Microsoft ISA Server 2004 简体中文正式版

疏林阁

  发行说明
Microsoft Internet Security and Acceleration Server 2004 发行说明

--------------------------------------------------------------------------------

目录
1. 安装 5. 发布
2. 管理 6. 监视
3. 防火墙客户端 7. 本地化
4. VPN 8. 升级

--------------------------------------------------------------------------------

请首先阅读本文
请务必阅读 Microsoft® Internet Security and Acceleration (ISA) Server 2004“入门指南”(Isastart.htm)。此指南提供了安装说明和安装先决条件信息，介绍了 ISA Server 2004 的新功能，并详细描述了功能演练用以展示这些功能。运行安装程序时您可以获得该文档，它位于 ISA Server 2004 CD 的根文件夹中。另外，有关部署指导和常用方案的信息，请参阅解决方案文档，这些文档可以从 ISA Server Guides and Articles 网站上获得。

安装本软件之前，请参阅随 CD 提供的所有其他发行说明，并浏览网站以获取最新的发行说明。



--------------------------------------------------------------------------------

1. 安装
为了获得最佳的安全性，请坚持为您的操作系统和 ISA 服务器安装最新的更新。有关可能需要安装的最新更新的信息，请访问 ISA Server Security Update Center。
ISA Server 2004 应该安装在运行 Microsoft Windows Server? 2003 或 Windows® 2000 Server Service Pack 4 (SP4) 的计算机上。在运行 Windows® XP 的计算机上，只能安装用于管理远程 ISA 服务器的 ISA 服务器管理。有关详细信息，请在运行安装程序时阅读“入门指南”(Isastart.htm)。
卸载 ISA 服务器时，有一些文件未完全删除。其他应用程序可能使用这些文件，您不应该删除这些文件。有关此类文件的完整列表，请参阅 ISA 服务器联机帮助。


--------------------------------------------------------------------------------

2. 管理
如果从运行 ISA 服务器管理控制台的以工作组模式安装的计算机中远程管理 ISA 服务器，那么在连接到 ISA 服务器计算机时，不要在“域”字段中指定值。
不管是否在 ISA 服务器管理中进行配置更改或者使用 Admin COM，活动缓存总是禁用的。
一个端口可能有多个与之相关的协议定义。在创建排除特定协议的规则时，请注意以下行为：
如果创建了拒绝访问特定协议的规则（例如，允许除特定协议以外的所有外部通讯的规则），则必须在例外列表中包含使用同一端口的所有协议。
或者，您可以创建一个规则来拒绝任何使用此端口的协议，并在规则排序中将这一拒绝规则置于允许访问的规则之前。
如果针对病毒创建了一个新的协议定义，请勿将该协议定义添加到允许访问规则的例外列表中。而应当创建拒绝访问该协议定义的规则，并且确保该规则置于任何访问规则之上，这些访问规则允许您在拒绝规则中引用的任何端口上的协议。
如果需要从安全组中删除已登录的 ISA 服务器管理员，然后将其添加到一个新的组中，请顺序完成以下步骤：
将管理员帐户添加到新组中。
注销并以管理员帐户登录，这时新的设置就会生效。
从原来的组中删除管理员帐户。


--------------------------------------------------------------------------------

3. 防火墙客户端
如果为网络启用了 Internet 协议安全 (IPSec) 传输模式，那么该网络中的防火墙客户端的功能可能受到影响。如果网络中的防火墙客户端不能按预期方式工作，那么请禁用 IP 路由。为此，请在“ISA 服务器管理”的“配置”节点中，单击“常规”。在详细信息窗格中，单击“定义 IP 首选项”。在“IP 路由”选项卡上，确认未选中“启用 IP 路由”复选框。
安装防火墙客户端时，您在安装过程中指定的设置适用于客户端计算机上的所有用户帐户。而安装之后，在“防火墙客户端”对话框中进行的更改只适用于在已登录帐户身份下运行的应用程序。这些更改不适用于为其他用户运行的应用程序，也不适用于在系统帐户下运行的应用程序。在安装之后，如果要为所有帐户更改防火墙客户端设置，那么请修改 Documents and Settings\All Users\Application Data\Microsoft\Firewall Client 2004 文件夹中 Common.ini 和 Management.ini 文件中的设置。在运行 Windows Server 2003、Windows XP、Windows 2000 和 Windows NT® 的计算机上，修改 Common.ini 后，必须重新启动防火墙客户端 (FwcAgent) 服务。在运行 Windows 98 或 Windows Millennium Edition 的计算机上，必须重新启动计算机。对 Management.ini 的更改不需要重新启动服务或计算机。


--------------------------------------------------------------------------------

4. VPN
当在运行 Windows 2000 Server 的计算机上安装 ISA 服务器时，如果在同一台计算机上运行了 Internet 验证服务 (IAS)，那么可能引发 VPN 客户端身份验证问题。建议您禁用 IAS。如果需要 IAS 作为 VPN 客户端的 RADIUS 服务器，那么请在另一台计算机上配置 IAS。
不支持为使用可扩展的身份验证协议 (EAP) 进行身份验证的 VPN 客户端启用用户映射。因此，适用于 Windows 用户组的访问规则不能用于这些客户端。
在使用路由和远程访问服务管理或 ISA 服务器管理断开 L2TP VPN 站点到站点的连接后，ISA 服务器可能会停止响应。为解决该问题，请重新启动 ISA 服务器计算机。
在配置远程 L2TP 站点到站点网络时，如果在远程站点网络属性的“协议”选项卡上选择了“允许将预共享密钥 IPSec 身份验证作为辅助（备用）的身份验证方法”，那么将始终采用预共享密钥作为身份验证方法。虽然对话框和联机文档中可能暗示使用的是证书身份验证，但实际上并非如此。


--------------------------------------------------------------------------------

5. 发布
要在配置了多个网络适配器的 ISA 服务器计算机上启用 SecurID 身份验证，应该显式配置 ISA 服务器用来向 RSA ACE/Server 标识自己身份的 IP 地址。如果启用了 SecurID 身份验证，但是必需的注册表项却不存在，那么 SecurID 身份验证过程可能失败。请将 ACE Server 上的“主机”属性对话框的“网络地址”中配置的 IP 地址指定为注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\SDTI\AceClient\PrimaryInterfaceIP 中的字符串值。
建立与 ISA 服务器的安全连接后，ISA 服务器会检查证书吊销列表 (CRL)。默认情况下，当 ISA 服务器被配置为使用 SSL 连接到上游 Web 代理或 Web 服务器时，CRL 检查是启用的。请确保证书吊销请求不会通过安全连接传递，以避免它们触发 CRL 检查。


--------------------------------------------------------------------------------

6. 监视
建议您为日志记录保留至少 4 千兆字节 (GB) 的磁盘空间。
在 ISA 服务器安装过程中安装高级记录组件 (MSDE) 时，会同时安装许多 16 位 *.dll 文件，其中包括 Ds16gt.dll 和 Odbc16gt.dll。这是可选组件，默认情况下会被安装。
日志维护功能不适用于 SMTP 筛选器日志。有关日志维护的更多信息，请参阅 ISA 服务器帮助中的“日志存储格式”主题。
具有扩展监视角色权限的管理员可以配置所有报告属性，但以下除外：
发布报告时不能配置另一用户帐户
不能自定义报告内容
有关管理角色的更多信息，请参阅 ISA 服务器帮助。
如果没有首先将 MSDE 数据库文件从 MSDE 中分离而要删除这些文件，则脱机日志查看器可能无法按预期方式运行查询。ISA 服务器支持自动清除数据库文件，但要手动删除一个文件，请在删除前将其从 MSDE 中分离。


--------------------------------------------------------------------------------

7. 本地化
当您从 ISA Server 2000 升级到 ISA Server 2004 时，升级过程中显示的消息和警告可能未经本地化，只能以英语显示。
不支持从一种语言版本的 ISA Server 2000 升级到多种语言版本的 ISA Server 2004。
在 Web 代理链方案中，只能使用 7 个二进制位表示的字符指定用户名和密码。否则，在下游代理服务器上，集成 Windows 身份验证将失败。
SMTP 筛选器日志项未经过本地化，将以英语显示。


--------------------------------------------------------------------------------

8. 升级
要了解如何升级 ISA Server 2000 配置，请阅读“从 Microsoft Internet Security and Acceleration (ISA) Server 2000 Standard Edition 升级”文档 (ISA2000migrate.htm)，该文档可以通过 ISA Server 2004 Autorun 获得。
建议在另一计算机上将 ISA Server 2000 升级到 ISA Server 2004 时，在导入 ISA Server 2000 配置文件之前，先安装所有必需的证书。
ISA Server 2000 包含可由用户配置的 HTTP 重定向程序筛选器。但是，所有配置设置都不会迁移到 ISA Server 2004。要使用 ISA Server 2000 设置来配置 ISA Server 2004，请执行下列操作：
如果已将 HTTP 重定向程序配置为“发送到请求的 Web 服务器”，那么在 ISA Server 2004 中，请不要将 Web 代理筛选器应用于 HTTP 协议。为此，请在“ISA 服务器管理”中，单击“防火墙策略”。在“工具箱”选项卡上，单击“协议”，展开“通用协议”，选择“HTTP”，然后单击“协议”下的工具栏上的“编辑”。在“参数”选项卡上的“应用程序筛选器”中，确保并未选中“Web 代理筛选器”复选框。
如果已将 HTTP 重定向程序配置为“拒绝来自防火墙和 SecureNAT 客户端的 HTTP 请求”，那么在 ISA Server 2004 中，请创建使用端口 80 的新协议定义，然后创建禁止使用该协议的访问规则。
默认情况下，在 ISA Server 2004 中，所有请求都重定向到 Web 代理筛选器。
在迁移过程中，如果在 ISA Server 2000 的“传出 Web 侦听器”属性页上选择了“要求未经身份验证的用户进行身份验证”，那么此设置将迁移，并且 ISA Server 2004 中的“内部网络”的“Web 代理”属性中将启用“要求所有用户进行身份验证”。在升级之后，即使您在升级过程中已选择维护现有 ISA Server 2000 策略，那些来自内部网络中的 SecureNAT 客户端的 HTTP 请求也不能访问 ISA Server 2004。要解决此问题，请执行下列操作：
在升级过程中，选择维护现有 ISA Server 2000 策略。
升级后，在 ISA Server 2004 的“内部网络”的“Web 代理”属性中，清除“要求所有用户进行身份验证”。
修改在迁移 ISA Server 2000 传出 HTTP 协议规则时创建的 ISA Server 2004 访问规则（但不包括根据 ISA Server 2000 数据包筛选器创建的规则），以便将适用于“所有用户”的规则更改为适用于“所有经过身份验证的用户”。
如果在同一规则中使用了 HTTP 和另一协议，那么请为 HTTP 协议创建新的规则，然后将此规则应用于“所有经过身份验证的用户”。
迁移过程中，将创建网络集（“内部网络集”）。该网络集包括内部网络，本地主机网络和 VPN 客户端网络，并且在迁移的访问规则中用作内部网络。升级后，要确保迁移规则的运行方式与其在 ISA Server 2000 中相同，请修改从迁移的 ISA Server 2000 协议规则及站点和内容规则中创建的访问规则，方法如下：
创建带有与“内部网络集”相同条目的新网络集，但是要从该集中删除本地主机网络。
将新网络集应用到相关的规则，然后从这些规则中删除对“内部网络集”的引用。


--------------------------------------------------------------------------------

本文档中的信息（包括引用的 URL 和其他 Internet 网站）如有变动，恕不另行通知。除非专门指出，否则本文档示例中所提及的公司、机构、产品、人物和事件均属虚构，无意与任何实际的公司、机构、产品、人物或事件关联，也不应进行这方面的推断。用户有义务遵守所有适用的版权法。在不限制版权许可的权利的情况下，没有得到 Microsoft Corporation 明确书面许可，本文档的任何部分不得被复制、存储或引进检索系统，或者以任何形式、任何方式（电子、机械、复印、录音或其他）或为任何目的进行传播。

本文档可能涉及 Microsoft 的专利、专利申请、商标、版权或其他知识产权。除非得到 Microsoft 的明确书面许可，否则本文档不授予您使用这些专利、商标、版权或其他知识产权的任何许可。

© Microsoft Corporation 2004. 保留所有权利。

Microsoft、Active Directory、Outlook、Windows、Windows Media 和 Windows NT 是 Microsoft Corporation 在美国和/或其他国家（地区）的注册商标或商标。

ftp://aliveagain.vicp.net/software/DRLISA2004SChs.ISO
限2线程下载，违者封IP。
用户名：ftpuser
密码：ultraftp

  本贴包含图片附件:

                               
登录/注册后可看大图

fst

太多了~
看着眼晕~
是新的操作系统吗？