ISAServer2006企業版與標準版區別及陣列布署

技術小胖子發表於2017-11-07
Server陣列





大家知道ISA都有兩個版本,一個是標準版,一個是企業版,那麼我們在企業中佈置時,應該選擇哪個版本,有的朋友就說了:這不明擺著的嗎?當然是企業版了,功能強呀!那麼到底強在什麼地方,是不是任何企業、公司都需要使用企業版,我們今天來看一個2006企業版與標準版的區別:

標準版簡單來說適合於中小型企業,人數不多,規模不大,使用標準版可以說是得心應手,因為它包括了一般企業所最常用的功能如:代理伺服器、防火牆功能、網頁快取功能、VPN功能等。這些對於一般企業來說是夠用了。但因為它是標準版,所以對於大型企業來說,可能會有點力不從心,如它最多隻支援4CPU,不支援容錯,高可用性及企業級管理等,那麼對於大型分散式網路來說就可以使用企業版。
企業版囊括了標準版的所有功能,然後在此基礎上增加了三大功能:
1 NLB 網路負載均衡
2 CARP 高可用性
企業級管理
下面我們來簡單看一下各個功能:
NLB:(Network Load Balancing)網路負載均衡  陣列中的ISA Server都可以提供服務來分散負載.例如如果陣列中有四臺ISA,那麼每臺的負載為25%,而且NLB支援故障轉移功能,如果某臺ISA因故障而離線,那麼其他的ISA會自動調整負載繼續為使用者服務.
CARP ( Cache Array Routing Protocol) 快取陣列路由協議 這個功能也是企業版所特有的。作用:提高網頁快取功能,將網頁快取分散到陣列中的多臺ISA Server中,將使客戶端能很迅速定位到該ISA上。
企業級管理:所謂企業級管理是針對大型分散式網路來說的。如杜氏企業現在全國有三家分公司,北京、上海、廣州每個城市都使用ISA來進行管理,如果是標準版的話,那麼每個城市分散管理,互不相干!那每個城市都需要一個管理員來對本地的網路進行管理。那麼我們可以使用企業版,只需要有一個管理員在總公司這邊就可以直接進行相應的管理。如在北京對各地的ISA伺服器進行管理,規定上海的客戶端只能瀏覽網頁,廣州的客戶端只可以使用MSN,不允許使用QQ等等。所有對ISA的操作我們都可以在總部的ISA上操作即可以!不需要在每個城市進行操作,這樣可以節省一定的人力成本,實現了企業級的單點管理!便於實現企業的管理策略。


總結:這三大功能需要是標準版所沒有的。也是作為企業管理員選擇ISA企業版的一個參考點,如果本企業不需要實現這三大功能的話,那麼就沒有使用企業版的必要性,標準版足矣!


下面我們們就來看一下企業版的安裝


ISA配置儲存:
ISA 2000 企業版       活動目錄(必須有AD支援)
ISA 2004/2006 標準版  本地(登錄檔)
ISA 2004/2006 企業版  CSS
但注意了 CSS 不是AD,也就是說可以不是活動目錄,也可以是工作組,但如果是工作組的話,配置起來會略有麻煩,因為要涉及到證書的問題。
CSS不是存放到AD資料庫中,而是存放到 ADAM資料庫中,ADAM是和AD相似一個資料例項,對於任何一個“企業”來說,都必須要有一個CSS,也就是說對於任何一個陣列來說都必須有一個CSS來存放配置資訊或是是多個陣列也可以使用一個CSS伺服器!一般來說先安裝ISA的那臺機器是CSS,然後完成後可以檢視開始選單下多了一個ADAMCSS的資訊就存放到了ADAM資料庫中。如果出於容錯的話,也可以再選擇一個備用CSS,但備用CSS也需要有ADAM資料庫的支援,即先安裝ADAM,否則不起作用,至於ADAM的安裝,在ISA企業版的安裝光碟中有安裝程式。在此不在累述!而且CSS伺服器與其他ISA伺服器的更新間隔是15秒(但不是精確的,有可能快點或是慢點,可以通過監視中的配置來檢視所有ISA來檢視同步狀態)!當然可以修改!就是有域的支援,CSS的資料也不存放在AD中,還是存放在ADAM中。即ISAAD是分開管理的,這樣也有一定的好處:
不需要更新 AD架構,降低了AD的出錯機率
2  ISA 不依賴於域,提高了ISA的應用場合。
3  不依賴於域,那麼配置資訊的複製及更新與AD沒有任何關係,複製速度更快!
但如果企業中有域的環境還是推薦在域的環境下使用ISA,因為利用域來實現身份驗證是相當靈活的。有不可言喻的感覺!(自己體會吧,嘻。。。。。。)
 
企業版的安裝:
我們先來看一下安裝的注意事項:
兩種環境:工作組和域 在域的環境下搭建會簡單的多,例如我們現在有一個陣列,這個陣列中有兩臺ISA,其中一個配置有CSS,另一個就是一個普通的ISA,關鍵問題是這兩臺ISA是要做配置複製的,而且這個複製是加密的,強制的,必須加密,那麼如果是域的環境,這兩臺ISA的身份驗證使用的是Kerberos,這個時候會使用Kerberos內建的加密技術來進行加密。所以這個加密不需要管理員手動來做,這個比較簡單,但如果是工作組的話,使用的驗證方法是NTLM,而這種驗證方法是不加密的。這就需要我們手動對CSS的配置資訊進行加密,這就需要使用到證書!
下面我們來看一下在工作組下ISA Server企業版的安裝過程:
如圖所示:
步驟如下:
 安裝CA  例如安裝在 內網的AnHui這臺機器上
 CSS機器上須申請證書  如將css安裝在Beijing Being則申請證書
3  ISA必須要信任CA   Beijinghanghai要執行信任CA的操作
4  安裝CSS
5  Beijing上安裝ISA Server服務
6  Shanghai上安裝ISA Server 服務
7  配置陣列內部通訊使用的使用者賬戶
 
步驟一: 首先我們在AnHui上安裝CA
安裝過程略! CA安裝成功後,我們需要為Beijing申請證書
 
步驟二: Beijing申請證書
Beijing上操作:


點選申請一個證書,高階證書申請,建立並向此CA提交一個申請:


得到CA的頒發後,安裝此證書!


然後將此證書匯出成一個檔案,在後面安裝CSS時需要用到此檔案:
開啟MMC:


一定要記住此密碼!然後我們將此檔案儲存到c:css.pfx


匯出成功後,就需要進行下一步,信任CA的操作:


步驟三:陣列中的ISA機器都要執行信任CA的操作
選擇下載一個CA證書,證書鏈或CRL


然後再利用MMC匯入即可!


然後ShangHai上也要執行一遍信任CA的操作!
如圖:
步驟四: Beijing上安裝CSS
到現在為止,所有的準備工作結束,就可以進行ISA Server企業版的安裝工作了:
我們先在Beijing 上安裝CSS:放入安裝光碟:


按照提示點選下一步後出現下圖:


下一步繼續安裝!


我們選擇安裝配置儲存伺服器及相關的元件,在這裡也可以選擇同時安裝配置儲存伺服器,ISA Server服務。直接點選下一步


建立新的ISA企業


選擇在工作組中或不信任關係的域中部署,並選擇我們前面匯出的證書檔案及相應的密碼。


步驟五:開始在Beijing上安裝ISA Server服務


選擇修改安裝:


定位到CSS伺服器,並指定合適的連憑據:


在此選擇建立新陣列,陣列名預設為本計算機名,可不用修改,點選下一步
選擇好相應的身份驗證方式,因為現在是工作組所以選擇通過SSL加密通道進行身份驗證。
 


選擇應用到陣列的企業策略。
點選兩次下一步後就可以進行安裝了
步驟六: Shanghai上安裝ISA Server服務


加入到現有的陣列,並輸入陣列名稱:


開始進入安裝過程。


步驟七:  配置陣列內部通訊使用的使用者賬戶
到現在為止,我們已經配置好了陣列,如果是在域環境中配置,那麼現在配置就已經完成了,陣列已經可以使用了。但是在工作組環境中,還需要定義陣列內用於內部通訊的的使用者賬戶,此賬戶要在每臺ISA Server服務計算機上一致,並且要具有管理許可權。在此,我使用管理員administrator賬戶。
由於兩臺ISA Server已經完全共享配置,所以以下的操作在任何一臺ISA Server服務計算機上都可以進行。 我現在Beijing上操作:
開啟ISA 的管理控制檯:
最後,我們來檢視陣列的同步狀態,驗證安裝是否成功:檢視各個ISA之間的同步狀態
可以編寫一個策略,檢視各個BeijingShanghai的同步狀態:
 
 
下面介紹一下基於域的ISA Server的安裝過程:
在域的環境下安裝企業版會使用我們的安裝變得簡單,原因在前我們已經做了介紹,在此不再累述,我們的實驗環境如下圖所示:
Anhui作為一個DNS伺服器要為AD作解析支援,要注意在此閘道器指向20.20.20.1或是20.20.20.2來連向外網,但這樣的話,如果其中一臺機器壞了,會影響到陣列的工作。所以我們還可以在Henan這個機器上再增加一塊網路卡直接連線到外網,並在此DNS上設定DNS轉發
也可以將CSSDNSAD放在一臺計算機上,我們這裡就按我們的拓撲圖來進行佈置
 
說明:
 ISA有三塊網路卡,分別代表三個網段如下:
外網:直接連線外網設定 IP 子網  閘道器
     DNS:
內網:連線企業內網 只設定ip和子網
DMZ: 用於陣列間的通訊  設定IP和子網,閘道器
  DNS:指向DNS伺服器,在此是20.20.20.3
 
2  CSS機器設定(Anhui)一塊網路卡,用於和ISA相連,存放ISA的配置資訊,設定IP,子網
閘道器可以指定任意一個ISADMZ網路
DNS:指向自己
 
具體步驟如下:
Anhui上安裝DNSDC
 BeijingShanghai分別加入到域:
AnHui上安裝CSS
Beijing上安裝ISA Server
Shanghai上安裝ISA Server
 
下面我們開始
步驟一:在Anhui上安裝DNSDC
我們直接使用Dcpromo  直接安裝DC,並進行DNS的自動安裝配置
升域過程在此不做詳細介紹!
 
步驟二:Beijing Shanghai加入到dufei.com 
如下圖:
 
步驟三:在Anhui上安裝CSS
 
在此介面,選擇安裝配置儲存伺服器
元件選擇介面,直接點選下一步,點選建立新的ISA伺服器企業
 
在此輸入有許可權的使用者,一般使用管理員
安裝成功後,我們開始進入第四步
步驟四:在Beijing上安裝  ISA Server
放入安裝光碟:

選擇安裝ISA伺服器服務,然後元件選擇處預設即可!

在此選擇CSS伺服器。可以手動輸入或是通過瀏覽查詢
 
選擇建立新陣列,並指定陣列名稱,在此預設使用第一臺ISA的計算機名作為陣列名。
 
指定ISA Server連線到CSS的身份驗證方式
指定內網地址範圍
指定應用到陣列的企業策略。後期可以更改!
一切準備就緒後,我們就開始安裝了!
步驟五:在Shanghai上安裝  ISA Server
此步驟和步驟四幾乎相同,只有兩處不同,一個不是新建陣列,而是加入到現有陣列,再有就是不需要指定內網地址範圍了!
放入安裝光碟:
點選安裝ISA Server 2006
 
 
在此選擇CSS伺服器。可以手動輸入或是通過瀏覽查詢
 
 
指定連線到CSS伺服器的身份驗證方式
以下的步驟和步驟四就一樣了,然後開始安裝!
此時,基於域的陣列安裝到此結束!
 
下面,我們就來檢查一下陣列的工作狀態是否正常:
同步正常!
陣列的環境佈置成功後,下面就可以啟用NLB了,如何佈署,且聽下次分解!
 
 本文轉自 dufei 51CTO部落格,原文連結:http://blog.51cto.com/dufei/122083,如需轉載請自行聯絡原作者


相關文章