ISA Server 2004 SP2 使用指南 下载本文

22 AF0100121 AF0011113 AAFF001101 12 AF0010111 00000BE 无 0 Best Effort,尽力而为。BE是默认的DiffServ位设置,不具有任何优先级。 0 0 0 0

DiffServ Web筛选器具有最高的优先级,它位于Web筛选器列表中的首位,这是因为它必须了解将要发送的请求或响应的大小,因此必须在ISA Server 发送或接收数据时检查数据;同样,你不应调整Web筛选器的优先级。

另外,请注意:

? ISA Server不会为HTTP或HTTPS之外的协议添加DiffServ位,并且,ISA Server可能不会传输其他协议数据包的现有DiffServ位(此信息可能会在传送数据包之前从数据包中移除)。

? ?

第一个数据包优先级将不会分配给从缓存中获取的响应;

在分配第一个数据包优先级时,在计算分配到数据包优先级的第一个数据块的长度时,并不包括数据包优先级的长度,因此第一个数据包优先级应该分配给一个较大的数据块。

? 通过DiffServ协议实现数据包优先级时,必须要求网络中的路由器支持QoS功能。

改进的特性

SP2对ISA Server 2004的几个特性进行了修改,包括:

缓存阵列路由协议(CARP)

ISA Server 2004 企业版使用缓存阵列路由协议(CARP)通过基于请求URL地址的哈希路由算法来决定处理请求的阵列服务器,也可以使用CARP例外来指定希望只是通过某一阵列服务器访问的Web站点,此时,ISA Server 2004企业版基于客户请求的主机名头中的主机名来决定处理此请求的阵列服务器。为了更好的完善IE的功能和控制客户请求的分布,在SP2中进行了以下修改:

首先,在SP2中CARP路由算法基于主机名(而不再是请求URL地址)来决定处理请求的阵列服务器。因此,CARP将针对某一特定主机(例如www.isacn.org)的所有请求分配给特定的阵列服务器,这样可以让请求和响应由单个阵列服务器进行处理,从而保持了会话的完整性。

其次,当大量客户访问某个属于CARP例外的Web站点时,根据基于请求的主机名的CARP哈希算法,将总是由某个ISA Server来处理这些客户的请求,从而造成此ISA Server负荷过重;在SP2中,修改了CARP哈希算法,当客户访问的Web站点属于CARP例外时,将基于客户的源IP地址来进行哈希计算,从而可以将客户请求分布到不同的ISA Server上。

自动发现

SP2对ISA Server中的客户自动发现行为进行了修改,当ISA Server安装了SP2后,如果网络属性中配置的直接访问的服务器或域列表中包含有IP地址,那么只有当客户发起的请求同时匹配以下两个条件时才会越过代理直接进行访问:

? 客户请求访问的目的IP地址匹配客户所属网络属性中Web浏览器标签中所配置的直接访问的IP地址范围;

? 客户请求访问的服务器名匹配客户所属网络属性中Web浏览器标签中所配置的服务器名或域名;

如果直接访问的服务器或域列表中不含有IP地址,则客户的直接访问行为和过去一样。因此,如果你在直接访问的服务器或域列表中加入了IP地址,那么应加入所有需要直接访问的IP地址,否则客户不会进行直接访问。

跟踪

SP2包括了一个后台运行的调试级别为错误的跟踪机制,跟踪所得的信息有助于微软产品技术支持分析问题,它并不会搜集任何个人信息。此跟踪机制基本上不会对ISA Server的性能造成任何影响,默认情况下它将在任何运行ISA Server服务的计算机上创建一个大小为400M的文件(文件名为%windir%\\debug\\isalog.bin),用于存储跟踪信息。

微软推荐你保留默认设置,不过你可以通过修改HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\ISATrace下的键值来修改跟踪机制的运行方式,修改后需重启计算机:你可以通过修改CircularlLogSizeMB键值来定义跟踪信息存储文件的大小;也可以通过修改BootTracing键值为0来禁止跟踪机制,不过,禁止跟踪机制并不会删除跟踪信息的存储文件,你必须手动删除此文件。如果你在安装SP2之前创建了此键值并且设置BootTracing为0,则安装SP2时跟踪机制并不会启用并且不会创建跟踪信息存储文件。

身份认证安全性

在安装SP2之后,当使用HTTP to HTTP桥接并且Web侦听器的身份验证方式配置为基本身份验证、基于表单的身份验证或RADIUS认证时,ISA Server将不再允许到外部HTTP端口的访问,这是因为这些身份验证方式的身份验证信息应该通过加密通道进行传送,而不是通过HTTP使用清晰的文本进行传送。

安装和配置

安装SP2

你可以在ISA中文站下载ISA Server 2004的SP2补丁,安装SP2之前建议你先修改注册表,创建以下键值以禁止SP2的跟踪机制: