ISA Server 2006企业版与标准版区别及阵列布署

大家知道ISA都有两个版本，一个是标准版，一个是企业版，那么我们在企业中布置时，应该选择哪个版本,有的朋友就说了：这不明摆着的吗？当然是企业版了，功能强呀！那么到底强在什么地方，是不是任何企业、公司都需要使用企业版，我们今天来看一个2006企业版与标准版的区别：

标准版简单来说适合于中小型企业，人数不多，规模不大，使用标准版可以说是得心应手，因为它包括了一般企业所最常用的功能如：代理服务器、防火墙功能、网页缓存功能、VPN功能等。这些对于一般企业来说是够用了。但因为它是标准版，所以对于大型企业来说，可能会有点力不从心，如它最多只支持4CPU，不支持容错，高可用性及企业级管理等，那么对于大型分布式网络来说就可以使用企业版。

企业版囊括了标准版的所有功能，然后在此基础上增加了三大功能：

1 NLB 网络负载均衡

2 CARP 高可用性

3 企业级管理

下面我们来简单看一下各个功能：

NLB：（Network Load Balancing）网络负载均衡  阵列中的ISA Server都可以提供服务来分散负载.例如如果阵列中有四台ISA,那么每台的负载为25%,而且NLB支持故障转移功能,如果某台ISA因故障而离线,那么其他的ISA会自动调整负载继续为用户服务.

CARP ( Cache Array Routing Protocol) 缓存阵列路由协议 这个功能也是企业版所特有的。作用：提高网页缓存功能，将网页缓存分散到阵列中的多台ISA Server中，将使客户端能很迅速定位到该ISA上。

企业级管理：所谓企业级管理是针对大型分布式网络来说的。如杜氏企业现在全国有三家分公司，北京、上海、广州每个城市都使用ISA来进行管理，如果是标准版的话，那么每个城市分散管理，互不相干！那每个城市都需要一个管理员来对本地的网络进行管理。那么我们可以使用企业版，只需要有一个管理员在总公司这边就可以直接进行相应的管理。如在北京对各地的ISA服务器进行管理，规定上海的客户端只能浏览网页，广州的客户端只可以使用MSN，不允许使用QQ等等。所有对ISA的操作我们都可以在总部的ISA上操作即可以！不需要在每个城市进行操作，这样可以节省一定的人力成本，实现了企业级的单点管理！便于实现企业的管理策略。

总结：这三大功能需要是标准版所没有的。也是作为企业管理员选择 ISA 企业版的一个参考点，如果本企业不需要实现这三大功能的话，那么就没有使用企业版的必要性，标准版足矣！

下面咱们就来看一下企业版的安装

ISA 配置存储：

ISA 2000  企业版         活动目录 ( 必须有 AD 支持 )

ISA 2004/2006  标准版    本地（注册表）

ISA 2004/2006  企业版   CSS

但注意了  CSS  不是 AD ，也就是说可以不是活动目录，也可以是工作组，但如果是工作组的话，配置起来会略有麻烦，因为要涉及到证书的问题。

CSS 不是存放到 AD 数据库中，而是存放到  ADAM 数据库中， ADAM 是和 AD 相似一个数据实例，对于任何一个“企业”来说，都必须要有一个 CSS ，也就是说对于任何一个阵列来说都必须有一个 CSS 来存放配置信息或是是多个阵列也可以使用一个 CSS 服务器！一般来说先安装 ISA 的那台机器是 CSS ，然后完成后可以查看开始菜单下多了一个 ADAM ， CSS 的信息就存放到了 ADAM 数据库中。如果出于容错的话，也可以再选择一个备用 CSS ，但备用 CSS 也需要有 ADAM 数据库的支持，即先安装 ADAM ，否则不起作用，至于 ADAM 的安装，在 ISA 企业版的安装光盘中有安装程序。在此不在累述！而且 CSS 服务器与其他 ISA 服务器的更新间隔是 15 秒（但不是精确的，有可能快点或是慢点，可以通过监视中的配置来查看所有 ISA 来查看同步状态）！当然可以修改！就是有域的支持， CSS 的数据也不存放在 AD 中，还是存放在 ADAM 中。即 ISA 与 AD 是分开管理的，这样也有一定的好处：

1  不需要更新  AD 架构，降低了 AD 的出错几率

2  ISA  不依赖于域，提高了 ISA 的应用场合。

3   不依赖于域，那么配置信息的复制及更新与 AD 没有任何关系，复制速度更快！

但如果企业中有域的环境还是推荐在域的环境下使用 ISA ，因为利用域来实现身份验证是相当灵活的。有不可言喻的感觉！（自己体会吧，嘻。。。。。。）

 

企业版的安装：

我们先来看一下安装的注意事项：

两种环境：工作组和域   在域的环境下搭建会简单的多，例如我们现在有一个阵列，这个阵列中有两台 ISA ，其中一个配置有 CSS ，另一个就是一个普通的 ISA ，关键问题是这两台 ISA 是要做配置复制的，而且这个复制是加密的，强制的，必须加密，那么如果是域的环境，这两台 ISA 的身份验证使用的是 Kerberos ，这个时候会使用 Kerberos 内置的加密技术来进行加密。所以这个加密不需要管理员手动来做，这个比较简单，但如果是工作组的话，使用的验证方法是 NTLM ，而这种验证方法是不加密的。这就需要我们手动对 CSS 的配置信息进行加密，这就需要使用到证书！

下面我们来看一下在工作组下 ISA Server 企业版的安装过程：

如图所示：

步骤如下：

1   安装 CA   例如安装在   内网的 AnHui 这台机器上

2  CSS 机器上须申请证书    如将 css 安装在 Beijing 上  Being 则申请证书

3  ISA 必须要信任 CA   Beijing 及 hanghai 要执行信任 CA 的操作

4   安装 CSS

5   在 Beijing 上安装 ISA Server 服务

6   在 Shanghai 上安装 ISA Server  服务

7   配置阵列内部通信使用的用户账户

 

步骤一：  首先我们在AnHui 上安装CA ：

安装过程略！  CA 安装成功后，我们需要为 Beijing 申请证书

 

步骤二： Beijing 申请证书

Beijing 上操作 :

点击申请一个证书，高级证书申请，创建并向此 CA 提交一个申请：

得到 CA 的颁发后，安装此证书！

然后将此证书导出成一个文件 , 在后面安装 CSS 时需要用到此文件 :

打开 MMC:

一定要记住此密码 ! 然后我们将此文件保存到 c:\css.pfx

导出成功后，就需要进行下一步 , 信任 CA 的操作 :

步骤三：阵列中的ISA 机器都要执行信任CA 的操作

选择下载一个CA证书,证书链或CRL

然后再利用 MMC 导入即可 !

然后 ShangHai 上也要执行一遍信任 CA 的操作 !

如图 :

步骤四：  在Beijing 上安装CSS

到现在为止 , 所有的准备工作结束 , 就可以进行 ISA Server 企业版的安装工作了 :

我们先在 Beijing  上安装 CSS: 放入安装光盘 :

按照提示点击下一步后出现下图：

下一步继续安装 !

我们选择安装配置存储服务器及相关的组件 , 在这里也可以选择同时安装配置存储服务器 , 和 ISA Server 服务。直接点击下一步

创建新的 ISA 企业

选择在工作组中或不信任关系的域中部署，并选择我们前面导出的证书文件及相应的密码。

步骤五：开始在Beijing 上安装ISA Server 服务

选择修改安装：

定位到 CSS 服务器，并指定合适的连凭据：

在此选择创建新阵列，阵列名默认为本计算机名，可不用修改，点击下一步

选择好相应的身份验证方式，因为现在是工作组所以选择通过 SSL 加密通道进行身份验证。

 

选择应用到阵列的企业策略。

点击两次下一步后就可以进行安装了

步骤六：  在Shanghai 上安装ISA Server 服务

加入到现有的阵列，并输入阵列名称：

开始进入安装过程。

步骤七：   配置阵列内部通信使用的用户账户

到现在为止，我们已经配置好了阵列，如果是在域环境中配置，那么现在配置就已经完成了，阵列已经可以使用了。但是在工作组环境中，还需要定义阵列内用于内部通信的的用户账户，此账户要在每台 ISA Server 服务计算机上一致，并且要具有管理权限。在此，我使用管理员 administrator 账户。

由于两台 ISA Server 已经完全共享配置，所以以下的操作在任何一台 ISA Server 服务计算机上都可以进行。   我现在 Beijing 上操作：

打开 ISA  的管理控制台：

最后，我们来查看阵列的同步状态，验证安装是否成功 : 查看各个 ISA 之间的同步状态

可以编写一个策略 , 查看各个 Beijing 与 Shanghai 的同步状态 :

 

 

下面介绍一下基于域的ISA Server 的安装过程：

在域的环境下安装企业版会使用我们的安装变得简单，原因在前我们已经做了介绍，在此不再累述，我们的实验环境如下图所示 :

Anhui 作为一个 DNS 服务器要为 AD 作解析支持，要注意在此网关指向 20.20.20.1 或是 20.20.20.2 来连向外网，但这样的话，如果其中一台机器坏了，会影响到阵列的工作。所以我们还可以在 Henan 这个机器上再增加一块网卡直接连接到外网，并在此 DNS 上设置 DNS 转发

也可以将 CSS 、 DNS 、 AD 放在一台计算机上，我们这里就按我们的拓扑图来进行布置

 

说明 :

1  ISA 有三块网卡 , 分别代表三个网段如下 :

外网 : 直接连接外网设置  IP  子网    网关

     DNS: 无

内网 : 连接企业内网   只设置 ip 和子网

DMZ:  用于阵列间的通讯    设置 IP 和子网 , 网关

  DNS: 指向 DNS 服务器 , 在此是 20.20.20.3

 

2  CSS 机器设置 (Anhui) 一块网卡 , 用于和 ISA 相连 , 存放 ISA 的配置信息 , 设置 IP, 子网

网关可以指定任意一个 ISA 的 DMZ 网络

DNS: 指向自己

 

具体步骤如下：

1  在 Anhui 上安装 DNS ， DC

2  将  Beijing 和 Shanghai 分别加入到域：

3  在 AnHui 上安装 CSS

4  在 Beijing 上安装 ISA Server

4  在 Shanghai 上安装 ISA Server

 

下面我们开始

步骤一：在Anhui 上安装DNS ，DC

我们直接使用 Dcpromo   直接安装 DC ，并进行 DNS 的自动安装配置

升域过程在此不做详细介绍！

 

步骤二：Beijing  和Shanghai 加入到dufei.com  域

如下图：

 

步骤三：在Anhui 上安装CSS

 

在此界面，选择安装配置存储服务器

组件选择界面，直接点击下一步, 点击创建新的 ISA 服务器企业

 

在此输入有权限的用户，一般使用管理员

安装成功后，我们开始进入第四步

步骤四：在Beijing 上安装  ISA Server

放入安装光盘：

选择安装 ISA 服务器服务，然后组件选择处默认即可！

在此选择 CSS 服务器。可以手动输入或是通过浏览查找

 

选择创建新阵列，并指定阵列名称，在此默认使用第一台 ISA 的计算机名作为阵列名。

 

指定 ISA Server 连接到 CSS 的身份验证方式

指定内网地址范围

指定应用到阵列的企业策略。后期可以更改！

一切准备就绪后，我们就开始安装了！

步骤五：在Shanghai 上安装  ISA Server

此步骤和步骤四几乎相同，只有两处不同，一个不是新建阵列，而是加入到现有阵列，再有就是不需要指定内网地址范围了！

放入安装光盘：

点击安装 ISA Server 2006

 

 

在此选择 CSS 服务器。可以手动输入或是通过浏览查找

 

 

指定连接到 CSS 服务器的身份验证方式

以下的步骤和步骤四就一样了，然后开始安装！

此时，基于域的阵列安装到此结束！

 

下面，我们就来检查一下阵列的工作状态是否正常：

同步正常！

阵列的环境布置成功后，下面就可以启用NLB了，如何布署，且听下次分解！

 

 本文转自 dufei 51CTO博客，原文链接：http://blog.51cto.com/dufei/122083，如需转载请自行联系原作者