Клиенты ISA.Основная конфигурация ISA Server
       

Web Proxy and Firewall DNS cache


.
Web Proxy и Firewall службы предоставляют совсем базовые DNS "сервисы", которые полностью зависят от DNS-настроек, сделанных в конфигурациях IP ISA. Они будут разрешать FQDN-запросы для Web и Firewall клиентов, используя DNS сервера как определено в конфигурации IP ISA. Ошибки в этих настройках создадут в разрешении имен большие беспорядки для Web и Firewall клиентов. Проверьте, чтобы ISA Server мог разрешать имена правильно и быстро !
Действительно интересная вещь - это то, что они имеют уникальную возможность игнорировать TTL, нормально взаимодействующее с DNS-записью, полученную от DNS сервера. По определению, все записи, удерживаемые в DNS-кэше Web Proxy и Firewall, имеют TTL 6 часов, независимо от действующего TTL, связанного с записью. Понятно, что не нужно говорить, что при этом могут возникнуть беспорядки в клиентском разрешении имен. Любое, связанное с DNS тестирование, должно выполняться.

Что можно сделать для этого ? есть две записи в реестре (или в Active Directory для Enterprise-массивов) для каждого сервиса в каждом массиве, которые определяют размер DNS-кэша и TTL. Это:

  • Web Proxy:
    HKLM\SOFTWARE\Microsoft\Fpc\Arrays\{Array GUID}\ArrayPolicy\WebProxy
    "msFPCDnsCacheSize"=dword:00000bb8
    "msFPCDnsCacheTtl"=dword:00005460

  • Firewall:
    HKLM\SOFTWARE\Microsoft\Fpc\Arrays\{Array GUID}\ArrayPolicy\Proxy-WSP
    "msFPCDnsCacheSize"=dword:00000bb8
    "msFPCDnsCacheTtl"=dword:00005460

    Замечание:
    Для Enterprise-массивов, вы должны использовать Active Directory Users and Computers в расширенном режиме просмотра (Advanced view mode) и дойти до System, Microsoft, FPC, Arrays, {Array GUID}, Array policy и т.д.

    • Значения представлены в шестнадцатеричном формате. Калькулятор Windows может их конвертировать если он переключен в режим "scientific". При переводе получится, что по умолчанию размер кэша 3к байт каждый, что позволяет каждой записи иметь TTL 21,600 секунд (6 часов). Этот способ эффективен, чтобы сделать разрешение имен Интернета действительно живым для Web и Firewall клиентов.

  • msFPCDnsCacheSize - сообщает каждому сервису его объем кэша. Если это значение = 0, то следующая запись в реестре игнорируется и сервис не накапливает имен. Давайте поменяем его на 0. Теперь каждый запрос на имя от клиента будет заново разрешен DNS сервером и TTL будет правильным для той записи.
  • msFPCDnsCacheTtl - сообщает каждому сервису сколько (в секундах) удерживать каждую запись, которую он принимает. Если в предыдущей записи вы поставите значение, отличное от нуля, то значение введенное здесь будет использовано. Если же предыдущее значение реестра равно 0, то ЭТО значение не будет учтено.

    • Теперь перезапустите Web и Firewall сервисы, чтобы они могли применить новые настройки.



    Содержание раздела