Configuring ISA Server Arrays
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000 Enterprise Edition
Von Thomas W. Shinder und Kai Wilke, bearbeitet von Dieter Rauscher
Ein ISA Server kann entweder als standalone Server oder im Array Modus konfiguriert werden. Die gängigste Konfiguration ist der standalone ISA Server Modus, da von den meisten Unternehmen keine hohen Ansprüche wie z.B. eine hochverfügbare Internetanbindung oder hohe Performance gestellt werden. In unternehmenskritischen Netzwerken bietet es sich jedoch an, ein ISA Server Array einzusetzen, um die Verfügbarkeit und Skalierbarkeit einer ISA Server Lösung bei Bedarf zu erhöhen . Ein ISA Server Array ist ein hervorragendes Scale Out Verfahren für eine Firewall oder Webproxy Lösung und bietet ein sehr hohes Maß an Performance und Verfügbarkeit.
Um ein Array zu implementieren, müssen alle Arraymitglieder mit einer ISA Server Enterprise Edition ausgestattet werden. Außerdem ist ein Active Directory zwingend erforderlich, da ein ISA Server Array den größten Teil der ISA Konfiguration im Active Directory speichert und aus diesem in regelmäßigen Abständen die Konfiguration liest. Das Active Directory biete auf diese Weise eine sehr zuverlässige und ausgereifte Methode um die Konfiguration zwischen den Array Mitgliedern zu synchronisieren. Um ein ISA Server Array im Active Directory zu erstellen, muss man als erstes das Schema mit einem Update auf die neuen ISA Objektklassen vorbereiten.
Wenn im Schema die neuen Objektklassen definiert worden sind, erhält man die Möglichkeit seine ISA Server im Array Modus zu betreiben. Der Array Modus bietet einem Administrator die Möglichkeit seine ISA Server als logische Einheit zu administrieren, in dem sich die definierten Regeln gleichzeitig auf alle Arraymitglied auswirken. Sollte ein Unternehmen mehrere ISA Server Arrays einsetzen, dann stehen noch Unternehmensrichtlinien zur Verfügung, die es ermöglichen mehrere Arrays zentral über eine gemeinsame Zugriffsrichtlinie zu verwalten.Sicherheitsanmerkung:
Man kann auch einen getrennten Active Directory Forest für das ISA Server Array erstellen. Für eine erfolgreiche Benutzerauthentifizierung würde eine einseitige Vertrauensstellungen zu dem Unternehmens Forest benötigt werden. Auf diese Wiese umgeht man ein Schema Update im Unternehmensforest und zusätzlich bekäme das ISA Server Array nur minimale Rechte im Unternehmens Forest.
Anmerkung:
Ausschließlich mit einem ISA Server Array erhält man die Option CARP (Cache Array Routing Protokoll) um die Skalierbarkeit und Auffallsicherheit einer ISA Webproxy Lösung zu verbessern. CARP ist ein Algorithmus der es ermöglicht, die gesamte Leistung einer Webproxy Lösung zu erhöhen, indem die Clientanfragen gleichmäßig auf mehrere ISA Server aufgeteilt werden. Der Vorteil gegenüber normalen Netzwerk Loadbalancing-Lösungen ist eine Vermeidung von duplizierten Cache Inhalten zwischen den Arraymitgliedern, da bei CARP die URLs als Basis für den Hash Algorithmus genutzt wird. CARP bietet außerdem ein sehr hohes Maß an Ausfallsicherheit, da bei Ausfall eines ISA Servers die Client Anfragen automatisch auf die verbleibenden Server erneut aufgeteilt werden.
In diesem Artikel zeigen wir, welche Schritte für die Einrichtung eines ISA Server Arrays erforderlich sind. Außerdem werden wir zeigen, wie durch den Einsatz eines Arrays die Verwaltung mehrerer ISA Server vereinfacht wird. Die Verwendung des CARP Protokolls wird jedoch in einem gesonderten Artikel beschreiben.
Schritte für eine ISA Server Array Installation:
1.) Vorbereiten des Schemamasters für die Schemaänderungen
2.) Erweitern des Active Directory Schemas und erstellen einer Enterprise Policy
3.) Manuelle erstellen eines ISA Server Arrays
4.) Hinzufügen der ISA Server zu einem Array
5.) Verwalten eines ISA Server Arrays
Vorbereiten des Schemamasters für die Schemaänderungen
Bevor man Änderungen am Active Directory Schema durchführt, sollte man als erstes sein Active Directory mit einem Systemstatus-Backup von einem beliebigen Domänencontroller sichern. Ein Schema Update ist nicht umkehrbar und sollte es zu schwerwiegenden Fehlern im Active Directory kommen, hat man auf diese Weise eine Möglichkeit die Änderungen wieder rückgängig zu machen.
Bevor das ISA Server Schema Update eingespielt werden kann, müssen ein paar Schritte im Vorfeld erledig werden. Ich werde nun die nötigen Schritte erklären um das Schema mit den neuen ISA Server Objektklassen zu erweitern.
1.) Als erstes sollte man sich als Enterprise Administrator am Domänen Controller anmelden. Der Administrator Account muss zusätzlich Mitglied der Gruppe „Schema Administratoren“ sein, damit man die entsprechenden Berechtigung bekommt um Veränderungen im Schema vorzunehmen.
2.) Als nächstes öffnet man eine MMC Konsole und fügt das Schema Snap-In hinzu. Sollte das Schema Snap-In nicht in der Auswahlliste zur Verfügung stehen, dann muss zuerst das Adminpak.msi auf dem Domänen Controller installiert werden oder das Schema Snap-In manuell auf dem Domänen Controller registriert werden.
3.) Nun öffnet man mit einem Rechtsklick auf dem Knoten „Active Directory Schema“ die Eigenschaften des Operation Masters.
4.) In den Eigenschaften sollte sichergestellt werden, dass das Schema auf diesem Domänen Controller geändert werden kann indem der Haken „The Schema may be modified on this Domain Controller“ gesetzt wird.
Erweitern des Active Directory Schemas und erstellen einer Enterprise Policy
1.) Um die ISA Server Schema Klassen auf dem Domänen Controller einzuspielen muss das ISA Server Setup auf dem DC ausgeführt werden.
2.) Beim ISA Server Setup Bildschirm startet man nun den „ISA Server Enterprise Initialization Wizard“ um das Schema Update im Active Directory zu initialisieren.
3.) Die Warnmeldung verdeutlicht es noch einmal, das eine Schemaänderung nicht rückgängig gemacht werden kann. Daher ist an dieser Stelle ein gut funktionierendes Backup zwingend erforderlich, um die Schemaänderungen bei Komplikationen wieder rückgängig machen zu können.
4.) Im folgenden Fenster sind die Werte der Default Enterprise Policys einzutragen. Diese Werte werden neu erstellte Arrays nutzen, wenn das Array von einem „Domänen Administrator“ erstellt wird. Standardmäßig darf nur die Gruppe der „Enterprise Administratoren“ entscheiden ob ein Array nur „Array Richtlinien“ verwendet, oder zusätzlich „Enterprise Richtlinien“ nutzen soll. Diese Default-Werte lassen sich jedoch jederzeit nachträglich ändern. Es stehen für die Default-Werte zwei unterschiedliche ISA Server Verwaltungsmodelle zur Auswahl. Die Einstellung „Use array policy only“ ermöglicht es, mehrere ISA Server Zentral ausschließlich über Arrayrichtlinien zu verwalten. In dieser Konfiguration wird das Array nach dem gleichen Modell wie ein allein stehender ISA Server verwaltet, jedoch wirken sich die Konfigurationen auf alle Array Mitglieder gleichzeitig aus. Mit der Einstellung „Use this Enterprise policy“ werden zusätzlich zu den Array Richtlinien noch Enterprise Richtlinien angewendet. Enterprise Richtlinien ermöglichen ein getrenntes Administrationsmodel für ein ISA Server Array. Dabei werden in den Enterprise Richtlinien, die nur von Enterprise Administratoren geändert werden dürfen, die „Site and Content“ und „Protocol Rules“ definiert. Mit dem Haken „Allow array-level access policy rules that restrict Enterprise policy“ kann entscheiden werden, ob durch einem Domänen Administrator die gesetzten Enterprise Richtlinien durch „Verbotsregeln“ auf Arrayebene weiter eingeschränkt werden können. In diesem Modus ist es jedoch nicht möglich, dass zusätzliche Regeln von einem Domänen Administrator auf Arrayebene erstellen werden, die den Zugriff auf Protokolle oder auf Webseiten ermöglichen, die nicht bereits auf Enterprise Ebene festgelegt worden sind. Zusätzlich kann ein Enterprise Administrator auf Enterprise Ebene entscheiden ob in den Arrays „Veröffentlichungsregeln“ erstellt werden dürfen oder ob die IP-Paketfilterung im Array erzwungen werden soll. Normalerweise benutze ich für die Grundinstallation der Enterprise Richtlinien die Einstellungen wie sie in der Darstellung gezeigt werden.
5.) Nachdem das Schema erfolgreich installiert worden ist, erscheint die Meldung das sich erst die neuen ISA Server Schema Klassen auf alle Domänen Controller im Forrest replizieren müssen, bevor das erste ISA Server Array erstellt werden kann. Bei einem einzelnen Domänen Controller ist dieses nicht weiter zu beachten. Da aber meistens ein ISA Server Array zur Steigerung der Ausfallsicherheit eingesetzt wird, ist es zu empfehlen mindestens zwei Domänen Controller einzusetzen, da beim Ausfall des Active Directorys auch das ISA Server Array nicht mehr funktionieren würde. Des Weiteren sollten Veränderungen am Active Directory Schema immer außerhalb der Arbeitszeit stattfinden, da bei Veränderungen am Schema automatisch alle Globalen Katalogserver zurückgesetzt werden. Die erneute Replikation aller Objekte kann jedoch zu erheblichen Überlastungen des Netzwerks führen, da die Informationen der Globalen Kataloge von allen Domänen und Standorten erneut zusammengestellt werden müssen.
Manuelle erstellen eines ISA Server Arrays
Nachdem das Active Directory für den Einsatz eines ISA Server Arrays vorbereitet wurde, kann das erste ISA Server Array erstellt werden. Zur Erstellung eines ISA Server Arrays benötigt man lediglich ein ISA Server Management Snap-In, das auf einen beliebigen Domänen Computer installiert worden ist. Ich habe es mir angewöhnt, das Array immer zu erstellen bevor die ersten ISA Server Mitglieder des Arrays werden. In den nächsten Schritten werde ich zeigen was für das erfolgreiche Einrichten eines Arrays erforderlich ist.
1.) Von einem beliebigen Domänen Computer aus startet man das ISA Management Snap-In als Enterprise Administrator. Bevor man ein neues Array erstellen kann, muss man eine Verbindung zum Active Directory über den „Connect to...“ Assistenten herstellen.
2.) Nachdem die Verbindung zum Active Directory hergestellt wurde, findet man unterhalb des Enterprise Knotens die ISA Enterprise Richtlinien. Zu den Enterprise Richtlinien gehören nach der Initialisierung der ISA Schema Klassen die bereits beim Setup erstellte „Default Enterprise Policy“ und der Knoten „Policy Elements“. Die Richtlinien Objekte können bei einem ISA Server Array, das über Enterprise Richtlinien administriert wird, zentral für alle ISA Server Arrays verwaltet werden. Das hat den Vorteil das selbst erstellte Richtlinienobjekte meistens auch auf andere ISA Server Arrays eingesetzt werden können und daher nur ein mal erstellt werden müssen. Um nun ein neues ISA Server Array zu erstellen, startet man mit einem Rechtsklick auf „Server und Arrays“ den „New Array Wizard“.
3.) Im „New Array Wizard“ muss als erstes ein Array Name angegeben werden. Im nächsten Fenster muss angegeben werden, in welcher Domäne und in welcher Active Directory Site das Array erstellt werden soll. Es ist bei einem Array zwingend erforderlich, dass alle Array Mitglieder sich in der selben Active Directory Domäne und Site befinden. Es sollte außerdem darauf geachtet werden, dass möglichst der Site Name in dem sich das Array befindet nicht geändert wird oder das die ISA Server des Arrays in eine andere Site verschoben werden, da ansonsten die Arraykonfiguration durch diesen Vorgang beschädigt werden könnte.
4.) Im nächsten Fenster bekommt man die Möglichkeit, den Richtlinien-Modus für das Array auszuwählen. Sollte der Benutzer Account unter dem man die MMC Konsole ausführt nicht Mitglied der Enterprise Administratoren Gruppe sein, dann würde dieses Eingabefenster nicht erscheinen und es würde die bereits definierte Default-Enterprise Richtlinien Einstellung angewendet werden. Da ich aber momentan als Enterprise Administrator angemeldet bin, werde ich „Do not use Enterprise policy“ auswählen um mein Array ohne Enterprise Policys zu Konfigurieren. In diesem Modus läst sich ein einzelnes ISA Server Array am bequemsten Verwalten, da es die gewohnten Konfigurationsmöglichkeiten eines standalone ISA Servers bietet. Generell sollten die Enterprise Richtlinien nur zum Einsatz kommen, wenn eine Zwei-Ebenen-Administration aus sicherheitstechnischen Gründen erforderlich ist, oder man mehrere ISA Server Arrays über eine gemeinsame Zugriffsrichtlinie administrieren möchte.
5.) Im nächsten Fenster könnte ein Enterprise Administrator noch die Einstellung für die IP-Paketfilter anpassen und entscheiden ob im Array Veröffentlichungs-Regeln erlaubt sind. Sollte der angemeldete Benutzer nicht Mitglied der der Enterprise Administratoren Gruppe sein, dann würden die Default Array Policy Einstellungen benutzt werden.
6.) Als nächstes muss angegeben werden, im welchen Modus das Array betrieben werden soll. Zur Auswahl stehen hierbei die gewohnten ISA Server Betriebs Modis: Cache only, Firewall only oder der Integrated Mode. Es ist vielleicht anzumerken, dass in einem Array alle ISA Server einen einheitlichen Modus ausführen müssen. Sollte man zwei unterschiedlichen Installationsmodis für die ISA Server benötigen, dann sind in diesem Fall getrennte Arrays zu erstellen.
7.) Nachdem man den „New Array Wizard“ beendet hat, erscheint das gerade erstellte Array im ISA Server Snap-In. Man kann deutlich anhand des Computer Knoten sehen, dass dieses Array bis jetzt noch keinen ISA Server als Mitglied hat.
8.) Wenn das neue Array erfolgreich erstellt wurde, könnte man damit beginnen die Zugriffsrichtlinien des Arrays zu konfigurieren. Damit später die ISA Server das Array beitreten können, muss mindestens die LAT mit den entsprechenden Netzwerken konfiguriert werden.
Hinzufügen der ISA Server zu einem Array
Nachdem ein ISA Server Array im Active Directory erstellt und die LAT konfiguriert worden ist, kann man damit anfangen, die Array Mitglieder in das Array aufzunehmen. Um ein ISA Server als Arraymitglied zu konfigurieren, gibt man währen der Installation an das der Server Mitglied eines Arrays werden soll. In den Folgenden Schritten werde ich auf die Details einer Array Installation eingehen.
1.) Bevor man einen ISA Server installiert, sollten einige Einstellungen am Windows 2000 Server unternommen werden. Die Einstellungen unterscheiden sich nicht von einem standalone ISA Server und betreffen Hauptsächlich die Netzwerkskonfiguration, wie z.B. IP Adressen, DNS Server usw. Es ist für den Windows 2000 Server zwingend erforderlich, das er Mitglied der Domäne und Site ist, in der das Array in dem vorherigen Schritt installiert worden ist. Wenn alle Einstellungen erfüllt worden sind, dann kann man das Setup Programm einer ISA Server Enterprise Edition starten. Für eine Arrayinstallation ist es erforderlich mindestens Mitglied in der Gruppe der Domänen Administratoren zu sein, da ansonsten das Setup mit einer Fehlermeldung beendet wird.
2.) Nachdem die Lizenznummer eingegeben und der Lizenzvertrag anerkannt wurde, müssen die Komponenten des ISA Server installiert werden. Bei einem ISA Server Array ist darauf zu achten das auf allen Arraymitgliedern einheitliche Komponenten beim Setup angegeben und installiert werden.
3.) Im nächsten Fenster fragt das Setup nach, ob der ISA Server als Arraymitglied oder als standalone Server installiert werden soll. Diese Abfrage muss dem entsprechen mit Ja beantwortet werden.
4.) Als nächstes muss nun ein Array ausgewählt werden in das der ISA Server aufgenommen werden soll. Das Array „My Array“ wurde im vorherigen Abschnitt bereits eingerichtet und wird nun im Auswahlfeld angezeigt. Man bekommt zusätzlich noch die Möglichkeit ein neues Array zu erstellen, aber wie ich es bereits erwähnt habe ist meine Empfehlung das Array im Vorfeld zu erstellen, damit es im Fehlerfall ohne Problem gelöscht und wieder neu erzeugt werden kann.
5.) Nachdem das entsprechende Array ausgewählt worden ist, müssen nun noch eine Einstellungen gemacht werden die nur für das Arraymitglied gültig sind. Es gibt in einem Array nur wenige Einstellungen die nur ein einzelnes Arraymitglied betreffen. Eine dieser Einstellungen ist die Cache Größe da nicht alle Arraymitglieder über die gleiche Hardwareausstattung verfügen müssen. Jedoch sollte bei einem Array darauf geachtet werden, dass möglichst alle Array Mitglieder eine identische Hardwareausstattung besitzen und somit auch identisch konfigurierte Cachegrößen haben.
6.) Nachdem der erste ISA Server zum Array hinzugefügt wurde, müssen die Schritte 1-5 für die anderen Array Mitglieder wiederholt werden.
Zusammenfassung:
Man kann ISA Server Arrays für eine Einheitliche Konfiguration von mehreren ISA Server einsetzen. Dabei werden die ISA Server mit Hilfe von im Active Directory gespeicherten Konfigurationen verwaltet, welches die Administration stark vereinfacht. Ein ISA Server Array bietet außerdem die Möglichkeit CARP einzusetzen, um die Verfügbarkeit und Leistung einer ISA Server Lösung zu verbessern.
Stand: Friday, 28. August 2009/DR.
