Во время стандартной установки Microsoft ISA Server 2006, ISA установит локальную службу MSDE (Microsoft SQL Server Database Engine), чтобы обеспечить регистрацию в брандмауэре Microsoft Firewall, а также службу веб модуля доступа (Webproxy service). Можно регистрировать Firewall- и службу Webproxy, используя базу данных Microsoft SQL Server 2005, или базу данных удаленного сервера Microsoft SQL.
Будьте внимательны, когда перемещаете регистрационные данные брандмауэра на внешний сервер Microsoft SQL Server, так как сервер ISA Server использует режим блокировки брандмауэра, который дезактивирует практически все функциональные возможности брандмауэра, когда регистрацию нельзя применить. Можно отключить режим блокировки (я приведу ссылку на статью о том, как отключить этот режим, в конце этой статьи), но я никогда не рекомендую отключать эту функцию.
После загрузки SQL Server Express Edition с веб сайта компании Microsoft, извлеките скачанный файл и следуйте инструкциям установки.
Рисунок 1: Извлечение пакета Microsoft SQL Server 2005
Далее прочтите, поймите и примите условия соглашения.
Перед тем, как установить собственно сервер Microsoft SQL Server, мастер установки сначала установит клиента Microsoft SQL Native Client и файлы поддержки Microsoft SQL Server 2005 Setup.
Рисунок 2: Установка необходимых компонентов для Microsoft SQL Server
После установки всех необходимых файлов настройки, мастер установки сервера Microsoft SQL Server начнет свою работу.
Рисунок 3: Запуск мастера установки SQL Installation Wizard
Прежде чем устанавливать базу данных сервера Microsoft SQL Server, мастер установки выполнит определенные проверки, чтобы убедиться, что машина имеет нужную конфигурацию для Microsoft SQL Server 2005 версии Express Edition.
Рисунок 4: проверка конфигурации системы
Введите регистрационные данные.
Выберите компоненты, которые вы хотите установить. Стандартного выбора опций вполне достаточно, чтобы обеспечить надежные функциональные возможности базы данных.
Рисунок 5: Выбор параметров
Создайте новый объект и задайте имя этому объекту ISALOG.
Рисунок 6: Новый объект с именем ISALOG
Определите локальную учетную запись системы как учетную запись службы.
Рисунок 7: Определение учетной записи для базы данных Microsoft SQL Database
Выберите Windows в режиме аутентификации.
Активируйте пользовательский объект (User Instance).
Рисунок 8: Установка необходимых компонентов
По окончании процесса установки перезагрузите сервер.
Активируйте системную политику (System Policy) для удаленной регистрации (Remote SQL Logging). Это даст доступ серверу ISA Server к внутренней базе данных сервера Microsoft SQL Server.
Рисунок 9: Разрешение правил системной политики для доступа к Microsoft SQL Server
Настроенный по умолчанию Microsoft SQL Server 2005 Express дает доступ только для локальных сервисов к базе данных. Вам нужно изменить эти параметры с помощью Microsoft SQL Server 2005 Surface Area Configuration, чтобы разрешить удаленные подключения.
Рисунок 10: Настройка области атак (attack surface configuration) для SQL Server
Далее вам нужно проверить, включен ли TCP/IP протокол для базы данных ISALOG и использует ли конфигурация сети заданный порт для SQL Server (1433).
Рисунок 11: Активация протокола TCP/IP
Отключите порты SQL Server Dynamic TCP (удалите значение Null) и укажите фиксированный порт (1433) для всех IP адресов.
Рисунок 12: Указание фиксированного порта
Перезагрузите службу Microsoft SQL Server после того, как все параметры были применены.
Microsoft SQL Server Management Studio Express – это консоль Management для управления многими компонентами сервера Microsoft SQL Server. Если вы используете Microsoft SQL Server 2005 версию Express Edition, вам необходимо отдельно загрузить и установить компонент Microsoft SQL Server Management Studio Express из базы данных.
Рисунок 13: Установка Microsoft SQL Server Management Studio Express
После установки Microsoft SQL Server Management Studio Express версии, запустите консоль и создайте новую базу данных под названием ISALOGS.
Рисунок 14: Создание SQL базы данных ISALOG
Создайте новую учтенную запись в Active Directory и назначьте ей права учетной записи пользователя домена, а также дополнительные права SQL Server для доступа к базе данных ISALOG. Эта учетная запись будет использоваться в консоли ISA Server Management Console для прямого SQL доступа.
Установочный диск ISA Server 2006 содержит два .SQL файла, которые можно использовать для создания необходимых таблиц базы данных в ISALOG базе данных.
Откройте FWSERV.SQL из программных файлов на диске ISA Server 2006 в консоли Microsoft SQL Server Management Studio Express (Файл пїЅ Открыть). Прежде чем выполнить сценарий FWSRV.SQL, впишите в первую строку инструкцию для использования базы данных ISALOG.
Рисунок 15: Разворачивание сценария для использования базы данных ISALOG
Теперь можно выполнить сценарий. Если все в порядке, будет создана новая таблица базы данных.
Рисунок 16: Таблица FirewallLog
Теперь нужно назначить учетной записи ISA-SQL право доступа к базе данных ISALOG.
Рисунок 17: Добавление ISA-SQL пользователя в базу данных ISALOG
По умолчанию ISA Server использует зашифрованное соединение с сервером Microsoft SQL Server. Подключение будет создано с помощью сертификата аутентификации сервера, поэтому вам нужно установить сертификат, прежде чем создавать соединение. Если возможно, используйте свой собственный CA для создания сертификата запроса или самоподписываемого сертификата (self signed certificate). Ссылка на статью с подробным описанием этой процедуры представлена в конце этой статьи.
Рисунок 18: Запрос сертификата аутентификации сервера
Теперь нужно изменить регистрацию Microsoft ISA Server с MSDE на SQL. Запустите консоль управления ISA Server 2006, найдите опцию регистрации и измените опции регистрации для Microsoft Firewall Service (если вы пожелаете изменить опции регистрации для службы Webproxy Service, процедура такая же).
Введите имя сервера SQL, Standard SQL порт (1433), имя таблицы брандмауэра (Firewall Table), и укажите Windows в качестве способа аутентификации. Вам также необходимо указать учетную запись, которая будет использоваться для создания соединений. Нажмите Тест, чтобы протестировать SQL соединение.
Рисунок 19: Опции регистрации SQL
После изменения опций регистрации нажмите Применить, чтобы активировать параметры, и если все сделано верно, сервер ISA теперь будет использовать базу данных Microsoft SQL Server для регистрации брандмауэра и Webproxy.
Теперь вы сможете использовать все расширенные характеристики Microsoft SQL Server 2005 для базы данных сервера ISA, например автоматическое резервное копирование, сжатие базы данных и прочие параметры.
В этой статье я попытался показать вам, как настраивать регистрацию ISA Server Firewall, чтобы использовать удаленную базу данных Microsoft SQL Server 2005 Express. Процесс регистрации в Microsoft SQL Server 2005 практически такой же, поэтому вы можете использовать эту статью для обеих версий. В этой статье я лишь показал, как изменять регистрацию службы Microsoft Firewall в базе данных Microsoft SQL Server 2005. Если вы хотите создавать журналы регистрации для Webproxy в базе данных Microsoft SQL Server 2005, вам нужно лишь создать таблицу Webproxy для базы данных ISALOG и изменить регистрацию Webproxy в консоли ISA Management на регистрацию Microsoft SQL Server.
www.isaserver.org
Tags: ISA Server, Microsoft ISA Server, nat, proxy, SQL, SQL Server