ISA Server 2004企业版Beta安装指南

ISA Server 2004企业版Beta安装指南 　 和ISA Server 2004版相比，企业版对安装计算机的硬件要求基本一致，唯一的区别在于ISA Server服务和配置存储服务器必须安装在Windows Server 2003之上。另外，微软推荐你保留4G的硬盘空间作为日志存储。 由于在企业版中采用了配置与服务的分离，配置服务器采用活动目录应用程序模式（ADAM）进行存储，ISA Server服务计算机与配置存储服务器之间的访问默认采用集成身份验证，并且相互之间的数据通信均采用加密，所以强烈推荐你在域环境中配置ISA Server企业版；并且在域环境中配置企业版非常简单，只需要将需要安装服务的计算机都加入到域中，安装时使用域管理员身份登录就可以很轻松的完成。 对于在工作组环境或在ISA Server服务与配置存储服务器之间不存在信任关系的网络环境的安装，这就不是那么容易了。首先你需要在安装配置存储服务器的计算机上安装服务器验证证书，然后在安装配置存储服务器时选择使用此证书，最后在安装ISA Server服务时，选择信任颁发配置存储服务器所使用的服务器验证证书的CA。这样两者之间才能正常进行通信。最后还需要在运行ISA Server服务的本地计算机上建立一个相同的用户账户，然后配置阵列使用此用户进行阵列内部的通信。 如果在安装时选择同时安装配置存储服务器及ISA Server服务，会自动建立一个以安装计算机名为名字的阵列并将此计算机上的ISA Server服务加入到此阵列中，此时在配置存储服务器和ISA Server服务之间是使用集成身份验证进行通信。如果是想让其他工作组环境下的ISA Server服务加入到此阵列中，需要修改配置存储服务器的验证方式。但是经过试验，因为此时已经在此配置存储服务器上建立了使用集成身份验证的阵列，不允许你再修改配置存储服务器的验证方式，因此无法在阵列中加入ISA Server服务。所以，对于想加入阵列的工作组环境下的多台ISA Server服务计算机，应按照先安装配置存储服务器、然后安装ISA Server服务的方式进行。 在这篇文章中，我给大家介绍如何在工作组环境下安装并配置ISA Server 2004企业版，域环境下的配置基本一样。 下图是我的试验网络拓朴结构，我将在Florence上安装配置存储服务器，然后在Florence和Istanbul上安装ISA Server服务。在进行安装之前，已经在Istanbul上安装了独立CA，用于颁发证书。安装ISA Server服务的计算机上需要建立一个完全相同的用户账户，用于阵列内的通信。在此，我使用本地管理员administrator账户，每台安装服务的计算机上都使用此账号登录进行安装，并且，最后我们配置阵列使用此账号进行通信。在安装之前，已经确认了网络间的连通性及相关服务运行正常。 此次试验不涉及DNS，各台服务器的DNS服务器设置为空，各服务器的TCP/IP设置如下： Florence Internal： · IP：192.168.0.1/24 · DG：None External： · IP：61.139.0.1/24 · DG：61.139.0.1 Istanbul Internal： · IP：192.168.0.8/24 · DG：None External： · IP：61.139.0.8/24 · DG：None 　 我们按照以下步骤进行试验： · 为安装配置存储服务器的Florence申请服务器验证证书； · 在Florence上导出证书； · 在Florence上安装配置存储服务器； · 在Florence上安装ISA Server服务； · 在Istanbul上安装ISA Server服务； · 配置阵列内部通信使用的用户账户； · 验证阵列的操作。 1、为安装配置存储服务器的Florence申请服务器验证证书 在Florence上以administrator用户登录，打开浏览器，输入地址http://192.168.0.8/certsrv/，如下图所示， 点击Request a certificate，然后点击advanced certificate request，再点击Create and submit a request to this CA.，在Advanced certificate request页，名字栏输入计算机名Florence，然后在需要的证书类型选择Server Authentication Certificate， 然后勾选Mark keys as exportable和Store certificate in the local computer certificate store，点击Submit； 然后在提示证书申请挂起的Web页面，关闭浏览器。 然后回到独立CA计算机Istanbul上，在管理工具中打开证书颁发机构，点击挂起的请求，然后在右边的挂起证书请求上点击右键，然后点击颁发， 此时再回到Florence上，再次在浏览器输入地址http://192.168.0.8/certsrv/，然后点击View the status of a pending certificate request，在选择查看证书页，点击此服务器验证证书， 然后点击Install this certificate，然后按照提示安装此证书。 又回到地址http://192.168.0.8/certsrv/，点击Download a CA certificate, certificate chain, or CRL，然后点击Download CA certificate， 在文件下载对话框中，点击保存，在此我另存为桌面上的certnew.cer文件。 双击此证书文件，在弹出的证书对话框，点击安装证书， 然后在欢迎使用证书导入向导页，点击下一步；在证书存储页，点击下一步； 在正在完成证书导入向导页，点击完成；然后在提示导入成功的对话框上点击确定。 2、在Florence上导出证书 在Florence上，打开证书MMC（通过运行MMC，然后添加/删除管理单元来添加本地计算机证书MMC），然后展开个人下的证书，在右边的证书上右击，指向所有任务，点击导出； 在欢迎使用证书导出向导页，点击下一步； 在导出私钥页，选择是，导出私钥，然后点击下一步； 在导出文件格式页，点击下一步； 在密码页，不输入密码，点击下一步； 在要导出的文件页，输入“c:\1”，点击下一步； 在正在完成证书导出向导页，点击完成，然后在导出成功的提示框上点击确定，此时，Florence的证书已经导出在c:\1.pfx中。 3、在Florence上安装配置存储服务器 在Florence上运行ISA Server安装程序，在安装界面上点击Install ISA Server 2004，然后在欢迎页点击下一步； 在许可和用户信息页面上点击下一步； 在安装场景页，选择Install Configuration Storage server，点击下一步； 在组件选择页，点击下一步； 在企业安装选项页，因为是第一个配置存储服务器，点击Create a new ISA Server enterprise，点击下一步；在新企业警告页，点击下一步； 在建立新企业页，输入企业名字，在此接受默认的Enterprise，点击下一步； 在企业配置环境页，选择I am deploying in a workgroup or domains with out trust relationships，然后点击Browse...，选择刚才建立的C:\1.pfx，点击下一步；注意，此时如果是在域环境中配置企业版，应选择I am deploying in a single domain or in domains with trust trlationships。 在服务账户页，此时是定义配置存储服务器服务运行的账户，接受默认的Use the Network Service account，点击下一步； 在准备安装程序页，点击安装；等待一段时间后，配置存储服务器安装完毕，点击完成。 4、在Florence上安装ISA Server服务 现在需要在Florence上安装ISA Server服务，点击开始->控制面板->添加/删除程序，然后点击Microsoft ISA Server 2004 Beta的更改/删除按钮， 在欢迎页，点击下一步； 在程序维护页，点击Modify，然后点击下一步； 在组件选择页，点击ISA Server，选择This feature will be installed on local hard drive.，点击下一步； 在寻找配置存储服务器页，输入配置存储服务器的名字Florence，然后点击下一步； 在阵列成员页，由于过去没有建立阵列，因此选择Create a new array，点击下一步； 在建立新阵列页，输入阵列的名字，在此我接受默认的FLORENCE，点击下一步； 在配置存储服务器认证选项页，选择Authentication over SSL encrypted channel，点击Browse...选择信任的CA证书，在此我选择保存在桌面上的certnew.cer，点击下一步；在域环境中，应选择Windows authentication。 在内部网络页，点击添加按钮； 在弹出的地址对话框，点击添加适配器； 在选择网络适配器对话框，勾选Internal，点击确定； 在地址对话框，点击确定；然后在内部地址页点击下一步； 在选择企业策略页，因为我们没有建立企业策略，所以接受默认的Default Policy，点击下一步； 在防火墙客户端连接设置页，接受默认的禁止运行老版本防火墙客户端的计算机进行连接，点击下一步； 在服务警告页，安装程序提示你部分服务需要重启或者禁止，点击下一步； 在准备修改程序页，点击安装；等待一段时间后，ISA Server安装完成，在安装向导完成页，点击完成。 此时，Florence上的ISA Server服务就安装好了。 5、在Istanbul上安装ISA Server服务 现在，我们需要在Istanbul上安装ISA Server服务，运行ISA Server 2004安装程序，在安装界面上点击Install ISA Server 2004，然后在欢迎页点击下一步； 在协议许可和用户信息页面上点击下一步； 在安装场景页，选择Install ISA Server services，点击下一步； 在组件选择页，点击下一步； 在寻找配置存储服务器页，输入配置存储服务器的名字Florence，然后点击下一步； 在阵列成员页，由于已经建立了阵列，因此选择Join an existing array，点击下一步； 在加入已有的阵列页，点击浏览， 在弹出的阵列列中，点击FLORENCE，然后点击确定；在加入已有的阵列页点击下一步； 在配置存储服务器认证选项页，选择Authentication over SSL encrypted channel，由于Istanbul是颁发给Florence服务器验证证书的CA，所以选择Use an existing trusted root ca certificate，点击下一步；（如果不是此情况，应将在Florence上下载的Certnew.cer复制到此计算机上，并且选择此证书）。在域环境中，应选择Windows authentication。 在服务警告页，安装程序提示你部分服务需要重启或者禁止，点击下一步； 在准备安装程序页，点击安装；等待一段时间后，ISA Server安装完成，在安装向导完成页，点击完成。 此时，Istanbul上的ISA Server服务就安装好了。 6、配置阵列内部通信使用的用户账户 我们已经配置好了阵列，如果你是在域环境中配置企业版，那么现在你的配置就已经完成了，阵列已经可以使用了。但是在工作组环境中，你还需要定义阵列内用于内部通信的的用户账户，此账户要在每台ISA Server服务计算机上一致，并且要具有管理权限。在此，我使用管理员administrator账户。 由于两台ISA Server已经完全共享配置，所以以下的操作在任何一台ISA Server服务计算机上都可以进行。 打开ISA Server管理控制台，展开阵列，右击FLORENCE，点击属性， 在FLORENCE属性对话框中，点击Intra-Array Credentials标签，选择Authenticate using this account (for workgroup configuration only)，点击Set account， 在弹出的设置账户对话框，输入用户名并确认密码，点击确定； 在FLORENCE属性对话框点击确定。 此时，用户账户就配置好了。 7、验证阵列的操作 最后，我们来验证一下阵列的操作， 首先在Florence上，看看阵列的配置状态信息，如下 Florence和Istanbul均为已同步； 我们再到Istanbul上看看，同样显示为已同步； 同时，我们在任何一台ISA Server服务计算机上，都可以对本阵列内的ISA Server服务运行情况一目了然。如下图，当前总共有6个会话，Florence和Istanbul各3个； 在服务中，我们可以看到，两台ISA Server的服务已经运行了2个多小时了。