Auto-detection
- Это - особенность ISA (WPAD), которая позволяет компьютерам LAT и Internet Explorer (v 5.0 или выше) конфигурировать себя, чтобы работать должным образом с сервером ISA.
Cache
. Это режим с минимальными возможностями, поэтому только Web Proxy и, выборочно, службы кэширования могут быть установлены и запущены. А также, только в этом режиме ISA может работать с одной NIC ([network interface card] сетевой адаптер). В этом режиме поддерживаются только клиенты Web Proxy. Чтобы работать с клиентами SecureNAT и Firewall, для ISA нужен LAT. Так же, это единственный режим, в котором не поддерживается служба H.323 Gatekeeper.
DNS
- Службы именования доменов (Domain Name Services); сервисы, постоянно находящиеся на компьютере, которые отвечают на запрос по разрешению имени. Запрос зависит от многих параметров настройки сервера.
Файлы Конфигурации
(Configuration Files) - два файла объединяются на Lat-host в \Program Files\Microsoft Firewall Client\internal_setup\, для определения параметров настройки для программного обеспечения FWC и как оно отвечает на запросы Winsock от приложений и сервисов:
mspclnt.ini; этот файл содержит основной объем данных конфигурации и содержит экземпляры содержимого wspad.dat
msplat.ini; содержит все записи, сделанные в Network Configuration, Local Address Table, и постоянно находится на каждом клиенте, чтобы поддерживать совместимость с Proxy-2 (файл wspcfg.dat). Этот файл также содержит еще две подсети:
224.0.0.0-255.255.255.254 это - стандартная широковещательная подсеть. Так как ISA не передает широковещательный протокол, он должен быть определен как местный.
127.0.0.0-127.255.255.255 это - стандартный набор адресов “localhost”. Ни один из адресов в этом диапазоне не используется вне хоста, работающего на TCP/IP, так что они никогда не должны видеться ISA.
Эти оба файла отсылаются ISA-серверу в течение инсталляции FWC. Когда пользователь нажимает кнопку Update Now в диалоге конфигурации FWC , происходит следующее:
Firewall
. Это сочетание служб Firewall и Web Proxy, без службы Web Cache. Все основные функции ISA поддерживаются в этом режиме, а так же поддерживаются все типы клиентов. Но для работы в этом режиме необходимо как минимум две сетевых карты, одна внешняя, другая внутренняя (LAT).
Firewall
. Это LAT-хост, у которого установлено программное обеспечение клиента ISA Firewall и приложение, использующее его.
FQDN
- Точно Определенное Имя Домена (Fully Qualified Domain Name); это - имя компьютера, которое указывает его логическую ассоциацию на основании структуры домена, связанную с именем. Например, http://www.microsoft.com/ указывает на то, что главный компьютер по имени “www”, "живет" в домене “microsoft” под доменом верхнего уровня “com”. Эти имена всегда отделяются точками “.” и также они известны как “пунктирное десятичное число”.
FWC
- Клиент Firewall; используется в этой статье, для указания программного обеспечения FWC непосредственно на LAT host.
Клиенты ISA.Основная конфигурация ISA Server
- Глобально Уникальный Идентификатор (Globally Unique IDentifier); это - очень большое число, которое гарантированно будет уникальным. ISA использует его, чтобы идентифицировать различные способы его конфигурации.
Integrated
. Это самый полный, самый функциональный режим. Web Proxy, Firewall и Web Caching - все вместе они самым наилучшим способом "пережевывают" пакеты. Отличие режима Firewall от этого заключается только в службе Web Caching.
Клиент Firewall:
Этот клиент наиболее универсальный, потому что имеет уникальную способность работать "в зависимости от приложения" и определять, как будет действовать и с какой информацией приложение должно работать. К тому же, это - единственный клиент, который может использовать вторичные протоколы. Вторичные протоколы делают FWC необходимым для приложений, таких как передача сообщений; потоковых носителей, FTP-протокола и т.д. Для большинства людей это также самый труднопонимаемый клиент, потому что он зависит от "конфигурации приложений".
Операционные режимы ISA сервера, которые поддерживают этого клиента: Firewall, Integrated. Обратите внимание, что режим Cache не указан, т.к. режим Cache не устанавливает Firewall-сервис, который необходим для работы Firewall и SecureNAT клиентов.
Разрешение Имен (Name Resolution) - Это действительно интересно, потому что нет "правильного ответа" на вопрос, как Firewall-клиенты решают имена. Они могут использовать Firewall-сервисы ISA, функциональные возможности DNS, или они могут действовать подобно клиентам SecureNAT и разрешать составные имена самостоятельно. Это зависит от параметров настройки в разделе Client Applications (обсуждено позже). В любом случае, они всегда разрешают непреобразованные (unqualified) имена, без использования сервиса Firewall ISA-сервера.
Аутентификация пользователя (User Authentication) - Firewall-клиенты, подобно (Web Proxy)-клиентам, могут подтверждать подлинность на сервере ISA, предоставляя доверительные грамоты (credentials) интерактивно вошедшего пользователя, или как определено при использовании CredTool.exe.
Доступность протокола (Protocol availability)- Firewall-клиенты могут использовать те протоколы, которые:
Разрешены в Access Policy, Protocol Rules Не ограничены с помощью Site and Content Rules Определены, как имеющие вторичные подключения
Клиенты ISA - Часть 3 : The Firewall Client
Страница: | 1 | 2 | 3 |
LAT host
- Это - компьютер, который работает в подсети, которая определена в LAT. Весь входящий и исходящий трафик этого компьютера транслируется с помощью NAT через ISA.
Record
. Это элемент в DNS-зоне, который представляет единственный элемент, такой как хост, почтовый сервер или сервер в другой зоне.
Secondary Protocol
. Любой протокол, используемый приложением, который отличается от протокола, предназначенного для создания начального (первичного) соединения через ISA считается вторичным (Secondary) протоколом.
SecureNAT
. Это LAT-хост, который по умолчанию имеет роутинг на ISA через сеть, т.к. он является только средством связи с Интернет. В простой сети (без маршрутизаторов) у этого клиента шлюзом по умолчанию является первичный внутренний IP адрес ISA. В сложных (маршрутизированных) сетях это дело усложняется.
Сравнение функций
Client | Settings | ISA Op Mode | Non-MS host | ISA Auto-Detect | Avail Proto | Sec Proto | Client Auth | ISA as DNS |
WEB | Настройки прокси приложения или браузера = IP(или имя) и порт приемника исходящих web-запросов ISA | All | 1 | 2 | 4 | N | Y | Y |
SecureNAT | Шлюз по умолчанию = Первичный внутренний IP адрес ISA | FW, Integ | Y | N | 5 | N | N | N |
Firewall | Клиент Firewall ISA установленный на LAT-хосте | FW, Integ | N | 3 | 6 | Y | Y | Y |
Примечания:
TTL.
Время существования (Time-to-live) - показывает как долго (в секундах), запись имени может существовать в кэше запросов имен, прежде чем она должна быть обновлена.
Unqualified name
. Это имя хоста без общепринятой формы. Так же известно как NetBIOS-имя или WINS-имя.
VIP
- Виртуальный IP (Virtual IP) это допустимый IP-адрес, который назначен либо на NLB-кластер, либо на аппаратное устройство совместной загрузки.
Web Proxy
. Это простое обычное приложение (IE или другое Web-приложение) на LAT-хосте, которое использует прокси-запросы и порт для доступа в Интернет.
WINS
. Службы Интернет-имен Windows (Windows Internet Name Services); это служба разрешения имен, похожая на DNS, за исключением того, что она работает строго с NetBIOS-именами.
WPAD
. Автообнаружение прокси Windows (Windows Proxy Auto Detection); функция ISA, которая поддерживается Internet Explorer 5.0 или выше. Когда настроено правильно, позволяет IE конфигурироваться динамически.
ControlChannel
. Эта опция определяет, использует ли клиентское приложение UDP или TCP для управления сеансом с ISA.
Страница: | 1 | 2 | 3 |
Disable
. Эта опция отключает FWC для указанного приложения, т.е. функциональность TCP/IP.
Enable ISA Firewall automatic discovery in Firewall Client
- эта опция не "смотрит", разрешено ли FWC автоматически обнаруживать ISA-сервер. Она также может меняться непосредственно на клиенте.
Теперь перейдите на закладку "Application Settings" здесь можно создать или удалить Winsock-совместимые приложения с FWC ISA-сервер.
Откройте хелп по ISA и найдите раздел Firewall client application settings. Обратите внимание на ссылку на wspcfg.ini файл; он и mspclnt.ini файл - по существу одно и то же, так как они содержат одни и те те же данные. Различие между ними в том, как они используются.
ForceCredentials
. Эта опция позволяет сервису или приложению связываться с ISA, используя доверительные грамоты ("удостоверения личности"), определенные для того или иного приложения или сервиса, с помощью CredTool.exe. Это позволяет определить ситуацию “должны подтвердить подлинность” для всех протоколов и обеспечить нормальную работу публикуемого сервера. Подробности насчет CredTool.exe будут изложены позже.
ForceProxy
. Эта опция принуждает какое-либо отдельное приложение использовать только один сервер ISA, даже если используются NLB или другая методика, балансирующая нагрузку. Используя эту опцию, можно гарантировать, что любой трафик "в" и "из" этого сервиса или приложения будет всегда виден каким-то определенным сервером ISA. Очевидно, если у вас только один ISA, то эта опция бесполезна.
IP-адрес
(IP address): Можно ввести IP-адрес ISA-сервера, если у вас нету ни WINS, ни DNS сервисов.
KillOldSession
. Ну... тут все понятно. Для любого данного сервиса или приложения от отдельного клиента позволяется только один сеанс, если установлено как “1”
Клиенты ISA - Часть 3 : The Firewall Client
Страница: | 1 | 2 | 3 |
LocalBind(Tc/Ud)pPorts
. Эта опция определяет список или диапазон портов, которые привязаны LAT-хосте на 0.0.0.0:. Это связывание можно понимать как "глобальное", т.к. оно фактически связывает с любым IP, принадлежащим LAT-хосту. При определенных обстоятельствах, оно может стать неявной операцией RemoteBind, если пакет отправлен сразу после операции связывания.
Mspclnt.ini.
хелп раскрывает цели и использование этого файла весьма хорошо, за исключением того, что отсутствует очень полезный раздел [Common Configuration] (Примемся за это позже, после того как пробежимся по индивидуальным настройкам приложения).
NameResolution
. Как указано в хелпе, эта опция определяет какое поведение по умолчанию для разрешения имен задано для приложения FWC-клиента. Это применимо только к правильно преобразованным именам (DNS-имена или FQDN). Непреобразованные имена (NetBIOS или WINS-имена) всегда разрешаются посредством TCP/IP-стека LAT-хоста.
NameResolutionForLocalHost
. Эта опция определяет как FWC сообщает об IP-адресе LAT-хоста требующему приложению для запроса GHBN Winsock. Неоднократно, Winsock - совместимое приложение должно узнать свой собственный IP-адрес, чтобы обеспечить информацию для другого клиента, чтобы установить связь между ними. Если приложение, выполняющееся на LAT-хосте сообщает удаленному клиенту о внутреннем IP-адресе , то ни о какой связи не может быть и речи. Если FWC сообщает внешний IP-адрес ISA, и все остальные настройки поддерживают такую связь, то эти два приложения могут "быть на связи" целый день.
Настройки сервера ISA.
Здесь довольно много настроек ISA, которые применяются к FWC. Если Вы интересуетесь настройками, сделанными непосредственно на клиенте, то обратитесь к статье, посвященной этому. А чем мы интересуемся в данный момент - как сделать настройки, которые позволяют FWC работать должным образом с ISA.
Первым делом идем в Client Cnfiguration, Firewall Client. Здесь, есть все настройки, чтобы указать, как клиентское приложение и ISA взаимодействуют посредством программного обеспечения FWC:
Дважды щелкните на Firewall Client. Появится диалог "Properties":
Здесь можно создать или прекратить функциональность FWC ISA. Все, что введено здесь, определяет настройки по умолчанию для FWC, когда оно установлено LAT-хосте, так же как и данные, которые передаются, когда FWC запрашивает обновление от ISA.
Persistent
. Эта опция в противоположность KillOldSession. Она позволяет "прицепляться" к остающимся активным сессиям, даже если сервис или приложение теряют связь с ISA. Это позволяет восстановить предыдущее подключение, если оно было разорвано.
ProxyBindIp
. Эта опция довольно просто объясняется. По существу, она "резервирует" комбинацию "IP / порт" для какого-то отдельного клиента. При выборе этой опции нужно иметь в виду следующее:
Является универсальной установкой, которая обращается к TCP и UDP портам одновременно. Препятствует другому приложению или сервису, использовать ту же комбинацию "IP / порт".
Это важные моменты, потому что вы не сможете увидеть в ISA MMC: Monitoring (окно Session), что эти подключения существуют. Попытка публикации сервера на той же самой комбинации "IP / порт" при данных обстоятельствах может вызвать у вас облысение. :))
RemoteBind(Tc/Ud)pPorts
. Эта опция определяет список или диапазон портов, с которыми приложение связывается на сервере ISA по адресу 0.0.0.0:. И также связывает тот же самый порт с LAT-хостом по адресу 0.0.0.0: и устанавливает линию связи между ними.
ServerBindTcpPorts
. Эта опция такая же как и RemoteBind, за исключением того, что она позволяет множественные внешние соединения через ISA к клиенту. Это эффективно в той же публикации сервера, и что порт TCP на LAT-хосте такой, как будто LAT-хост является SecureNAT-клиентом. Обратите внимание, что это не ServerBindUdpPorts. Это потому что UDP является "бессоединительным", он всего лишь поток данных. Следовательно, нет никакого резона определять тот порта как “ServerBound”.
Wspcfg.ini.
этот файл нужен специально для Proxy-сервера 2 формы публикации сервера, где клиентское программное обеспечение прокси должно было быть установлено на публикуемом сервере. Этот файл также служит, для поддержки совместимости с клиентом Proxy-сервера 2.
Так как ISA обычно требует, чтобы все сервисы публикуемого сервера постоянно находились на SecureNAT-хосте, эта методика публикации требуется, в том случае если публикуемый сервер не может быть SecureNAT клиентом.
Каждое приложение, указанное в настройках приложений FWC получает свой собственный подзаголовок как [Application_Name]. Имя приложения получено от имени, о котором оно сообщает операционной системе во время выполнения.
Например, Outlook Express идентифицирует себя для операционной системы как “msimn.exe”, и MSN Instant Messenger появляется там как “msmsgs.exe”. Эта информация является очень важной, если Вы хотите увидеть любое изменение в поведении FWC относительно вашего приложения, основанного на следующих настройках. Если Вы не знаете, как приложение идентифицирует себя в операционной системе, откройте Менеджер Задач (Task Manager) и загляните на закладку Applications. Там вы увидите, под каким именем запустилась программа.
Common
. Здесь много вариантов, в которых есть все, чтобы сделать как ISA и FWC-хост будут кооперироваться. Большинство этих вариантов может быть изменено в ISA MMC, но некоторые требуют редактирования "ручками" в ISA-файле mspclnt.ini.
Port - при нормальных обстоятельствах, никогда нет резона изменять это значение. Не играйте с этим, если у вас нет абсолютной потребности. Configuration Refresh Time. Также освещена в справке. Если вы делаете множество изменений за короткий период времени, вам может понадобиться добраться до этой установки. Re-check Inaccessible Server Time (Minutes) - тоже описано в справке. Часть настройки конфигурации перепроверки. Set Browsers To Use Proxy - это фактически настройка, полученная из раздела Web-браузера конфигурации клиента. и делает точно то, что написано в хелпе. Configuration URL - также получено из раздела Web-браузера конфигурации клиента. Local Domains. От данных, введенных в LDT, но может изменяться вручную. Как изложено в хелпе, эти имена разрешены локально и серверы, с которыми они входят в контакт, не используют ISA как прокси-сервер. WWW-Proxy- также получен из раздела Web-браузера конфигурации клиента. WebProxyPort. Получен из настройки порта HTTP в закладке Outbound Web Requests свойств сервера или массива. Set Browsers to use Auto Config. Тоже является частью раздела Web-браузера конфигурации клиента AutoDetect ISA Servers. Это значение основано на FWC-настройке Enable ISA Firewall automatic discovery in Firewall Client. Set Browsers to use Auto Detect. Тоже часть раздела Web-браузера конфигурации клиента, но отличается от Auto Config в том что является WPAD-частью ISA
CredTool.exe
. Является небольшим, но очень полезным приложением, которое позволяет запустить сервис или приложение в контексте какого-нибудь отдельного пользователя (т.е. от имени такого-то пользователя), но только с целью взаимодействия с ISA через Firewall-клиента. Далее - как использовать это средство...
Откройте коммандную строку и перейдите в каталог \program files\microsoft firewall client. Отсюда можно запустить “credtool /?” для просмотра списка опций, что они означают.
D:\Program Files\Microsoft Firewall Client>credtool /? Bad parameters (неправильные параметры) Usage: (использование) CREDTOOL [-r|-w|-d] -n appname [-c User Domain Password] -r reads the credentials (читает доверительные грамоты) -w writes, or stores the credentials (записывает, или сохраняет доверительные грамоты) -d deletes the credentials (удаляет доверительные грамоты) -n appname specifies the name of the application executable file without the extension (Имя приложения для выполнения без расширения) -c user domain password specifies the account credentials (пользовательский пароль для домена определяет доверительные грамоты эккаунта)
Например, если нам необходимо, чтобы DNS-сервис был файервольным client-published приложением, т.к. наша сетка не позволяет использовать SecureNAT, то нужно будет установить Firewall-клиента на сервер и скопировать mspclnt.ini в каталог где находится dns.exe (по определению это %Systeroot%\system32) и переименовать этот файл в wspcfg.ini.
Затем можно было бы перейти в папку \program files\microsoft firewall client и запустить credtool.exe со следующими параметрами (замените UserName, DomainName и PassWord на реальные соответствующие значения):
D:\Program Files\Microsoft Firewall Client>credtool -w -n dns -c UserName DomainName PassWord Write credentials for [dns] User: [UserName] Domain: [DomainName] Password: [PassWord]
Доверительные грамоты, которые потом примененяются к любому запросу обращаются к ISA только от лица этого сервиса, позволяя всем протоколам быть контролируемыми пользовательской аутентификацией.
то вы должны указать имя
Примечение: секция "DomainName" должна быть указана. Если у вас нет домена (NT4 или W2K AD), то вы должны указать имя той машины на которой существует пользовательская учетная запись. Т.к. ISA должна хранить все учетные записи пользователей в не_доменной среде (Workgroup), то можно использовать NetBIOS-имя ISA-сервера как "DomainName".
Для удаления или чтения доверительных грамот (credentials) назначенных какому-то определенному приложению или сервису необходимо только лишь указать операцию (-w или -r) и имя приложения (-n) без доверительных грамот. Например:
D:\Program Files\Microsoft Firewall Client>credtool -r -n dns Read credentials for [dns] User: [UserName] Domain: [DomainName] Password: [**********]
... показывает UserName и Domain используемые DNS-сервисом. Обратите внимание, что пароль не показывается для предотвращения нелегального использования.
Автор:
Перевод: Dave
Дата: 17-02-2004
Адрес этого документа: http://www.isaserver.ru/modules/wfsection/article.php?articleid=25
Страница: | 1 | 2 | 3 |
IP-адрес(а) сервера
. Здесь есть два возможных варианта: Name и Addr1. Они являются взаимоисключающими. Только один из них может находиться в этом разделе. Здесь можно поддержать сбалансированность нагрузки Firewall через DNS-цикличность или NLB через весь массив, используя “глобальное имя” или “глобальный IP-адрес” для всех серверов в массиве. Хотя, фактически настройка является темой для другой статьи.
Клиенты ISA - Часть 3 : The Firewall Client
Страница: | 1 | 2 | 3 |
Возможно при тщательном прочтении вы заметили в этом разделе справки ISA, что [Общая Конфигурация] объявлена как одно из мест куда FWC обращается за информацией. Также обратите внимание, что она не существует по умолчанию в mspclnt.ini. Когда вы вводите имя приложения и оно является неизвестным для ISA, создается новый раздел в ISA-версии mspclnt.ini как [AppName]. Это то же самое, если вы создали бы раздел [Общая Конфигурация], вводя “Общая Конфигурация” в Application Name как показано ниже:
Возможно вы заметили, что здесь введено NameResolution = L. Вы могли бы спросить "А нафига это надо ?". Oк ! Возражения принимаются. Что эта опция сделает - заставит FWC обратиться к сервису DNS-клиента на LAT-хосте для любого и всех FQDN-запросов, кроме тех, где для какого-то отдельного приложения или сервиса определено по-другому в mspclnt.ini файле. Если у вас есть непрерывная структура преобразования имен, основанная на DNS, (широковещательные каналы NetBIOS в учет не берутся), то эта опция поможет избегать FWC разрушения DNS-кэша, как было частично упомянуто в одной из статей. Строго рекомендовано использовать эту опцию.
Теперь откройте, ISA-хелп и найдите раздел "Configuring Firewall client settings". Это раздел, в котором определены основные функциональные возможности для FWC и он представлен как первая часть mspclnt.ini.
LAT Host Settings
- Многого не охватить здесь. Можете заглянуть в эту статью: http://isaserver.org/pages/tutorials/understanding_the_isa_firewall_client.htm.
Master Config
. Тут все понятно, так что не будем тратить время впустую.