Раздел: Документация

0 ... 120 121 122 123 124 125 126 ... 131

мать правило протоколов, которое разрешает исходящий SMTP-трафик (порт 25) с сервера Exchange к внешним клиентам (в Интернет) для получения почты.

3.Как вы предполагаете развернуть ISA-серверы в указанных филиалах, чтобы обеспечить централизованное управление?

Установите ISA-сервер в указанных двух филиалах в смешанном режиме (Integrated), чтобы обеспечить кэширование и резервные подключения к Интернету, Сконфигурируйте ISA-сер-веры в филиалах как отдельные массивы, которым соответственно присвойте имена и «Orlando». Присоедините новые массивы к политике предприятия, определенной в массиве «Seattle». Политика предприятия обеспечит централизованное управление протоколами, правилами узлов и содержимого и многими другими элементами политики массива.

4.Расскажите, каким образом повысить производительность работы Wfeb и протокола FTP в трех указанных офисах.

Сконфигурируйте кэширование для всех трех массивов, чтобы обеспечить оптимальную производительность Web и FTP. Объедините массивы филиалов в Париже и Орландо в цепочку с массивом штаб-квартиры в Сиэтле (эта операция выполняется на странице свойств узла Network Configuration в оснастке ISA Management). В каждом массиве сконфигурируйте все исхоляшмс Web-запросы на «разрешение запросов в массиве до выполнения маршрутизации» (флажок Resolve requests within array before routing на вкладке Outgoing Web Requests диалогового окна свойств массива). Таким образом, вы создадите иерархический кэш, и все исходящие запросы станут обслуживаться по протоколу CARP (Cache Array Routing Protocol); это позволит эффективно определять массив, в котором содержится юшируемый объект до пересылки запроса в Интернет. В каждом массиве включите фильтр приложений HTTP Redirector Filter (он расположен в папке Application Filters), чтобы клиенты SecureNAT и брандмауэра могли пользоваться преимуществами кэширования. Чтобы предотвратить перегрузку интернет-трафика в рабочие часы, сконфигурируйте кэширование по расписанию насодержимого в непиковое время. Включите и скон-

активное— в результате популярное содержимое в кэше

будет обновляться до истечения срока его устаревания. Для настройки кэширования по расписанию и активного кэширования используется узел Cache Configuration в оснастке

ISA Management.

5.После настройки механизма кэширования в массивах вы обнаружили с помощью оснастки Performance Monitor, что показания счетчика Cache Hit Ratio малы. Что можно

предпринять, чтобы повысить частоту попаданий кэша?

Счетчик попадании кэша Cache Hit Ratio позволяет быстро выяснить эффективность действующей конфигурации кэширования. Нулевые показания свидетельствуют о нерайотаю-щем кэше, а низкие показания — о низком уровне попаданий кэша, то есть о том, что болынинство запросов обслуживается из Интернета, а содержимое либо не подлежит кэшированию, либо кэш слишком мал. Увеличьте размер кэша или время(TTL) кэши-руемых объектов.

6.Расскажите, как настроить маршрутизацию всего интернет-трафика филиалов через массив ISA-серверов в Сиэтле и обеспечить поддержку резервных подключений на

случай сбоев основных.

Создайте подмножествосостоящее из компьютеров внутренней сети в каждом

филиале. Для каждого массива в филиалах (в Париже и Орландо) создайте правило маршрутизации, которое перенаправляет все запросы, не относящиеся к данному подмножеству адресатов, насервер в штаб-квартире в Сиэтле. В этом же правиле маршрутизации укажите, что при сбое основного маршрута запросыпо резервному маршруту — через выделенное подключение к Интернету в филиале в Орландо и по ISDN-линии - в парижском филиале.

---

7.Анализируя журналы Web-гфокеи, в обнаружили, что все пользователи получают анонимный доступ. Что следует изменить, чтобы регистрировались имена пользователей? Клиенты под управлением Windows ;!000 Professional с Microsoft Internet Explorer поддерживают аутентификацию пользователей Web-прокси. На компьютерах под управлением UNIX сконфигурируйте клиенты с поддерживающими стандарты CERN браузерами для аутентификации пользователей Web-ярокси. В диалоговом окне свойств каждого из массивов перейдите на вкладку Outgoing Web Requests и установите флажок Ask unauthen-ticated users Ви identification, чтобы выполнялась аутентификация и регистрация журналах событий на уровне пользователей. В этом же диалоговом окне укажите встроенный метод аутентификации Windows NT (флажок Integrated) или аутентификации на основе

хеша (флажок Digest with this domain) для безопасной проверки подлинности. Для совместимости с протоколом HTTP выберите базовую аутентификацию (флажок Basic with this domain). Последняя операцияклиентам браузера, которые не поддерживают про-

верку подлинности по механизму «запрос — ответ» вNT, проходить проверку под-

линности на основе только текстовых реквизитов учетной записи. Если браузеру клиента не удается «прозрачно» передать на ISA-сервер ннфирмзкню аутентификации, он запросит ее у пользователя. Выполненная проверка подлинности действительна лишь для текущего сеанса и выполняется независимо от запросов проверки подлинности на сервере Web-узла.

8.Как вы предполагаете обеспечить пересылку всего локального трафика (то есть трафика к узлами в домене верхнего урон-iя .fr), инициированного в парижском филиале, в Интернет черезатрафика, как и прежде, — через

тиру в Сиэтле?

Следует создать подмножество адресатов, состоящее из доменов *.fr, и правило маршрутизации, которое предусматривает н.шо.™«ме запросов на адреса этого подмножества непосредственно изКроме того, необходимоо корректном рас-

положении созданного правила оби ем наборе правил, то есть оно должно обрабатываться до других правил маршрутизации, которые перенаправляют трафик в штаб-квартиру.

9.Как вы предполагаете сконфигурировать сеть периметра и опубликовать указанные три Web-сервера, чтобы обеспечить требуемый доступ?

Сконфигурируйте ISA-сервер для подключения к сети периметра через третий сетевой адаптер (172.16.0.1/24), который в ;том случае следует определить как внешнюю сеть по отношению к ISA-серверу. Позаботьтесь о том, чтобы в таблице локальных адресов (LAT) массива в Сиэтле не указывалась сеть периметра (172.16.0.0/24). Обмен данными между двумя внешними сетями (например из Интернета в сеть периметра) через ISA-сервер обрабатывается механизмом IP-маршрутизации (IP Routing) и ограничивается фильтрами IP-пакетов. Операция включения фильтрации IP-пакетов (флажок IP Packet Fitters) и IP-маршрутизации (флажок IP Routing) в массиве в Сиэтле выполняется в диалоговом окне свойств узла IP Packet Filters, расположенного в папке Access Policy оснастки ISA Management. Сконфигурируйте массив в Сиэтле, разрешив доступ в сеть периметра из Интернета. Для этого создайте фильтры IP-пакетов для протокола HTTP на портах 80 и 443, которые разрешают всем удаленным пользователям доступ в локальную сеть периметра.

Для успешного взаимодействия Web-серверов с сервером SQL Server во внутренней сети следует опубликовать последний. В стандартной установочной конфигурации ISA-сервера протокол SQL Sockets не предусмотрен — вы должны создать его определение самостоятельно. Для этого создайте определение протокола с именем SQL Sockets, указав следующие параметры: направление — входящее (Inbound), порт — 1433 и протокол — TCP. Требуется закрыть прямой доступ внешних пользователей к серверу SQL Server - они должны обращаться к нему только через Web-серверы. Ограничьте доступ лишь Web-серверами, создав в папке Client Address Set (подпапка папки Policy Elements) подмножество адресов клиентов, состоящее из IP-адресов тсех Web-серверов (172.16.2-4). Убедитесь в том, что включена фильтрация IP-пакетов. Если не включить фильтрацию IP-пакетов, правило

---

публикации сервера будет применяться ко всем клиентам, независимо от наличия или отсутствия отдельных подмножеств клиентских адресов. Далее опубликуйте сервер, в<кполь-зовавшисьопределением протокола и подмножеством клиентов. Правило пу-

бликации определите следующим образом: в качестве адреса внешнего интерфейса определите IP-адрес адаптера, подключенного к сети периметра, (172.16.0.1), а в качестве внутреннего адреса — IP-адрес сервера SQL Server (192.168.0.10). Сконфигурируйте SQL Server как клиент SecureNAT, определив в качестве основного шлюза его сетевого ал..знте-ра IP-адрес адаптера внутренней сети на ISA-сервере (192.168.0,1). 10. Объясните, как опубликовать частное серверное приложение.

Служба публикацииуправляет ограничениями, применяемыми как к подмно-

жествам клиентских адресов, так к пользователям и группам. Однако правила публикации серверов поддерживают лишь подмножества клиентских адресов (IP-адресов), поэт» чу вам придется определять и регулировать доступ, указывая интервалы IP-адресов. Создайте подмножество клиентских адресов или наборы, которые содержат всех ваших удаленных пользователей, например интервал IP-адресов Интернет-провайдера компании Contoso.

Далее создайте определение протокола входящего направления через ТСР-порт 2122. Протокол обязательно определите как входящий, чтобы он стал доступным для выбора в правиле публикации серверов. Опубликуйте сервер, указав в правиле внешний IP-адрес ISA-сервера и внутренний IP-адрес частного серверного приложения. Ограничьте доступ лишь ранее определенному подмножеству клиентских адресов. I I - Как следует переконфигурировать ISA-сервер и клиенты в рассматриваемых подсетях, чтобы восстановить доступ в Интернет?

Изучите таблицу маршрутизации ISA-сервера и добавьте в нее адресата и шлюз, соответствующие компьютеру-лаборатории отдела контроля качества, назначив их внутреннему интерфейсу ISA-сервера. В этом примере компьютер ISA-сервер следует сконфигурировать для пересылки пакетов, направленных в подсети 192.168.1.0/24 и 192.168,2.(/24. на шлюз 192.168.0.2 через интерфейс 192,168.0.1. Воспользуйтесь командой route, чтобы проверить и при необходимости устранить неполадки маршрутизации. Настройте основной шлюз промежуточных маршрутизаторов на перенаправление на вышестоящие маршрутизаторы, и, в конечном счете, — на внутренний интерфейс ISA-сервера.

Позаботьтесь о правильной настройке основных шлюзов клиентов SecureNAT, то есть в

качестве шлюза на каждом клиенте следует указать IP-адрес соответствующего промежу-маршрутизатора. В рассматриваемом примерешлюз компьютера-лабо-

ратории в отделе контроля качества следует настроить на адрес 192.168.2.1. Кроме того, убедитесь, что адрес прокси на клиентах брандмауэра и Web-прокси настроен на внутренний IP-адрес ISA-сервера (192.168.0.1). После правильной настройки промежуточных маршрутизаторов и клиентов о корректной работе клиентских подключений «позаботится» стандартный механизм маршрутизации протокола TCP/IP. 12. Какие операции по переконфигурированию ISA-сервера следует предпринять, чтобы обеспечить поддержку новой топологии сети?

Удалите парижский массив ISA-серверов из политики предприятия и затем — программное обеспечение ISA-сервера, чтобы вывести компьютер из массива. Присоедините этот компьютер к домену в Париже и выполнитепредприятия, обновив схему Active Directory нового домена. Снова установите ISA-сервер, создав новый массив ISA-серверов в парижском домене. Создайте правила протоколов и правила узлов и содержимого так, чтобы предоставить доступ в Интернет сотрудникам парижского филиала.

В Сиэтле настройте VPN-подключение с филиалом в Париже, выполнив инструкции мастера локальной конфигурации Local ISA Server VPN Configuration. На парижском ISA-сервере запустите мастер Remote ISA Server VPN Configuration и воспользуйтесь файлом

0 ... 120 121 122 123 124 125 126 ... 131