Установка ISA Server 2004

Перед установкой ISA Server 2004 необходимо напомнить, что этот программный продукт и не является самостоятельной операционной системой и может быть установлен на компьютер только под управлением WS2003 или более поздней операционной системы. Перед установкой необходимо загрузить все важные обновления операционной системы, а также проверить работоспособность сетевых адаптеров, установленных на компьютере, где предполагается установка ISA Server. На внутренних сетевых адаптерах должны быть настроены статические адреса. Все подключения удаленного доступа, которые планируется использовать, должны быть сконфигурированы до установки ISA Server. Также необходимо учесть, что после установки ISA Server будут отключены следующие серверные службы: ICS/ICF, NAT, SNMP, FTP, NNTP, IIS, WWW.

Нужно помнить, что внутренние сетевые адаптеры ISA Server не имеют шлюза по умолчанию, поэтому для обеспечения связи ISA Server с внутренней сетью необходимо корректировать таблицу его маршрутизации.

ISA Server необходимо размещать на отдельном компьютере, не перегружая его другими серверными ролями. Крайне не рекомендуется запускать ISA Server на контроллере внутреннего домена организации. Если ISA Server планируется использовать в качестве брандмауэра, эффективнее установить его в составе рабочей группы или в отдельном домене.

Для автоматической установки можно использовать разработанные сценарии развертывания. В зависимости от стратегии внедрения ISA Server существуют сценарии развертывания для рабочей группы, для филиала компании и для службы каталогов Active Directory.

Для успешной работы ISA Server необходим еще один сервер, выполняющий специальную роль хранения конфигурации ISA Server (CSS). Наличие этого сервера увеличивает безопасность системы и делает ее более гибкой. Наличие специального сервера хранения более не делает необходимым интеграцию конфигурационной информации ISA Server в Активный каталог, а это позволяет установить ISA Server в рабочую группу, что повышает безопасность сети.

Установить CSS можно с помощью специального мастера с установочного диска ISA Server. CSS также устанавливается на компьютер, находящийся под управлением WS2003 или старше. Нюанс заключается в том, что даже для установки ISA Serverа, как сервера кэширования, необходимо приобрести не только сам ISA Server, но и две копии WS2003, что делает систему достаточно дорогой. Теоретически и сам ISA Server и CSS можно поставить на контроллер домена (тем самым не приобретая отдельных копий WS2003), но делать это крайне не рекомендуется.

Необходимо обеспечить бесперебойную связь CSS и ISA Server. Для этого предусмотрена технология ADAM. Установить ее компоненты можно с установочного диска ISA Server 2004. После установки в системной папке Windows создается системная папка ADAM. Из нее нужно запустить программу ldp.exe. С помощью нее можно установить соединение между CSS и ISA Server. Для этого в настройках соединения в этой программе необходимо ввести полное доменное имя CSS-сервера и изменить значение базового порта с 389 на 2171 или 2172. Первый порт используется, если используется встроенная аутентификация Windows. Второй порт используется, если на предприятии внедрена система открытых ключей. Необходимо еще раз обратить внимание, что эта процедура должна быть выполнена на том компьютере, где предполагается установить ISA Server.

После всего этого можно приступать непосредственно к установке ISA Server 2004. После запуска одноименного мастера с установочного диска необходимо следовать его инструкциям, в нужный момент указав адрес CSS-сервера, используя по необходимости имеющиеся сертификаты, задав диапазоны внутренних адресов и определив политику предприятия.

Установку ISA Server можно автоматизировать, используя пять предустановленных конфигурационных файлов, находящихся в папке FPC на установочном диске ( InstallNewManagementServer.ini – установка сервера CSS, InstallStandAloneServer.ini – установка ISA Server и сервера CSS, InstallArrayAndServer.ini – установка ISA Server и создание нового массива, InstallJoinedServer.ini – установка ISA Server и присоединение его к заданному массиву, UninstallServer.ini – отмена установки). Необходимо отредактировать желаемые параметры в этих файлах, а потом, запустив их выполнение из командной строки, имеющей следующий синтаксис:

"Путь_к_ISASetup\setup.exe" [/[x|r]] /v /q[b|n] 
FULLPATHANSWERFILE= "\Путь_к_файлу_конфигурации\Имя_файла\".

Ключи команды следующие: \r – автоматическая установка, \x – автоматическое удаление, \v – обязательный параметр для установки, необязательный для удаления, \q[b|n] – тип "тихой" установки ( b – с диалоговыми окнами, n – без диалоговых окон). Для автоматического восстановления можно использовать команду PathToISASetup\setup.exe REINSTALL=ALL.

Во избежание проблем при установке ISA Server необходимо помнить, что установка возможна только от имени учетной записи администратора сервера; автоматическая установка невозможна, если на компьютере уже установлен ISA Server 2000. При использовании конфигурационных файлов необходимо заключать полный путь к ним в косые черты и кавычки. Удаленную установку необходимо производить, используя удаленный рабочий стол, а не сервер терминалов.

Выше была описана установка ISA Server в домене. Чтобы установить ISA Server в рабочей группе необходимо, во-первых, создать сертификат сервера и позаботиться о централизованной аутентификации (например, использовать RADIUS). Во-вторых, определиться с "видом рабочей группы": можно установить CSS-сервер в домене, а ISA Server в рабочей группе, CSS и ISA Server в рабочей группе, а можно создать два массива ISA серверов (один в составе рабочей группе и подключен к внешнему Интернету, а второй включен в корпоративный домен и обслуживает корпоративную сеть). Оба массива связаны сетью периметра. Третий вариант представляет собой самый безопасный из возможных, и при достаточном финансировании именно он рекомендуется к использованию. В целом, использование ISA Serverов в составе рабочих групп наряду с корпоративным доменом гораздо безопаснее, чем интеграция брандмауэра в домен, но требует настройки системы открытых ключей и дополнительных финансовых затрат на программное обеспечение.

После установки ISA Server необходимо помнить, что весь трафик через все протоколы и порты по умолчанию запрещен, а изменять настройки ISA Server могут только пользователи с административными привилегиями. Причем существуют две схемы административных ролей: администраторы предприятия и администраторы массива. Администраторы предприятия получают доступ ко всем ISA серверам, а администраторы массива имеют полномочия только в пределах своего массива.

Существуют две роли администраторов предприятия: Enterprise Auditor (просматривает настройки предприятия и массивов) и Enterprise Administrator (неограниченный доступ к настройке любых параметров ISA Server).

Существуют три роли администраторов массивов: Monitoring Auditor (позволяет просматривать настройки и осуществлять заранее заданный мониторинг ISA Server, но не позволяет менять настройки мониторинга), Auditor (позволяет просматривать политики брандмауэра, создавать отчеты и управлять внутренними службами, включает в себя полномочия роли Monitoring Auditor ), Administrator (не ограниченный доступ к настройкам в пределах массива).