Клиенты ISA - Часть 1 : Основная конфигурация ISA Server
- Font size: Larger Smaller
- Hits: 13355
- 0 Comments
- Subscribe to this entry
- Bookmark
Клиенты ISA - Часть 1 : Основная конфигурация ISA Server
Автор: Jim HarrisonПеревод: Dave
Дата: 14-11-2003
Основная конфигурация ISA Server.
Эта статья обсуждает детали конфигурации ISA для поддержки каждого типа клиента; SecureNAT, Web Proxy и Firewall.
ISA server может поддерживать 3 типа клиентов: SecureNAT, Web Proxy и Firewall. Качество поддержки этих клиентов зависит от той инфраструктуры, с которой работает ISA. ISA работает вкупе с Windows 2000, вы можете работать как с внутренними, так и с внешними DNS-серверами.
Примечание:
Все скриншоты в этой статье сделаны из консоли управления ISA в расширенном режиме (Advanced mode).
Определения:
Auto-detection. Это функция ISA (WPAD), которая позволяет браузерам Internet Explorer (v 5.0 или выше) настраиваться для нормальной работы с ISA Server.
DNS. Доменные службы имен (Domain Name Services). Службы работающие на компьютере, и отвечающие на запросы по разрешению имен.
FQDN. Точно определенное доменное имя (Fully Qualified Domain Name); Имя компьютера, которое обозначает свое логическое единение со свойством структуры домена связанного с именем. К примеру http://www.microsoft.com/ означает, что это хост с именем "www", который находится в домене "microsoft" под доменом верхнего уровня "com". Все эти имена всегда отделяются точками "." и так же известно их название как "десятичный адрес с разделительными точками" ("dotted decimal").
GUID. Глобально уникальный идентификатор (Globally Unique IDentifier); Это очень большое число, что гарантирует его уникальность. ISA использует его, чтобы определять различные стороны собственной конфигурации.
LAT host. Это компьютер, который работает в подсети, определенной в LAT. Весь входящий и исходящий трафик этого компьютера транслируется с помощью NAT через ISA.
Имя NetBIOS. см. "Unqualified name".
Record. Это элемент в DNS-зоне, который представляет единственный элемент, такой как хост, почтовый сервер или сервер в другой зоне.
Secondary Protocol. Любой протокол, используемый приложением, который отличается от протокола, предназначенного для создания начального (первичного) соединения через ISA считается вторичным (Secondary) протоколом.
TTL. Время существования (Time-to-live); показывает как долго (в секундах) запись имени может существовать в кэше запросов имен, прежде чем она должна быть обновлена.
Unqualified name. Это имя хоста без общепринятой формы. Так же известно как NetBIOS-имя или WINS-имя.
WINS. Службы Интернет-имен Windows (Windows Internet Name Services); это служба разрешения имен, похожая на DNS, за исключением того, что она работает строго с NetBIOS-именами.
WPAD. Автообнаружение прокси Windows (Windows Proxy Auto Detection); функция ISA, которая поддерживается Internet Explorer 5.0 или выше. Когда настроено правильно, позволяет IE конфигурироваться динамически.
Режимы работы ISA:
Cache. Это режим с минимальными возможностями, поэтому только Web Proxy и, выборочно, службы кэширования могут быть установлены и запущены. А также, только в этом режиме ISA может работать с одной NIC ([network interface card] сетевой адаптер). В этом режиме поддерживаются только клиенты Web Proxy. Чтобы работать с клиентами SecureNAT и Firewall для ISA нужен LAT. Так же, это единственный режим, в котором не поддерживается служба H.323 Gatekeeper
Firewall. Это сочетание служб Firewall и Web Proxy, без службы Web Cache. Все основные функции ISA поддерживаются в этом режиме, а так же поддерживаются все типы клиентов. Но для работы в этом режиме необходимо как минимум две сетевых карты, одна внешняя, другая внутренняя (LAT).
Integrated. Это самый полный, самый функциональный режим. Web Proxy, Firewall и Web Caching - все вместе они самым наилучшим способом "пережевывают" пакеты. Отличие режима Firewall от этого заключается только в службе Web Caching
Клиенты ISA:
SecureNAT. Это LAT-хост, который по умолчанию имеет роутинг на ISA через сеть, т.к. он является только средством связи с Интернет. В простой сети (без маршрутизаторов) у этого клиента шлюзом по умолчанию является первичный внутренний IP адрес ISA. В сложных (маршрутизированных) сетях это дело усложняется.
Firewall. Это LAT-хост, у которого установлено программное обеспечение клиента ISA Firewall и приложение, использующее его.
Web Proxy. Это простое обычное приложение (IE или другое Web-приложение) на LAT-хосте, которое использует прокси-запросы и порт для доступа в Интернет.
Конфигурация ISA Server:
Функциональность клиента ISA в большой степени зависит от правильной настройки самого ISA Server. Если ISA имеет проблемы при преобразовании (разрешении) имен или проблемы с доступом в Интернет, то это отразится и на клиентах. Проверяйте ISA неоднократно при установке и настройке. Это способ, с помощью которого можно узнать, что изменилось в поведении ISA и результат ваших последних действий
Приемник исходящих Web-запросов (Outgoing Web Requests Listener). Чтобы ISA работала как Web-прокси, сервис Web proxy (w3proxy) должен быть запущен и Outgoing Web Requests Listener должен быть настроен и включен. Для просмотра и изменения настроек откройте консоль управления ISA перейдите к Servers and Arrays. Правый клик и выберите Properties. Перейдите на закладку Outgoing Web Requests и увидите то же, что и на картинке:
По умолчанию, ISA включает прокси на все внутренние IP адреса ISA по порту 8080 (включая 127.0.0.1, т.е. локальный IP адрес компьютера) независимо от режима работы (Firewall, Integrated, Cache). Этот порт использован потому что функции ISA по автообнаружению работает по порту 80 на всех внутренних IP адресах ISA. Для отключения Outgoing Web Requests listener просто выберите Configure listeners individually per IP address и не выбирайте никакого IP для "прослушивания"
{mospagebreak}Auto Discovery listener. Это основная головная боль для народа, пытающегося "посадить" IIS и ISA на один сервер. Потому что не могут два приложения или сервиса разделять одни и те же ресурсы TCP/IP. От этого получается "гонка на выживание" и проигравшего просто запрещают. Это так же является источником ужасной работы WPAD.
Перейдите на закладку Auto Discovery и увидите следующие настройки:
Если вам не нужно Auto Discovery, просто снимите галочку Publish automatic discovery information. Это освободит 80-й порт для внутренних адресов. Примите во внимание, что ISA может работать как Web Proxy сервер, используя только одну NIC. Режим работы ISA, который поддерживает работу с одной NIC это Cache Mode.
Site and Content Rules. Здесь мы можем контролировать содержимое HTTP и FTP, проходящее через сервис Web Proxy. По определению, ISA создает единственное правило "Allow rule", позволяющее пропускать любой запрос. Тут можно поиграть с запретами и разрешениями, но будьте предельно осторожными, т.к. можете создать противоречащие правила, которые сделают ISA полностью заблокированной.
Protocol Rules. Это лишь один из многих участков контроля за ISA, но наиболее легко просматриваемый. Самый минимум, который должен быть - это разрешены протоколы HTTP и HTTPS для того чтобы LAT-хосты имели Web-доступ. Там еще много всяких протоколов, но без этих нельзя будет просматривать Web-страницы. Вы можете посмотреть, сколько "протокольных правил" можно использовать для LAT. Некоторые из них имеют отдельные (нестандартные) определения.
IP Routing. Следующее, в чем мы убеждаемся, что весь трафик SecureNAT-клиента проходит беспрепятственно (конечно, при надлежащих настройках правил). У ISA есть такая настройка, называемая "Enable IP Routing" (включить маршрутизацию IP), которая отключена по умолчанию. Когда она включена, то позволяет ISA передавать ICMP-трафик (ping) из LAT в Интернет.
Откройте консоль управления ISA и перейдите к IP Packet Filtering. Правый клик на нем и выберите Properties и увидите следующее окно
{mospagebreak}
HTTP Redirector. Здесь мы осуществляем контроль над всеми (Firewall и SecureNAT)-запросами на Web-сервисы. Откройте консоль управления ISA: Servers and Arrays => Extensions => Application Filters. Правый клик на HTTP Redirector Filter и выберите Properties. Перейдите на закладку Options:
Здесь мы можем определить как будут управляемы (SecureNAT и Firewall)-клиентские Web-запросы. Если вы хотите насильно пустить всех пользователей через сервис Web Proxy, то выберите Redirect to local Web Proxy service. Вы должны иметь ввиду, что эта опция также предоставляет возможность обойти сервис Web Proxy если тот не отвечает. В это есть свое преимущество, которое позволит (SecureNAT и Firewall)-клиентам оставаться на связи с Интернет, но так же позволяет им обходить фильтрацию Web Proxy.
Send to requested Web Server позволяет (SecureNAT и Firewall)-клиентским Web-запросам все время обходить сервис Web Proxy. Это устраняется использованием браузерных настроек прокси для клиентов SecureNAT и Firewall.
Reject HTTP requests from Firewall and SecureNAT clients позволяет насильно установить настройки прокси у пользователей. Нет настроек, нет Web.
Local Domain Table. Это очень важная информация как для IE, так и для Firewall клиента. Каждый домен, указанный здесь может вызвать две вещи:
- (Web Proxy и Firewall)-клиенты разрешают доменное имя самостоятельно (не через ISA сервис), если у них есть DNS сервер для запроса.
- Web Proxy клиенты делают запросы напрямик к любому серверу в домене, игнорируя сервисы ISA.
Name Resolution. Точные настройки IP для ISA сервера очень важны. Самое малое, вы должны для ISA предоставить DNS сервер для разрешения внешних FQDN по требованию Web Proxy и Firewall клиентов, и так же вы должны предоставить внутренний DNS сервер для локальной сети. ISA работает на W2k Server, а W2k предпочитает DNS, чем любую другую систему разрешения имен. При использовании разрешения имен с помощью WINS или NetBIOS периодически будут возникать проблемы. ISA предоставляет свой собственный DNS созданием DNS Lookup Packet Filter. Оставьте эту опцию включенной, иначе ISA может не смочь разрешать внешние имена корректно
Web Proxy and Firewall DNS cache.
Web Proxy и Firewall службы предоставляют совсем базовые DNS "сервисы", которые полностью зависят от DNS-настроек, сделанных в конфигурациях IP ISA. Они будут разрешать FQDN-запросы для Web и Firewall клиентов, используя DNS сервера как определено в конфигурации IP ISA. Ошибки в этих настройках создадут в разрешении имен большие беспорядки для Web и Firewall клиентов. Проверьте, чтобы ISA Server мог разрешать имена правильно и быстро !
Действительно интересная вещь - это то, что они имеют уникальную возможность игнорировать TTL, нормально взаимодействующее с DNS-записью, полученную от DNS сервера. По определению, все записи, удерживаемые в DNS-кэше Web Proxy и Firewall, имеют TTL 6 часов, независимо от действующего TTL, связанного с записью. Понятно, что не нужно говорить, что при этом могут возникнуть беспорядки в клиентском разрешении имен. Любое, связанное с DNS тестирование, должно выполняться.
Что можно сделать для этого ? есть две записи в реестре (или в Active Directory для Enterprise-массивов) для каждого сервиса в каждом массиве, которые определяют размер DNS-кэша и TTL. Это:
- Web Proxy:
HKLM\SOFTWARE\Microsoft\Fpc\Arrays\{Array GUID}\ArrayPolicy\WebProxy
"msFPCDnsCacheSize"=dword:00000bb8
"msFPCDnsCacheTtl"=dword:00005460 - Firewall:
HKLM\SOFTWARE\Microsoft\Fpc\Arrays\{Array GUID}\ArrayPolicy\Proxy-WSP
"msFPCDnsCacheSize"=dword:00000bb8
"msFPCDnsCacheTtl"=dword:00005460Замечание:
Для Enterprise-массивов, вы должны использовать Active Directory Users and Computers в расширенном режиме просмотра (Advanced view mode) и дойти до System, Microsoft, FPC, Arrays, {Array GUID}, Array policy и т.д.
Значения представлены в шестнадцатеричном формате. Калькулятор Windows может их конвертировать если он переключен в режим "scientific". При переводе получится, что по умолчанию размер кэша 3к байт каждый, что позволяет каждой записи иметь TTL 21,600 секунд (6 часов). Этот способ эффективен, чтобы сделать разрешение имен Интернета действительно живым для Web и Firewall клиентов.
- msFPCDnsCacheSize - сообщает каждому сервису его объем кэша. Если это значение = 0, то следующая запись в реестре игнорируется и сервис не накапливает имен. Давайте поменяем его на 0. Теперь каждый запрос на имя от клиента будет заново разрешен DNS сервером и TTL будет правильным для той записи.
- msFPCDnsCacheTtl - сообщает каждому сервису сколько (в секундах) удерживать каждую запись, которую он принимает. Если в предыдущей записи вы поставите значение, отличное от нуля, то значение введенное здесь будет использовано. Если же предыдущее значение реестра равно 0, то ЭТО значение не будет учтено.
Теперь перезапустите Web и Firewall сервисы, чтобы они могли применить новые настройки.
Адрес этого документа: http://www.isaserver.ru/modules/wfsection/article.php?articleid=19
