目录

安装和卸载

升级

管理

防火墙客户端

发布

文档

错误 HTML 文件

先阅读此信息

本文档提供有关 Microsoft Security and Acceleration (ISA) Server 2006 的信息。

务必阅读 Microsoft Internet Security and Acceleration (ISA) Server 2006“快速入门指南”(Isastart.chm)。该指南提供安装说明和设置先决条件,描述 ISA Server 2006 新功能,并详述突出这些功能的步骤。本文档可从 ISA Server 2006 自动运行页面上获得,也可从 ISA Server 2006 光盘上的根文件夹上找到。此外,有关常用方案的部署说明和信息,请参阅相关解决方案文档,这些文档可从 ISA Server Guidance 网站获得。

返回目录

1. 安装和卸载

  1. 为保证最佳安全性,请始终为您的操作系统安装最新的更新。有关您可能需要安装的最新更新的信息,请参阅 Microsoft Update

  2. 此版本不支持安装在运行 Microsoft Windows Server Code Name "Longhorn" 操作系统的计算机上的 ISA Server 2006。

  3. 此版本不支持安装在运行 Microsoft Windows Vista 操作系统的计算机上的 ISA 服务器管理。

  4. 卸载 ISA 服务器时,有些文件并未从计算机上完全删除。下表列出了保留的文件及其位置。

    文件夹 文件名

    %windir%

    IsUninst.exe、Atl71.dll、ismifcom.dll、msvcp71.dll 和 msvcr71.dll。仅限 Enterprise Edition\config\adam_isastgctrl.evt

    %windir%\System32

    DBmsLPCn.dll、dbmsgnet.dll 和 dbmsqlgc.dll
  5. 当 ISA Server 2004 安装在运行 Windows 2000 Server 的计算机上时,Microsoft SQL Server 2000 Desktop Engine (MSDE) 将在本地系统帐户下运行。升级到 Windows Server 2003 后,MSDE 仍然会继续在本地系统帐户下运行。但在升级 ISA 服务器时,Microsoft 防火墙服务会在网络服务帐户下运行。由于网络服务帐户并无访问 MSDE 的权限,防火墙服务同样也不能访问 MSDE,从而导致升级失败。要解决此问题,请使用 ISA Server 2004 安装向导来卸载并重新安装 MSDE。要执行此操作,请执行以下步骤:

    1. 单击“开始”,单击“运行”,在“打开”框中键入 appwiz.cpl,然后单击“确定”。

    2. 在“添加或删除程序”窗口中,单击“Microsoft ISA Server 2004”,然后单击“更改/删除”。

    3. 在 Microsoft ISA Server 2004 安装向导中,单击“下一步”。

    4. 在“程序维护”页上,单击“修改”,然后单击“下一步”。

    5. 在“自定义安装”页上,展开“防火墙服务”,然后单击“高级日志”。

    6. 单击“无法使用这项功能”。

    7. 单击“下一步”,然后单击“安装”。

    8. 在“安装向导完成”页上,单击“完成”,然后关闭自动打开的 Internet Explorer 窗口。

    9. 重复步骤 1 至 5,然后单击“这项功能会被安装到本地硬盘上”。

  6. 如果 MSDE 已从 ISA 服务器计算机上卸载,则需要通过运行 ISA 服务器安装程序并通过修改安装来重新安装。在重新安装 MSDE 之前,您应先停止防火墙服务。否则 MSDE 安装可能会持续 45 分钟。请注意,防火墙服务会在安装完成后自动重新启动。

  7. 在有些情况下,某些接口在 Msfpccom.dll 注册期间并未注册,这可能会导致用户在“ISA 服务器管理”管理单元中收到错误消息“接口未注册”。如果发生这种情况,您应取消注册(通过运行 regsvr32 –u msfpccom.dll),然后重新注册(通过运行 regsvr32 msfpccom.dll)。

  8. 在安装 ISA Server Enterprise Edition 时,有几个 DLL 会安装到以下 Windows 系统文件夹中:C:\WINDOWS\ADAM 和 C:\WINDOWS\ADAM\EN。

  9. ISA Server 2006 已在 Microsoft Virtual Server 2005 R2 上进行过测试,其功能应完全正常。但是,在 Virtual Server 2005 R2 环境下部署 ISA 服务器应仅限于测试目的。特别是建议不要在 ISA Server 2006 用作网络防火墙的 Virtual Server 2005 R2 生产环境中使用。

  10. 安装 ISA Server 2006 之后,建议您使用 Windows 安全配置向导来强化 ISA 服务器的 Windows 基础结构。有关详细信息,请参阅 ISA Server 2006 安全强化和管理指南。请注意下列事项:

    • ISA Server 2006 和 ISA Server 2004 均已从 Windows 安全配置向导中删除了 MSDE 日志记录功能。ISA 服务器现在控制 MSDE 的使用。

    • 在手动强化计算机时,必须启用配置存储服务器计算机上的 Microsoft ISA 服务器存储服务。您可以在 Windows 服务管理单元的详细信息窗格中验证此服务的状态。此更改仅适用于 Enterprise Edition。

  11. 当阵列成员安装在启用了 NLB 的阵列中时,阵列中定义的任何侦听器所使用的端口均不会在安装结束时防火墙服务重新启动后立即可用。这是由于 NLB 配置在添加阵列成员后需要一定时间进行同步。在 NLB 配置实现同步(这可能需要几分钟时间)后,侦听器功能应自动恢复。在某些情况下,即使在 NLB 配置实现了同步之后,有些侦听器的功能也可能不会完全正常。重新启动防火墙服务将可解决此问题。

2. 升级

本部分涵盖在从 ISA Server 2004 升级到 ISA Server 2006 时可能发生的问题。

  1. 要熟悉有关如何从 ISA Server 2004 升级到 ISA Server 2006 的操作,请阅读 ISA Server 2006 自动运行页面上提供的升级指南。

  2. 升级到 ISA Server 2006 时,在 ISA Server 2004 中对警报“不支持方法的压缩”所作的任何更改均不会反映在升级的警报配置中。此警报应用的是默认的 ISA Server 2006 警报配置。此外,任何用户定义的引用“不支持方法的压缩”的事件也不会包括在升级的配置中。

  3. 升级到 ISA Server 2006 时,RTSP 筛选器的以下参数同样不会升级:RtspSetupLimit、RtspMaxUrlLength 和 RtspTransportList。

  4. 当 ISA Server 2004 Web 侦听器将 SecurID 指定为客户端身份验证方法并使用该 Web 侦听器的 Web 发布规则指定基本身份验证委派时,该规则将无法升级,升级将被阻止。为了避免此问题,在升级前,请先验证使用针对 SecurID 客户端身份验证配置的 Web 侦听器的任何 Web 发布规则未选定基本身份验证委派。

  5. 在 ISA Server Enterprise Edition 中,如果导出的 ISA Server 2004 配置文件在阵列属性中指定了备用配置存储服务器,则在将导入的配置文件升级至 ISA Server 2006 配置存储服务器时将会发生故障。为避免出现这种情况,在导入文件之后,打开阵列属性,在“配置存储”选项卡上删除指定的备用配置存储服务器,然后单击“确定”。然后通过单击“应用更改”栏上的“应用”按钮来应用配置。

  6. 如果从 ISA Server 2004 SP2 升级,则通过 HTTP 连接上的发布服务器来传递身份验证是不安全的,这可能导致在升级后功能不正常。要想将身份验证正确传递给函数,您需要编辑 Web 侦听器,然后执行以下操作之一:  

    • 在“连接”选项卡上,修改 Web 侦听器的“客户端连接类型”以使用安全连接。

    • 在“身份验证”选项卡上,单击“高级”,通过选择“允许通过 HTTP 进行客户端身份验证”复选框修改 Web 侦听器。

本部分涵盖在从 ISA Server 2006 预发行版本 (RC) 升级到 ISA Server 2006 时可能发生的问题。

  1. 要熟悉有关如何从 ISA Server 2006 RC 版升级到此正式发行版 ISA Server 2006(内部版本升级)的操作,请阅读 ISA Server 2006 自动运行页面上提供的“升级指南”。

  2. 不支持从 ISA Server 2006 试用版本到此正式发行版本 ISA Server 2006 的内部版本升级。您必须先将 ISA Server 2006 试用版本升级为 ISA Server 2006 RC,然后再完成从 RC 版到正式发行版的升级。升级前,请仔细阅读 ISA Server 2006 RC 发行说明。

  3. 在内部版本升级或安装修复期间,如果 Microsoft 操作管理器 (MOM) 代理在 ISA 服务器计算机上运行,此操作可能会失败。为了避免此问题,在启动内部版本升级或修复操作之前,请先停止 MOM 服务。要停止 MOM 服务,在命令提示符下,键入“net stop mom”,或使用服务控制管理器(运行 services.msc)。

  4. 出于安全考虑,当服务器名称包含下划线字符 (_) 时,Internet Explorer 不发送域 Cookie。相应地,当应用的 Web 侦听器启用了单一登录 (SSO) 时,ISA Server 2006 同样阻止在发布规则的公共名称中使用下划线字符。在内部版本升级期间,ISA 服务器会根据启用了 SSO 的 Web 侦听器的关联 Web 发布规则来检查 PublicNames 属性是否包括含有下划线的名称。如果在 PublicNames 属性中找到了此字符,升级将失败。为了避免此问题,在运行内部版本升级之前,请先验证 PublicNames 属性中所包括的任何名称不含有下划线字符。

  5. ISA 服务器计算机上的 MSDE 本地日志不会作为内部版本升级过程的一部分删除。这可能导致磁盘空间达到其限制。要删除这些日志文件,请转到 \\Program Files\Microsoft ISA Server\ISAlogs 目录,然后手动删除文件。请注意,您应只删除具有过时日期的带 .mdf 或 .ldf 扩展名的日志文件,以及带以下日志文件名称格式的日志文件: ISALOG_YYYYMMDD_WEB_XXX 或 ISALOG_ YYYYMMDD _FWS_XXX。

  6. 在运行从 ISA Server 2006 RC 版到此正式版的内部版本升级时,位于 ISA 服务器安装目录“…\CookieAuthTemplates\ISA”中的窗体模板不会被替换。新的窗体安装到文件“...\CookieAuthTemplates\ISA\HTML”中。因此,升级前对窗体所作的任何更改均不会迁移到新的窗体中。此外,在 RC 版本中,表单中进行了以下更改:

    • Strings.txt 为自定义的字符串使用了不同的格式。新的格式为“名称=值”。

    • HTML 文件中的链接必须包括文件扩展名。例如 lgntop.gif。

  7. 从 ISA Server 2006 RC 版升级到此正式版 ISA Server 2006 后,某些性能计数器的名称在性能监视器中无法正确显示。要避免此问题,在升级之前,您应取消注册性能对象和计数器。要执行此操作,请运行:unlodctr <service>,其中 <service> 为下列之一:w3pcache、FwEng、H323FLTR、SocksFlt、w3proxy 和 FwSrv。

  8. 升级后,显示在 ISA 服务器管理的服务器节点中的版本号没有更新。要查看更新的版本号,请单击“帮助”,然后单击“关于 Microsoft ISA Server 2006”。出现的对话框中会显示版本详细信息。

  9. 在卸载主要配置存储服务器时,必须能够与企业中的至少一台其他配置存储服务器通信。此通信是必需的,以便在卸载过程中,可以相应地更新副本。否则,在您尝试卸载未连接的配置存储服务器时,系统会尝试连接已卸载的主要配置存储服务器。因此,您将无法按要求卸载配置存储服务器,从而完成升级。此问题仅适用于 Enterprise Edition。

返回目录

3. 管理

  1. DiffServ 支持仅限于 Web 代理客户端。DiffServ 数据包适用于来自透明客户端的通讯,但不适用于那些客户端的数据包优先顺序。

  2. 在安全 HTTP (HTTPS) 会话期间,ISA 服务器无法更改 DiffServ 优先级,最先选定的优先级在整个会话中始终有效。因此,以下限制适用于通过 HTTPS 执行了隧道操作的内容:

    • “优先级”选项卡中的“允许根据此优先级对请求和响应头进行特殊处理”选项不适用。

    • “添加优先级”属性页上的“将大小限制应用于此优先级”选项不适用。

  3. 创建应答文件向导支持 Unicode 输入。但是,由于输出应答文件是以 ANSI 格式生成的,因此输入字符串中所使用的字符必须可转换为 ANSI。同样地,如果您的输入字符串包括无法正确转换为 ANSI 的字符,则无法正确生成应答文件。要避免此问题,请执行下列操作:

    1. 在运行创建应答文件向导时,使用 ANSI 文件路径来保存生成的文件并以 ANSI 字符(如英文)为以下属性输入占位符:远程站点的点对点网络名称,预共享密钥、阵列名称和阵列描述以及指向证书的路径

    2. 打开生成的应答文件并以 UNICODE 格式保存文件。

    3. 编辑 UNICODE 应答文件并将字符串更改为其实际的值。

  4. 创建应答文件向导的“加入现有阵列”页上的“浏览”按钮不起作用。要输入阵列名称,您必须在“阵列名称”文本框中键入。

  5. 以阵列管理员的身份运行 Enterprise Edition 时,无法通过单击详细信息窗格中的“客户体验改善计划”链接,然后选择“客户反馈”对话框中的参加选项来参加客户体验改善计划。阵列管理员要参加该计划,将需要在“客户反馈”选项卡上的阵列属性中选择相关选项。

  6. 在运行 Enterprise Edition 时,配置存储服务器会在 Windows 系统文件夹下生成以下日志文件:ADAM.log、ADAMUninst.log 和 PFRO.log。

返回目录

4. 防火墙客户端

  • 此版本不支持安装在运行 Microsoft Windows Server Code Name "Longhorn" 或 Microsoft Windows Vista 操作系统的计算机上的防火墙客户端。对于该操作系统,防火墙安装被阻止。

返回目录

5. 发布

  1. 有些应用程序(如 Windows Media Player、Microsoft Office Picture Manager 和 Microsoft Outlook Mobile Access)在 SSL/TLS 握手期间不支持客户端证书身份验证,从而无法在要求提供客户端身份验证时进行身份验证。因此,在尝试访问已发布的内容时,用户将会收到来自此类应用程序的错误消息。如果 Web 侦听器要求提供 SSL 客户端证书身份验证,或者如果 Web 侦听器要求提供基于窗体的身份验证,又或者任何使用此 Web 侦听器的发布规则要求提供其他 SSL 客户端证书,则会发生此问题。在某些情况下,例如对于 Windows Media Player,用户可以将链接的目标保存到本地文件夹,然后再从该文件夹访问内容。

  2. 当 Office Communicator Web Access 使用 Web 发布规则向导进行发布时,用户在发送消息时可能会遇到错误。如果发生这种情况,请删除该 Web 发布规则,然后使用 Exchange Web 发布规则向导来创建新规则。在该向导的“选择服务”页上,选择“Outlook Web Access”作为您要发布的 Web 客户端邮件服务。创建完规则之后,您将需要编辑规则属性并进行以下更改:在“身份验证”选项卡上,选择“NTLM 身份验证”。在“路径”选项卡上,删除所有 Exchange 路径,然后键入路径 /*

  3. 要允许 ISA 服务器生成 SecurID cookie,并使其在 SecurID Web 代理上受信任,必须在 ISA 服务器计算机和 Web 代理上共享相同的域机密。导出 Web 代理计算机上的域机密时,验证“管理域配置”对话框中的“域名”文本框已清除。如果在文本框中输入了域名,则在将域机密导入到 ISA 服务器计算机时,将会发生故障。

  4. 在为 Exchange Server 2007 配置 Exchange Web 客户端访问发布规则时,规则“应用程序设置”属性页上的 Exchange 发布附件阻止选项无法正常工作。

返回目录

6. 文档

  1. 从网络共享上打开时,“快速入门指南”的页面将不会在运行带有 Service Pack 1 的 Microsoft Windows Server 2003 的计算机上显示。要查看“快速入门指南”,请将文件“Isastart.chm”复制到本地目录,然后从该目录打开文件。有关详细信息及其他选项,请参阅 Microsoft 知识库文章 896054 有关在安装安全更新 896358、安全更新 840315 或 Windows Server 2003 Service Pack 1 之后不能使用 InfoTech 协议打开远程内容的描述。

  2. 在文档“将 ISA Server 2004 Enterprise Edition 升级到 ISA Server 2006 Enterprise Edition”的“方案四:负载平衡阵列”一节中,注意以下勘误:

    • 文本“完成配置存储服务器升级之后,需要禁用 ISA Server 2006 阵列的 NLB 集成。”应改为:“完成配置存储服务器升级之后,需要添加其他虚拟 IP 地址 (VIP),然后通过单击‘应用更改’栏上的‘应用’按钮来应用更改。然后再禁用 ISA 阵列的 NLB 集成。”

    • 同一小节,在标题“启动 ISA Server 2006 阵列成员上的 NLB 服务”下,缺少了一个步骤。在启动 NLB 服务之前,您必须先启动 NLB 集成。

返回目录

7. 错误 HTML 文件

ISA 服务器包含一组可返回到 Web 浏览器客户端的错误消息。这些错误消息安装在 ErrorHtmls 文件夹中的 ISA 服务器安装目录中。默认情况下,这些错误消息使用您的 ISA 服务器本地化版本的安装语言安装。无论您的安装语言是什么,错误 HTML 页(12221r.htm 和 12222r.htm)仅使用英语安装。这些错误页的本地化版本可从 ISA 服务器下载中心提供的 ErrorHtmls 包下载。安装该包,然后将提取的 12221r.htm 和 12222r.htm 页从适当的语言文件夹复制到 ISA 服务器计算机上的 ErrorHtmls 目录。如果您正在运行 ISA Server Enterprise Edition,需要将这些文件复制到阵列中的每台 ISA 服务器计算机。

返回目录

本文档中的信息(包括引用的 URL 和其他 Internet 网站)如有变动,恕不另行通知。除非另有说明,否则本文档示例中所提及的公司、机构、产品、人名以及事件均属虚构,无意与任何实际的公司、机构、产品、人名或事件关联,也不应进行这方面的推断。遵守所有适用的版权法是用户的责任。在不限制版权许可的权利的情况下,没有得到 Microsoft Corporation 明确书面许可,本文档的任何部分不可被复制、存储或引进检索系统,或者以任何形式、任何方式(电子、机械、复印、录音或其他)或为任何目的进行传播。

本文档可能涉及 Microsoft Corporation 的专利、正在申请的专利、商标、版权或其他知识产权。除非得到 Microsoft Corporation 的明确书面许可协议,本文档不授予使用这些专利、商标、版权或其他知识产权的任何许可证。

© 2006. Microsoft Corporation。保留所有权利。

Microsoft、Outlook、Windows Server 和 Windows Vista 是 Microsoft Corporation 在美国和/或其他国家/地区的注册商标或商标。

返回目录