令。

1、口令變更功能基本配置

口令修改的功能在客戶端輸入基于表單的認證授權(quán)的授信時被啟用，ISA Server將通過使用Windows授權(quán)認證（基于Active Directory）或者LDAP（Lightweight Directory Access Protocol，基于Active Directory）授權(quán)認證，在進行配置之前，注意以下的點：

1）、必須使用一個LDAPS鏈接到LDAP服務器或者域控制器。為使用一個安全的LDAP鏈接，一個服務器證書必須安裝在LDAP服務器上或者域控制器上，證書名稱必須與用戶將要應用于授權(quán)認證服務器上的FQDN（Fully Qualified Domain Name）相匹配；

2）、ISA Server計算機必須有一個CA的根證書，該根證書被置于服務器證書的本地計算機信任證書授權(quán)存儲目錄中；

3）、在使用LDAP授權(quán)認證的時候，用戶必須創(chuàng)建一個LDAP服務器裝置，該服務器將會被用以授權(quán)用戶，為使授權(quán)認證的功能很好地發(fā)揮功能，為該LDAP服務器進行以下配置：

a、啟用采用安全連接的連接到LDAP服務器的連接；

b、為LDAP服務器指定一個FQDN名稱。確保FQDN與安裝在LDAP服務器上的或者域控制器上的證書的名稱一致，指定至少一個日志表達式用以分派LDAP服務器到一個特定的用戶組；

c、禁止使用全局日志（GC，Global Catalog）；

d、指定一個用以識別用戶帳號和帳號細節(jié)的域，域中的帳號將會被用以綁定到LDAP服務器以及查詢登錄用戶的授信；

e、必須要有一個帳號才能夠綁定到授權(quán)認證服務器，以及確認用戶名和口令狀態(tài)。在域授權(quán)認證情況下，該帳號必須為一個具有修改Active Directory權(quán)限的域帳號。

在創(chuàng)建的用以發(fā)布Outlook Web訪問的Web監(jiān)聽器的屬性欄，配置用戶修改口令的選項，同時配置一個口令過期時間。在正確配置Web發(fā)布規(guī)則以后，用戶在使用基于表單的授權(quán)認證進行登錄的時候，如果口令過期時間臨近，則會收到相應的警告。

以上屬于ISA Server 2006在口令管理上的基礎應用，為避免可能出現(xiàn)的問題，以下是一些優(yōu)化的配置方法。

2、優(yōu)化口令變更配置

1）口令變更前確保必要的證書已安裝

在進行口令變更的操作時，如果必要的證書未被安裝，則會出現(xiàn)口令變更功能性失敗的問題。不管是否使用LDAP授權(quán)認證或者Windows Active Directory授權(quán)認證，必須要有一個基于TPC端口636的到授權(quán)認證服務器的LDAPS連接。

在進行口令變更配置之前，對于Windows授權(quán)認證，首先獲取一個域控制器上的證書；對于LDAP授權(quán)認證，首先獲取一個LDAP服務器上的證書。確保證書的通用名稱與授權(quán)認證服務器上的名稱一致。

2）禁用證書的客戶端授權(quán)認證

如果用以Web發(fā)布的服務器證書采用默認的目的配置“服務器授權(quán)認證”和“客戶端授權(quán)認證”，那么在客戶端進行登錄的時候則會出現(xiàn)緩慢的情況。其原因是在Windows Server 2003檢測到“客戶端授權(quán)認證”的默認目的設置時，操作系統(tǒng)將嘗試通過共有的授權(quán)認證的方式來連接域控制器執(zhí)行TLS的功能。

共有的授權(quán)認證處理需要ISA Server能夠訪問啟用“客戶端授權(quán)認證”的服務器證書中的私鑰，但是ISA Server并不（而且應該不）具備這樣的訪問權(quán)限。為優(yōu)化服務器證書應用，提高客戶端登錄速度，ISA Server管理員應當禁用服務器證書中的默認“客戶端授權(quán)認證”。以下是具體的操作過程：

a、打開Certificates Microsoft Management Console（mmc）面板，首先添加證書管理器（CM，Certificate Manager）到mmc中：
① 點“開始”，然后點“運行”；
② 輸入“mmc”，然后點“Enter”；
③ 選中“文件”菜單，然后選擇“添加/刪除插件”；
④ 在“添加/刪除插件”面板中，點“添加”按鈕；
⑤ 雙擊“證書”插件，選中“計算機帳號”，然后點“結(jié)束”
⑥ 選中“本地計算機”，然后點“結(jié)束”；
⑦ 關閉對話框。

b、在證書mmc中，點擊以展開“證書”節(jié)點，然后展開“專有”節(jié)點；

c、右鍵點擊相關的證書，選擇“屬性”；

d、在“細節(jié)”一欄中，點“編輯屬性”；

e、選中“僅啟用以下目的地”，然后清理掉“客戶端授權(quán)認證”目的地。

注意：在成功完成新口令的配置以后，Active Directory允許新口令和舊口令同時使用一個小時的時間，在這段時間內(nèi)，使用這兩個口令中的任意一個都可以成功登錄。