用DNS解析实现防火墙客户的重定向(1)

　　前言：现在很多公司都使用微软的活动目录对网络进行管理，其中内部DNS服务器是不可或缺的一个组成部分。我们知道，对于ISA的防火墙客户端通过ISA访问网络资源时，其DNS解析由ISA服务器帮助完成，你是否有想过，通过的内部DNS服务器和防火墙客户端结合，能够巧妙的解决很多实际问题。

　　这篇文章里，我将通过两个CASE，讲述使用两者结合的方法解决两个实际问题。

　　声明：这两个CASE都是我近期遇到的问题，其中解决第一个CASE的是我的一个同事，他为我提供了一种新的思路；第二个CASE则是我沿用这种思路，解决新的问题。

　　CASE1：

　　问题描述：Contoso公司的网络环境如下图所示：

　　该公司使用ISA 2004作为代理服务器。

　　公司内部网络采用单林单域模式，内部DNS名为contoso.com，在Internet上注册的域名亦为contoso.com。公司有50多台服务器，包括邮件服务器、数据库服务器、OA服务器、FTP服务器与Web服务器等，其中邮件服务器、OA服务器均为双网卡，而FTP服务器与Web服务器均只有外网卡，数据库服务器只有内网卡。有外网卡的服务器均直接与外线交换机相连，且在Internet上注册有合法的DNS名。

　　公司内部客户机的TCP/IP配置中，将DNS指向内部的DNS服务器，有访问互联网权限的客户机均使用FWC方式访问Internet。现公司为了提高访问OA服务器和邮件服务器的速度，要求客户机通过服务器的内部网卡进行访问邮件服务器和OA服务器。

　　分析存在的问题：OA服务器和邮件服务器数量总和大约在30台，如果一台一台在ISA控制台上设置“访问不通过代理服务器”，工作量较大，且将来添加新服务器时，需要在ISA上添加相应的纪录；另一方面，如果在ISA上直接设置Bypass *.contoso.com，那么会造成安装有防火墙客户端用户无法访问ftp.contoso.com和www.contoso.com（因为这几台Server没有内网卡）。

　　解决方案：其实解决的方案有很多，但下面这种最简单的不知道你想到没有：

　　在ISA Server上对*.contoso.com进行Bypass，然后在内部DNS为ftp.contoso.com和www.contoso.com分别新建两条A纪录，指向各自的外网IP。

　　我们以www.contoso.com为例，来考虑一下现在的客户机访问过程：

　　1、用户通过IE访问www.contoso.com，通过防火墙客户端向ISA Server发送请求，要求进行解析；