在ISA 2006企業版環境下配置存儲伺服器(CSS)

配置存儲伺服器(CSS)

在這次實驗中，将通過對ISAServer2006企業版進行配置，來實作配置存儲伺服器（CSS）。

在這次實驗中，使用了三台計算機，分别是Denver-Florence-Firenze

<a href="http://www.rickyfang.net/upfile/isanetview/9.gif" target="_blank"></a>

其中：

Florence（紅色）和 Firenze（紅色）運作 ISA Server 2004 Enterprise Edition。這兩台計算機配備三個網卡，分别用于連接配接内部網絡、外圍網絡和外部網絡 (Internet)。Florence 和 Firenze 處于名為Florence的陣列中。隻有 Florence 運作配置存儲伺服器 (CSS)。

Denver.contoso.com（綠色）是内部網絡上 contoso.com 域的域控制器。Denver 上運作 DNS、證書頒發機構 (CA)。

By RickyFang：

這三台機器的網絡配置分别是

Denver: ip為10.1.1.5 ；GW為10.1.1.1

Florence:内部IP：10.1.1.1；外圍IP（用于配置存儲通信）：23.1.1.1；外部網部IP：39.1.1.1

Firenze: 内部IP：10.1.1.2；外圍IP（用于配置存儲通信）：23.1.1.2；外部網部IP：39.1.1.2

1、 這次的實驗操作共分為三大部分：

一、 在DENVER這台機器上安裝CA服務

二、 在FLORENCE這台機器上安裝配置存儲伺服器并申請和指定證書

三、 在FIRENZE這台機器上安裝ISA2006使其成為FLORENCE陣列中的一員，并通過SSL與CSS(FLORENCE)通信

2、 這些實驗中利用了C:\windows\system32\drivers\etc\hosts檔案來代替了一些DNS的作用，例如用23..1.1.1 解析Florence等機器。如在Florence機器上的HOSTS檔案内容如下：

"# ISA Server 2004 labs - Hosts file (Florence)

# This file must be in %windir%\System32\drivers\etc folder,

# this will replace the existing hosts file.

127.0.0.1    localhost

23.1.1.1     florence              # CSS name/array-member - to intra-array network

23.1.1.2     firenze                   # array-member - to intra-array network"

3、 這次實驗中，Florence（紅色）和 Firenze（紅色）的外圍網絡用于兩者之間配置存儲SSL驗證通信，且由于位于工作組中采用了SSL的身份驗證方式來驗證ISA伺服器（Florence（紅色）和 Firenze（紅色））與配置存儲伺服器（Florence）通信。

4、 其中Denver、Florence、Firenze這三台機器的系統環境為windows server 2003 sp1 。

5、 其中Florence、Firenze這兩台機的ISA版本為ISA SERVER 2006。

6、 這些環境都是自己搭建的，偶建議你在做此實驗前注意和了解以下事項：

A、 了解AD下的獨立根證書（CA）的建置，以及用戶端作為計算機角色、服務角色等不同的證書安裝方法

B、 了解ADAM的安裝和作用（安裝在配置存儲伺服器量Florence機器上）

C、 了解在ISA環境中内部網絡，外圍網絡，外部網絡的概念。

D、 了解ISA 2006企業版預設安裝是"使用域身份進行驗證"的，這種安裝是在AD環境中布署的，而此實驗中，ISA 2006企業版位于工作組網絡中，如果要使用"證書"服務來進行身份驗證，要通修複安裝進行更改為"工作組或沒有信任關系域中部署"。

E、 必要的，你要了解整個網絡拓樸，這很重要，因為它能清楚的表明各自的角色功能，實際上，有了網絡拓樸，你就成功了一半了

OK，下面開始實驗之旅，不過還請您要仔細看清楚，本文用了大量的圖檔和文字說明。以使各位能更詳細、深入的了解如何配置ISA SERVER的存儲伺服器角色。

1、 在DENVER（windows server 2k3 AD）打開添加删除程式，添加元件對話框中找到證書服務，如下圖，點選證書服務CA元件，進行安裝。

##注意彈出的對話框的内容，提示你，安裝CA後，無法改動計算機名和域成員身份！

<a href="http://www.rickyfang.net/img/isa-ca/1.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/3.gif" target="_blank"></a>

以下操作在Florence機器上操作:

<a href="http://www.rickyfang.net/img/isa-ca/5.gif" target="_blank"></a>

2、 在"進階證書申請"頁面，填寫如圖中所示的内容以及選擇如圖中所示的選項。

<a href="http://www.rickyfang.net/img/isa-ca/7.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/8.gif" target="_blank"></a>

3、 填寫好内容後，送出，會出現一個"證書挂起"頁面，注意此時證書伺服器配置設定給FLORENCE的ID為此2.

<a href="http://www.rickyfang.net/img/isa-ca/9.gif" target="_blank"></a>

4、 然後，在CA憑證伺服器DENVER上，打開"管理工具""證書頒發機構"對話框，找到"挂起的申請"項，在視窗的右側，單擊右鍵，找到"所有任務""頒發"。此時，将頒發給FLORENCE證書。

<a href="http://www.rickyfang.net/img/isa-ca/10.gif" target="_blank"></a>

5、 在FLORENCE機器上，進行第一步的操作，這次改選"檢視挂起的證書申請狀态"，并在接下來出現的" 檢視挂起的證書申請狀态"頁面，點選"伺服器驗證證書"，在出現的"證書已頒發"頁面，安裝證書。如下圖：

<a href="http://www.rickyfang.net/img/isa-ca/11.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/12.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/13.gif" target="_blank"></a>

證書安裝後，還重複第一步的操作，改選"下載下傳一個CA憑證，證書鍊或CRL"，以把證書下載下傳并預設儲存在c:\cernew.cer。

<a href="http://www.rickyfang.net/img/isa-ca/14.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/15.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/16.gif" target="_blank"></a>

6、 接下來将進行導出伺服器證書的操作，并儲存在c:\isaflorence.pfx。操作如以下幾圖所示，不再詳述，各位參考做吧。注意喲，在導出時，會提示你輸入密碼的，并且要記住這個密碼，下面在安裝ISA2006時要用到的。

<a href="http://www.rickyfang.net/img/isa-ca/17.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/18.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/19.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/20.gif" target="_blank"></a>

注意了解此時導出的管理證書的賬戶類型為："計算機賬戶"，而在接下來的操作中是為"服務賬戶"。

7、 現在在FLORENCE伺服器上進行ISA SERVER 2006企業版的安裝了，由于此次實驗中選擇了FLORENCE這台伺服器做為存儲伺服器，故而在安裝時，選擇"同時安裝ISA SERVER服務和配置存儲伺服器"角色進行安裝。安裝過程是點"下一步"過程，各位看截圖便是。

<a href="http://www.rickyfang.net/img/isa-ca/21.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/22.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/23.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/24.gif" target="_blank"></a>

安裝完之後，便要進行為此"配置存儲伺服器(css)"指定證書啦，注意了解這一句話："了解ISA 2006企業版預設安裝是"使用域身份進行驗證"的，這種安裝是在AD環境中布署的，而此實驗中，ISA 2006企業版位于工作組網絡中，如果要使用"證書"服務來進行身份驗證，要通修複安裝進行更改為"工作組或沒有信任關系域中部署"。"

OK，下面就繼續開始安裝ISA 2006，在出現如下圖界面後，就要選擇"修複"選項啦，不然就沒法改變身份驗證方式了。

<a href="http://www.rickyfang.net/img/isa-ca/25.gif" target="_blank"></a>

點下一步，在"企業布署環境"界面，選擇"在工作組或在不帶信任關系的域中布署"。并在"伺服器證書"方框選擇之前導出的證書，以及之前建立的密碼。如下幾圖，直至完成修複安裝操作。

<a href="http://www.rickyfang.net/img/isa-ca/26.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/27.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/28.gif" target="_blank"></a>

8、 打開證書的MMC管理控制台，并在彈出的視窗中選擇"服務賬戶"，下一步，預設，下一步，選擇ISASCTCTRL，完成。找到ADAM_ISASTGCTRL\個人，右鍵單擊并導入伺服器證書，（c:\isaflorence.pfx）。

<a href="http://www.rickyfang.net/img/isa-ca/29.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/30.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/31.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/32.gif" target="_blank"></a>

9、 在FLORENCE這台伺服器上繼續以下的操作，要說明的是，這些操作的目的是為了建立一個名為NLB的網絡，使他們能通過23.1.1.1-23.1.1.2互相通信（CSS），然後在未配置第二台ISA伺服器FIRENZE之前，把FIRENZE加入陣列并成為陣列FLORENCE的成員之一，詳細操作見截圖操作便可。

<a href="http://www.rickyfang.net/img/isa-ca/34.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/35.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/37.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/38.gif" target="_blank"></a>

以下操作在FIRENZE機器上進行操作

1、在伺服器FIRENZE的機器上進行"證書申請"，操作步驟類同于在FLORENCE機器上"證書申請"，不作詳述。（期間，要在DENVER證書伺服器上為FIRENZE頒發證書）

<a href="http://www.rickyfang.net/img/isa-ca/39.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/40.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/41.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/42.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/44.gif" target="_blank"></a>

2、 在FIRENZE機器上找到c:\windows\system32\drivers\etc\hosts,寫入以下内容（同樣的操作在FLORENCE機器上已進行，寫入的内容亦相同）：

<a href="http://www.rickyfang.net/img/isa-ca/43.gif" target="_blank"></a>

3、 在FIRENZE機器上安裝ISA SERVER 2006企業版，在選擇安裝方案時，選擇第一項"安裝ISA伺服器服務"。并在接下來的"配置存儲伺服器（輸入FQDN）"中輸入FLORENCE。

<a href="http://www.rickyfang.net/img/isa-ca/46.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/47.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/48.gif" target="_blank"></a>

4、 下一步，如圖，在"陣員成員身份"頁面，選擇"加入現有陣列"，下一步，在"輸入陣列名稱"項輸入FLORENCE。

<a href="http://www.rickyfang.net/img/isa-ca/49.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/50.gif" target="_blank"></a>

5、 接下來的操作和在FLORENCE上的有類似之處，這裡也不詳述。看截圖便可：

<a href="http://www.rickyfang.net/img/isa-ca/51.gif" target="_blank"></a>

6、 下面兩圖從不同的方面來說明，此次實驗是成功完成了。

<a href="http://www.rickyfang.net/img/isa-ca/52.gif" target="_blank"></a>

<a href="http://www.rickyfang.net/img/isa-ca/53.gif" target="_blank"></a>

      接下來就可以出站通路的負載均衡和入站通路（服務在釋出）的負載均衡通路了，請看偶的相關貼子，不過，其他的是通過ISA2004來實作的。

<b> 本文轉自 rickyfang 51CTO部落格，原文連結：http://blog.51cto.com/rickyfang/127066</b><b>，如需轉載請自行聯系原作者</b>