为了获取文档或更新软件(如:防病毒程序等),Microsoft Internet Security and Acceleration (ISA) Server 计算机或位于 ISA Server 计算机之后的内部客户端计算机可能需要访问外部文件传输协议(File Transfer Protocol,FTP)资源。当配置此类 FTP 访问时,您需要考虑以下问题;
以下章节讨论了访问外部 FTP 资源的方法和配置指导。为了帮助您解决特定 FTP 客户端计算机的问题,本文后面的“实用文章”部分提供了访问 Microsoft 知识库文章的链接。
本节的内容包括:
来自 ISA Server 计算机的 FTP 请求
要想允许 ISA Server 计算机向外部 FTP 资源发出请求,您可以:
通过 Web 代理服务发送 FTP 请求
FTP 请求可以通过 ISA Server 计算机上的 Web 代理服务发出,但是这xx于 FTP 下载。要想完成这项工作,您需要配置 FTP 客户端计算机(可能是 Internet Explorer、命令行 FTP 工具或 GUI 工具),以便作为代理服务器使用 ISA Server 计算机的内部 IP 地址。当 ISA Server 以高速缓存模式安装时,您只能使用浏览器通过 Web 代理服务发送 FTP 请求。当使用 Internet Explorer 发送 FTP 请求时,注意以下问题:
• |
如果您拥有所支持的 FTP 站点的文件夹视图,Internet Explorer 客户端计算机可以绕过 Web 代理服务,尝试直接向 Internet 发送 FTP 连接请求。如果客户端计算机只被配置作为 Web 代理客户端计算机,这种尝试将不会成功。要想了解有关禁用 Internet Explorer 中的 FTP 站点文件夹视图的更多详细信息和指令,请参阅 Microsoft 知识库中的“Internal 客户端计算机不能通过 Internet Security and Acceleration Server 2000 访问 FTP 站点”一文。
|
在 ISA Server 计算机上配置数据包过滤器
对于来自 ISA Server 计算机的全功能 FTP 请求,需要使用数据包过滤器。注:当 ISA Server 以高速缓存模式进行安装时,数据包过滤器便不可用。
为输出 FTP 创建数据包过滤器
1.
|
在 ISA Server Management 的“访问策略”节点中,右击“IP 数据包过滤器”,指向“新建”,然后点击“过滤器”。
|
2.
|
在“新建 IP 数据包过滤器向导”中,输入该数据包过滤器的名称,然后点击“下一步”。
|
3.
|
在“过滤器模式”中,选择“允许数据包传输”,然后点击“下一步”。
|
4.
|
在“过滤器类型”中,选择“自定义”,然后点击“下一步”。
|
5.
|
在“过滤器设置”中,选择以下选项:
|
6.
|
点击“下一步”。
|
7.
|
在“本地计算机”中,选择“ISA Server 计算机上的各个外部接口使用默认 IP 地址”,然后点击“下一步”。
|
8.
|
在“远程计算机”中,要想使 FTP 输出请求到达所有目的地,选择“所有远程计算机”。要想限制 FTP 请求,使它们只能到达特定目的地,选择“xx此远程计算机”,然后输入外部 FTP 服务器的 IP 地址。
|
为输入 FTP 创建数据包过滤器
要想允许输入访问,重复以上过程,并采用以下设置:
来自 Internet 客户端计算机的 FTP 访问
您可能希望允许位于 ISA Server 计算机之后的内部客户端计算机访问外部 FTP 服务器。FTP 功能依赖于内部计算机的客户端配置:
• |
Web 代理客户端计算机。如果计算机只被配置作为 Web 代理客户端计算机,则它只能进行 FTP 下载。您可以通过 Internet Explorer 或任何允许您指定 Web 代理设置的 FTP 客户端软件来进行 FTP 下载。在高速缓存模式中,只能使用浏览器通过 Web 代理访问发送 FTP 请求。
|
• |
防火墙(Firewall)客户端计算机或 SecureNAT 客户端计算机。从内部网中的防火墙和 SecureNAT 客户端计算机发出的访问外部 FTP 资源的请求由防火墙服务进行处理。为了支持从配置作为防火墙或 SecureNAT 客户端计算机的计算机发出的此类请求,您需要确保以下条件:
|
启用 FTP 访问过滤器
FTP 访问过滤器(与 ISA Server 一起提供)把来自 SecureNAT 客户端计算机的 FTP 请求转发给防火墙服务,并使用了以下协议定义:
虽然您可以为 FTP 创建一个协议定义,但是协议定义可能不会提供 FTP 过滤器所提供的全部能力。用户定义的 FTP 协议定义与 FTP 访问过滤器是不同的,因为:
注:防火墙客户端计算机要求启用 FTP 访问过滤器,因为 ISA Server 预定义协议定义只定义了主 FTP 连接,而没有定义辅助数据连接。
启用 FTP 访问过滤器
创建协议规则以允许使用 FTP 协议
在过滤器启用之后,您需要确保有一个规则可用以允许内部防火墙客户端计算机或 SecureNAT 客户端计算机使用 FTP 协议。
创建一个协议规则
1.
|
在“ISA 服务器管理”的“访问策略”节点中,右击“协议规则”,指向“新建”,然后点击“规则”。
|
2.
|
在“新建协议规则向导”中,输入规则名称,然后点击“下一步”。
|
3.
|
在“规则操作”中,选择“允许”,然后点击“下一步”。
|
4.
|
在“此规则应用于”内的“协议”中,选择“已选定的协议”。在协议列表中,选择您希望允许使用的 FTP 协议:
|
5.
|
点击“下一步”。
|
6.
|
在“计划”中,选择应用规则的时间。然后点击“下一步”。
|
7.
|
在“客户端类型”中,选择以下选项之一:
|
8.
|
“任意请求”。对所有用户应用规则。
|
9.
|
“指定计算机”。对特殊的客户端计算机地址组应用规则。
|
10.
|
“指定的用户和组”。对经过身份验证的用户应用规则。
|
11.
|
点击“下一步”。
|
12.
|
如果您已经对客户端计算机地址组、用户或组账户应用了规则,请指定这些设置。点击“完成”来结束向导。
注:
• |
您可以配置协议规则,以限制客户端计算机访问 FTP 协议定义。例如,您可以选择“只允许 FTP 下载”,限制客户端计算机只进行 FTP 读取操作。
|
• |
当您启用了 FTP 访问过滤器,并创建了一个协议规则(允许对所有用户或指定用户应用 FTP 协议定义)之后,请确保拥有一个允许访问 FTP 目的地的站点和内容规则,并且在 FTP 客户端应用程序中没有指定任何代理设置。
|
• |
注:如果任何规则要求对特定用户账户进行身份验证,只有防火墙客户端计算机能够进行此项操作。SecureNAT 客户端计算机不能发放身份验证证书。
|
|
为了帮助您解决特定的 FTP 客户端计算机问题,下面提供了 Microsoft 知识库文章列表。
|
如何使外部客户端计算机访问文件传输协议服务器
|
本文提供了有关配置数据包过滤器以 ISA Server 访问外部 FTP 资源的指导信息。
|
|
ISA Server 防火墙锁链可能带来与 FTP 访问有关的问题
|
安装 ISA Server Service Pack 1(SP1)可以解决这一问题。
|
|
当您在下游 ISA Server 上启用 IP 路由时,FTP 客户端计算机可能无法工作
|
安装 ISA Server SP1 可以解决这一问题。
|
|
被动模式 FTP 在外部接口上可能不支持多个 IP 地址
|
SecureNAT 和 防火墙客户端计算机可能无法开启针对使用被动模式(PASV)的 FTP 服务器的 FTP 数据连接。本文详细说明了有关解决办法。
|
|
当 FTP 服务器返回“用户已登录”信息后,Web 代理服务返回“不允许使用该用户名”错误信息
|
通过 Web 代理服务到达 FTP 服务器的连接可能出现错误,因为预计将提示对 Web 代理服务输入密码,而不是接收到 FTP 服务器发送的一条 230(用户已登录,请继续)信息。本文详细说明了有关解决办法。
|
|
您不能通过 ISA Server 2000 使用 WRQ Reflection FTP Client 连接外部 FTP 站点
|
当运行被设定为使用 SOCKS 第 4 版协议的 WRQ Reflection FTP 客户端 时,您可能无法通过 ISA Server 2000 连接外部 FTP 站点。本文详细说明了有关解决办法。
|
|
ISA Server 强制对根目录建立 CERN FTP 连接
|
当浏览器使用 Web 代理服务连接 FTP 站点时,用户可能会连接到 FTP 服务器的根目录,也可能在指定了统一资源定位符(URL)路径的情况下无法访问某一个目录。本文详细说明了有关解决办法。
|
|
启用 ISA Server 上的 IP 路由以提高性能
|
本文提供了启用 IP 路由,以支持 SecureNAT 客户端计算机的辅助连接的相关信息。
|
|
通过 Internet Security and Acceleration Server 2000 启用被动 CERN FTP 连接
|
Web 代理服务默认使用 PORT 模式来处理 FTP 请求。要想使 PASV 模式的 Web 代理服务处理 FTP 请求,应按照本文中介绍的指导进行操作。
|
|
内部客户端计算机不能通过 Internet Security and Acceleration Server 2000 访问 FTP 站点
|
当您通过 Internet Explorer 访问 FTP 服务器时,您将看到以下错误信息:
“Windows 不能访问这个文件夹。”
当 Internet Explorer 中启用了 FTP 站点的文件夹视图,可能发生这种情况,因为这会导致 Internet Explorer 尝试绕过 Web 代理服务。要想禁用文件夹视图,应按照本文中介绍的指导进行操作。
|
|
当通过 Internet Explorer 进行访问时,无任何链接可导航至 FTP 站点的上层目录
|
当您在使用 Web 代理服务的 Internet Explorer 中连接 FTP 服务器时,无任何链接可用以从下至上导航至父目录。本文详细说明了解决办法。本文详细说明了有关解决办法。
|
|