阵列1 - microsoft download center.ppt

SEC340ISA2004企业版概述 议程 简介 企业策略及网络 配置存储服务器 网络负载均衡 VPN 企业版监控 TechEd 发布 (ISA Server 2004 分支机构功能） 小结 附录 (演讲后的活动) 迁移 性能 其他优势 ISA Server 2004 企业版新功能进一步提升的安全架构 ISA Server 2004 EE 新功能全新管理工具及用户接口 ISA Server 2004 EE New FeaturesContinued commitment to integration ISA Server 2004 Enterprise Edition企业策略及网络 企业策略 目的: 企业网管有控制权 (“进一步限制”) 本地网管可被授权进行控制 策略制定及分发的灵活性 许可模式 概念: 建立模块 策略模板 策略的强制 阵列策略 特点: 每阵列单一企业策略 阵列策略可以被限制 (规则型) 新: 阵列策略可包括允许规则 阵列有效规则计算: 阵列系统策略 企业策略规则优先于阵列规则 阵列规则 企业策略丛属于阵列策略 拒绝所有策略 (内置) 企业网络 适用于所有阵列 用于企业策略及阵列策略 仅包括地址段 阵列网络 阵列网络的附加属性 代理设置 网络负载均衡设置 内部网络 (必须定义) 可包括企业网络 配置存储服务器细节 ISA Server 配置存储 配置存储服务器 基于 ADAM – Active Directory 应用程序模式 用于企业中所有阵列的策略的集中存储 使用管理控制台安全地写入 阵列成员从中安全地提取 复制的 多主 非单主副本 可以随地编辑 配置存储服务器 通讯模式 CSS 部署 部署选项 在域中/在工作组中 单机（支持在 DC 上）/与 ISA server 共存 单独的/复制的 一台 CSS 为单个/多个阵列服务 部署考虑事项 – 链接速度 ISA - CSS: 快速 管理控制台 - CSS: 快速 CSS - CSS （复制）: 中慢速 具有永久链接的分支机构 最佳: 使分支机构阵列连接到主办公室的远程 CSS 替代方案: 在分支机构设置复制 负面作用: 链路断接、容错 具有 S2S 连接的分支机构 最佳: 在分支机构设置 CSS 站点/复制 替代方案: 使分支机构阵列连接到远程 CSS 负面作用: 成本对比链路断接及容错 具有站点的数据中心 最佳: 在每个数据中心设置一个 ADAM 站点 替代方案: 在每个数据中心设置一个具有 CSS 的站点 负面作用: 性能对比管理 DMZ 网络负载平衡 ISA 2004 EE 增加的价值 配置 – 简化配置群集的管理任务 增强与 NLB 相关的疑难解答能力 健康情况监视 服务器发布和路由情境（‘动态’ BDA） 多形式通知模式 如果 VPN 连接拥有者变化 停止新的的 NLB 连接请求 网络负载平衡 数据包筛选 由 NLB 过滤的 IP 协议 TCP UDP GRE ESP/AH (IPSec) ICMP 其他协议和以太网类型直接通过 疑难解答协助 如果 NLB 和非 NLB 网络存在某种关系时，发出警报 路由网络关系 发布规则 从来源/目标对象确定网络（可能是非网络） 如果非 NLB 网络和 VPN 客户端/远程站点网络存在关系，发出警报 对硬件丢失发出警报（阵列间 NIC） 其他错误配置 健康情况监视 启动/停止 NLB == 启动/停止群集操作 启动 - NLB 被配置为手动启动 ISA 明确启动 NLB，确保成员只在 fwsrv 启动后加入群集 在检测到问题时，ISA 停止 NLB FW 服务停止 RRAS 服务停止（在 RRAS 情境中） NIC 禁用/电缆断开 ISA 驳回外部更改 重新应用配置并发布警报 驳回手动启动/停止操作 演示 Enterprise Edition UI 企业管理 网络负载平衡 ISA Server 2004 Enterprise Edition 中的 VPN 隧道指派和路由 自动隧道分发和重分发： NLB 报告服务器可用性的变化 ISA 据此进行隧道分发 使用其他服务器 (S2S) 自动重新建立断开的会话 不会由于重分发而中止已有的会话 在阵列不平衡时，发布配置警报 传入流量的重定向： 自动将传入流量定向到相关服务器的相关隧道 阵列间的路由： ISA 增加了根据隧道分发，进行阵列间路由的相关静态路由 阵列到阵列的 VPN 漫游 VPN 用户 不使用 EE NLB 的 VPN 优点 更细致的控制 NLB 可伸缩性 现有解决方案 缺点 需要维护路由 不支持 DHCP 指派的远程客户端 没有站点到站点 VPN 冗余 不使用 EE NLB 的 VPN（续） 手动隧道分发 –