ISA教程.docx

1、ISA教程ISA Server 2006 新特性介绍我更愿意将“ ISA Server 2006 ”称为“ ISA Server 2004 R2 ”，因为 ISA Server 2006 更像是基于 ISA Server 2004 的一个 feature pack，它修正了ISA Server 2004中的一些错误并增加了部分新功能，但是并没有进行架构上的升级。 ISA Server 2006 的安装过程和 ISA Server 2004 一致，和 ISA Server 2004 相比，ISA Server 2006 在以下方面进行了增强： 1、针对应用发布的保护 在ISA Server 20

2、06中，新增了SharePoint站点的发布功能， 并对原有发布功能进行了改进，例如针对Exchange Web客户访问的发布进行了较大修改，支持各种版本的Exchange服务器； 在发布Web服务时，ISA Server 2006 支持通过服务器场的方式进行发布，从而可以实现一种简单的负载平衡和容错功能。 针对Web服务发布，除了过去 ISA Server 2004 所支持的身份验证方式外，ISA Server 2006 还增加了对Ldap身份验证方式的支持； 和 ISA Server 2004 只支持基于基本身份验证的身份验证委派相比，ISA Server 2006 支持更多的身份验证委派

3、方式。 另外，ISA Server 2006 还支持自定义客户端显示的登录表单； 支持基于相同Web侦听器、相同域名后缀的单点登录（Single Sign-On）； 以及在做安全Web服务发布时，支持在不同的IP地址上绑定不同的服务器证书； 2、针对安全访问的增强 ISA Server 2006 中集成了 ISA Server 2004 SP2 中所提供的 BITS缓存、HTTP压缩支持和基于DifferServ协议的QoS功能，另外还极大的强化了抗御拒绝式服务攻击的能力，和 ISA Server 2004 中你只能限制客户的最大TCP/UDP并发连接数相比，在 ISA Server 2006

4、 中你可以限制每个IP进行每分钟的最大TCP连接请求数、最大TCP并发连接数、最大TCP半开连接数、每分钟的最大HTTP连接请求数、最大UDP并发连接数等等； 3、针对分部网络的支持 在 ISA Server 2006 中极大的增强了对分部网络的支持。在 ISA Server 2004 中做站点到站点VPN连接时，复杂的操作步骤可能让很多朋友头痛不已，也间接导致了配置的失败。ISA Server 2006 中极大的简化了站点到站点VPN连接的配置步骤，在创建远程站点时可以自动配置远程访问VPN服务（如果需要）和创建相应的网络规则、访问规则，如下图所示： 并且极具智能化的向导会提示你成功完成远程

5、站点配置还需要的步骤， 并且在 ISA Server 2006 企业版中提供了一个分部网络VPN连接向导，它可以通过创建应答文件的方式来简化分部网络中远程站点的配置。 以上只是 ISA Server 2006 中的部分新增特性。除此之外，ISA Server 2006 在人性化界面上又进一步进行了增强，例如在保存修改并应用时，ISA Server 2006 会提示你修改后的配置不会影响到现有的客户端连接；并且在警告方面，ISA Server 2006 从不同的细节上增加了警告的数量和类型，从而可以让你更方便的进行管理。 How to ：升级到 ISA Server 2006微软一向注重同系列产

6、品间的纵向升级，ISA Server 也不例外。 ISA Server 2006 支持从 ISA Server 2004 的无缝升级，升级路径如下表所示： 原有版本新版本ISA2006 SEISA2006 EEISA2000 SE-ISA2000 EE-ISA2004 SE支持-ISA2004 EE-支持ISA 2006 Beta SE支持-ISA 2006 Beta EE-支持ISA2006 RC SE支持-ISA2006 RC EE-支持 1、标准版升级 在升级标准版本时，你可以采用以下两种方式： 备份原有配置，全新安装 ISA Server 2006 标准版，然后恢复原有配置； 直接运行

7、 ISA Server 2006 安装进行升级；不过同样建议你先备份原有配置； 在此我以使用第二种方式为例，给大家介绍如何进行升级。 需要注意的是，由于当前Build的 ISA Server 2006 中并没有防火墙客户端安装共享和SMTP消息筛选器这两个组件，因此在进行升级之前，必须保证当前的 ISA Server 2004 服务器上没有安装这两个组件，如果已经安装，则需要先卸载这两个组件，然后再进行升级。 在 ISA Server 2004 服务器上运行 ISA Server 2006 安装程序， ISA Server 2006 的安装程序会识别当前 ISA Server 2004 的服务

8、器配置，并自动调用升级向导，在欢迎使用 ISA Server 2006 升级向导页，向导提示你会对 ISA Server 2004 服务和管理控制台进行升级，点击下一步； 在协议许可页，选择我接受许可协议，点击下一步； 在用户信息页，输入用户信息和产品序列号后点击下一步； 在升级检查清单页，提示你在进行升级之前需要进行的操作，点击下一步； 在服务警告页，向导提示你需要重启和禁用的服务，点击下一步； 在准备安装程序页，点击安装，此时向导开始进行升级； 在安装向导完成页，点击完成； 此时在 ISA Server 2006 管理控制台中，可以看到原有配置已经成功进行了复制。 2、企业版升级 企业版升

9、级比标准版稍显复杂，在升级过程中需要注意以下几点： 服务器操作系统必须为 Windows Server 2003 SP1 及以上； 在运行升级之前，卸载原有的防火墙客户端安装共享和SMTP消息筛选器组件； 配置存储服务器不能直接升级，必须先备份原有配置，然后安装 ISA Server 2006 的配置存储服务器，再将原有配置导入；在安装配置存储服务器的过程中，应保持企业名和阵列名和原有配置一致； ISA Server 服务可以直接运行升级向导进行升级 ，也可以直接安装全新的 ISA Server 服务加入到当前阵列； 具体的过程在此我就不详细描述了。不过在可能的情况下，建议大家最好全新安装 I

10、SA Server 2006 。在 ISA Server 2006 中发布 Web 服务由于在身份验证方式上进行了增强，ISA Server 2006 中的 Web 服务发布方式和 ISA Server 2004 有所不同，在这篇文章中，我将给大家详细介绍如何在 ISA Server 2006 中发布 Web 服务。 一、发布单个Web站点 在 ISA 2006 管理控制台中右击防火墙策略，指向新建，选择Web站点发布规则； 在弹出的欢迎使用新建Web发布规则向导页，输入规则名称后点击下一步； 在选择规则动作页，选择允许，点击下一步； 在发布类型页，选择发布单个Web站点或负载均衡器，点击下一

11、步； 在服务器连接安全性页，选择使用非安全连接来连接到被发布的Web服务器或服务器场（即使用HTTP协议进行连接），点击下一步； 在内部发布细节第一页，在内部站点名栏输入被发布的内部Web站点的名称（Web站点的主机名头），但是由于存在Web站点的主机名头和计算机名不一致的现象，为了便于ISA连接到内部的Web服务器，建议你勾选使用计算机名或IP地址来连接到被发布的服务器，然后输入服务器的IP地址，从而避免ISA不能正常解析内部Web站点名从而导致无法连接的现象，完成后点击下一步； 在内部发布细节第二页，输入发布的内部Web站点的路径，在此我发布全部路径，因此直接点击下一步； 在公共名字细节页

12、，选择接受外部访问请求的外部域名，在此我在接收请求栏选择任何域名，点击下一步； 在选择侦听器页，点击新建，在弹出的欢迎使用新建Web侦听器向导页，输入侦听器名称后点击下一步； 在客户端连接安全性页，选择不要求和客户端之间的SSL安全连接，点击下一步； 在Web侦听器IP地址页，勾选外部网络，你也可以点击选择IP地址按钮来配置Web侦听器侦听的IP地址，点击下一步； 在身份验证设置页，设置 ISA Server 2006 是否对请求访问的客户进行身份验证。需要注意的是，此身份验证是由 ISA Server 要求客户进行，和被发布的Web服务器没有任何关系。不过在ISA 2006中增强了对于身份验

13、证委派的支持，因此你可以设置 ISA Server 要求客户身份验证，然后 ISA Server 再将通过身份验证的客户所提交的身份验证凭据委派到被发布的Web服务器，从而避免客户端被提示要求进行多次身份验证。需要注意的是，默认情况下ISA拒绝通过HTTP协议进行任何身份验证，因此当客户使用HTTP协议访问时，如果ISA的其他配置或被发布的Web服务器要求客户进行身份验证，那么ISA会拒绝客户的访问。我将在以后撰文专门分析ISA Server 2006中的身份验证。 在此我是对Internet发布Web服务，不需要客户端进行身份验证，因此选择无身份验证，点击下一步； 在单点登录设置页，由于只有

14、基于HTTP表单的身份验证才支持SSO，因此无法进行配置，直接点击下一步； 在正在完成新建Web侦听器向导页点击完成，然后在选择Web侦听器页点击下一步； 在身份验证委派页，由于我不要求客户进行身份验证，因此选择无委派，并且客户不能直接进行身份验证，点击下一步； 在用户集页，接受默认的所有用户，点击下一步； 在正在完成新建Web发布规则向导页点击完成，此时Web发布规则就创建好了。 不过默认情况下ISA并未转发客户端原始IP地址给被发布的Web服务器，你可以在Web发布规则属性的到标签进行修改，如下图所示： 需要注意的是，由于在进行Web发布时，ISA需要占用TCP/IP上的相应端口，因此We

15、b发布规则所侦听的端口如TCP 80需要保证没有被其他应用程序所占用，这个可以通过netstat -b find :80来观察。 最后点击应用保存修改并更新防火墙策略，此时Web发布规则就创建好了。 二、发布多个Web站点 在 ISA Server 2006 中你可以同时发布多个Web站点，针对每个Web站点创建一个Web发布规则。不过被发布的这些Web站点最好具有相同的域名后缀，否则你需要对创建的Web发布规则进行修改。 前面的操作过程是一样的，只是在发布类型页，选择发布多个Web站点，点击下一步； 在指定发布的Web站点页，点击添加按钮添加被发布的Web站点的名字，需要注意的是，ISA将使

16、用这个名字来连接到这些Web站点，并且也将这个名字和后面提供的域名后缀相结合以指定Web发布规则中的公共名称。添加完成后点击下一步； 在发布的Web站点公共名称页，输入Web站点的域名后缀，然后点击下一步； 在选择Web侦听器页，在此我选择一个已有的Web侦听器，然后点击下一步； 在身份验证委派页，同样选择无委派，并且客户不能直接进行身份验证，点击下一步； 在用户集页，接受默认的所有用户，点击下一步； 在正在完成新建Web发布规则向导页点击完成， 此时Web发布规则就创建好了，如下图所示， 不过建议你再检查一下Web发布规则，你可能需要对Web发布规则进行修改。 三、发布服务器场 服务器场是一

17、个包含多个服务器对象的网络对象，在 ISA Server 2006 中新增了发布服务器场的功能，用于实现一种简单的容错和负载均衡机制，它的工作原理是这样的： 当发布服务器场以后，ISA Server 2006 将客户访问请求分布到服务器场中的不同Web服务器上，以实现负载均衡； 在创建服务器场发布规则的同时，ISA创建一个连接性验证工具，每隔30秒对被发布的服务器场中的每个Web服务器使用HTTP/HTTPS GET进行连接性验证；如果某个Web服务器连接失败，则将客户的访问请求转发到服务器场中其他连接正常的Web服务器 ，以实现容错； 如果服务器场中的所有Web服务器均连接失败，则服务器场发

18、布规则失败。 前面的操作过程是一样的，只是在发布类型页，选择发布 一个Web服务器负载均衡服务器场，点击下一步； 在客户端连接安全性页，选择不要求和客户端之间的SSL安全连接，点击下一步； 在内部发布细节第一页，在内部站点名栏输入被发布的内部Web站点的名称（Web站点的主机名头），完成后点击下一步； 在内部发布细节第二页，输入发布的内部Web站点的路径，在此我发布全部路径，因此点击下一步； 在指定服务器场页，点击新建按钮， 在弹出的欢迎使用新建服务器场向导页，输入服务器场名称后点击下一步； 在服务器页，点击添加按钮添加包含在此服务器场中的服务器，建议总是使用IP地址来添加，完成后点击下一步；

19、 在服务器场连接性监视页，接受默认的发送HTTP/HTTPS GET请求，点击下一步； 在正在完成新建服务器向导页，点击完成。在弹出的启用HTTP连接性验证提示对话框上点击是。 在指定服务器场页，你可以选择 ISA Server 2006 对入站Web请求的负载均衡方式，它们主要是针对故障恢复的场景，ISA Server 2006 中具有以下两种负载均衡模式： 基于Cookie的负载平衡：ISA Server 2006 基于客户会话来将客户分布到不同的Web服务器，它使用一个Cookie来维持客户端和服务器之间的联系。例如服务器场中有A、B两台Web服务器，客户 C 的访问请求被 ISA Se

20、rver 2006 指定由 A 进行处理，但是当 A 出现故障停止服务后，客户 C 的访问请求将被 ISA Server 2006 故障转移到 B；当 A 恢复服务后，客户 C 当前通过 B 进行处理的访问请求将继续由 B 处理，新的访问请求将由 A 进行处理。这种模式可以更好的为客户端提供服务，微软推荐你使用这种模式，但是要求客户端支持使用 HTTP 1.1 和 Cookie。 基于源IP地址的负载平衡：ISA Server 2006 基于客户端的源IP地址来将客户分布到不同的Web服务器，来自相同源IP地址的客户端访问请求将由相同的Web服务器进行处理。如果客户端不支持 HTTP 1.1或

21、者 Cookie 时（如大部分移动设备），建议采用这种方式。例如服务器场中有A、B两台Web服务器，客户 C 的访问请求被 ISA Server 2006 指定由 A 进行处理，但是当 A 出现故障停止服务后，客户 C 的访问请求将被 ISA Server 2006 故障转移到 B；当 A 恢复服务后，客户 C 所有的访问请求将由 A 进行处理，因此客户 C 当前通过 B 进行处理的访问请求将会丢失。 在此我选择基于Cookie的负载平衡，点击下一步； 在公共名字细节页，选择接受外部访问请求的外部域名，在此我在接收请求栏选择任何域名，点击下一步； 在选择Web侦听器页，在此我选择一个已有的We

22、b侦听器，然后点击下一步； 在身份验证委派页，同样选择无委派，并且客户不能直接进行身份验证，点击下一步； 在用户集页，接受默认的所有用户，点击下一步； 在正在完成新建Web发布规则向导页点击完成， 完成后的服务器场发布规则如下图所示， 同时，ISA Server 2006 创建了一个连接性验证工具来监视服务器场中的Web服务器。 现在我们在外部的客户端上访问进行测试，访问成功，并且可以看出ISA Server 2006 将客户端的访问请求转发到了Web服务器 10.1.1.7， 现在我将Web服务器 10.1.1.7 上的Web站点停止服务，ISA Server 2006 的连接性验证工具监测

23、到Web服务器 10.1.1.7 出现了故障， 在外部客户端上，我手动进行刷新，此时同样访问成功，不过，可以看出是通过Web服务器 10.1.1.8 进行的访问。 当服务器场中的所有Web服务器均停止服务后，在外部客户端上访问时，提示500内部服务器错误，并且错误代码是1359。 在 ISA Server 2006 中发布安全 Web 服务在ISA2006中发布安全 Web 服务和在ISA2004中进行发布基本一致。在进行发布之前，你需要进行以下准备工作： 1、确保在 ISA Server 上可以正常的访问内部的安全 Web 服务而不出现任何警告，如下图所示，我在 ISA Server 上可以

24、正常的访问内部的两台安全 Web 服务器 Chicago.isacn.org（10.1.1.7）和 Istanbul.isacn.org（10.1.1.8）； 2、将颁发安全 Web 服务的服务器证书的证书颁发机构的CA证书导入到 ISA Server 本地计算机的受信任的根证书颁发机构存储中，其实这一步应该是属于上一个步骤的。然后需要给 ISA Server 安装相应的服务器证书以实现外部客户和 ISA Server 之间的安全连接。从理论上说，绑定在 ISA Server 外部接口上的服务器证书和内部安全 Web 服务的服务器证书是没有任何关系的，但是通常都是配置 ISA Server 使

25、用内部安全 Web 服务的服务器证书来实现外部客户和 ISA Server 之间的安全连接。 在此，我先导出被发布的安全 Web 服务的服务器证书，注意导出时必须导出私钥，然后导入到 ISA Server 的本地计算机的证书存储中以便使用，如下图所示： 在做好准备工作以后，我们就可以进行安全 Web 服务的发布了。 一、发布单个安全 Web 服务 首先我以对外发布位于 Istanbul.isacn.org（10.1.1.8）上的安全 Web 服务为例，外部的DNS服务器将域名 Istanbul.isacn.org 解析到 ISA Server 的外部IP地址 172.16.0.248，外部客户

26、通过访问此IP地址来访问被发布的安全 Web 服务。 在 ISA Server 2006 管理控制台中右击防火墙策略，指向新建，选择Web站点发布规则； 在弹出的欢迎使用新建Web发布规则向导页，输入规则名称“Publish SSL”后点击下一步； 在选择规则动作页，选择允许，点击下一步； 在发布类型页，选择发布单个Web站点或负载均衡器，点击下一步； 在服务器连接安全性页，选择使用SSL来连接到被发布的Web服务器或服务器场（即使用HTTPS来连接被发布的服务器），点击下一步； 在内部发布细节第一页，在内部站点名栏输入被发布的内部Web站点的名称，ISA Server 将使用此名称来连接到被

27、发布的安全 Web 服务器，并且此名字必须和对应的安全 Web 服务器所绑定的证书的公共名字相匹配；为了便于ISA连接到内部的安全Web服务器，建议你勾选使用计算机名或IP地址来连接到被发布的服务器，然后输入服务器的IP地址，完成后点击下一步； 在内部发布细节第二页，输入发布的内部Web站点的路径，在此我发布全部路径，因此直接点击下一步； 在公共名字细节页，选择接受外部访问请求的外部域名，在此我在接收请求栏选择以下域名，输入外部域名 istanbul.isacn.org 后点击下一步； 在选择Web侦听器页，点击新建按钮；在弹出的欢迎使用新建Web侦听器向导页，输入侦听器名称后点击下一步； 在

28、客户端连接安全性页，选择要求和客户端之间的SSL安全连接，点击下一步； 在Web侦听器IP地址页，勾选外部网络，然后点击选择IP地址按钮来配置Web侦听器侦听的IP地址； ISA Server 的外部接口具有两个IP地址，由于在此我只想将发布的安全 Web 服务绑定在 172.16.0.248 这个IP地址上，因此选择指定位于被选择的网络中的ISA Server 计算机的IP地址，然后选择 172.16.0.248，点击添加，然后点击确定；然后在Web侦听器IP地址页点击下一步； 在侦听器SSL证书页，选择为每个IP地址分配一个证书，然后点击172.16.0.248，再点击选择证书， 在选择证

29、书对话框，点击对应的服务器证书，然后点击选择， 在侦听器SSL证书页点击下一步； 在身份验证设置页，设置 ISA Server 2006 是否对请求访问的客户进行身份验证。需要注意的是，此身份验证是由 ISA Server 要求客户进行，和被发布的Web服务器没有任何关系。不过在 ISA Server 2006 中增强了对于身份验证委派的支持，因此你可以设置 ISA Server 要求客户身份验证，然后 ISA Server 再将通过身份验证的客户所提交的身份验证凭据委派到被发布的Web服务器，从而避免客户端被提示要求进行多次身份验证。在此我不需要ISA2006对客户端进行身份验证，因此选择无

30、身份验证，点击下一步； 在单点登录设置页，由于只有基于HTTP表单的身份验证才支持SSO，因此无法进行配置，直接点击下一步； 在正在完成新建Web侦听器向导页点击完成，然后在选择Web侦听器页点击下一步； 在身份验证委派页，由于被发布的安全 Web 服务可能会要求客户端进行身份验证，因此我选择无委派，但是客户端可以直接进行身份验证，点击下一步； 在用户集页，接受默认的所有用户，点击下一步； 在正在完成新建Web发布规则向导页点击完成，此时Web发布规则就创建好了，点击应用保存修改和更新防火墙策略。 我们在外部网络的客户上访问进行测试，访问成功，如下图所示： 而ISA2006上的日志如下图所示：

31、 二、发布多个安全 Web 服务 在此，我将利用前面创建的安全 Web 服务发布规则和Web侦听器，通过复制规则再发布位于 Chicago.isacn.org（10.1.1.7）上的安全 Web 服务，外部的DNS服务器将域名 Chicago.isacn.org 解析到 ISA Server 的另外一个外部IP地址 172.16.0.247，外部客户通过访问此IP地址来访问被发布的安全 Web 服务。 在ISA2006管理控制台的防火墙策略面板中右击刚才创建的“Publish SSL”规则，选择复制，然后再次右击，选择粘贴，此时复制出了一条安全 Web 发布规则，双击此规则打开规则属性对话框，首先在常规标签修改规则名称，然后在到标签修改被发布的站点名和服务器IP地址； 在公共名字标签，修改允许外部客户访问的公共名字； 然后在侦听器标签，点击属性， 在弹出的侦听器属性对话框上，点击