Королевская рать

Спецвыпуск: Хакер, номер #068, стр. 068-014-1

королевская рать

JEDI-H0CKER

ISA SERVER 24Х7

ЧАСТО ВОЗНИКАЕТ ВОПРОС ОБЕСПЕЧЕНИЯ ВЫСОКОЙ ПРОПУСКНОЙ СПОСОБНОСТИ И ОТКАЗОУСТОЙЧИВОСТИ ОСНОВЫ ЗАЩИЩЕННОЙ СЕТЕВОЙ ИНФРАСТРУКТУРЫ – МЕЖСЕТЕВОГО ЭКРАНА (AKA БРАНДМАУЭР, AKA FIREWALL). ПРИ ПОСТРОЕНИИ РЕШЕНИЯ С ВЫСОКИМИ ТРЕБОВАНИЯМИ К ДОСТУПНОСТИ НЕОБХОДИМО РЕШИТЬ ДВЕ ЗАДАЧИ: ЦЕНТРАЛИЗОВАННОЕ ХРАНЕНИЕ ИЛИ РЕПЛИКАЦИЯ ДАННЫХ И БАЛАНСИРОВКА НАГРУЗКИ

[построение вертикали.]

Для централизованного хранения настроек массивы ISA Server используют специально обученные Configuration Storage Servers серверы, на которых работает служба Active Directory in Application Mode (ADAM). В ISA 2000 настройки сохранялись в Active Directory, и при установке ISA требовалось проводить расширение схемы AD. А эта операция необратимая (ну, по крайней мере, техническая поддержка Microsoft будет на этом настаивать, даже если ты по шагам распишешь, с какими параметрами запускать LDIF) и распространяется на все домены леса Active Directory. Учитывая, что леса AD легко пересекают океаны и могут содержать информацию подразделений компании, раскиданных по всему свету, необходимость расширения схемы может стать серьезной проблемой. Представь себе, что ты - главный администратор леса Active Directory транснациональной корпорации с центром во Владивостоке. И в один прекрасный день к тебе приходит запрос из всеми забытого отделения в штате Калифорния на расширение схемы, в связи с необходимостью внедрения в качестве корпоративного межсетевого экрана ISA Server. Необходимость использования именно ISA обусловлена пактом Билла-Шварца, имеющего статус закона штата. И без массива не обойтись – в этом мелком подразделении работает пять тысяч пользователей, так что необходима балансировка нагрузки и повышенная отказоустойчивость. Что делать? Вводить необратимые изменения в структуру AD из-за странных местных законов?

Служба ADAM хранит в себе дополнительные свойства и объекты AD. Серверы общаются с ней через привычный LDAP. В одной сети, да и на одной машине, может существовать множество служб ADAM, реализующих расширения для разных приложений, например ISA и Exchange, которые живут в рамках конкретного экземпляра ADAM, не затрагивая «большую» AD. Но не беспокойся, тебе не придется заводить для каждого сервера ISA в массиве отдельный сервер хранения настроек. Можно обойтись только одним сервером Configuration Storage для массива (что не рекомендуется, поскольку возникает единая точка отказа), либо установить экземпляры ADAM на контроллеры домена или сами серверы ISA.

В случае если Configuration Storage Servers устанавливается на ISA Server, перед установкой других серверов в массиве необходимо разрешить им доступ к службе LDAP, что можно сделать путем редактирования системной политики.

После установки дополнительных серверов массива желательно проверить корректность работы серверов массива через закладку Monitoring.

[круговая порука.]

Самый простой метод распределения нагрузки между несколькими серверами, выполняющими одинаковые функции, - DNS Round Robin. Суть этого метода крайне проста. На DNS сервере создаются две или более записи типа A, указывающие на одно и тоже имя.