Раздел: Документация

0 ... 28 29 30 31 32 33 34 ... 131

1

Настройка доступа жжаиькых клиентов в Мшеряо*

71

Примечание Установочные файлы клиента брандмауэра расположены в папке ISA-сервера с именем

2. Следуйте инструкциям программы установки.

Не устанавливайте клиент брандмауэра на

Параметры приложений клиента брандмауэра

Мастер установки клиента брандмауэра не выполняет автоматической настройки W-nsock-приложений. Клиент брандмауэра работает с той же DLL-библиотекой Winsock, что и другие приложения — он перехватывает обращения приложений к этой DLL и определяет, нужна ли маршрутизация запроса на ISA Server.

При обработке Winsock-запросов клиент брандмауэра ищет файл Wspcfg.ini в каталоге клиентского Winsock-приложения. Обнаружив указанный файл, клиент брандмауэра ищет раздел \<клиентское приложение>], где <клиентское приложение> - имя Winsock-прило-жения без расширения .ехе. Если такого раздела нет, клиент брандмауэра пытается найти

раздел [Common Configuration]. Если ни одного из указанных разделов не обнаружено,

клиент брандмауэра выполняет их поиск в файле Mspclnt.ini. Из первого найденного в указанной последовательности раздела, и только из него, извлекаются и используются параметры клиентского Winsock-приложения.

Дополнительная настройка клиента

Для большинствавполне достаточно конфигурации клиента бранд-

мауэра по умолчанию. Однако в некоторых случаях требуется дополнительное конфигурирование клиента. Эта информация помешается в один из двух файлов.

•Mspclnt.ini. Это глобальный файл конфигурации клиента, который хранится в установочной папке клиента брандмауэра. Клиент периодически загружает с ISA-сервера файл Mspclnt.ini и записывает его поверх предыдущей версии. Таким образом, достаточно внести изменения в конфигурацию на ISA-сервере, чтобы они попали на клиентские компьютеры — это выполняется автоматически.

Изменения в конфигурацию вносятся в узле Client Configuration консоли ISA Management. В области сведений нужно открыть свойства клиента брандмауэра, в диалоговом окне свойств клиента брандмауэра Firewall Client Properties - вкладку Application Settings (параметры приложения) и затем создать, изменить или удалить параметры приложения. Клиенты брандмауэра периодически загружают эти параметры.

•\fepcfg.ini. Этот файл расположен в папках клиентских приложений. ISA-сервер не перезаписывает этот файл, поэтому изменения в этом файле влияют лишь на конфигурацию данного клиента.

Пример файла Wspcfg.ini

Ниже приведен пример раздела \WSPjClient App$awa конфигурации клиента для приложения WSP Client App.exe:

[<клиентское приложение>] Disable=0 NameResolution=R LocalBindTcpPorts=7777

4-21 В6

---

LocalBindUdpPorts=7000-7022, 7100- 170

RemoteBindTcpPorts=30

RemoteBindUdpPorts=3000-3050

ServerBindTcpPorts=100-300

ProxyBincIp=80:110.52.1*4.103. 82: 1 10.51.0.0

KillQldSession=1

Persistent=1

ForceProxy=i:172.23.23.23

ForceCredentials=1

NameResolutionForLocalHost=L

В таблице 3-3 перечислены параметры, которые обычно содержатся в файле конфигурации WinMH-k-нриложеии я

Таблица 3-3. Параметры клиента брандмауэра для Winsock-приложения в файле конфигурации

Запись

Описание

Disable

Name Resolution

LocalBindTcpPorts LocalBind UdpForts RemoteBindTcpPorts Remote BindUdpPorts ServerBiudIciiPorts

Proxy BindIp

KillOldSession

Допустимые значения: 0 или I. Значение 1 информирует

об отключении службы брандмауэра для данного клиентского

приложения

Возможные значения: L или R. По умолчанию имена в виде десятичных чисел, разделенных точками, или доменные имена Интернета перенаправляются для разрешения на ISA-сервер, а все остальные имена разрешаются на локальном компьютере. Если установлено значение R, все имена перенаправляются для разрешения на ISA-сервер, при значении L все имена разрешаются на лекальном компьютере

Порт TCP, список или диапазон портов для локальной привязки Порт И 11- список или диапазон Портов для локальной привязки Порт TCP,или диапазон портов для удаленной привязки

Порт список или диапазон портов для удаленной привязки Порт TCP, список или диапазон портов, которые поддерживают более оласго подключения

Указывает IP-адрес или список IP-адресов для привязки к определенному порту. Эта запись применяется, когда несколько серверов,один и тот же порт, нужно привязать к одному и тому же порту, но по разным IP-адресам ISA-сервера. Синтаксис записи таков:

ProxyBind[p=[<TOpr>]: [<1Р-адрес>]. [<порт>~\:[<1Р-адрес>]

Номера портов ушяШ&т для обоих протоколов — TCP и UDP

Возможные значения: 0 или 1. Если задано значение то перед предоставлением приложению нового сеанса ISA-сервер завершает все возможно существующие ранее сеансы, относящиеся к «старому» )ыемплнру приложения. В частности, это значение полезно в ситуациях аварийного завершения приложения, которое не успевает закрыть прослушиваемый сокет. Тогда при закрытии прежнего сеанса ISA-сервер моментально обнаруживает" что приложение завершилось, и освобождает порт, занятый прежним сеансом

---

ЗЗМГ№ 1

Настройка доступа яжмьшх клиентов Интернет

73

Таблица 3-3. (окончание)

Запись

Описание

Persistent

Force Proxy

ForceCredentials

NarneRcwIutionForLocal Host

Control Channel

Возможные значения: 0 или 1. При установке значения I ISA-сервер может поддерживать состояние сервера, к которому выполняется запрос, даже если служба остановлена и перезапущена или если сервер не отвечает. В течение сеанса клиент периодически посылает на сервер специальное сообщение контроля связи. Если сервер не отвечает, клиент пытается восстановить состояние егоs привязки и прослушивания до тех пор, пока сервер не перезапустится

Используется для назначения определенного ISA-сервера конкретному Winsock-приложению. Синтаксис записи таков:

ForceProxy=[<Tar>]:[<запись>~\

где <тх > выбирается из двух значений: i означает IP-адрес, an — имя. Поле <ззяись> содержит адрес или имя соответственно. Если указан тэг п, служба брандмауэра работает только поверх протокола IP

Используется, когда служба или серверное приложение Windows NT или Windows 2000 работает как клиентское приложение брандмауэра. Значение I инициирует применение альтернативных реквизитов пользователя, которые хранятся локально на компьютере, где работает служба. Запись реквизитов пользователя на клиентском компьютере выполняется средствами утилиты Credtool.exe, поставляемой в составе клиента брандмауэра. Реквизиты должны ссылаться на учетную запись пользе вате.;:.я, подлинность которой ISA-сервер способен проверить, то есть ее данные должны храниться либо локально на самом ISA-сервере, либо относиться к домену, с которым у ISA-сервера установлены доверительные отношения Обычно устанавливается

неограниченный срок действия учетной записи, в противном

случае следует регулярно обновлять реквизиты пользователя

Возможные значения: L умолчанию), Р или Е. Испо.н <ует ся для указания метода разрешения имени локального (клиентского) компьютера при вызове функции API gethostbynameQ.

Имя компьютера LocalHost разрешается путем вызова Winsock API gethostbynameO со строкой LocalHost, пустой строкой или указателем NULL в качестве параметра. Winvicl-

вызываютчтобы опреде-

лить свой локальный IP-адрес и передать его серверу Интернета. При значении параметра Р функция Eethostbynamc(. возвращает IP-адреса ISA-сервера, при значении L — IP-адреса локального компьютера. Если задано значение Е возвращает только внешние IP-адреса ISA-сервера, то есть IP-адреса,в

Возможные значения:(no умолчанию) или

Определяет тип используемого канала управления

0 ... 28 29 30 31 32 33 34 ... 131