Embed Size (px)
Citation preview
5/10/2018 ISA Server telepítés - slidepdf.com
http://slidepdf.com/reader/full/isa-server-telepites 1/9
ISA Server telepítés
Az első két - elméleti bemelegítő - rész után a telepítés konkrét lépéseivel folytatjuk. Jó hatudjuk, hogy az ISA Server kipróbálásához nem feltétlenül kell megvásárolnunk a terméket.
Ez azért lehetséges, mert a gyártó weblapjáról letölthető a 120 napig működő, teljes változat.Egyébként nemcsak az ISA esetén van erre lehetőség, az összes Windows Server Systemkategóriába sorolt szerver változat letölthető és/vagy megrendelhető. Amennyibenrendelkezünk a VMware Workstation szoftverrel (itt a rendszergazda portálon Nagy Szabolcskollegám írt erről az alkalmazásról egy remek cikket), még egy külön gép sem kell akipróbáláshoz, hiszen ebben lehetőség van több hálózati kártya felvételére is.
A telepítés szoftveres előfeltételeiről még egy-két szót szeretnék szólni. Az előző cikkben szóvolt arról, hogy a Windows Server 2003 esetén minimum az ISA SP1 valamint egy továbbihotfix szükséges a korrekt működéshez. Jogos volt a kérdés, hogyha ez előfeltétel, akkor
hogyan telepítjük fel az ISA-t ezek nélkül vagy esetleg menetközben kell valahogy hozzáadniezeket? Nem ilyen bonyolult a megoldás, egyszerűen feltelepítjük, és amikor a WindowsServer 2003 figyelmeztet rá, hogy nem fog működni a patchek nélkül ezért letiltja az ISA-t,tudomásul vesszük. Ezután feltelepítjük a szükséges kiegészítőket és egy újraindítás után azoperációs rendszer feloldja a letiltást és készen is vagyunk.
A kiegészítő hotfixekre figyelmeztető panel Windows Server 2003 alattA telepítés lépései
1. Indítsuk el az ISA Server CD \ISA mappájából a setup.exe-t (ha nem indul el a CDautomatikusan), lépjünk túl az üdvözlő képernyőn, és fogadjuk el az EULA-t.
Az ISA Server telepítőprogramjának nyitóképernyője
5/10/2018 ISA Server telepítés - slidepdf.com
http://slidepdf.com/reader/full/isa-server-telepites 2/9
2. Első lépésként válasszuk ki a telepítési variációk közül a nekünk szimpatikusat, célszerű pl.a Custom-ot, azaz Egyéni-t választani (mint üzemeltetőként mindig, mert mi ugye nem a next-next-finish típusú telepítéseket szoktunk véghezvinni :D).
3. A telepítendő komponensek közül csak a szükségeseket jelöljük ki. Például az Add-In
Services és az Administration Tools csoportok alatt találhatóak a H.323 Gatekeeper Service-zel kapcsolatos komponensek, ami - ha nincs szükség a NetMeeting tűzfalon keresztülihasználatára - felesleges, ráadásul alapesetben telesírja az Eseménynaplót, ha nem állítjuk be.Egy másik esetben - ha csak a saját, rendszergazdai számítógépünkre akarjuk feltenni az ISAServer adminisztrációs eszközét - pedig csak az Administration Tools csoportból kellhet azISA Management komponens. Ez is fontos választás, hiszen csak egy későbbi újratelepítésselvan lehetőségünk a komponenseken változtatni.
A komponensek kiválasztása itt történik 4. Most jön az ISA Server üzemmódjának kiválasztása. Iskolai környezetben általában azIntegrated módot választjuk, hiszen a valószínűleg nem szükséges és nem is biztosítható olyantöbb ISA Serveres környezet, ahol mód nyílna a két fő funkció (firewall és cache mód)gépenkénti szétválasztására. Ennek ellenére ezt a beállítást is jól fontoljuk meg, hiszen itt
nincs mód utólagos korrekcióra.
5/10/2018 ISA Server telepítés - slidepdf.com
http://slidepdf.com/reader/full/isa-server-telepites 3/9
Az üzemmód kiválasztása egy szerver esetén így néz ki5. A következő lépés a gyorsítótár méretének és helyének kiválasztása. Az alapértelmezettrendszerparticióra vonatkozó 100 MB-ot lehetőleg töröljük (ellentétben a képpel), és ahogyszó is volt már erről, itt van lehetőség a külön partíció kijelölésére és a megfelelő méretmegadására. Ez az opció is megváltoztatható később, bármikor a telepítés után. Ha már itttartunk, rendszeresen felmeül az a kérdés, hogy hogyan kell a komplett gyorsítótárt törölni?Egyszerű: az ISA MMC faszerkezetben elsétálunk a Cache Configuration/Drives panelre,ahol ugyanazon a panelen, amelyet a telepítéskor látunk, akár lenullázhatjuk a cacha tartalmát,vagy pl. áthelyezhetjük egy másik meghajtóra.
5/10/2018 ISA Server telepítés - slidepdf.com
http://slidepdf.com/reader/full/isa-server-telepites 4/9
Az alapértelmezett gyorsítótár mérete általában nagyon kevés6. Ezután meg kell adnunk a belső kliensek IP tartományát (LAT = Local Address Table),azért, hogy az ISA szerver tudja, milyen címekről szabad kifelé menő kéréseket elfogadnia.Ezt beírhatjuk kézzel, vagy a Construct Table opció alatt, a belső kártyát kiválasztva,legeneráltathatjuk a telepítő programmal is. Ez utóbbi eset bejegyzi az összes ismert privát
tartományt (192.168.x.x, 10.x.x.x, 172.16.x.x), amire általában nincs szükség, igaz ezek törölhetőek is, de akkor minek bejegyezni? :D. Publikus IP címet sosem szabad a LAT-bahelyezni, kivéve ha pl. DMZ-nk (DeMilitarizált Zóna) van, ahol megjelenhet publikus IPcímű saját szerver is. Ha viszont a kliensek IP cime nem szerepel a LAT-ban, az ISAelutasítja a felőlük érkező kérést minden esetben. Utólag módosítható beállításról van szótermésztesen (Network Configuration/LAT).
A LAT meghatározása7. E beállítások és a szükséges állományok másolása után birtokba is vehetjük az ISA Server adminisztrációs eszközét. Amennyiben viszont a telepítő utolsó panelén a "Start the ISA
5/10/2018 ISA Server telepítés - slidepdf.com
http://slidepdf.com/reader/full/isa-server-telepites 5/9
Server Getting Wizard" négyzetet bepipáljuk, akkor rögtön egy a beállításokkal kapcsolatos"varázslóba" vezet el bennünket a program.
http://www.sulinet.hu/tart/fcikk/Kaacb/0/18484/1
ISA Server alapismeretek
ISA Server 2000 = egy remek és korrekt megoldás, amely azonban egy kicsit többet kíván azüzemeltetőtől, mint a Windows platformon működő szerver szoftverek többsége...
Mit jelent ez a többlet?
Példának remek, ám megélni izzasztó, hogy a telepítés után az ISA (egy jólnevelt tűzfalalkalmazástól elvárhatóan), azonnal lezár mindent, azaz azt vehetjük észre, hogy az eddigkorrektül működő internet megosztásnak, szoftveres átjárónak, upgrade esetén a Proxy 2 által
biztosított internet elérésnek vége, a felhasználók a kliens gépekről (de még a rendszergazdase, a szerverről meg különösen nem!) nem tudják elérni az internetet semmilyen módon, aweb/ftp szerverünk kívülről szintén elérhetetlenné válik, az e-mailek se ki, se be nem mennek,a VPN kiakad és így tovább. Ez azon a platformon, ahol eddig a "minden alapból
engedélyezve van, a rendszergazda majd letiltja ami nem kell" elv érvényesült megrázóélmény. De muszáj. Az informatika e szegmense (is) megkívánja a paranoiát, tehát a"mindent tiltunk, és csak azt engedjük ami biztosan kell" elv alkalmazását. Jópár más
platformnál ez alaptulajdonság évtizedek óta, sajnos a Windows világban ez csak körülbelülaz ISA kiadásától kezdett elmozdulni a helyes irányba. Örvendetes viszont, hogy azóta isgőzerővel tart ez az átalakulási folyamat és a Trustworthy Computing elgondolás keretébenegyre jobban ki is kristályosodik. Ékes bizonyíték erre a szigorú biztonsági elvek alapjánműködő Windows Server 2003, az összes komponensével együtt, például az IIS 6-osváltozata (Internet Information Server = web/ftp/smtp/nntp kiszolgáló), amely szintén csak alapos biztonsági konfigurálás után válik csak elérhetővé a külvilág számára).
Persze ennek a szemléletnek az alkalmazása újabb dilemmákat okozhat, hiszen így a
biztonság oltárán fel kell áldozzuk a kényelmet. Véleményem szerint ez még mindig sokkal jobban elviselhető, mint 15 perc működés után open proxy-vá válni, vagy beszedni egy Nimdát vagy más trójai programot a hatalmas, rosszindulatú nethasználók számára könnyedénhozzáférhető kollekcióból. Vagy éppen szenvedő alanya lenni bármi olyan atrocitásnak,amelyet a netet automatikusan pásztázó és támadó/behatoló "hekker" alkalmazások okozhatnak egy publikusan elérhető számítógép esetén. Viszont a kényelem feladása vagy aszükséges ismeretek hiánya miatt sokan ódzkodnak vagy visszarettennek ettől a terméktől(is), és beérik valami mással, vagy legrosszabb esetben semmilyen megoldással. Nem célomhatalmas vitát gerjeszteni, de Windows platformon per pillanat nincs másik korrekten működőszoftver erre a célre. A shareware/freeware vagy fizetős personal firewall-okat (azaz személyitűzfalakat, úgymint: Zone Alarm, Norton Internet Security, BlackIce stb.), nem erre találták
ki, nem is működnek megfelelően (sőt pl. a ZA még "haza is beszél", volt is botrány belőleannak idején), meg hát ki az aki rá meri bízni az a hálózata biztonságát mondjuk egy 30 nap
5/10/2018 ISA Server telepítés - slidepdf.com
http://slidepdf.com/reader/full/isa-server-telepites 6/9
múlva lebénuló shareware szoftverre??? A Microsoft Proxy Server 2.0 pedig teljesen márateljesen elavult, nem a 21. századi nyilvános hálózatok viszonyaira felkészített alkalmazás ésnincsenek is már hozzá javítások, frissítések. Egy szó mint száz, felelős rendszergazdakéntcélszerű megtanulni használni és kihasználni az ISA-t. Mi most ebben szeretnénk segíteni egytöbbrészes kirándulással az ISA körüli témakörökben.
Mire is való pontosan?
Az Internet Security and Acceleration Server 2000 egy bővíthető, nagyteljesítményű tűzfal ésweb gyorsítótár kiszolgáló, mely kihasználja a Windows 2000 Server más szolgáltatásait (pl.RRAS, VPN) biztonsági beállításait, menedzselhető képességeit és a címtárat, azért hogymegvalósulhasson az internet elérés házirendalapú szabályozása, gyorsítása és menedzselése.Csökkenti, vagy szinte teljesen megszünteti (teljesen megszüntetni persze lehetetlen, minttudjuk :D), az internettel kapcsolatos biztonsági vagy teljesítménnyel összefüggő
problémákat, segít megvédeni a hálózat erőforrásait az illetéktelen felhasználóktól,alkalmazásoktól. Csekély sávszélességű internet hozzáférés esetén (pl. iskolai környezetben a64K/128K) rendkívül hasznos szolgáltatása, hogy web gyorsítótára gyorsabb webelérést
biztosít a felhasználóknak oly módon, hogy a kérések egy részét a leterhelt internet vonalhelyett a helyi gyorsítótárból szolgálja ki. Akár összetevőnként, akár összefűzve integrálttűzfal- és gyorsítótár kiszolgálóként helyezzük üzembe, az ISA egységes grafikus konzolt
biztosít, mely egyszerűbbé teszi a rendszergazda munkáját. Nézzük egyelőre csak kategóriánként és a felsorolás szintjén, hogy mi mindenre használható:
Internet tűzfal
Többrétegű tartalomfigyelés (csomag-, kapcsolat-, és alkalmazásszintű szűrők)Intelligens adatfelismerő alkalmazás szűrők Beépített behatolásészlelésBeépített virtuális magánhálózat (VPN) lehetőségek
Biztonságos kiszolgáló-közzététel
Könnyen használható "Kiszolgáló közzététele" varázslók SecureNAT az ügyfelek számára észrevétlen kapcsolatokhoz és kiszolgáló közzétételhezA közzétehető szolgáltatások között megtalálható a HTTP, HTTPS, FTP, SMTP, POP3,H.323 (NetMeeting), folyamatos átviteli szolgáltatások (media streaming), stb.
Belső ügyfeleket kiszolgáló gyorsítótár
A gyorsítótár egy része a RAM-ban helyezkedik elIdőzített letöltések a gyorsítótárba (Scheduled Content Download)
Elosztott és hierarchikus gyorsítótár láncok létrehozásának támogatásaA népszerű webhelyek tartalmának előzetes (pl. éjszakai) automatikus letöltése (Active
5/10/2018 ISA Server telepítés - slidepdf.com
http://slidepdf.com/reader/full/isa-server-telepites 7/9
Caching)
Külső ügyfeleket kiszolgáló gyorsítótár
Web közzététel varázslók A gyorsítótár egy része szintén a RAM-ban helyezkedik el
A külső ügyfélek számára láthatatlanElosztott gyorsítótár kialakítása a Caching Array Routing Protocol (CARP) segítségével
Integrált tűzfal és web gyorsítótár kiszolgáló
Aprólékos, házirendalapú hozzáférési szabályok Sávszélesség-szabályozásVállalati és tömbszintű házirendek
Naplózás és jelentések készítéseActive Directory integráció (nem alapkövetelmény)Központosított Microsoft Management Console (MMC)
http://www.sulinet.hu/tart/cikk/Scf/0/17497/1
ISA Server alapismeretek II.
Ebben a részben az ISA Server 2000 típusairól, az ajánlott és az optimális hardverigényéről,valamint a telepítés különböző változatairól esik szó.
Az ISA Server típusai
Kétfajta változatot ismerünk ebből a termékből: a Standard és az Enterprise verziót. Akülönbség az alapszolgáltatások tekintetében nincs, ami van, az "csak" funkcionális. Azutóbbi változat elsősorban nagyvállalati környezetbe készült, ennek megfelelően támogatja akövetkező szerepköröket:
- Az ISA tömbök (array) alkalmazását, és így például a tömbben lévő ISA szerverek működésének központi, házirend alapú kényelmes szabályzását- A visszirányú web gyorsítótár (reverse cache) terheléselosztásos (NLB = Network LoadBalancing) módszerrel történő használatát, ami a webszervereink folyamatos elérhetősége ésmagas rendelkezésre állása miatt alkalmazható- Jelen van az Enterprise változatnál a CARP protokoll amely az esetleges brutális mértékű,
több szerverre elosztott web gyorsítótár kialakítását teszi lehetővé- Nem korlátozza a használható CPU-k számát (a Standard változatnál maximum 4 CPU-thasználhatunk)
Az Enterprise változat kizárólag tartományvezérlőre telepítve működik (a használatáhozegyébként ezért még egy sémabővítésre is szükség lesz), míg a Standard-nál ez nemkövetelmény (csupán a tartományi tagság az), de nem is kizáró ok.
Tegyük a szívünkre a kezünket és ismerjük el, hogy általában egy oktatási intézménybenezekre speciális feladatokra ritkán van szükség, ezért a legtöbb esetben bőven megfelel azamúgy is elképesztően magas árú Enterprise változat helyett a Standard verzió.
Az ISA Server-hez ajánlott konfiguráció
5/10/2018 ISA Server telepítés - slidepdf.com
http://slidepdf.com/reader/full/isa-server-telepites 8/9
Processzor: 300 MHz-es vagy nagyobb Pentium IIMemória: 256 MB RAMMerevlemez: NTFS partíció, 20 MB szabad lemezterületA gyorsítótár mérete: 4-8 MB kliensenként (azaz ha 200 felhasználónk van, akkor kb.200x8MB)
Operációs rendszer: Windows 2000 Server v. Advanced Server + legalább a Windows 2000SP1
Az optimális konfiguráció személyes tapasztalatom alapján igazából csak a RAM méretébentér el, és ez nem is a szoftver futtatási igényei miatt, hanem pl. a hagyományos gyorsítótár (vagy a reverse cache) egy résznek a rendszermemóriába helyezése miatt van így. Fontostudnunk azt, hogy ez az érték szabályozható, és általában szükséges is, hiszen a gyárialapbeállítás miatt az ISA "elkéri" az összes RAM felét! Erre általában - ha szűkös kereteink vannak, akkor meg főleg - nincs szükség, ezért állítsunk be ennél a kevesebbet a CacheConfiguration tulajdonságai között az Advanced fülön, a következő ábra szerint.
A gyorsítótár RAM igényének beállításaOkos dolog még a gyorsítótárat egy külön, csak erre a célre használható NTFS particióra tenniés nem az amúgy is terhelt rendszerpartíción tárolni. Amennyiben ezt a partíciót még atelepítés előtt létrehozzuk, akkor már a telepítés közben is kiválaszthatjuk a gyorsítótár célpontjaként. A gyorsítótár persze lehet több partición is, de célszerűbb egy helyen tárolni azegészet.
Végül, még annyit tegyünk hozzá a legutolsó tételhez, hogy természetesen Windows Server 2003 alatt is tökéletesen működik a szoftver, amennyiben az ISA Service Pack 1 és aisahf255.exe nevű patch fel van telepítve. Erre egyébként figyelmeztet is a telepítő. Ezeket a
5/10/2018 ISA Server telepítés - slidepdf.com
http://slidepdf.com/reader/full/isa-server-telepites 9/9
komponenseket (több más ISA-hoz használható eszköz mellett) megtalálhatjuk a Sulinet FTP-n is, ezen a helyen.
A szoftver telepítési módjai
Azt, hogy milyen üzemmódban működik az ISA, a telepítés során kell meghatároznunk,
ennek módosítására a későbbiekben nincs is lehetőség, tehát jól fontoljuk meg, mit választunk az alábbiakból:
- Gyorsítótár mód (csak a hálózati teljesítmény növelése a web cache-sel)- Tűzfal mód (csak a biztonságos Internet elérés és a belső szerverek védelme)- Integrált mód (az előző kettő kombinációja, általában, és egy darab ISA szerver esetén ez azajánlott)
Telepítése előtti teendők
Az új partíció kialakítása mellett ide tartozik a hálózati kártyák beállítása is. A két hálózatikártyából (ami alapkö-vetelmény a tűzfal működési sajátosságai miatt) az egyiket a belső
hálózaton (privát IP címmel) fogjuk használni, a másikat a külső hálózat eléréséhez (általábanaz iskolai router) csatlakoztassuk. Kötelező a külső kártya jellem-zői között a Client for
Microsoft Networks, a File and Printer Sharing for Microsoft Networks szolgáltatásokat letil-tani, a TCP/IP beállításnál a NetBIOS-t és minden más belső hálózatra vonatkozó beállítástignorálni. Viszont ne feledkezzünk arról, hogy a külső kártyához a hálózaton érvényes DNSkiszolgálót (a sulinetes központi DNS szervereket) mindenképpen be kell állítanunk. Állítsuk
be még az alapértelmezett átjárót a külső hálózati kártyán (ami általában az iskolai router IPcíme). A belső hálózati kártyához pedig ne állítsunk be alapértelmezett átjárót.
Az ISA Server működéséhez (ellentétben a Proxy Serverrel) nem szükséges az IIS futtatása ésnem is ajánlott, persze bizonyos körülmények között (pl. ha összesen egy szerverünk van) erreis szükség lehet és meg is oldható, erről a sorozat egy későbbi részében még szó lesz.
Ha mindezekkel készen vagyunk kezdhetjük is a telepítést, amelynek konkrét, képekkelillusztrált lépéseit a sorozat következő részében tekinthetjük majd meg.
