Auto Discovery listener

. Это основная головная боль для народа, пытающегося "посадить" IIS и ISA на один сервер. Потому что не могут два приложения или сервиса разделять одни и те же ресурсы TCP/IP. От этого получается "гонка на выживание" и проигравшего просто запрещают. Это так же является источником ужасной работы WPAD.
Перейдите на закладку Auto Discovery и увидите следующие настройки:

Если вам не нужно Auto Discovery, просто снимите галочку Publish automatic discovery information. Это освободит 80-й порт для внутренних адресов. Примите во внимание, что ISA может работать как Web Proxy сервер, используя только одну NIC. Режим работы ISA, который поддерживает работу с одной NIC это Cache Mode.

IP Routing

. Следующее, в чем мы убеждаемся, что весь трафик SecureNAT-клиента проходит беспрепятственно (конечно, при надлежащих настройках правил). У ISA есть такая настройка, называемая "Enable IP Routing" (включить маршрутизацию IP), которая отключена по умолчанию. Когда она включена, то позволяет ISA передавать ICMP-трафик (ping) из LAT в Интернет.
Откройте консоль управления ISA и перейдите к IP Packet Filtering. Правый клик на нем и выберите Properties и увидите следующее окно

Страница:

Клиенты ISA - Часть 1 : Основная конфигурация ISA Server

Страница:

Protocol Rules

. Это лишь один из многих участков контроля за ISA, но наиболее легко просматриваемый. Самый минимум, который должен быть - это разрешены протоколы HTTP и HTTPS для того чтобы LAT-хосты имели Web-доступ. Там еще много всяких протоколов, но без этих нельзя будет просматривать Web-страницы. Вы можете посмотреть, сколько "протокольных правил" можно использовать для LAT. Некоторые из них имеют отдельные (нестандартные) определения.

Site and Content Rules

. Здесь мы можем контролировать содержимое HTTP и FTP, проходящее через сервис Web Proxy. По определению, ISA создает единственное правило "Allow rule", позволяющее пропускать любой запрос. Тут можно поиграть с запретами и разрешениями, но будьте предельно осторожными, т.к. можете создать противоречащие правила, которые сделают ISA полностью заблокированной.

Адрес этого документа:

http://www.isaserver.ru/modules/wfsection/article.php?articleid=19

Страница:

HTTP Redirector

. Здесь мы осуществляем контроль над всеми (Firewall и SecureNAT)-запросами на Web-сервисы. Откройте консоль управления ISA: Servers and Arrays => Extensions => Application Filters. Правый клик на HTTP Redirector Filter и выберите Properties. Перейдите на закладку Options:

Здесь мы можем определить как будут управляемы (SecureNAT и Firewall)-клиентские Web-запросы. Если вы хотите насильно пустить всех пользователей через сервис Web Proxy, то выберите Redirect to local Web Proxy service. Вы должны иметь ввиду, что эта опция также предоставляет возможность обойти сервис Web Proxy если тот не отвечает. В это есть свое преимущество, которое позволит (SecureNAT и Firewall)-клиентам оставаться на связи с Интернет, но так же позволяет им обходить фильтрацию Web Proxy.
Send to requested Web Server позволяет (SecureNAT и Firewall)-клиентским Web-запросам все время обходить сервис Web Proxy. Это устраняется использованием браузерных настроек прокси для клиентов SecureNAT и Firewall.
Reject HTTP requests from Firewall and SecureNAT clients позволяет насильно установить настройки прокси у пользователей. Нет настроек, нет Web.

Клиенты ISA - Часть 1 : Основная конфигурация ISA Server

Страница:

Local Domain Table

. Это очень важная информация как для IE, так и для Firewall клиента. Каждый домен, указанный здесь может вызвать две вещи:

(Web Proxy и Firewall)-клиенты разрешают доменное имя самостоятельно (не через ISA сервис), если у них есть DNS сервер для запроса. Web Proxy клиенты делают запросы напрямик к любому серверу в домене, игнорируя сервисы ISA.

Name Resolution

. Точные настройки IP для ISA сервера очень важны. Самое малое, вы должны для ISA предоставить DNS сервер для разрешения внешних FQDN по требованию Web Proxy и Firewall клиентов, и так же вы должны предоставить внутренний DNS сервер для локальной сети. ISA работает на W2k Server, а W2k предпочитает DNS, чем любую другую систему разрешения имен. При использовании разрешения имен с помощью WINS или NetBIOS периодически будут возникать проблемы. ISA предоставляет свой собственный DNS созданием DNS Lookup Packet Filter. Оставьте эту опцию включенной, иначе ISA может не смочь разрешать внешние имена корректно

Web Proxy and Firewall DNS cache

.
Web Proxy и Firewall службы предоставляют совсем базовые DNS "сервисы", которые полностью зависят от DNS-настроек, сделанных в конфигурациях IP ISA. Они будут разрешать FQDN-запросы для Web и Firewall клиентов, используя DNS сервера как определено в конфигурации IP ISA. Ошибки в этих настройках создадут в разрешении имен большие беспорядки для Web и Firewall клиентов. Проверьте, чтобы ISA Server мог разрешать имена правильно и быстро !
Действительно интересная вещь - это то, что они имеют уникальную возможность игнорировать TTL, нормально взаимодействующее с DNS-записью, полученную от DNS сервера. По определению, все записи, удерживаемые в DNS-кэше Web Proxy и Firewall, имеют TTL 6 часов, независимо от действующего TTL, связанного с записью. Понятно, что не нужно говорить, что при этом могут возникнуть беспорядки в клиентском разрешении имен. Любое, связанное с DNS тестирование, должно выполняться.

Что можно сделать для этого ? есть две записи в реестре (или в Active Directory для Enterprise-массивов) для каждого сервиса в каждом массиве, которые определяют размер DNS-кэша и TTL. Это:

Web Proxy:
HKLM\SOFTWARE\Microsoft\Fpc\Arrays\{Array GUID}\ArrayPolicy\WebProxy
"msFPCDnsCacheSize"=dword:00000bb8
"msFPCDnsCacheTtl"=dword:00005460

Firewall:
HKLM\SOFTWARE\Microsoft\Fpc\Arrays\{Array GUID}\ArrayPolicy\Proxy-WSP
"msFPCDnsCacheSize"=dword:00000bb8
"msFPCDnsCacheTtl"=dword:00005460

Замечание:
Для Enterprise-массивов, вы должны использовать Active Directory Users and Computers в расширенном режиме просмотра (Advanced view mode) и дойти до System, Microsoft, FPC, Arrays, {Array GUID}, Array policy и т.д.

Значения представлены в шестнадцатеричном формате. Калькулятор Windows может их конвертировать если он переключен в режим "scientific". При переводе получится, что по умолчанию размер кэша 3к байт каждый, что позволяет каждой записи иметь TTL 21,600 секунд (6 часов). Этот способ эффективен, чтобы сделать разрешение имен Интернета действительно живым для Web и Firewall клиентов.

msFPCDnsCacheSize - сообщает каждому сервису его объем кэша. Если это значение = 0, то следующая запись в реестре игнорируется и сервис не накапливает имен. Давайте поменяем его на 0. Теперь каждый запрос на имя от клиента будет заново разрешен DNS сервером и TTL будет правильным для той записи. msFPCDnsCacheTtl - сообщает каждому сервису сколько (в секундах) удерживать каждую запись, которую он принимает. Если в предыдущей записи вы поставите значение, отличное от нуля, то значение введенное здесь будет использовано. Если же предыдущее значение реестра равно 0, то ЭТО значение не будет учтено.

Теперь перезапустите Web и Firewall сервисы, чтобы они могли применить новые настройки.

Auto-detection

. Это функция ISA (WPAD), которая позволяет браузерам Internet Explorer (v 5.0 или выше) настраиваться для нормальной работы с ISA Server.
DNS. Доменные службы имен (Domain Name Services). Службы, работающие на компьютере, и отвечающие на запросы по разрешению имен.

Cache

. Это режим с минимальными возможностями, поэтому только Web Proxy и, выборочно, службы кэширования могут быть установлены и запущены. А также, только в этом режиме ISA может работать с одной NIC ([network interface card] сетевой адаптер). В этом режиме поддерживаются только клиенты Web Proxy. Чтобы работать с клиентами SecureNAT и Firewall, для ISA нужен LAT. Так же, это единственный режим, в котором не поддерживается служба H.323 Gatekeeper.

Firewall

. Это сочетание служб Firewall и Web Proxy, без службы Web Cache. Все основные функции ISA поддерживаются в этом режиме, а так же поддерживаются все типы клиентов. Но для работы в этом режиме необходимо как минимум две сетевых карты, одна внешняя, другая внутренняя (LAT).

Firewall

. Это LAT-хост, у которого установлено программное обеспечение клиента ISA Firewall и приложение, использующее его.

FQDN

. Точно определенное доменное имя (Fully Qualified Domain Name); Имя компьютера, которое обозначает свое логическое единение со свойством структуры домена связанного с именем. К примеру, http://www.microsoft.com/ означает, что это хост с именем "www", который находится в домене "microsoft", под доменом верхнего уровня "com". Все эти имена всегда отделяются точками ". и так же известно их название как "десятичный адрес с разделительными точками" ("dotted decimal").

Клиенты ISA.Основная конфигурация ISA Server

. Глобально уникальный идентификатор (Globally Unique IDentifier); Это очень большое число, что гарантирует его уникальность. ISA использует его, чтобы определять различные стороны собственной конфигурации.

Integrated

. Это самый полный, самый функциональный режим. Web Proxy, Firewall и Web Caching - все вместе они самым наилучшим способом "пережевывают" пакеты. Отличие режима Firewall от этого заключается только в службе Web Caching.

Клиенты ISA - Часть 2 : SecureNAT и Web Proxy Client

Страница:

LAT

host. Это компьютер, который работает в подсети, определенной в LAT. Весь входящий и исходящий трафик этого компьютера транслируется с помощью NAT через ISA.

Record

. Это элемент в DNS-зоне, который представляет единственный элемент, такой как хост, почтовый сервер или сервер в другой зоне.

Secondary Protocol

. Любой протокол, используемый приложением, который отличается от протокола, предназначенного для создания начального (первичного) соединения через ISA считается вторичным (Secondary) протоколом.

SecureNAT

. Это LAT-хост, который по умолчанию имеет роутинг на ISA через сеть, т.к. он является только средством связи с Интернет. В простой сети (без маршрутизаторов) у этого клиента шлюзом по умолчанию является первичный внутренний IP адрес ISA. В сложных (маршрутизированных) сетях это дело усложняется.

Сравнение функций

Client	Settings	ISA Op Mode	Non-MS host	ISA Auto-Detect	Avail Proto	Sec Proto	Client Auth	ISA as DNS
WEB	Настройки прокси приложения или браузера = IP(или имя) и порт приемника исходящих web-запросов ISA	All	1	2	4	N	Y	Y
SecureNAT	Шлюз по умолчанию = Первичный внутренний IP адрес ISA	FW, Integ	Y	N	5	N	N	N
Firewall	Клиент Firewall ISA установленный на LAT-хосте	FW, Integ	N	3	6	Y	Y	Y

Примечания:

TTL

. Время существования (Time-to-live); показывает как долго (в секундах), запись имени может существовать в кэше запросов имен, прежде чем она должна быть обновлена.

Unqualified name

. Это имя хоста без общепринятой формы. Так же известно как NetBIOS-имя или WINS-имя.

Web Proxy

. Это простое обычное приложение (IE или другое Web-приложение) на LAT-хосте, которое использует прокси-запросы и порт для доступа в Интернет.

WINS

. Службы Интернет-имен Windows (Windows Internet Name Services); это служба разрешения имен, похожая на DNS, за исключением того, что она работает строго с NetBIOS-именами.

WPAD

. Автообнаружение прокси Windows (Windows Proxy Auto Detection); функция ISA, которая поддерживается Internet Explorer 5.0 или выше. Когда настроено правильно, позволяет IE конфигурироваться динамически.

Альтернативный ISA Server (Alternative ISA Server)

позволяет ISA использовать вторичный ISA, если первичный "падает". Естественно, что вторичный ISA Server должен существовать и использование первичного как вторичного это потеря времени, т.к. первичный будет для IE в "безответном" состоянии.

Страница:

Аутентификация пользователя (User Authentication)

- SecureNAT-клиенты ISA вовсе не могут этого делать (т.е. аутентифицироваться на ISA). Если ISA требует аутентификации для запроса, сделанного клиентом, пользователь увидит окно аутентификации или ошибку соединения, зависимо от приложения или сервиса, сделавшего запрос, к которому была применена технология аутентификации.

Доступность протокола (Protocol availability)

- клиенты SecureNAT могут использовать такие протоколы:

Простые протоколы (без вторичных соединений). Перечисленные в Policy Elements, Protocol definitions. Доступные в Access Policy, Protocol Rules. Не ограниченные пользователю или группе через Access Policy, Site and Content Rules.

Режимы работы ISA Server, поддерживающие этого клиента - все.

Клиент SecureNAT.

Этот клиент может работать под любой операционной системой, которая может работать с протоколами TCP/IP. Просто-напросто нужно указать первичный внутренний IP адрес (ISA сервера) шлюза по умолчанию в настройках клиентского IP, настроить нужные протоколы и правила в ISA. Далее изложены некоторые вещи, определяющие функциональность клиента SecureNAT:

Режимы работы, поддерживаемые этим клиентом - Firewall, Integrated. Обратите внимание, что Cache mode здесь не указан. Это потому, что для клиентам SecureNAT необходимо использовать ISA как маршрутизатор, который отсутствует в Cache mode независимо от того, на сколько сетевых карт вы "натравили" ISA Server. Сервис Firewall должен быть установлен и запущен на ISA, перед тем как клиент SecureNAT будет использован.

Клиенты ISA - Часть 2 : SecureNAT и Web Proxy Client

Страница:

Обход (неиспользование) прокси для локальных адресов (Bypass proxy for local addresses)

- все это в буквальном смысле. Необходимо это для того, чтобы с помощью IE открыть желаемый локальный ресурс. "Локальный" здесь имеется в виду какой-нибудь домен в LDT или любой запрос на имя NetBIOS или WINS. К примеру, http://thatserver/ сразу предполагается внутренним, в то время как http://thatserver.domain.tld/ будет предполагаться внутренним, только если домен находится в LDT.

Опции конфигурации клиента ISA Server:

Откройте панель управления ISA, дойдите там до Client Configuration. Правый клик на Web Browser и выберите Properties; Перейдите на закладку Direct Access и увидите следующий диалог. Здесь можно определить некоторые настройки IE, которые невидимо меняют обычные настройки в закладке Connection в IE. Вся информация отсюда пересылается на IE как JavaScript, если он делает запрос к ISA используя либо запрос http:///array.dll?Get.Routing.Script, либо http:///wpad.dat .

Опции в конфигурации клиента ISA Server:

Для работы клиента SecureNAT, кроме установки "Enable IP routing" не требуется. Клиент SecureNAT это такой зверь, что для ISA не нужно никаких определенных сведений о нем, за исключением некоторых случаев (IP адрес и используемый протокол). ISA либо позволит протокол, который клиент SecureNAT хочет использовать, или трафик будет отсутствовать. Для установки нормальной работоспособности клиента SecureNAT в W2k - правой кнопкой мыши на "My Network Places", выберите "Properties". Правый клик на "Local Area Network" (надеемся, что имеете таковую) и выберите "Properties". Прокрутите список до Internet protocol (TCP/IP), выберите его и нажмите кнопку "Properties". Вы увидите что-то такое:

Те элементы, которые здесь находятся, необходимы для работы любого клиента в сети TCP/IP; Ключевым моментом тут является то, что ISA должна быть маршрутизатором в Интернет по умолчанию. Если вы работаете в сети с маршрутизатором, то прочитайте эту статью. Если есть желание, все эти настройки могут быть назначены с использованием DHCP.

Прямой доступ (Direct Access)

позволяет IE делать запросы как SecureNAT или Firewall клиенту, при условии, что сетевая инфраструктура обеспечивает это.

Прямой доступ к этим серверам или доменам (Directly access these servers or domains)

. Эта настройка позволяет указать определенные сервера или домены, к которым может осуществляться прямой доступ как исключение первым двум правилам (галочкам). Если домен является внешним, то IE будет выступать в роли клиента ScureNAT или Firewall для такого запроса.

Теперь перейдите на закладку Backup Route. Эта установка позволяет IE использовать альтернативные средства для выхода в Интернет, если ISA Server не отвечает. Здесь две опции:

Прямой доступ компьютеров, указанных

, если эта галочка снята, то для IE позволительно делать прокси-запросы для серверов находящихся в LDT.

Разрешение имен (Name Resolution)

- правильные настройки IP для клиента SecureNAT полностью зависят от среды, в которой он работает. Разрешение имен для Интернет-запросов принимается здесь к рассмотрению в первую очередь, т.к. этот тип клиентского запроса не использует "функций" DNS ISA сервисов Web Proxy или Firewall. Вы должны предоставить либо внутренний DNS сервер, который может разрешать имена Интернета, либо позволить клиенту SecureNAT реализовывать собственное разрешение через ISA. В любом случае, ISA должна позволять такие Интернет-запросы.

Создайте Protocol Rule с именем "Internet DNS" (или с любым другим, как хотите), которое позволяет как протокол DNS Query, так и протокол DNS Zone Transfer. Не выбирайте серверные версии этих протоколов, т.к. они предназначены для Server Publishing и не способны к исходящим запросам.

Аутентификация пользователя (User Authentication)

. Клиенты Web Proxy могут аутентифицироваться на ISA Server, используя Integrated (NTLM), Basic (HTTP), Digest (только для W2k AD) аутентификацию. Только клиенты Windows могут использовать Digest-аутентификацию, т.к. зависит от функциональности W2k AD.

Автоматическая конфигурация (Automatic Configuration)

это самая первая группа, делающая Web-доступ затруднительным, если не настроены ISA или DNS.

Автоматическое определение настроек (Automatically detect settings)

- полностью зависит от "включенности" функции Auto Discovery и также имеющей WPAD во внутренней зоне DNS. Если у вас нет внутреннего DNS или DHCP с опцией 252, то снимите эту галочку. И еще, если вы используете IE до 5-й версии или другой браузер, то эта опция работать не будет. Запомните, что клиент не может использовать функцию ISA Auto Detection, пока не сможет разрешить имя ISA Server.

Доступность протокола (Protocol availability)

. Клиенты Web Proxy могут использовать только загрузку по HTTP, HTTPS, Gopher и FTP и они должны быть доступны в Access Policy, Protocol Rules.

Доступность содержимого (Content availability)

. Правила, определенные в Access Policy, Site and Content Rules.

Автор:
Перевод: Dave
Дата: 14-11-2003
Адрес этого документа: http://www.isaserver.ru/modules/wfsection/article.php?articleid=20

Страница:

Использовать скрипт автоматической конфигурации (Use automatic configuration script)

. Позволяет браузеру запросить у ISA Server JavaScript, который сконфигурирует IE для нормальной работы с ISA Server. Данные, которые будут получены со скриптом, собраны из настроек LDT и из опций конфигурации Web Proxy Client.

Клиенты ISA - Часть 2 : SecureNAT и Web Proxy Client

Страница:

Настройки клиентского приложения (Client application settings).

Т.к. IE в основном является просто клиентом Web Proxy, то для примера мы рассмотрим именно IE. Начнем с главных настроек соединения в IE. В эти настройки можно попасть, если, например, на Рабочем столе, на значке IE кликнуть правой кнопкой и выбрать Properties. Или если IE уже запущен, то - меню Tools, Internet Options. А там надо перейти на закладку Connections и затем нажать на кнопку LAN Settings. Итак, здесь четыре основных опции:

Прокси сервер (Proxy Server)

. Установки, которые находятся в этой группе используются, только если автоматические настройки не указаны или не сработали.

Internet Explorer на ISA Server может также работать как клиент Web Proxy при помощи задания следующих настроек в свойствах IE, Connections, LAN Settings:

Разрешение имен (Name Resolution)

. По определению, сервис Web Proxy предлагает простую DNS-функциональность клиентам Web Proxy и по определению, клиенты Web Proxy используют ее. До тех пор пока ISA Server может разрешать интернет-имена, клиентское приложение тоже может это. Имейте в виду, что эти функции не распространяются на NetBIOS-имена. Они уже разрешены LAT-хостом при помощи любого доступного механизма.