ISA Server 2006企业版与标准版区别及阵列布署
2008-12-23 16:42:16
 标签:阵列 ISA    [推送到技术圈]

 
 大家知道ISA都有两个版本,一个是标准版,一个是企业版,那么我们在企业中布置时,应该选择哪个版本,有的朋友就说了:这不明摆着的吗?当然是企业版了,功能强呀!那么到底强在什么地方,是不是任何企业、公司都需要使用企业版,我们今天来看一个2006企业版与标准版的区别:
标准版简单来说适合于中小型企业,人数不多,规模不大,使用标准版可以说是得心应手,因为它包括了一般企业所最常用的功能如:代理服务器、防火墙功能、网页缓存功能、***功能等。这些对于一般企业来说是够用了。但因为它是标准版,所以对于大型企业来说,可能会有点力不从心,如它最多只支持4CPU,不支持容错,高可用性及企业级管理等,那么对于大型分布式网络来说就可以使用企业版。
企业版囊括了标准版的所有功能,然后在此基础上增加了三大功能:
1 NLB 网络负载均衡
2 CARP 高可用性
3 企业级管理
下面我们来简单看一下各个功能:
NLB:(Network Load Balancing)网络负载均衡  阵列中的ISA Server都可以提供服务来分散负载.例如如果阵列中有四台ISA,那么每台的负载为25%,而且NLB支持故障转移功能,如果某台ISA因故障而离线,那么其他的ISA会自动调整负载继续为用户服务.
CARP ( Cache Array Routing Protocol) 缓存阵列路由协议 这个功能也是企业版所特有的。作用:提高网页缓存功能,将网页缓存分散到阵列中的多台ISA Server中,将使客户端能很迅速定位到该ISA上。
企业级管理:所谓企业级管理是针对大型分布式网络来说的。如杜氏企业现在全国有三家分公司,北京、上海、广州每个城市都使用ISA来进行管理,如果是标准版的话,那么每个城市分散管理,互不相干!那每个城市都需要一个管理员来对本地的网络进行管理。那么我们可以使用企业版,只需要有一个管理员在总公司这边就可以直接进行相应的管理。如在北京对各地的ISA服务器进行管理,规定上海的客户端只能浏览网页,广州的客户端只可以使用MSN,不允许使用QQ等等。所有对ISA的操作我们都可以在总部的ISA上操作即可以!不需要在每个城市进行操作,这样可以节省一定的人力成本,实现了企业级的单点管理!便于实现企业的管理策略。
总结:这三大功能需要是标准版所没有的。也是作为企业管理员选择ISA企业版的一个参考点,如果本企业不需要实现这三大功能的话,那么就没有使用企业版的必要性,标准版足矣!
下面咱们就来看一下企业版的安装
ISA配置存储:
ISA 2000 企业版       活动目录(必须有AD支持)
ISA 2004/2006 标准版  本地(注册表)
ISA 2004/2006 企业版  CSS
但注意了 CSS 不是AD,也就是说可以不是活动目录,也可以是工作组,但如果是工作组的话,配置起来会略有麻烦,因为要涉及到证书的问题。
CSS不是存放到AD数据库中,而是存放到 ADAM数据库中,ADAM是和AD相似一个数据实例,对于任何一个“企业”来说,都必须要有一个CSS,也就是说对于任何一个阵列来说都必须有一个CSS来存放配置信息或是是多个阵列也可以使用一个CSS服务器!一般来说先安装ISA的那台机器是CSS,然后完成后可以查看开始菜单下多了一个ADAMCSS的信息就存放到了ADAM数据库中。如果出于容错的话,也可以再选择一个备用CSS,但备用CSS也需要有ADAM数据库的支持,即先安装ADAM,否则不起作用,至于ADAM的安装,在ISA企业版的安装光盘中有安装程序。在此不在累述!而且CSS服务器与其他ISA服务器的更新间隔是15秒(但不是精确的,有可能快点或是慢点,可以通过监视中的配置来查看所有ISA来查看同步状态)!当然可以修改!就是有域的支持,CSS的数据也不存放在AD中,还是存放在ADAM中。即ISAAD是分开管理的,这样也有一定的好处:
1 不需要更新 AD架构,降低了AD的出错几率
2  ISA 不依赖于域,提高了ISA的应用场合。
3  不依赖于域,那么配置信息的复制及更新与AD没有任何关系,复制速度更快!
但如果企业中有域的环境还是推荐在域的环境下使用ISA,因为利用域来实现身份验证是相当灵活的。有不可言喻的感觉!(自己体会吧,嘻。。。。。。)
 
企业版的安装:
我们先来看一下安装的注意事项:
两种环境:工作组和域 在域的环境下搭建会简单的多,例如我们现在有一个阵列,这个阵列中有两台ISA,其中一个配置有CSS,另一个就是一个普通的ISA,关键问题是这两台ISA是要做配置复制的,而且这个复制是加密的,强制的,必须加密,那么如果是域的环境,这两台ISA的身份验证使用的是Kerberos,这个时候会使用Kerberos内置的加密技术来进行加密。所以这个加密不需要管理员手动来做,这个比较简单,但如果是工作组的话,使用的验证方法是NTLM,而这种验证方法是不加密的。这就需要我们手动对CSS的配置信息进行加密,这就需要使用到证书!
下面我们来看一下在工作组下ISA Server企业版的安装过程:
如图所示:
步骤如下:
1  安装CA  例如安装在 内网的AnHui这台机器上
2  CSS机器上须申请证书  如将css安装在Beijing Being则申请证书
3  ISA必须要信任CA   Beijinghanghai要执行信任CA的操作
4  安装CSS
5  Beijing上安装ISA Server服务
6  Shanghai上安装ISA Server 服务
7  配置阵列内部通信使用的用户账户
 
步骤一: 首先我们在AnHui上安装CA
安装过程略! CA安装成功后,我们需要为Beijing申请证书
 
步骤二: Beijing申请证书
Beijing上操作:
点击申请一个证书,高级证书申请,创建并向此CA提交一个申请:
得到CA的颁发后,安装此证书!
然后将此证书导出成一个文件,在后面安装CSS时需要用到此文件:
打开MMC:
一定要记住此密码!然后我们将此文件保存到c:\css.pfx
导出成功后,就需要进行下一步,信任CA的操作:
步骤三:阵列中的ISA机器都要执行信任CA的操作
选择下载一个CA证书,证书链或CRL
然后再利用MMC导入即可!
然后ShangHai上也要执行一遍信任CA的操作!
如图:
步骤四: Beijing上安装CSS
到现在为止,所有的准备工作结束,就可以进行ISA Server企业版的安装工作了:
我们先在Beijing 上安装CSS:放入安装光盘:
按照提示点击下一步后出现下图:
下一步继续安装!
我们选择安装配置存储服务器及相关的组件,在这里也可以选择同时安装配置存储服务器,ISA Server服务。直接点击下一步
创建新的ISA企业
选择在工作组中或不信任关系的域中部署,并选择我们前面导出的证书文件及相应的密码。
步骤五:开始在Beijing上安装ISA Server服务
选择修改安装:
定位到CSS服务器,并指定合适的连凭据:
在此选择创建新阵列,阵列名默认为本计算机名,可不用修改,点击下一步
选择好相应的身份验证方式,因为现在是工作组所以选择通过SSL加密通道进行身份验证。
 
选择应用到阵列的企业策略。
点击两次下一步后就可以进行安装了
步骤六: Shanghai上安装ISA Server服务
加入到现有的阵列,并输入阵列名称:
开始进入安装过程。
步骤七:  配置阵列内部通信使用的用户账户
到现在为止,我们已经配置好了阵列,如果是在域环境中配置,那么现在配置就已经完成了,阵列已经可以使用了。但是在工作组环境中,还需要定义阵列内用于内部通信的的用户账户,此账户要在每台ISA Server服务计算机上一致,并且要具有管理权限。在此,我使用管理员administrator账户。
由于两台ISA Server已经完全共享配置,所以以下的操作在任何一台ISA Server服务计算机上都可以进行。 我现在Beijing上操作:
打开ISA 的管理控制台:
最后,我们来查看阵列的同步状态,验证安装是否成功:查看各个ISA之间的同步状态
可以编写一个策略,查看各个BeijingShanghai的同步状态:
 
 
下面介绍一下基于域的ISA Server的安装过程:
在域的环境下安装企业版会使用我们的安装变得简单,原因在前我们已经做了介绍,在此不再累述,我们的实验环境如下图所示:
Anhui作为一个DNS服务器要为AD作解析支持,要注意在此网关指向20.20.20.1或是20.20.20.2来连向外网,但这样的话,如果其中一台机器坏了,会影响到阵列的工作。所以我们还可以在Henan这个机器上再增加一块网卡直接连接到外网,并在此DNS上设置DNS转发
也可以将CSSDNSAD放在一台计算机上,我们这里就按我们的拓扑图来进行布置
 
说明:
1  ISA有三块网卡,分别代表三个网段如下:
外网:直接连接外网设置 IP 子网  网关
     DNS:
内网:连接企业内网 只设置ip和子网
DMZ: 用于阵列间的通讯  设置IP和子网,网关
  DNS:指向DNS服务器,在此是20.20.20.3
 
2  CSS机器设置(Anhui)一块网卡,用于和ISA相连,存放ISA的配置信息,设置IP,子网
网关可以指定任意一个ISADMZ网络
DNS:指向自己
 
具体步骤如下:
1 Anhui上安装DNSDC
2 BeijingShanghai分别加入到域:
3 AnHui上安装CSS
4 Beijing上安装ISA Server
4 Shanghai上安装ISA Server
 
下面我们开始
步骤一:在Anhui上安装DNSDC
我们直接使用Dcpromo  直接安装DC,并进行DNS的自动安装配置
升域过程在此不做详细介绍!
 
步骤二:Beijing Shanghai加入到dufei.com
如下图:
 
步骤三:在Anhui上安装CSS
 
在此界面,选择安装配置存储服务器
组件选择界面,直接点击下一步,点击创建新的ISA服务器企业
 
在此输入有权限的用户,一般使用管理员
安装成功后,我们开始进入第四步
步骤四:在Beijing上安装  ISA Server
放入安装光盘:
选择安装ISA服务器服务,然后组件选择处默认即可!
在此选择CSS服务器。可以手动输入或是通过浏览查找
 
选择创建新阵列,并指定阵列名称,在此默认使用第一台ISA的计算机名作为阵列名。
 
指定ISA Server连接到CSS的身份验证方式
指定内网地址范围
指定应用到阵列的企业策略。后期可以更改!
一切准备就绪后,我们就开始安装了!
步骤五:在Shanghai上安装  ISA Server
此步骤和步骤四几乎相同,只有两处不同,一个不是新建阵列,而是加入到现有阵列,再有就是不需要指定内网地址范围了!
放入安装光盘:
点击安装ISA Server 2006
 
 
在此选择CSS服务器。可以手动输入或是通过浏览查找
 
 
指定连接到CSS服务器的身份验证方式
以下的步骤和步骤四就一样了,然后开始安装!
此时,基于域的阵列安装到此结束!
 
下面,我们就来检查一下阵列的工作状态是否正常:
同步正常!
阵列的环境布置成功后,下面就可以启用NLB了,如何布署,且听下次分解!