Sunday, July 22nd, 2018

ISA Server 2004 Service Pack 2

Published on Февраль 6, 2009 by   ·   Комментариев нет

Введение

Компании, владеющие сетью филиалов, расположенных как в одном месте, так и в различных частях земного шара, желают иметь гарантированные безопасные, защищенные и эффективные соединения как между главным офисом и филиалами, так и между самими филиалами. Microsoft Internet Security and Acceleration (ISA) Server 2004 Service Pack 2 (SP2) является ответом компании Microsoft на нужды компаний для обеспечения безопасности соединений с филиалами и для более эффективной связи даже там, где пропускная способность сети ограничена и время ожидания велико. ISA Server 2004 SP2 обладает возможностями для создания таких соединений, что и описывается в данной статье. В ISA Server 2004 SP2 также включена улучшенная документация, дающая больше информации по проблемам, наиболее интересующих пользователей ISA-сервера.

Данный пакет обновлений также включает в себя несколько исправлений и ответов на запросы клиентов. Например, был улучшен и обновлен механизм маршрутизации массива кэша (Cache Array Routing Protocol — CARP) и добавлены предупреждения системы управления сертификатами. Дополнительную информацию о продукте можно получить сайте серверных платформ Microsoft Windows.

Исправления и новые функции относятся к ISA Server 2004 SP2 Standard Edition и Enterprise Edition.

Офис и филиалы

Главный офис компании расположен в Нью-Йорке, а филиалы по всему миру. Некоторые из больших филиалов напрямую соединены с главным офисом высокоскоростными соединениями. Остальные соединяются через виртуальные частные сети (VPN) по коммуникационным линиям различных скоростей и с разным временем задержки. Например, маленький удаленный филиал может соединяться напрямую (через линию ретрансляции кадров Frame Relay) или через VPN со скоростью 56 или 64 килобит в секунду. Часто прокси-сервер главного офиса направляет интернет-запросы напрямую в Интернет, тогда как филиалы могут направлять свои запросы через главный офис.

Клиентами в филиалах, которые получают все преимущества от возможностей SP2, являются интернет-браузеры. Обычно им требуется трафик протокола HTTP 1.1.

Вот что предоставляют для соединений новые функции ISA Server 2004 SP2:

  • Кэширование содержимого, полученного филиалами с центра Microsoft Update, с использованием Фоновой интеллектуальной службы передачи (Background Intelligent Transfer Service — BITS). Процесс получения данных с помощью BITS, таких как с центра Microsoft Update, использует много ресурсов сети, которые трудно сократить при наличии главного офиса и филиалов. Повторное получение данных является расточительным даже при условии высокоскоростных соединений. В филиалах с медленными соединениями такие процессы получения данных используют большую часть пропускной способности сети и занимают много времени. В случае получения данных из центра Microsoft Updates задержки могут привести к угрозе безопасности обновляемых компьютеров. Кэширование с помощью BITS данных из Microsoft Updates – одна из функций, представленных в ISA Server 2004 SP2.
  • Компрессия содержимого между филиалами и главным офисом требуется для обеспечения сохранения ограниченной пропускной способности сети. Для уменьшения использования пропускной способности сети в ISA Server 2004 SP2 используется HTTP-компрессия. Обратите внимание, что протокол HTTP 1.1 поддерживает компрессию, а протокол HTTP 1.0 нет.
  • Проверка соединений, использующих HTTP-компрессию.
  • Если соединения между филиалом и главным офисом изменяются в зависимости от их важности, приоритет пакетов может быть изменен, также как и соответствующее им использование ограниченной пропускной способности. В ISA Server 2004 SP2 поддерживается контроль пропускной способности, который управляется корпоративными маршрутизаторами с помощью назначения пакетам приоритета, используя протокол дифференциального обслуживания (Differentiated Services – DiffServ). Протокол DiffServ накладывает ограничения, которые позволяют развернуть в Интернете масштабируемую службу разграничений. DiffServ использует отметку в заголовке протокола Интернета (Internet Protocol — IP) каждого пакета для обозначения приоритета.

О DiffServ см. статью Definition of the Differentiated Services Field (DS Field) in the IPv4 and IPv6 Headers (Определение поля дифференциального обслуживания в заголовках протоколов IPv4 и IPv6) на сайте ietf.org.

Замечание

  • Установка приоритета пакетов с использованием DiffServ может работать только в сетях, в которых маршрутизаторы поддерживают функцию Quality of Service (QoS).
  • DiffServ не предоставляет возможность контроля пропускной способности сети для каждого пользователя.

Возможности ISA Server 2004 SP2

В ISA Server 2004 SP2 встроены возможности кэширования с помощью BITS данных из центра Microsoft Update, HTTP-компрессия с проверкой и установка приоритета пакетов с помощью DiffServ.

Кэширование с помощью BITS

Фоновая интеллектуальная служба передачи (Background Intelligent Transfer Service – BITS) помогает передавать большие объемы информации без уменьшения производительности сети. Достигается это за счет передачи данных небольшими порциями, используя невостребованную доступную пропускную способность, и соединения порций данных в мете назначения. В ISA Server 2004 SP2 встроен механизм кэширования данных, полученных из центра Microsoft Update с помощью BITS.

Замечание

  • Кэширование содержимого с серверов, отличных от Microsoft Update или служб обновления программного обеспечения, не поддерживается.
  • Правило кэширования Microsoft Update считает размер объекта, основываясь на содержимом, и не включает величину заголовков.

Кэширование данных Microsoft Update

Обновление операционных систем Microsoft Windows и других продуктов компании Microsoft на компьютерах компании может использовать большую часть доступной пропускной способности сети. Эта проблема особо остро стоит при низкой пропускной способности сети, но также встречается и в сетях с большой пропускной способностью. Обновление Windows и другого программного обеспечения Microsoft — это важная для безопасности функция, которая должна выполняться быстро.

ISA Server 2004 SP2 предоставляет возможность для кэширования данных Microsoft Update с помощью BITS для хранения обновлений так, чтобы кэш ISA-сервера сам отвечал на запросы. Обновления могут быть скачаны через Интернет один раз, а затем применяться по всей корпоративной сети.

Кэширования данных Microsoft Update использует запросы HTTP по диапазону (HTTP Range Requests) для обеспечения эффективности процесса. Microsoft Update использует собственные механизмы для получения компьютером обновлений только той версии Windows, которая на нем установлена, и только той информации, которая ему нужна. За счет того, что ISA-сервер может кэшировать такие запросы, достигается дополнительная эффективность. Например, в филиале, где на компьютерах установлена только Windows XP, будут обновляться и кэшироваться только запросы на обновления Windows XP. Это увеличивает скорость обновления при низкой пропускной способности сети и безопасность сетевого окружения.

Замечание: О том, как Microsoft Update позволяет компьютерам запрашивать и получать только требуемую информацию, см. Using Binary Delta Compression (BDC) Technology to Update Windows Operating System (Использование технологии BDC для обновления операционных систем Windows) на Microsoft Download Center.

HTTP-компрессия

HTTP-компрессия уменьшает размер файла, используя алгоритмы для удаления избыточных данных. Таким образом могут быть безопасно сжаты файлы большинства типов. HTTP-компрессия использует стандартные алгоритмы GZIP и Deflate, которые встроены в Windows 2000 Server и новые операционные системы, а также в Internet Explorer версии 4 и выше. Эти алгоритмы сжимают статические файлы, а также позволяют производить по запросу динамически сгенерированные ответы перед отправкой их по сети. Эти же алгоритмы используются для декомпрессии статических файлов и динамических ответов на стороне клиента, поддерживающего протокол HTTP 1.1. Клиент, настроенный на использование протокола HTTP 1.1, запрашивает сжатую информацию у web-сервера. Web-сервера в ответе указывают, поддерживают ли они компрессию или нет.

Замечание: Для настройки Internet Explorer на использование HTTP 1.1 на вкладке Advanced (Дополнительно) окна Internet Options (Свойства) выберите пункт Use HTTP 1.1 through proxy connections (Использовать протокол HTTP 1.1 для соединений через прокси-сервер).

В ISA-сервере HTTP-компрессия является глобальной установкой HTTP. Она применяется ко всему HTTP-трафику, проходящему через ISA-сервер к или от отдельной сети или сетевого объекта, а не только для трафика, управляемого отдельным правилом. HTTP-компрессия представлена двумя web-фильтрами:

  • Фильтр сжатия. Данный фильтр отвечает за компрессию и декомпрессию запросов и откликов HTTP. Он обладает высоким приоритетом и находится на вершине списка web-фильтров, поскольку он отвечает за декомпрессию. В случае выбора проверки сжатого содержимого, декомпрессия должна проходить до того, как другие web-фильтры будут проверять содержимое.
  • Фильтр кэширования сжатого содержимого. Данный фильтр отвечает за кэширование сжатого содержимого и обслуживает запросы на сжатое содержимое из кэша. У него самый низкий приоритет и расположен этот фильтр внизу списка web-фильтров, поскольку кэширование происходит после того, как все фильтры проверят содержимое.

Не изменяйте приоритеты по умолчанию для данных фильтров.

HTTP-компрессия также дает возможность установки компрессии по диапазону. Данная функция описана в данной статье в разделе Компрессия по диапазону.

Замечание: Трафик HTTPS не сжимается.

Компрессия по диапазону

Компрессия по диапазону – это сжатие отдельной части web-содержимого. Компрессия по диапазону требуется для поддержки файлов типа PDF (Portable Document Format – формат портативных документов), которые не имеют встроенной поддержки сжатия.

Поскольку службы Internet Information Services (IIS) не поддерживают компрессию по диапазону, не включайте эту функцию в сетях с серверами IIS. Однако, поскольку ISA-сервер поддерживает компрессию по диапазону, можно включить данную функцию между двумя ISA-серверами. К примеру, если в главном офисе стоит web-сервер, можно отключить компрессию по диапазону во внутренней сети главного офиса, но включить ее во внешней сети между главным офисом и филиалами. Таким образом, компрессия по диапазону будет использоваться между офисами.

Замечание: Запросы на комментарии HTTP (Request for Comment — RFC) не объясняют, как управлять набором сжатого содержимого с заголовками диапазонов (заголовки HTTP запрашивают диапазон содержимого). Из-за этой неопределенности в RFC по умолчанию IIS не сжимает запросы по диапазону. IIS возвращает диапазон из сжатого файла в том случае, если установлен специальный флажок. Однако, вначале IIS сжимает файл целиком, а затем возвращает диапазон. Для имитации этих действий ISA-сервер должен получить весь файл, сжать его и затем вернуть заданный диапазон. Если файл большой и диапазон заканчивается, может возникнуть ошибка отказа в обслуживании. Для защиты от этого в ISA-сервере применяется отличный от IIS подход.

По умолчанию ISA-сервер не сжимает запрос по диапазону. Для поддержки запроса по диапазону ISA-сервер использует новое свойство сетевых элементов, которое показывает, разрешена ли компрессия по диапазону. Если да, то ISA-сервер запрашивает компрессию. При получении сжатого запроса по диапазону ISA-сервер всегда осуществляет декомпрессию. При ответе клиенту, требующему сжатие, ISA-сервер сжимает данные до передачи их клиенту.

На схеме описывается процесс сжатия в ISA Server 2004 SP2.

Приоритет обработки пакетов сервером

Описание процесса сжатия в ISA Server 2004 SP2:

  • Клиент запрашивает компрессию диапазона.
  • Настройки в филиале не разрешают клиенту сжатие запроса. Однако, ISA-сервер в филиале настроен на сжатие запросов и сжатие диапазона, и поэтому посылает в главный офис сжатый запрос по диапазону.
  • ISA-сервер главного офиса получает запрос. Поскольку клиенту (ISA-сервер филиала) разрешены сжатые запросы, ISA-сервер посылает запрос на web-сервер. Однако поскольку ISA-сервер в главном офисе настроен на запрет запросов с компрессией по диапазону, ответ web-сервера содержит несжатый диапазон.
  • Когда ISA-сервер главного офиса получает запрос, он возвращает его ISA-серверу филиала. Поскольку запрос от ISA_сервера филиала запрашивал сжатие, ISA-сервер главного офиса сжимает данные перед отправкой.
  • ISA-сервер филиала получает ответ, сжатый по диапазону. ISA-сервер делает декомпрессию и передает несжатые данные клиенту в филиале.

Компрессия по диапазону не устанавливается через консоль управления ISA-сервера. Администратор должен редактировать .xml-файл вручную и установить флажок CompressRange. Как это сделать описано в данной статье в разделе Настройка минимального размера пакета и компрессии по диапазону.

Замечание: Запросы по диапазону не хранятся в кэше ISA-сервера.

Кэш и компрессия ISA-сервера

Кэш и компрессия в ISA-сервере работают вместе для более эффективного обслуживания сжатых запросов. Обратите внимание на следующие замечания о том, как работают кэш и компрессия:

  • Содержимое кэшируется в одном из трех форматов:
    • Сжатое. Содержимое запрашивается в сжатом формате и кэшируется в сжатом формате.
    • Несжатое. Содержимое запрашивается в несжатом формате и кэшируется в несжатом формате.
    • Несжатое и несжимаемое. Если клиент запрашивает сжатое содержимое, а оно приходит в кэш несжатым, оно сохраняется в кэше как несжимаемое. При получении нового запроса на такое же сжатое содержимое ISA-сервер распознает, что содержимое несжимаемое и берет его из кэша несжатым, не делая запрос в Интернет. Проверяемое содержимое также хранится в несжатом и несжимаемом виде.
  • После того, как содержимое помещено в кэш, оно берется из кэша даже в случае изменения статуса компрессии в правилах кэша. Например, если вы изначально включили проверку сжатого содержимого, оно будет храниться в кэше как несжатое и несжимаемое. ISA-сервер сжимает содержимое перед отправкой клиенту (если клиент запросил сжатое содержимое). Если отключить проверку содержимого, оно все равно будет браться из кэша. В этом случае ISA-сервер продолжит сжимать содержимое для клиентов, запрашивающих сжатое содержимое, а не хранить сжатые данные в кэше и оттуда предоставлять их клиентам. Это может повлиять на производительность ISA-сервера при ответе на запросы. Если вы хотите, чтобы изменения настроек компрессии отразились на содержимом кэша, вам следует вначале очистить кэш.

Для очистки кэша отключите его использование через консоль управления ISA-сервера, а затем удалить файлы кэша, такие как Dir1.cdat (имя по умолчанию для файла кэша ISA-сервера). Файл кэша находится в папке Urlcache на каждом диске, настроенном на хранение кэша. После удаления файла кэша включите функцию использования кэша через консоль управления ISA-сервера. Существует простой сценарий, который описывает, как удалить кэш программным способом. Информацию о этом вы найдете в документе Deleting Cache Contents (Удаление содержимого кэша) на сайте Microsoft TechNet.

Типы содержимого и компрессии

В общих словах: некоторые web-серверы при ответе на запрос не всегда точно передают тип содержимого в заголовке ответа. Например, ответ может содержать файл Microsoft Office PowerPoint 2003 (.ppt), а заголовок ответа может указывать, что содержимое – это простой текст. Когда Internet Explorer получает этот ответ в сжатом виде, он не может интерпретировать его и пользователь видит на мониторе ничего не значащие символы. Если ответ не сжат, Internet Explorer может понять его, и пользователь сможет открыть и просмотреть содержимое. Однако, если запрос клиента является сжатым, а web-сервер отвечает несжатым содержимым, ISA-сервер сжимает его, и Internet Explorer не сможет его интерпретировать. В этом случае клиент для просмотра должен запрашивать несжатое содержимое (путем изменения настроек браузера).

Установка приоритетов пакетов с помощью DiffServ

Приоритет пакетов – это установка глобальной политики HTTP. Приоритет применяется ко всему трафику, проходящему через ISA-сервер, а не только к тому, который управляется специальным правилом. Приоритет пакетов устанавливается с помощью web-фильтра DiffServ, который проверяет URL или домен и назначает пакетам приоритет с помощью битов данных DiffServ. В ISA-сервере можно создать приоритеты, биты DiffServ которых совпадают с приоритетами на корпоративных маршрутизаторах. Таким образом, можно настроить корпоративные маршрутизаторы на передачу пакетов соответственно их приоритету.

Данный фильтр обладает высоким приоритетом и находится в вершине списка web-фильтров, поскольку это фильтр должен знать реальный размер посланного запроса или ответа и должен проверить данные, получаемые или передаваемые ISA-сервером.

Не изменяйте приоритет по умолчанию и порядок настроек данного фильтра.

Замечание

  • ISA-сервер не добавляет биты DiffServ на протоколы, отличные от HTTP или HTTPS. ISA-сервер не может передавать существующие биты DiffServ на трафик других протоколов. (Данная информация может быть удалена из пакета.)
  • Для ответов из кэша приоритет первого пакета не устанавливается.
  • Установка приоритета пакета не учитывает размер первой порции данных при назначении приоритета первому пакету. Поэтому приоритет первого пакета выставляется для большой порции данных.

Измененные функции

В этом пакете исправлений ISA-сервера были изменены некоторые функции. Данные изменения описаны в этом разделе.

Cache Array Routing Protocol

В ISA Server 2004 Enterprise Edition механизм Cache Array Routing Protocol (CARP) использовал основанную на хэше маршрутизацию, которая зависела от URL, определяющего, какой член массива будет обрабатывать запрос. Исключениями CARP были сайты, которые были настроены на управление одним членом массива. Член массив, обрабатывающий запрос, выбирался по хост-имени в заголовке узла. Для улучшения функциональности Internet Explorer и для обеспечения лучшего контроля над распределением запросов, создающих большой web-трафик, в Service Pack 2 данная функция изменилась.

В Service Pack 2 маршрутизация CARP использует имена хостов для определения, какой член массива будет обрабатывать запрос. CARP приписывает все запросы к определенному хосту, например www.fabrikam.com, отдельному члену массива. К тому же это защищает сессию, поскольку запросы и ответы управляются одним членом массива. Исключениями CARP являются сайты, которые создают очень большой трафик при обработке одним сервером, и поэтому они распределяются между всеми членами массива. Например, вы желаете, чтобы все запросы на обновление продуктов Microsoft распределялись между серверами, а не приписывались одному члену массива. Для этого сайты Microsoft Update нужно добавить в список исключений CARP.

Автоопределение

Автоопределение клиентом настроек ISA-сервера в данном пакете обновлений изменилось. В Service Pack 2 для прохождения проски-сервера запрос должен находиться в нужном диапазоне IP-адресов, а также должны совпадать имя сервера или домена, указанные в настройках web-браузера.

Отслеживание

В Service Pack 2 включен механизм отслеживания ошибок, постоянно работающий в фоновом режиме. При необходимости полученная информация будет доступна для служб поддержки продуктов Microsoft. Механизм отслеживания не собирает персональную информацию.

Поскольку отслеживание осуществляется в фоновом режиме, оно не оказывает существенного влияния на производительность ISA-сервера. На каждом ISA-сервере создается 400-мегабайтный файл (%windir%\debug\isalog.bin) для хранения информации по отслеживанию.

Мы рекомендуем использовать настройки по умолчанию. Однако, если вы хотите изменить механизм отслеживания, используйте ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ISATrace. Для изменения размера файла измените значение параметра CircularlLogSizeMB. Для отключения отслеживания поставьте значением параметра BootTracing 0. Это действие не удалит файл, файл нужно удалить вручную. После внесения изменений в реестр перезагрузите компьютер для того, чтобы изменения вступили в силу. Если вы создадите ключ реестра до установки Service Pack 2 и установите значение параметра BootTracing равным 0, файл не будет создан во время установки, а функция отслеживания будет отключена.

Безопасность аутентификации

При использовании HTTP-сопряжения ISA-сервер не пропускает трафик на внешний HTTP порт, если web-приемник настроен на запрос основной аутентификации, аутентификации с помощью форм или аутентификации RADIUS. Это изменение системы безопасности. Учетные данные должны быть зашифрованы и не посылаться открытым текстом по протоколу HTTP.

Подробное описание возможностей

В этом разделе описывается требования к установке и настройке ISA Server 2004 SP2.

Установка

Данный раздел описывает установку ISA Server 2004 SP2. Предполагается, что у вас уже установлен сервер ISA Server 2004.

Замечание

  • Для Enterprise Edition не нужно переустанавливать или обновлять сервер хранилища настроек. Новые функции работают на компьютерах со службами ISA-сервера.
  • Функции QoS управляются web-фильтрами ISA-сервера. Эти фильтры устанавливаются с приоритетом и в порядке, необходимом для правильной работы. Не изменяйте настройки приоритета и порядок по умолчанию.

Для того чтобы установить ISA Server 2004 SP2 на каждом из членов массива (для Enterprise Edition) или на каждом компьютере (для Standard Edition), выполните следующее:

  1. Закройте консоль управления ISA-сервера.
  2. Запустите программу установки пакеты обновлений с компакт-диска или с того места, где он находится. Мастер установки поможет вам в процессе установки.
  3. Перегрузите компьютер. Перезагрузить требуется все компьютерами с установленными службами ISA-сервера.

Создание правила кэширования данных Microsoft Update

В данном разделе описывается, как настроить правило кэширования данных Microsoft Update, которое будет использовать кэширование данных Microsoft Update с помощью BITS. Предполагается, что вы уже включили функцию кэширования ISA-сервера, как описано в Приложении A: Включение кэширования ISA-сервера.

Для создания правила кэширования данных Microsoft Update выполните следующее:

  1. В консоли управления ISA-сервера откройте пункт Cache (Кэширование):
    • Для ISA Server 2004 Enterprise Edition: раскройте узел Microsoft Internet Security and Acceleration Server 2004, затем Arrays (Массивы), далее Array_Name (Имя_массива), Configuration (Настройка) и Cache (Кэширование).
    • Для ISA Server 2004 Standard Edition: раскройте узел Microsoft Internet Security and Acceleration Server 2004, затем Server_Name (Имя_сервера), далее Configuration (Настройка) и Cache (Кэширование).
  2. Выберите закладку Cache Rules (Правила кэширования). В панели задач нажмите Create the Microsoft Update Cache Rule (Создать правило кэширования данных Microsoft Update). Запустится мастер создания правила.
  3. На странице приветствия с именем Microsoft Update Cache Rule (Правило кэширования данных Microsoft Update) нажмите Next (Далее).
  4. На выбор. На странице Microsoft Product Update Sites (Сайты продуктов Microsoft ) вы можете добавить имена доменов в набор имен доменов Microsoft Update (автоматически создается правилом). Нажмите Next (Далее).
  5. На последней странице просмотрите информацию о настройке и нажмите Finish (Завершить).
  6. Нажмите Apply (Применить), чтобы изменения вступили в силу.

Важно: В списке правил кэширования правило кэширования данных Microsoft Update должно оставаться первым.

Настройка HTTP-компрессии

Для того, чтобы настроить HTTP-компрессию, выполните следующее:

  1. В консоли управления ISA-сервера откройте пункт General (Общие):
    • Для ISA Server 2004 Enterprise Edition: раскройте узел Microsoft Internet Security and Acceleration Server 2004, затем Arrays (Массивы), далее Array_Name (Имя_массива), Configuration (Настройка) и General (Общие).
    • Для ISA Server 2004 Standard Edition: раскройте узел Microsoft Internet Security and Acceleration Server 2004, затем Server_Name (Имя_сервера), далее Configuration (Настройка) и General (Общие).
  2. На вкладке Global HTTP Policy Settings (Глобальные настройки политики HTTP) нажмите Define HTTP Compression Preferences (Определить предпочтения HTTP-компрессии). Откроется окно свойств HTTP Compression (HTTP-компрессия).

    Очистка кэш ms isa 2006

  3. На вкладке Settings (Установки) вы можете добавить сетевые объекты, для которых требуется HTTP-компрессия. Нажмите Add (Добавить). Откроется диалоговое окно Add Network Entities (Добавить сетевые объекты). Выберите в нем объект и нажмите Add (Добавить). Повторите эту процедуру для каждого элемента и нажмите Close (Закрыть). Обратите внимание, что список сетевых объектов упорядочен, так что вы можете установить предпочтения компрессии между сетевыми объектами. Используйте стрелки для изменения порядка сетевых элементов. Выделите сетевой элемент и нажмите Set Compression (Установить компрессию) для установки свойств компрессии.

    Очистка кэш ms isa 2006

  4. В диалоговом окне Set Compression (Установить компрессию) вы можете выбрать:
    • Reply with compressed HTTP content (Отвечать со сжатым HTTP-содержимым). В этом случае ISA-сервер возвращает сжатое содержимое, если клиент запросил компрессию данных от этого сетевого элемента.
    • Request compressed HTTP content from servers (Запрашивать сжатое HTTP-содержимое от серверов). В этом случае ISA-сервер запрашивает сжатое содержимое от сетевых элементов.
  5. После настройки компрессии для сетевых элементов в диалоговом окне Set Compression (Установить компрессию) нажмите OK для его закрытия.

    Обновления для isa server 2004

  6. На вкладке Content Types (Типы содержимого) вы можете указать, какой тип содержимого требует сжатия. У вас есть возможность указать, какой тип будет исключен (остальные включены), или какой тип включен (остальные исключены). Далее выберите включаемые или исключаемые типы содержимого. Предыдущий рисунок является примером настройки, при которой HTML-документы будут сжиматься. Вы можете создать новый тип в панели задач политик брандмауэра на вкладке Toolbox (Средства), как описано в помощи ISA-сервера.
    Замечание: Нижеследующие типы не могут быть подвержены компрессии, поскольку они уже сжаты или являются потоковыми данными:
    • video
    • audio
    • application/x-tar
    • x-world/x-vrml
    • application/zip
    • application/x-gzip
    • application/x-zip-compressed
    • application/x-compress
    • application/x-compressed
    • application/x-spoon@@

      Настроить HTTP нет данного пункта isa

  7. На вкладке Content Inspection (Проверка содержимого) вы можете указать, проверять ли web-фильтрам содержимое или нет. Для этого сжатое содержимое будет подвержено декомпрессии. После декомпрессии содержимое хранится в кэше как несжатый текст. Если ISA-сервер получает запрос на данные из кэша, он сжимает их снова перед отправкой, что увеличивает время ответа.
  8. По окончанию настройки нажмите Apply (Применить), чтобы изменения вступили в силу.

Настройка минимального размера пакета и компрессии по диапазону

Два свойства приоритетов пакетов не могут быть установлены с помощью консоли управления ISA-сервера:

  • Минимальный размер пакета для сжатия. Поскольку нет необходимости сжимать маленькие пакеты, минимальный размер пакета (в байтах) можно установить. По умолчанию это значение равно 36 байт.
  • Поддержка компрессии по диапазону. Службы Internet Information Services (IIS) не поддерживают компрессию по диапазону, поэтому не стоит разрешать ее в сетях с серверами IIS. Однако, поскольку ISA-сервер поддерживает компрессию по диапазону, можно включить ее между двумя ISA-серверами. К примеру, если в главном офисе стоит web-сервер, можно отключить компрессию по диапазону во внутренней сети главного офиса, но включить ее во внешней сети между главным офисом и филиалами. Таким образом, компрессия по диапазону будет использоваться между офисами.

Эти параметры отражены в .xml-файле, который хранится в хранилище web-прокси как установки параметра производителя.

Для настройки приоритета выполните следующее:

  1. Создайте .xml-файл. (Для примера см. раздел Пример XML-файла настройки в этой статье). Вы можете создать .xml-файл при настройке HTTP-компрессии в консоли управления ISA-сервера, а затем экспортировать настройки с помощью файла SetCompConfig.vbs. Синтаксис строки запуска:
    SetCompConfig.vbs export имя_файла
  2. Отредактируйте .xml-файл для изменения настроек и снова запустите скрипт для измененного файла. Запустите файл SetCompConfig.vbs с именем вашего файла в качестве параметра. Так вы поместите файл в хранилище ISA-сервера. Файл SetCompConfig.vbs можно найти на сайте Microsoft Windows Server System.
    Для импорта используйте следующий синтаксис:
    SetCompConfig.vbs import имя_файла

Пример XML-файла настройки

Вот пример XML-файла настройки:


<Compression ContentInspectionIsRequired="false"
  MinimumCompressionLength="36"
  MemAllocCompression="256">
 <NetworksElements>
   <NetworkElement
      Name="Internal"
   Type="Network"
   ClientCanAskForCompression="true"
   ServerShouldCompressResponse="false"
   CompressRange="false"
   StorageName="{4E32B556-0FAF-4A27-9111-085F679EDC9B}" />
  <NetworkElement
      Name="External"
   Type="Network"
   ClientCanAskForCompression="false"
   ServerShouldCompressResponse="true"
   CompressRange="true"
   StorageName="{F129EACF-778B-44FE-B339-5B752D7220A3}" />
  </NetworksElements>
 <ContentTypes CompressOnlyFollowingContentType="false">
   <ContentType
   Name="Images"
   StorageName="{2f203d1d-9ca0-414a-b036-fc9c585677ab}" />
   <ContentType
      Name="Video"
   StorageName="{7d3e566c-e96c-4cd4-b6aa-8181a8386c8e}" />
 </ContentTypes>
</Compression>

Настройка приоритетов пакетов с DiffServ

Свойства приоритета пакетов устанавливаются через свойства HTTP DiffServ. Для настройки приоритетов пакетов выполните следующее:

  1. В консоли управления ISA-сервера откройте пункт General (Общие):
    • Для ISA Server 2004 Enterprise Edition: раскройте узел Microsoft Internet Security and Acceleration Server 2004, затем Arrays (Массивы), далее Array_Name (Имя_массива), Configuration (Настройка) и General (Общие).
    • Для ISA Server 2004 Standard Edition: раскройте узел Microsoft Internet Security and Acceleration Server 2004, затем Server_Name (Имя_сервера), далее Configuration (Настройка) и General (Общие).
  2. На вкладке Global HTTP Policy Settings (Глобальные настройки политики HTTP) нажмите Specify Diffserv Preferences (Укажите предпочтения Diffserv). Откроется окно свойств HTTP Diffserv.

    Настроить HTTP нет данного пункта isa

  3. На вкладке General (Общие) вы можете выбрать биты QoS, устанавливаемые ISA-сервером.

    Как очистить кэш в isa?

  4. На вкладке Priorities (Свойства) вы можете добавить и настроить приоритеты и значения DiffServ для ISA-сервера. Эти приоритеты приписываются URL и доменам на вкладках свойств HTTP Quality of Service. Для добавления приоритета нажмите Add (Добавить). Откроется диалоговое окно Add Priority (Добавить приоритет).
    После добавления приоритетов вы можете указать их порядок. Если пакету приписан приоритет, основанный на URL или домене, но не приписан приоритет по размеру, то по умолчанию ему назначается следующий по списку приоритет.
    При выборе опции Allow special handling (Разрешить особое управление) заголовки будут управляться с отличным (обычно более высоким) приоритетом, чем другие части запросов и ответов.

    Как открыть окно isa?

  5. В окне Add Priority (Добавить приоритет) указывается имя приоритета и шестизначные двоичные биты DiffServ, также известные как Коды дифференциального обслуживания (Differentiated Services Code Point — DSCP). Эта двоичная строка должна соответствовать строке, используемой маршрутизаторами для установок QoS. В разделе SizeLimits (Предельный размер) вы можете указать размер в байтах, так что приоритет будет назначаться только запросам и ответам максимального размера. Запрос или ответ, который превышает максимальный размер, получит следующий приоритет по списку. После настройки приоритетов нажмите OK для закрытия диалогового окна.

    Как открыть окно isa?

  6. На вкладке URLs вы можете установить приоритеты для адресов URL. Для добавления URL нажмите Add (Добавить). Откроется диалоговое окно Add URL Priority (Добавить приоритет URL). Используйте звездочку в конце URL , если только вы не хотите установить приоритет для отдельного URL.
    Замечание: Приоритеты, установленные в окне URLs, используются ISA-сервером для добавления битов DiffServ к содержимому, проверяемому ISA-сервером (содержимое, которое не проходило туннель). Содержимое, прошедшее туннель поверх HTTPS, не может быть проверено, и URL не будет известен, поэтому ISA-сервер будет применять биты DiffServ к доменам, которые вы указали на вкладке Domains (Домены).
    Если вы не выбрали сеть, к которой будут применяться приоритеты, все остальные настройки не будут применяться для любого трафика. Приоритеты будут применяться только к трафику сетей, указанных на вкладке Networks (Сети).

    Как настроить microsoft isa server?

  7. В диалоговом окне Add URL Priority (Добавить приоритет URL) укажите URL, к которым будет применяться приоритет, выберите приоритет из выпадающего списка и нажмите OK.
  8. После добавления URL вы можете упорядочить их с помощью стрелок. Это позволить применять приоритеты к отдельным URL. Если более общий адрес URL предшествует отдельному, отдельный адрес не будет достигнут никогда.
    Например, вы хотите указать высокий приоритет адресу www.contoso.com/news/*, а более низкий адресу www.contoso.com/*. Для того, чтобы приоритеты работали правильно, www.contoso.com/news/* должен находиться выше. Иначе запрос к /news/* при достижении www.contoso.com/* получит более низкий приоритет до того, как будет достигнут адрес /news/*.

    Документация isa server

  9. На вкладке Domains (Домены) вы можете установить приоритеты для доменов. Если домен находится в списке, все URL домена получают приоритет домена. Для добавления домена нажмите Add (Добавить). Откроется диалоговое окно Add Domain Priority (Добавить приоритет домена).
    Замечание: Приоритеты, установленные в окне URL URLs, используются ISA-сервером для добавления битов DiffServ к содержимому, проверяемому ISA-сервером (содержимое, которое не проходило туннель). Содержимое, прошедшее туннель поверх HTTPS, не может быть проверено, и URL не будет известен, поэтому ISA-сервер будет применять биты DiffServ к доменам, которые вы указали на вкладке Domains (Домены).
    Если вы не выбрали сеть, к которой будут применяться приоритеты, все остальные настройки не будут применяться для любого трафика. Приоритеты будут применяться только к трафику сетей, указанных на вкладке Networks (Сети).
  10. После добавления доменов вы можете упорядочить их с помощью стрелок. Это позволить применять приоритеты к отдельным доменам. Например, вы хотите установить для домена mail.contoso.com высокий приоритет, а для остального содержимого домена *.contoso.com низкий. Для того, чтобы приоритеты работали правильно, домен mail.contoso.com должен находиться в списке выше, чем остальные. В ином случае запрос к mail.contoso.com достигнет записи *.contoso.com и получит более низкий приоритет то достижения записи mail.

    Документация isa server

  11. В диалоговом окне Add Domain Priority (Добавить приоритет домена) укажите список доменов и выберите приоритет из выпадающего списка.

    Где в isa 2004 разблокировать?

  12. На вкладке Networks (Сети) выберите, какие сетевые пакеты будут иметь приоритеты, приписанные им с помощью включения или выключения DiffServ для отдельных сетей.
    Замечание: Если вы не выберете сеть, на которую распространяется приоритет, все остальные ваши настройки не будут применяться ни к какому трафику. Приоритет будет распространяться только на трафик тех сетей, которые выбраны на вкладке Networks (Сети).
  13. После окончания настройки нажмите Apply (Применить), чтобы изменения вступили в силу.

Приложение A: Включение кэширования ISA-сервера

Для включения кэширования на определенных дисках выполните следующее:

  1. В консоли управления ISA-сервера откройте пункт Cache (Кэширование):
    • Для ISA Server 2004 Enterprise Edition: раскройте узел Microsoft Internet Security and Acceleration Server 2004, затем Arrays (Массивы), далее Array_Name (Имя_массива), Configuration (Настройка) и Cache (Кэширование).
    • Для ISA Server 2004 Standard Edition: раскройте узел Microsoft Internet Security and Acceleration Server 2004, затем Server_Name (Имя_сервера), далее Configuration (Настройка) и Cache (Кэширование).
  2. Откройте вкладку Cache Drives (Диски для кэширования) и укажите нужный диск.
  3. На вкладке Tasks (Задачи) нажмите Define Cache Drives (enable caching) (Определить диски для кэширования (кэширование включено)).
  4. Выберите диск из списка.
  5. В поле Maximum cache size (MB) (Максимальный размер кэша (МБ)) введите размер дискового пространства, отведенного под кэширование, нажмите Set (Установить), затем OK.
  6. Появится предупреждение, в котором вас спросят, хотите ли вы применить сделанные изменения с запуском служб или без него. Для того чтобы изменения были приняты, нажмите Save the changes and restart the services (Сохранить изменения и перезапустить службы).

Источник www.isaserver.org














Смотрите также:

Tags: , , , , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]