当某个用户发起VPN连接时,只有在满足以下两个条件之一时,ISA防火墙允许该用户的VPN拨入:
用户账户属性的拨入标签中显式允许此用户的远程访问权限 (允许访问);
用户账户属性的拨入标签中设置此用户通过远程访问策略控制访问,但是具有匹配的远程访问策略(RAP)授予此用户拨入权限。
要满足第一个条件非常简单,你可以在相应用户的账户属性的拨入标签中简单的选择允许访问即可,如下图所示:
在ISA防火墙启用VPN服务时,会在RRAS的远程访问策略中创建一个名为ISA服务器默认策略的RAP,
你可以手动对ISA服务器默认策略进行修改,但是每次ISA防火墙启动时,同样会使用自己的配置覆盖RRAS中ISA服务器默认策略的配置;如果此RAP不存在(被删除),则只有在ISA管理控制台中修改VPN属性中的组设置时ISA防火墙才会重新创建此RAP。
因此,对于非域环境下的用户远程拨入授权,你只能通过在用户账户拨入属性中显式允许用户远程访问进行;而对于域环境下的用户远程拨入授权,除了在用户账户拨入属性中显式允许用户远程访问外,你还可以通过在ISA防火墙管理控制台中修改VPN属性允许域用户组访问进行。
最后还有一点,在域环境下为了让ISA防火墙读取域用户的拨入权限设置,你必须将ISA防火墙计算机加入到域的RAS and IAS Servers域本地安全组中,如下图所示:
