none
ISA 2006 ee array - вопросы RRS feed

  • Вопрос

  • Коллеги помогите прояснить несколько моментов :

    на тестовом стенде стоит домен + 2 ISA EE объединенные в массив, накопилось несколько вопросов


    1) где лучше распологать CSS - на одной из ISA или выделенный сервер  ?

    2) можно ли ставить CSS на выделенный сервер а его копию на один из ISA серверов ? или копию на каждый член массива ?

    3) что делать если сервер CSS не доступен или вышел из строя ? как управлять ISA ?

    4) CARP для чего и когда он нужен

    5) клиентам в качестве шлюза / прокси  прописываеться IP адреса массива или ISA сервера

    6) какой функционал дает включение NLB

    7) DMZ - привязывается только к одному из членов массива ?


    11 декабря 2008 г. 14:21

Все ответы

  • 1) где лучше распологать CSS - на одной из ISA или выделенный сервер  ?
    2) можно ли ставить CSS на выделенный сервер а его копию на один из ISA серверов ? или копию на каждый член массива ?
    Лучше всего устанавливать CSS на выделенный сервер, но реалии жизни вряд ли позволят такое расточительство. Не рекомендуется устанавливать CSS на контроллер домена, за исключением развертывания в удалённых филиалах с ограниченным количеством серверов. Рекомендуется устанавливать CSS на компьютер, находящийся за ISA Server, вместо установки на сам сервер с ISA Server. Рекомендации по планированию и развертыванию CSS приведены в этом документе:
    Configuration Storage Server Deployment Guidelines

    Устанавливать лучше 2 CSS и прописывать в свойствах массива ISA Server второй CSS, как резервный. Подключение к резервному CSS будет производится только в случае недоступности основного. То есть, как минимум, необходимо установить CSS на 2 члена массива ISA Server.
    Можно поставить CSS на какой-либо инфраструктурный сервер, а резервный CSS на компьютер с ISA Server.
    Specify an alternate Configuration Storage server

    3) что делать если сервер CSS не доступен или вышел из строя ? как управлять ISA ?
    При выходе из строя основного CSS члены массива ISA Server будут пытаться подключиться к резервному, если данная опция включена в свойствах массива. В любом случае все члены массивка будут продолжать работать, используя реплику конфигурации из локального реестра ОС. Но в случае недоступности CSS изменять конфигурации ни одного из членов массива невозможно. Так что для управления при выходе из строя CSS необходимо либо восстановить CSS, либо изначально настраивать массив на использование резервного CSS.
    Подробнее о хранилище конфигурации ISA Server можно почитать здесь.
     
    4) CARP для чего и когда он нужен
    Cache Routing Array Protocol (CARP) позволяет оптимизировать работу с кэшем службы веб-прокси членов массива ISA Server за счет использовании информации об объектах кэша, хранящихся на всех членах массива. Подробности об этом механизме можно получить здесь.

    5) клиентам в качестве шлюза / прокси  прописываеться IP адреса массива или ISA сервера
    При настройке клиентов необходимо использовать сетевое имя массива, а не его членов.

    6) какой функционал дает включение NLB
    Network Load Balancing Integration Concepts for Microsoft Internet Security and Acceleration (ISA) Server 2006

    7) DMZ - привязывается только к одному из членов массива ?
    При создании любой периметральной сети (одной из которых и является DMZ) в конфигурации массива ISA Server необходимо подключать к этой сети все члены массива, то есть у каждого члена должен быть сетевой интерфейс, соединяющий его с периметральной сетью.

    11 декабря 2008 г. 21:26
  • спасибо. очень информативно

    прошу поподробнее вот про этот пункт

    5) клиентам в качестве шлюза / прокси  прописываеться IP адреса массива или ISA сервера
    При настройке клиентов необходимо использовать сетевое имя массива, а не его членов.

    допустим есть массив из 2 ISA

    isa1.domain.loca  --- 10.0.0.8

    isa2.domain.local --- 10.0.0.9


    оба сервера в массиве - isa-array   --- но при создании массива создаеться только его имя . то есть IP адрес нужно назначать массиву isa-array.domain.local нужно руками ? правильно ? например 10.0.0.10

    и в качестве шлюза на клиентах указывать
    10.0.0.10
    а в качестве прокси
    isa-array.domain.local



    но если мы включаем NLB то мы делаем VIP ip адрес - например 
    10.0.0.100 и прописываем ему Full name
    например isa-nlb.domain.local

    и того мы имеем :

    isa-array.domain.local   
    10.0.0.10

    isa-nlb.domain.local       10.0.0.100

    в этом случае кого на клиентах прописывать ?

    12 декабря 2008 г. 6:57