（译自Microsoft Knowledge Base Article KB238131,KB813368，加以编辑修改)

Socket pooling是微软IIS服务的一个侦听IP的问题，当你在IIS管理器里面选择Web服务器侦听的IP时，就算你选择了单个IP，但是IIS的这个Web站点还是会侦听在所有的IP上。例如，我的网关计算机上面有IIS服务，然后有2个IP（192.168.0.1，61.139.x.x），那么IIS的默认站点是会绑定在这两个IP上，就算你在只是选择侦听他们中的一个，如192.168.0.1，但是IIS还是占用了另外一个61.139.x.x的对应端口。这对于接在多个网络的计算机是一种潜在的安全风险，而且也导致一些位于网关计算机上的web站点不能正常的发布，如位于ISA 2004或者ISA 2000上的web站点，因为ISA需要占用外部IP的80端口来侦听进入的http请求，但是web站点已经占用了此端口，所以，必须禁用IIS的Socket pooling，以便让IIS只是在某个IP上进行侦听。
对于IIS 5.0和IIS 6.0，解决的办法是不一样的，以下我先介绍在IIS 5.0中的处理办法，执行以下步骤：

1.打开命令提示符，进入 X:\Inetpub\Adminscripts 目录(X 是IIS安装驱动器)。

2.运行此命令：

cscript adsutil.vbs set w3svc/disablesocketpooling true

命令返回结果如下：

disablesocketpooling : (BOOLEAN) True

3.停止并运行IIS Admin服务。

4.重启 WWW服务。

在IIS 6.0中，想解决这个问题，需要使用httpcfg.exe，它是Windows server 2003的support tools，存放在安装CD的Support\Tools\Support.cab文件中。

执行以下步骤以解决此问题：

安装Windows server 2003安装CD的\Support\Tools\Support.msi，然后打开命令提示符，运行httpcfg set iplisten -i xxx.xxx.x.x（xxx.xxx.x.x为你想要IIS侦听的IP地址），重启服务器，如果成功修改，Httpcfg 返回下列提示：

HttpSetServiceConfiguration completed with 0

你可以运行httpcfg query iplisten命令来察看当前IIS侦听的IP地址。

(译自 Greg Mulholland，Remote Administration of ISA Server 2004）

如果你像我一样轻视在8个或者更多的终端服务会话中切换，甚至使用双头显示器，那么你或许明白我对在XP或者其他桌面机器上进行远程管理的喜欢。如果你从来没有在ISA Server 2004中尝试过，下面就给你介绍一下。

在Custom Setup 中我们只需要选择ISA Server Management，然后点击Next。

安装完必须的文件后，你就会得到一种实现远程管理的荣誉感（是的，这也是一种荣誉感）。

现在只需要你打开 ISA Management Console 界面，在Action 菜单中选择Connect to，输入你ISA Server 2004的计算机名，然后点击OK ，你就可以进行远程管理了，轻而一举。

（只有PASV模式发布）

首先非常感谢Tom的指导，他在ISA Server 2004上给予了我许多帮助。:)

Tom写过一篇文章“在ISA Server 2004上使用其他端口发布ftp站点”，在那篇文章里面，他提到了如何使用其他端口来发布使用标准的TCP 21端口进行；连接的ftp站点，但是在实际环境中，经常使用非标准的端口进行连接的ftp服务器，那么在ISA Server 2004里面怎么发布它呢？我经过多次尝试，总算找到了成功发布这种ftp服务器的方法，可惜发布出去的ftp站点只能使用pasv模式进行连接。

下图是我试验使用的基本网络结构：

ISA Server 2004的内网接口IP是192.168.0.1/24，ftp服务器侦听192.168.0.1的TCP 6060端口，下图是ftp服务器中的设置：

并且PASV端口使用45000到45020。

建立FTP服务器使用的协议

1. 打开 Microsoft Internet Security and Acceleration Server 2004 管理台，展开你的服务器，点击Firewall Policy。

2. 在 Toolbox 页，指向 New 并点击 Protocol。

3. 在 Welcome to the New Protocol Definition Wizard 页，在 Protocol define name 文本框中输入协议的名称，在这个例子中我将其命名为 FTP Server Use Port 6060，点击 Next。

4. 在 Primary Connection Information 页，点击 New，在 New/Edit Protocol Connection 页，输入服务器开放的端口信息 : TCP , Inbound , Port Range from 6060 to 6060 。

现在我们需要在primary connection information页定义PASV端口。请注意，这是ISA Server 2004和ISA Server 2000的区别。在ISA Server 2000中，PASV端口应该定义在Secondary Connections，而在ISA Server 2004 中，PASV端口必须定义在primary connections中，否则，将不能正常运行。

　　有许多原因让人考虑到使用其他端口来发布ftp站点，特别是有些管理员从安全角度考虑，想使用非标准的21端口来访问发布ftp服务器。但是ISA2000不支持使用其他端口来发布ftp站点，因为ftp是一个需要在isa2000防火墙上使用应用过滤器的复杂协议。如果是在isa2000上使用其他端口发布ftp站点，你必须在ftp服务器上使用防火墙客户端，并且编辑wspcfg.ini以设置ftp服务器的程序目录，但是这个令人讨厌的，并且也不可靠。　　在Isa2004中，只要协议被应用程序过滤器安装了，例如ftp协议，它允许你在服务器发布中自定义任何协议使用的端口。这种服务器发布的扩展性允许你使用其他端口发布ftp服务器而不需要设置配置文件或者在ftp服务器上安装防火墙客户端。

过程是很简单的，在这篇文章中，只需要以下步骤就可以完成使用其他端口来发布ftp站点：

1、安装并且配置ftp站点；

2、建立ftp服务器发布策略；

3、建立ftp连接；

下图为本次实验所使用的基本网络：

安装和配置ftp站点

首先是安装ftp服务器和在ftp服务器上配置ftp站点。在本次实验中，我们将在一台windows2003服务器上安装ftp站点（使用IIS自带的ftp服务器），包含以下步骤：

1、安装ftp服务，通过“开始”菜单的“控制面板”中的“添加/删除windows程序”，来添加“windows组件”，安装IIS下的ftp服务；

2、配置默认站点：

（1)打开“开始”菜单中的“管理工具”里的“Internet信息服务”管理工具；

（2)展开ftp站点，在“默认站点”上点右键，选择“属性”

（3)在ftp站点的属性对话框中，点击ftp站点页，然后在IP地址栏，选择ftp站点的实际IP；

（4)在信息页，输入服务器的标志信息（注：为了便于确认服务器）；

（5)在主目录页，输入默认本地ftp目录，在此例中我们使用默认的c:\interpub\ftproot目录，并勾选Write ，以便可以上传文件，

（6)点击应用，并点击OK关闭ftp站点属性对话框，使用按钮条上的按钮来重启ftp服务。

建立服务器发布策略

在ftp服务器设置好后（注：可在本地网络中加以验证），我们来在isa2004中建立ftp服务器发布策略。这条策略将会演示在使用isa2004的服务器发布时协议行为的可扩展性。

执行以下步骤以建立一条使用TCP 99端口来发布ftp服务器的策略：

1、打开Microsoft Internet Security and Acceleration Server 2004管理界面，展开你的服务器，点击Firewall Policy。

2、右击Firewall Policy，指向New 并且点击Server Publishing Rule。

3、在Welcome to the New Server Publishing Rule Wizard页，在Server publishing rule name 输入策略的名称，在这儿我们起名为FTP Server TCP Port 99 ，点击Next。

4、在Select Server页，在Server IP address 输入内部ftp服务器的IP地址，点击 Next。

5、在Select Protocol 页，从Selected protocol 列表中选择FTP Server，然后点击Ports 按钮。

6、在Ports 对话框，在Firewall Ports 框里面选择 Publish on this port instead of the default port 选项，然后输入端口号99，点击OK。

7、在Select Protocol页点击Next。

8、在IP Addresses页，选择External ，然后点击Address 按钮。

9、在External Network Listener IP Selection 对话框，选择Selected IP addresses in this network Selected IP addresses in this network 选项，在 Available IP Addresses 中选择你想在ISA Server 2004外部接口上侦听进入的ftp连接的IP地址，然后点击Add，这个IP将会在Selected IP Addresses 列表中显示出来，点击OK。

10、在IP Addresses 页点击Next 。

11、在Completing the New Server Publishing Rule Wizard 页点击Finish 。

12、点击Apply 以保存修改并且更新防火墙策略。

13、你现在将可以在细节面板中看见FTP服务器发布策略。

建立ftp连接

现在我们来测试刚才发布的ftp站点，我已经建立好了一个名叫ftplog 的文件，用于上传到ftp站点上。执行以下步骤建立连接：

1、打开一个命令提示符窗口，输入ftp 并回车（注：因为不是使用ftp标准的21端口，只能先进入ftp命令，再使用open子命令来建立连接），然后输入open 192.168.1.70 99 （ISA Server 2004的外部接口）并回车，用户名为anonymous，并且随意输入一个密码，此时，我们已经成功的连接上去了。你可以使用get 命令来下载文件，但是，如果此时你使用put 命令来上传文件，你会看见拒绝访问的错误信息，因为你的ISA Server拒绝了这个操作。下图是详细的过程：

2、发生错误的原因是，你没有在FTP发布策略中允许上传。你可以在ftp服务发布策略中允许它。回到ISA Server管理界面，在ftp服务发布策略上点击右键，选择Configure FTP。

3、在Configures FTP protocol policy 对话框，去掉Read Only 的选择，然后点击Apply ，再点击OK 。

4、点击Apply 保存并更新防火墙策略。

5、回到命令提示符下，重复上传文件的动作，你会看见，现在可以上传文件到ftp站点了。

6、如果你在ISA Server 2004的实时监控中观察，你会看看一些有趣的事情。虽然外部客户是连接到是TCP端口99，然后实时监控显示的却是外部客户直接连接到内部电脑的TCP 21端口，不过你可以从log文件的字段中看出，它们和FTP Server TCP Port 99 策略是相关的。

7、关闭Microsoft Internet Security and Acceleration Server 2004 管理界面。

注：除了ftp，只要在ISA Server 2004中有对应应用程序过滤器的协议，如RDP等，都可以使用此办法发布到非标准端口，这样可以提高网络的安全性。目前ISA Server 2004存在一个很大的bug：如果要发布内部本来就不是使用21端口进行ftp的连接的ftp服务器，那么要么使用应用程序过滤器来发布该服务器，但是这样只能是只读，不能上传文件；或者另外定义一个协议来使用，这样可以写，但是这样只能让客户端和ftp服务器进行PASV连接，不能使用port模式连接。已经在beta2和RC版上测试，都未能解决这个问题。

具体如何发布使用非标准21的ftp服务器，会在以后的帖子中介绍。
 

Microsoft

Internet Security and Acceleration Server 2004

Beta2

快 速 安 装 指 南

(译自Thomas Shinder ，Get Up and Running with ISA Server 2004 Beta 2 ，在“相关下载”栏目中有pdf版本的下载)目 录

一、安装Windows net server 2003并且建立基本的网络结构

二、安装ISA Server 2004 beta2

三、查看防火墙系统策略

四、建立访问策略

1、建立允许所有流出数据的访问策略

2、建立允许内部客户访问位于ISA Server 上的DNS服务器的策略

五、建立一条阻止HTTP下载的HTTP策略

六、测试

七、后记

一、安装Windows net server 2003并且建立基本的网络结构

和ISA Server 2000一样，ISA Server 2004对硬件要求不是很高，在CPU Pentium III 500+ MHz、256M内存环境下都能运行，不过为了更好的性能，建议增加CPU速率和内存容量。

安装ISA Server 2004的机器应该有至少有两个网卡，一个为外部接口，一个为内部接口。但是和ISA Server 2000不一样，ISA Server 2004没有本地地址表（Local Address Table），所以你可以安装多个内部接口以支持多个内部网络，Firewall Access policy控制所有网络间的数据传输。

下图为一个测试网络，ISA Server作为一个边缘防火墙（Edge Firewall）：

二、安装ISA Server 2004 beta2

运行isaautorun.exe开始ISA Server 的安装，如下图：

点击next，出现180天的授权协议画面：

选择 I accept the terms in the license agreement ，然后点击Next，

在Customer Information页，输入个人信息，Product Serial Number自动生成，点击Next.继续。

在Setup Type页，如果你想改变ISA Server的默认安装选项，可以点击Custom，然后点击Next：

在Custom Setup页你可以选择安装组件，默认情况下，会安装Firewall Services、ISA Server Management和Firewall Client Installation Share，而用于控制垃圾邮件和邮件附件的Message Screener不会安装。如果你想安装Message Screener ，需要在ISA Server 机器上首先安装IIS 6.0 SMTP服务。点击Next继续：

在Internal Network页, 点击Add按钮.内部网络和ISA Server 2000中使用的LAT已经大大不同了。在ISA Server 2004中，内部网络包含ISA Server 2004必须进行数据通信的信任的网络服务，例如Active Directory domain controllers, DNS, DHCP, terminal services clients等等。防火墙的系统策略会自动允许ISA Server 到内部网络的部分通信。

在Internal Network setup页，点击Configure Internal Network按钮。

在Configure Internal Network对话框中，移去Add the following private ranges选项，保留Add address ranges based on the Windows Routing Table选项. 选上连接内部网络的适配器，点击OK。

在下图的对话框中点击OK：

在内部网络地址对话框中点击OK：

在Internal Network 页点击Next：

在Ready to Install the Program 页点击Install；

在Installation Wizard Completed 页，选择Invoke ISA Server Management when wizard closes然后点击Finish。

此时，会出现Microsoft Internet Security and Acceleration Server 2004 控制台。

三、查看防火墙系统策略

默认情况下，ISA Server 2004不允许和Internet主机的通信。但是，默认防火墙系统策略允许ISA Server 2004访问部分网络以完成管理任务。

可以用以下方法查看系统策略：

1、在 Microsoft Internet Security and Acceleration Server 2004 控制台，展开服务器，右击 Firewall Policy ，指向View 并点击 Show System Rules。

2、点击上图图表栏最右方图标。

这个系统策略标识了ISA Server 2004默认的访问控制。你可以注意到Access rules由以下部分组成：Order number、Name、Action (allow or deny)、Protocols、From (source network or host)、To (destination network or host)、Condition (who or what the rule applies to)。

注意：有条系统策略允许防火墙到任何网络的DNS服务器发送DNS queris。

四、建立访问策略

1、建立允许所有流出数据的访问策略

为了让数据能访问外部网络，你必须新建一条访问策略，执行以下步骤：

（1）在Microsoft Internet Security and Acceleration Server 2004控制台，展开ISA Server服务器，右击Firewall Policy，指向New 并点击 Access Rule:

（2）在Welcome to the New Access Rule Wizard 页，在Access policy rule name中输入“All Open Outbound”，点击OK，

（3）在Rule Action页，选择Allow ，然后点击Next.

（4）在Protocols 页，选择All outbound protocols然后点击Next.

（5）在Access Rule Sources 页，点击Add，在Add Network Entities对话框中，点击Networks 目录，双击Internal，然后点击Add Network Entities 对话框中的Close按钮。然后点击Next.

（6）在Access Rule Destinations 页中点击Add按钮，在Add Network Entities对话框中，点击Networks 目录，双击 External 然后点击Close，最后点击Next.

（7）在User Sets页，接受默认的All Users.点击Next.

（8）在Completing the New Access Rule Wizard页查看你的设置最后点击Finish 。

（9）点击面板顶部的Apply按钮，设置会马上生效。

此时，内部网络的用户已经可以完全的访问Internet了。

2、建立允许内部客户访问位于ISA Server 上的DNS服务器的策略

接下来，你需要建立一个访问策略，以允许内部网络客户可以连接位于ISA Server 上的DNS服务器。这点是ISA Server 2004和ISA Server 2000的不同之处：ISA Server 2000对于内部接口，是不需要设置访问策略的，但是在ISA Server 2004中，内部接口也受到访问策略的保护，所以你必须显式的允许内部客户的访问。

主要步骤和建立Allow open outbound一样，不一样的地方：

1、协议name ：DNS from Internal Network；

2、在Protocols页，选择Infrastructure下的DNS协议，如下图：

3、在Access Rule Sources页，选择Internal；

4、在Access Rule Destinations页，选择Local Host；

最后点击Apply。

五、建立一条阻止HTTP下载的HTTP策略

ISA Server 2004的Http策略允许你进行细微的控制，你可以使用Http策略来阻止用户访问任何站点、内容，或者在Http头中出现的任何协议。这条策略将阻止.zip和执行文件的下载，按以下步骤启用策略：

1、右击 All Open Outbound 访问策略然后点击 Configure HTTP命令；

2、在 Configure HTTP policy for rule 的General页，选择 Block responses with Windows executable content ，点击Apply，最后点击OK。

3、最后点击Apply使修改生效。

六、测试

至此，ISA Server 2004的配置已经基本完成，我们现在使用一台内部客户机来测试一下：

打开浏览器，输入

现在我们点击isafp1.exe，因为我们的配置，ISA Server 2004防火墙将阻止可执行文件的下载，如下图：

至此，ISA Server 2004的配置已基本完成。

七、后记

当我将ISA Server 2004成功配置之后，感觉却是：ISA Server 越来越像KWF了。除了ISA Server 2004在VPN方面做了强化配置外，其他方面，ISA Server 和KWF的功能太相似了，而且有些地方还不如KWF，如无DHCP服务，不能转发DNS查询等等，而且从协议的配置上来说，也比KWF麻烦多了。由于还是个beta版本，所以不可避免的存在Bug，如我现在就有个问题，同样的Cisco VPN拨号程序，在98下可以成功连接，但是在我的2000上却始终不能正常连接，原因还在searching……但是从稳定性及系统的兼容性上看，ISA Server 2004做的相当出色，比起ISA Server 2000改进相当大。微软自己的产品，兼容性不用说了，而且比起ISA Server 2000，2004占用系统资源要更少。这个版本是标准版，有些功能，如ISA Server 2000企业版中的带宽控制和Cache监控被取消，可能在正式企业版推出后会提供。

总体来看，ISA Server 2004是世界第一流的软件防火墙，无愧于我对它的喜爱!

在安装ISA Server 以前，应该要保证内部网络正常的工作。由于ISA Server自身不具备DNS Forwarder功能（ISA Server只能容许DNS query包通过，但是不具有自动将DNS query数据包转发到ISP的DNS服务器的功能），所以在你内部网络的DNS设置中，要么建立一个内部的DNS服务器，要么把所有客户机的DNS全部设置为你ISP的DNS。在这篇文章中，在ISA Server机上已经建立好了一个内部的DNS服务器，所有客户端以ISA Server机的内部接口作为它的网关和DNS服务器。

至于DHCP服务器，如果DHCP服务器位于ISA Server机，这个beta2版的有个BUG，无法正确的处理来自内部网络的DHCP request信息，只有Allow DHCP request from all network才能正常识别内部网络的DHCP request信息，但是这样造成了潜在风险，所以建议你不要在ISA Server机器上实现DHCP服务。

ISA Server 2004对于系统的基本要求是要求IE6.0以上，如果是在Windows 2000 server，要求是在sp4以上，另外还要求打KB821887补丁（关于Events for Authorization Roles Are Not Logged in the Security Log When You Configure Auditing for Windows 2000 Authorization Manager Runtime，可在本地下载），强烈建议只在Windows net server 2003上安装。