Клиенты ISA.Основная конфигурация ISA Server

Auto Discovery listener

. Это основная головная боль для народа, пытающегося "посадить" IIS и ISA на один сервер. Потому что не могут два приложения или сервиса разделять одни и те же ресурсы TCP/IP. От этого получается "гонка на выживание" и проигравшего просто запрещают. Это так же является источником ужасной работы WPAD.
Перейдите на закладку Auto Discovery и увидите следующие настройки:
Auto Discovery listener

Если вам не нужно Auto Discovery, просто снимите галочку Publish automatic discovery information. Это освободит 80-й порт для внутренних адресов. Примите во внимание, что ISA может работать как Web Proxy сервер, используя только одну NIC. Режим работы ISA, который поддерживает работу с одной NIC это Cache Mode.

IP Routing

. Следующее, в чем мы убеждаемся, что весь трафик SecureNAT-клиента проходит беспрепятственно (конечно, при надлежащих настройках правил). У ISA есть такая настройка, называемая "Enable IP Routing" (включить маршрутизацию IP), которая отключена по умолчанию. Когда она включена, то позволяет ISA передавать ICMP-трафик (ping) из LAT в Интернет.
Откройте консоль управления ISA и перейдите к IP Packet Filtering. Правый клик на нем и выберите Properties и увидите следующее окно
IP Routing

Страница:

Клиенты ISA - Часть 1 : Основная конфигурация ISA Server

Страница:

Protocol Rules

. Это лишь один из многих участков контроля за ISA, но наиболее легко просматриваемый. Самый минимум, который должен быть - это разрешены протоколы HTTP и HTTPS для того чтобы LAT-хосты имели Web-доступ. Там еще много всяких протоколов, но без этих нельзя будет просматривать Web-страницы. Вы можете посмотреть, сколько "протокольных правил" можно использовать для LAT. Некоторые из них имеют отдельные (нестандартные) определения.
Protocol Rules

Site and Content Rules

. Здесь мы можем контролировать содержимое HTTP и FTP, проходящее через сервис Web Proxy. По определению, ISA создает единственное правило "Allow rule", позволяющее пропускать любой запрос. Тут можно поиграть с запретами и разрешениями, но будьте предельно осторожными, т.к. можете создать противоречащие правила, которые сделают ISA полностью заблокированной.
Site and Content Rules

Адрес этого документа:

http://www.isaserver.ru/modules/wfsection/article.php?articleid=19

Страница:

HTTP Redirector

. Здесь мы осуществляем контроль над всеми (Firewall и SecureNAT)-запросами на Web-сервисы. Откройте консоль управления ISA: Servers and Arrays => Extensions => Application Filters. Правый клик на HTTP Redirector Filter и выберите Properties. Перейдите на закладку Options:

Здесь мы можем определить как будут управляемы (SecureNAT и Firewall)-клиентские Web-запросы. Если вы хотите насильно пустить всех пользователей через сервис Web Proxy, то выберите Redirect to local Web Proxy service. Вы должны иметь ввиду, что эта опция также предоставляет возможность обойти сервис Web Proxy если тот не отвечает. В это есть свое преимущество, которое позволит (SecureNAT и Firewall)-клиентам оставаться на связи с Интернет, но так же позволяет им обходить фильтрацию Web Proxy.
Send to requested Web Server позволяет (SecureNAT и Firewall)-клиентским Web-запросам все время обходить сервис Web Proxy. Это устраняется использованием браузерных настроек прокси для клиентов SecureNAT и Firewall.
Reject HTTP requests from Firewall and SecureNAT clients позволяет насильно установить настройки прокси у пользователей. Нет настроек, нет Web.

Клиенты ISA - Часть 1 : Основная конфигурация ISA Server

Страница:

Local Domain Table

. Это очень важная информация как для IE, так и для Firewall клиента. Каждый домен, указанный здесь может вызвать две вещи:

(Web Proxy и Firewall)-клиенты разрешают доменное имя самостоятельно (не через ISA сервис), если у них есть DNS сервер для запроса.

Web Proxy клиенты делают запросы напрямик к любому серверу в домене, игнорируя сервисы ISA.

Name Resolution

. Точные настройки IP для ISA сервера очень важны. Самое малое, вы должны для ISA предоставить DNS сервер для разрешения внешних FQDN по требованию Web Proxy и Firewall клиентов, и так же вы должны предоставить внутренний DNS сервер для локальной сети. ISA работает на W2k Server, а W2k предпочитает DNS, чем любую другую систему разрешения имен. При использовании разрешения имен с помощью WINS или NetBIOS периодически будут возникать проблемы. ISA предоставляет свой собственный DNS созданием DNS Lookup Packet Filter. Оставьте эту опцию включенной, иначе ISA может не смочь разрешать внешние имена корректно

Web Proxy and Firewall DNS cache

.
Web Proxy и Firewall службы предоставляют совсем базовые DNS "сервисы", которые полностью зависят от DNS-настроек, сделанных в конфигурациях IP ISA. Они будут разрешать FQDN-запросы для Web и Firewall клиентов, используя DNS сервера как определено в конфигурации IP ISA. Ошибки в этих настройках создадут в разрешении имен большие беспорядки для Web и Firewall клиентов. Проверьте, чтобы ISA Server мог разрешать имена правильно и быстро !
Действительно интересная вещь - это то, что они имеют уникальную возможность игнорировать TTL, нормально взаимодействующее с DNS-записью, полученную от DNS сервера. По определению, все записи, удерживаемые в DNS-кэше Web Proxy и Firewall, имеют TTL 6 часов, независимо от действующего TTL, связанного с записью. Понятно, что не нужно говорить, что при этом могут возникнуть беспорядки в клиентском разрешении имен. Любое, связанное с DNS тестирование, должно выполняться.
Что можно сделать для этого ? есть две записи в реестре (или в Active Directory для Enterprise-массивов) для каждого сервиса в каждом массиве, которые определяют размер DNS-кэша и TTL. Это:

Web Proxy:
HKLM\SOFTWARE\Microsoft\Fpc\Arrays\{Array GUID}\ArrayPolicy\WebProxy
"msFPCDnsCacheSize"=dword:00000bb8
"msFPCDnsCacheTtl"=dword:00005460

Firewall:
HKLM\SOFTWARE\Microsoft\Fpc\Arrays\{Array GUID}\ArrayPolicy\Proxy-WSP
"msFPCDnsCacheSize"=dword:00000bb8
"msFPCDnsCacheTtl"=dword:00005460
Замечание:
Для Enterprise-массивов, вы должны использовать Active Directory Users and Computers в расширенном режиме просмотра (Advanced view mode) и дойти до System, Microsoft, FPC, Arrays, {Array GUID}, Array policy и т.д.

Значения представлены в шестнадцатеричном формате. Калькулятор Windows может их конвертировать если он переключен в режим "scientific". При переводе получится, что по умолчанию размер кэша 3к байт каждый, что позволяет каждой записи иметь TTL 21,600 секунд (6 часов). Этот способ эффективен, чтобы сделать разрешение имен Интернета действительно живым для Web и Firewall клиентов.

msFPCDnsCacheSize - сообщает каждому сервису его объем кэша. Если это значение = 0, то следующая запись в реестре игнорируется и сервис не накапливает имен. Давайте поменяем его на 0. Теперь каждый запрос на имя от клиента будет заново разрешен DNS сервером и TTL будет правильным для той записи.

msFPCDnsCacheTtl - сообщает каждому сервису сколько (в секундах) удерживать каждую запись, которую он принимает. Если в предыдущей записи вы поставите значение, отличное от нуля, то значение введенное здесь будет использовано. Если же предыдущее значение реестра равно 0, то ЭТО значение не будет учтено.

Теперь перезапустите Web и Firewall сервисы, чтобы они могли применить новые настройки.

Auto-detection

. Это функция ISA (WPAD), которая позволяет браузерам Internet Explorer (v 5.0 или выше) настраиваться для нормальной работы с ISA Server.
DNS. Доменные службы имен (Domain Name Services). Службы, работающие на компьютере, и отвечающие на запросы по разрешению имен.

Cache

. Это режим с минимальными возможностями, поэтому только Web Proxy и, выборочно, службы кэширования могут быть установлены и запущены. А также, только в этом режиме ISA может работать с одной NIC ([network interface card] сетевой адаптер). В этом режиме поддерживаются только клиенты Web Proxy. Чтобы работать с клиентами SecureNAT и Firewall, для ISA нужен LAT. Так же, это единственный режим, в котором не поддерживается служба H.323 Gatekeeper.

Firewall

. Это сочетание служб Firewall и Web Proxy, без службы Web Cache. Все основные функции ISA поддерживаются в этом режиме, а так же поддерживаются все типы клиентов. Но для работы в этом режиме необходимо как минимум две сетевых карты, одна внешняя, другая внутренняя (LAT).

Firewall

. Это LAT-хост, у которого установлено программное обеспечение клиента ISA Firewall и приложение, использующее его.

FQDN

. Точно определенное доменное имя (Fully Qualified Domain Name); Имя компьютера, которое обозначает свое логическое единение со свойством структуры домена связанного с именем. К примеру, http://www.microsoft.com/ означает, что это хост с именем "www", который находится в домене "microsoft", под доменом верхнего уровня "com". Все эти имена всегда отделяются точками ". и так же известно их название как "десятичный адрес с разделительными точками" ("dotted decimal").

Клиенты ISA.Основная конфигурация ISA Server

. Глобально уникальный идентификатор (Globally Unique IDentifier); Это очень большое число, что гарантирует его уникальность. ISA использует его, чтобы определять различные стороны собственной конфигурации.

Integrated

. Это самый полный, самый функциональный режим. Web Proxy, Firewall и Web Caching - все вместе они самым наилучшим способом "пережевывают" пакеты. Отличие режима Firewall от этого заключается только в службе Web Caching.

Клиенты ISA - Часть 2 : SecureNAT и Web Proxy Client

Страница:

LAT

host. Это компьютер, который работает в подсети, определенной в LAT. Весь входящий и исходящий трафик этого компьютера транслируется с помощью NAT через ISA.

Record

. Это элемент в DNS-зоне, который представляет единственный элемент, такой как хост, почтовый сервер или сервер в другой зоне.

Secondary Protocol

. Любой протокол, используемый приложением, который отличается от протокола, предназначенного для создания начального (первичного) соединения через ISA считается вторичным (Secondary) протоколом.

SecureNAT

. Это LAT-хост, который по умолчанию имеет роутинг на ISA через сеть, т.к. он является только средством связи с Интернет. В простой сети (без маршрутизаторов) у этого клиента шлюзом по умолчанию является первичный внутренний IP адрес ISA. В сложных (маршрутизированных) сетях это дело усложняется.

Сравнение функций

Client	Settings	ISA Op Mode	Non-MS host	ISA Auto-Detect	Avail Proto	Sec Proto	Client Auth	ISA as DNS
WEB	Настройки прокси приложения или браузера = IP(или имя) и порт приемника исходящих web-запросов ISA	All	1	2	4	N	Y	Y
SecureNAT	Шлюз по умолчанию = Первичный внутренний IP адрес ISA	FW, Integ	Y	N	5	N	N	N
Firewall	Клиент Firewall ISA установленный на LAT-хосте	FW, Integ	N	3	6	Y	Y	Y

Примечания:

TTL

. Время существования (Time-to-live); показывает как долго (в секундах), запись имени может существовать в кэше запросов имен, прежде чем она должна быть обновлена.

Unqualified name

. Это имя хоста без общепринятой формы. Так же известно как NetBIOS-имя или WINS-имя.

Web Proxy

. Это простое обычное приложение (IE или другое Web-приложение) на LAT-хосте, которое использует прокси-запросы и порт для доступа в Интернет.

WINS

. Службы Интернет-имен Windows (Windows Internet Name Services); это служба разрешения имен, похожая на DNS, за исключением того, что она работает строго с NetBIOS-именами.

WPAD

. Автообнаружение прокси Windows (Windows Proxy Auto Detection); функция ISA, которая поддерживается Internet Explorer 5.0 или выше. Когда настроено правильно, позволяет IE конфигурироваться динамически.

Альтернативный ISA Server (Alternative ISA Server)

позволяет ISA использовать вторичный ISA, если первичный "падает". Естественно, что вторичный ISA Server должен существовать и использование первичного как вторичного это потеря времени, т.к. первичный будет для IE в "безответном" состоянии.

Страница:

Аутентификация пользователя (User Authentication)

- SecureNAT-клиенты ISA вовсе не могут этого делать (т.е. аутентифицироваться на ISA). Если ISA требует аутентификации для запроса, сделанного клиентом, пользователь увидит окно аутентификации или ошибку соединения, зависимо от приложения или сервиса, сделавшего запрос, к которому была применена технология аутентификации.

Доступность протокола (Protocol availability)

- клиенты SecureNAT могут использовать такие протоколы:

Простые протоколы (без вторичных соединений).

Перечисленные в Policy Elements, Protocol definitions.

Доступные в Access Policy, Protocol Rules.

Не ограниченные пользователю или группе через Access Policy, Site and Content Rules.

Режимы работы ISA Server, поддерживающие этого клиента - все.

Клиент SecureNAT.

Этот клиент может работать под любой операционной системой, которая может работать с протоколами TCP/IP. Просто-напросто нужно указать первичный внутренний IP адрес (ISA сервера) шлюза по умолчанию в настройках клиентского IP, настроить нужные протоколы и правила в ISA. Далее изложены некоторые вещи, определяющие функциональность клиента SecureNAT:
Режимы работы, поддерживаемые этим клиентом - Firewall, Integrated. Обратите внимание, что Cache mode здесь не указан. Это потому, что для клиентам SecureNAT необходимо использовать ISA как маршрутизатор, который отсутствует в Cache mode независимо от того, на сколько сетевых карт вы "натравили" ISA Server. Сервис Firewall должен быть установлен и запущен на ISA, перед тем как клиент SecureNAT будет использован.

Клиенты ISA - Часть 2 : SecureNAT и Web Proxy Client

Страница:

Обход (неиспользование) прокси для локальных адресов (Bypass proxy for local addresses)

- все это в буквальном смысле. Необходимо это для того, чтобы с помощью IE открыть желаемый локальный ресурс. "Локальный" здесь имеется в виду какой-нибудь домен в LDT или любой запрос на имя NetBIOS или WINS. К примеру, http://thatserver/ сразу предполагается внутренним, в то время как http://thatserver.domain.tld/ будет предполагаться внутренним, только если домен находится в LDT.

Опции конфигурации клиента ISA Server:

Откройте панель управления ISA, дойдите там до Client Configuration. Правый клик на Web Browser и выберите Properties; Перейдите на закладку Direct Access и увидите следующий диалог. Здесь можно определить некоторые настройки IE, которые невидимо меняют обычные настройки в закладке Connection в IE. Вся информация отсюда пересылается на IE как JavaScript, если он делает запрос к ISA используя либо запрос http:///array.dll?Get.Routing.Script, либо http:///wpad.dat .
Опции конфигурации клиента ISA Server:

Опции в конфигурации клиента ISA Server:

Для работы клиента SecureNAT, кроме установки "Enable IP routing" не требуется. Клиент SecureNAT это такой зверь, что для ISA не нужно никаких определенных сведений о нем, за исключением некоторых случаев (IP адрес и используемый протокол). ISA либо позволит протокол, который клиент SecureNAT хочет использовать, или трафик будет отсутствовать. Для установки нормальной работоспособности клиента SecureNAT в W2k - правой кнопкой мыши на "My Network Places", выберите "Properties". Правый клик на "Local Area Network" (надеемся, что имеете таковую) и выберите "Properties". Прокрутите список до Internet protocol (TCP/IP), выберите его и нажмите кнопку "Properties". Вы увидите что-то такое:
Опции в конфигурации клиента ISA Server:

Те элементы, которые здесь находятся, необходимы для работы любого клиента в сети TCP/IP; Ключевым моментом тут является то, что ISA должна быть маршрутизатором в Интернет по умолчанию. Если вы работаете в сети с маршрутизатором, то прочитайте эту статью. Если есть желание, все эти настройки могут быть назначены с использованием DHCP.

Прямой доступ (Direct Access)

позволяет IE делать запросы как SecureNAT или Firewall клиенту, при условии, что сетевая инфраструктура обеспечивает это.

Прямой доступ к этим серверам или доменам (Directly access these servers or domains)

. Эта настройка позволяет указать определенные сервера или домены, к которым может осуществляться прямой доступ как исключение первым двум правилам (галочкам). Если домен является внешним, то IE будет выступать в роли клиента ScureNAT или Firewall для такого запроса.
Теперь перейдите на закладку Backup Route. Эта установка позволяет IE использовать альтернативные средства для выхода в Интернет, если ISA Server не отвечает. Здесь две опции:
Прямой доступ к этим серверам или доменам (Directly access these servers or domains)

Прямой доступ компьютеров, указанных

, если эта галочка снята, то для IE позволительно делать прокси-запросы для серверов находящихся в LDT.

Разрешение имен (Name Resolution)

- правильные настройки IP для клиента SecureNAT полностью зависят от среды, в которой он работает. Разрешение имен для Интернет-запросов принимается здесь к рассмотрению в первую очередь, т.к. этот тип клиентского запроса не использует "функций" DNS ISA сервисов Web Proxy или Firewall. Вы должны предоставить либо внутренний DNS сервер, который может разрешать имена Интернета, либо позволить клиенту SecureNAT реализовывать собственное разрешение через ISA. В любом случае, ISA должна позволять такие Интернет-запросы.
Создайте Protocol Rule с именем "Internet DNS" (или с любым другим, как хотите), которое позволяет как протокол DNS Query, так и протокол DNS Zone Transfer. Не выбирайте серверные версии этих протоколов, т.к. они предназначены для Server Publishing и не способны к исходящим запросам.

Аутентификация пользователя (User Authentication)

. Клиенты Web Proxy могут аутентифицироваться на ISA Server, используя Integrated (NTLM), Basic (HTTP), Digest (только для W2k AD) аутентификацию. Только клиенты Windows могут использовать Digest-аутентификацию, т.к. зависит от функциональности W2k AD.

Автоматическая конфигурация (Automatic Configuration)

это самая первая группа, делающая Web-доступ затруднительным, если не настроены ISA или DNS.

Автоматическое определение настроек (Automatically detect settings)

- полностью зависит от "включенности" функции Auto Discovery и также имеющей WPAD во внутренней зоне DNS. Если у вас нет внутреннего DNS или DHCP с опцией 252, то снимите эту галочку. И еще, если вы используете IE до 5-й версии или другой браузер, то эта опция работать не будет. Запомните, что клиент не может использовать функцию ISA Auto Detection, пока не сможет разрешить имя ISA Server.

Доступность протокола (Protocol availability)

. Клиенты Web Proxy могут использовать только загрузку по HTTP, HTTPS, Gopher и FTP и они должны быть доступны в Access Policy, Protocol Rules.

Доступность содержимого (Content availability)

. Правила, определенные в Access Policy, Site and Content Rules.
Автор:
Перевод: Dave
Дата: 14-11-2003
Адрес этого документа: http://www.isaserver.ru/modules/wfsection/article.php?articleid=20

Страница:

Использовать скрипт автоматической конфигурации (Use automatic configuration script)

. Позволяет браузеру запросить у ISA Server JavaScript, который сконфигурирует IE для нормальной работы с ISA Server. Данные, которые будут получены со скриптом, собраны из настроек LDT и из опций конфигурации Web Proxy Client.

Клиенты ISA - Часть 2 : SecureNAT и Web Proxy Client

Страница:

Настройки клиентского приложения (Client application settings).

Т.к. IE в основном является просто клиентом Web Proxy, то для примера мы рассмотрим именно IE. Начнем с главных настроек соединения в IE. В эти настройки можно попасть, если, например, на Рабочем столе, на значке IE кликнуть правой кнопкой и выбрать Properties. Или если IE уже запущен, то - меню Tools, Internet Options. А там надо перейти на закладку Connections и затем нажать на кнопку LAN Settings. Итак, здесь четыре основных опции:
Настройки клиентского приложения (Client application settings).

Прокси сервер (Proxy Server)

. Установки, которые находятся в этой группе используются, только если автоматические настройки не указаны или не сработали.
Internet Explorer на ISA Server может также работать как клиент Web Proxy при помощи задания следующих настроек в свойствах IE, Connections, LAN Settings:
Прокси сервер (Proxy Server)

Разрешение имен (Name Resolution)

. По определению, сервис Web Proxy предлагает простую DNS-функциональность клиентам Web Proxy и по определению, клиенты Web Proxy используют ее. До тех пор пока ISA Server может разрешать интернет-имена, клиентское приложение тоже может это. Имейте в виду, что эти функции не распространяются на NetBIOS-имена. Они уже разрешены LAT-хостом при помощи любого доступного механизма.

Auto-detection

- Это - особенность ISA (WPAD), которая позволяет компьютерам LAT и Internet Explorer (v 5.0 или выше) конфигурировать себя, чтобы работать должным образом с сервером ISA.

Cache

DNS

- Службы именования доменов (Domain Name Services); сервисы, постоянно находящиеся на компьютере, которые отвечают на запрос по разрешению имени. Запрос зависит от многих параметров настройки сервера.

Файлы Конфигурации

(Configuration Files) - два файла объединяются на Lat-host в \Program Files\Microsoft Firewall Client\internal_setup\, для определения параметров настройки для программного обеспечения FWC и как оно отвечает на запросы Winsock от приложений и сервисов:
mspclnt.ini; этот файл содержит основной объем данных конфигурации и содержит экземпляры содержимого wspad.dat
msplat.ini; содержит все записи, сделанные в Network Configuration, Local Address Table, и постоянно находится на каждом клиенте, чтобы поддерживать совместимость с Proxy-2 (файл wspcfg.dat). Этот файл также содержит еще две подсети:
224.0.0.0-255.255.255.254 это - стандартная широковещательная подсеть. Так как ISA не передает широковещательный протокол, он должен быть определен как местный.
127.0.0.0-127.255.255.255 это - стандартный набор адресов “localhost”. Ни один из адресов в этом диапазоне не используется вне хоста, работающего на TCP/IP, так что они никогда не должны видеться ISA.
Эти оба файла отсылаются ISA-серверу в течение инсталляции FWC. Когда пользователь нажимает кнопку Update Now в диалоге конфигурации FWC , происходит следующее:

Firewall

. Это LAT-хост, у которого установлено программное обеспечение клиента ISA Firewall и приложение, использующее его.

FQDN

- Точно Определенное Имя Домена (Fully Qualified Domain Name); это - имя компьютера, которое указывает его логическую ассоциацию на основании структуры домена, связанную с именем. Например, http://www.microsoft.com/ указывает на то, что главный компьютер по имени “www”, "живет" в домене “microsoft” под доменом верхнего уровня “com”. Эти имена всегда отделяются точками “.” и также они известны как “пунктирное десятичное число”.

FWC

- Клиент Firewall; используется в этой статье, для указания программного обеспечения FWC непосредственно на LAT host.

Клиенты ISA.Основная конфигурация ISA Server

- Глобально Уникальный Идентификатор (Globally Unique IDentifier); это - очень большое число, которое гарантированно будет уникальным. ISA использует его, чтобы идентифицировать различные способы его конфигурации.

Integrated

Клиент Firewall:

Этот клиент наиболее универсальный, потому что имеет уникальную способность работать "в зависимости от приложения" и определять, как будет действовать и с какой информацией приложение должно работать. К тому же, это - единственный клиент, который может использовать вторичные протоколы. Вторичные протоколы делают FWC необходимым для приложений, таких как передача сообщений; потоковых носителей, FTP-протокола и т.д. Для большинства людей это также самый труднопонимаемый клиент, потому что он зависит от "конфигурации приложений".

Операционные режимы ISA сервера, которые поддерживают этого клиента: Firewall, Integrated. Обратите внимание, что режим Cache не указан, т.к. режим Cache не устанавливает Firewall-сервис, который необходим для работы Firewall и SecureNAT клиентов.

Разрешение Имен (Name Resolution) - Это действительно интересно, потому что нет "правильного ответа" на вопрос, как Firewall-клиенты решают имена. Они могут использовать Firewall-сервисы ISA, функциональные возможности DNS, или они могут действовать подобно клиентам SecureNAT и разрешать составные имена самостоятельно. Это зависит от параметров настройки в разделе Client Applications (обсуждено позже). В любом случае, они всегда разрешают непреобразованные (unqualified) имена, без использования сервиса Firewall ISA-сервера.

Аутентификация пользователя (User Authentication) - Firewall-клиенты, подобно (Web Proxy)-клиентам, могут подтверждать подлинность на сервере ISA, предоставляя доверительные грамоты (credentials) интерактивно вошедшего пользователя, или как определено при использовании CredTool.exe.

Доступность протокола (Protocol availability)- Firewall-клиенты могут использовать те протоколы, которые:

Разрешены в Access Policy, Protocol Rules

Не ограничены с помощью Site and Content Rules

Определены, как имеющие вторичные подключения

Клиенты ISA - Часть 3 : The Firewall Client

Страница:

LAT host

- Это - компьютер, который работает в подсети, которая определена в LAT. Весь входящий и исходящий трафик этого компьютера транслируется с помощью NAT через ISA.

Record

Secondary Protocol

SecureNAT

Сравнение функций

Client	Settings	ISA Op Mode	Non-MS host	ISA Auto-Detect	Avail Proto	Sec Proto	Client Auth	ISA as DNS
WEB	Настройки прокси приложения или браузера = IP(или имя) и порт приемника исходящих web-запросов ISA	All	1	2	4	N	Y	Y
SecureNAT	Шлюз по умолчанию = Первичный внутренний IP адрес ISA	FW, Integ	Y	N	5	N	N	N
Firewall	Клиент Firewall ISA установленный на LAT-хосте	FW, Integ	N	3	6	Y	Y	Y

Примечания:

TTL.

Время существования (Time-to-live) - показывает как долго (в секундах), запись имени может существовать в кэше запросов имен, прежде чем она должна быть обновлена.

Unqualified name

. Это имя хоста без общепринятой формы. Так же известно как NetBIOS-имя или WINS-имя.

VIP

- Виртуальный IP (Virtual IP) это допустимый IP-адрес, который назначен либо на NLB-кластер, либо на аппаратное устройство совместной загрузки.

Web Proxy

WINS

WPAD

ControlChannel

. Эта опция определяет, использует ли клиентское приложение UDP или TCP для управления сеансом с ISA.

Страница:

Disable

. Эта опция отключает FWC для указанного приложения, т.е. функциональность TCP/IP.

Enable ISA Firewall automatic discovery in Firewall Client

- эта опция не "смотрит", разрешено ли FWC автоматически обнаруживать ISA-сервер. Она также может меняться непосредственно на клиенте.
Теперь перейдите на закладку "Application Settings" здесь можно создать или удалить Winsock-совместимые приложения с FWC ISA-сервер.
Enable ISA Firewall automatic discovery in Firewall Client

Откройте хелп по ISA и найдите раздел Firewall client application settings. Обратите внимание на ссылку на wspcfg.ini файл; он и mspclnt.ini файл - по существу одно и то же, так как они содержат одни и те те же данные. Различие между ними в том, как они используются.

ForceCredentials

. Эта опция позволяет сервису или приложению связываться с ISA, используя доверительные грамоты ("удостоверения личности"), определенные для того или иного приложения или сервиса, с помощью CredTool.exe. Это позволяет определить ситуацию “должны подтвердить подлинность” для всех протоколов и обеспечить нормальную работу публикуемого сервера. Подробности насчет CredTool.exe будут изложены позже.

ForceProxy

. Эта опция принуждает какое-либо отдельное приложение использовать только один сервер ISA, даже если используются NLB или другая методика, балансирующая нагрузку. Используя эту опцию, можно гарантировать, что любой трафик "в" и "из" этого сервиса или приложения будет всегда виден каким-то определенным сервером ISA. Очевидно, если у вас только один ISA, то эта опция бесполезна.

IP-адрес

(IP address): Можно ввести IP-адрес ISA-сервера, если у вас нету ни WINS, ни DNS сервисов.

KillOldSession

. Ну... тут все понятно. Для любого данного сервиса или приложения от отдельного клиента позволяется только один сеанс, если установлено как “1”

Клиенты ISA - Часть 3 : The Firewall Client

Страница:

LocalBind(Tc/Ud)pPorts

. Эта опция определяет список или диапазон портов, которые привязаны LAT-хосте на 0.0.0.0:. Это связывание можно понимать как "глобальное", т.к. оно фактически связывает с любым IP, принадлежащим LAT-хосту. При определенных обстоятельствах, оно может стать неявной операцией RemoteBind, если пакет отправлен сразу после операции связывания.

Mspclnt.ini.

хелп раскрывает цели и использование этого файла весьма хорошо, за исключением того, что отсутствует очень полезный раздел [Common Configuration] (Примемся за это позже, после того как пробежимся по индивидуальным настройкам приложения).

NameResolution

. Как указано в хелпе, эта опция определяет какое поведение по умолчанию для разрешения имен задано для приложения FWC-клиента. Это применимо только к правильно преобразованным именам (DNS-имена или FQDN). Непреобразованные имена (NetBIOS или WINS-имена) всегда разрешаются посредством TCP/IP-стека LAT-хоста.

NameResolutionForLocalHost

. Эта опция определяет как FWC сообщает об IP-адресе LAT-хоста требующему приложению для запроса GHBN Winsock. Неоднократно, Winsock - совместимое приложение должно узнать свой собственный IP-адрес, чтобы обеспечить информацию для другого клиента, чтобы установить связь между ними. Если приложение, выполняющееся на LAT-хосте сообщает удаленному клиенту о внутреннем IP-адресе , то ни о какой связи не может быть и речи. Если FWC сообщает внешний IP-адрес ISA, и все остальные настройки поддерживают такую связь, то эти два приложения могут "быть на связи" целый день.

Настройки сервера ISA.

Здесь довольно много настроек ISA, которые применяются к FWC. Если Вы интересуетесь настройками, сделанными непосредственно на клиенте, то обратитесь к статье, посвященной этому. А чем мы интересуемся в данный момент - как сделать настройки, которые позволяют FWC работать должным образом с ISA.
Первым делом идем в Client Cnfiguration, Firewall Client. Здесь, есть все настройки, чтобы указать, как клиентское приложение и ISA взаимодействуют посредством программного обеспечения FWC:
Настройки сервера ISA.

Дважды щелкните на Firewall Client. Появится диалог "Properties":
Настройки сервера ISA.

Здесь можно создать или прекратить функциональность FWC ISA. Все, что введено здесь, определяет настройки по умолчанию для FWC, когда оно установлено LAT-хосте, так же как и данные, которые передаются, когда FWC запрашивает обновление от ISA.

Persistent

. Эта опция в противоположность KillOldSession. Она позволяет "прицепляться" к остающимся активным сессиям, даже если сервис или приложение теряют связь с ISA. Это позволяет восстановить предыдущее подключение, если оно было разорвано.

ProxyBindIp

. Эта опция довольно просто объясняется. По существу, она "резервирует" комбинацию "IP / порт" для какого-то отдельного клиента. При выборе этой опции нужно иметь в виду следующее:

Является универсальной установкой, которая обращается к TCP и UDP портам одновременно.

Препятствует другому приложению или сервису, использовать ту же комбинацию "IP / порт".

Это важные моменты, потому что вы не сможете увидеть в ISA MMC: Monitoring (окно Session), что эти подключения существуют. Попытка публикации сервера на той же самой комбинации "IP / порт" при данных обстоятельствах может вызвать у вас облысение. :))

RemoteBind(Tc/Ud)pPorts

. Эта опция определяет список или диапазон портов, с которыми приложение связывается на сервере ISA по адресу 0.0.0.0:. И также связывает тот же самый порт с LAT-хостом по адресу 0.0.0.0: и устанавливает линию связи между ними.

ServerBindTcpPorts

. Эта опция такая же как и RemoteBind, за исключением того, что она позволяет множественные внешние соединения через ISA к клиенту. Это эффективно в той же публикации сервера, и что порт TCP на LAT-хосте такой, как будто LAT-хост является SecureNAT-клиентом. Обратите внимание, что это не ServerBindUdpPorts. Это потому что UDP является "бессоединительным", он всего лишь поток данных. Следовательно, нет никакого резона определять тот порта как “ServerBound”.

Wspcfg.ini.

этот файл нужен специально для Proxy-сервера 2 формы публикации сервера, где клиентское программное обеспечение прокси должно было быть установлено на публикуемом сервере. Этот файл также служит, для поддержки совместимости с клиентом Proxy-сервера 2.
Так как ISA обычно требует, чтобы все сервисы публикуемого сервера постоянно находились на SecureNAT-хосте, эта методика публикации требуется, в том случае если публикуемый сервер не может быть SecureNAT клиентом.
Каждое приложение, указанное в настройках приложений FWC получает свой собственный подзаголовок как [Application_Name]. Имя приложения получено от имени, о котором оно сообщает операционной системе во время выполнения.
Например, Outlook Express идентифицирует себя для операционной системы как “msimn.exe”, и MSN Instant Messenger появляется там как “msmsgs.exe”. Эта информация является очень важной, если Вы хотите увидеть любое изменение в поведении FWC относительно вашего приложения, основанного на следующих настройках. Если Вы не знаете, как приложение идентифицирует себя в операционной системе, откройте Менеджер Задач (Task Manager) и загляните на закладку Applications. Там вы увидите, под каким именем запустилась программа.

Common

. Здесь много вариантов, в которых есть все, чтобы сделать как ISA и FWC-хост будут кооперироваться. Большинство этих вариантов может быть изменено в ISA MMC, но некоторые требуют редактирования "ручками" в ISA-файле mspclnt.ini.

Port - при нормальных обстоятельствах, никогда нет резона изменять это значение. Не играйте с этим, если у вас нет абсолютной потребности.

Configuration Refresh Time. Также освещена в справке. Если вы делаете множество изменений за короткий период времени, вам может понадобиться добраться до этой установки.

Re-check Inaccessible Server Time (Minutes) - тоже описано в справке. Часть настройки конфигурации перепроверки.

Set Browsers To Use Proxy - это фактически настройка, полученная из раздела Web-браузера конфигурации клиента. и делает точно то, что написано в хелпе.

Configuration URL - также получено из раздела Web-браузера конфигурации клиента.

Local Domains. От данных, введенных в LDT, но может изменяться вручную. Как изложено в хелпе, эти имена разрешены локально и серверы, с которыми они входят в контакт, не используют ISA как прокси-сервер.

WWW-Proxy- также получен из раздела Web-браузера конфигурации клиента.

WebProxyPort. Получен из настройки порта HTTP в закладке Outbound Web Requests свойств сервера или массива.

Set Browsers to use Auto Config. Тоже является частью раздела Web-браузера конфигурации клиента

AutoDetect ISA Servers. Это значение основано на FWC-настройке Enable ISA Firewall automatic discovery in Firewall Client.

Set Browsers to use Auto Detect. Тоже часть раздела Web-браузера конфигурации клиента, но отличается от Auto Config в том что является WPAD-частью ISA

то вы должны указать имя

Примечение: секция "DomainName" должна быть указана. Если у вас нет домена (NT4 или W2K AD), то вы должны указать имя той машины на которой существует пользовательская учетная запись. Т.к. ISA должна хранить все учетные записи пользователей в не_доменной среде (Workgroup), то можно использовать NetBIOS-имя ISA-сервера как "DomainName".

Для удаления или чтения доверительных грамот (credentials) назначенных какому-то определенному приложению или сервису необходимо только лишь указать операцию (-w или -r) и имя приложения (-n) без доверительных грамот. Например:

D:\Program Files\Microsoft Firewall Client>credtool -r -n dns Read credentials for [dns] User: [UserName] Domain: [DomainName] Password: [**********]

... показывает UserName и Domain используемые DNS-сервисом. Обратите внимание, что пароль не показывается для предотвращения нелегального использования.

Автор:
Перевод: Dave

Дата: 17-02-2004
Адрес этого документа: http://www.isaserver.ru/modules/wfsection/article.php?articleid=25

Страница:

CredTool.exe

. Является небольшим, но очень полезным приложением, которое позволяет запустить сервис или приложение в контексте какого-нибудь отдельного пользователя (т.е. от имени такого-то пользователя), но только с целью взаимодействия с ISA через Firewall-клиента. Далее - как использовать это средство...
Откройте коммандную строку и перейдите в каталог \program files\microsoft firewall client. Отсюда можно запустить “credtool /?” для просмотра списка опций, что они означают.
D:\Program Files\Microsoft Firewall Client>credtool /? Bad parameters (неправильные параметры) Usage: (использование) CREDTOOL [-r|-w|-d] -n appname [-c User Domain Password] -r reads the credentials (читает доверительные грамоты) -w writes, or stores the credentials (записывает, или сохраняет доверительные грамоты) -d deletes the credentials (удаляет доверительные грамоты) -n appname specifies the name of the application executable file without the extension (Имя приложения для выполнения без расширения) -c user domain password specifies the account credentials (пользовательский пароль для домена определяет доверительные грамоты эккаунта)
Например, если нам необходимо, чтобы DNS-сервис был файервольным client-published приложением, т.к. наша сетка не позволяет использовать SecureNAT, то нужно будет установить Firewall-клиента на сервер и скопировать mspclnt.ini в каталог где находится dns.exe (по определению это %Systeroot%\system32) и переименовать этот файл в wspcfg.ini.
Затем можно было бы перейти в папку \program files\microsoft firewall client и запустить credtool.exe со следующими параметрами (замените UserName, DomainName и PassWord на реальные соответствующие значения):
D:\Program Files\Microsoft Firewall Client>credtool -w -n dns -c UserName DomainName PassWord Write credentials for [dns] User: [UserName] Domain: [DomainName] Password: [PassWord]
Доверительные грамоты, которые потом примененяются к любому запросу обращаются к ISA только от лица этого сервиса, позволяя всем протоколам быть контролируемыми пользовательской аутентификацией.

IP-адрес(а) сервера

. Здесь есть два возможных варианта: Name и Addr1. Они являются взаимоисключающими. Только один из них может находиться в этом разделе. Здесь можно поддержать сбалансированность нагрузки Firewall через DNS-цикличность или NLB через весь массив, используя “глобальное имя” или “глобальный IP-адрес” для всех серверов в массиве. Хотя, фактически настройка является темой для другой статьи.

Клиенты ISA - Часть 3 : The Firewall Client

Страница:

Возможно при тщательном прочтении вы заметили в этом разделе справки ISA, что [Общая Конфигурация] объявлена как одно из мест куда FWC обращается за информацией. Также обратите внимание, что она не существует по умолчанию в mspclnt.ini. Когда вы вводите имя приложения и оно является неизвестным для ISA, создается новый раздел в ISA-версии mspclnt.ini как [AppName]. Это то же самое, если вы создали бы раздел [Общая Конфигурация], вводя “Общая Конфигурация” в Application Name как показано ниже:
Клиенты ISA - Часть 3 : The Firewall Client

Клиенты ISA - Часть 3 : The Firewall Client

Возможно вы заметили, что здесь введено NameResolution = L. Вы могли бы спросить "А нафига это надо ?". Oк ! Возражения принимаются. Что эта опция сделает - заставит FWC обратиться к сервису DNS-клиента на LAT-хосте для любого и всех FQDN-запросов, кроме тех, где для какого-то отдельного приложения или сервиса определено по-другому в mspclnt.ini файле. Если у вас есть непрерывная структура преобразования имен, основанная на DNS, (широковещательные каналы NetBIOS в учет не берутся), то эта опция поможет избегать FWC разрушения DNS-кэша, как было частично упомянуто в одной из статей. Строго рекомендовано использовать эту опцию.
Теперь откройте, ISA-хелп и найдите раздел "Configuring Firewall client settings". Это раздел, в котором определены основные функциональные возможности для FWC и он представлен как первая часть mspclnt.ini.

LAT Host Settings

- Многого не охватить здесь. Можете заглянуть в эту статью: http://isaserver.org/pages/tutorials/understanding_the_isa_firewall_client.htm.

Master Config

. Тут все понятно, так что не будем тратить время впустую.

Auto-detection

. Это функция ISA (WPAD), которая позволяет браузерам Internet Explorer (v 5.0 или выше) настраиваться для нормальной работы с ISA Server.

Cache

. Это режим с минимальными возможностями, поэтому только Web Proxy и, выборочно, службы кэширования могут быть установлены и запущены. А также, только в этом режиме ISA может работать с одной NIC ([network interface card] сетевой адаптер). В этом режиме поддерживаются только клиенты Web Proxy. Чтобы работать с клиентами SecureNAT и Firewall для ISA нужен LAT. Так же, это единственный режим, в котором не поддерживается служба H.323 Gatekeeper

DNS

. Доменные службы имен (Domain Name Services). Службы работающие на компьютере, и отвечающие на запросы по разрешению имен.

Firewall

. Это LAT-хост, у которого установлено программное обеспечение клиента ISA Firewall и приложение, использующее его.

Firewall

FQDN

. Точно определенное доменное имя (Fully Qualified Domain Name); Имя компьютера, которое обозначает свое логическое единение со свойством структуры домена связанного с именем. К примеру означает, что это хост с именем "www", который находится в домене "microsoft" под доменом верхнего уровня "com". Все эти имена всегда отделяются точками "." и так же известно их название как "десятичный адрес с разделительными точками" ("dotted decimal").

Клиенты ISA.Основная конфигурация ISA Server

Integrated

Клиенты ISA - Часть 1 : Основная конфигурация ISA Server

Страница:

Автор:
Перевод: Dave
Дата: 14-11-2003

Конфигурация ISA Server:

Функциональность клиента ISA в большой степени зависит от правильной настройки самого ISA Server. Если ISA имеет проблемы при преобразовании (разрешении) имен или проблемы с доступом в Интернет, то это отразится и на клиентах. Проверяйте ISA неоднократно при установке и настройке. Это способ, с помощью которого можно узнать, что изменилось в поведении ISA и результат ваших последних действий

LAT host

. Это компьютер, который работает в подсети, определенной в LAT. Весь входящий и исходящий трафик этого компьютера транслируется с помощью NAT через ISA.

Основная конфигурация ISA Server.

Эта статья обсуждает детали конфигурации ISA для поддержки каждого типа клиента; SecureNAT, Web Proxy и Firewall.
ISA server может поддерживать 3 типа клиентов: SecureNAT, Web Proxy и Firewall. Качество поддержки этих клиентов зависит от той инфраструктуры, с которой работает ISA. ISA работает вкупе с Windows 2000, вы можете работать как с внутренними, так и с внешними DNS-серверами.
Примечание:
Все скриншоты в этой статье сделаны из консоли управления ISA в расширенном режиме (Advanced mode).

Приемник исходящих Web-запросов (Outgoing Web Requests Listener).

Чтобы ISA работала как Web-прокси, сервис Web proxy (w3proxy) должен быть запущен и Outgoing Web Requests Listener должен быть настроен и включен. Для просмотра и изменения настроек откройте консоль управления ISA перейдите к Servers and Arrays. Правый клик и выберите Properties. Перейдите на закладку Outgoing Web Requests и увидите то же, что и на картинке:
Приемник исходящих Web-запросов (Outgoing Web Requests Listener).

По умолчанию, ISA включает прокси на все внутренние IP адреса ISA по порту 8080 (включая 127.0.0.1, т.е. локальный IP адрес компьютера) независимо от режима работы (Firewall, Integrated, Cache). Этот порт использован потому что функции ISA по автообнаружению работает по порту 80 на всех внутренних IP адресах ISA. Для отключения Outgoing Web Requests listener просто выберите Configure listeners individually per IP address и не выбирайте никакого IP для "прослушивания"

Страница:

Record

Secondary Protocol

SecureNAT

TTL

. Время существования (Time-to-live); показывает как долго (в секундах) запись имени может существовать в кэше запросов имен, прежде чем она должна быть обновлена.

Unqualified name

. Это имя хоста без общепринятой формы. Так же известно как NetBIOS-имя или WINS-имя.

Web Proxy

WINS

WPAD

Работа с информацией: Безопасность - Защита - Софт - Криптография