Королевская рать

Спецвыпуск: Хакер, номер #068, стр. 068-014-5

Настройка массива NLB в ISA тривиальна - через пункт Networks необходимо выбрать Enable Load Balancing Integration и указать используемые сетевые интерфейсы и их общий адрес.

Дополнительно надо проверить наличие записей DNS и Service Principle Name для каждого из узлов массива и всего массива в целом. Это необходимо для корректной работы аутентификации Kerberos между серверами ISA.

ЛИСТИНГ

записи SPN можно зарегистрировать с помощью утилиты SetSPN из состава ResourceKIT

setspn -a ldap/isa-1.msfirewall.org ISA-1

setspn -a ldap/isa-2.msfirewall.org ISA-2

setspn -a ldap/isa.msfirewall.org ISA

setspn -a ldap/isa-1.msfirewall.org:389 ISA-1

setspn -a ldap/isa-2.msfirewall.org:389 ISA-2

setspn -a ldap/isa.msfirewall.org ISA

Для изменения свойств кластера (например, изменения режима работы на Multicast) можно воспользоваться свойствами службы балансировки нагрузки в настройках сетевого интерфейса.

[экономим трафик.]

Если на предприятии используются в основном клиенты HTTP-Proxy, то есть смысл задействовать механизм Cache Array Routing Protocol (CARP). Эта техника, доступная в рамках серверов одного массива, позволяет оптимизировать использование кэша серверов.

Серверы ISA не реплицируют содержимое кэша между собой, но вместо этого клиенты и нижестоящие серверы выбирают для отправки запроса тот сервер, на котором с большей вероятностью будет присутствовать уже загруженный объект. Для этого клиенты, получив настройки массива, периодически отправляют запросы на получение текущей конфигурации массива (http://array.example.com/array.dll?get.routing.script). Файл содержит информацию об URL (точнее их хэши), которые известны различным серверам массива. По этой информации браузер определяет, к какому из серверов послать запрос. Если информация на клиенте не актуальна, и запрос пришел не на тот сервер, ISA Server перенаправит запрос на другой узел массива и вернет полученную из кэша информацию клиенту.

Таким образом, объем кэша массива будет равняться суммарному объему всех закэшированных объектов на каждом из узлов. Это позволяет значительно поднять вероятность получения объекта из кэша сервера, а не из интернета, и увеличить размер кэша.

[настройка клиентов.]

Текущая конфигурация массива публикуется либо на внешнем, либо на встроенном в ISA web-сервере. Во втором случае ISA следит за актуальностью информации. При использовании функции публикации средствами ISA могут возникать конфликты с установленным на этом же компьютере web-сервером, поскольку и ISA, и web-сервер будут пытаться занять один и тот же порт.

Информация о массиве представляет собой файл, написанный на языке JavaScript, содержащий инструкции для браузера, где указывается, в каких ситуациях должен использоваться тот или иной сервер ISA или прямое соединение. В файлах конфигурации браузера определены дополнительные функции и переменные, на основании которых браузер принимает решение об обращении к proxy. Основной функцией подобного сценария является FindProxyForURL(url, host), которой браузер передает имя узла, к которому обращается, и полный URL. Функция должна вернуть либо имя сервера, либо указание на прямое соединение.