Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar
0 de 1 pessoas classificaram isso como útil - Avalie este tópico

Implantando matrizes (arrays) do ISA Server com Active Directory

Cc750604.Clara(pt-br,TechNet.10).gifVisão geral


Para instalar o ISA (Microsoft® Internet Security and Acceleration) Server em uma matriz, o serviço de diretório Microsoft Active Directory® deve estar instalado no domínio do ISA Server e todas as informações de configuração do ISA Server devem ser salvas no Active Directory. Todos os computadores com ISA Server na matriz compartilharão uma configuração comum para facilitar o gerenciamento e aprimorar os tempos de resposta, pois a carga é distribuída em vários servidores de matriz. É possível configurar e aplicar uma diretiva corporativa às matrizes, permitindo o gerenciamento centralizado de várias matrizes. Para instalar o ISA Server como um membro matriz, o computador deve pertencer a um domínio do Windows® 2000 Server ou do Windows Server™ 2003. Não é recomendado que o ISA Server seja instalado no controlador de domínio.

Antes da instalação do ISA Server no modo matriz, o esquema do ISA Server deve ser instalado no Active Directory. O ISA Server inclui uma ferramenta de Inicialização corporativa, disponível na instalação, para executar essa tarefa. Depois que o esquema do ISA Server for importado, todas as instalações subseqüentes do ISA Server em computadores no domínio poderão usar esse esquema. Não será necessário instalá-lo novamente. O arquivo de importação do Active Directory pode ser encontrado no CD do ISA Server em isa\schema.ldif e inclui as extensões de esquema Empresa e Matriz.


Cc750604.Clara(pt-br,TechNet.10).gifEstendendo o esquema


O ISA Server usa os objetos de esquema básicos fornecidos pelo Active Directory, tais como domínios, computadores e usuários. Ele também adiciona suas extensões ao Active Directory. Além disso, ele não estende nenhuma classe nativa do Active Directory com propriedades adicionais do ISA Server.

O ISA Server armazena as informações de configuração no Active Directory e faz gravações nele somente quando alterações de configuração são feitas em itens como regras ou elementos de diretiva. O registro, o relatório e a monitoração do ISA Server não exigem permissão de leitura/gravação no Active Directory.

O ISA Server armazena informações nas seguintes partições do Active Directory:

  • As diretivas corporativas e os objetos do ISA Server são armazenados na partição Configuração, disponibilizando as informações corporativas para todos os domínios da floresta.
  • Os objetos de matriz de domínio do ISA Server são armazenados na partição Domínio, que é replicada para todos os controladores de domínio em um domínio.
  • O ISA Server armazena algumas informações sobre as propriedades da matriz em um catálogo global (aproximadamente 200 bytes por matriz).

A tabela a seguir fornece detalhes de alguns dos mais importantes objetos do Active Directory no ISA Server.

Objeto Partição Armazenamento Detalhes
Objeto raiz Empresa Configuração<1 KB

Esse é o objeto raiz do ISA Server que inclui todas as Informações de configuração corporativas no Active Directory.
Objeto raiz Domínio Domínio <1 KBEsse é o objeto raiz do ISA Server que inclui todas as Informações de configuração de matriz nesse domínio.
Objeto Matriz Domínio 1–5 KBEsse objeto raiz Matriz (no objeto raiz Domínio) contém algumas propriedades de matriz (como nome, descrição e ACL) e todas as informações de configuração da matriz contidas nele.
Objeto Regra de acesso Domínio/Configuração1–5 KBNíveis de Diretiva corporativa e de Diretiva de domínio.
Objeto Regra de protocolo Domínio/Configuração1–5 KBNíveis de Diretiva corporativa e de Diretiva de domínio.
Objeto Regra de publicação na Web Domínio1–5 KBNível de Diretiva de domínio.
Objeto Regra de publicação do servidor Domínio1–5 KBNível de Diretiva de domínio.
Objeto Regra de roteamento Domínio1–5 KBNível de Diretiva de domínio.
Objeto Regra de largura de banda Domínio1–5 KBNível de Diretiva de domínio.
Objeto Definição de protocolo Domínio<1 KBAproximadamente 170 definições de protocolo no total.
Objeto Definição de destino Domínio/ConfiguraçãoNúmero de URLs × 150 bytesNíveis de Diretiva corporativa e de Diretiva de domínio.

Para obter detalhes sobre cada objeto ou atributo, visite  http://www.microsoft.com/isaserver/techinfo/schemadoc.xml (site em inglês).

Cc750604.Clara(pt-br,TechNet.10).gifRequisitos de Armazenamento e Replicação


As informações de configuração do ISA Server são replicadas da seguinte forma:

Os objetos do ISA Server no recipiente de configuração são replicados para todos os controladores de domínio em uma floresta, como todos os objetos do recipiente Configuração. Observe que a latência de replicação entre os domínios pode ser de poucos dias, dependendo da topologia de rede.

Os objetos do ISA Server no recipiente de domínio são replicados para todos os controladores de domínio em um domínio.

A tabela a seguir lista os limites máximos do tráfego de armazenamento e replicação no Active Directory gerados pelo ISA Server para algumas tarefas comuns.

Ação Armazenamento/replicação de partição de domínio Requisitos de memória do recipiente de configuração Requisitos de memória do catálogo global
Instalar o ISA Server Armazenamento de 1 MB

Replicação de 1 MB

Armazenamento de 1 MB

Replicação de 1 MB

Armazenamento de 1 MB

Replicação de 1 MB

Criar uma matriz de domínio Armazenamento de 0,5 MB

Replicação de 1 MB

Armazenamento de 0,5 e replicação de 1 MB Armazenamento de 0,5 MB

Replicação de 1 MB

Incluir um computador adicional a uma matriz Armazenamento de <100 KB

Replicação de <100 KB

NenhumNenhum
Criar uma regra de protocolo usando um elemento de diretiva no nível Corporativo NenhumArmazenamento de <10 KB

Replicação de <10 KB

Nenhum
Criar uma regra de protocolo usando um elemento de diretiva no nível Matriz Armazenamento de <10 KB

Replicação de <10 KB

NenhumNenhum
Registrar, fazer relatórios, monitorar NenhumNenhumNenhum

Cc750604.Clara(pt-br,TechNet.10).gifPermissões do ISA Server


A tabela abaixo lista as permissões exigidas para algumas tarefas comuns de matriz.

Ação Permissões completas
Instalar esquema Administrador da empresa
Instalar matriz Administrador de domínio
Adicionar um ISA Server a uma matriz Administrador de domínio
Modificar diretiva corporativa Administrador da empresa ou do domínio

Conta com permissões na Matriz

Modificar diretiva de matriz Administrador da empresa, Administrador de domínio, Administrador local ou Domínio

Conta com permissões no objeto Matriz


Para conceder permissões para que outras contas do domínio instalem a primeira matriz em um domínio, criem novas matrizes ou conectem o computador com ISA Server a uma matriz existente, é necessário instalar um hotfix que modifica as definições ACL em objetos criados recentemente. Para obter instruções e informações adicionais, consulte o artigo 318859 do KB ( http://go.microsoft.com/fwlink/?LinkId=21534) (site em inglês).

Para permitir que outras contas do domínio modifiquem objetos Matriz, Empresa e Diretiva corporativa, conceda permissões no console do ISA Management. Por exemplo, para conceder permissão para a diretiva de matriz, faça o seguinte:

Na árvore do console do ISA Management, clique com o botão direito do mouse na matriz aplicável e, em seguida, clique em Properties.

Para conceder permissão para modificar a configuração da matriz a usuários ou a grupos adicionais, na guia Security, selecione o usuário que deseja alterar e, em seguida, em Permissions, marque as caixas de seleção apropriadas: Read or Total Control.


Cc750604.Clara(pt-br,TechNet.10).gifAutenticando usuários nas regras do ISA Server


O processo de leitura das regras do ISA Server no Active Directory e de autenticação de usuários nessas regras ocorre da seguinte forma:

  1. O ISA Server solicita que o cliente faça a autenticação quando necessário. Para clientes Firewall, isso ocorre sem verificar as regras de acesso. Para solicitação de Proxy da Web, o cliente será autenticado sempre que qualquer regra exigir.
  2. Os atributos de regra, incluindo atributos de acesso do usuário, são salvos no Active Directory como um objeto binário grande. Quando o ISA Server lê a regra, não há consultas adicionais do Active Directory envolvidas, como conversão do nome do usuário para um SID (security identifier, identificador de segurança).
  3. O ISA Server compara os usuários especificados na regra com as informações de autenticação do usuário para verificar se ele pode acessar a regra.
  4. Não há nenhum impacto especial causado por esse possível cenário de autenticação de muitos usuários em muitas regras. Na leitura da regra, a sobrecarga de tamanho do objeto binário grande é insignificante. A única sobrecarga real é a própria autenticação do cliente.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft. Todos os direitos reservados.