Kliensek ISA - 1. rész, az alapvető konfigurációs ISA Server
ISA ügyfelek - 1. rész: Alapvető konfigurációs ISA Server
Az alap konfiguráció az ISA Server.
Megjegyzés:
Minden screenshotok ebben a cikkben készülnek az ISA Management konzolt, a kiterjesztett módban (Advanced üzemmódban).
Definíciók:
Auto-felismerés. Ez a funkció ISA (WPAD-), amely lehetővé teszi a böngészők az Internet Explorer (v 5.0 vagy újabb) konfigurálva normális munkát az ISA Server.
DNS. Domain név szolgáltatás (Domain Name Services). Service fut a számítógépen, és reagál a névfeloldás kéréseket.
GUID. A globálisan egyedi azonosító (globálisan egyedi azonosító); Ez egy nagyon nagy szám, amely garantálja egyediségét. ISA arra használja, hogy meghatározza a különböző aspektusait a saját beállításokkal.
LAT host. Ez az a számítógép, amely fut az alhálózati meghatározott LAT. Minden bejövő és kimenő forgalmat, hogy a számítógép útján továbbított NAT az ISA.
NetBIOS nevét. látni. "képzetlen name".
Record. Ez egy eleme a DNS-zóna, amely egyetlen elem, például egy gép, egy mail szerver vagy a szerver egy másik zónába.
Másodlagos jegyzőkönyvet. Bármilyen protokollt az alkalmazás által használt, amely eltér a protokoll célja, hogy hozzon létre egy kezdeti (elsődleges) útján történő kommunikáció ISA tekinthető szekunder (másodlagos) protokollt.
TTL. fennállásának ideje (Time-to-live); Ez azt jelzi, hogy mennyi ideig (másodpercben) a nyilvántartási adatállomány létezhet a lekérdezés cache nevű, mielőtt frissíteni kell.
Minősített nevet. A gazda neve nélkül formanyomtatványt. Az is ismert, mint a NetBIOS-nevét vagy a WINS-nevét.
WINS. Windows Internet Name Service (Windows Internet Name Services); ez egy névfeloldás szolgáltatás hasonló a DNS-t, azzal az eltéréssel, hogy működik szigorúan NetBIOS-neveket.
WPAD. Automatikus észlelés proxy a Windows (Windows Proxy Auto felismerés); funkciója az ISA, amely támogatja az Internet Explorer 5.0 vagy magasabb. Ha helyesen van beállítva, hogy lehetővé teszi, hogy az IE konfigurálható dinamikusan.
Működési módok ISA:
Cache. Ez a mód a legkevésbé alkalmas, ezért csak Web Proxy és adott esetben caching szolgáltatást lehet telepíteni és futtatni. Szintén ebben a módban csak az ISA lehet működtetni egy NIC ([hálózati kártya] AC adapter). Ebben az üzemmódban az egyetlen webproxyügyfelekként. Dolgozni az ügyfelekkel SecureNAT és tűzfal ISA szüksége LAT. Szóval, ez az egyetlen mód, amely nem támogatja a H.323 Gatekeeper szolgáltatás
Tűzfal. Ez a kombináció a tűzfal szolgáltatást és a Web Proxy, webgyorsítási szolgáltatás nélkül. Minden főbb jellemzői ISA támogatott ebben a módban, valamint támogatja az összes típusú ügyfelek. De dolgozni ebben a módban, akkor kell legalább két hálózati kártya, egy külső, a másik belső (LAT).
Integrált. Ez a legteljesebb, leginkább működőképes állapotban. Web Proxy, tűzfal és webes gyorsítótár - mindannyian együtt a lehető legjobb módja annak, hogy „rágni” csomagokat. Tűzfal mód, ellentétben az egyetlen szolgáltatás webgyorstárak
ISA kliensek:
Tűzfal. Ez LAT-host, aki telepített ISA tűzfal kliens szoftver és egy olyan alkalmazást, azt használja.
Web Proxy. Ez csak egy normális alkalmazás (IE vagy más web alapú alkalmazás) a LAT-host használó proxy kéréseket és a port az internet eléréséhez.
ISA Server konfiguráció:
ISA kliens funkciót nagymértékben függ a megfelelő konfigurációt az ISA Server. Ha az ISA van egy probléma a konverzió (felbontás) nevű vagy problémák Internet hozzáférés, ez tükröződni fog a vásárlók. Ellenőrizze többször ISA telepítését és konfigurálását. Ez egy módja, amellyel meg lehet kideríteni, hogy mi változott a viselkedése az ISA és az eredmény a legutóbbi akció
Auto Discovery hallgatót. Ez egy komoly fejfájást az emberek próbálják „növény” az IIS és az ISA ugyanazon a szerveren. Mert nem tudják javítani vagy két alkalmazás ugyanazt a TCP / IP források. Ebből kiderül, „race to the bottom”, és a vesztes egyszerűen ments. Ez is egy forrás szörnyű munka WPAD.
Kattintson az Automatikus Discovery lapon, és látni fogja a következő beállításokat:
Helyét és tartalmát szabályzat. Itt nyomon követheti HTTP és FTP tartalom, amely átmegy a Web Proxy szolgáltatás. A definíció szerint az ISA létrehoz egy szabályt „Allow szabály”, amely lehetővé teszi, hogy bármilyen kérést. Itt lehet játszani a tilalmak és jogosítványokat, de legyen nagyon óvatos, mert Hozhat létre ellentmondó szabályokat, amelyek az ISA teljesen zárva.
Jegyzőkönyv szabályai. Ez csak egy a sok területen az ISA szabályozás, de a legkönnyebben megtekinthető. A minimum, amit meg kell - lehetővé tette a HTTP és HTTPS protokollok LAT-házigazdák Web-alapú hozzáférést. Van mindenféle protokollokat, de ezek nélkül nem lesz képes, hogy lássa a Web-oldalakat. Láthatjuk, hogy hány „a protokoll szabályai” lehet használni a LAT. Néhányan közülük külön (nem szabványos) felbontású.
IP útválasztás. Továbbá, amint azt látjuk, hogy minden forgalmat SecureNAT-ügyfél átadja szabadon (természetesen a megfelelő szabályok beállítások). ISA ilyen beállítás a "Enable IP Routing" (engedélyezze az IP routing), amely alapértelmezésben le van tiltva. Ha engedélyezve van, ez lehetővé teszi az ISA át ICMP-forgalmat (ping) a LAT az interneten.
Nyissa meg az ISA Management Console, és menj a IP Packet Filtering. Jobb klikk, és válassza ki a Tulajdonságok, és látni fogja a következő ablak
HTTP-átirányító. Itt végez ellenőrzést az összes (tűzfal és SecureNAT) megkereső Web-szolgáltatásokat. Nyissa meg az ISA Management Console: Szerverek és tömbök => Extensions => Alkalmazás szűrők. Kattintson a jobb gombbal a HTTP-átirányító Filter, majd kattintson a Tulajdonságok parancsra. Menj a lap Opciók:
Itt tudjuk meg, hogyan lehet szabályozni (SecureNAT és tűzfal) -klientskie Web-kérelmeket. Ha azt szeretnénk, hogy arra kényszeríti a felhasználókat, hogy egy szolgáltató Web Proxy válassza átirányítása a helyi Web Proxy szolgáltatás. Meg kell szem előtt tartani, hogy ez a lehetőség is lehetőséget biztosít arra, hogy megkerülje a Web Proxy szolgáltatás, ha nem válaszol. Ebben van az előnye, hogy lehetővé teszi a (SecureNAT és tűzfal) VIP kapcsolatban maradjon az interneten, hanem lehetővé teszi számukra, hogy megkerülje a szűrés Web Proxy.
Elküldöm kért webszerver segítségével (SecureNAT és tűzfal) -klientskim Web-kérések minden alkalommal get szolgáltatás Web Proxy. Ez kiküszöböli a böngésző proxy beállításait SecureNAT és tűzfalügyfelek.
Elutasítás HTTP kérések tűzfal és SecureNAT ügyfelek lehetővé teszi az erő, hogy állítsa be a proxy beállításokat a felhasználók számára. Nem beállításokat, nincs Web.
Helyi Domain táblázat. Ez nagyon fontos információ az IE, és az ügyfél tűzfal. Minden tartomány szerepel itt is okozhat a két dolgot:
- (Web Proxy és tűzfal) VIP hagyjuk, hogy a saját domain név (nem a ISA szolgáltatás), ha van egy DNS szerver a kérést.
- Webproxyügyfelekként kéréseket egyenesen minden szerver a domain, figyelmen kívül hagyva az ISA szolgáltatásokat.
Névfeloldás. A pontos konfigurációja az IP ISA Server nagyon fontos. A legkevesebb, amit meg kell adni az ISA egy DNS szervert, hogy megoldja a külső FQDN on-demand Web Proxy és tűzfal ügyfelek, és így van, hogy olyan belső DNS-kiszolgáló a helyi hálózaton. ISA Server működik W2k, de inkább W2k DNS, mint bármely más névszolgáltatóval. Ha névfeloldás WINS vagy NetBIOS időről időre problémát okozhat. ISA rendelkezik saját DNS létrehozását DNS Lookup csomagszűrője. Hagyjuk ezt az opciót, vagy az ISA nem lehet tudni, hogy megoldja a külső nevek helyesen
Web Proxy és tűzfal DNS cache.
Web Proxy és tűzfal szolgáltatás csak a legalapvetőbb DNS „szolgáltatások”, amelyek teljesen függ a DNS-beállításokat az IP ISA konfigurációkat. Ezek lehetővé teszik FQDN-kérelmek webes és tűzfalügyfelek a DNS-kiszolgáló meghatározott IP ISA konfigurációt. Hibák ezeket a beállításokat, hozzon létre egy névfeloldás nagyobb zűrzavar Web és tűzfalügyfelek. Győződjön meg arról, hogy az ISA Server névfeloldás helyesen és gyorsan!
Az igazán érdekes dolog -, hogy van a lehetőség, hogy figyelmen kívül hagyja a TTL, normális kölcsönhatás a DNS-rekordok kapott DNS-kiszolgáló. A definíció szerint minden bejegyzés megmarad a DNS-cache Web Proxy és tűzfal, TTL 6 óra, függetlenül az aktuális TTL, bejegyzéshez társított. Egyértelmű, hogy nem szabad azt mondani, hogy ez a zavar léphet fel, az ügyfél nevét felbontás. Bármely DNS-vizsgálatokat, el kell végezni.
Mit lehet tenni erre. Két bejegyzéseknek (vagy az Active Directory Enterprise-tömbök) az egyes szolgáltatások esetében minden egyes, amelyek meghatározzák a méret a DNS-cache, és a TTL. Ezek a következők:
Az értékek hexadecimális formátumban. Windows számológépet tudja alakítani őket, ha áttért a „tudományos” üzemmódot. Amikor fordítására kiderül, hogy az alapértelmezett gyorsítótár méretét 3k byte, amely lehetővé teszi, hogy minden rekord TTL 21,600 másodperc (6:00). Ez a módszer hatékony, hogy a felbontás internetes nevek igazán élni Web és tűzfalügyfelek.
- msFPCDnsCacheSize elemre - tájékoztatja az egyes szolgáltatások a gyorsítótárat. Ha ez az érték 0, a következő bejegyzés figyelmen kívül hagyja, és a szolgáltatás nem gyűjt neveket. Nézzük változtassa meg a 0. Most minden kérelmet az ügyfél nevét újra lesz engedélyezve DNS-kiszolgáló és a TTL lesz igaz, hogy a rekordot.
- msFPCDnsCacheTtl - tájékoztat az egyes szolgáltatások száma (másodpercben), hogy tartsa minden rekord, hogy megkapja. Ha az előző felvételt tesz egy nullánál nagyobb érték, a megadott érték lesz használható. Ha az előző érték a regiszter értéke 0, akkor ez az érték nem lehet figyelembe venni.
Most indítsa újra a tűzfal és a webes szolgáltatások, így lehet alkalmazni az új beállításokat.