Клиенты ISA - Часть 2 : SecureNAT и Web Proxy Client
- Font size: Larger Smaller
- Hits: 17691
- 0 Comments
- Subscribe to this entry
- Bookmark
Клиенты ISA - Часть 2 : SecureNAT и Web Proxy Client
Клиенты ISA - Часть 2 : SecureNAT и Web Proxy Client
Определения:
Auto-detection. Это функция ISA (WPAD), которая позволяет браузерам Internet Explorer (v 5.0 или выше) настраиваться для нормальной работы с ISA Server.
DNS. Доменные службы имен (Domain Name Services). Службы, работающие на компьютере, и отвечающие на запросы по разрешению имен.
FQDN. Точно определенное доменное имя (Fully Qualified Domain Name); Имя компьютера, которое обозначает свое логическое единение со свойством структуры домена связанного с именем. К примеру, http://www.microsoft.com/ означает, что это хост с именем "www", который находится в домене "microsoft", под доменом верхнего уровня "com". Все эти имена всегда отделяются точками ". и так же известно их название как "десятичный адрес с разделительными точками" ("dotted decimal").
GUID. Глобально уникальный идентификатор (Globally Unique IDentifier); Это очень большое число, что гарантирует его уникальность. ISA использует его, чтобы определять различные стороны собственной конфигурации.
LAT host. Это компьютер, который работает в подсети, определенной в LAT. Весь входящий и исходящий трафик этого компьютера транслируется с помощью NAT через ISA.
Имя NetBIOS. см. "Unqualified name".
Record. Это элемент в DNS-зоне, который представляет единственный элемент, такой как хост, почтовый сервер или сервер в другой зоне.
Secondary Protocol. Любой протокол, используемый приложением, который отличается от протокола, предназначенного для создания начального (первичного) соединения через ISA считается вторичным (Secondary) протоколом.
TTL. Время существования (Time-to-live); показывает как долго (в секундах), запись имени может существовать в кэше запросов имен, прежде чем она должна быть обновлена.
Unqualified name. Это имя хоста без общепринятой формы. Так же известно как NetBIOS-имя или WINS-имя.
WINS. Службы Интернет-имен Windows (Windows Internet Name Services); это служба разрешения имен, похожая на DNS, за исключением того, что она работает строго с NetBIOS-именами.
WPAD. Автообнаружение прокси Windows (Windows Proxy Auto Detection); функция ISA, которая поддерживается Internet Explorer 5.0 или выше. Когда настроено правильно, позволяет IE конфигурироваться динамически.
Режимы работы ISA:
Cache. Это режим с минимальными возможностями, поэтому только Web Proxy и, выборочно, службы кэширования могут быть установлены и запущены. А также, только в этом режиме ISA может работать с одной NIC ([network interface card] сетевой адаптер). В этом режиме поддерживаются только клиенты Web Proxy. Чтобы работать с клиентами SecureNAT и Firewall, для ISA нужен LAT. Так же, это единственный режим, в котором не поддерживается служба H.323 Gatekeeper.
Firewall. Это сочетание служб Firewall и Web Proxy, без службы Web Cache. Все основные функции ISA поддерживаются в этом режиме, а так же поддерживаются все типы клиентов. Но для работы в этом режиме необходимо как минимум две сетевых карты, одна внешняя, другая внутренняя (LAT).
Integrated. Это самый полный, самый функциональный режим. Web Proxy, Firewall и Web Caching - все вместе они самым наилучшим способом "пережевывают" пакеты. Отличие режима Firewall от этого заключается только в службе Web Caching.
Клиенты ISA:
SecureNAT. Это LAT-хост, который по умолчанию имеет роутинг на ISA через сеть, т.к. он является только средством связи с Интернет. В простой сети (без маршрутизаторов) у этого клиента шлюзом по умолчанию является первичный внутренний IP адрес ISA. В сложных (маршрутизированных) сетях это дело усложняется.
Firewall. Это LAT-хост, у которого установлено программное обеспечение клиента ISA Firewall и приложение, использующее его.
Web Proxy. Это простое обычное приложение (IE или другое Web-приложение) на LAT-хосте, которое использует прокси-запросы и порт для доступа в Интернет.
Сравнение функций
| Client | Settings | ISA Op Mode | Non-MS host | ISA Auto-Detect | Avail Proto | Sec Proto | Client Auth | ISA as DNS |
| WEB | Настройки прокси приложения или браузера = IP(или имя) и порт приемника исходящих web-запросов ISA | All | 1 | 2 | 4 | N | Y | Y |
| SecureNAT | Шлюз по умолчанию = Первичный внутренний IP адрес ISA | FW, Integ | Y | N | 5 | N | N | N |
| Firewall | Клиент Firewall ISA установленный на LAT-хосте | FW, Integ | N | 3 | 6 | Y | Y | Y |
Примечания:1. Любое приложение, работающее на LAT-хосте, может быть клиентом Web Proxy если:
a) приложение (браузер, клиент FTP, и т.д.) должно быть CERN-совместимо, т.е. подразумевает характерный метод формирования прокси-запроса.
b) оно предоставляет возможность назначить имя или IP адрес И порт для использования прокси-запросов.
2. Автораспознавание ISA для клиентов Web Proxy ограничено Internet Explorer версии 5.0 или выше и очень чувствительно к результатам разрешения внутренних имен
3. Автораспознавание ISA для клиентов Firewall очень чувствительно к настройкам, особенно к настройкам разрешения имен.
4. Ограничения только на загрузку по HTTP, HTTPS и FTP
5. Может использовать какой-нибудь простой протокол (без вторичных соединений), соответствующий Protocol и Site and Content rules, определенных в ISA.
6. Может использовать все незапрещенные в ISA протоколы.
{mospagebreak}
Этот клиент может работать под любой операционной системой, которая может работать с протоколами TCP/IP. Просто-напросто нужно указать первичный внутренний IP адрес (ISA сервера) шлюза по умолчанию в настройках клиентского IP, настроить нужные протоколы и правила в ISA. Далее изложены некоторые вещи, определяющие функциональность клиента SecureNAT:
Режимы работы, поддерживаемые этим клиентом - Firewall, Integrated. Обратите внимание, что Cache mode здесь не указан. Это потому, что для клиентам SecureNAT необходимо использовать ISA как маршрутизатор, который отсутствует в Cache mode независимо от того, на сколько сетевых карт вы "натравили" ISA Server. Сервис Firewall должен быть установлен и запущен на ISA, перед тем как клиент SecureNAT будет использован.
Опции в конфигурации клиента ISA Server:
Для работы клиента SecureNAT, кроме установки "Enable IP routing" не требуется. Клиент SecureNAT это такой зверь, что для ISA не нужно никаких определенных сведений о нем, за исключением некоторых случаев (IP адрес и используемый протокол). ISA либо позволит протокол, который клиент SecureNAT хочет использовать, или трафик будет отсутствовать. Для установки нормальной работоспособности клиента SecureNAT в W2k - правой кнопкой мыши на "My Network Places", выберите "Properties". Правый клик на "Local Area Network" (надеемся, что имеете таковую) и выберите "Properties". Прокрутите список до Internet protocol (TCP/IP), выберите его и нажмите кнопку "Properties". Вы увидите что-то такое:
Те элементы, которые здесь находятся, необходимы для работы любого клиента в сети TCP/IP; Ключевым моментом тут является то, что ISA должна быть маршрутизатором в Интернет по умолчанию. Если вы работаете в сети с маршрутизатором, то прочитайте эту статью. Если есть желание, все эти настройки могут быть назначены с использованием DHCP.
Разрешение имен (Name Resolution) - правильные настройки IP для клиента SecureNAT полностью зависят от среды, в которой он работает. Разрешение имен для Интернет-запросов принимается здесь к рассмотрению в первую очередь, т.к. этот тип клиентского запроса не использует "функций" DNS ISA сервисов Web Proxy или Firewall. Вы должны предоставить либо внутренний DNS сервер, который может разрешать имена Интернета, либо позволить клиенту SecureNAT реализовывать собственное разрешение через ISA. В любом случае, ISA должна позволять такие Интернет-запросы.
Создайте Protocol Rule с именем "Internet DNS" (или с любым другим, как хотите), которое позволяет как протокол DNS Query, так и протокол DNS Zone Transfer. Не выбирайте серверные версии этих протоколов, т.к. они предназначены для Server Publishing и не способны к исходящим запросам.
Аутентификация пользователя (User Authentication) - SecureNAT-клиенты ISA вовсе не могут этого делать (т.е. аутентифицироваться на ISA). Если ISA требует аутентификации для запроса, сделанного клиентом, пользователь увидит окно аутентификации или ошибку соединения, зависимо от приложения или сервиса, сделавшего запрос, к которому была применена технология аутентификации.
Доступность протокола (Protocol availability) - клиенты SecureNAT могут использовать такие протоколы:
- Простые протоколы (без вторичных соединений).
- Перечисленные в Policy Elements, Protocol definitions.
- Доступные в Access Policy, Protocol Rules.
- Не ограниченные пользователю или группе через Access Policy, Site and Content Rules.
Режимы работы ISA Server, поддерживающие этого клиента - все.
Опции конфигурации клиента ISA Server:
Откройте панель управления ISA, дойдите там до Client Configuration. Правый клик на Web Browser и выберите Properties; Перейдите на закладку Direct Access и увидите следующий диалог. Здесь можно определить некоторые настройки IE, которые невидимо меняют обычные настройки в закладке Connection в IE. Вся информация отсюда пересылается на IE как JavaScript, если он делает запрос к ISA используя либо запрос http:///array.dll?Get.Routing.Script, либо http:///wpad.dat .
Обход (неиспользование) прокси для локальных адресов (Bypass proxy for local addresses) - все это в буквальном смысле. Необходимо это для того, чтобы с помощью IE открыть желаемый локальный ресурс. "Локальный" здесь имеется в виду какой-нибудь домен в LDT или любой запрос на имя NetBIOS или WINS. К примеру, http://thatserver/ сразу предполагается внутренним, в то время как http://thatserver.domain.tld/ будет предполагаться внутренним, только если домен находится в LDT.
Прямой доступ компьютеров, указанных в LDT (Directly access computers specified in the Local Domain table (LDT)), если эта галочка снята, то для IE позволительно делать прокси-запросы для серверов находящихся в LDT.
Прямой доступ к этим серверам или доменам (Directly access these servers or domains). Эта настройка позволяет указать определенные сервера или домены, к которым может осуществляться прямой доступ как исключение первым двум правилам (галочкам). Если домен является внешним, то IE будет выступать в роли клиента ScureNAT или Firewall для такого запроса.
Теперь перейдите на закладку Backup Route. Эта установка позволяет IE использовать альтернативные средства для выхода в Интернет, если ISA Server не отвечает. Здесь две опции:
Прямой доступ (Direct Access) позволяет IE делать запросы как SecureNAT или Firewall клиенту, при условии, что сетевая инфраструктура обеспечивает это.
Альтернативный ISA Server (Alternative ISA Server) позволяет ISA использовать вторичный ISA, если первичный "падает". Естественно, что вторичный ISA Server должен существовать и использование первичного как вторичного это потеря времени, т.к. первичный будет для IE в "безответном" состоянии.
{mospagebreak}
Настройки клиентского приложения (Client application settings).
Т.к. IE в основном является просто клиентом Web Proxy, то для примера мы рассмотрим именно IE. Начнем с главных настроек соединения в IE. В эти настройки можно попасть, если, например, на Рабочем столе, на значке IE кликнуть правой кнопкой и выбрать Properties. Или если IE уже запущен, то - меню Tools, Internet Options. А там надо перейти на закладку Connections и затем нажать на кнопку LAN Settings. Итак, здесь четыре основных опции:
Автоматическая конфигурация (Automatic Configuration) это самая первая группа, делающая Web-доступ затруднительным, если не настроены ISA или DNS.
Автоматическое определение настроек (Automatically detect settings) - полностью зависит от "включенности" функции Auto Discovery и также имеющей WPAD во внутренней зоне DNS. Если у вас нет внутреннего DNS или DHCP с опцией 252, то снимите эту галочку. И еще, если вы используете IE до 5-й версии или другой браузер, то эта опция работать не будет. Запомните, что клиент не может использовать функцию ISA Auto Detection, пока не сможет разрешить имя ISA Server.
Использовать скрипт автоматической конфигурации (Use automatic configuration script). Позволяет браузеру запросить у ISA Server JavaScript, который сконфигурирует IE для нормальной работы с ISA Server. Данные, которые будут получены со скриптом, собраны из настроек LDT и из опций конфигурации Web Proxy Client.
Прокси сервер (Proxy Server). Установки, которые находятся в этой группе используются, только если автоматические настройки не указаны или не сработали.
Internet Explorer на ISA Server может также работать как клиент Web Proxy при помощи задания следующих настроек в свойствах IE, Connections, LAN Settings:
Разрешение имен (Name Resolution). По определению, сервис Web Proxy предлагает простую DNS-функциональность клиентам Web Proxy и по определению, клиенты Web Proxy используют ее. До тех пор пока ISA Server может разрешать интернет-имена, клиентское приложение тоже может это. Имейте в виду, что эти функции не распространяются на NetBIOS-имена. Они уже разрешены LAT-хостом при помощи любого доступного механизма.
Аутентификация пользователя (User Authentication). Клиенты Web Proxy могут аутентифицироваться на ISA Server, используя Integrated (NTLM), Basic (HTTP), Digest (только для W2k AD) аутентификацию. Только клиенты Windows могут использовать Digest-аутентификацию, т.к. зависит от функциональности W2k AD.
Доступность протокола (Protocol availability). Клиенты Web Proxy могут использовать только загрузку по HTTP, HTTPS, Gopher и FTP и они должны быть доступны в Access Policy, Protocol Rules.
Доступность содержимого (Content availability). Правила, определенные в Access Policy, Site and Content Rules.
Автор: Jim Harrison
Перевод: Dave
Дата: 14-11-2003
Адрес этого документа: http://www.isaserver.ru/modules/wfsection/article.php?articleid=20
