一、WSA加域前

WSA在加域之前，AD域控需要将自己设定为可信任的NTP服务器，所以需要修改注册表：

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer中的Enabled值改成0x00000001
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config中的LocalClockDispersion值改成0x00000000

同时，需要在AD域控中添加DNS解析记录：

1. NTP 指向自己
2. AD 指向自己
3. WSA 指向150.1.7.213

二、WSA加域

1、WSA集成AD域控

WSA加域或者叫WSA集成AD域，进入WSA的Network界面，选中Authentication，即可集成外部身份源了。Authentication可以选择LDAP或者Active Directory，关于AD的可操作选项比LDAP的选项更加丰富，可见思科设备和微软设备的联动性之高。


2、WSA同步NTP服务器

WSA设置时间同步服务器，由于之前在AD域控中的DNS服务器中添加了A记录指向NTP（实际的FQDN=ntp.cisco.com），那么在WSA中就选择Use Network Time Protocol而不是Set Time Manually。NTP服务器填写说明：

• Enable NTP Server Authentication：启用与NTP服务器之间的通讯认证，当通过NTP的认证后，允许做出同步时间的操作。建议勾选，提升整体安全性，但是需要设置NTP服务器端用于认证的Key ID、Key Value、Key Type
• Add Row：可以添加多个NTP服务器，以提高可靠性。保证主用NTP服务器断开后，WSA仍然能够通过备用NTP服务器来同步时间
• NTP Server：可以选择路由器充当NTP服务器，也可以使用专业的NTP服务器比如本实验中的AD域控的NTP服务
• Update Now：设置完主备NTP服务器后并不代表你的WSA已经同步时间了，而是需要点击Update Now使其开始同步时间。
  

至此，我们完成了WSA的加域操作，类似的，我们可以使用LDAP服务器去做。加域操作的目的就是为了在后续代理流量的过程中，使用Category、Identification Profile、Access Policies去做更加精细化的控制。举个栗子：AD域控中的Domain User张三，在工作时间允许访问

1. 通过某个协议/某个User Agent去访问
2. 除URL=www.jd.com和www.taobao.com外的所有网站
3. 但是需要通过审查，审查包括病毒防护和数据安全