安装后的工作
3-3-1
直觉式管理工具
Microsoft的Server群产品,几乎全部都使用MMC的管理接口,主要的好处是可以把常用的Server加入到同一个MMC的管理接口,可便于管理工作,不需要一会AD管理接口,一会DNS管理接口,一会IIS管理接口,切来切去的很麻烦。
开启一个新的MMC管理接口
步骤1:选择屏幕左下角「开始」→「执行..」,然后输入「MMC」,会出现一个空的MMC管理接口,按下左上方的主控台,选取「新建/删除?入式管理单元」,如图3-25。
图3-25
空的MMC管理接口
步骤2:选取「新建/删除?式管理单元」后,再按「新建」钮,出现服务器(本机)所有的服务项目,你只需选取你常用的,譬如:ISA、DNS、IIS、AD等(如图3-26),再按「新建」钮新建MMC的管理组件,最后存盘在桌面上,MMC会储存为扩展名MSC的文件,如此即可拥有一个得心应手的管理工具接口了。
图3-26
新建MMC的管理组件
3-3-2 操作目录简述
ISA Server在管理上的使用目录画面,如图3-27,为了说明方便,共有六个标示。使用目录的最上层只有两个目录,一个是「Enterprise」,另一个是「Servers And Arrays」。「Enterprise」只有在安装Enterprise Array阵列时才会出现,一般安装Stand Alone或不使用Enterprise Policy(请看安装步骤3的说明)的阵列时,只会出现「Servers And Arrays」的使用目录。
关于「Enterprise」与「Servers And Arrays」,在此需要进一步说明。基本上,「Enterprise」的「标示1」等于「Servers And Arrays」的「标示4」,「标示2」等于「标示6」,但是「标示1」里有「Site And Content Rule」及「Protocol Rules」,而「标示4」中多了一个「IP Packet Filters」,最重要的是「Site And Content Rule」以及「Protocol Rules」的新建动作只能在「Enterprise」里做,不能在「标示4」里做,「标示4」只能对其做修改的动作;此外,「IP Packet Filters」只有「Servers And Arrays」有,表示包过滤只有Local端的管理者可以设置。
你在「标示1」设的Policy会自动跑到「标示4」里,表示Enterprise级的企业策略会影响Array级的阵列策略,但是只能修改不能新建;然而你在「标示2」设的Policy Elements(策略元素),不会自动跑到「标示6」里,表示Enterprise级的策略元素与Array级的策略元素不相干,各有各的策略元素。
图3-27
ISA Server的使用目录
「标示1」及「标示2」的使用方向,与「标示4」及「标示6」相同,所以仅针对「Servers And Arrays」的目录使用方向,分别说明如下:
ISA-SERVER「标示3」:
「标示3」是一个主目录,选择后只有几个向导而已,主要是用鼠标右键,选择「标示3」的下拉窗口,选「内容..」,里面都是一些非常重要的设置(如图3-28):
●General:可变更名称、查询TYPE、MODER及安装时间等信息。
●Outgoing Web Requests:由内部网络到Internet,对所谓的外出者,做一些认证的规范与控制。
●Incoming Web Requests:由Internet到ISA Server,对所谓的进入者,做一些认证的规范与控制。
●Auto Discovery:可以自动提供内部网络的计算机TCP/IP配置,也可以支持DNS Server及DHCP Server,并可以指定一个Port处理,Auto Discovery功能预设是关闭的。
●Performance:使用滚动条做性能调整,预测每天有多少人,每人有多少次进出网络。
●安全:管理者的安全权限设置。
图3-28
ISA Server的内容设置
Monitoring:
Monitoring中有四个项目:
●Alerts:警告装置服务的一些信息,譬如:此警告装置的服务启动于何时,也可以在此画面重新启动(Reset)。
●Services:ISA Server的服务状态,一般是由「开始」→「程序」→「系统管理工具」→「服务」看到本机内所有的服务状态,在此能看到有关ISA Server的服务状态,最少会有三个:Web Proxy、Firewall、Scheduled Content Download,此画面可以「停止」或「重新起动」服务,此外,如果想查看ISA Server的服务状态是否有异状,可由此处察看,不需到W2K管理系统的地方去察看。
●Sessions:在此可看到现在有多少用户正使用ISA Server的连接资源,管理者可由此处,决定是否将某一个连接其踢掉。
●Reports:共有Summary、Web Usage、Application Usage、Traffic & Utilization、Security等五种报表,可以直接看见各种状况及分析数据,也可以储存至Excel的文件中,以便做其它用途。
此处预设全都是空的,你必须在Monitoring Configuration项目中的Report Job新建一个报表,会自动产生五种不同的报表。
Computer:
在此按下鼠标右键,于下拉窗口选「属性」,会出现图3-29的画面,有Product ID以及ISA Server的版本等信息。
图3-29
Computer的信息
Access Policy「标示4」:
「标示4」也是一个非常重要的目录,所有进出的信息都跟它有关,但是要设置「标示4」之前,请先把「标示4」里要用到的相关Policy Element先设好,Policy Element就是「标示6」,「标示4」里面有三个重要项目,说明如下:
●Site And Content Rule:站点及内容过滤的规则,顾名思义,此项目是设置内部用户访问Internet资源(也包含内部资源)的限制,并且能够过滤资源(网站)的内容,以及在某一个时段内或全天开放,此项目是一个功能强大的过滤器。
●Protocol Rules:Protocol过滤的规则,主要是过滤哪一个Protocol可以经过防火墙,并且可以指定内部用户、某一个时段内、或全天开放等基本设置;此项目预设是空的,也就是说,ISA Server在安装完成时,内、外网络是不通的,因为没有一个Protocol能经过防火墙,你必须在此项目内增加一些规则,这部分将在下一节详细说明操作过程。
●IP Packet Filters:此项目是包过滤设置,主要是过滤哪一个包可以经过防火墙,以及该包所使用的Protocol的Details设置,此项目内的Local Computer指的是内部网络或DMZ区段的服务器地址设置;Remote Computer指的是Internet区段的User Address设置;此项目有一些预设设置可以参考,譬如ICMP Protocol的一些设置,ICMP就是大家常用的PING功能。
Publishing「标示5」:
Publishing一般翻译成「发布」,主要是让内部网络服务器能够提供给在Internet上的用户访问,但是由Server「发布」至ISA Server,由ISA Server面对Internet用户,这样才能达到安全上的要求。「标示5」里面只有两个项目,说明如下:
●Web Publishing Rules:网站发布(如图3-30)必须先把「标示6」里的Destinations Sets先设好,以及网站的一些路径或Port数等做细节设置。有一点需要说明,如图3-30在Order下面有一个Last项目,是默认值而且不能删除及修改,Last是预设所有的Web Publishing全部关闭,所以当你加入一个新的Web Publishing时,排序会为1,在Last的前面,以此类推排序,按鼠标右键可以调整上下的顺序。
图3-30
网站发布画面
●Server Publishing Rules:除了Web Server以外的所有Server都可在此发布。
Bandwidth Rules:
带宽使用规则必须先把「标示6」里的Bandwidth Priorities先设好,Bandwidth Priorities可以翻译成「带宽使用配给权」,它将配给权规定为1至200点,设置点数愈高,优先使用带宽权也愈高。
Bandwidth Rules里面可以针对内部网络的某些用户、或Internet某些站点、或某些服务做「带宽使用配给权」设置,当然某时段对某些服务也可以设限。
在Bandwidth Rules中,Order下有一个Last项目,是默认值而且不能删除及修改,Last是预设所有的「带宽使用配给权」全部平等,所以当你加入一个新的「带宽使用配给权」时,排序会为1,在Last的前面,以此类推排序,按鼠标右键可以调整上下的顺序。
Policy Elements「标示6」:
相同的积木可以组合成不同的造型,Policy Elements就像是积木制造厂,你可以在这里制造很多元素,给不同的Policy、或Rule、或Filter使用,当然也可重复使用。如果多个Rule共享一个Elements,当条件变更时,只要更改Elements的内容即可,不需更改众多的Rule,非常方便;「标示6」里共有七个积木区,说明如下:
●Schedules:时段元素设置,例如:上班时段、下班时段、周末时段、其它特殊时段等设置。
●Bandwidth Priorities:「带宽使用配给权」设置,例如:高优先权设180指数,低优先权设50指数等。
●Destination Sets:此项目是锁定一台或多台计算机为组合单位,提供作各种用途设置用,预设是空的,你可以对内部网络或外部网络的计算机做设置。
●Client Address Sets:设置一些用户端的Address或Address区段。
●Protocol Definitions:定义TCP或UDP Protocol元素的项目,PORT号码及进、出(Inbound or Outbound)方向等。
●Content Groups:此项目主要是对HTTP及FTP传输过程中的内容做检查,预设已经有11个Content Group可以使用,你也可以新建一些Content Group。
●Dial-Up Entries:拨接设置,也许你需要多个播接对象,可以在此建立播接元素。
Cache Configuration:
缓存配置设置,仅针对HTTP、FTP Cache的存活时间(TTL)做设置,并且可以让访问频率比较高的内容,做自动访问设置,还有一些Cache的设置。Cache Configuration有两个项目,说明如下:
●Scheduled Content Download Jobs:此项目内可以做一个计划(Scheduled)去定时下载某一个网站,如利用半夜或带宽比较松的时段,以及多久重复下载一次等,还有一些关于下载网站的设置,如此可让内部网络用户访问经常去的网站时,会感到「莫名」的愉快。
●Drives:此项目是针对安装时设置的NTFS硬盘空间,当内部网络计算机数增加
