用DNS解析实现防火墙客户的重定向(2)

　　2、ISA判定访问此web站点不需要经过ISA Server；

　　3、客户端向内网DNS查询www.contoso.com的地址，内部DNS返回这台服务器的外网IP；

　　4、客户端判定IP地址在外网，向ISA发送访问此IP的请求；

　　5、代理服务器通过策略处理，响应请求，连接建立。

　　正如上述过程所描述的，防火墙客户端模式的客户机通过使用内部DNS服务器的解析，实现了对外部资源的访问。

　　请仔细体会一下其中的过程，然后接着看CASE2。

　　CASE2：

　　背景描述：BlueEye公司位于上海，是总部位于深圳的Contoso收购的一家公司。Contoso收购Blueeye后，未对BlueEye的AD架构进行更改，而保持了其原有的内部DNS名：BlueEye.com，只是将其电子邮件名统一为Contoso.com，且要求其通过使用总部的邮件服务器进行邮件的发送与接受，便于邮件的监控。

　　两家公司的网络结构图简单表示如下所示：

　　BlueEye内部有收发邮件的客户机均安装了防火墙客户端软件，使用Outlook Express收发邮件，且总部指定其使用的POP3服务器为POP3.contoso.com，SMTP服务器为SMTP.contoso.com。Contoso公司另有一台SMTP2.contoso.com供另一家分公司使用。

　　某日，Contoso通知BlueEye其SMTP.contoso.com突然Down机，正在进行抢修，要求BlueEye的IT部门通知BlueEye的内部用户（1000多人）更改OE的设置，使用SMTP2.contoso.com作为临时的SMTP服务器。

　　分析：如果通知所有用户修改OE设置，等原先的SMTP服务器修复后还需要再更改回来，必定会造成用户的不满；同时，总部的 SMTP2.contoso.com服务器供另一家分公司使用，暂时不会考虑去ISP的DNS注册别名。那么如何才能够快速解决此问题呢？

　　解决方案：如果你看过CASE1，应该会有一个思路：能不能让用户的客户机将SMTP.contoso.com解析为SMTP2.contoso.com的IP，然后再向ISA发送访问请求呢？

　　自然是可以的，方法如下：

　　（1）在BlueEye.com的内部DNS上新建一个主区域(不需要选择与AD集成)，命名为contoso.com

　　（2）在contoso.com中新建一条A纪录，将SMTP.contoso.com指向61.0.0.2

　　（3）在ISA Server上中将SMTP.contoso.com添加到标签Domains中；

　　（4）客户机刷新防火墙策略后，即可成功接收和发送邮件。待smtp服务器修复后，删除所作的更改即可恢复原来的状态，而不需要在客户端进行任何的修改。

　　上述两个CASE，没有用到什么高深的知识，只是通过思路的转变，就解决了两个比较棘手的问题。希望这篇文章能够给你提供一种新的解决问题的思路。