ISA Server安裝和佈署FAQ

[psac]

這篇一般問題解答（FAQ）我的文件為在規劃、安裝和佈署Microsoft? Internet Security and Acceleration (ISA) Server程序中經常遇到的問題提供了答案。

ISA Server是否需要Active Directory?

ISA Server Standard Edition並不使用或需要Active Directory?目錄服務。作為ISA Server Enterprise Edition安裝程序的一部分，執行Enterprise Initialization工具時需要Active Directory連通性，這個工具將使用ISA Server資訊來更新Active Directory架構（在您安裝的ISA Server所處域中的域控制器上）。Active Directory被用來存儲企業原則設定和陣列資訊，實現陣列的輕鬆管理，並使用多陣列模式來提供負載平衡和容錯能力。為了減少對Active Directory的影響以及出於安全考慮，您可以選項在它自己的域中新增一個ISA Server陣列，然後再與現有域建立信任關係。通過這種方法，您將不必去更改現有域的架構。請注意，其他域不一定必須是Windows? 2000域。

是否存在一個清單，其中包括所有ISA Server Enterprise Initialization工具對Active Directory架構做出的修改?

在您首次將ISA Server安裝為域中陣列的一個成員時，您必須執行ISA Server Enterprise Initialization工具來使用ISA Server對像修改Active Directory構架。cdroot\isa目錄中的Scheme.ldif 文件也將提供一個摘要式清單，指出ISA Server對Active Directory所做的更改。

在我執行Enterprise Initialization安裝了ISA Server架構後，我可以在Active Directory將它刪除嗎?

不可以。ISA Server架構無法從Active Directory中刪除，而且ISA Server Enterprise Initialization工具在每個域中只能執行一次。要刪除ISA Server架構，您必須從執行ISA Server Enterprise Initialization工具前的制作備份上恢復您的Active Directory配置。

如果我卸載了ISA Server，這個架構是否也從Active Directory中卸載了?

在Windows 2000 Active Directory中，這個架構是不會被刪除的，它只是被解除啟動狀態了。在Windows Server? 2003中，這個架構將從Active Directory中刪除。

我可以在域控制器上安裝ISA Server嗎?

我們不建議在域控制器上安裝ISA Server。

在安裝ISA Server時我需要什麼樣的權限?

ISA Server安裝需要下列權限：

• 要安裝一個單機 ISA Server，您必須時安裝ISA Server的電腦中管理員組(Administrators)的一個成員。

• 要將ISA Server安裝為企業內的一個陣列成員，您必須是安裝ISA Server的電腦中域管理員組(Domain Administrators)的一個成員。

• 要在多個域中安裝ISA Server，您必須是企業管理員組(Enterprise Admins)的一個成員。

• 要執行Enterprise Initialization工具來修改Active Directory架構，除了必須是本機電腦的管理員以外，您還需要是架構管理員組（Schema Admins）和企業管理員組（Enterprise Admins）的成員。


如何將Windows配置中的Proxy Server 2.0 遷移到 ISA Server?

通常，如果您從 Proxy Server 2.0 遷移到一個單機伺服器，大部分為Proxy Server 2.0 新增的規則和配置元素也將隨之遷移。如果您遷移到一個新的陣列，則由企業原則的預設設定來確定 Proxy Server 2.0 規則如何進行遷移。

我有評估版的ISA Server。在我購買了完全許可證版本時，是否需要重新安裝並重新配置呢?

您需要重新安裝這個完全版本，但是您已有的配置設定將在您重新安裝時得以儲存。

我怎樣才能完全刪除一個ISA Server安裝?

要卸載ISA Server

1.
點擊開始，指向設定，點擊控制台，然後雙按增加或刪除程式。

2.
在『當前安裝的程序』中，點擊Microsoft ISA Server，然後點擊刪除。


注意：當您卸載Windows中的企業版ISA Server時，ISA Server架構將不會從Active Directory中刪除。如果您無法使用這種方法進行卸載，請執行Rmisa.exe工具，這個工具在ISA Server目錄\setupbin\I386中。

ISA Server Feature Pack 1增加了哪些功能?

ISA Server Feature Pack 1為 Microsoft Exchange Server 和 Microsoft Internet Information Services (IIS) 發佈功能增加了顯著的安全性。這個特性包含有多種工具和附加特性，能夠說明 您更好的保護您的發佈伺服器。Feature Pack 1中的主要特性包括：

• Enhanced Exchange RPC過濾器

• 改進的SMTP過濾器，能夠根據多種參數對電子郵件進行篩選，這些參數包括附件的名稱、副檔名或大小，也包括傳送者、域、關鍵詞、或所有SMTP指令和長度

• 針對ISA Server的URLScan 2.5

• 針對RSA SecurID的Web身份驗證

• OWA (Outlook Web Access)嚮導

• RPC過濾器配置嚮導

• 連接轉換器(Link Translator)

....................................

ISA Server Service Pack 1和ISA Server Feature Pack 1有什麼不同?

ISA Server Service Pack 1是用來解決在ISA Server發佈後發現的特定問題的。而ISA Server Feature Pack 1則為您提供了新的ISA Server特性，它只能安裝在執行了具有ISA Server Service Pack 1的ISA Server的電腦上。

安裝了ISA Server後，預設的配置設定是什麼?

用戶權限：

單機伺服器：本機電腦上的管理員組成員可以配置ISA Server原則。

陣列：域管理員和企業管理員組的成員可以配置這些原則。

近端網址表：

在安裝程序中，您可以使用IP位址手動地配置LAT(近端網址表)，也可以根據Windows路由表進行自動的配置。

企業原則設定：

在 ISA Server Enterprise Edition中，當新增一個新的陣列時，該陣列將採用預設的企業原則設定。

訪問控制：

站點和內容規則：除非企業原則設定被配置為禁止陣列級allow規則，否則預設的站點和內容規則——Allow Rule將允許所有的客戶端在任何時刻訪問任何站點上的所有內容。但是，由於沒有定義傳輸協定規則，因此所有流量都被禁止通過。

包篩選：

在防火牆模式和集成模式中為 Enabled（啟用）。

在緩衝模式中為 Disabled（禁用）。

發佈：

所有內部伺服器都無法訪問外部客戶端。預設的 Web 發佈規則忽略所有的請求。

路由：

所有Web Proxy客戶端請求都直接從 Internet 中獲得。

緩衝：

緩衝的大小被設定為安裝時所指定的大小。啟用超文本傳輸傳輸協定（HTTP）和文件傳輸傳輸協定（FTP）緩衝。禁用活動緩衝。

警告：

除了下面列出的，其他警告都是活動的：

• 所有連接阜掃瞄工具

• 丟失的包

• 傳輸協定違反

• 用戶資料報傳輸協定 (UDP) 炸彈攻擊


客戶端配置：

在安裝或配置程序中，防火牆和 Web Proxy 伺服器自動啟用。防火牆客戶端上的 Web 瀏覽器應用程式在安裝防火牆客戶端時進行配置。

企業原則和陣列原則如何協同工作?

當您將 ISA Server Enterprise Edition 安裝為陣列的一部分時，您可以實施存儲在 Active Directory 中的企業範圍原則，將它們套用到所有陣列成員上。由於所有陣列電腦都能夠訪問 Active Directory，因此您可以從任何一個陣列成員上對單個企業範圍的原則進行設定和修改。企業管理員可以通過陣列級的原則設定來加強企業原則。但這些陣列級原則設定只能進一步限制企業級設定；它們不能提供更多的權限。

為了使 ISA Server 正常執行，安裝了 ISA Server 的 Windows 2000 伺服器是否必須是本機域的成員?

不需要。ISA Server 不需要與它所保護的客戶端電腦共處於同一個域中。但是，如果您需要為 Internet 訪問實現用戶身份驗證，那麼將 ISA Server 放置在同一個域中將使得身份驗證管理更為方便。當然，您也可以在另一個信任域中管理用戶身份驗證。

ISA Server 和 Internet Connection Firewall (ICF)有什麼不同？

Microsoft Windows XP 和 Windows Server 2003（Standard 和 Enterprise Editions）都具有內建的 Internet Connection Firewall (ICF)，用於保護個人工作站或膝上型電腦，防止黑客和病毒攻擊。ISA Server 2000 是一個企業級防火牆，從一開始就是被 Microsoft 用來保護整個網路的。ISA Server 是一個多層防火牆，為應用程式層的篩選進行了最佳化，並能夠保護各種規模的公司 。ICF 為家庭用戶和小型公司用戶（少於五人）提供了阻止攻擊的基本保護。

我可以在 ISA Server 上使用 DCOM 嗎?

一般情況下，您無法將 DCOM 和 ISA Server 一起使用。這是因為 DCOM 伺服器將它的 IP 位址嵌入到一個接頭編組包中，外部客戶端將使用這個資料包來連線到 DCOM 伺服器。

當在內部網路或外圍網路的 DCOM 伺服器與 Internet 之間使用網路位址轉換（NAT）時，外部客戶端將無法使用真正的 IP 位址來到達發佈的 DCOM 伺服器，連接嘗試將會失敗。

但是，您可以在DCOM對的其中一個節點上配置路由和遠端訪問（Routing and Remote Access）,在另一個節點上配置 PPTP 客戶端連接，從而在 DCOM 對之間啟用點對點隧道傳輸協定（PPTP）。

我可以在 ISA Serve r電腦上執行 ICS 嗎?

網路位址轉換（NAT）功能集成於執行 Windows 2000 的電腦中，它是 Windows 2000 路由和遠端訪問的標準特性之一，Internet 連接共享（ICS）是 Windows 2000 Professional 的一部分。ISA Server SecureNAT功能替代了 Windows 2000 NAT 和 ICS 提供的功能，您應該在安裝 ISA Server 前刪除這些特性。

我在 ISA Server 電腦上增加了一塊網路橋接器，但是當我試突設定新的發佈規則時，外部 IP 列表是空的。當我試突手動輸入 IP 位址時，出現了錯誤。這是為什麼?

請檢查網路橋接器是否正確安裝。檢查這個網路橋接器的 IP 位址是否包含在近端網址表（LAT）中。

我可以將我的 ISA Server 電腦連線到多個 Internet 連接嗎?

ISA Server 無法直接這樣做，但是您可以使用其他 ISA Server 合作夥伴軟體來實現這個目的。

我可以只用一塊網路橋接器來配置 ISA Server 嗎?

可以。您可以使用一塊網路橋接器將 ISA Server 配置為僅限緩衝模式。在僅限緩衝模式中，只支持 Web Proxy 客戶端。如果您只使用一塊網路橋接器將ISA Server安裝為集成模式，那麼可能會出現問題。

為什麼在安裝了 ISA Server 我無法訪問 Internet?

在安裝後，ISA Server 將採用「阻止所有」這個最安全的方法。這意味著所有的流量都是被阻止的，除非您明確地新增訪問原則規則或 IP 資料包過濾器來允許傳入和傳出的流量。

要訪問 Internet，您需要一個允許訪問特定站點的站點和內容規則，還需要一個允許訪問特定傳輸協定的傳輸協定規則。

在安裝了 ISA Server 後，會自動地新增一個預設的站點和內容規則。這個站點和內容規則允許所有用戶在任何時刻訪問所有的目標。您可以使用這個預設規則；或者禁用這個規則，新增自己的站點和內容規則，從而允許或禁止到 Internet 位置的訪問。

在您新增了站點和內容規則後，您還需要一個傳輸協定規則，用於您所允許的傳輸協定。要新增一個傳輸協定規則，請按照下列步驟操作：

• 使用『為Internet訪問新增傳輸協定規則』嚮導。在預設情況下，這個嚮導為您提供了下列傳輸協定：

• HTTP

• HTTPS

• FTP

• FTP Download

• Gopher


您可以選項始終套用這個規則，或僅在特定時段套用這個規則；也可以對所有請求套用這個規則，或僅限於特定用戶的請求。

• 要開啟這個嚮導

1.
請在 「ISA 管理」 的節點樹中點擊Internet Security and Acceleration Server。

2.
在顯式視窗的歡迎頁面中，點擊啟動嚮導。

3.
點擊配置傳輸協定規則，然後點擊為 Internet 訪問新增傳輸協定規則來開啟這個嚮導。


• 您可以新增一個允許傳輸協定規則來：

• 啟用所有IP流量傳輸協定或指定您所允許的傳輸協定。

• 在任何時刻都啟用傳輸協定使用，或僅限您指定的特定時間段。

• 為所有請求啟用傳輸協定，或僅限來自特定用戶的請求。



在您新增了站點和內容規則以及傳輸協定規則後，允許使用指定傳輸協定對指定目標進行訪問，此時 ISA Server 將允許您在規則中指定的所有客戶端進行訪問。