ISA Server 2006 中的企业管理(4)

当同一数组含有多个成员时，成员之间会因为一些原因而彼此通讯，包括：

• CARP。快取数组路由通讯协议 (CARP) 有效地将所有成员服务器的快取磁盘驱动器结合成单一逻辑快取。若要完成此作业，成员服务器必须互相转寄要求。

• VPN。VPN 通道存在时，成员服务器会通知其它服务器，以便让数组将适用的流量路由至适当通道，也就是拥有该通道的服务器。

• 设定存放区服务器。若设定存放区服务器安装在其中一台成员服务器上，其它的数组成员便会存取该服务器。

数组成员使用数组内部地址彼此通讯。虽然各成员服务器可藉由其完整网域名称 (FQDN) 予以个别辨识，但数组内部地址仍有其重要性，原因如下：

• 各数组成员可能有不只一张的网络适配卡。型态敏感的数组内部流量应只能透过特定的网络适配卡进行通讯。您可以指定数组内部地址，来设定特定的网络适配卡传送数组内部通讯。

• 设定数组内部使用网络负载平衡 (NLB) 时，NLB 系结的适配卡不应供数组内部流量使用。您可以特别限制数组内部地址，藉此避免 NLB 系结地址与数组内部地址间的冲突。

• 数组内部流量不应受限于配额限制。指定数组内部地址即可确保不受这类限制影响。

安装期间会进行下列设定：

• 数组内部地址会设定成与内部网络相关联的数组成员网络适配卡之预设 IP 地址。此 IP 地址亦可用于其它用途，包括用来与设定存放区服务器通讯，以及进行远程管理。若 IP 地址有所变更，请检查数组内部地址是否正确设定，且 NLB 机制是否使用正确的 IP 地址。

• 预设的系统原则规则 [允许数组内部通讯] 为启用状态。此规则允许使用 MS 防火墙控制及 RPC 通讯协议，与预先定义的 [数组服务器] 计算机组的所有成员进行双向通讯。MS 防火墙控制通讯协议系根据轻量型目录存取通讯协议 (LDAP) (输出 TCP 连接埠 2171) 及 LDAPS (连接端口 2172)，供数组成员与设定存放区服务器之间通讯使用。当服务器位于不受信任的网域中，或处于工作群组模式时，会使用 LDAPS。远程过程调用 (RPC) 是用来进行监视。[数组服务器] 计算机组中含有所有数组成员的 IP 地址。

数组内部地址可由数组系统管理员针对各数组成员进行修改。设定安全数组内部通讯时，请注意下列指导方针：

• 建议透过专用集线器或虚拟 LAN 进行数组内部通讯。此设定的目的在于以实体或逻辑方式将数组内部流量与其它网络隔离。

• 建议您在仅用于数组内部通讯的网络上，使用专用的网络适配卡。此网络应包含所有数组成员的数组内部地址。

• 安装后即会为每个数组成员建立私人及公用金钥配对。这些金钥是用来在数组成员之间传送机密数据。如果您认为金钥已遭泄露，请先解除安装 ISA Server 后再重新安装，以建立新的金钥配对。

• 如未针对数组设定 NLB，应将数组内部地址指定为网络上第一张网络适配卡的主要 IP 地址。

• 若已启用 ISA Server 整合式 NLB，请使用网络的专属网络适配卡来处理数组内部流量。相同网络上不同的网络适配卡应使用于 NLB。

安装专用网络适配卡后，请执行下列步骤：

1.设定供数组内部通讯用的 IP 地址。重新设定数组内部地址时，新的地址会新增到 [数组服务器] 计算机组。

2.建立专用的数组层级网络，其应该包含每个数组成员的数组内部地址。建立网络时，请将其类型指定为 [内部]。建议您汇出数组内部网络。如此一来，即使因选取另一个网络模板而覆写了网络，仍可确保已备份设定。

3.设定让网络接听 Web Proxy 客户端要求。请勿让网络接听防火墙客户端要求。