在 ISA Server 2006 中发布 Web 服务

出处：ISA中文站作者：风间子时间：2006-8-12 10:12:00

由于在身份验证方式上进行了增强，ISA Server 2006 中的 Web 服务发布方式和 ISA Server 2004 有所不同，在这篇文章中，我将给大家详细介绍如何在 ISA Server 2006 中发布 Web 服务。

一、发布单个Web站点

在 ISA 2006 管理控制台中右击防火墙策略，指向新建，选择Web站点发布规则；

在弹出的欢迎使用新建Web发布规则向导页，输入规则名称后点击下一步；

在选择规则动作页，选择允许，点击下一步；

在发布类型页，选择发布单个Web站点或负载均衡器，点击下一步；

在服务器连接安全性页，选择使用非安全连接来连接到被发布的Web服务器或服务器场（即使用HTTP协议进行连接），点击下一步；

在内部发布细节第一页，在内部站点名栏输入被发布的内部Web站点的名称（Web站点的主机名头），但是由于存在Web站点的主机名头和计算机名不一致的现象，为了便于ISA连接到内部的Web服务器，建议你勾选使用计算机名或IP地址来连接到被发布的服务器，然后输入服务器的IP地址，从而避免ISA不能正常解析内部Web站点名从而导致无法连接的现象，完成后点击下一步；

在内部发布细节第二页，输入发布的内部Web站点的路径，在此我发布全部路径，因此直接点击下一步；

在公共名字细节页，选择接受外部访问请求的外部域名，在此我在接收请求栏选择任何域名，点击下一步；

在选择侦听器页，点击新建，在弹出的欢迎使用新建Web侦听器向导页，输入侦听器名称后点击下一步；

在客户端连接安全性页，选择不要求和客户端之间的SSL安全连接，点击下一步；

在Web侦听器IP地址页，勾选外部网络，你也可以点击选择IP地址按钮来配置Web侦听器侦听的IP地址，点击下一步；

在身份验证设置页，设置 ISA Server 2006 是否对请求访问的客户进行身份验证。需要注意的是，此身份验证是由 ISA Server 要求客户进行，和被发布的Web服务器没有任何关系。不过在ISA 2006中增强了对于身份验证委派的支持，因此你可以设置 ISA Server 要求客户身份验证，然后 ISA Server 再将通过身份验证的客户所提交的身份验证凭据委派到被发布的Web服务器，从而避免客户端被提示要求进行多次身份验证。需要注意的是，默认情况下ISA拒绝通过HTTP协议进行任何身份验证，因此当客户使用HTTP协议访问时，如果ISA的其他配置或被发布的Web服务器要求客户进行身份验证，那么ISA会拒绝客户的访问。我将在以后撰文专门分析ISA Server 2006中的身份验证。

在此我是对Internet发布Web服务，不需要客户端进行身份验证，因此选择无身份验证，点击下一步；

在单点登录设置页，由于只有基于HTTP表单的身份验证才支持SSO，因此无法进行配置，直接点击下一步；

在正在完成新建Web侦听器向导页点击完成，然后在选择Web侦听器页点击下一步；

在身份验证委派页，由于我不要求客户进行身份验证，因此选择无委派，并且客户不能直接进行身份验证，点击下一步；

在用户集页，接受默认的所有用户，点击下一步；

在正在完成新建Web发布规则向导页点击完成，此时Web发布规则就创建好了。

不过默认情况下ISA并未转发客户端原始IP地址给被发布的Web服务器，你可以在Web发布规则属性的到标签进行修改，如下图所示：

需要注意的是，由于在进行Web发布时，ISA需要占用TCP/IP上的相应端口，因此Web发布规则所侦听的端口如TCP 80需要保证没有被其他应用程序所占用，这个可以通过netstat -b find ":80"来观察。

最后点击应用保存修改并更新防火墙策略，此时Web发布规则就创建好了。

二、发布多个Web站点

在 ISA Server 2006 中你可以同时发布多个Web站点，针对每个Web站点创建一个Web发布规则。不过被发布的这些Web站点最好具有相同的域名后缀，否则你需要对创建的Web发布规则进行修改。

前面的操作过程是一样的，只是在发布类型页，选择发布多个Web站点，点击下一步；

在指定发布的Web站点页，点击添加按钮添加被发布的Web站点的名字，需要注意的是，ISA将使用这个名字来连接到这些Web站点，并且也将这个名字和后面提供的域名后缀相结合以指定Web发布规则中的公共名称。添加完成后点击下一步；

在发布的Web站点公共名称页，输入Web站点的域名后缀，然后点击下一步；

在选择Web侦听器页，在此我选择一个已有的Web侦听器，然后点击下一步；

在身份验证委派页，同样选择无委派，并且客户不能直接进行身份验证，点击下一步；

在用户集页，接受默认的所有用户，点击下一步；

在正在完成新建Web发布规则向导页点击完成，

此时Web发布规则就创建好了，如下图所示，不过建议你再检查一下Web发布规则，你可能需要对Web发布规则进行修改。

三、发布服务器场

服务器场是一个包含多个服务器对象的网络对象，在 ISA Server 2006 中新增了发布服务器场的功能，用于实现一种简单的容错和负载均衡机制，它的工作原理是这样的：

当发布服务器场以后，ISA Server 2006 将客户访问请求分布到服务器场中的不同Web服务器上，以实现负载均衡；
在创建服务器场发布规则的同时，ISA创建一个连接性验证工具，每隔30秒对被发布的服务器场中的每个Web服务器使用HTTP/HTTPS GET进行连接性验证；如果某个Web服务器连接失败，则将客户的访问请求转发到服务器场中其他连接正常的Web服务器，以实现容错；
如果服务器场中的所有Web服务器均连接失败，则服务器场发布规则失败。

前面的操作过程是一样的，只是在发布类型页，选择发布一个Web服务器负载均衡服务器场，点击下一步；

在客户端连接安全性页，选择不要求和客户端之间的SSL安全连接，点击下一步；

在内部发布细节第一页，在内部站点名栏输入被发布的内部Web站点的名称（Web站点的主机名头），完成后点击下一步；

在内部发布细节第二页，输入发布的内部Web站点的路径，在此我发布全部路径，因此点击下一步；

在指定服务器场页，点击新建按钮，

在弹出的欢迎使用新建服务器场向导页，输入服务器场名称后点击下一步；

在服务器页，点击添加按钮添加包含在此服务器场中的服务器，建议总是使用IP地址来添加，完成后点击下一步；

在服务器场连接性监视页，接受默认的发送HTTP/HTTPS GET请求，点击下一步；

在正在完成新建服务器向导页，点击完成。在弹出的启用HTTP连接性验证提示对话框上点击是。

在指定服务器场页，你可以选择 ISA Server 2006 对入站Web请求的负载均衡方式，它们主要是针对故障恢复的场景，ISA Server 2006 中具有以下两种负载均衡模式：

基于Cookie的负载平衡：ISA Server 2006 基于客户会话来将客户分布到不同的Web服务器，它使用一个Cookie来维持客户端和服务器之间的联系。例如服务器场中有A、B两台Web服务器，客户 C 的访问请求被 ISA Server 2006 指定由 A 进行处理，但是当 A 出现故障停止服务后，客户 C 的访问请求将被 ISA Server 2006 故障转移到 B；当 A 恢复服务后，客户 C 当前通过 B 进行处理的访问请求将继续由 B 处理，新的访问请求将由 A 进行处理。这种模式可以更好的为客户端提供服务，微软推荐你使用这种模式，但是要求客户端支持使用 HTTP 1.1 和 Cookie。
基于源IP地址的负载平衡：ISA Server 2006 基于客户端的源IP地址来将客户分布到不同的Web服务器，来自相同源IP地址的客户端访问请求将由相同的Web服务器进行处理。如果客户端不支持 HTTP 1.1或者 Cookie 时（如大部分移动设备），建议采用这种方式。例如服务器场中有A、B两台Web服务器，客户 C 的访问请求被 ISA Server 2006 指定由 A 进行处理，但是当 A 出现故障停止服务后，客户 C 的访问请求将被 ISA Server 2006 故障转移到 B；当 A 恢复服务后，客户 C 所有的访问请求将由 A 进行处理，因此客户 C 当前通过 B 进行处理的访问请求将会丢失。

在此我选择基于Cookie的负载平衡，点击下一步；