ISA 2006 Enterprise Edition (EE) でリバースプロキシ環境構築方法を勉強中です。
一通り、流れがつかめた気がするので一度まとめてみたいと思います。
今回構築したいのは以下構成になります。
ISA は NIC × 2 の構成でインターネット向けの口とイントラネット向けの口を用意しています。
厳密な F/W は導入していないのですが セグメント違いますよ」というイメージ図のため、壁を入れてあります。
まずは構成保管サーバー (CSS: Configuration Storage Server) の構築から。
ISA 2006 では構成情報を構成保管サーバーに格納します。
Standard Edition (SE) の場合は構成情報をレジストリに格納されます。
– HKLMIsaStg_Eff1
– HKLMIsaStg_Eff1Policy
– HKLMIsaStg_Eff1Prot
に格納されているようです。
SE はシングルサーバー構成のため、レジストリに情報を格納して自身が参照できれば問題ないですよね。
EE の場合は複数ノードで ISA を構成することができます。
そのため CSS は ADAM (Active Directory Application Mode) を使用して管理されます。
# レジストリも使っているようですが、マスターは ADAM になるようです。
構成保管サーバーは ADAM をマルチマスタレプリケーションで複製することによる、レプリカを作成できますので
設定情報自体の冗長化を図ることが可能です。
ただし、この構成保管サーバーなのですが、CSS をワークグループ環境に設置した場合、レプリカ設定ができません。
ワークグループ環境の CSS に構成保管のレプリカを追加しようとすると以下のエラーになります。
CSS のレプリカ構成はドメイン環境必須になります。
そのため ISA 2006 EE を構築する場合は、CSS を内部ドメインに配置し、Active Directory 環境とする構成を
検討する必要があります。
今回はリソースが足りないので、ISA 2006 EE をドメインに参加させ、ISA 兼 CSS の構成として冗長性を確保しています。
# DMZ に配置するサーバーをドメイン環境に設置しています。微妙な構成??
[事前準備]
インストール前の事前準備として以下の作業をしておきます。
- ドメインに参加
- Domain Users グループのユーザーを作成し、各 ISA サーバーのローカル Administrators グループに追加
- 追加したドメインユーザーでログイン
[構成保管サーバーのインストール]
最初の構成保管サーバーをインストールします。
今回は OS に Windows Server 2003 R2 x86 を使用しています。
構成保管サーバーには ADAM を使用しており、2003 R2 にインストールする場合には、インストール中に
R2 の Disk2 の挿入が必要となります。
インストール中にディスクを入れ替えるの手間ですので、構成保管サーバーをインストールする際は
- ISA のインストールメディアをローカルディスクに保存
- R2 の Disk を挿入しておく
- ローカルディスクのインストーラー? (isaautorun.exe)を起動
で行うと楽かと。
以前、インストールできないと困っていたら裏に、CD 挿入のダイアログが出ていただけだったことがあります…。
それ以来、EE のインストール時は上記の方法で行っています。
# SE は ADAM のインストールがないので CD 挿入のダイアログが表示されません。
インストールの手順は以下になります。
- インストーラーを起動します。
- [ISA Server 2006 のインストール] をクリックします。
- [次へ] をクリックします。
- [使用許諾契約書に同意します] を選択し、[次へ] をクリックします。
- [次へ] をクリックします。
- [構成保管サーバーのインストール] を選択し、[次へ] をクリックします。
- [次へ] をクリックします。
- [新しい ISA Server エンタープライズの作成] を選択し、[次へ] をクリックします。
- [次へ] をクリックします。
- [エンタープライズ名] を設定し、[次へ] をクリックします。
- [単一のドメイン内、または信頼関係のあるドメインに展開しています。] を選択し、[次へ] をクリックします。
- [インストール] をクリックします。
- [完了] をクリックします。
これで最初の構成保管サーバーのインストールは完了です。
[構成保管サーバーのレプリカの作成]
続いてレプリカを作成します。
- インストーラーを起動します。
- [ISA Server 2006 のインストール] をクリックします。
- [次へ] をクリックします。
- [使用許諾契約書に同意します] を選択し、[次へ] をクリックします。
- [次へ] をクリックします。
- [エンタープライズ構成のレプリカの作成] を選択し、[次へ] をクリックします。
- 最初にインストールした構成保管サーバーを FQDN で指定して、[次へ] をクリックします。
両サーバーのローカル Administrators グループに追加さている Domain Users のアカウントを使用しているので、
資格情報を設定しなくても通ります。
# 今回は [isa.local] ドメイン/ [2003-ISA-11] / [2003-ISA-12] を構築して検証しています。
- [ネットワーク上でレプリケートする] を選択し、[次へ] をクリックします。
- [単一のドメイン内、または信頼関係のあるドメイン内に展開しています] を選択し、[次へ] をクリックします。
- [インストール] をクリックします。
- [完了] をクリックします。
これで構成保管サーバーのレプリカが作成されます。
[アレイの作成]
この後に、ISA 2006 の本体を導入しますので、インストール時に指定するアレイを作成しておきます。
アレイの作成は ISA の管理コンソール [ISA Server の管理] で行います。
- [アレイ] を右クリック → [新規のアレイ] をクリックします。
- [アレイ名] を設定し、[次へ] をクリックします。
? - [次へ] をクリックします。
- [次へ] をクリックします。
- [次へ] をクリックします。
- [完了] をクリックします。
- [OK] をクリックします。
- [適用] をクリックして設定を反映させます。
? - [OK] をクリックします。
今回は [2003-ISA-11] 上で操作をしたのですが、構成情報は複製されていますので [2003-ISA-12] でも設定されています。
[代替構成保管サーバーの設定]
アレイには代替保管サーバーを設定できます。
構成保管サーバーのレプリカがあっても、代替構成保管サーバーを設定しないとアレイが使用している構成情報の冗長化ができません。
- 作成したアレイを右クリック → [プロパティ] をクリックします。
- [構成の保管] タブをクリックし、[代替構成保管サーバー] を設定し、[OK] をクリックします。
今回の環境の初期状態では、代替構成保管サーバーは設定されていません。
[2003-ISA-12] にも構成保管サーバーはインストールされていますので、代替構成保管サーバーとして設定します。
? - [適用] をクリックして設定を反映させます。
- [OK] をクリックします。
しばらく待つと設定を行っていない構成保管サーバーにも複製されますので、全構成保管サーバーに設定されていることを
確認できれば設定完了です。
現在の設定ですとこの後、ISA 本体をインストールしたときにいろいろと不具合が起きるのですが、
それはこの後の投稿で確認しながら対処していきたいと思います。