Proxy Server 2.0

Инсталляция

Минимальные требования для Proxy Server 2.0:

  •  
    • CPU 486 и выше
    • 24Mb ОЗУ (Intel)
    • 32Mb ОЗУ (RISC)
    • 10Мb свободного места на диске
    • 5Мb минимум свободного места на диске для кэша (Рекомендуется 100MB + 0.5MB на каждого клиента)
    • NT Server 4.0 с SP 3.

SETUP.EXE используется для установки Proxy Server 2.0. Опции

  •  
    • /r - Повторная инсталляция Proxy Server
    • /u - Деинсталляция Proxy Server
    • /k "keynumber" - Указать CD ключ.
    • MPSSETUP.LOG - Файл журнала, отображающий ошибки возникшие при инсталляции.

Proxy Server 2.0 is добавляется в административную утилиту MS Management Console (Internet Service Manager).

Инсталляция клиентского ПО

ПО клиента может быть инсталлировано с сервера //servername/mspclnt запуском SETUP.EXE, или присоединением к http://servername/msproxy и запуском программы инсталляции.

  •  
    • MPCSETUP.LOG - Файл журнала, отображающий ошибки при инсталляции клиентского ПО.

При установке клиентского ПО инсталлируются следующие компоненты:

  •  
    • ПО клиента WinSock Proxy
    • MSPCLNT.INI - Содержит конфигурационную информацию клиента.
    • MSPLAT.TXT - Содержит таблицу локальных адресов (LAT).

Кэш

Рекомендуемый объем кэша - 100 Мб + .5mb для каждого клиента.

Размер кэша по умолчанию равен 100 Мб когда на диске есть как минимум 150 Мб свободного места на диске.

Кэш может находиться только на NTFS партиции, а не на FAT.

Для того чтобы преобразовать партицию FAT в NTFS используется утилита CONVERT.EXE.

Соединения требующие аутентификации, или SSL соединения не кэшируются.

  •  
    • Passive caching (Пассивное кэширование)- Кэшируются все объекты. Кэширующие объекты удаляются когда их TTL становится равным 0. Объекты будут еще раз кэшированы только когда клиент к ним обратиться.
    • Active caching - Часто запрашиваемые объекты выкачиваются proxy server'ом из интернета когда их TTL приближается к 0.

Опции кэширования:

  •  
      Политика истекания TTL объектов кэша:
    • Updates are more important - постоянное обновление данных в кэше.
    • Equal importance - компромис между постоянным обновлением кэша и режимом наивысшей производительности.
    • Fewer network accesses are more important - Наивысшая производительность.
  •  
      Включить активное кэширование:
    • Faster user response is more important - обеспечивает максимальную эффективность работы кэша и самый быстрый отклик на запрос полдьзователя.
    • Equal importance - компромис между постоянным обновлением кэша и режимом наивысшей производительности.
    • Fewer network accesses are more important - минимизирует Internet-траффик и не обновляет кэш часто.

Для ограничения размера кэшируемых объектов, используйте истекание TTL объектов кэша, или измените TTL объекта, установите требуемые опции в окне Web Proxy Service Properties щелкнув на вкладке Caching, а затем щелкнed Advanced.

  •  
    • Cache Filters - список URLов находящихся в кэше. Вы можете редактировать этот список в окне Web Proxy Service Properties, щелкнув на вкладке Caching, Advanced, и затем на кнопке Cache filters.

LAT (Таблица Локальных адресов)

  •  
    • LAT - Содержит IP адреса внутренней сети и IP адреса proxy server'a.
    • MSPLAT.TXT - Содержит Таблицу Локальных адресов. Основная копия этого файла хранится на сервере, и может быть переписана на компьютер клиента.
    • LOCALLAT.TXT - специальный LAT для клиентов которым необходим доступ к сетевым адресам не указанным в MSPLAT.TXT.

Вы можете создать список внутренних IP-адресов щелкнув на кнопке Construct Table.

Добавьте IP-адреса своей внутренней подсети для определения клиентских компьютеров которые буду соединяться через Proxy Server.

Промежуток IP-адресов может быть изменен в свойствах индивидуальных служб, щелкнув на кнопке Local Address Table.

CARP (протокол маршрутизации кэширующего массива) и Массивы Proxy Server'ов

  •  
    • CARP - Несколько Proxy Server'ов могут быть объединены в массив для создания одного логического кэша. Эти сервера взаимодействуют друг с другом, таким образом, что каждый сервер массива знает содержимое другого. Это позволяет избежать дублирования информации в кэше.

Используют протокол HTTP для связи.

CARP может быть внедрен на клиентских компьютерах с помощью PAC - файла автоматической конфигурации Proxy.

Массивы Proxy используют список серверов-представителей. Они используют TTL для определения когда проверять активные сервера, и создавать список активных серверов в списке серверов представителей.

Менеджер массива используется для создания списка членов массива. Список включает в себя значение TTL до следующей проверки, URL для получения информации о массиве для удаленного менеджера, и факторы нагрузки для каждого сервера.

Рroxy server запросит новую таблицу у массива когда TTL старой истечет.

  •  
    • Heirarchical routing (Иерархическая маршрутизация) - Запросы перенаправляются от нижестоящего proxy-сервера или массива в вышестоящий массив proxy-серверов, когда они не могут быть обслужены. Запрос проходит один шаг (hop) в пределах каждого массива перед тем как будет перенаправлен на следующий уровень.
    • Distributed routing (Распределенная маршрутизация) - один из членов массива будет отвечать на запрос полученный другим членом массива, когда будет определено что они имеют максимальное значение комбинации (через хэш-маршрутизацию).
    • Hash routing (Хэш маршрутизация) - Сопоставляет список доступных серверов и URL-адрес запроса для определения того какой Proxy Server массива будет использоваться.

Массив серверов-представителей содержит скрипт, написанный на языке JavaScript, который сообщает клиентам как соединяться с массивом.

Для просмотра таблицы массива серверов-представителей, введите следующий URL-адрес в ваш browser:
http://servername/array.dll? Get.Info.v1

Информация, которую вы получите будет напоминать следующее:
server1 192.168.0.1 80 http://server1:80/array.dll MSProxy/2.0 7521 Up 100 150
server2 192.168.0.2 80 http://server2:80/array.dll MSProxy/2.0 7521 Up 100 150

В таблице представлены характеристики компьютера server1:



Имя сервера server1
IP-адрес 192.168.0.1
Номер порта 80
URL-адрес файла array.dll http://server1:80/array.dll
Версия Proxy Server'a MSProxy/2.0
Кол-во секунд в текущем состоянии 7521
Текущее состояние (работает или нет) Работает
Фактор нагрузки на сервер 100
Размер кэша 150

Во вкладке Routing окна свойств Proxy Server'a, вы можете конфигурировать восходящую маршрутизацию для автоматического перенаправления клиентских запросов в Internet или к другому Proxy Server'y или массиву серверов.

Во вкладке Routing окна свойств Proxy Server'a, пометьте переключатель Enable backup route и вставьте соответствующий параметр для автоматического перенаправления запросов в Internet или к другому Proxy Server'y или массиву серверов на случай если первый восходящий путь будет недоступен.

Маршрутизация внутри массива может быть включена для разрешения запросов внутри массива перед маршрутизацией к клиенту или к вышестоящему серверу или массиву. Это позволяет распределять нагрузку внутри массива.

Администрирование

Proxy Server можно администрировать посредством Internet Service Manager или в командной строке.

Proxy Server инсталлирует счетчики в Performance monitor для более эффективного контроля за производительностью.

Для удаленного администрирования Proxy server, у вас должна быть та же самая версия клиентского ПО, что и на сервере к которому вы присоединяетесь.

Утилиты командной строки:

  •  
    • REMOTMSP - Используется для удаленного конфигурирования и администрирования Proxy Server, включая запуск и остановку служб, резервное копирование и восстановление информации, и управление массивами серверов.
    • WSPPROTO - Используется для удаленного редактирования определений протокола.

Для остановки/запуска служб из командной строки:

  •  
    • Web - NET STOP|START W3SVC
    • WinSock - NET STOP|START WSPSRV
    • Socks - NET STOP|START W3SVC или используйте Remotmsp.exe

Резервное копирование и Восстановление

Резервная копия параметров Proxy server по умолчанию хранится в текстовом файле в директории C:\MSP\CONFIG.

Для создания резервной копии - Properties > Service > Server Backup.

Для восстановления из резервной копии - Properties > Service > Server Backup. Выберете тип восстановления Partial или Full, затем укажите директорию где находится резервная копия и кликните OK.

  •  
    • Partial Restore (Частичное восстановление) - Метод не является специфичным для определенного компьютера; Такие настройки как членство в массивах и информация о протоколировании не будут восстановлены.
    • Full Restore (Полное восстановление) - Метод является специфичным для определенного компьютера; Восстановлению подлежат все объекты.

Безопасность

Для того чтобы предотвратить неавторизированный доступ к вашей сети пользователей извне:

  •  
    • Отключите IP forwarding в секции TCP/IP конфигурационного экрана Control Panel/Network.
    • Не добавляете внешние адреса в LAT.
    • Отключите прослушивание на портах служб предназначенных для входа.

Аутентификация:

  •  
    • Anonymous - Любой пользователь может получить доступ к серверу.
    • Basic - Для получения доступа к серверу необходимо имя пользователя и пароль.
    • Windows NT challenge/response - Использует имя пользователя для разрешения/запрещения доступа к серверу. Доступно только в пределах одного домена или в доменах с доверительными отношениями.

Challenge/response будет нормально функционировать только с IE 3.0 или более поздней версии. Когда любой броузер кроме IE попробует получить доступ к серверу с challenge/response, ему будет в нем отказано.

Web и Winsock proxy

В окне свойств служб Web proxy и WinSock proxy, вы можете определить пользователей/группы которые будут иметь доступ в Internet по определенным протоколам. Разрешения могут быть присвоены отдельно каждому протоколу.

Web proxy поддерживает только FTP, Gopher, Secure и Web протоколы. Web протокол поддерживает протоколы HTTP и HTTPS. Протокол secure поддерживает использование защищенных портов протоколами.

WinSock proxy поддерживает множество протоколов: HTTP, HTTPS, FTP, Telnet, Gopher, IRC, RealAudio, POP3, SMTP, и другие.

После того как пользователи получили разрешение на работу с протоколом, они могут выходить в Internet через определенные порты. К примеру, если пользователь получил разрешение на использование протокола HTTP, он будет иметь доступ в Internet через 80 порт.

Для назначения или запрещения разрешений на использование других протоколов, пометьте пользователя затем щелкните на кнопке Copy to или Remove From, выберите необходимый протокол, и щелкните OK.

WinSock proxy позволяет разрешить неограниченный доступ. Данная опция позволяет всем пользователям иметь полный доступ на всех портах определенных службой WinSock proxy.

Протоколы WinSock proxy могут быть изменены, новые протоколы могут быть добавлены, для настройки или создания портов которые необходимы для работы определенных приложений. Протоколы также могут быть настроены для разрешения только входящего или исходящего доступа.

Socks proxy

Socks proxy использует протокол идентификации и IP-адрес для аутентификации клиентов.

Службе Socks proxy для работы необходима служба Web proxy. Если служба Web proxy будет остановлена, то служба Socks proxy также остановится.

Socks proxy не поддерживает IPX/SPX.

Разрешения Socks могут быть перенесены, может быть изменен порядок перечисленных разрешений.

Часные разрешения Socks могут иметь функции соответствующие определенным номерам портов:

Socks могут быть сконфигурированны для разрешения или запрещения доступа определенным IP-адресам, именам доменов, или всем пользователям.
Допустимы следующие параметры:

  •  
    • Разрешить или запретить доступ следующим клиентам только к определенным протоколам.
    • Разрешить или запретить доступ следующим клиентам через определенные номера портов/интервалы.

Параметры портов службы Socks могут быть определены с помощью следующих детерминант:



EQ Равно
NEQ Не равно
GT Больше чем
LT Меньше чем
GE Больше или равен
LE Меньше или равен

К примеру вы можете запретить доступ к любому порту больше 80 указав Deny в окне Action, GT в окне Port, и 80 поле Port number.

Еще один пример расположен на следующем рисунке:

Рисунок 1

Данная конфигурация позволяет всем клиентам с сервера geocites.com получать доступ ко всем ресурсам на cramsession.com через порт 80.

  •  
    • Протокол идентификации (Identd) - Разрешает использование ложного имени пользователя для доступа к серверам которые блокируют клиентов MS Proxy, позволяя им получать доступ к ресурсам этих серверов. Инсталлируется с помощью IDENTD.EXE --INSTALL. Запускается с помощью команды NET: NET START|STOP IDENTD.

Фильтры доменов

Используется для разрешения или запрещения доступа клиентов к определенным доменам/IP адресам.

Пометьте галочкой поле Enable Filtering для разрешения фильтрования.

Параметры:

  •  
    • Grant - Разрешает доступ ко всем доменам кроме указанных.
    • Deny - Запрещает доступ ко всем доменам кроме указанных.

Вы можете разрешить или запретить доступ к:

  •  
    • Single computer - Необходимо указать IP-адрес компьютера. Затем щелкнуть на круглой кнопке рядом с полем IP, и указать DNS имя. Оно в свою очередь будет преобразовано в IP адрес компьютера .
    • Group of computers - Необходимо указать IP-адрес и маску подсети в которой находятся компьютеры.
    • Domain - Необходимо указать имя домена к которому необходимо запретить или разрешить доступ.

Фильтрование пакетов

Для его включения необходимо наличие внутреннего сетевого интерфейса. В случае использования модема или адаптера ISDN в качестве внешнего сетевого интерфейса, необходимо иметь RAS Auto Dial setup. Только внешний сетевой адаптер обеспечит фильтрацию пакетов.

Обеспечит фильтрацию по пакетам, адресам и spoofs/attacks.

Пакеты всех типов будут блокироваться кроме указанных в списке Exceptions.

Оповещения
Proxy server может посылать оповещения о событиях с помощью Event Viewer, файлов протокола или электронной почты.

Оповещения могут быть включены только когда включена фильтрация пакетов.

Оповещения могут быть посланы на следующие события:

  •  
    • Rejected packets (Игнорированные пакеты) - Уведомляет вас о том что определенные пакеты игнорируются в больших количествах. Оповещения могут быть установлены, когда игнорирование пакетов происходит с определенной частотой. Большая частота может означать, что на сервер происходит атака.
    • Protocol violations (Ошибки протокола) - Сообщает когда пакеты ил кадры не соответствуют типичной структуре протокола.
    • Full disk drive warnings (Предупреждение о заполнении диска) - Сообщает вам что на дисковом устройстве на котором работает служба или ведется протоколирование нет свободного места.

Обратные Proxy Server'а

Обратный proxy server будет обрабатывать запросы, сделанные к внутренним web server'ам. Он будет функционировать как "брандмауэр" позволяя посетителям получать информацию через один порт.

Обратное ведение предназначено для поддержки множества web-серверов, доступ к которым будет осуществляться только через обратный proxy server.

Для включения механизма поддержки обратной доверенности, under the Publishing tab of the proxy service properties panel, click the Enable Web publishing box. Доступно три положения переключателя:

  •  
    • Discarded (Игнорировать) - Все запросы web server'a будут игнорированы.
    • Sent to the local web server (переадресовать к локальному web-серверу) - Все запросы будут перенаправляться к web server'y IIS, который находится на компьютере Proxy Server.
    • Sent to another web server (переадресовать к другому web-серверу) - Все запросы будут перенаправляться к другому web-серверу.

Для создания обратного маршрута, в поле Path щелкнуть на кнопке Add, а затем ввести URL который требуется переадресовать. В поле URL, ввести URL внутреннего web server'a который будет обрабатывать входящие запросы.

Протоколирование

Файлы протокола по умолчанию находятся в директории C:\WINNT\SYSTEM32\MSPLOGS\.

  •  
    • W3filename.LOG - протокол службы Web Proxy
    • WSfilename.LOG - протокол службы WinSock Proxy
    • SPfilename.LOG - протокол службы Socks Proxy
    • PFfilename.LOG - фильтры пакетов
  •  
      filename = yymmx; yy=год, mm=месяц, xx=день/неделя/месяц файла протокола.

Протоколирование в текстовый файл требует меньше системных ресурсов чем протоколирование в БД.

Драйвер OBDC должен быть установлен на сервере для того чтобы протокол мог записываться в базу данных.

A DSN (Data Source Name) должно быть добавленно для описания сервера или базы данных куда будет вестись запись.

  •  
    • MPKLOG.EXE - Входит в состав Proxy Server'a. Инструмент для создания SQL таблиц для протоколирования работы Proxy Server'a.

Часто используемые номера портов



FTP 21
Telnet 23
SMTP 25
Gopher 70
HTTP 80
POP3 110
PPTP 1723

Proxy Clients

Proxy Server не поддерживает протокол IPX клиентами Windows 3.x.

Клиенты Windows 3.x не могут использовать службу WinProxy, но могут использовать Socks и Web.

Клиенты Windows 95 должны иметь стек протоколов Novell Client 32-bit IPX для того чтобы иметь возможность работать по IPX с proxy server'ом.

URL по умолчанию для запроса клиентами скрипта маршрутизации массива:

http://servername/Array.dll?Get.Routing.Script

Для того чтобы запретить клиентам Exchange соединяться с POP3 серверами в Internet, укажите DISABLE=1 в разделе [EXCLNT32] файла MSPCLNT.INI.

Клиенты WinSock proxy client загружают файл MSPCLNT.INI после каждой перезагрузки системы, и каждые шесть часов после последнего обновления.

  •  
    • WSPCFG.INI - Содержит конфигурационную информацию Proxy Server'a которая относится к локальным клиентам. Никогда не переписывается сервером. Этот файл содержит специфические установки для каждого приложения WinSock.

RAS (Служба удаленного доступа)

RAS может использовать следующие протоколы для соединения:

  •  
    • SLIP
    • PPP
    • RAS

RAS поддерживает обратный звонок для повышения безопасности, как на тот же номер с которого осуществлялся звонок так и на определенный не изменяющийся номер.

RAS наNT 4.0 поддерживает мультилинк (использование более чем одного модема для получения более высоких скростей передачи). Мультилинк не может использовать обратный звонок, за исключением тех случаев, когда два (или больше) ISDN модема настроены на один и тот же телефонный номер.

RAS использует NetBEUI в качестве сетевого протокола по умолчанию, но также может использовать TCP/IP и IPX/SPX. TCP/IP необходимо использовать в том случае если вы запускаете приложения которые используют Winsock интерфейс через службу RAS.

Шифрование RAS



Allow any authentication including clear text Это позволит RAS использовать протоколы идентификации паролей, включая Passoword Authentication Protocol (PAP), который использует идентификацию текстовых паролей. Эта опция полезна, если вы имеете разные типы RAS клиентов, или для поддержки RAS клиентов третьих фирм.
Require encrypted authentication Поддерживает любую идентификацию, используемую в RAS, кроме PAP.
Require Microsoft encrypted authentication Используется только с Microsoft CHAP (Challenge Handshake Authentication Protocol). Все ОС Microsoft используют MS-CHAP по умолчанию.
Require data encryption задействует шифрование всех данных, которые были посланы / получены от RAS сервера

RAS может записывать log файл, который может использоваться в целях диагностики служб RAS. Для того чтобы включить возможность записи log, Вы должны внести изменения в Реестр.

Auto Dial используется для автоматического дозвона в Internet когда клиент пытается получить доступ в Internet через Proxy Server с поддержкой RAS Auto-dial.

Для того чтобы соединиться с ISP посредством Auto Dial, необходимо создать запись в телефонной книге RAS. Там же указывается имя пользователя и пароль для связи с ISP.

Когда Auto Dial конфигурируется в первый раз, или если текущие установки были сброшены, вам необходимо перезапустить службу, чтобы внесенные изменения вступили в действие.

Преобразование компьютерных имен

  •  
    • DNS (Служба доменных имен) - Используется для преобразования DNS имени хоста в IP адрес.
    • WINS (Windows Internet Naming Service) - используется для преобразования NetBIOS имени хоста в IP адрес.
    • HOSTS - Файл который содержит соответствия между именами DNS и IP адресами хоста.
    • LMHOSTS - файл который содержит соответствия между именами NetBIOS и IP адресами хостов.

Другие записи

10.06.2016. Windows NT Server 4.0 Enterprise Technologies
Установка Windows NT WINNT32.EXE используется только для модернизации с предыдущей версии NT. WINNT.EXE используется для обычной установки Windows NT, или для установки через DOS или Windows 95. Модернизация…
10.06.2016. Внедрение и Поддержка Microsoft Windows NT Workstation 4.0
Требования Минимальные требования для Workstation 4.0:   110M Свободного места на диске 12M RAM (для процессоров Intel) 16M RAM (для процессоров RISC) 486-DX33 CD-ROM (если установка…
10.06.2016. Шпаргалка к экзамену 70-67 Windows NT 4.0 Server
Требования Минимальные требования к компьютеру для установки NT Server 4.0:   125MB свободного пространства на диске 16MB памяти (ОЗУ) процессор 486-DX33 CD-ROM (если установка…