配置存储服务器(CSS)
在这次实验中,将通过对ISAServer2006企业版进行配置,来实现配置存储服务器(CSS)。
在这次实验中,使用了三台计算机,分别是Denver-Florence-Firenze
其中:
Florence(红色)和 Firenze(红色)运行 ISA Server 2004 Enterprise Edition。这两台计算机配备三个网卡,分别用于连接内部网络、外围网络和外部网络 (Internet)。Florence 和 Firenze 处于名为Florence的阵列中。只有 Florence 运行配置存储服务器 (CSS)。
Denver.contoso.com(绿色)是内部网络上 contoso.com 域的域控制器。Denver 上运行 DNS、证书颁发机构 (CA)。
By RickyFang:
这三台机器的网络配置分别是
Denver: ip为10.1.1.5 ;GW为10.1.1.1
Florence:内部IP:10.1.1.1;外围IP(用于配置存储通信):23.1.1.1;外部网部IP:39.1.1.1
Firenze: 内部IP:10.1.1.2;外围IP(用于配置存储通信):23.1.1.2;外部网部IP:39.1.1.2
1、 这次的实验操作共分为三大部分:
一、 在DENVER这台机器上安装CA服务
二、 在FLORENCE这台机器上安装配置存储服务器并申请和指定证书
三、 在FIRENZE这台机器上安装ISA2006使其成为FLORENCE阵列中的一员,并通过SSL与CSS(FLORENCE)通信
2、 这些实验中利用了C:\windows\system32\drivers\etc\hosts文件来代替了一些DNS的作用,例如用23..1.1.1 解析Florence等机器。如在Florence机器上的HOSTS文件内容如下:
"# ISA Server 2004 labs - Hosts file (Florence)
# This file must be in %windir%\System32\drivers\etc folder,
# this will replace the existing hosts file.
127.0.0.1 localhost
23.1.1.1 florence # CSS name/array-member - to intra-array network
23.1.1.2 firenze # array-member - to intra-array network"
3、 这次实验中,Florence(红色)和 Firenze(红色)的外围网络用于两者之间配置存储SSL验证通信,且由于位于工作组中采用了SSL的身份验证方式来验证ISA服务器(Florence(红色)和 Firenze(红色))与配置存储服务器(Florence)通信。
4、 其中Denver、Florence、Firenze这三台机器的系统环境为windows server 2003 sp1 。
5、 其中Florence、Firenze这两台机的ISA版本为ISA SERVER 2006。
6、 这些环境都是自己搭建的,偶建议你在做此实验前注意和了解以下事项:
A、 了解AD下的独立根证书(CA)的建置,以及客户端作为计算机角色、服务角色等不同的证书安装方法
B、 了解ADAM的安装和作用(安装在配置存储服务器量Florence机器上)
C、 了解在ISA环境中内部网络,外围网络,外部网络的概念。
D、 了解ISA 2006企业版默认安装是"使用域身份进行验证"的,这种安装是在AD环境中布署的,而此实验中,ISA 2006企业版位于工作组网络中,如果要使用"证书"服务来进行身份验证,要通修复安装进行更改为"工作组或没有信任关系域中部署"。
E、 必要的,你要了解整个网络拓朴,这很重要,因为它能清楚的表明各自的角色功能,实际上,有了网络拓朴,你就成功了一半了
OK,下面开始实验之旅,不过还请您要仔细看清楚,本文用了大量的图片和文字说明。以使各位能更详细、深入的了解如何配置ISA SERVER的存储服务器角色。
一、 在DENVER这台机器上安装CA服务
1、 在DENVER(windows server 2k3 AD)打开添加删除程序,添加组件对话框中找到证书服务,如下图,点选证书服务CA组件,进行安装。
##注意弹出的对话框的内容,提示你,安装CA后,无法改动计算机名和域成员身份!
2、 接下来按照提示,下一步操作便是。不说多。完成安装后,可记住访问CA证书服务器的IP地址: [url]http://10.1.1.5/certsrv[/url]
以下操作在Florence机器上操作:
1、 打开IE浏览器,在地址栏输入CA证书服务器网址为: [url]http://10.1.1.1/certsrv[/url] 。此动作将打开证书申请页面,选择"申请一个证书"单击后,在接下来的页面选择"高级证书申请"。
2、 在"高级证书申请"页面,填写如图中所示的内容以及选择如图中所示的选项。
3、 填写好内容后,提交,会出现一个"证书挂起"页面,注意此时证书服务器分配给FLORENCE的ID为此2.
4、 然后,在CA证书服务器DENVER上,打开"管理工具""证书颁发机构"对话框,找到"挂起的申请"项,在窗口的右侧,单击右键,找到"所有任务""颁发"。此时,将颁发给FLORENCE证书。
5、 在FLORENCE机器上,进行第一步的操作,这次改选"查看挂起的证书申请状态",并在接下来出现的" 查看挂起的证书申请状态"页面,点击"服务器验证证书",在出现的"证书已颁发"页面,安装证书。如下图:
证书安装后,还重复第一步的操作,改选"下载一个CA证书,证书链或CRL",以把证书下载并默认保存在c:\cernew.cer。
6、 接下来将进行导出服务器证书的操作,并保存在c:\isaflorence.pfx。操作如以下几图所示,不再详述,各位参考做吧。注意哟,在导出时,会提示你输入密码的,并且要记住这个密码,下面在安装ISA2006时要用到的。
注意理解此时导出的管理证书的账户类型为:"计算机账户",而在接下来的操作中是为"服务账户"。
7、 现在在FLORENCE服务器上进行ISA SERVER 2006企业版的安装了,由于此次实验中选择了FLORENCE这台服务器做为存储服务器,故而在安装时,选择"同时安装ISA SERVER服务和配置存储服务器"角色进行安装。安装过程是点"下一步"过程,各位看截图便是。
安装完之后,便要进行为此"配置存储服务器(css)"指定证书啦,注意理解这一句话:"了解ISA 2006企业版默认安装是"使用域身份进行验证"的,这种安装是在AD环境中布署的,而此实验中,ISA 2006企业版位于工作组网络中,如果要使用"证书"服务来进行身份验证,要通修复安装进行更改为"工作组或没有信任关系域中部署"。"
OK,下面就继续开始安装ISA 2006,在出现如下图界面后,就要选择"修复"选项啦,不然就没法改变身份验证方式了。
点下一步,在"企业布署环境"界面,选择"在工作组或在不带信任关系的域中布署"。并在"服务器证书"方框选择之前导出的证书,以及之前建立的密码。如下几图,直至完成修复安装操作。
8、 打开证书的MMC管理控制台,并在弹出的窗口中选择"服务账户",下一步,默认,下一步,选择ISASCTCTRL,完成。找到ADAM_ISASTGCTRL\个人,右键单击并导入服务器证书,(c:\isaflorence.pfx)。
9、 在FLORENCE这台服务器上继续以下的操作,要说明的是,这些操作的目的是为了创建一个名为NLB的网络,使他们能通过23.1.1.1-23.1.1.2相互通信(CSS),然后在未配置第二台ISA服务器FIRENZE之前,把FIRENZE加入阵列并成为阵列FLORENCE的成员之一,详细操作见截图操作便可。
以下操作在FIRENZE机器上进行操作
1、在服务器FIRENZE的机器上进行"证书申请",操作步骤类同于在FLORENCE机器上"证书申请",不作详述。(期间,要在DENVER证书服务器上为FIRENZE颁发证书)
2、 在FIRENZE机器上找到c:\windows\system32\drivers\etc\hosts,写入以下内容(同样的操作在FLORENCE机器上已进行,写入的内容亦相同):
3、 在FIRENZE机器上安装ISA SERVER 2006企业版,在选择安装方案时,选择第一项"安装ISA服务器服务"。并在接下来的"配置存储服务器(输入FQDN)"中输入FLORENCE。
4、 下一步,如图,在"阵员成员身份"页面,选择"加入现有阵列",下一步,在"输入阵列名称"项输入FLORENCE。
5、 接下来的操作和在FLORENCE上的有类似之处,这里也不详述。看截图便可:
6、 下面两图从不同的方面来说明,此次实验是成功完成了。
在这次实验中,将通过对ISAServer2006企业版进行配置,来实现配置存储服务器(CSS)。
在这次实验中,使用了三台计算机,分别是Denver-Florence-Firenze
其中:
Florence(红色)和 Firenze(红色)运行 ISA Server 2004 Enterprise Edition。这两台计算机配备三个网卡,分别用于连接内部网络、外围网络和外部网络 (Internet)。Florence 和 Firenze 处于名为Florence的阵列中。只有 Florence 运行配置存储服务器 (CSS)。
Denver.contoso.com(绿色)是内部网络上 contoso.com 域的域控制器。Denver 上运行 DNS、证书颁发机构 (CA)。
By RickyFang:
这三台机器的网络配置分别是
Denver: ip为10.1.1.5 ;GW为10.1.1.1
Florence:内部IP:10.1.1.1;外围IP(用于配置存储通信):23.1.1.1;外部网部IP:39.1.1.1
Firenze: 内部IP:10.1.1.2;外围IP(用于配置存储通信):23.1.1.2;外部网部IP:39.1.1.2
1、 这次的实验操作共分为三大部分:
一、 在DENVER这台机器上安装CA服务
二、 在FLORENCE这台机器上安装配置存储服务器并申请和指定证书
三、 在FIRENZE这台机器上安装ISA2006使其成为FLORENCE阵列中的一员,并通过SSL与CSS(FLORENCE)通信
2、 这些实验中利用了C:\windows\system32\drivers\etc\hosts文件来代替了一些DNS的作用,例如用23..1.1.1 解析Florence等机器。如在Florence机器上的HOSTS文件内容如下:
"# ISA Server 2004 labs - Hosts file (Florence)
# This file must be in %windir%\System32\drivers\etc folder,
# this will replace the existing hosts file.
127.0.0.1 localhost
23.1.1.1 florence # CSS name/array-member - to intra-array network
23.1.1.2 firenze # array-member - to intra-array network"
3、 这次实验中,Florence(红色)和 Firenze(红色)的外围网络用于两者之间配置存储SSL验证通信,且由于位于工作组中采用了SSL的身份验证方式来验证ISA服务器(Florence(红色)和 Firenze(红色))与配置存储服务器(Florence)通信。
4、 其中Denver、Florence、Firenze这三台机器的系统环境为windows server 2003 sp1 。
5、 其中Florence、Firenze这两台机的ISA版本为ISA SERVER 2006。
6、 这些环境都是自己搭建的,偶建议你在做此实验前注意和了解以下事项:
A、 了解AD下的独立根证书(CA)的建置,以及客户端作为计算机角色、服务角色等不同的证书安装方法
B、 了解ADAM的安装和作用(安装在配置存储服务器量Florence机器上)
C、 了解在ISA环境中内部网络,外围网络,外部网络的概念。
D、 了解ISA 2006企业版默认安装是"使用域身份进行验证"的,这种安装是在AD环境中布署的,而此实验中,ISA 2006企业版位于工作组网络中,如果要使用"证书"服务来进行身份验证,要通修复安装进行更改为"工作组或没有信任关系域中部署"。
E、 必要的,你要了解整个网络拓朴,这很重要,因为它能清楚的表明各自的角色功能,实际上,有了网络拓朴,你就成功了一半了
OK,下面开始实验之旅,不过还请您要仔细看清楚,本文用了大量的图片和文字说明。以使各位能更详细、深入的了解如何配置ISA SERVER的存储服务器角色。
一、 在DENVER这台机器上安装CA服务
1、 在DENVER(windows server 2k3 AD)打开添加删除程序,添加组件对话框中找到证书服务,如下图,点选证书服务CA组件,进行安装。
##注意弹出的对话框的内容,提示你,安装CA后,无法改动计算机名和域成员身份!
2、 接下来按照提示,下一步操作便是。不说多。完成安装后,可记住访问CA证书服务器的IP地址: [url]http://10.1.1.5/certsrv[/url]
以下操作在Florence机器上操作:
1、 打开IE浏览器,在地址栏输入CA证书服务器网址为: [url]http://10.1.1.1/certsrv[/url] 。此动作将打开证书申请页面,选择"申请一个证书"单击后,在接下来的页面选择"高级证书申请"。
2、 在"高级证书申请"页面,填写如图中所示的内容以及选择如图中所示的选项。
3、 填写好内容后,提交,会出现一个"证书挂起"页面,注意此时证书服务器分配给FLORENCE的ID为此2.
4、 然后,在CA证书服务器DENVER上,打开"管理工具""证书颁发机构"对话框,找到"挂起的申请"项,在窗口的右侧,单击右键,找到"所有任务""颁发"。此时,将颁发给FLORENCE证书。
5、 在FLORENCE机器上,进行第一步的操作,这次改选"查看挂起的证书申请状态",并在接下来出现的" 查看挂起的证书申请状态"页面,点击"服务器验证证书",在出现的"证书已颁发"页面,安装证书。如下图:
证书安装后,还重复第一步的操作,改选"下载一个CA证书,证书链或CRL",以把证书下载并默认保存在c:\cernew.cer。
6、 接下来将进行导出服务器证书的操作,并保存在c:\isaflorence.pfx。操作如以下几图所示,不再详述,各位参考做吧。注意哟,在导出时,会提示你输入密码的,并且要记住这个密码,下面在安装ISA2006时要用到的。
注意理解此时导出的管理证书的账户类型为:"计算机账户",而在接下来的操作中是为"服务账户"。
7、 现在在FLORENCE服务器上进行ISA SERVER 2006企业版的安装了,由于此次实验中选择了FLORENCE这台服务器做为存储服务器,故而在安装时,选择"同时安装ISA SERVER服务和配置存储服务器"角色进行安装。安装过程是点"下一步"过程,各位看截图便是。
安装完之后,便要进行为此"配置存储服务器(css)"指定证书啦,注意理解这一句话:"了解ISA 2006企业版默认安装是"使用域身份进行验证"的,这种安装是在AD环境中布署的,而此实验中,ISA 2006企业版位于工作组网络中,如果要使用"证书"服务来进行身份验证,要通修复安装进行更改为"工作组或没有信任关系域中部署"。"
OK,下面就继续开始安装ISA 2006,在出现如下图界面后,就要选择"修复"选项啦,不然就没法改变身份验证方式了。
点下一步,在"企业布署环境"界面,选择"在工作组或在不带信任关系的域中布署"。并在"服务器证书"方框选择之前导出的证书,以及之前建立的密码。如下几图,直至完成修复安装操作。
8、 打开证书的MMC管理控制台,并在弹出的窗口中选择"服务账户",下一步,默认,下一步,选择ISASCTCTRL,完成。找到ADAM_ISASTGCTRL\个人,右键单击并导入服务器证书,(c:\isaflorence.pfx)。
9、 在FLORENCE这台服务器上继续以下的操作,要说明的是,这些操作的目的是为了创建一个名为NLB的网络,使他们能通过23.1.1.1-23.1.1.2相互通信(CSS),然后在未配置第二台ISA服务器FIRENZE之前,把FIRENZE加入阵列并成为阵列FLORENCE的成员之一,详细操作见截图操作便可。
以下操作在FIRENZE机器上进行操作
1、在服务器FIRENZE的机器上进行"证书申请",操作步骤类同于在FLORENCE机器上"证书申请",不作详述。(期间,要在DENVER证书服务器上为FIRENZE颁发证书)
2、 在FIRENZE机器上找到c:\windows\system32\drivers\etc\hosts,写入以下内容(同样的操作在FLORENCE机器上已进行,写入的内容亦相同):
3、 在FIRENZE机器上安装ISA SERVER 2006企业版,在选择安装方案时,选择第一项"安装ISA服务器服务"。并在接下来的"配置存储服务器(输入FQDN)"中输入FLORENCE。
4、 下一步,如图,在"阵员成员身份"页面,选择"加入现有阵列",下一步,在"输入阵列名称"项输入FLORENCE。
5、 接下来的操作和在FLORENCE上的有类似之处,这里也不详述。看截图便可:
6、 下面两图从不同的方面来说明,此次实验是成功完成了。
接下来就可以出站访问的负载均衡和入站访问(服务在发布)的负载均衡访问了,请看偶的相关贴子,不过,其他的是通过ISA2004来实现的。
本文转自 rickyfang 51CTO博客,原文链接:http://blog.51cto.com/rickyfang/127066,如需转载请自行联系原作者
