大家知道ISA都有两个版本,一个是标准版,一个是企业版,那么我们在企业中布置时,应该选择哪个版本,有的朋友就说了:这不明摆着的吗?当然是企业版了,功能强呀!那么到底强在什么地方,是不是任何企业、公司都需要使用企业版,我们今天来看一个2006企业版与标准版的区别:
标准版简单来说适合于中小型企业,人数不多,规模不大,使用标准版可以说是得心应手,因为它包括了一般企业所最常用的功能如:代理服务器、防火墙功能、网页缓存功能、VPN功能等。这些对于一般企业来说是够用了。但因为它是标准版,所以对于大型企业来说,可能会有点力不从心,如它最多只支持4CPU,不支持容错,高可用性及企业级管理等,那么对于大型分布式网络来说就可以使用企业版。
企业版囊括了标准版的所有功能,然后在此基础上增加了三大功能:
1 NLB 网络负载均衡
2 CARP 高可用性
3 企业级管理
下面我们来简单看一下各个功能:
NLB:(Network Load Balancing)网络负载均衡 阵列中的ISA Server都可以提供服务来分散负载.例如如果阵列中有四台ISA,那么每台的负载为25%,而且NLB支持故障转移功能,如果某台ISA因故障而离线,那么其他的ISA会自动调整负载继续为用户服务.
CARP ( Cache Array Routing Protocol) 缓存阵列路由协议 这个功能也是企业版所特有的。作用:提高网页缓存功能,将网页缓存分散到阵列中的多台ISA Server中,将使客户端能很迅速定位到该ISA上。
企业级管理:所谓企业级管理是针对大型分布式网络来说的。如杜氏企业现在全国有三家分公司,北京、上海、广州每个城市都使用ISA来进行管理,如果是标准版的话,那么每个城市分散管理,互不相干!那每个城市都需要一个管理员来对本地的网络进行管理。那么我们可以使用企业版,只需要有一个管理员在总公司这边就可以直接进行相应的管理。如在北京对各地的ISA服务器进行管理,规定上海的客户端只能浏览网页,广州的客户端只可以使用MSN,不允许使用QQ等等。所有对ISA的操作我们都可以在总部的ISA上操作即可以!不需要在每个城市进行操作,这样可以节省一定的人力成本,实现了企业级的单点管理!便于实现企业的管理策略。
总结:这三大功能需要是标准版所没有的。也是作为企业管理员选择
ISA
企业版的一个参考点,如果本企业不需要实现这三大功能的话,那么就没有使用企业版的必要性,标准版足矣!
下面咱们就来看一下企业版的安装
ISA
配置存储:
ISA 2000
企业版
活动目录
(
必须有
AD
支持
)
ISA 2004/2006
标准版
本地(注册表)
ISA 2004/2006
企业版
CSS
但注意了
CSS
不是
AD
,也就是说可以不是活动目录,也可以是工作组,但如果是工作组的话,配置起来会略有麻烦,因为要涉及到证书的问题。
CSS
不是存放到
AD
数据库中,而是存放到
ADAM
数据库中,
ADAM
是和
AD
相似一个数据实例,对于任何一个“企业”来说,都必须要有一个
CSS
,也就是说对于任何一个阵列来说都必须有一个
CSS
来存放配置信息或是是多个阵列也可以使用一个
CSS
服务器!一般来说先安装
ISA
的那台机器是
CSS
,然后完成后可以查看开始菜单下多了一个
ADAM
,
CSS
的信息就存放到了
ADAM
数据库中。如果出于容错的话,也可以再选择一个备用
CSS
,但备用
CSS
也需要有
ADAM
数据库的支持,即先安装
ADAM
,否则不起作用,至于
ADAM
的安装,在
ISA
企业版的安装光盘中有安装程序。在此不在累述!而且
CSS
服务器与其他
ISA
服务器的更新间隔是
15
秒(但不是精确的,有可能快点或是慢点,可以通过监视中的配置来查看所有
ISA
来查看同步状态)!当然可以修改!就是有域的支持,
CSS
的数据也不存放在
AD
中,还是存放在
ADAM
中。即
ISA
与
AD
是分开管理的,这样也有一定的好处:
1
不需要更新
AD
架构,降低了
AD
的出错几率
2 ISA
不依赖于域,提高了
ISA
的应用场合。
3
不依赖于域,那么配置信息的复制及更新与
AD
没有任何关系,复制速度更快!
但如果企业中有域的环境还是推荐在域的环境下使用
ISA
,因为利用域来实现身份验证是相当灵活的。有不可言喻的感觉!(自己体会吧,嘻。。。。。。)
企业版的安装:
我们先来看一下安装的注意事项:
两种环境:工作组和域
在域的环境下搭建会简单的多,例如我们现在有一个阵列,这个阵列中有两台
ISA
,其中一个配置有
CSS
,另一个就是一个普通的
ISA
,关键问题是这两台
ISA
是要做配置复制的,而且这个复制是加密的,强制的,必须加密,那么如果是域的环境,这两台
ISA
的身份验证使用的是
Kerberos
,这个时候会使用
Kerberos
内置的加密技术来进行加密。所以这个加密不需要管理员手动来做,这个比较简单,但如果是工作组的话,使用的验证方法是
NTLM
,而这种验证方法是不加密的。这就需要我们手动对
CSS
的配置信息进行加密,这就需要使用到证书!
下面我们来看一下在工作组下
ISA Server
企业版的安装过程:
如图所示:
步骤如下:
1
安装
CA
例如安装在
内网的
AnHui
这台机器上
2 CSS
机器上须申请证书
如将
css
安装在
Beijing
上
Being
则申请证书
3 ISA
必须要信任
CA Beijing
及
hanghai
要执行信任
CA
的操作
4
安装
CSS
5
在
Beijing
上安装
ISA Server
服务
6
在
Shanghai
上安装
ISA Server
服务
7
配置阵列内部通信使用的用户账户
步骤一:
首先我们在AnHui
上安装CA
:
安装过程略!
CA
安装成功后,我们需要为
Beijing
申请证书
步骤二: Beijing
申请证书
Beijing
上操作
:
点击申请一个证书,高级证书申请,创建并向此
CA
提交一个申请:
得到
CA
的颁发后,安装此证书!
然后将此证书导出成一个文件
,
在后面安装
CSS
时需要用到此文件
:
打开
MMC:
一定要记住此密码
!
然后我们将此文件保存到
c:\css.pfx
导出成功后,就需要进行下一步
,
信任
CA
的操作
:
步骤三:阵列中的ISA
机器都要执行信任CA
的操作
选择下载一个CA证书,证书链或CRL
然后再利用
MMC
导入即可
!
然后
ShangHai
上也要执行一遍信任
CA
的操作
!
如图
:
步骤四:
在Beijing
上安装CSS
到现在为止
,
所有的准备工作结束
,
就可以进行
ISA Server
企业版的安装工作了
:
我们先在
Beijing
上安装
CSS:
放入安装光盘
:
按照提示点击下一步后出现下图:
下一步继续安装
!
我们选择安装配置存储服务器及相关的组件
,
在这里也可以选择同时安装配置存储服务器
,
和
ISA Server
服务。直接点击下一步
创建新的
ISA
企业
选择在工作组中或不信任关系的域中部署,并选择我们前面导出的证书文件及相应的密码。
步骤五:开始在Beijing
上安装ISA Server
服务
选择修改安装:
定位到
CSS
服务器,并指定合适的连凭据:
在此选择创建新阵列,阵列名默认为本计算机名,可不用修改,点击下一步
选择好相应的身份验证方式,因为现在是工作组所以选择通过
SSL
加密通道进行身份验证。
选择应用到阵列的企业策略。
点击两次下一步后就可以进行安装了
步骤六:
在Shanghai
上安装ISA Server
服务
加入到现有的阵列,并输入阵列名称:
开始进入安装过程。
步骤七:
配置阵列内部通信使用的用户账户
到现在为止,我们已经配置好了阵列,如果是在域环境中配置,那么现在配置就已经完成了,阵列已经可以使用了。但是在工作组环境中,还需要定义阵列内用于内部通信的的用户账户,此账户要在每台
ISA Server
服务计算机上一致,并且要具有管理权限。在此,我使用管理员
administrator
账户。
由于两台
ISA Server
已经完全共享配置,所以以下的操作在任何一台
ISA Server
服务计算机上都可以进行。
我现在
Beijing
上操作:
打开
ISA
的管理控制台:
最后,我们来查看阵列的同步状态,验证安装是否成功
:
查看各个
ISA
之间的同步状态
可以编写一个策略
,
查看各个
Beijing
与
Shanghai
的同步状态
:
下面介绍一下基于域的ISA Server
的安装过程:
在域的环境下安装企业版会使用我们的安装变得简单,原因在前我们已经做了介绍,在此不再累述,我们的实验环境如下图所示
:
Anhui
作为一个
DNS
服务器要为
AD
作解析支持,要注意在此网关指向
20.20.20.1
或是
20.20.20.2
来连向外网,但这样的话,如果其中一台机器坏了,会影响到阵列的工作。所以我们还可以在
Henan
这个机器上再增加一块网卡直接连接到外网,并在此
DNS
上设置
DNS
转发
也可以将
CSS
、
DNS
、
AD
放在一台计算机上,我们这里就按我们的拓扑图来进行布置
说明
:
1 ISA
有三块网卡
,
分别代表三个网段如下
:
外网
:
直接连接外网设置
IP
子网
网关
DNS:
无
内网
:
连接企业内网
只设置
ip
和子网
DMZ:
用于阵列间的通讯
设置
IP
和子网
,
网关
DNS:
指向
DNS
服务器
,
在此是
20.20.20.3
2 CSS
机器设置
(Anhui)
一块网卡
,
用于和
ISA
相连
,
存放
ISA
的配置信息
,
设置
IP,
子网
网关可以指定任意一个
ISA
的
DMZ
网络
DNS:
指向自己
具体步骤如下:
1
在
Anhui
上安装
DNS
,
DC
2
将
Beijing
和
Shanghai
分别加入到域:
3
在
AnHui
上安装
CSS
4
在
Beijing
上安装
ISA Server
4
在
Shanghai
上安装
ISA Server
下面我们开始
步骤一:在Anhui
上安装DNS
,DC
我们直接使用
Dcpromo
直接安装
DC
,并进行
DNS
的自动安装配置
升域过程在此不做详细介绍!
步骤二:Beijing
和Shanghai
加入到dufei.com
域
如下图:
步骤三:在Anhui
上安装CSS
在此界面,选择安装配置存储服务器
组件选择界面,直接点击下一步,
点击创建新的
ISA
服务器企业
在此输入有权限的用户,一般使用管理员
安装成功后,我们开始进入第四步
步骤四:在Beijing
上安装 ISA Server
放入安装光盘:
选择安装
ISA
服务器服务,然后组件选择处默认即可!
在此选择
CSS
服务器。可以手动输入或是通过浏览查找
选择创建新阵列,并指定阵列名称,在此默认使用第一台
ISA
的计算机名作为阵列名。
指定
ISA Server
连接到
CSS
的身份验证方式
指定内网地址范围
指定应用到阵列的企业策略。后期可以更改!
一切准备就绪后,我们就开始安装了!
步骤五:在Shanghai
上安装 ISA Server
此步骤和步骤四几乎相同,只有两处不同,一个不是新建阵列,而是加入到现有阵列,再有就是不需要指定内网地址范围了!
放入安装光盘:
点击安装
ISA Server 2006
在此选择
CSS
服务器。可以手动输入或是通过浏览查找
指定连接到
CSS
服务器的身份验证方式
以下的步骤和步骤四就一样了,然后开始安装!
此时,基于域的阵列安装到此结束!
下面,我们就来检查一下阵列的工作状态是否正常:
同步正常!
阵列的环境布置成功后,下面就可以启用NLB了,如何布署,且听下次分解!
本文转自 dufei 51CTO博客,原文链接:http://blog.51cto.com/dufei/122083,如需转载请自行联系原作者