如需转载,请经我充许后方可。By RickyFang/下里巴人
不断有朋友来探讨在企业网络环境中,当使用ISA企业版做负载均衡时是否需要使用SSL来验证阵列成员与CSS之间的信任关系?针对此问题的解决方案并不是唯一的,要视企业网络环境,或者说要视ISA阵列成员与企业网络环境的关系而定。
在企业中主要分为两种,一是存在域的环境,一是无域仅有工作组的环境。
而在存在域的环境中又可以分为ISA是域成员和非域成员(两台或多台ISA是工作组关系)。在这篇文章中,暂时的,把有域环境但ISA非域成员列为“无域仅有工作组的环境”场景,而统一写出解决的方案。
在“在ISA 2006企业版环境下配置存储服务器(CSS)”一文中介绍的便是ISA机器是工作组关系时的CSS配置情况。其中“了解ISA 2006企业版默认安装是"使用域身份进行验证"的,这种安装是在AD环境中布署的,而此实验中,ISA 2006企业版位于工作组网络中,如果要使用"证书"服务来进行身份验证,要通修复安装进行更改为"工作组或没有信任关系域中部署"。”这样的一句话,很明确的说明了阵列成员与CSS之间如何验证信任关系。也就是说当ISA机器是工作组关系时请使用“证书”(SSL)来验证彼此的信任关系。而在ISA机器是域成员的场景中,依据默认的使用“域身份进行验证”便可以。
接下来的实验场景,就是ISA阵列成员是域成员角色时的安装部署。
实验拓朴及各机器角色说明如下:
beijing:
windows server 2003 with sp2
smstest.com域控制器
ip:192.168.3.1
gw:空
dns:192.168.3.1
GuangZhou:
windows server 2003 with sp2 + isa server 2006 EE +三张网卡
smstest.com域成员
nei网卡 ip:192.168.3.3
netmask:255.255.255.0
gw:空
dns:192.168.3.1
心跳网卡 ip:23.1.1.1
netmask:255.255.255.0
wai网卡 :192.168.1.101
netmask:255.255.255.0
gw:192.168.1.1
dns:空
ShangHai:
windows server 2003 with sp2 + isa server 2006 EE +三张网卡
smstest.com域成员
nei网卡 ip:192.168.3.6
netmask:255.255.255.0
gw:空
dns:192.168.3.1
心跳网卡 ip:23.1.1.2
netmask:255.255.255.0
wai网卡 :192.168.1.102
netmask:255.255.255.0
gw:192.168.1.1
dns:空
在图中,GuangZhou和Shanghai这两台机器都是域成员身份,并且登陆时以管理员登陆,请注意以什么身份登陆机器很重要。关系到其后的身份验证。
同时,GuangZhou这台机器不便是ISA服务器还担当CSS角色。而ShangHai这台机器加入到GuangZhou阵列中。
GuangZhou和Shanghai这两台机器均有三张网卡,分别连接内部网络nei、NLB心跳线css、外部网络wai。严格来说,wai网卡所连的网络是由我家的ADSL拨号后通过一华为的防火墙设备NAT后的内部IP。此场景中,把此定义为外部网络。(实际生产环境中,可以看做是一个背靠背防火墙模式,且ISA机器和华为防火墙之间可以定义为DMZ区域)
以下操作在GuangZhou这台机器上进行:
一、安装ISA CSS及ISA服务器角色
1、把ISA 2006企业版光盘放置光驱中,并启动安装程序。
2、在“安装方案”界面,选择“同时安装ISA SERVER服务和配置存储服务器”选项,并按“下一步”。如此之后,GuangZhou这台机器就身兼两职了,不但是ISA阵列成员而且也是CSS。也就是说对ISA进行的操作尤其是企业策略方面的均可以在此上完成。
3、在“组件选择”界面,可以看到CSS及ISA服务器角色均有被选择上,由于是在VPC中实验,只有一个C盘,故保留此界面的默认设置,按“下一步”。
4、在“企业安装选项”界面,勾选“创建新ISA服务器企业”,注意这种设置是在CSS角色服务器进行,且建议最好只建立一个企业,否则将不利于集中管理所有阵列中的计算机的。按“下一步”。
5、在“内部网络”界面,按右侧“添加”,在弹出的对话框“地址”界面,按右侧的“添加适配器”,在弹出的对话框“选择网络适配器”界面中,选择“nei”。并多次确定。在GuangZhou和ShangHai这两台机器上,前面提到有三张网卡,分别标识为nei、css、wai。根据拓朴图和字意相信你明白它们三者的功能了。
6、在此省去了几步,基本上都是直接按“下一步”。此文很多处均会如此操作,把一些不需要做出选择的图示说明给省去,请读者注意。
7、等待几分钟后,安装完成。如下图所示,打开ISA控制台可以看到新建了名为GuangZhou的阵列,按右侧面板“配置阵列属性”,在弹出的“属性”界面,选择“阵列内凭据”你可以看到默认的阵列内成员通讯方式为使用计算机账号进行身份验证,这也是ISA机器做为域成员的默认选项。如果是工作组关系,就必需要改为绿色部分的选项了。在另一文中有详述,此处略过。
以下步骤在ShangHai这台机器上进行操作:
二、安装ISA服务器并加入现有阵列Guangzhou
1、把ISA 2006企业版光盘放置光驱中,并启动安装程序。
2、在“安装方案”界面,勾选“安装ISA服务器服务”,前面已提到,这台机器的角色就是阵列中的一成员,配置存储信息位于另外一台同样是域成员的Guangzhou这台机器上。并按“下一步”。
3、在“组件选择”界面,可以看到“配置存储服务器”并没有被选择在此机器安装。保留默认设置,按“下一步”。
4、在“查找配置存储服务器”界面,勾选“使用登录用户的凭证”,(前文交待过,这两台机器是使用域管理员账号登陆,如果不是使用管理员登陆,请选择“使用下列账户连接”,并输入域管理员账户名和密码。)并按左侧“浏览”,在弹出的“选择计算机界面”输入Guangzhou,并按“检查名称”。当Guangzhou出现下划线时,说明查找成功。当然,你也可以通过高级来查找到Guangzhou这台装有CSS的ISA机器的。确定后,可以看到在“配置存储服务器”空白栏,出现了“GUANGZHOU.smstest.com”,按下一步。
5、在“阵列成员身份”界面,由于之前已经创建了阵列Guangzhou,此处,勾选“加入现有阵列”选项。按“下一步”。
6、在“加入现有阵列”界面,按右侧的“浏览”。并在弹出的窗口中选择“Gangzhou”。确定,并“下一步”。
6、在“配置存储服务器身份验证选项”,勾选“windows身份验证”。请各位仔细阅读下面的说明。呵呵,很好的解释了域成员和工作组环境下的验证区别。按“下一步”。直接安装结束。
7、OK,至此ISA SERVER安装基本结束。打开ISA控制面板,鼠标指向“服务器”选项。可以看到右侧面板的成员。
8、转回到Guangzhou这台机器上,一段时间后,会在ISA控制面板的“监视”右侧面板中看到“配置状态”已同步。说明阵列在正常运行中。CSS也正常工作。
不断有朋友来探讨在企业网络环境中,当使用ISA企业版做负载均衡时是否需要使用SSL来验证阵列成员与CSS之间的信任关系?针对此问题的解决方案并不是唯一的,要视企业网络环境,或者说要视ISA阵列成员与企业网络环境的关系而定。
在企业中主要分为两种,一是存在域的环境,一是无域仅有工作组的环境。
而在存在域的环境中又可以分为ISA是域成员和非域成员(两台或多台ISA是工作组关系)。在这篇文章中,暂时的,把有域环境但ISA非域成员列为“无域仅有工作组的环境”场景,而统一写出解决的方案。
在“在ISA 2006企业版环境下配置存储服务器(CSS)”一文中介绍的便是ISA机器是工作组关系时的CSS配置情况。其中“了解ISA 2006企业版默认安装是"使用域身份进行验证"的,这种安装是在AD环境中布署的,而此实验中,ISA 2006企业版位于工作组网络中,如果要使用"证书"服务来进行身份验证,要通修复安装进行更改为"工作组或没有信任关系域中部署"。”这样的一句话,很明确的说明了阵列成员与CSS之间如何验证信任关系。也就是说当ISA机器是工作组关系时请使用“证书”(SSL)来验证彼此的信任关系。而在ISA机器是域成员的场景中,依据默认的使用“域身份进行验证”便可以。
接下来的实验场景,就是ISA阵列成员是域成员角色时的安装部署。
实验拓朴及各机器角色说明如下:
beijing:
windows server 2003 with sp2
smstest.com域控制器
ip:192.168.3.1
gw:空
dns:192.168.3.1
GuangZhou:
windows server 2003 with sp2 + isa server 2006 EE +三张网卡
smstest.com域成员
nei网卡 ip:192.168.3.3
netmask:255.255.255.0
gw:空
dns:192.168.3.1
心跳网卡 ip:23.1.1.1
netmask:255.255.255.0
wai网卡 :192.168.1.101
netmask:255.255.255.0
gw:192.168.1.1
dns:空
ShangHai:
windows server 2003 with sp2 + isa server 2006 EE +三张网卡
smstest.com域成员
nei网卡 ip:192.168.3.6
netmask:255.255.255.0
gw:空
dns:192.168.3.1
心跳网卡 ip:23.1.1.2
netmask:255.255.255.0
wai网卡 :192.168.1.102
netmask:255.255.255.0
gw:192.168.1.1
dns:空
在图中,GuangZhou和Shanghai这两台机器都是域成员身份,并且登陆时以管理员登陆,请注意以什么身份登陆机器很重要。关系到其后的身份验证。
同时,GuangZhou这台机器不便是ISA服务器还担当CSS角色。而ShangHai这台机器加入到GuangZhou阵列中。
GuangZhou和Shanghai这两台机器均有三张网卡,分别连接内部网络nei、NLB心跳线css、外部网络wai。严格来说,wai网卡所连的网络是由我家的ADSL拨号后通过一华为的防火墙设备NAT后的内部IP。此场景中,把此定义为外部网络。(实际生产环境中,可以看做是一个背靠背防火墙模式,且ISA机器和华为防火墙之间可以定义为DMZ区域)
以下操作在GuangZhou这台机器上进行:
一、安装ISA CSS及ISA服务器角色
1、把ISA 2006企业版光盘放置光驱中,并启动安装程序。
2、在“安装方案”界面,选择“同时安装ISA SERVER服务和配置存储服务器”选项,并按“下一步”。如此之后,GuangZhou这台机器就身兼两职了,不但是ISA阵列成员而且也是CSS。也就是说对ISA进行的操作尤其是企业策略方面的均可以在此上完成。
3、在“组件选择”界面,可以看到CSS及ISA服务器角色均有被选择上,由于是在VPC中实验,只有一个C盘,故保留此界面的默认设置,按“下一步”。
4、在“企业安装选项”界面,勾选“创建新ISA服务器企业”,注意这种设置是在CSS角色服务器进行,且建议最好只建立一个企业,否则将不利于集中管理所有阵列中的计算机的。按“下一步”。
5、在“内部网络”界面,按右侧“添加”,在弹出的对话框“地址”界面,按右侧的“添加适配器”,在弹出的对话框“选择网络适配器”界面中,选择“nei”。并多次确定。在GuangZhou和ShangHai这两台机器上,前面提到有三张网卡,分别标识为nei、css、wai。根据拓朴图和字意相信你明白它们三者的功能了。
6、在此省去了几步,基本上都是直接按“下一步”。此文很多处均会如此操作,把一些不需要做出选择的图示说明给省去,请读者注意。
7、等待几分钟后,安装完成。如下图所示,打开ISA控制台可以看到新建了名为GuangZhou的阵列,按右侧面板“配置阵列属性”,在弹出的“属性”界面,选择“阵列内凭据”你可以看到默认的阵列内成员通讯方式为使用计算机账号进行身份验证,这也是ISA机器做为域成员的默认选项。如果是工作组关系,就必需要改为绿色部分的选项了。在另一文中有详述,此处略过。
以下步骤在ShangHai这台机器上进行操作:
二、安装ISA服务器并加入现有阵列Guangzhou
1、把ISA 2006企业版光盘放置光驱中,并启动安装程序。
2、在“安装方案”界面,勾选“安装ISA服务器服务”,前面已提到,这台机器的角色就是阵列中的一成员,配置存储信息位于另外一台同样是域成员的Guangzhou这台机器上。并按“下一步”。
3、在“组件选择”界面,可以看到“配置存储服务器”并没有被选择在此机器安装。保留默认设置,按“下一步”。
4、在“查找配置存储服务器”界面,勾选“使用登录用户的凭证”,(前文交待过,这两台机器是使用域管理员账号登陆,如果不是使用管理员登陆,请选择“使用下列账户连接”,并输入域管理员账户名和密码。)并按左侧“浏览”,在弹出的“选择计算机界面”输入Guangzhou,并按“检查名称”。当Guangzhou出现下划线时,说明查找成功。当然,你也可以通过高级来查找到Guangzhou这台装有CSS的ISA机器的。确定后,可以看到在“配置存储服务器”空白栏,出现了“GUANGZHOU.smstest.com”,按下一步。
5、在“阵列成员身份”界面,由于之前已经创建了阵列Guangzhou,此处,勾选“加入现有阵列”选项。按“下一步”。
6、在“加入现有阵列”界面,按右侧的“浏览”。并在弹出的窗口中选择“Gangzhou”。确定,并“下一步”。
6、在“配置存储服务器身份验证选项”,勾选“windows身份验证”。请各位仔细阅读下面的说明。呵呵,很好的解释了域成员和工作组环境下的验证区别。按“下一步”。直接安装结束。
7、OK,至此ISA SERVER安装基本结束。打开ISA控制面板,鼠标指向“服务器”选项。可以看到右侧面板的成员。
8、转回到Guangzhou这台机器上,一段时间后,会在ISA控制面板的“监视”右侧面板中看到“配置状态”已同步。说明阵列在正常运行中。CSS也正常工作。
本文转自 rickyfang 51CTO博客,原文链接:http://blog.51cto.com/rickyfang/125188,如需转载请自行联系原作者