在 ISA Server 中发布 Web 服务.docx
《在 ISA Server 中发布 Web 服务.docx》由会员分享,可在线阅读,更多相关《在 ISA Server 中发布 Web 服务.docx(25页珍藏版)》请在冰点文库上搜索。
在ISAServer中发布Web服务
在ISAServer2006中发布Web服务
由于在身份验证方式上进行了增强,ISAServer2006中的Web服务发布方式和ISAServer2004有所不同,在这篇文章中,我将给大家详细介绍如何在ISAServer2006中发布Web服务。
一、发布单个Web站点
在ISA2006管理控制台中右击防火墙策略,指向新建,选择Web站点发布规则;
在弹出的欢迎使用新建Web发布规则向导页,输入规则名称后点击下一步;
在选择规则动作页,选择允许,点击下一步;
在发布类型页,选择发布单个Web站点或负载均衡器,点击下一步;
在服务器连接安全性页,选择使用非安全连接来连接到被发布的Web服务器或服务器场(即使用HTTP协议进行连接),点击下一步;
在内部发布细节第一页,在内部站点名栏输入被发布的内部Web站点的名称(Web站点的主机名头),但是由于存在Web站点的主机名头和计算机名不一致的现象,为了便于ISA连接到内部的Web服务器,建议你勾选使用计算机名或IP地址来连接到被发布的服务器,然后输入服务器的IP地址,从而避免ISA不能正常解析内部Web站点名从而导致无法连接的现象,完成后点击下一步;
在内部发布细节第二页,输入发布的内部Web站点的路径,在此我发布全部路径,因此直接点击下一步;
在公共名字细节页,选择接受外部访问请求的外部域名,在此我在接收请求栏选择任何域名,点击下一步;
在选择侦听器页,点击新建,在弹出的欢迎使用新建Web侦听器向导页,输入侦听器名称后点击下一步;
在客户端连接安全性页,选择不要求和客户端之间的SSL安全连接,点击下一步;
在Web侦听器IP地址页,勾选外部网络,你也可以点击选择IP地址按钮来配置Web侦听器侦听的IP地址,点击下一步;
在身份验证设置页,设置ISAServer2006是否对请求访问的客户进行身份验证。
需要注意的是,此身份验证是由ISAServer要求客户进行,和被发布的Web服务器没有任何关系。
不过在ISA2006中增强了对于身份验证委派的支持,因此你可以设置ISAServer要求客户身份验证,然后ISAServer再将通过身份验证的客户所提交的身份验证凭据委派到被发布的Web服务器,从而避免客户端被提示要求进行多次身份验证。
需要注意的是,默认情况下ISA拒绝通过HTTP协议进行任何身份验证,因此当客户使用HTTP协议访问时,如果ISA的其他配置或被发布的Web服务器要求客户进行身份验证,那么ISA会拒绝客户的访问。
我将在以后撰文专门分析ISAServer2006中的身份验证。
在此我是对Internet发布Web服务,不需要客户端进行身份验证,因此选择无身份验证,点击下一步;
在单点登录设置页,由于只有基于HTTP表单的身份验证才支持SSO,因此无法进行配置,直接点击下一步;
在正在完成新建Web侦听器向导页点击完成,然后在选择Web侦听器页点击下一步;
在身份验证委派页,由于我不要求客户进行身份验证,因此选择无委派,并且客户不能直接进行身份验证,点击下一步;
在用户集页,接受默认的所有用户,点击下一步;
在正在完成新建Web发布规则向导页点击完成,此时Web发布规则就创建好了。
不过默认情况下ISA并未转发客户端原始IP地址给被发布的Web服务器,你可以在Web发布规则属性的到标签进行修改,如下图所示:
需要注意的是,由于在进行Web发布时,ISA需要占用TCP/IP上的相应端口,因此Web发布规则所侦听的端口如TCP80需要保证没有被其他应用程序所占用,这个可以通过netstat-bfind":
80"来观察。
最后点击应用保存修改并更新防火墙策略,此时Web发布规则就创建好了。
二、发布多个Web站点
在ISAServer2006中你可以同时发布多个Web站点,针对每个Web站点创建一个Web发布规则。
不过被发布的这些Web站点最好具有相同的域名后缀,否则你需要对创建的Web发布规则进行修改。
前面的操作过程是一样的,只是在发布类型页,选择发布多个Web站点,点击下一步;
在指定发布的Web站点页,点击添加按钮添加被发布的Web站点的名字,需要注意的是,ISA将使用这个名字来连接到这些Web站点,并且也将这个名字和后面提供的域名后缀相结合以指定Web发布规则中的公共名称。
添加完成后点击下一步;
在发布的Web站点公共名称页,输入Web站点的域名后缀,然后点击下一步;
在选择Web侦听器页,在此我选择一个已有的Web侦听器,然后点击下一步;
在身份验证委派页,同样选择无委派,并且客户不能直接进行身份验证,点击下一步;
在用户集页,接受默认的所有用户,点击下一步;
在正在完成新建Web发布规则向导页点击完成,
此时Web发布规则就创建好了,如下图所示,不过建议你再检查一下Web发布规则,你可能需要对Web发布规则进行修改。
三、发布服务器场
服务器场是一个包含多个服务器对象的网络对象,在ISAServer2006中新增了发布服务器场的功能,用于实现一种简单的容错和负载均衡机制,它的工作原理是这样的:
∙当发布服务器场以后,ISAServer2006将客户访问请求分布到服务器场中的不同Web服务器上,以实现负载均衡;
∙在创建服务器场发布规则的同时,ISA创建一个连接性验证工具,每隔30秒对被发布的服务器场中的每个Web服务器使用HTTP/HTTPSGET进行连接性验证;如果某个Web服务器连接失败,则将客户的访问请求转发到服务器场中其他连接正常的Web服务器,以实现容错;
∙如果服务器场中的所有Web服务器均连接失败,则服务器场发布规则失败。
前面的操作过程是一样的,只是在发布类型页,选择发布一个Web服务器负载均衡服务器场,点击下一步;
在客户端连接安全性页,选择不要求和客户端之间的SSL安全连接,点击下一步;
在内部发布细节第一页,在内部站点名栏输入被发布的内部Web站点的名称(Web站点的主机名头),完成后点击下一步;
在内部发布细节第二页,输入发布的内部Web站点的路径,在此我发布全部路径,因此点击下一步;
在指定服务器场页,点击新建按钮,
在弹出的欢迎使用新建服务器场向导页,输入服务器场名称后点击下一步;
在服务器页,点击添加按钮添加包含在此服务器场中的服务器,建议总是使用IP地址来添加,完成后点击下一步;
在服务器场连接性监视页,接受默认的发送HTTP/HTTPSGET请求,点击下一步;
在正在完成新建服务器向导页,点击完成。
在弹出的启用HTTP连接性验证提示对话框上点击是。
在指定服务器场页,你可以选择ISAServer2006对入站Web请求的负载均衡方式,它们主要是针对故障恢复的场景,ISAServer2006中具有以下两种负载均衡模式:
∙基于Cookie的负载平衡:
ISAServer2006基于客户会话来将客户分布到不同的Web服务器,它使用一个Cookie来维持客户端和服务器之间的联系。
例如服务器场中有A、B两台Web服务器,客户C的访问请求被ISAServer2006指定由A进行处理,但是当A出现故障停止服务后,客户C的访问请求将被ISAServer2006故障转移到B;当A恢复服务后,客户C当前通过B进行处理的访问请求将继续由B处理,新的访问请求将由A进行处理。
这种模式可以更好的为客户端提供服务,微软推荐你使用这种模式,但是要求客户端支持使用HTTP1.1和Cookie。
∙基于源IP地址的负载平衡:
ISAServer2006基于客户端的源IP地址来将客户分布到不同的Web服务器,来自相同源IP地址的客户端访问请求将由相同的Web服务器进行处理。
如果客户端不支持HTTP1.1或者Cookie时(如大部分移动设备),建议采用这种方式。
例如服务器场中有A、B两台Web服务器,客户C的访问请求被ISAServer2006指定由A进行处理,但是当A出现故障停止服务后,客户C的访问请求将被ISAServer2006故障转移到B;当A恢复服务后,客户C所有的访问请求将由A进行处理,因此客户C当前通过B进行处理的访问请求将会丢失。
在此我选择基于Cookie的负载平衡,点击下一步;
在公共名字细节页,选择接受外部访问请求的外部域名,在此我在接收请求栏选择任何域名,点击下一步;
在选择Web侦听器页,在此我选择一个已有的Web侦听器,然后点击下一步;
在身份验证委派页,同样选择无委派,并且客户不能直接进行身份验证,点击下一步;
在用户集页,接受默认的所有用户,点击下一步;
在正在完成新建Web发布规则向导页点击完成,
完成后的服务器场发布规则如下图所示,
同时,ISAServer2006创建了一个连接性验证工具来监视服务器场中的We服务器。
现在我们在外部的客户端上访问进行测试,访问成功,并且可以看出ISAServer2006将客户端的访问请求转发到了Web服务器10.1.1.7,
现在我将Web服务器10.1.1.7上的Web站点停止服务,ISAServer2006的连接性验证工具监测到Web服务器10.1.1.7出现了故障,
在外部客户端上,我手动进行刷新,此时同样访问成功,不过,可以看出是通过Web服务器10.1.1.8进行的访问。
当服务器场中的所有Web服务器均停止服务后,在外部客户端上访问时,提示500内部服务器错误,并且错误代码是1359。
升级会员 