域环境配置ISA2006企业版存储服务器及NLB之一配置存储服务器

如需转载，请经我充许后方可。By RickyFang/下里巴人IXPUB技术博客;t"i
B"aYA%z{jO+J
  
pe~c _*R+i4I_6C^C0IXPUB技术博客b0Dea_S#\{/@B
    不断有朋友来探讨在企业网络环境中，当使用ISA企业版做负载均衡时是否需要使用SSL来验证阵列成员与CSS之间的信任关系？针对此问题的解决方案并不是唯一的，要视企业网络环境，或者说要视ISA阵列成员与企业网络环境的关系而定。IXPUB技术博客!X9x(w)rz4` XR"Np!w
IXPUB技术博客#kJd DN
    在企业中主要分为两种，一是存在域的环境，一是无域仅有工作组的环境。
d'~r/d
g*M.P4@x0
9N&Hd'ez,A1V0    而在存在域的环境中又可以分为ISA是域成员和非域成员（两台或多台ISA是工作组关系）。在这篇文章中，暂时的，把有域环境但ISA非域成员列为“无域仅有工作组的环境”场景，而统一写出解决的方案。IXPUB技术博客1P(rn0vhp&y ~
    在“在ISA 2006企业版环境下配置存储服务器(CSS)”一文中介绍的便是ISA机器是工作组关系时的CSS配置情况。其中“了解ISA 2006企业版默认安装是"使用域身份进行验证"的，这种安装是在AD环境中布署的，而此实验中，ISA 2006企业版位于工作组网络中，如果要使用"证书"服务来进行身份验证，要通修复安装进行更改为"工作组或没有信任关系域中部署"。”这样的一句话，很明确的说明了阵列成员与CSS之间如何验证信任关系。也就是说当ISA机器是工作组关系时请使用“证书”（SSL）来验证彼此的信任关系。而在ISA机器是域成员的场景中，依据默认的使用“域身份进行验证”便可以。
O-K(w`U!xM3@#z0    IXPUB技术博客 z c+N"i
FKj
  接下来的实验场景，就是ISA阵列成员是域成员角色时的安装部署。IXPUB技术博客-o8Q
Bp*j!V z

UT/p!d:hd0实验拓朴及各机器角色说明如下：
w+eQ*YH
gK4eC0IXPUB技术博客_!IX ]2{
IXPUB技术博客 \{&fW.RQ

v3H*{]tr0beijing:IXPUB技术博客1z^UB$YB
windows server 2003 with sp2
'Ps)EC;OC%I0smstest.com域控制器IXPUB技术博客pD#_z L;tc6v+I6XdZ
ip：192.168.3.1IXPUB技术博客v&``&`7p4z4n i
gw:空
2izD0Q(W#I0dns：192.168.3.1IXPUB技术博客"?,yoie9vDwY"@O(m
IXPUB技术博客s$hc}+lg,Ey&N
GuangZhou:
^&C`n~ZAY0windows server 2003 with sp2 + isa server 2006 EE +三张网卡
Q;EN,H#cqSzI;|0smstest.com域成员IXPUB技术博客_#l B0ACm+D;]
IXPUB技术博客#wq P l:HN5z
e
nei网卡ip:192.168.3.3
xgg j+o8U0netmask:255.255.255.0
aRc0P7cL0gw:空IXPUB技术博客B{whz)Ok/d
dns:192.168.3.1
~5|-T.Dq7{+NHo{%r0
!tFj+_jTN{;M~0心跳网卡ip:23.1.1.1
a5w`WHcg6S re)m2a0netmask:255.255.255.0
6W6c PW;U(B0IXPUB技术博客wiOi0pXoR
wai网卡：192.168.1.101
/~e$HM6~.Y?~0netmask:255.255.255.0IXPUB技术博客Rj:nmq:n"P"fx
gw:192.168.1.1
-xZX9IX'W0dns:空
t,y3zB$~(N`6N&]9h0IXPUB技术博客;Z+f#S
J'dC
ShangHai:
%QcR a:o`ras0windows server 2003 with sp2 + isa server 2006 EE +三张网卡IXPUB技术博客-GQAcw5`V2T DQx
smstest.com域成员IXPUB技术博客pJ+Y#e)D*AA Bs
IXPUB技术博客4L4vIde`8y&@(^_
nei网卡ip:192.168.3.6
PQNUj$d0netmask:255.255.255.0IXPUB技术博客 \pdCC
gw:空IXPUB技术博客L^8z]1d[h#W[ ^O,m
dns:192.168.3.1IXPUB技术博客O:`5J
UT1t&aGGb$U

0\8w!]#r0i Y;H0I$M0心跳网卡ip:23.1.1.2
,Q6C(fXS2X;tc0netmask:255.255.255.0
4|bN(h/jC(C&]0IXPUB技术博客Hi"ZUez-r g\
wai网卡：192.168.1.102IXPUB技术博客Z X?+L{x
netmask:255.255.255.0
5j @O1VFL0gw:192.168.1.1IXPUB技术博客|'t6_!\'rj9e
dns:空IXPUB技术博客-}*t
fX?goX1V

6{ s\G`0IXPUB技术博客7Y*Of4r7E&~ Y s
    在图中，GuangZhou和Shanghai这两台机器都是域成员身份，并且登陆时以管理员登陆，请注意以什么身份登陆机器很重要。关系到其后的身份验证。IXPUB技术博客^K)}Y"N&a

k*k[HQU+M;M0    同时，GuangZhou这台机器不便是ISA服务器还担当CSS角色。而ShangHai这台机器加入到GuangZhou阵列中。
o8kE)jp3S9E
l0
:khr#XL_6Az0     GuangZhou和Shanghai这两台机器均有三张网卡，分别连接内部网络nei、NLB心跳线css、外部网络wai。严格来说，wai网卡所连的网络是由我家的ADSL拨号后通过一华为的防火墙设备NAT后的内部IP。此场景中，把此定义为外部网络。（实际生产环境中，可以看做是一个背靠背防火墙模式，且ISA机器和华为防火墙之间可以定义为DMZ区域）
8bW"H ZU$c7c0IXPUB技术博客&k]NbU`/E
以下操作在GuangZhou这台机器上进行：IXPUB技术博客-_k2{1Wh7X Q

p6r`:UVQ
S0一、安装ISA CSS及ISA服务器角色
C8@.k k]Cg.|h0
,`OO F,~M'j01、把ISA 2006企业版光盘放置光驱中，并启动安装程序。
nkD @,dCb$lw'A0
t(Y+y.~&_M'Tw\02、在“安装方案”界面，选择“同时安装ISA SERVER服务和配置存储服务器”选项，并按“下一步”。如此之后，GuangZhou这台机器就身兼两职了，不但是ISA阵列成员而且也是CSS。也就是说对ISA进行的操作尤其是企业策略方面的均可以在此上完成。
-r!ji
X$CR]0
P5M~wv5h\6U9e0
.a3\s:Z ]:Qx-N0
bL5^ZvY'F.[7?$w0
+B!`&~PM0
)s,F&^^G_Oz S?03、在“组件选择”界面，可以看到CSS及ISA服务器角色均有被选择上，由于是在VPC中实验，只有一个C盘，故保留此界面的默认设置，按“下一步”。IXPUB技术博客$\f.y%U1N6@7m3l0c4{
IXPUB技术博客@dL1f7r

Y-I}yR:g$F e5w0IXPUB技术博客8r vw3SRH
  IXPUB技术博客&q%O'\-R {WA't*Y \
4、在“企业安装选项”界面，勾选“创建新ISA服务器企业”，注意这种设置是在CSS角色服务器进行，且建议最好只建立一个企业，否则将不利于集中管理所有阵列中的计算机的。按“下一步”。IXPUB技术博客eI~;\GTv7qv YA
IXPUB技术博客s{n,}}MbY-~

;E?cp;M/lg8e*~0
+JjZ o-Z_)uDC@0IXPUB技术博客;Y.wIn4k6v![ x H
5、在“内部网络”界面，按右侧“添加”，在弹出的对话框“地址”界面，按右侧的“添加适配器”，在弹出的对话框“选择网络适配器”界面中，选择“nei”。并多次确定。在GuangZhou和ShangHai这两台机器上，前面提到有三张网卡，分别标识为nei、css、wai。根据拓朴图和字意相信你明白它们三者的功能了。
(z,LO?\#oM$Mj+x0
|.rO d*Boo0
(Y/IP PY9_@ K2d+Q0
8Dfgc(V3] W0
Lv{ b!K)N&oq1a!{0U0IXPUB技术博客q T_)zA6?^
6、在此省去了几步，基本上都是直接按“下一步”。此文很多处均会如此操作，把一些不需要做出选择的图示说明给省去，请读者注意。

IVl(Rq2D0
"}PS |"LsKd07、等待几分钟后，安装完成。如下图所示，打开ISA控制台可以看到新建了名为GuangZhou的阵列，按右侧面板“配置阵列属性”，在弹出的“属性”界面，选择“阵列内凭据”你可以看到默认的阵列内成员通讯方式为使用计算机账号进行身份验证，这也是ISA机器做为域成员的默认选项。如果是工作组关系，就必需要改为绿色部分的选项了。在另一文中有详述，此处略过。IXPUB技术博客*f1M:a(ZH
IXPUB技术博客@vr%TLB!};a

4P] @'A KKD0
)}7WB:Y~Q0
K1~kwVF6tE0
w9O7}#w s&t0IXPUB技术博客PY%Y_,QN x;z
以下步骤在ShangHai这台机器上进行操作：
P)M:|/`)A8J0IXPUB技术博客q6CP0^Ht
二、安装ISA服务器并加入现有阵列Guangzhou
_8F`)G
V7g~,ZH&x0IXPUB技术博客KbL"Z C$v)VdF%P
1、把ISA 2006企业版光盘放置光驱中，并启动安装程序。IXPUB技术博客%@@9^` ?hS
IXPUB技术博客:U:f#zu'mX
2、在“安装方案”界面，勾选“安装ISA服务器服务”，前面已提到，这台机器的角色就是阵列中的一成员，配置存储信息位于另外一台同样是域成员的Guangzhou这台机器上。并按“下一步”。IXPUB技术博客$r?8],m1ye&Y`5M

G*r;s2X&M-^I)Vg2r*A0
^3} y2kQJ0m0
1oI[O(In0IXPUB技术博客p/j4o T.fAU
IXPUB技术博客!fU Gz Q.LI
3、在“组件选择”界面，可以看到“配置存储服务器”并没有被选择在此机器安装。保留默认设置，按“下一步”。
$gY;T)lGAt.x:NU&?T0
}rP"IX:ox.eI3s%F0IXPUB技术博客;Qm_$Gy&~:u
IXPUB技术博客%E{}#BB2_

.w:NZJ,m"Ns(d0
YgUD3j3_04、在“查找配置存储服务器”界面，勾选“使用登录用户的凭证”，（前文交待过，这两台机器是使用域管理员账号登陆，如果不是使用管理员登陆，请选择“使用下列账户连接”，并输入域管理员账户名和密码。）并按左侧“浏览”，在弹出的“选择计算机界面”输入Guangzhou，并按“检查名称”。当Guangzhou出现下划线时，说明查找成功。当然，你也可以通过高级来查找到Guangzhou这台装有CSS的ISA机器的。确定后，可以看到在“配置存储服务器”空白栏，出现了“GUANGZHOU.smstest.com”，按下一步。
Mw?E)Z(x L7d~N0IXPUB技术博客jN'BD~)i-T,L P0J
IXPUB技术博客&f'PCD*?BQ
IXPUB技术博客b _ s?b
IXPUB技术博客e?%| FQ Z
IXPUB技术博客*aiH*Job
IXPUB技术博客hM/ZK x:S

K;o u ],DA+e;@0
6~^_2A-Ks0
6C? X
DH05、在“阵列成员身份”界面，由于之前已经创建了阵列Guangzhou，此处，勾选“加入现有阵列”选项。按“下一步”。IXPUB技术博客V
V
oj)R{

$m%v@G&h0keJF0IXPUB技术博客b$C$E,t6L!g
IXPUB技术博客Nr@)pcPm b
IXPUB技术博客zt&q%Pp+j T
6、在“加入现有阵列”界面，按右侧的“浏览”。并在弹出的窗口中选择“Gangzhou”。确定，并“下一步”。
C$}Tc4IFF6S0IXPUB技术博客i$\$lT(|C&uT4U
IXPUB技术博客yz5wn/d `E:X}*v

K[1C4u7ThuOJt@6@0
T$rL~w1^P!pO06、在“配置存储服务器身份验证选项”，勾选“windows身份验证”。请各位仔细阅读下面的说明。呵呵，很好的解释了域成员和工作组环境下的验证区别。按“下一步”。直接安装结束。IXPUB技术博客8N;q
{fN/E

.C8l6ml-t6MO w#TK/~F0
Gt;l ^@5{IB0IXPUB技术博客z'h*{%@v*u?

8i8@7U+}|D*x07、OK，至此ISA SERVER安装基本结束。打开ISA控制面板，鼠标指向“服务器”选项。可以看到右侧面板的成员。
T C9NX{/t0IXPUB技术博客w3gJ0C_8?/f;u)j u
IXPUB技术博客P x`NU6Z7pn
IXPUB技术博客k]];Lc0y8L+M
IXPUB技术博客`6y`aO!Qq(~`
8、转回到Guangzhou这台机器上，一段时间后，会在ISA控制面板的“监视”右侧面板中看到“配置状态”已同步。说明阵列在正常运行中。CSS也正常工作。IXPUB技术博客5mA.H
k']Jc

Ujq4j6S] Wqp~;Ng0IXPUB技术博客7dq rz:jq!f j