2.1
规划ISA Server安装
安装ISA Server时,会要求提供应该预先收集好的信息。准备安装时首先评定您的网络需要,如果没有适当的网络拓扑结构还需要再设计一个。
本节学习目标
l
确定将ISA Server安装成独立的服务器还是阵列才最适合您的网络需要
l
确定将ISA Server安装成防火墙模式、缓存模式或集成模式中的哪一种最适合您的网落
需要
l
确定ISA Server配置需要什么硬件
l
设计一个适合ISA Server配置的网络拓扑结构
估计学习时间:60分钟
规划ISA Server安装要求您权衡网络需要同成本及维护的实际限制之间的矛盾。具体要决定:
l
将ISA Server安装成独立的服务器还是阵列
l
将ISA Server用作防火墙服务器还是缓存服务器,还是两者兼备
l
如何连接到Internet
l
是否打算在ISA Server安装之后包括服务器发布
l
为了合并ISA Server将如何配置或修改网络拓扑结构
l
要安装所选的配置需要多少台计算机
2.1.1
容量规划
您应该规划ISA Server的硬件配置和Internet连通性,以满足预期的网络负载要求。以下部分是用于各种使用方案的推荐的系统配置。
2.1.1.1
最低要求
ISA Server要求有一台运行Microsoft Windows 2000 Server某个版本的计算机。除了内部网络中Windows 2000用于通信的网络适配器以外,ISA Server还需要一个外部网络适配器、调制解调器或者综合服务数字网(ISDN)适配器来连接Internet。
为了满足ISA Server的最低要求,需要以下硬件:
l
300MHz或者更高主频的奔腾II兼容CPU,运行包含Service Pack 1或更高版本的Windows 2000 Server或者Microsoft Windows 2000 Advanced Server操作系统,或者运行Microsoft Windows 2000 Datacenter Server操作系统
l
256 MB内存
l
20 MB可用磁盘空间
l
与Windows 2000兼容的网络适配器,用于内部网络通信
l
与Windows 2000兼容的外部网络适配器、调制解调器或者ISDN适配器,用于Internet
通信
l
一个格式化成NT文件系统( NTFS)的本地硬盘分区
为了实现阵列和企业策略,网络上还需要Windows 2000 Active Directory目录服务。
2.1.1.2 远程管理要求
对于远程ISA Server管理,只需要安装ISA Management即可。它可以在Windows 2000 Professional或者Windows 2000 Server的任何版本下运行。为了连接ISA Server计算机,运行ISA Management进行远程管理的客户机必须是某个Windows 2000域的成员。
或者,可以在ISA Server计算机上运行Microsoft Terminal Server,并且用Terminal Client来实现对ISA Server的远程连接。
2.1.1.3 防火墙要求
ISA Server可以安装成一个专用防火墙,作为内部客户端连接到Internet的安全网关。在这种情况下,需要考虑内部客户访问Internet时需要多大吞吐量。
表2.1列出了防火墙客户端和安全网络地址转换客户端访问Internet对象时,预期的吞吐量所要求的硬件配置和网络连接。
2.1.1.4 正向缓存要求
ISA Server可以安装成正向的Web和FTP缓存服务器,用来集中缓存经常受到访问的Internet对象。防火墙后的任何Web浏览器客户都可以访问这些对象。在这种情况下,应该考虑有多少Web浏览器客户端要访问Internet。表2.2列出了访问Internet对象的内部客户端的预计数目及其要求的硬件配置。
如果想利用ISA Server的缓存功能,必须将ISA Server安装在至少有一个NTFS卷格式分区的计算机上。如果您现在的服务器磁盘组使用文件分配表( FAT)分区,您可以利用Windows 2000 Server中的convert.exe将这些分区转换成NTFS格式。Convert不会改写磁盘上的数据。要获得使用Convert的更多信息,请在命令提示符后输入convert /?。
2.1.1.5 发布和反向缓存要求
可以在组织的Web服务器前面安装ISA Server。Web服务器寄存商用Web业务或者提供对业务伙伴的访问。在这种情况下,您需要考虑外部客户请求访问发布服务器上对象的频率。
表2.3列出了反向缓存情况下,Internet(外部)用户访问请求的预计数量及其要求的不同硬件
配置。
2.1.2
阵列考虑事项
如果确定需要多台计算机来处理网络负载,那就要考虑安装ISA Server计算机阵列。阵列允许将一组ISA Server当做单一的逻辑实体来处理和管理。
阵列中所有的服务器共享相同的配置。阵列只需配置一次,并把配置应用于阵列中所有的服务器,这样就节省了管理费用。此外,利用ISA Server企业版,可以将企业策略应用于阵列。这允许集中管理企业中的全部阵列。
企业的各个阵列可以应用惟一的阵列策略。这样可以将组织划分为部门。例如,您可能希望允许某一阵列保护的客户端可以无限制地访问Internet,而对另一个阵列中的客户端实施更多的限制。
阵列安装还意味着用较少的硬件而获得改善的性能。阵列允许将客户的请求分布到几台ISA Server计算机,从而加快了客户响应时间。因为负载分配到阵列内所有的服务器上,所以甚至用中等的硬件也能实现良好的性能。
为了将ISA Server安装成阵列成员,安装ISA Server的计算机必须是某个Windows 2000域中的成员。此外,在把ISA Server安装成阵列成员之前,必须初始化ISA Server企业(初始化企业是指将ISA Server架构更新安装成Active Directory架构的过程)。
如果选择不将ISA Server安装成阵列成员,可以将ISA Server安装成独立的服务器。如果执行独立服务器安装,该计算机就不必属于某一Windows 2000域。
2.1.2.1 阵列要求
所有的阵列成员必须处于同一域内和同一站点。站点是一个连接良好的传输控制协议网际协议(TCP/IP)网络中的一组计算机。域是管理员定义的一组计算机,它们共享共同的目录( Active Directory)存储器。要获得更多的信息,请参阅Windows 2000帮助。
注意
建议使用具有阵列安装的Windows 2000 Advanced Server或者Windows 2000 Datacenter Server(这不是必须的条件),以平衡阵列组件间的网络负载。
2.1.2.2 独立的服务器和单台服务器阵列
即使仅仅安装一台ISA Server计算机,也应该考虑将它安装成阵列成员。当ISA Server企业版安装成一个阵列成员时,企业策略便可以应用于该阵列。此外,阵列安装意味着将来要扩展会容易一些――可以很容易地向阵列中添加服务器。
表2.4对 ISA Server阵列和独立服务器的功能进行了比较。
如果配置阵列,可以选择在组织的每一个分支机构建立阵列。因为每个分支机构有它自己的阵列,能够定义惟一的使用策略。这些策略对阵列内的所有服务器都是相同的。
2.1.3
ISA Server模式
作为安装过程的一部分,需要选择采用哪一种ISA Server模式:防火墙模式、缓存模式,或者集成模式。
如果采用防火墙或集成模式,可以通过配置控制企业网和Internet之间的通信规则来保证网络通信的安全。在防火墙和集成模式下,还可以发布内部服务器,由此将内部服务器上的数据共享给Internet用户。
如果采用缓存或集成模式,可以通过存储经常访问的Internet对象,使它们在地理上离用户更近,来改善网络性能并且节省带宽。您还可以将Internet用户的请求发送到适当的内部Web服务器上。
选择的模式不同,可用的功能就不同。表2.5列出了采用防火墙和缓存模式时可用的功能。在集成模式下所有的功能都可用。
2.1.4
Internet连接考虑事项
提供Internet访问的第一步是找到合适的 ISP。Internet连接服务竞争非常激烈,现在有许多访问方法,包括数字用户线路( DSL)、电缆调制解调器、卫星、捆绑式电话线和T-1服务。决定哪个选择最适合您时要考虑价格、数据吞吐量和可靠性。
您可以用直接连接或者拨号连接将ISA Server连接到Internet上。如果使用直接连接、DSL或电缆调制解调器进行连接,必须安装外部网络适配器。如果采用拨号连接,那么服务器必须使用调制解调器或ISDN适配器。
如果利用ISA Server发布Web服务器及其他服务器,并计划对Internet客户是可用的,必须让ISP保留静态的IP地址,并且通过Internet 域名与地址管理机构(ICANN)授权的注册机构至少注册一个域名。您可以在http://www.icann.org/registrars/accredited-list.html找到ICANN授权注册机构列表。Internet用户很可能通过一个完全合格域名(FQDN)访问您的内部服务器,FQDN包括您的计算机(主机)名,如www,加上已经注册的域名,如microsoft.com。
如果已经注册了Internet域名,您可能会决定让ISP处理如何管理域名系统( DNS)服务器里的域名列表,以便Internet上其他用户使用。
发布和连接
当发布内部服务器时,必须获得IP地址,用它来关联域名或服务器名。当外部客户访问您的Web站点或域时,ISP的DNS服务器会找到与要求访问的Web站点名称相关联的IP地址――通常是ISA S
