Благодаря новой версии упрощаются многие задачи

Появление ISA Server 2006, третьей версии усовершенствованного брандмауэра и proxy-сервера корпорации Microsoft, планируется во второй половине 2006 года. Среди новых возможностей ISA Server 2006 — упрощенное развертывание в филиалах компаний, новый модуль управления для Microsoft Operations Manager (MOM), инструменты обнаружения атак, защита от червей, сжатие трафика HTTP, расширенная поддержка службы Background Intelligent Transfer Service (BITS), а также новые утилиты и функции публикации. Хотя версия ISA Server 2006 — это скорее эволюционное развитие продукта, тем не менее некоторые изменения весьма существенны и заслуживают отдельного рассмотрения. В частности, если вам довелось испытать трудности с публикацией Exchange Web Client Access, сайтов Share-Point или настройкой кластеров Network Load Balancing (NLB), могу сказать, что в ISA Server 2006 задача администратора при решении этих задач станет намного проще. В данной статье основное внимание уделяется публикации в ISA Server 2006. Я расскажу о настройках Web-приемников (Web Listener), публикации серверных ферм и об организации доступа Exchange Web Client и SharePoint Site.

 

Настройка Web Listener

Web-приемники (Web listener) — это название технологии, при помощи которой HTTP-клиенты за пределами сети организации могут подключаться к службам во внутренней сети компании. Если рассуждать с самых общих позиций, то администратору нужно настроить специфический Web-приемник для каждой службы, базирующейся на поддержке HTTP (например, Exchange Web Access, Web Site, SharePoint Site), которую он или она хотят опубликовать для внешних клиентов. Настройка Web-приемника в ISA Server 2006 требует больших усилий по сравнению с решением аналогичной задачи в ISA Server 2004, хотя и там и там настройки ведутся при помощи панели инструментов консоли ISA Server Management.

Самый первый шаг — общий в обеих версиях, ISA Server 2006 и 2004, это задание имени Web-приемника. Второй шаг характерен только для ISA Server 2006 и требует указания, будет ли публикуемая служба использовать только HTTPS или поддержка HTTP также может потребоваться. Если указать, что публикация поддерживает только HTTPS, на ISA Server 2006 необходимо установить сертификат Secure Sockets Layer (SSL). Сделать это следует до того, как приступать к настройке Web-приемника.

На третьем шаге указываются те сети ISA (IP-диапазоны), которые будут «прослушивать» входящие Web-запросы. И в ISA Server 2004, и в ISA Server 2006 для этого используются почти одинаковые методы. На экране SSL Certificate Management можно выбрать единый сертификат для Web-приемника или индивидуальные сертификаты для каждого IP-адреса. В последнем случае сертификаты должны быть установлены заранее.

Экран 1. Выбор метода аутентификации и проверки

Нововведение при настройке Web-приемников в ISA Server 2006 — страница настройки Authentication Settings (см. экран 1). В раскрывающемся меню предлагаются различные виды аутентификации — HTML Form Authentication, HTTP Authentication, SSL Client Certificate Authentication и No Authentication. Параметры проверки в значительной степени «привязаны» к выбранной схеме аутентификации. Например, можно указать, что делегированные полномочия о пользователе будут задаваться в виде формы (флажок Collect user delegation credentials in a form), запросить SSL-сертификат и настроить способ проверки сертификатов в ISA Server 2006. Другие параметры проверки — Active Directory (AD) Windows или LDAP, Remote Authentication Dial-In User Service (RADIUS), RADIUS One-Time Password (OTP) и RSA SecurID.

Если настроен режим HTML Form Authentication, то на следующем экране можно настроить параметры однократной аутентификации Single Sign-On (SSO). SSO обеспечивает единую точку аутентификации для всех сайтов, которые публикуются на сервере ISA Server 2006 через конкретный Web-приемник. Если выбран метод аутентификации, отличный от HTML Form Authentication, то экран настройки SSO отсутствует.

Обе версии ISA Server 2004 и 2006 на последнем экране подытоживают сделанные настройки. Нажатием кнопки Finish включается Web-приемник.

 

Балансировка нагрузки Web-серверов

ISA Server 2006 упрощает публикацию сбалансированных по нагрузке серверов до такой степени, что даже неопытный специалист службы поддержки в состоянии выполнить эту работу. Настроить защищенные Web-серверы в режиме балансировки нагрузки в ISA Server 2006 гораздо проще, чем с помощью решений независимых разработчиков, и это несомненное преимущество ISA Server 2006. Администраторам больше не придется заниматься настройкой NLB на самих серверах. Чтобы в полной мере воспользоваться преимуществами продукта, новую серверную ферму следует настраивать при помощи мастера установки Server Farm Definition Wizard. Мастер запускается из контекстного меню объекта Server Farms путем вызова команды New Server Farm. Находится объект Server Farms в узле Network Object под объектом Web Listeners в консоли ISA Server Management.

На первой странице мастера указывается имя серверной фермы. Вторая страница позволяет добавить в ферму новые имена компьютеров или их IP-адреса. Следует помнить, что процессом балансировки нагрузки управляет ISA Server: если у вас уже имеются NLB Web-серверы, необходимо опубликовать кластер NLB как обычный сервер.

На следующем экране настраивается мониторинг сервера. Вместо настройки тактовых импульсов (heartbeat) в сети NLB, ISA Server 2006 пытается установить, откликается ли сервер кластера на запросы HTTP/HTTPS «GET», Ping или на подключение к определенному порту TCP. Хотя с помощью перечисленных методов можно установить факт отклика сервера, это не позволяет проверить текущую нагрузку сервера.

Экран 2. Что именно мы публикуем

После того как серверная ферма настроена, нужно опубликовать Web-сайты. Для этого следует выбрать Publish Web Sites на вкладке Tasks консоли ISA Server Management. Вызывается мастер установки, похожий на тот, что использовался в ISA Server 2004, пока вы не достигнете страницы Publishing Type (см. экран 2). Здесь нужно указать, должен ли ISA Server публиковать один-единственный Web-сайт или внешний балансировщик нагрузки (такой, как NLB), серверную ферму из сбалансированных по нагрузке Web-серверов или же несколько отдельных Web-сайтов.

На странице Internal Publishing Details указывается внутреннее имя сайта, устанавливается, будет ли ISA Server использовать SSL для подключения к сайту (и шифровать трафик DMZ), и будет ли оригинальный заголовок хоста пересылаться на сайт. Эта же страница позволяет настроить специальный каталог на целевом Web-сервере. После щелчка по кнопке Next вызывается выпадающее меню, из которого нужно выбрать Web-приемник для серверной фермы, которую планируется публиковать, или инициировать процесс настройки Web-приемника для новой серверной фермы, если ранее описанные шаги еще не выполнялись. При выборе Web-приемника серверной фермы на странице Specify Server Farm можно настроить параметры, согласно которым ISA Server будет балансировать нагрузку входящих запросов (см. экран 3). Если выбрать Cookie-based Load Balancing, клиентам будет выдаваться небольшой фрагмент данных (cookie), информирующий ISA Server 2006 о том, какому из серверов фермы следует продолжить обработку той или иной клиентской сессии. При организации балансировки по исходному IP-адресу сервер поддерживает сессию согласно указанному значению IP-адреса клиента.

Экран 3. Публикация серверной фермы

Тем, кто раньше публиковал Web-серверы в ISA Server 2004, страница Public Name Details не покажется новой. На этой странице указывается Fully Qualified Domain Name (FQDN) или адрес IP, который внешние пользователи будут вводить, обращаясь к опубликованному сайту. На следующей странице нужно указать Web-приемник. Здесь выбирается метод делегирования аутентификации. Доступны следующие методы:

  • No delegation — allow end-to-end authentication
  • No delegation — don?t allow end-to-end authentication
  • Basic authentication
  • NTLM authentication
  • Negotiate (Kerberos/NT LAN Manager — NTLM)
  • Kerberos constrained delegation

Список методов меняется в соответствии с настроенным методом аутентификации Web-приемника. Если выбран метод Kerberos constrained delegation или Negotiate, потребуется указать имя службы Service Principle Name (SPN), которую ISA Server использует для аутентификации Kerberos. На следующей странице следует настроить пользователей, которые будут иметь доступ к опубликованному серверу.

Хотя большинство опытных администраторов не видят в настройке балансирования нагрузки на Web-серверах ничего сложного, через интерфейс ISA Server 2006 это сделать еще проще, чем для серверной фермы. Препятствие для использования ISA Server в качестве балансировщика нагрузки вместо привлечения NLB состоит в том, что ISA Server не выполняет реальный мониторинг загрузки сервера, а просто распределяет клиентские запросы по циклическому алгоритму.

 

Публикация Exchange Web Client Access

Администраторы, которым уже приходилось настраивать брандмауэр и proxy от независимых поставщиков для обеспечения доступа между внешними пользователями и внутренними серверами Outlook Web Access, знают, какая это непростая задача. Даже в ISA Server 2004 этот процесс нельзя назвать тривиальным. ISA Server 2006 существенно упрощает публикацию серверов Outlook Web Access для клиентов из Internet. Публикация Exchange Web Client Access теперь выделена в особую секцию в списке Firewall Policy Tasks в консоли ISA Server 2006 Management.

Экран 4. Выбор публикуемой службы

Перед тем как начать процесс публикации, нужно настроить Web-приемники. Затем требуется выбрать в списке Firewall Policy Tasks задачу Publish Exchange Web Client Access — запустится мастер правила публикации New Exchange Publishing Rule Wizard. Следует ввести имя правила и нажать Next. На экране Select Services (см. экран 4) можно выбрать публикуемую через ISA Server 2006 почтовую службу — параметр Web client mail services. Также можно выбрать версию Exchange из предлагаемого списка — Exchange Server 5.5, Exchange 2000, Exchange 2003 или Exchange 2007. Почтовые службы — Web client mail services — различаются от одной версии Exchange к другой (например, Exchange 2007 не поддерживает Outlook Mobile Access). Если Web-приемник уже настроен на аутентификацию на базе форм, то в этом случае отсутствует поддержка Exchange ActiveSync.

На следующей странице мастера нужно указать, следует ли публиковать отдельный балансировщик Web site/external или же планируется организовать балансировку нагрузки Web-серверов через ISA Server 2006. После того как выбор будет сделан, указывается внутреннее имя сайта. Кроме того, можно настроить SSL для подключения к сайту Exchange. При использовании SSL необходимо установить соответствующие сертификаты.

Нажатие кнопки Next вызывает страницу Public Name Details, где требуется определить, как будут обрабатываться запросы — для указанного FQDN или адреса IP либо для любого FQDN. В большинстве случаев требуется указать только имя почтового сервера.

На следующей странице нужно указать Web-приемник. Если в настройках Web-приемника и Exchange Web Client Access система выявит конфликтные установки, пользователь получает соответствующее предупреждение. Как уже отмечалось, при настройке в Web-приемнике аутентификации на базе форм и включении SSO поддержка Exchange ActiveSync отключена. Щелкните Next для перехода к экрану Authentication Delegation. Этот экран идентичен тому, о котором шла речь в разделе «Балансировка нагрузки Web-серверов», — экрану All Authenticated Users. Основное преимущество при публикации Exchange Web Client Access в ISA Server 2006 состоит в том, что все сложные конфигурационные настройки, использовавшиеся в ISA Server 2004, скрыты от администратора: в ISA Server 2006 все параметры настраивается автоматически.

 

Публикация сайтов SharePoint

Учитывая быстрое распространение Microsoft SharePoint и необходимость поддержки удаленного доступа к сайтам Share-Point, неудивительно, что соответствующая задача публикации — Publish SharePoint Sites — вынесена на панель ISA Server 2006 Tasks. Для публикации сайта SharePoint сначала, как всегда, следует настроить Web-приемник. Затем требуется запустить SharePoint Publishing Rule Wizard из панели Tasks, щелкнув Publish SharePoint Sites. Укажите имя публикуемого сайта и щелкните Next. Выберите Publish a single website or an external loadbalancer и снова щелкните Next. Укажите внутреннее имя сайта и решите, хотите ли вы установить шифрованное SSL-соединение между сервером ISA Server 2006 и сервером SharePoint. На следующей странице укажите FQDN или адрес IP, откуда внешние запросы будут маршрутизироваться на внутренний сервер, далее выберите созданный для сайта SharePoint Web-приемник. Помните, что при запросе сертификатов SSL для разных Web-приемников имена сертификатов должны соответствовать используемому общедоступному имени. Например, если вы затребовали SSL-сертификат для mail.contoso.com, то в следующий раз тот же самый сертификат не должен использоваться для sharepoint.contoso.com — в противном случае система выдаст сообщение о несоответствии сертификата. После указания правильного Web-приемника нужно выбрать метод аутентификации. На предпоследнем экране указываются пользователи, для которых открывается доступ к публикуемой службе. Следует щелкнуть Next, проверить информацию на итоговом экране и нажать Finish.

Хотя SharePoint Publishing Rule Wizard в ISA Server 2006 внешне не так уж сильно отличается от ISA Server 2004 Web Publishing Wizard, существенны внутренние расхождения. На форумах в Internet видно, что многие администраторы ISA Server 2004 считают задачу правильной настройки и публикации сайтов SharePoint делом темным и загадочным. Главное отличие публикации обычного Web-сайта и сайта SharePoint заключается в функциональности SharePoint. SharePoint — гораздо более интерактивная среда по сравнению с типичным Web-сайтом, и настройка всех необходимых протоколов для поддержания SharePoint потребует от администратора куда больше усилий. Тем, кому такое сравнение интересно, рекомендую прочитать статью http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/isawss.mspx. Если в вашей компании планируется публиковать сайты SharePoint, уже одно то, что в ISA Server 2006 отсутствует несколько специфических страниц настроек, необходимых для публикации SharePoint, может стать решающим аргументом в пользу перехода на новую версию ISA Server.

 

Оставаться на прежней версии или перейти на новую?

Если у вас имеется значительный опыт использования ISA Server 2004 Service Pack 2 (SP2) для публикации Exchange Web Clients и SharePoint Sites и если вы не считаете настройку и балансировку нагрузки Web-сайтов сложной задачей, вероятно, переходить на ISA Server 2006 не стоит. Хотя в ISA Server 2006 есть новые функции, они скорее характерны для очередного пакета обновлений, чем для новой полноценной версии продукта (фактически улучшения в BITS и компрессия HTTP уже поддерживаются в ISA Server 2004 SP2). Упрощенное развертывание ISA Server в филиалах — это, конечно, аргумент, но опытным администраторам он может показаться недостаточно веским для обновления версии. Как уже отмечалось, ISA Server 2006 — это скорее эволюционное развитие продукта. Но поскольку одно из основных достоинств ISA Server, по сравнению с решениями конкурентов, — простота администрирования, это уже может стать достаточным аргументом для перехода к ISA Server 2006.

Орин Томас - Cотрудник учебного и сертификационного Web-узла CertTutor.net журнала Windows IT Pro. Имеет сертификаты MCSE, CCNA и CCDA. Томас — соавтор учебного курса MCSA/MCSE Self-Paced Training Kit (Exam 70-299): Implementing and Administering Security in a Microsoft Windows Server 2003 Network (издательство Microsoft Press). orin@lspace.org