Правила веб-цепочки

С помощью правил веб-цепочки можно выполнять условную маршрутизацию запросов в зависимости от пункта назначения. Например, в организации с главными офисами в США и филиалом в Великобритании можно установить компьютер Microsoft ISA Server 2006 в филиале. Сервер филиала можно подключить к поставщику услуг Интернета в Великобритании. С помощью правила веб-цепочки на компьютере ISA Server филиала запросы к интернет-узлам из Великобритании можно направлять к локальному поставщику услуг Интернета, а все остальные запросы — к компьютеру ISA Server главных офисов.

Нижестоящий компьютер ISA Server филиала из Великобритании пользуется преимуществами кэша сервера ISA Server главных офисов. Эти возможности расширяются за счет дополнительного кэширования локальных объектов, полученных от локального поставщика услуг Интернета, на компьютере ISA Server филиала.

На следующем рисунке показано, как запросы веб-прокси могут направляться к различным серверам в зависимости от запрашиваемого пункта назначения.

Маршрутизация

На данном рисунке компьютер ISA Server филиала направляет запросы клиентов для узлов из Великобритании к местному серверу ISA Server. Все остальные запросы с меткой "Запрос для международного веб-узла" направляются непосредственно в Интернет.

Инструкции см. в разделе Создание правила веб-цепочки.

Маршрутизация веб-запросов

В процессе конфигурирования правил веб-цепочки можно указать порядок маршрутизации запросов клиентов веб-прокси:

Рекомендуется шифровать трафик к вышестоящему компьютеру ISA Server с помощью моста SSL.

Инструкции см. в разделе Настройка извлечения запросов в соответствии с правилами веб-цепочки.

При недоступности основного маршрута сервер ISA Server использует резервный маршрут. Компьютер ISA Server периодически опрашивает вышестоящий сервер, указанный в качестве основного маршрута, чтобы установить его доступность. Если основной маршрут доступен, то запросы отправляются к данному серверу, а не к серверу из резервного маршрута. Инструкции см. в разделах Настройка основного маршрута для веб-запросов и Настройка резервного маршрута для веб-запросов.

Проверка подлинности

В некоторых случаях вышестоящему серверу может потребоваться проверка подлинности нижестоящего прокси. В этих случаях должны передаваться учетные данные. Такие учетные данные используются вышестоящим сервером для проверки подлинности нижестоящего сервера.

Если проверка подлинности является обязательной, можно настроить возможность проверки подлинности клиента веб-сервером, к которому перенаправляется запрос. Инструкция см. в разделе Разрешение делегирования учетных данных.

Внимание!

В сценарии цепочки веб-прокси для имен и паролей пользователей используются только 7-разрядные символы. В противном случае на нижестоящем прокси-сервере невозможно выполнить встроенную проверку подлинности Windows.

Автоматический запрос параметра настройки на вышестоящем сервере

В случае цепочки вышестоящий массив (включающий в себя несколько членов массива) может потребовать дайджест-проверку подлинности. Если пакеты всегда пересылаются одному и тому же члену массива, трафик успешно проходит проверку подлинности.

Рассмотрим случай, когда в правиле веб-цепочки настроен автоматический запрос настройки на вышестоящем сервере, а вышестоящий сервер требует дайджест-проверку подлинности. Обычно когда запрос клиента по цепочке передается на вышестоящий массив, сервер ISA Server автоматически определяет, какой член массива должен обслужить данный запрос, и запрос всегда будет обрабатываться одним и тем же членом массива. Однако если клиент отправляет HTTPS-запрос, сервер ISA Server случайным образом определяет, какой член вышестоящего массива будет этот запрос обслуживать; в этом случае это может оказаться не тот же самый член массива. В этом случае дайджест-проверка подлинности может оказаться неудачной, если запрос туннелируется с помощью SSL через другой член вышестоящего массива.

Использование моста

Для исходящих веб-запросов сервер ISA Server расширяет стандартную функцию маршрутизации с помощью моста SSL, который можно использовать для настройки маршрутизации трафика на вышестоящий сервер.

При создании правила веб-цепочки можно настроить характер перенаправления запросов HTTP и SSL: как HTTP-запросы или как SSL-запросы. Если запросы перенаправляются как SSL-запросы, то компьютер ISA Server повторно шифрует пакеты перед их дальнейшей пересылкой. При этом для взаимодействия с вышестоящим сервером устанавливается новый защищенный канал.

Вышестоящий веб-сервер может потребовать сертификат клиента. В этом случае сервер ISA Server необходимо настроить на выполнение проверки подлинности с конкретным сертификатом клиента.

Инструкция см. в разделах Настройка перенаправления HTTP-запросов и Настройка перенаправления SSL-запросов.




веб-ссылка Получить последнее содержимое ISA Server на веб-узле с рекомендациями для ISA Server.
Отправить замечания или отзыв об этой странице Отправить замечания или отзыв об этой странице.