- - PR -
ISA server の Web cache について
1
投稿者 | 投稿内容 | ||||||||
---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-04-03 20:15
はじめて投稿させていただきます。
現在作業中で、うまくいかずに困っております。 どなたか、ご指導いただけましたら、さいわいです。 今回、ISA server にて proxy 機能(Web cache)の利用を計画しております。 client(PC) --- proxy server --- router ======== internet 上記のような構成にて、 クライアント(PC)側では、<プロキシサーバー>にて "LANのプロキシサーバーを使用する"にチェックをし、 server の IP address および ポート "8080"を設定いたしました。 (<自動構成>に関しては、チェックなし) ISA側では、特に設定はせず、 <キャッシュの構成のプロパティ>はそのままDefaultのままの内容です。 上記状況にて、接続すると、下記のようなエラーが表示されます。 ------------- ... HTTP 502 プロキシ エラー - ISA Server は、指定した URL (Uniform Resource Locator) を拒否しました。 (12202) Internet Security and Acceleration Server ... ------------- 他に何か設定が必要ということでしょうか? "キャッシュの構成"のところでは、server は見えております。 Default Gateway の間違えや、 Active Directory もしくは IIS などの設定で不足があるのでしょうか? 勉強不足にて申し訳ございません。 ご教示の程、何卒宜しくお願いいたします。 | ||||||||
|
投稿日時: 2004-04-03 20:42
こんにちわ
「何も設定しない」と通信できません. 基本的には, 1,local address table(だったかな?)を設定する 2,あて先に対して local address table を「許可」する という設定が必要になります.つまり,設定をしないと「すべて拒否する」という暗黙の rule に該当してしまい,外部へ接続できません. ちなみに ISA server を単なる proxy として使われるのであれば,cache mode での利用をお勧めします.統合 mode や firewall mode は設定内容が多岐にわたるので結構難しかったりします.cache mode なら http/https/ftp/gopher だけしか扱わないので設定しなければならない範囲も限られます. 以上,ご参考までに. | ||||||||
|
投稿日時: 2004-04-04 00:12
ご多忙のところ、ご教示ありがとうございます。
LAT(?)というところの設定ですか。ご教示たすかります! 今、本を片手に試しています。 ただ、統合 mode や firewall mode の場合でないと、 Local address table の設定ができないようです。 本当は、シンプルな mode で設定をおこないたいのですが、 なぜか、cache mode では設定できないようで...。 何か良い方法がありましたら、教えていただけませんでしょうか? [ メッセージ編集済み 編集者: aiko 編集日時 2004-04-04 00:31 ] | ||||||||
|
投稿日時: 2004-04-04 01:10
ごめんなさい,ちょっと違ってました.手元に環境がないもので...
そのとおりです.firewall のように「内部と外部」と明確に分ける場合に必要でした. access policy を定義する部分があると思います.たしか「internet 接続用の云々」といった内容の設定ができたと思います.そこで「この protocol は〜への要求を通す」という設定をするはずです.cache mode では前に書いたように protocol の定義が default で作られていると思います.ですから選択できる protocol はその http/https/ftp(get のみ)/gopher だけのはずです.ここで「すべての protocol で全ての要求を許可する」と定義すると,Client は proxy を利用して internet へ access できると思います. 本来なら policy の「要素」を作るほうが良いです.つまり,「Client はこの ip/network address です」と宣言してやると,security 的に安心です.Client address set だったかな?を作って,site rule で定義してやると良いです. つまり,ISA server を利用するには access policy の設定が「必須」ということですね. | ||||||||
|
投稿日時: 2004-04-04 01:26
夜分ご返信、誠にありがとうございます。
再度、統合mode でチャレンジしておりました。 もう一度、cache mode で設定を試してみます。 本当に、遅い時間に、ご返信ありがとうございます! | ||||||||
|
投稿日時: 2004-04-04 02:08
できました!本当にありがとうございました!
access policy の設定が必須だったんですね。 client address set も作ることができ、 access policy の適用先として設定できました。 site と contents rule の設定だけあっても、 うまくいかないこと、今回勉強させていただきました。 知識不足で解決策が見当たらない状況にて、困っておりました。 本当にありがとうございました。 | ||||||||
|
投稿日時: 2004-04-04 04:58
お疲れ様です.
ISA server の情報ってたしかに少ないですよね. 一応自分が構築した際に苦慮した点を書いておきます.もし職場や仕事でお使いなら参考になるかと思いましたので... site と contents の部分でお判りかと思いますが,この部分でごく簡単な URL filtering ができます.また,この機能によって「この network はこことここしか access できないように」とか,「Active Directory のこの User or UserGroup はここ以外の URL なら access できるように」といった設定ができます. ただ,杞憂かもしれませんがご注意を. Active Directory をお使いですので,あるいはこの認証機能を利用することもあると思います.その際,認証にご注意ください.default では「Windows 統合認証」になっていますが,これは Windows only な環境でだけ有効です.たとえば squid を下層においている場合,あるいはその予定がある場合,うまく認証できなくなります.また,許可された User Account ではあたかも single log-in が実現されたかのように「認証する」という行為を行わずに Web へ接続できてしまいます.できれば「基本認証」で利用されることをお奨めします.そうすると,User は Web へ接続する際に必ず「認証する」という行為を経て接続することになります.そのほうが「認証されたから接続できる」ということを意識できて,security 面での啓蒙も促されると思います. ※ご家庭でお使いだとしたらもしかして SBS2003 ですかね? 以上,ご参考までに. おやすみなさい. | ||||||||
|
投稿日時: 2004-04-04 05:27
ご連絡ありがとうございます。
今回、ISA server の web cache 機能を使った設定が、 急遽必要となり、本や site を参考に四苦八苦しておりました。 全体像しかつかめていない状況でしたので、 ご教示いただけた情報により、本当にたすかりました。 ありがとうございました。 認証機能に関しても、 恐らく自学ではなかなかたどりつけない貴重な情報であり、 ぜひ今後の参考とさせていただきたいと存じます。 これから、segment の異なる network に、 各々1台づつの proxy server を設定し、 相互で backup できるようなやりとりをするような構成をつくることを、 客先より要求されておりますので、 まだまだ眠ることができない次第です。。。夜は長そうです。 本などを参考に、なんとか設定してみようと思っております。 もし、どうしてもできないような状況になりましたら、 また、本会議室に投稿させていただくかもしれません。 その際は、何卒ご教示いただけましたらさいわいです。 この度は、誠にありがとうございました。 |
1