Установка и настройка клиентов ISA Server 2004

В зависимости от доступа к ISA Server и ресурсам на нем или за ним выделяют три клиента ISA Server:

1. клиент брандмауэра (направляет запросы в службу брандмауэра в ISA Server, поддерживает много протоколов);
2. Web-прокси (направляет запросы протоколов FTP, HTTP, HTTPS в службу брандмауэра на ISA Server);
3. SecureNAT (на клиентском компьютере осуществляет маршрутизацию запросов на ISA Server путем выбора последнего в качестве основного шлюза).

Клиенты ISA Server отличаются друг от друга сложностью настройки, встроенными возможностями и реализуемым уровнем безопасности. Если ISA Server используется как сервер кэширования, на клиентах необходимо настроить Web-прокси. Если нужна простая маршрутизация без аутентификации и контроля над действиями пользователей, то нужно применять SecureNAT. Если нужна максимальная безопасность и поддержка различных протоколов, на компьютерах необходимо установить клиент брандмауэра.

В зависимости от потребности сети клиенты ISA Server можно комбинировать друг с другом вплоть до установки на одном компьютере всех трех клиентов. При этом необходимо помнить, что если используются операционные системы помимо Windows, то клиент брандмауэра работать не будет, и не зависимо от типа клиента ISA Server все запросы по протоколу HTTP обрабатывает так, как если бы они поступили от клиентов Web-прокси.

Рассмотрим установку и настройку клиентов по возрастанию ее сложности. Чтобы установить на компьютере SecureNAT достаточно в настройках протокола TCP/IP клиентского компьютера в поле "Основной шлюз" ввести адрес внутреннего адаптера ISA Server или маршрутизатора, на котором имеется маршрут к ISA Server. В случае, если в сети для адресации используется DHCP-сервер, для настройки SecureNAT необходимо в параметрах DHCP-сервера или в параметрах области настроить параметр 003 Router,присвоив ему значение внутреннего адреса ISA Server.

SecureNAT не поддерживает аутентификацию клиентов. Поэтому ограничивать доступ к сетевым ресурсам можно только на основании адреса компьютера. На этом настройка SecureNAT завершается. При работе с клиентами такого вида необходимо контролировать внутренний адрес ISA Server. И если он изменился, изменять адреса основного шлюза на клиентских компьютерах. Также необходимо учитывать, что клиенты SecureNAT разрешают имена при помощи DNS. Поэтому если такому клиенту не удается подключиться к какому-либо ресурсу, необходимо проверить настройки DNS и связь клиента с ISA Server. Клиенты SecureNAT поддерживаются большинством операционных систем и браузеров.

Клиент Web-прокси работает в любой операционной системе и с любым браузером, поддерживающим технологию HTTP1. Этот клиент поддерживает четыре протокола: HTTP, HTTPS, FTP, Gofer. Этот клиент поддерживает аутентификацию пользователей. Поэтому ограничить доступ к отдельным ресурсам можно для отдельных учетных записей.

Для настройки Web-прокси на клиенте необходимо настроить свойства соединения в браузере. Для этого необходимо указать адрес proxy-сервера и порт, по которому осуществляется соединение. Причем эти настройки должны совпадать с настройками на самом ISA Serverе.

На ISA Server Web-прокси, как правило, настраивают во внутренних сетях и сети-периметра. Для включения Web-прокси на сервере необходимо в консоли Управление ISA Server выбрать нужную сеть и в ее свойствах поставить значок напротив параметра "включить клиент Web-прокси" и указать соответствующий номер порта. В случае, если в организации внедрена система Открытых ключей, можно установить поддержку SSL. В противном случае для аутентификации клиентов предусмотрено еще четыре вида технологий ( простая, встроенная Windows, RADIUS, встроенная с проверкой ). Клиентский компьютер можно настраивать как вручную, так и с помощью групповых политик (если сеть построена на основе доменов).

Проблемы при использовании Web-прокси чаще всего связаны с состоянием службы Microsoft Firewall (эту службу нужно перезапустить, если на ISA Server установили новый сетевой адаптер, если клиенты теряют подключение к ISA Server, надо проверить кабели и работоспособность самого подключения командой Ping ). Напомним, что настройки портов для использования Web-прокси на ISA Server и на клиентских компьютерах должны быть одинаковыми.

Перейдем к работе с клиентом брандмауэра. Установка клиента брандмауэра состоит из трех частей: создание для него общего ресурса, установки на клиентских компьютерах и настройки.

Создать общий ресурс для клиента брандмауэра можно либо на ISA Server, либо на другом сервере, что предпочтительнее. При этом на внутреннем интерфейсе ISA Server рекомендуется отключить общий доступ к файлам и принтерам. Для создания общего ресурса необходимо запустить установку ISA Server с компакт-диска, выбрать выборочную установку и установить клиент брандмауэра на жесткий диск. При этом на системном диске будет создана папка MSPCLNT. С клиентских компьютеров необходимо зайти в эту папку и запустить программу setup. В домене клиент брандмауэра можно распространить в сети с помощью групповой политики.

После этого можно переходить к настройке брандмауэра на ISA Server и клиентских компьютерах. На ISA Server необходимо включить поддержку клиента брандмауэра для необходимых наборов сетей, настройки же клиента брандмауэра осуществляются аналогично Web-прокси. Также можно настроить обход настройки для локальных доменов и разрешить прямой доступ к определенным Web-сайтам и приложениям. Также необходимо помнить, что для правильной работы клиента брандмауэра на ISA Server должны быть открыты TCP и UDP порты 1745.

Для настройки клиента брандмауэра на локальном компьютере существует специальный графический интерфейс, доступ к которому можно получить, щелкнув на специальный значок в системном трее (он появится там после установки брандмауэра).

Также можно настроить четыре конфигурационных файла, находящихся в профиле текущего пользователя и в общих настройках для всех пользователей (файлы профиля пользователя перекрывают общие настройки). Имя ISA Server и параметры его автообнаружения настраиваются в файле common.ini. Параметры отображения значка брандмауэра в области уведомлений и возможность автоматического определения параметров Web-прокси настраиваются в файле management.ini. Параметры работы приложений и параметры обработки специальных видов трафика для конкретного клиента настраиваются в файле application.ini. Диапазоны внутренних сетей для клиента брандмауэра можно настроить в файле locallat.txt.