ISA教程 附录B的问题和答案(1)

发表于:2007-06-23来源:作者:点击数: 标签:
ISA教程 附录B的问题和答案 附录B的问题和答案 问题 您打算将西雅图公司现有的两台运行Windows NT 4.0Server和Proxy Server 2.0的计算机升级为ISA Server。您还打算在巴黎和奥兰多两个分公司中配置ISA Server,如图B.1所示。在Proxy Server 2.0环境下的Micro

   
  ISA教程 附录B的问题和答案
    附录B的问题和答案
   问题

   您打算将西雅图公司现有的两台运行Windows NT 4.0Server和Proxy Server 2.0的计算机升级为ISA Server。您还打算在巴黎和奥兰多两个分公司中配置ISA Server,如图B.1所示。在Proxy Server 2.0环境下的Microsoft Exchange Server可为内部客户收发Internet邮件。

   1.  将Proxy Server 2.0安装环境成功地升级到ISA Server,必须做什么?

   从阵列中删除两个Proxy 2.0成员,然后将它们的操作系统安装升级为Windows 2000 Server和Service Pack 1。Windows 2000安装会警报您与Proxy Server 2.0不兼容,但是会继续升级。一旦Windows 2000 Server安装完成,通过初始化企业版例行程序来升级Active Directory架构。在第1台计算机上安装ISA Server并创建阵列和企业策略。在其他计算机上安装ISA Server并把它迁移到该新阵列中。Proxy Server 2.0计算机上的缓存将被删除,并会为ISA Server创建新的缓存。根据企业策略的配置方式,来自Proxy Server 2.0安装的设置将会迁移到新阵列中。参阅ISA Server帮助文件中的“Microsoft Proxy Server 2.0 阵列考虑事项”,查看描述规则怎样在Proxy Server 2.0和ISA Server之间迁移的表格。
ISA教程 附录B的问题和答案(1)(图一)
   图 B.1 在Contoso,Ltd.建立的网络, Ltd。显示了ISA Server计算机将来的布局
   2.  在迁移到ISA Server后,西雅图的Exchange Server计算机不能从Internet上收发电子邮件。要允许它收发邮件,必须做哪些更改?

   要在Proxy Server 2.0环境下发布一个Exchange Server计算机,需该服务器运行带有自定义配置文件WspClnt.ini 的Winsock客户端。ISA Server不支持该配置。

   通过把内部网络适配器的默认网关设置为ISA Server计算机上的内部网络适配器的IP地址,在Exchange Server计算机上重命名或者删除文件 WspClnt.ini,并将它配置为安全网络地址转换客户端。使用命令ipconfig /all 来验证默认的网关和其他网络适配器设置。不要在Exchange Server计算机上安装防火墙客户端软件。必须在ISA Server上发布电子邮件服务器以便外部的SMTP邮件能转发过来。运行Secure Mail Server向导,ISA Server会带您一步一步地发布 SMTP,POP3和Exchange Server远程过程呼叫(RPC)端口。发布SMTP协议允许Exchange Server计算机从Internet上接收邮件。POP3和RPC 协议允许外部客户连接到Exchange Server上以接收邮件。另一种方法不用向导帮助, 需要时,手动为SMTP Server协议定义及其他协议创建服务器发布规则。Exchange Server计算机独立于任何发布(入站)TCP/IP会话和连接而启动自已的出站连接。因此,为了发送出站邮件,必须创建允许SMTP(端口25)从Exchange Server计算机到外部客户端(也就是Internet)进行出站通信的协议规则。

   Contoso的总部和两个分公司在相同的 Windows 2000域内。分公司通过两个1.54兆位/秒的T1/E1广域网连接直接连接到总部上。奥兰多分公司通过256千位/秒的电路连接到Internet,巴黎分公司通过一个56千位/秒的拨号ISDN线连接的。西雅图和奥兰多客户端使用Windows 2000 Professional,巴黎分公司的客户端混合使用Windows 2000和UNIX。在西雅图,您已迁移到作为单独阵列的两个ISA Server计算机上,并且想在两个分公司中配置ISA Server计算机以提高Internet应用程序性能。您想为所有的办公室提供一个冗余的Internet连接,并按用户把Web活动记入日志。您还想在西雅图集中管理该方案,并通过总部的阵列路由所有的Internet通信。

   3.  怎样在这些分公司中布置ISA Server以提供集中管理?

   在两个分公司以集成模式安装ISA Server,以提供缓存并保证冗余Internet连接的安全。分公司的ISA Server作为独立的阵列配置,并将其分别命名为巴黎和奥兰多。在包含西雅图阵列的企业策略中添加新的巴黎和奥兰多阵列。企业策略允许对协议、站点和内容规则以及许多阵列的策略单元进行集中管理。

   4.  描述怎样为3个公司提高Web和FTP性能。

   为3个阵列配置缓存以提供最优的Web和FTP性能。从ISA Management的Network Configuration节点属性中,把巴黎和奥兰多分公司的阵列链接到西雅图总部的阵列。对于每个阵列,将所有的传出Web请求配置为“路由前在阵列内解析请求”。从阵列属性的Outgoing Web Requests选项卡中,启动该配置。这就创建了一个分层缓存,并且在直接路由到Internet之前,所有的传出请求会使用CARP有效地识别哪个阵列(如果有)含有缓存对象。对于每个阵列,启动HTTP重定向筛选器程序,允许安全网络地址转换和防火墙客户端利用缓存存储。该选项出现在应用程序筛选器节点的详细信息窗格中。为了缓解工作时间的Internet通信拥挤,配置预定缓存存储以将网络使用转移到非峰值时间。启动并配置活动缓存以便缓存中的通用内容在过期之前被刷新。在ISA Management的Cache Configuration节点中,可以配置预定缓存和活动缓存。

   5.  在为阵列配置缓存后,在性能监视器中会注意到缓存命中率很低。如何才能提高缓存命中率?

   缓存点击率提供了一个判断缓存存储配置效率的快捷方法。缓存点击率为0意味着缓存没起作用,缓存点击率低意味着大多数的请求是从Internet中服务的并且这些内容是不可缓存的或者缓存空间太小。增加缓存空间或者为缓存对象延长生存时间(TTL)。

   6.  如果主连接失败并有备份连接时,描述怎样将分公司的所有Internet通信经过西雅图的ISA Server阵列路由?

   在每一个分公司内创建包含内部计算机的目的集。对于每一个分公司的阵列(巴黎和奥兰多),创建路由规则把所有不在分公司目的集的请求路由到指定的上游服务器,并输入总部阵列的名称 (西雅图)。在同一路由规则中,指定当主路由不可用时,通过在奥兰多的专用Internet连接或者在巴黎的ISDN拨号连接直接从备份路由检索请求。

   7.  查看Web代理日志,发现所有的用户是匿名的。要记录这些用户的名字,应做哪些更改?

   运行Microsoft IE浏览器的Windows 2000 Professional客户端支持Web代理用户验证。 在UNIX平台上,使用与CERN(Conseil Européen pour la Recherche Nucléaire)兼容的浏览器配置客户。该浏览器也支持Web代理用户验证。在每个阵列的Properties对话框中,单击Outgoing Web Requests选项卡并启用Ask Unauthenticated Users For Identification复选框,提供用户级身份验证和记录。从相同的对话框中,要使用一个安全的身份验证方法,选择集成身份验证(Integrated复选框)或者摘要身份验证(Digest With This Domain复选框);要为了HTTP身份验证兼容性,选择基本身份验证(Basic With This Domain复选框)。为了使用透明文本账号信息,最后一个选项允许不支持Windows NT查询/响应验证的浏览器客户端使用明文账户信息进行身份验证。如果客户的浏览器不能透明地将验证信息传送到ISA Server计算机上,浏览器将会提示用户提供验证信息。身份验证对会话是有效的,并独立于Web服务器站点身份验证请求。

   因为巴黎分公司用户的传出源IP地址是西雅图的ISA Server计算机IP地址而不是巴黎的IP地址,所以他们访问某些区域站点时受到拒绝。

   8.  怎样才能允许巴黎分公司的所有区域通信 (定义为.fr顶级域内的所有站点)通过ISDN拨号线路由到Internet上,并且通过总部继续路由其余的通信?

   创建包含*.fr域的目的集和直接检索这些请求的路由规则。给该规则分配适当的优先级,以便它能在向总部阵列路由通信的其他的路由规则之前先被处理。

   在西雅图,Contoso Ltd.想在一个Web场中使用网络负载平衡来布置3个Web服务器。Web场位于边界网中并受ISA Server保护。外部客户端可以通过HTTP和图B.2中所示的HTTPS来访问Web场。这些Web服务器需要用位于内部网上的SQL Server计算机来连接和交换通过MS SQL Sockets (TCP端口1433)的信息。

   9.  为了允许请求的访问,怎样配置边界网络和发布这3台Web服务器?

   配置使用第三方的网络适配器(172.16.0.1/24)连接到边界网上的ISA Server计算机。连接到边界网上的网络适配器必须定义为ISA Server上的外部网络。确定西雅图阵列的LAT没有包含边界网络(172.16.0.0/24)。通过ISA Server计算机的两个外部网络(如从Internet到边界网)之间的通信由IP路由处理并受IP数据数据包筛选器的限制。为此,启动西雅图阵列的IP数据数据包筛选器和IP路由。这些选项都是在IP数据数据包筛选器节点的属性中配置的。该节点为ISA Management中的访问策略节点之下。

   把西雅图阵列配置为允许Internet访问边界网络。为HTTP(端口80)和HTTPS (端口443)创建允许所有远端用户访问该本地边界网的IP数据数据包筛选器。

   为了使Web服务器和内部网络上的SQL服务器通信,您必须发布SQL服务器计算机。ISA Server的默认安装中没有定义SQL套接字协议。因此,创建名为SQL Sockets的新协议定义并把它的属性定义为入站方向的TCP端口为1433。您想让外部Web用户访问Web服务器,并依次访问SQL Server。您不想让其他外部用户直接访问SQL服务器。限制只能访问使用客户地址集的Web服务器。创建包括每一个Web服务器(172.16.2–4)IP地址的客户地址集。确定已经启用了IP数据数据包过滤。如果没有启用,服务器发布规则会应用到所有的客户,并且客户地址集就不能参考. 其次,使用您刚刚定义的协议和客户集发布服务器。配置发布规则,以便外部接口地址是边界网适配器IP地址(172.16.0.1),内部地址是SQL Server IP地址(192.168.0.10)。把SQL Server的网络适配器默认网关设置为ISA Server计算机的内部网络适配器的IP地址(192.168.0.1)。这样,就可以把SQL Server配置为安全网络地址转换客户端。

   Contoso Ltd. 购买了专用的服务器应用程序并把它安装在内部网络中。您希望仅允许员工远端访问该应用程序。他们首先要连接到Internet,然后运行使用TCP端口2122的客户应用程序来访问该程序。
ISA教程 附录B的问题和答案(1)(图二)

原文转自:http://www.ltesting.net