二、如何选择合适的检测方法？

　　以上这三种方法，各有各的特点。在实际工作中，我们往往是三种方法结合使用，以应对企业不同的情况。下面这些建议，或许对大家选择合适的方法会有所帮助。

　　建议一：移动客户端，该选择什么方法?

　　现在移动设备，如笔记本电脑，在企业中已经不在是奢侈的设备。有些用户为了工作的需要，可能要在企业中经常变换位置。此时采用的检测方法最好是采用DHCP(动态主机配置协议)或者DNS(域名系统)自动检测的方法。在以上这三种方法中，只有这种方式能够最有效的应对移动办公的需要。

　　建议二：使用AD域服务器时存在不少的限制。

　　虽然说，AD域服务器检测方法是一个推荐的手段。但是在使用这个方法时，安全管理人员需要注意，其在实际工作中还是受到很多的限制。具体的来说，有以下几种。

　　一是需要注意，AD域服务器检索方式的前提条件，即客户端计算机必须要能够访问AD域服务器。如果出于某种考虑，企业没有部署域环境而是采用工作组环境，或者说出于安全原因不允许客户端访问企业的域服务器(如对于一些外来的客户端)，此时就不能够采用这种方式。因为其不能够从域服务器那边获取相关的配置信息。所以采用AD域服务器检测方式的首要条件就是AD服务器必须存在并且可以被访问。

　　二是需要注意其版本的限制。到目前为止，AD检索方式只有在Forefront安全网关客户端上才支持这种方式。而在Web代理客户端、SecureNAT客户端或者防火墙客户端上还不支持这种检测方式。为此如果存在域服务器，而同时又存在其他客户端的话，那么就需要考虑综合使用多种检测方式。

　　三是需要注意，在使用AD域服务器检索方式的时候，往往还需要注意要结合自动配置脚本这种方式使用。在实际工作中，即使配置了域服务器，但是由于种种原因，客户端计算机并不是能够时时刻刻连接到域服务器上去的。为了确保每台客户端在启动之后都可能顺利找到Forefront服务器，所以需要额外的在客户端上配置自动脚本。当客户端计算机无法正常访问服务器的时候，仍然能够通过自动脚本来获取服务器的相关信息。

　　建议三：使用DHCP或者DNS检索方式时需要注意细节。

　　使用DHCP或者DNS自动检索方式时，限制条件就没有上面这么多。主要是要抓住一些细节的内容。只有将这些细节内容抓住，才能够让这种自动检索方式在企业中正确的应用。具体的来说，以下一些细节需要注意。

　　一是配置文件与端口的关系。在使用DHCP或者DNS实现自动检测时，Web代理设置的信息将会保存在一个配置文件中。此时必须要将这个配置文件发布出去，其他客户端才可以学习到这个配置信息。在这种过程中，就有一个非常关键的内容，即必须要在端口80上发布配置文件。如果在其他端口上发布这个配置文件，那么其他客户端将无从了解。在实际工作中，这是一个比较容易犯错的地方。因为有不少的管理人员已经有了一个习惯性的思维。他们出于安全等因素考虑，会不自觉的去改变某个应用的默认端口。笔者特别提醒，在实现DHCP或者DNS自动检测方式时，这个端口不能够改变。

　　二是在DNS服务器上启用或者禁用了自动检测功能之后，需要进行相关的更新工作。如在2008服务器上部署了DNS服务器角色，然后又在这个服务器角色上配置了DNS自动检索机制。此时自动检索方式还不能够马上生效。管理人员必须要对相关区域内受这个配置影响的所有DNS服务器上的阻止列表进行更新。如现在企业内部网络规模比较大，有三台DNS服务器。当需要将这个DNS自动检索机制应用于所有的客户端时，那么就需要对这个三台DNS服务器的组织列表进行同步更新。否则的话，就会出现部分客户端计算机无法使用DNS检索机制的情况。

　　三是需要注意DNS或者DHCP服务器配置的细节问题。如采用DNS自动检测机制的方式时，必须为启用了自动发现的客户端计算机所在的每个域配置相关信息。再如若采用DHCP机制时， 则必须在于客户端计算几相同的网络上安装一台有效的DCHP服务器。这也就是说，当企业的网络划分成不同的子网时，由于DCHP流量受到限制，此时就需要在不同的子网中同时部署DHCP服务器。

　　最后需要注意的是，DHCP与DNS检索机制的差异。虽然这两种检索机制可以划归为一种，但是在实际应用中，他们还是有不小的差别。一般来说，在企业内部网络中，采用的比较多的是DHCP自动检索机制。而对于外部网络的客户端，如果通过VPN连接到企业内部网络的用户，则采用的比较多的是DNS自动检索机制。这主要是因为在企业内部网络用户中，DHCP能够提供更快的访问性能与更高的灵活性。如果管理人员同时实现了DHCP自动检索机制与DNS自动检索机制，客户端也会先使用DHCP检索方法。当这种方法没效果时，再采用DNS检测手段。笔者的建议是，出于性能的角度出发，安全管理人员最好还是根据不同领域的用户采用不同的检测方式为好。