Я решил потихоньку сканить из книжки по исе разделы. Наверное это комунибудь поможет скажите если это нужно.
А также говорите что интересно было бы для вас.
Настройка WPAD и WSPAD на DNS и DHCP-серверах
Автоматическое обнаружение позволяет клиентам брандмауэра или Web-прокси запрашивать объекты у ISA-сервера, настроенного на обслуживание подобных запросов. Если ISA-сервер не отвечает, клиент повторяет процедуру автоматического обнаружения.
ISA-сервер использует запись WPAD для определения подходящей записи WSPAD (Winsock Proxy Autodetect). Запись WSPAD не нужно явным образом конфигурировать на DNS-сервере.
Механизм автоматического обнаружения с использованием DNS-сервера поддерживает клиентов под управлением Windows 2000, Windows NT 4.0, Windows 98 и Windows Me.
> Настройка DNS-сервера для автоматического обнаружения ISA-сервера
1.В меню Start (Пуск) последовательно выберите пункты Programs
(Программы), Administrative Tools (Администрирование) и DNS.
2.В дереве консоли щелкните правой кнопкой нужную зону прямо
го просмотра и в контекстном меню выберите New Host.
3.В поле Name введите имя ISA-сервера или массива.
4.В поле IP Address введите внутренний IP-адрес ISA-сервера.
5.Щелкните кнопку Add Host (добавить узел).
В случае получения сообщения об ошибке, предупреждающего, что запись узла нельзя создать, так как эта запись уже существует, проигнорируйте сообщение, щелкнув кнопку ОК.
6.В дереве консоли DNS щелкните правой кнопкой мыши нужную
зону прямого просмотра и в контекстном меню выберите New Alias
(новый псевдоним).
7.В текстовом поле Alias Name введите WPAD.
8.Щелкните кнопку Browse и выберите Host (А) нужного ISA-сервера.
9.Щелкните ОК.
Кроме того, для клиентов под управлением Windows 2000, Windows 98 и Windows Me автоматическое обнаружение можно настроить на DHCP-сервере.
^ Настройка DHCP-сервера для автоматического обнаружения ISA-сервера
1.В меню Start (Пуск) последовательно выберите пункты Programs
(Программы), Administrative Tools (Администрирование) и DHCP.
2.В дереве консоли щелкните правой кнопкой мыши нужный DHCP-
сервер и в контекстном меню выберите команду Set Predefined
Options. Откроется диалоговое окно Predefined Options and Values
(предопределенные параметры и значения).
3.Щелкните кнопку Add.
4.В поле Name введите WPAD.
5.В поле со списком Data Type выберите String.
6.В поле Code введите 252.
7.Щелкните кнопку ОК.
Откроется окно Predefined Options and Values, в котором в поле со списком Option Name выбрана запись 252 WPAD.
8.В текстовом поле String введите
http://<строка>/Wpad.dat, где
<строка> определяется следующим образом:
•WPAD — если DNS поддерживает разрешение запросов WPAD;
•имя ISA-сервера или массива— если DNS не поддерживает
разрешение запросов WPAD.
9.Щелкните кнопку ОК.
10.В консоли DHCP щелкните правой кнопкой мыши Scope Options
или Server Options и выберите в контекстном меню команду Con
figure Options.
11.Пролистайте поле со списком Available Options (доступные пара
метры) и установите флажок напротив Option 252 WPAD.
12.Щелкните кнопку ОК.
Добавлено Занятие 2. Настройка подключений
ISA-сервера по телефонной линии
ISA-сервер позволяет воспользоваться преимуществами брандмауэра и сервера кэширования даже при отсутствии подключения к Интернету по выделенной линии: ISA-сервер часто применяют для защиты и совместного использования всеми компьютерами локальной сети единственного подключения по телефонной линии.
Изучив материал этого занятия, вы сможете:
s создать на ISA-сервере подключения по телефонной
линии; J обеспечить полноценные безопасные подключения
клиентов ISA-сервера к Интернету через подключение
ISA-сервера по телефонной линии; •S настроить на ISA-сервере вызов по требованию.
Продолжительность занятия — около 30 минут.
Настройка подключений по телефонной линии
Для настройки записей подключений по телефонной линии нужно создать в консоли ISA Management элементы политики подключений по телефонной линии. Впрочем, для совместного использования подключения ISA-сервера клиентами брандмауэра и Web-прокси эта процедура необязательна. Тем не менее, если предполагается совместное использование подключения по телефонной линии службами, не относящимися к Web, например РОРЗ или NNTP, на компьютерах, не являющихся клиентами брандмауэра, необходимо настроить подключения по телефонной линии и маршрутизацию запросов, выполняемых по этим подключениям. Таким образом, подключения по телефонной линии обеспечивают доступ в Интернет клиентам SecureNAT, не являющимся клиентами Web-прокси.
Кроме обеспечения доступа в Интернет, создание подключений по телефонной линии позволяет определять для клиентов SecureNAT правила и политики на уровне отдельных подключений, а также указывать порядок связи ISA-сервера по ним.
И, наконец, только подключения по телефонной линии обеспечивают вызов по требованию клиентов Web-прокси и брандмауэра.
Каждая запись подключения по телефонной линии содержит следующую информацию:
•имя записи, настроенной на сервере удаленного доступа на всех
серверах массива;
•имя пользователя и пароль для подключения к Интернет-провай
деру.
Подключения по телефонной линии создаются лишь на основе подключений, ранее настроенных на всех ISA-серверах массива. Подробнее о создании сетевых подключений — в справочной системе Windows 2000.
Вы вправе создать несколько записей подключения по телефонной линии, но активной может быть только одна из записей массива. Она используется при автоматическом подключении ISA-сервера к Интернету при обслуживании запроса клиента.
> Создание записи подключения по телефонной линии
1.Откройте консоль ISA Management.
2.В дереве консоли последовательно раскройте узлы Servers And
Arrays, MyArray и Policy Elements.
3.Щелкните правой кнопкой элемент Dial-up Entries и в контекст
ном меню последовательно выберите New и Dial-Up Entry. Откро
ется диалоговое окно New Dial-up Entry.
4.В текстовом поле Name введите имя записи подключения по теле
фонной линии.
5.(Не обязательно.) В поле Description введите описание подключе
ния по телефонной линии.
6.В поле Use the following network dial-up connection (использовать
следующее сетевое подключение по телефонной линии) введите
или выберите имя существующего сетевого подключения Win
dows 2000 по телефонной линии, затем щелкните кнопку Set Ac
count (настроить учетную запись).
7.В окне Set Account в поле User введите имя пользователя учетной
записи для подключения к Интернет-провайдеру.
8.В текстовых полях Password и Confirm password введите пароль
учетной записи.
9.Щелкните ОК. Произойдет возврат в диалоговое окно New Dial-up
Entry.
10.Снова щелкните ОК.
Перед конфигурированием записей подключений по телефонной линии следует учесть следующее:
•указываемое в записи сетевое подключение по телефонной линии
необходимо заранее настроить на каждом из входящих в массив
серверов;
•создаваемое подключение по телефонной линии становится ак
тивным и будет использоваться правилами маршрутизации при
построении цепочек брандмауэров;
•указываемые имя и пароль должны совпадать с именем и паро
лем, которые вводятся при настроенном вручную подключении.
При наличии нескольких записей подключения по телефонной линии активная запись выбирается следующим образом.
1.Откройте оснастку ISA Management.
2.В меню View отметьте команду Advanced.
3.В дереве консоли раскройте узел Policy Elements.
4.Щелкните элемент Dial-up Entries (записи подключений по теле
фонной линии).
5.В области сведений щелкните правой кнопкой запись, которую
нужно сделать активной, и выберите в контекстном меню Set as
Active Entry (сделать активной записью).
Необходимо учесть следующие особенности активной записи:
•активную запись невозможно удалить;
•при выборе активной записи отключаются все существующие под
ключения по телефонной линии, используемые ISA-сервером для
подключения.
Вызов по требованию
ISA-сервер можно настроить для автоматического подключения к Интернету по телефонной линии при выполнении простой маршрутизации и активного кэширования.
•Маршрутизация — если клиент запрашивает объект и маршрут к
объекту требует установки подключения по телефонной линии, а
политика доступа разрешает выполнение запроса, ISA-сервер под
ключается автоматически, используя активную запись.
•Активное кэширование — при включенном активном кэшировании
ISA-сервер сам дозванивается в Интернет и получает часто исполь
зуемую клиентами информацию.
Кроме того, ISA-сервер подключается к Интернету в тех случаях, когда не в состоянии точно определить, разрешает ли политика доступа выполнение клиентского запроса. Такая ситуация возникает, когда, к примеру в правилах политики доступа указано доменное имя, а клиент обратился по IP-адресу. Если правило маршрутизации тре-
Бует для выполнения запроса подключиться к Интернету, ISA-сервер устанавливает связь по телефонной линии и разрешает имя запрашиваемого компьютера, после чего проверяет, разрешено ли выполнение запроса правилами политики доступа.
Примечание На вызов по требованию настраиваются только клиенты Web-прокси и брандмауэра. Для подключения к Интернету клиентов SecureNAT необходима предварительная установка подключения по телефонной линии.
Конфигурирование вызова по требованию
ISA-сервер можно настроить на автоматическое подключение к Интернету по требованию, например при запросе объекта, отсутствующего в кэше.
> Настройка вызова по требованию
1.Создайте сетевое подключение по телефонной линии. Подробнее
о создании сетевых подключений — в справочной системе Win
dows 2000.
2.Создайте в консоли ISA Management запись подключения по те
лефонной линии.
3.Разрешите вызов по требованию для службы брандмауэра (о том,
как это сделать, рассказано чуть позже). Эта операция необходи
ма только для клиентов брандмауэра и не требуется для клиентов
Web-прокси.
4.Включите автоматическое подключение для маршрутизации (об
этом — ниже).
5.Убедитесь, что основной шлюз не настроен ни на одном внутрен
нем интерфейсе ISA-серверов массива.
»* Включение вызова по требованию для службы брандмауэра
1.В дереве консоли ISA Management щелкните правой кнопкой
мыши узел Network Configuration и выберите пункт меню Properties.
Откроется окно Network Configuration Properties (рис. 3-3).
2.На вкладке Firewall Chaining установите переключатель в положе
ние Use Primary Connection (использовать основное подключение).
3.Установите флажок Use dial-up entry (использовать подключение
по телефонной линии).
Окно свойств сети Network Configuration Properties
После настройки службы брандмауэра на использование записи подключения по телефонной линии при разрешении внешних запросов следует перейти к настройке службы брандмауэра на автоматическое подключение к Интернету по этой записи.
*• Включение вызова по требованию для маршрутизации
1.В дереве консоли ISA Management в папке Network Configuration
выделите элемент Routing.
2.В области сведений щелкните правой кнопкой мыши правило,
которое требуется настроить, и выберите в контекстном меню ко
манду Properties. Откроется окно свойств правила (рис. 3-4).
3.На вкладке Action установите переключатель Retrieving them directly
from the specified destination (получать объекты прямо из указанно
го места назначения).
4. На этой же вкладке установите флажок Use dial-up entry for primary route (использовать в качестве основного маршрута подключение по телефонной линии).
Настройка правила маршрутизации для автоматического подключения
Ограничение подключений ISA-сервера ко внешним узлам
Существует возможность ограничивать подключения ISA-сервера к Интернету и выполнять их, только когда это действительно необходимо. Для этого в таблицу LDT средствами оснастки ISA Management вносятся имена всех внутренних компьютеров. Клиенты по таблице LDT определяют, как выполнять разрешение имени — напрямую или через ISA-сервер. Наличие LDT предотвращает подключение ISA-сервера к внешним DNS-серверам только для того, чтобы установить, что запрашиваемый компьютер является внутренним. Клиенты брандмауэра поддерживают регулярно обновляемую локальную копию LDT. Следует иметь в виду, что LDT проверяется только при запросах клиентов брандмауэра.
Закрытие подключений
После подключения ISA-сервера в Интернет связь поддерживается, пока не происходит одно из следующих событий:
•активизируется другое подключение;
•активным назначается другое сетевое подключение по телефон
ной линии;
•отключается запись, используемая для построения цепочки бран
дмауэров;
•становится доступным основной маршрут (в случае, когда теку
щее подключение осуществляется по резервному маршруту);
•останавливается служба брандмауэра.
[
Добавлено Перезапуск служб после изменений в конфигурации
Если подключение к Интернету внезапно прервалось в момент использования клиентскими компьютерами, попробуйте перезапустить службы ISA-сервера: службу брандмауэра, Web-прокси или обе. Некоторые изменения в конфигурации ISA-сервера также требуют перезапуска одной или более служб ISA-сервера на всех серверах массива, в противном случае клиенты не смогут выполнять подключения. В случае таких изменений консоль ISA Management обычно (но не всегда, когда это нужно) открывает диалоговое окно, информирующее о необходимости перезапуска службы.
В таблице 3-6 перечислены изменения конфигурации, при которых необходим перезапуск служб.
Таблица 3-6. Изменения в конфигурации, при которых необходим
перезапуск служб ISA-сервера
Установка, удаление, включение, выключение фильтра приложения
Служба брандмауэра
Увеличение или уменьшение размера кэша, добавление или удаление диска из кэша
Служба брандмауэра
Изменения в LAT, влияющие на внутреннее или внешнее состояние сетевого адаптера
Служба брандмауэра, служба Web-прокси
Включение или выключение фильтрации пакетов
Служба брандмауэра
Включение или отключение сетевого адаптера
Изменение IP-адреса сетевого адаптера
Служба брандмауэра, служба Web-прокси
Изменения таблицы маршрутизации
Служба брандмауэра, служба Web-прокси
Установка, включение, отключение, удаление или изменение порядка Web-фильтров
Служба брандмауэра Служба Web-прокси
Изменение номеров портов Web-прокси
Служба Web-прокси
Изменение параметров службы брандмауэра в консоли ISA Management
Служба брандмауэра
Обновление сертификата SSL
Добавление сервера в массив, удаление сервера из массива
Служба Web-прокси
Изменения в сетевом интерфейсе привратника H.323 (Gatekeeper H.323)
Служба Gatekeeper H.323
Изменения в конфигурации сети, изменения в конфигурации цепочек брандмауэров
Служба брандмауэра
, imho.
подскажите где подкрутить?
