Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Windows 2000/NT Администрирование Установка и настройка ISA сервера RSS

Установка и настройка ISA сервера

Текущий рейтинг: 3.8 (проголосовало 118)
 Посетителей: 41234 | Просмотров: 57895 (сегодня 0)  Шрифт: - +
Краткая инструкция по установке и настройке ISA сервера для обеспечения безопасного доступа к ресурсам Internet для пользователей корпоративной сети.
Все детали и тонкости настройки выходят за рамки данной статьи, здесь я попытаюсь рассказать о минимальных настройках.

Нам понадобится дистрибутив ISA сервера, набор последних обновлений к нему, и собственно машина, на которую все это будет устанавливаться. Требования на сегодняшний день не такие уж заоблачные процессор 300MHz, 256 Mb памяти, 20 Mb свободного места на диске плюс от 100 Mb для кэширования данных. ОС Windows 2000 S, AS, DS ну и все последние обновления к ним (без SP 1 не установиться точно).
Если собираетесь устанавливать сервер в режиме Firewall или Integrated понадобиться минимум 2 сетевых адаптера. Для установки в режиме WEB proxy достаточно одного.

Настройки сетевых адаптеров

WAN – интерфейс, «смотрящий» в Интернет должен иметь реальный IP адрес

Например:
IP - 213.150.15.194
Mask - 255.255.255.240
GW – 213.150.15.193
DNS – не указываются.`

На внешнем интерфейсе убираем привязки Client for Microsoft Network и File and Printer Sharing for Microsoft Networks

LAN – интерфейс, «смотрящий» в локальную сеть

Например:
IP – 192.168.0.1
Mask - 255.255.255.0
GW - не указывается
DNS - 192.168.0.2, 192.168.0.3

Запускаем установочный дистрибутив, перед нами появляется вот такой экран.

Приступим к расшифровке того что мы видим. Первые три пункта оставляем пока без внимания (хотя со вторым стоит ознакомиться) переходим ко второй колонке.

  • Run ISA Server Enterprise initialization - эта кнопочка позволяет провести предварительные настройки AD для возможности хранения параметров ISA сервера непосредственно в AD. Для запуска необходимы следующие условия: сервер, на котором производится установка ISA сервер, должен быть членом домена, у пользователя, запускающего инициализацию, должны быть права администратора домена и схемы. Данная конфигурация рекомендуется при использовании сложной структуры, включающей несколько ISA серверов и требующих централизованного администрирования.
  • Install ISA server - тут наверно пояснений не требуется, если сложных структур нет, жмем ее.

Далее предлагают согласиться с Microsoft в части лицензионного соглашения и ввести код продукта. По окончании несложной процедуры появляется очередное окно мастера, утверждающего, что он согласен послушать ваши пожелания относительно набора устанавливаемых компонентов и места окончательного базирования продукта.

Указываем место, где будет установлен ISA сервер и выбираем предпочтительный вариант установки (Typical, Custom, Full). Для задачи предоставления доступа к ресурсам Internet вполне достаточно варианта Typical, его и выбираем. Далее выпадет вот такое предупреждение если не была выполнена процедура подготовки AD.

Продолжаем установку нажав YES.

Вот здесь нам и предложат выбрать три варианта установки ISA сервера:

Итак, как уже говорилось выше для предоставления доступа к ресурсам Интернет нам подходит Firewall Mode или Integrated Mode. Разница двух режимов заключается в возможности кэширования запросов пользователей (Integrated позволяет Firewall - нет). Выбираем требуемый вариант, далее речь будет идти о системе установленной в Integrated Mode.
В процессе установки сообщат, что был потушен IIS сервер и для дальнейшего использования приложений IIS необходимо использовать порты отличные от 80 и 8080

Далее программа установки предлагает выбрать место расположения файлов кэширования и размер в Mb, отведенный под эту задачу. Желательно разместить его на отдельном физическом диске (это увеличит производительность).

Задаем требуемые параметры и жмем Ok.

Следующее окно предлагает настроить всеми любимую LAT (таблицу локальных адресов) Здесь стоит остановиться поподробнее.
В эту таблицу необходимо включить все диапазоны локальных адресов имеющихся в сети. Обычной практикой является добавление в LAT диапазонов частных сетей 10.0.0.0 -10.255.255.255, 192.168.0.0-192.168.255.255 и 172.16.0.0 – 172.31.255.255. Хотя все зависит от адресов используемых в конкретной сети.
Есть возможность построить LAT автоматически на основании таблицы маршрутизации сетевого адаптера сервера.

После построения LAT установка завершается. Дальше будем настраивать то, что установили, а именно ISA сервер.

Далее устанавливаем все имеющиеся в наличии пакеты обновления для ISA сервера, а так же ISA server FP1 или более поздний.

Теперь установка завершена окончательно, идем в Start -> Programs -> Microsoft ISA server и запускаем ISA management.

Перед нами консоль управления сервером ISA слегка обрезанная.

Для начала открываем вкладку Policy Elements и последовательно настраиваем элементы политик, которые нас интересуют. А интересовать нас могут следующие вещи:

1. Schedules – расписания, здесь настраиваются различные параметры связанные со временем (рабочее, нерабочее время), далее при настройке правил доступа используются настроенные здесь элементы.

2. Bandwidth Proprieties – приоритеты пропускной способности, Данные элементы позволяют определить приоритеты использования канала доступа для разных групп, протоколов, и т.п. В общем вещь полезная, вот только работать начинает при максимальной загрузке канал.

3. Destination Sets – здесь создаются наборы внешних ресурсов, далее используются в создаваемых правилах.

4. Client Address Sets здесь создаются группы клиентов ISA сервера по IP адресам, далее используются в создаваемых правилах.

5. Protocol Definitions – здесь присутствует набор описаний протоколов, здесь же можно создавать свои определения протоколов, далее используются в создаваемых правилах.

6. Content Groups – создаются наборы содержимого определенного типа (HTML, Media и пр.) есть ряд готовых наборов, но при необходимости можно создать дополнительные.

7. Dial-up entries – записи для Диал ап соединений.

В ISA сервере используется принцип Запрещено все, кроме явно указанного, поэтому после установки системы ходить через нее в Интернет нельзя. Будем делать можно, т.е. создадим правило, согласно которому можно все, всем и всегда (имеется ввиду входящий трафик инициированный исходящими запросами).

Нажимаем правой кнопкой мыши на вкладку Protocol Rules далее выбираем New – new rule. Перед нами окно мастера создания правил.

1. Вводим имя нового правила Allow_All и нажимаем Next

2. Так как это разрешающее правило выбираем Allow и жмем Next

3. Разрешаем весь трафик или, при необходимости определенные типы протоколов, в нашем случае разрешаем все и нажимаем Next.

4. В этом окне указывается - когда применяется данное правило (в нашем случае оставляем Always), в других случаях выбирается требуемые временные интервалы, определенные в Schedules.

5. Здесь указывается - для кого применять указанное правило:

  • Для всех (Any request)
  • Для определенных IP адресов (Specific computers) здесь выбирается определенный ранее Client Address Set
  • Для определенных пользователей и групп (Specific users and groups) использовать можно локальные записи ISA сервера, а также доменные учетные записи при условии, что ISA сервер является членом домена.

Оставляем Any request и нажимаем Next.

6. Здесь проверяем все ли правильно задали и если наши предположения подтвердились жмем Finish.

На этом настройка правила разрешающего всем всегда использовать Интернет закончено.

Теперь перейдем к настройкам клиентов.

  1. Для простой структуры сети с одной подсетью указываем в параметрах сетевого интерфейса клиента Default Getaway внутренний IP адрес ISA сервера. В случае сложной структурой сети с большим количеством подсетей и маршрутизаторов необходимо указать в качестве шлюза по умолчанию адрес ближайшего к клиенту маршрутизатора и прописать в таблицах маршрутизации - где искать ISA сервер и выход в Интернет.
  2. В настройках обозревателя необходимо указать Ваш ISA сервер в качестве прокси сервера. Порт на котором ISA сервер принимает запросы клиентов – 8080.
  3. Для полноценной работы настоятельно рекомендуется установить на клиентскую машину Firewall Client.
  4. Дистрибутив клиента находится на ISA сервере в папке MSPCLNT, процесс установки тривиален, и в дополнительном описании не нуждается.

Проделав указанные манипуляции, мы организовали доступ к ресурсам Интернет для всех пользователей локальной сети без всяких ограничений.

Обновления для Microsoft ISA сервер можно загрузить по адресу http://www.microsoft.com/isaserver/downloads/default.asp
Иcточник: http://networkdoc.ru  •  Опубликована: 30.01.2005
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.