Взаимодействие в массиве (Enterprise Edition)

Только для выпуска ISA Server 2006 Enterprise Edition

Серверы, входящие в состав массива Microsoft ISA Server 2006, взаимодействуют по безопасным изолированным каналам. Это относится как к взаимодействию внутри массива, так и к взаимодействию каждого члена массива с сервером хранилища настроек.

Список компьютеров, на которых запущены службы ISA Server, содержится на узле "Серверы" диспетчера ISA Server соответствующего массива. Эти компьютеры называются членами массива. Для взаимодействия между членами массива и сервера хранилища настроек применяется протокол хранилища межсетевого экрана Microsoft. Этот же протокол используется на компьютерах, работающих под управлением диспетчера ISA Server, для чтения и записи на сервер хранилища настроек. Протокол хранилища межсетевого экрана Microsoft на базе протокола LDAP представляет собой протокол исходящего трафика TCP и работает через порт 2171.

Все взаимодействие, связанное с наблюдением, осуществляется с помощью протокола RPC. Для запрашивания данных реального времени и локальных данных с компьютеров, на которых запущены службы ISA Server, компьютеры диспетчера ISA Server используют протокол RPC.

Все каналы передачи данных, связывающие межсетевые экраны, консоли управления и серверы хранилища настроек, являются изолированными.

Адрес внутри массива

Взаимодействие между членами массива осуществляется с помощью адреса внутри массива, который первоначально приравнивается к принятому по умолчанию IP-адресу сетевой платы члена массива во внутренней сети. Администратор массива может изменить адрес внутри массива.

Взаимодействие в массиве в условиях рабочей группы

В условиях рабочей группы компьютеры, на которых запущены службы ISA Server, обращаются к хранилищу настроек (на сервере хранилища настроек) по протоколу хранилища межсетевого экрана MS поверх SSL (через порт 2172). Сервер хранилища настроек, на котором запущен экземпляр режима ADAM (Active Directory Application Mode), поддерживает протокол LDAPS. Чтобы сделать это взаимодействие возможным, необходимо установить сертификат (выданный центром сертификации), которому доверяют компьютеры, на которых запущены службы ISA Server. Затем на серверах хранилища настроек следует установить сертификаты сервера.

Компьютеры диспетчера ISA Server проходят проверку подлинности на сервере хранилища настроек и на компьютерах, на которых запущены службы ISA Server, с помощью учетных записей доменов или локальных дублированных учетных записей. Локальные дублированные учетные записи должны быть созданы на каждом члене массива.

В условиях рабочей группы компьютеры, на которых запущены службы ISA Server, проходят проверку подлинности на сервере хранилища настроек при помощи учетных записей ADAM. При передаче по каналу LDAPS последовательность проверки подлинности изолируется. Учетные записи ADAM для каждого члена массива создаются на сервере хранилища настроек в процессе определения параметров одновременно c созданием в центральном хранилище объекта сервера.

Правила системной политики

В ISA Server предусмотрены следующие предустановленные правила системной политики, которые делают возможным взаимодействие между членами массива, серверами хранилища настроек и консолями управления.

Группа сценариев	Группа настройки	Наименование правила	Описание правила
Сервер хранилища настроек	Удаленный доступ к серверу хранилища настроек	Разрешить удаленный доступ к серверу хранилища настроек	Разрешает доступ с локального узла на набор компьютеров, составляющих сервер хранилища настроек предприятия, по протоколу хранилища межсетевого экрана MS.
Сервер хранилища настроек	Локальный доступ к серверу хранилища настроек	Разрешить доступ с доверенных серверов на локальный сервер хранилища настроек	Разрешает доступ на локальный узел с серверов массива, компьютеров удаленного управления предприятия, управляемых компьютеров ISA Server, компьютеров удаленного управления и наборов серверов-копий хранилища настроек, при помощи CIFS (TCP и UDP) и протокола хранилища межсетевого экрана MS.
Сервер хранилища настроек	Доступ к серверу-копии хранилища настроек	Разрешить репликацию данных на серверах хранилища настроек	Разрешает взаимодействие в обоих направлениях с группой серверов-копий хранилища настроек по протоколам MS Firewall Control и RPC.
Взаимодействие внутри массива	Взаимодействие членов массива	Разрешить взаимодействие между членами массива	Разрешает взаимодействие внутри массива между участниками набора компьютеров серверов массива по протоколам MS Firewall Control и RPC.
Удаленное управление	Консоль управления Microsoft (MMC)	Разрешить удаленное управление с помощью MMC с выбранных компьютеров	Разрешает взаимодействие с локальным узлом для наборов компьютеров серверов массива, компьютеров удаленного управления предприятия и компьютеров удаленного управления по протоколам MS Firewall Control, NetBIOS Datagram, NetBIOS Name Service, NetBIOS Session, и RPC (все интерфейсы).
Удаленное управление	Сервер терминалов	Разрешить удаленное управление с выбранных компьютеров при помощи сервера терминалов	Разрешает взаимодействие с локальным узлом для наборов компьютеров удаленного управления предприятия и удаленного управления по протоколу RDP (служба терминалов).
Удаленное управление	Протокол ICMP	Разрешить отправку запросов проверки связи (ICMP) с выбранных компьютеров на сервер ISA Server	Разрешает взаимодействие с локальным узлом для наборов компьютеров удаленного управления предприятия и удаленного управления по протоколу ICMP.

Наборы компьютеров и доменных имен

В зависимости от конфигурации массива, возможно, придется внести изменения в следующие наборы компьютеров:

Компьютеры удаленного управления предприятия. В этот набор компьютеров входят любые компьютеры, с которых осуществляется управление конфигурацией предприятия и всеми массивами предприятия.
Компьютеры удаленного управления. В каждом массиве в состав этого набора компьютеров входят компьютеры, которые могут быть использованы для удаленного управления массивом.
Серверы массива. В каждом массиве в состав этого набора компьютеров входят IP-адреса членов массива. Компьютеры добавляются в ходе установки. Если впоследствии адрес одного из членов массива изменится, не забудьте соответствующим образом обновить этот набор компьютеров.
Серверы-копии хранилища настроек. В этот набор компьютеров входят все существующие в рамках предприятия серверы хранилища настроек.
Управляемые компьютеры ISA Server. В каждом массиве в состав этого набора компьютеров входят IP-адреса тех членов массива, которым разрешен доступ к серверу хранилища настроек.

Помимо этого, набор доменных имен сервера хранилища настроек предприятия настраивается автоматически так, чтобы в него включалось имя сервера хранилища настроек массива. В случае настройки альтернативного сервера хранилища настроек он также включается в этот набор доменных имен.

Протоколы

Следующие специализированные протоколы обеспечивают передачу данных внутри массива:

Протокол хранилища межсетевого экрана Microsoft. Протокол исходящего трафика TCP через порты 2171 и 2172 на основе LDAP и LDAPS.
Репликация хранилища межсетевого экрана Microsoft. Протокол исходящего трафика TCP через порт 2173, применяемый для репликации конфигураций среди серверов хранилища настроек.
MS Firewall Control. Протокол исходящего трафика TCP, применяемый для передачи данных между диспетчером ISA Server и компьютерами, на которых запущены службы ISA Server.

Получить последнее содержимое ISA Server на веб-узле с рекомендациями для ISA Server(http://www.microsoft.com/).

Отправить замечания или отзыв об этой странице.

Перевести на английский