Содержание

Установка и удаление

Обновление

Администрирование

Клиент межсетевого экрана

Публикация

Документация

HTML-файлы сообщений об ошибках

Прочитайте это в первую очередь

В данном документе содержатся сведения о Microsoft Security and Acceleration (ISA) Server 2006.

Обязательно изучите руководство по быстрому запуску Microsoft ISA Server 2006 (Isastart.chm). Данный документ содержит инструкции по установке и предварительные условия установки, описание новых функций ISA Server 2006 и подробные обзоры этих функций. Данный документ доступен на странице автозапуска ISA Server 2006 и расположен в корневой папке компакт-диска ISA Server 2006. Кроме того, инструкции по развертыванию и описания распространенных случаев содержатся в документах на веб-узле с рекомендациями для ISA Server.

Назад к содержанию

1. Установка и удаление

  1. Для обеспечения максимальной защиты всегда устанавливайте последние обновления операционной системы. Сведения о последних обновлениях см. в Центре обновления Майкрософт.

  2. Данная версия не поддерживает ISA Server 2006, установленный на компьютерах под управлением операционной системы Microsoft Windows Server "Longhorn".

  3. Данная версия не поддерживает диспетчер ISA Server, установленный на компьютерах под управлением операционной системы Microsoft Windows Vista.

  4. При удалении ISA Server некоторые файлы не удаляются с компьютера. В следующей таблице перечислены остающиеся файлы и их местонахождение.

    Папка Имя файла

    %windir%

    IsUninst.exe, Atl71.dll, ismifcom.dll, msvcp71.dll, msvcr71.dll. Только Enterprise Edition: \config\adam_isastgctrl.evt

    %windir%\System32

    DBmsLPCn.dll, dbmsgnet.dll, dbmsqlgc.dll
  5. Если ISA Server 2004 установлен на компьютере под управлением Windows 2000 Server, Microsoft SQL Server 2000 Desktop Engine (MSDE) запускается под локальной системной учетной записью. После обновления до Windows Server 2003 MSDE продолжает запускаться под локальной системной учетной записью. Однако при обновлении ISA Server служба межсетевого экрана Microsoft запускается под учетной записью сетевой службы. Поскольку учетная запись сетевой службы не имеет разрешений на доступ к MSDE, служба межсетевого экрана не сможет получить доступ к MSDE, и обновление завершится с ошибкой. Чтобы обойти эту проблему, удалите и снова установите MSDE с помощью мастера установки ISA Server 2004. Для этого выполните следующие действия:

    1. Щелкните Пуск, затем Выполнить, введите appwiz.cpl в поле Открыть, а затем нажмите кнопку ОК.

    2. В окне Установка и удаление программ нажмите Microsoft ISA Server 2004, а затем Изменить/Удалить.

    3. В мастере установки Microsoft ISA Server 2004 нажмите кнопку Далее.

    4. На странице Обслуживание программ выберите Изменить и нажмите кнопку Далее.

    5. На странице Выборочная установка раскройте Службы межсетевого экрана и выберите Подробный журнал.

    6. Выберите Этот компонент будет недоступен.

    7. Нажмите кнопку Далее, а затем Установить.

    8. На странице Работа мастера установки завершена нажмите Готово, а затем закройте автоматически открывшееся окно Internet Explorer.

    9. Повторите этапы с 1 по 5, а затем нажмите Этот компонент будет установлен на локальный жесткий диск.

  6. Если MSDE удален с компьютера ISA Server, необходимо установить его заново при помощи программы установки ISA Server, изменив состав установки. Перед переустановкой MSDE следует остановить службу межсетевого экрана. В противном случае установка MSDE может занять до 45 минут. Обратите внимание, что служба межсетевого экрана автоматически перезапустится после завершения установки.

  7. Иногда некоторые интерфейсы не регистрируются при регистрации Msfpccom.dll, что может привести к получению пользователем сообщения об ошибке Интерфейс не зарегистрирован в оснастке диспетчера ISA Server. В этом случае следует отменить регистрацию (выполнив команду regsvr32 –u msfpccom.dll) и заново зарегистрировать библиотеку (выполнив команду regsvr32 msfpccom.dll).

  8. При установке ISA Server Enterprise Edition несколько библиотек DLL устанавливаются в следующие системные папки Windows: C:\WINDOWS\ADAM и C:\\WINDOWS\ADAM\EN.

  9. Полная работоспособность ISA Server 2006 проверена при тестировании на Microsoft Virtual Server 2005 R2. Однако развертывание ISA Server в среде Virtual Server 2005 R2 следует ограничить только целями тестирования. В частности, не рекомендуется использовать среду Virtual Server 2005 R2, где ISA Server 2006 используется в качестве межсетевого экрана.

  10. После установки ISA Server 2006 рекомендуется использовать мастер настройки системы безопасности Windows  для усиления инфраструктуры Windows для ISA Server. Подробные сведения см. в руководстве по усилению безопасности и администрированию ISA Server 2006. Обратите внимание на следующее:

    • Функция ведения журнала в MSDE была удалена из мастера настройки системы безопасности Windows для ISA Server 2006 и ISA Server 2004. Использованием MSDE теперь управляет ISA Server.

    • При ручном усилении компьютера служба хранилища Microsoft ISA Server на компьютере сервера хранилища должна быть включена. Состояние данной службы можно проверить в области сведений оснастки служб Windows. Данное изменение касается только выпуска Enterprise Edition.

  11. Когда член массива устанавливается в массиве с включенной балансировкой сетевой нагрузки, порты, используемые прослушивателями, определенными в массиве, не будут доступны сразу после перезагрузки службы межсетевого экрана в конце установки. Это связано с тем, что конфигурации балансировки сетевой нагрузки требуется время для синхронизации после добавления нового члена массива. После выполнения синхронизации конфигурации балансировки сетевой нагрузки (это может занять несколько минут) функциональность прослушивателей будет восстановлена автоматически. В некоторых случаях функциональность некоторых прослушивателей восстанавливается не полностью даже после синхронизации конфигурации балансировки сетевой нагрузки. Эта проблема устраняется путем перезагрузки службы межсетевого экрана.

2. Обновление

В данном разделе описаны проблемы, которые могут возникнуть при обновлении с ISA Server 2004 до ISA Server 2006.

  1. Для ознакомления с процедурой обновления ISA Server 2004 до ISA Server 2006 изучите руководство по обновлению на странице автозапуска ISA Server 2006.

  2. При обновлении до ISA Server 2006 все изменения, сделанные в ISA Server 2004 в оповещении Сжатие с использованием неподдерживаемого метода, не будут отражены в обновленной конфигурации оповещения. Вместо этого к данному оповещению будет применена конфигурация оповещения в ISA Server 2006 по умолчанию. Кроме того, все определенные пользователем оповещения, в которых имеется ссылка на событие Сжатие с использованием неподдерживаемого метода, не будут включены в обновленную конфигурацию.

  3. При обновлении до ISA Server 2006 не обновляются следующие параметры фильтра RTSP: RtspSetupLimit, RtspMaxUrlLength и RtspTransportList.

  4. Когда для веб-прослушивателя ISA Server 2004 указан метод проверки подлинности клиента SecurID, а для правила веб-публикации, использующего этот веб-прослушиватель, указано делегирование обычной проверки подлинности, правило обновить невозможно. В этом случае обновление будет заблокировано. Во избежание этого перед обновлением проверьте, что для всех правил веб-публикации, использующих веб-прослушиватели с проверкой подлинности клиента SecurID, не указано делегирование обычной проверки подлинности.

  5. Для выпуска ISA Server Enterprise Edition: если в экспортированном файле конфигурации ISA Server 2004 в свойствах массива указан альтернативный сервер хранилища настроек, может произойти ошибка во время обновления импортированного файла конфигурации до сервера хранилища настроек ISA Server 2006. Во избежание этого после импорта файла откройте свойства массива и на вкладке Хранилище настроек удалите указанный альтернативный сервер хранилища, а затем нажмите кнопку ОК. Затем примените эту конфигурацию, нажав кнопку Применить на панели Применить изменения.

  6. При обновлении с ISA Server 2004 SP2 сквозная проверка подлинности при помощи опубликованного сервера через HTTP-подключение, которое не является безопасным, может не работать после обновления. Для правильной работы сквозной проверки подлинности может потребоваться изменить веб-прослушиватель. Для этого выполните одно из следующих действий:  

    • На вкладке Подключения измените параметр веб-прослушивателя Тип подключения клиента для использования безопасного подключения.

    • На вкладке Проверка подлинности нажмите Дополнительно и измените веб-прослушиватель, установив флажок Разрешить проверку подлинности клиента через HTTP.

В данном разделе описаны проблемы, которые могут возникнуть при обновлении с версии-кандидата (RC) ISA Server 2006 до ISA Server 2006.

  1. Для ознакомления с процедурой обновления с версии-кандидата (RC) ISA Server 2006 до данной сборки ISA Server 2006 (обновление от одной сборки к другой) прочитайте руководство по обновлению на странице автозапуска ISA Server 2006.

  2. Обновление от одной сборки к другой с бета-версии ISA Server 2006 до данной версии ISA Server 2006 не поддерживается. В этом случае необходимо сначала произвести обновление бета-версии ISA Server 2006 до версии-кандидата ISA Server 2006 RC, а затем обновить версию-кандидата (RC). Перед обновлением прочитайте замечания по выпуску версии-кандидата (RC) ISA Server 2006.

  3. Если во время обновления от сборки к сборке или восстановления установки на компьютере ISA Server запущен агент Microsoft Operations Manager (MOM), операция может завершиться с ошибкой. Во избежание этого остановите службу MOM перед началом обновления от сборки к сборке или восстановления. Чтобы остановить службу MOM, в командной строке введите net stop mom или используйте диспетчер управления службами (запустите services.msc).

  4. Из соображений безопасности Internet Explorer не отправляет файлы cookie домена, когда имя сервера содержит знак подчеркивания (_). Соответственно, ISA Server 2006 блокирует использование знака подчеркивания во внешних именах правил публикации, когда для применяемого веб-прослушивателя включен единый вход. Во время обновления от сборки к сборке ISA Server проверяет, содержит ли свойство PublicNames правил веб-публикации, связанных с веб-прослушивателем с включенным единым входом, имена, содержащие подчеркивания. При обнаружении этого символа в свойстве PublicNames обновление будет завершено с ошибкой. Во избежание этого перед запуском обновления от сборки к сборке проверьте, что все имена, включенные в свойство PublicNames, не содержат знака подчеркивания.

  5. Локальные журналы MSDE на компьютере ISA Server не удаляются во время процесса обновления от сборки к сборке. Это может привести к достижению ограничения места на диске. Чтобы удалить эти файлы журналов, перейдите в папку \\Program Files\Microsoft ISA Server\ISAlogs и вручную удалите файлы. Обратите внимание, что следует удалять только файлы журналов с расширениями MDF или LDF, имеющие старую дату и следующий формат имени журнала:  ISALOG_ГГГГММДД_WEB_XXX, или ISALOG_ ГГГГММДД _FWS_XXX.

  6. При обновлении от одной сборки к другой с версии-кандидата (RC) ISA Server 2006 до этой версии шаблоны форм, расположенные в папке установки ISA Server …\CookieAuthTemplates\ISA, не заменяются. Новые формы устанавливаются в папку ...\CookieAuthTemplates\ISA\HTML.  В результате все изменения форм, сделанные до обновления, не будут перенесены в новые формы. Кроме того, в формы версии-кандидата (RC) были внесены следующие изменения:

    • Strings.txt использует другой формат для настраиваемых строк. Новый формат имеет вид имя=значение.

    • Ссылки в HTML-файлах должны содержать расширение файла. Например, lgntop.gif.

  7. После обновления со сборки версии-кандидата (RC) ISA Server 2006 до этой версии ISA Server 2006 имена некоторых счетчиков производительности в системном мониторе будут отображаться неправильно. Во избежание этого перед обновлением следует отменить регистрацию объектов и счетчиков производительности. Для этого выполните: unlodctr <служба>, где <служба> принимает последовательно следующие значения: w3pcache, FwEng, H323FLTR, SocksFlt, w3proxy и FwSrv.

  8. После обновления номер версии, отображаемый в узле "Серверы" диспетчера ISA Server, не обновляется. Чтобы посмотреть обновленный номер версии, нажмите Справка, а затем О продукте Microsoft ISA Server 2006. Откроется диалоговое окно, в котором содержатся сведения о версии.

  9. При удалении основного сервера хранилища настроек необходимо, чтобы он мог связываться по крайней мере еще с одним сервером хранилища настроек предприятия. Это взаимодействие необходимо для надлежащего обновлений копий во время процесса удаления. В противном случае при попытке удаления сервера хранилища настроек, который не подключен к другому, он может попытаться подключиться к удаленному основному серверу хранилища настроек. В результате не удастся удалить сервер хранилища настроек, что требуется для завершения обновления. Данная проблема относится только к выпуску Enterprise Edition.

Назад к содержанию

3. Администрирование

  1. Поддержка приоритизированных служб обеспечивается только для клиентов веб-прокси. Пакеты приоритизированных служб применяются к трафику от прозрачных клиентов, но не должны участвовать в приоритизации пакетов данных клиентов.

  2. ISA Server не может изменять приоритет приоритизированных служб во время сеанса HTTPS, и первый выбранный приоритет будет действовать во время всего сеанса. В результате к содержимому, передающемуся через HTTPS-туннель, применяются следующие ограничения:

    • Параметр Разрешить особую обработку заголовков запросов и ответов в соответствии с приоритетом на вкладке Приоритеты не применяется.

    • Параметр Применить ограничения размера к данному приоритету на странице свойств Добавление приоритета не применяется.

  3. Мастер создания файла ответов поддерживает ввод в кодировке Юникод. Однако поскольку файл ответов создается в формате ANSI, символы, использованные при вводе, должны преобразовываться в ANSI. Поэтому если вводимые строки будут содержать символы, не преобразуемые в ANSI правильно, файл ответов не будет создан правильно. Во избежание этого выполните следующее:

    1. При запуске мастера создания файла ответов указывайте путь файла в формате ANSI для сохранения созданного файла и вводите в качестве заместителей символы ANSI (такие как символы английского алфавита) в следующих свойствах: имя сети типа "сеть-сеть" для удаленной сети, предварительный ключ, имя массива и описание массива, а также путь к сертификату

    2. Откройте созданный файл ответов и сохраните его в формате Юникод.

    3. Отредактируйте файл ответов в формате Юникод и измените строки, указав их реальные значения.

  4. Кнопка Обзор на странице Присоединить к существующему массиву Мастера создания файла ответов не работает. Для ввода имени массива следует ввести имя массива в текстовое поле "Имя массива".

  5. При работе с выпуском Enterprise Edition в качестве администратора массива не работает выбор участия в программе по улучшению качества ПО путем нажатия ссылки Программа по улучшению качества программного обеспечения в области сведений и затем установки флажка Участвовать в диалоговом окне Отзывы пользователей. Чтобы администраторы массива могли участвовать в программе, им необходимо сначала установить флажок в свойствах массива на вкладке Отзывы пользователей.

  6. При использовании выпуска Enterprise Edition сервер хранилища настроек создает следующие файлы журналов в системной папке Windows: ADAM.log, ADAMUninst.log и PFRO.log.

Назад к содержанию

4. Клиент межсетевого экрана

  • Данная версия не поддерживает клиенты межсетевого экрана, установленные на компьютерах под управлением операционных систем Microsoft Windows Server "Longhorn" или Microsoft Windows Vista. Установка клиента межсетевого экрана для данных операционных систем заблокирована.

Назад к содержанию

5. Публикация

  1. Некоторые приложения (такие как проигрыватель Windows Media, Microsoft Office Picture Manager и Microsoft Outlook Mobile Access) не поддерживают проверку подлинности сертификата клиента во время подтверждения SSL/TLS и не смогут проверить подлинность, когда потребуется проверка подлинности клиента. В результате пользователи получат сообщение об ошибке от таких приложений при попытке получения доступа к опубликованному содержимому. Эта проблема возникает, если веб-прослушиватель требует проверки подлинности SSL-сертификата клиента или если веб-прослушиватель требует проверки подлинности на основе форм, а хотя бы одно из правил публикации, использующих данный веб-прослушиватель, требует дополнительный SSL-сертификат клиента. В случаях некоторых приложений, таких как Windows Media Player, пользователю удается сохранить объект по ссылке в локальную папку, а потом получить доступ к содержимому из данной папки.

  2. Когда веб-доступ к Office Communicator публикуется при помощи мастера создания правила веб-публикации, у пользователей могут возникать ошибки при отправке сообщений. В этом случае удалите правило веб-публикации и создайте новое правило при помощи мастера создания правила веб-публикации Exchange. На странице мастера Выбор служб выберите Веб-клиент Outlook в качестве публикуемой почтовой службы веб-клиента. После создания правила необходимо отредактировать свойства правила и внести следующие изменения: На вкладке Проверка подлинности выберите Проверка подлинности NTLM. На вкладке Пути удалите все пути Exchange и введите путь /*.

  3. Чтобы разрешить создание файлов cookie SecurID сервером ISA Server, являющихся доверенными для веб-агента SecurID, на компьютере ISA Server и веб-агенте должен быть одинаковый секрет домена. При экспорте секрета на компьютере веб-агента проверьте, что в поле Имя домена диалогового окна Управление конфигурацией домена нет данных. Если в поле введено имя домена, при импорте секрета домена на компьютер ISA Server произойдет ошибка.

  4. При настройке правила публикации доступа веб-клиента Exchange для Exchange Server 2007 не работают параметры блокирования вложений при публикации Exchange на странице свойств "Параметры приложения" для правила.

Назад к содержанию

6. Документация

  1. При открытии с общего сетевого ресурса страницы руководства по быстрому запуску не отображаются на компьютере под управлением Microsoft Windows Server 2003 с пакетом обновления 1. Для просмотра руководства по быстрому запуску скопируйте файл Isastart.chm в локальный каталог и откройте его оттуда. Дополнительные сведения и другие параметры см. в статье 896054 базы знаний Майкрософт "После установки обновления безопасности 896358, пакета обновления 1 (SP1) для Windows Server 2003 или обновления безопасности 840315 не удается открыть удаленное содержимое с помощью протокола InfoTech".

  2. В документе "Обновление ISA Server 2004 Enterprise Edition до ISA Server 2006 Enterprise Edition" в разделе "Сценарий 4. Массив с балансировкой нагрузки" обратите внимание на следующие исправления:

    • Текст "После завершения обновления сервера хранилища настроек необходимо отключить интеграцию балансировки сетевой нагрузки для массива ISA Server" следует читать как: "После завершения обновления сервера хранилища настроек необходимо добавить дополнительные виртуальные IP-адреса, а затем применить изменения, нажав кнопку Применить на панели Применить изменения. Затем отключите интеграцию балансировки сетевой нагрузки для массива ISA Server".

    • В том же разделе перед пунктом "Запустите службу балансировки сетевой нагрузки на членах массива ISA Server 2006" пропущен этап. Перед запуском службы балансировки сетевой нагрузки необходимо сначала включить интеграцию балансировки сетевой нагрузки.

Назад к содержанию

7. HTML-файлы сообщений об ошибках

В ISA Server имеется набор сообщений об ошибках, которые могут возвращаться клиентам веб-обозревателя. Эти сообщения об ошибках находятся в каталоге установки сервера ISA Server в папке ErrorHtmls. По умолчанию эти сообщения об ошибках устанавливаются на языке установки используемой версии ISA Server. Независимо от используемого языка установки, HTML-страницы с сообщениями об ошибках 12221r.htm и 12222r.htm устанавливаются только на английском языке. Локализованные версии этих страниц сообщений об ошибках можно загрузить из пакета ErrorHtmls, который доступен в Центре загрузки ISA Server. Установите данный пакет, а затем скопируйте извлеченные страницы 12221r.htm и 12222r.htm из папки соответствующего языка в каталог ErrorHtmls на компьютере ISA Server. Если используется выпуск ISA Server Enterprise Edition, то потребуется скопировать эти файлы на каждый компьютер ISA Server в массиве.

Назад к содержанию

Сведения, содержащиеся в настоящем документе, включая URL-адреса и другие ссылки на веб-узлы, могут быть изменены без предварительного уведомления. Если не указано иное, используемые в примерах наименования компаний, организаций, изделий, имена людей и описания событий являются вымышленными, и любые ассоциации с существующими компаниями, организациями, изделиями, именами доменов, адресами электронной почты, логотипами, людьми, местами или событиями являются случайными и непреднамеренными. Соблюдение всех требований действующего законодательства по охране авторских прав является обязанностью пользователя. Воспроизведение, сохранение или введение в любую систему поиска какой-либо части данного документа, а также его передача в любой форме, с любой целью и с помощью любых средств (электронных, механических, фотокопирования, записи или иных других) без письменного разрешения корпорации Майкрософт является нарушением авторских прав.

Корпорация Майкрософт может обладать патентами, заявками на патенты, торговыми знаками, авторскими правами или другими средствами зашиты прав на интеллектуальную собственность, относящимися к предметам и темам, описанным в данном документе. Получение данного документа не предоставляет лицензию на вышеуказанные патенты, торговые знаки, авторские права или другие права на интеллектуальную собственность, за исключением случаев, когда это явно оговорено в письменном лицензионном соглашении, выданном корпорацией Майкрософт.

© 2006. Корпорация Майкрософт. Все права защищены.

Microsoft, Outlook, Windows Server и Windows Vista являются охраняемыми товарными знаками корпорации Майкрософт в США и/или других странах.

Назад к содержанию