新增特性: BITS缓存支持 HTTP压缩支持 基于DifferServ协议的数据包QoS支持(HTTP DiffServ) 修改的特性: CARP Web代理的直接访问 身份验证安全性 跟踪机制 修复了32个问题(KB903676)
DiffServ协议简介: DiffServ(差异服务)协议: 新兴的QoS标准协议 将IP数据包头中的服务类型(TOS)字段改名为DS字段,并用于承载数据包优先级信息 数据包优先级通过DS字段中定义的DiffServ代码点(DSCP)类型指出 支持DiffServ协议的路由器根据DSCP类型的不同来决定转发数据包时的蓫跳行为(PHB) 标准蓫跳行为类型: Expedited Forwarding: 加速转发,具有最高的优先级 DSCP: 101110 Assured Forwarding: 保证转发,提供不同级别的转发特性 四类,每类三个子类 DSCP: 共计12种类型 Best Effort: 尽力而为,默认DSCP,无优先级。DSCP: 000000
ISA防火墙中的HTTP DiffServ: 仅支持对基于HTTP/HTTPS协议的IP数据包进行处理: 不支持对基于其他协议的IP数据包进行处理 并且ISA防火墙可能会删除其他协议IP数据包中的现有DiffServ代码点类型。 默认情况下并未启用HTTP DiffServ支持特性,如需启用,你必须同时配置: 数据包优先级级别(DiffServ代码点类型) 针对的URL(HTTP)或域名(HTTPS) 启用HTTP DiffServ的网络。 ISA防火墙只是在转发IP数据包时,修改了匹配DiffServ规则设置的IP数据包的DiffServ代码点类型,并不会对数据包执行其他任何QoS操作: 对IP数据包的具体QoS操作依赖于ISA防火墙将IP数据包转发到的路由器
标准DiffServ代码点类型: PHB类 PHB子类 DiffServ代码点
EF 无 101110
AF4 AF43 100110
AF42 100100
AF41 100010
AF3 AF33 011110
AF32 011100
AF31 011010
AF2 AF23 010110
AF22 010100
AF21 010010
AF1 AF13 001110
AF12 001100
AF11 001010
BE 无 000000
修改的特性: CARP SP2前的CARP: ISA防火墙基于请求URL地址的哈希路由算法来决定处理请求的阵列服务器:
www.isacn.org/info1/
*-> ISA 1
www.isacn.org/info2/
* -> ISA 2 当客户访问位于CARP例外中的Web站点时,ISA防火墙基于客户请求的主机名头来决定处理此请求的阵列服务器: 所有针对此Web站点的客户请求都将通过某个固定的阵列服务器进行处理 Web代理的直接访问: SP2前的Web代理的直接访问: 当客户发起的访问请求匹配两个条件中的任何一个时,客户越过ISA防火墙的Web代理直接进行访问: 客户请求访问的服务器名匹配直接访问的服务器名或域名 客户请求访问的目的IP地址匹配直接访问的IP地址范围 SP2对Web代理直接访问的修改: 如果直接访问的服务器或域列表中不含有IP地址,则客户的直接访问行为保持不变。如果直接访问的服务器或域列表中包含有IP地址,那么只有当客户发起的请求同时匹配两个条件时,才会越过代理直接进行访问: 客户请求访问的服务器名匹配直接访问的服务器名或域名 客户请求访问的目的IP地址匹配直接访问的IP地址范围 因此,如果你在直接访问的服务器或域列表中加入了IP地址,那么应加入所有需要直接访问的IP地址,否则客户不会进行直接访问。身份验证安全性: SP2前的身份验证安全性: 当使用HTTP to HTTP桥接时,支持将Web侦听器的身份验证方式配置为: 基本身份验证 OWA RADIUS验证 导致身份验证信息使用明文在网络上传送,降低了网络安全性 SP2中对身份验证安全性的修改: 当使用HTTP to HTTP桥接时,不再支持将Web侦听器的身份验证方式配置为以上三种身份验证方式 强制要求在使用SSL后才能使用以上三种身份验证方式 相关错误信息: 基本身份验证 ->403 Forbidden.The page must be viewed over a secure channel(Secure Sockets Layer(SSL)).Contact the server administrator.(12211) RADIUS/OWA ->500 Internal Server Error.An internal error occurred.(1359) 跟踪机制: SP2中包含了一个后台运行的调试级别为错误的跟踪机制: 基本上不会对ISA Server的性能造成任何影响 不会搜集任何个人信息 默认文件大小为400M: %windir%\debug\isalog.bin 配置跟踪机制: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ISATrace: BootTracing=0 禁用跟踪机制 CircularlLogSizeMB 配置文件大小
SP2相关问题: 主要集中在HTTP压缩方面: ISA防火墙并未请求压缩响应,但是服务器却返回了压缩的响应: 警告: ISA服务器无法从%url%处理响应正文。尽管ISA服务器未请求压缩,但服务器却提供了压缩响应。该响应已被丢弃。ISA防火墙请求压缩响应,但是返回的压缩响应使用了不兼容的压缩方式: ISA防火墙只支持GZIP压缩方式 警告: ISA服务器无法从%url%处理响应正文,因为该响应是用ISA服务器不支持的%mode%方法压缩的。因此,该响应被丢弃。当服务器忽略来自ISA服务器的针对GZIP压缩的请求,转而使用%mode%压缩响应时,将会发生这种情况。解决方案(避免HTTP压缩): 配置ISA防火墙对此Web服务器不请求压缩响应 新建一个TCP出站80端口的协议,允许客户使用此协议访问相应的Web服务器 禁用HTTP压缩筛选器和压缩内容缓存筛选器 配置客户使用HTTP 1.0
本文转自 叶俊生 51CTO博客,原文链接:http://blog.51cto.com/yejunsheng/161002
