command line模式下为DHCP添加IP保留
保留一个 IP 地址供当前作用域中指定的媒体访问控制 (MAC) 地址使用。
语法
参数
ReservedIP
必需。指定要保留的 IP 地址。
MACAddress
必需。指定要与保留的 IP 地址关联的物理硬件或 MAC 地址。
ClientName
指定要与保留的客户端项关联的客户端名称。如果未指定,将不会有客户端名称与该保留的客户端项关联。
ClientComment
指定要与保留的客户端项关联的客户端注释。如果未指定,将不会有客户端注释与该保留的客户端项关联。
{DHCP &line; BOOTP &line; BOTH}
指定要与保留的客户端项关联的客户端类型。默认值为 DHCP。
注释
• 如果要使用可选的命令行选项,将要求使用该可选命令行选项之上的所有命令行选项(强制的和可选的),并且它们必须按正确的序列显示。
示例
下例中,该命令保留了 IP 地址 192.168.0.1,以供将其 MAC 地址标识为 00-40-1a-3b-5f-7c 的 DHCP 客户端在当前作用域中获取租约时使用。
add reservedip 192.168.0.1 00401a3b5f7c
如何在ISA2004中实现EXCHANGE的OWA密码修改功能
最近要啃啃 Exchange 这个产品,首先让我注意到的就是关于OWA通过ISA发布时密码修改的问题!本来打算自己做一下实验,后来因为环境比较差,所以把人家的经验总结摘抄到自己的Blog下,方便以后调试时参考!
一、 设置EXCHANGE前后端服务器允许OWA修改密码
1:修改后端服务器注册表
EXCHANGE 2003 OWA修改密码功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWEB\owa下面的
value name: DisablePassword
Type: REG_DWORD
Data :1
把1改为0
2:在后端服务器上建立虚拟目录
程序→管理工具→INTERNET服务器管理器→INTERNET信息服务界面
在默认WEB站点内,建立虚拟目录“IISADMPWD”字不错,切记。选择路径?
c:\windows\system32\inetsrv\iisadmpwd 。如果你安装IIS没改目录的话,就是这个目
录了。如果改了目录,你需要找到IISADMPWD目录。如果没有此目录,则你证书安装有
问题。安装权限选择“读取、运行脚本”。在IISADMPWD目录上选属性--目录安全性—
匿名访问和验证控制—编辑—勾选匿名访问,确定退出。
3:转到CMD界面
cd c:\inetpub\AdminScripts
运行以下的命令:
”adsutil.vbs set w3svc/passwordchangeflags 0”
注:出现提示一直点确定
4:为前端服务器申请证书
1) 建立CA服务器
2) 为WEB站点申请证书
选择服务器证书,在公共名称这里一定要注意要填写你在公网上的域名为前端WEB站点启用SSL
5:为前端服务器建立虚拟目录
程序→管理工具→INTERNET服务器管理器→INTERNET信息服务界面
在默认WEB站点内,建立虚拟目录“IISADMPWD”,应一字不错,切记。选择路径:
c:\windows\system32\inetsrv\iisadmpwd 。如果你安装IIS没改目录的话,就是这个目
录了。如果改了目录,你需要找到IISADMPWD目录。如果没有此目录,则你证书安装有
问题。安装权限选择“读取、运行脚本”。在IISADMPWD目录上选属性--目录安全性—
匿名访问和验证控制—编辑—勾选匿名访问,确定退出。
转到DOS字符界面
cd c:\inetpub\AdminScripts
运行以下的命令:
”adsutil.vbs set w3svc/passwordchangeflags 0”
二、 把EXCHANGE的证书需要导出并导入给ISASERVER
在前端服务器上,选择IIS管理器----默认网站----属性---目录安全性
选择复制到文件把证书导出,并把导出的文件COPY给ISASERVER计算机.
注:(在导出的时候一定要选择导出私钥)
在ISASERVER计算机上把证书导入.
在ISA服务器上运行输入MMC----证书----计算机证书
在证书控制台选择个人---所有任务导入证书
三、 在ISA2004发布EXCHANGE的OWA
1:打开ISA管理器选择防火墙策略邮件发布策略
2:选择访问类型的时候选择发布OWA,在桥接模式选项选择加密到客户端和邮件服务器
3:在WEB服务器选项选择EXCHANGE的前端服务器
4:公共域名处填写WWW.ISACN.ORG(注意:这里所填写的一定要和证书的域名一致)
5:选择WEB监听器选择启用SSL,在选择处加载在上面我们导入的证书
6:在建立的发布策略添加路径/IISADMPWD/*
要允许用户更改密码,务必向 Outlook Web Access 邮件服务器发布规则添加 /IISADMPWD/* 文件夹。否则,用户每次单击 Outlook Web Access 中的“更改密码”按钮时都会收到错误
部署防火墙策略的十六条守则
ISA使用者总结出来的守则:
1、计算机没有大脑。所以,当ISA的行为和你的要求不一致时,请检查你的配置而不要埋怨ISA。
2、只允许你想要允许的客户、源地址、目的地和协议。仔细的检查你的每一条规则,看规则的元素是否和你所需要的一致。
3、针对相同用户或含有相同用户子集的访问规则,拒绝的规则一定要放在允许的规则前面。
4、当需要使用拒绝时,显式拒绝是首要考虑的方式。
5、在不影响防火墙策略执行效果的情况下,请将匹配度更高的规则放在前面。
6、在不影响防火墙策略执行效果的情况下,请将针对所有用户的规则放在前面。
7、尽量简化你的规则,执行一条规则的效率永远比执行两条规则的效率高。
8、永远不要在商业网络中使用 Allow 4 ALL规则(Allow all users use all protocols from all networks to all networks),这样只是让你的ISA形同虚设。
9、如果可以通过配置系统策略来实现,就没有必要再建立自定义规则。
10、ISA的每条访问规则都是独立的,执行每条访问规则时不会受到其他访问规则的影响。
11、永远也不要允许任何网络访问ISA本机的所有协议。内部网络也是不可信的。
12、SNat客户不能提交身份验证信息。所以,当你使用了身份验证时,请配置客户为Web代理客户或防火墙客户。
13、无论作为访问规则中的目的还是源,最好使用IP地址。
14、如果你一定要在访问规则中使用域名集或URL集,最好将客户配置为Web代理客户。
15、请不要忘了,防火墙策略的最后还有一条DENY 4 ALL。
16、最后,请记住,防火墙策略的测试是必需的。