Это статья Марка Гроута (Marc Grote), впервые написанная им для ISAserver.org, хотя вот уже в течение 2 лет он пишет для MSExchange.org. Это первая часть серии из 4 статей, целью которой является установка и настройка ISA Server 2004 Enterprise Edition. В первой части Марк покажет, как установить и настроить сервер хранения настроек.
Серия будет состоять из следующих статей:
Если у вас есть интересные идеи о ISA Server 2004 Enterprise, напишите мне и, возможно, я включу их в свои следующие статьи.
Нам нужны следующие настройки:
| Имя | Предназначение | Настройка |
|---|---|---|
| DEN-DC-01 | Контроллер домена Windows 2003 | Внутренний: 192.168.1.10 |
| DEN-CSS-01 | Windows 2003 Member Server с ISA Server 2004 Configuration Storage Server | INTERNAL: 192.168.1.20 |
| DEN-ISAEE-01 | Windows 2003 Member Server с ISA Server 2004 Enterprise Firewall | INTRAARRAY: 192.168.0.1 INTERNAL: 192.168.1.1 EXTERNAL: 172.16.1.1 |
| DEN-ISAEE-02 | Windows 2003 Member Server с ISA Server 2004 Enterprise Firewall | INTRAARRAY: 192.168.0.2 INTERNAL: 192.168.1.2 EXTERNAL: 172.16.1.2 |
Перед установкой сервера хранения настроек на DEN-CSS-01 необходимо ознакомиться с основными характеристиками и терминологией ISA Server 2004 Enterprise.
ISA Server 2004 Enterprise обладает не только всеми характеристиками ISA Server 2004 Standard, но и следующими чертами:
В первой статье серии будет описан процесс установки сервера хранения настроек (CSS) на DEN-CSS-01.
ISA Server 2004 Enterprise использует серверы хранения настроек для хранения системы защиты Firewall массива ISA Server. Один сервер хранения настроек в состоянии хранить настройки защиты для многих массивов ISA Server 2004 Enterprise Edition Сервер хранения настроек использует ADAM (Active Directory Application Mode). ADAM представляет собой директорию LDAP и функционирует как неработающая системная служба, которая не требует развертывания на контроллере домена. Допускается использование нескольких ADAM на одном сервере, и все они могут быть настроены по отдельности.
Сервер хранения настроек может быть установлен на контроллере домена, рядовом сервере, на самом ISA Server или на сервере в рабочей группе. Любой метод установки имеет свои плюсы и минусы. Далее будет показано, как устанавливать сервер хранения настроек на рядовом сервере Windows Server 2003.
Вставьте диск с ISA Server 2004 Enterprise в дисковод и следуйте инструкциям. Выберите Install Configuration Storage Server (Установить сервер хранения настроек). Это установит ADAM, который будет использоваться для хранения настроек массивов ISA Server. Члены массива ISA Server свяжутся с сервером хранения настроек для получения параметров настроек.
Рисунок 1: Установка сервера хранения настроек
Если выбрать Install Configuration Storage Server (Установить сервер хранения настроек) (см. рисунок 2), то можно увидеть, что будут установлены только сервер хранения настроек и ISA Management Option.
Рисунок 2: Выбор компонентов
На следующей странице выберите create a new ISA Server enterprise (Создать новый ISA Server enterprise) (см. рис. 3). Это создаст новый ISA Server Enterprise во время установки.
Рисунок 3: Создать новый ISA Server Enterprise
Рисунок 4 изображает предупреждающее сообщение, где Microsoft рекомендует установку только одной версии в организации. Управление несколькими версиями более сложное. Возможно развертывание нескольких массивов на одном ISA Server Enterprise.
Рисунок 4: Предупреждающее сообщение при установке нового ISA Enterprise
Следующим шагом (см. рис. 5) является определение имени нового ISA Server Enterprise и введение для него описания.
Рисунок 5: Введите имя и описание для нового Enterprise
При использовании ISA Server 2004 Enterprise на одном или нескольких доменах с доверительными отношениями выберите I am deploying in a single domain or in domains with trust relationships (Я устанавливаю на один или несколько доменов с доверительными отношениями). ISA Server будет использовать авторизацию Windows. При использовании разных ISA Server and Configuration Storage Server на разных доменах без доверительных отношений используйте сертификаты для установки безопасного канала связи для авторизации.
Внимание:
Обратите внимание на то, что при использовании ISA Server 2004 Enterprise в рабочей группе можно установить только один сервер хранения настроек. Для поиска дополнительной информации по использованию сервера ISA в рабочей группе перейдите по ссылкам:
При использовании сертификатов воспользуйтесь следующим инструментом для обновления настроек учетной записи ADAM для продления срока действия.
http://www.microsoft.com/downloads/details.aspx?FamilyID=1cbac3e5-acac-4613-9860-e1b760b9434f&DisplayLang=en
Следующий инструмент — ISACertTool.exe
http://www.microsoft.com/downloads/details.aspx?FamilyId=F8F60164-C5A5-4716-9FF4-2D56C86506C3&displaylang=en
Рисунок 6: Установка метода развертывания сервера ISA 2004
После окончания установки ISA Server 2004 открывается web-страница ISA Server 2004, следуя рекомендациям на которой можно дополнительно обезопасить WindowsISA Server.
Настоятельно рекомендую прочитать следующие статьи с сайта компании Microsoft:
Улучшение инфраструктуры Windows ISA Server 2004 http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/hardeningwindows.mspx
Улучшение безопасности ISA Server 2004 http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/securityhardeningguide.mspx
Рисунок 7: Улучшение инфраструктуры WindowsISA Server
Перед установкой членов массива ISA Server 2004 необходимо создать новый массив ISA Server 2004. Для создания массива запустите панель управления ISA Server 2004 на сервере хранения настроек, в меню Arrays(Массивы) создайте новый массив ISA Server.
Рисунок 8: Создать новый массив ISA Server
Присвоим ему имя MainArray (см. рис. 9).
Рисунок 9: Ввод имени массива ISA Server 2004
На следующей странице (см. рис. 10) необходимо ввести имя для массивов DNS ISA Server. Необходимо ввести имя FQDN для DNS. Следует ввести соответствующую запись в DNS, чтобы клиенты Firewall и web-прокси-клиенты могли правильно опознать имя. При использовании NLB введите VIP (Виртуальный IP) для IP адреса DNS. В следующей статье будет больше информации о NLB. Введите имя DNS массива MainArray.cohovineyard.com.
Рисунок 10: Имя DNS массива ISA Server
Далее необходимо определить, какую систему Enterprise применить к массиву. Так как мы не создаем другую политику, следует использовать Default Policy (Систему по умолчанию) (см. рис. 11). Допускается создание новых систем защиты и привязывание к массиву после установки.
Рисунок 11: Выбрать систему ISA Server Enterprise для нового массива
На следующем рисунке видно, что можно выбирать типы правил системы защиты Firewall для данного массива (см. рис. 12). Это хорошая возможность для ограничения типов правил на уровне массива.
Рисунок 12: Выбрать типы правил системы защиты Firewall для данного массива
После прочтения краткого обзора мастера установки нового массива нажмите кнопку Finish (Завершить). ISA Server создает новый массив. Это может занять значительное время (см. рис. 12).
Нажмите кнопку Apply(Применить) (см. рис. 14) для завершения установки нового массива.
Рисунок 14: Нажмите кнопку Apply (Применить) для сохранения изменений и обновления настроек.
Как вам известно, ISA Server 2004 использует системы защиты, разрешающие связь между ISA Server, Active Directory Servers, серверами DNS, DHCP и многими другими. Необходимо изменить систему защиты для разрешения членам массива ISA Server 2004 подключаться к серверу хранения настроек. Для получения дополнительной информации по системам защиты прочитайте статью Томаса Шиндерса (Tom Shinders) «Системная политика и конфигурация, определяемая по умолчанию после установки брандмауэра ISA»: http://www.isadocs.ru/articles/The-ISA-Firewall-s-Default-Post-Installation-System-Policy-and-Configuration.html.
Следующие настройки можно найти в редакторе системы защиты Configuration Storage ServerLocal Configuration Storage Server Access (Сервер хранения настроек – доступ к локальному серверу хранения настроек). Нажмите кнопку Enable(Разрешить) (см. рис. 15).
Рисунок 15: Разрешить доступ к удаленному серверу хранения настроек
В списке From (От) (см. рис. 15) в редакторе системы защиты выберите Managed ISA Server Computers (Управляемые компьютеры ISA Server, нажмите кнопку Add (Добавить), введите имена и IP адреса двух членов массива ISA Server 2004 Enterprise.
Нажмите кнопку Apply(Применить) для сохранения внесенных настроек. Теперь все готово для установки служб Firewall.
Это была всего лишь первая часть серии статей, раскрывшая секреты установки сервера хранения настроек. ISA Server 2004 со службами Firewall ISA Server 2004.
www.isaserver.org
Tags: cache, carp, dns, domain, Exchange, ISA Server, ldap, redirect