среда, 27 февраля 2008 г.

Переход с ISA на.. ISA

Методика не сложна, но в мелочи (типа смены шлюза) имеют свойство забываться, по-этому опишу алгоритм...
Итак имеем ISA 2004 SE (работавший с 11.11.2005!) на одном компьютере и свежеустановленный ISA 2006 SE на другом.
Цель- физически поменять шлюзовые компьютеры!
Еще- ISA 2004 SE несет на себе сервер лицензирования терминального доступа который надо переместить на DC.

1. Устанавливаем службу Ts CAL и активизируем сервер лицензирования терминального
доступа на DC (пусть пока выдает временные лицензии- сами Ts CAL у нас куплены
(т.о. мы лицензию не нарушаем), а мы пока свяжемся с MS.

2. Вылючаем внутренний LAN на ISA 2004.
3. Кабель с WAN ISA 2004 перекидываем на ISA 2006.
4. Т.к. у нас несколько ISP перед ISA мы используем роутер Zy
- на нем, в Static Route меняем маршрут с WAN ISA 2004 на WAN ISA 2006.
5. Исправляем шлюз по умолчанию на всех компьютерах со статическими IP (в первую очередь на TS и DC)
ВСЁ!


На сегодня я не решил два вопроса связанных с ISA:

1. Automatically detect ISA Server (auto-discovery) клиентом брандмауера.

Короче:
Win 2003 r2 + isa server 2006 se
Проблема с Automatically Detect ISA server:
a. В настройках isa auto discovery флажок установлен.
b. алиас wpad на isa сервер в dns есть, с клиентов резолвится.
c. Из браузера доступ к http://isaserver.domain/wpad.dat, а также
http://wpad.domain/wpad.dat, есть.
Клиент автоматически не определяет Isa server, только если прописать в ручную!!!

На http://forums.microsoft.com/TechNet-RU/ShowForum.aspx?ForumID=960&SiteID=40
посоветовали:

Когда ISA Server требует аутентификации для запросов автоматического обнаружения WSPAD (HTTP GET запрос http://address:port/wspad.dat), клиенты брандмауера (Firewall clients) не могут действовать в соответствии с получаемым ответом 401 Unauthorized, генерируемым ISA Server, и клиенты не могут получить информацию из файла Wspad.dat (Ошибка 407).
Эта настройка не влияет на запросы, исходящие от Web браузеров по адресу http://address:port/wpad.dat потому что Web браузер может генерировать диалоговое окно аутентификации, в котором пользователь может указать свои учётные данные для аутентификации.
К сожалению, эта настройка не позволяет клиентам брандмауера (Firewall client) получать конфигурационные данные из файла Wspad.dat, хранимого на компьютере ISA Server.
Причина: Когда мы выбираем опцию Require all users to authenticate в свойствах аутентификации Web proxy защищённой сети, например сети Internal, все HTTP GET запросы, включая запросы WSPAD от клиентов брандмауера (Firewall clients) из защищённой сети обязательно должны быть аутентифицированы, вне зависимости от фактического назначения портов. Однако, клиенты бранмауера (Firewall Client) не поддерживают HTTP аутентификацию, вне зависимости от выбранного метода аутентификации (напрмер Basic authentication или Integrated Windows authentication). Поэтому, когда клиент бранмауера (Firewall client) пытается получить файл Wspad.dat во время автоматического обнаружения, компьютер ISA Server не перенаправляет запрос на WPAD сервер.

Решение: Для ISA Server 2004 Standard Edition, установите последний service pack и добавьте значение реестра SkipAuthenticationForRoutingInformation в ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Services\W3Proxy\Parameters registry key, и присвойте ему значение 1 или больше (1-достаточно). Дополнительную информацию можно найти здесь:
http://support.microsoft.com/default.aspx?scid=kb;en-us;885683


2. Вторая не решенная проблема-
не могу заставить качать Update с сайта MS, указывая в destination
подмножество url и (или) имен доменов Update MS (только IP!)!