附录概要
该附录帮助您完成对ISA Server企业版的几个假定安装,以检测您对该产品的理解和进行故障排除的能力。要创建真实可行的配置和管理策略,本场景中的情形要求您具备网络和Microsoft Windows 2000的知识。这些情形是通过章节展开的,展示了ISA Server的不同方面。在您阅读了不同情形的简短背景后,会对您提出几个问题。这些问题的答案列在附录A中。
先决条件
要完成本附录中的活动和回答附录中的问题,您应该彻底理解以下:
l
本书的内容
l
Windows 2000Server基础――包括路由和远程访问服务器、身份验证类型、域设计、性能监视器和安全账户管理。
l
Internet运行概念――包括通过子网路由、数据包基础TCP,用UDP,源和目的端口,域名解析(DNS)服务,以及DHCP。
l
普通的Windows 2000故障排除和实用工具――包括ipconfig、netstat、route、和ping。
场景背景
您负责Contoso有限公司的网络和安全设计。Contoso有限公司是一个大型的跨国公司,总部设在华盛顿的西雅图。Contoso通过其庞大的销售团队推销它的产品,并在奥兰多、佛罗里达和法国的巴黎设有分公司。在西雅图大约有500个销售、推销和开发职员;在奥兰多有100个职员;在巴黎有50个职员。您已在Contoso中工作了5年,并设计和配置了它现有的基础设施。现在您打算使用ISA Server升级您的微软Proxy Server 2.0,以利用ISA Server高性能的缓存引擎和增强的安全特性。本场景将帮助您完成部分的安装和管理,并会提出几个问题以测试您对ISA Server的知识。
问
题
您打算将西雅图公司现有的两台运行Windows NT 4.0 Server和Proxy Server 2.0的计算机升级为ISA Server。您还打算在巴黎和奥兰多两个分公司中配置ISA Server,如图B.1所示。在Proxy Server 2.0环境下的Microsoft Exchange Server可为内部客户端收发Internet邮件。
1.
将Proxy Server 2.0安装环境成功地升级到ISA Server,必须做什么?
2.
在迁移到ISA Server后,西雅图的Exchange Server计算机不能从Internet上收发电子邮件。要允许它收发邮件,必须做哪些更改?
Contoso的总部和两个分公司在相同的 Windows 2000域内。分公司通过两个1.54兆位/秒的T1/E1 广域网连接直接连接到总部上。奥兰多分公司通过256千位/秒的电路连接到Internet,巴黎分公司通过一个56千位/秒的拨号ISDN线连接的。西雅图和奥兰多客户端使用Windows 2000Professional,巴黎分公司的客户端混合使用Windows 2000和UNIX。在西雅图,您已迁移到作为单独阵列的两个ISA Server计算机上,并且想在两个分公司中配置ISA Server计算机以提高Internet应用程序性能。您想为所有的办公室提供一个冗余的Internet连接,并按用户把Web活动记入日志。您还想在西雅图集中管理该方案,并通过总部的阵列路由所有的Internet通信。
3.
怎样在这些分公司中配置ISA Server以提供集中化的管理?
4.
描述怎样为3个办公室提高Web和FTP性能。
5.
在为阵列配置缓存后,在性能监视器中会注意到缓存命中率很低。如何才能提高缓存命中率?
6.
如果主连接失败并有备份连接时,描述怎样将分公司的所有Internet通信经过西雅图的ISA Server阵列路由?
7.
查看Web代理日志,发现所有的用户是匿名的。要记录这些用户的名字,应做哪些更改?
因为巴黎分公司用户的传出源IP地址是西雅图的ISA Server计算机IP地址而不是巴黎的IP地址,所以他们访问某些区域站点时受到拒绝。
8.
怎样才能允许巴黎分公司的所有区域通信 (定义为.fr顶级域内的所有站点)通过ISDN拨号线路由到Internet上,并且通过总部继续路由其余的通信?
在西雅图,Contoso Ltd.想在一个Web场中使用网络负载平衡来布置3个Web服务器。Web场位于边界网中并受ISA Server保护。外部客户机可以通过HTTP和图B.2.中所示的HTTPS来访问Web场。这些Web服务器需要用位于内部网上的SQL Server计算机来连接和交换通过MS SQL Sockets(TCP端口1433)的信息。
9.
为了允许请求的访问,怎样配置边界网络和发布这3台Web服务器?
Contoso Ltd. 购买了专用的服务器应用程序并把它安装在内部网络中。您希望仅允许雇员远端访问该应用程序。雇员们首先要连接Internet,然后运行使用TCP端口2122的客户应用程序来访问该程序。
10.
解释怎样发布专用服务器应用程序。
Contoso网络工作小组已经重新设计了网络以创建一个IT维护子网,并在它的子网上增加了一个质量保证实验室(QA),如图B.3所示。 然而,由于添加了新的子网和路由器,QA职员不能在他们的实验室访问Internet
11.
为了恢复连接,在这些子网中的ISA Server计算机和客户机上应该重新配置什么?
执行管理层要求您减少部门开支。您考虑到可以通过用VPN连接代替在总部和巴黎分公司之间的专用T1/E1WAN 连接,并使用高容量的电路升级巴黎分公司到Internet的拨号ISDN连接。您想要巴黎分公司直接访问它的Internet内容而不再由西雅图总部来管理或者通过总部来访问。西雅图总部的职员会启动VPN连接。您也已经为巴黎创建了一个独立域,并把该域控制器放在巴黎分公司。网络小组成功地升级了网络。您已经在巴黎ISA Server计算机上删除了拨号适配器,并且添加了外部网络适配器来将巴黎分公司连接到Internet上,如图B.4所示。
12.
为了支持新拓扑,必须采取什么措施来重新配置ISA Server计算机?
13.
您已经为西雅图总部配置了VPN,但是不能连接到巴黎分公司。为排除该连接故障,您应该查看什么配置?
Contoso Ltd.雇用了一支远程销售力量。他们遍布全球,通过免费的长途专用连接调制解调器服务连接到总部。这样直接访问费用高,并且在使用量大时通常都很繁忙。您相信通过配置使用ISA Server的 VPN既可以省钱又能提供多人次访问。
14.
解释怎样通过ISA Server配置将用户从该专用的拨号服务迁移到VPN?
这些远端用户经常访问Contoso其他两个分公司,并将他们的便携式电脑接入局域网(LAN)中。然而,无论何时他们没有连接到总部的局域网,他们就不能访问Internet了。这些用户运行的是防火墙客户端软件。
15.
为什么用户不能从远端分公司访问Internet?描述不需要手动配置每台便携式电脑,又能解决问题的高效管理方法。
奥兰多分公司已经改组并使用一个新名称。为了能反映此变化,该分公司整个迁移到一个新的Active Directory域。然而,在奥兰多的网络通信仍配置为通过西雅图总部的ISA Server计算机路由到Internet上。
16.
域名改变后,您发现到Internet的网络通信已经明显增加了,并且用户访问内部网和速度很慢。奥兰多职员运行的是防火墙客户端软件。用户遇到的网络延时问题的最可能的原因是什么?
