ISA Server 2006的全自动无人职守安装
王春海
有些服务器,例如作为托管的服务器来说,把服务器放到托管机房后,所有对服务器的管理与操作都要通过远程控制来进行,如在服务器上安装一些软件、修改服务器设置、添加或修改用户等。现在许多托管的服务器使用ISA Server 2004或ISA Server 2006作防火墙,这时就出现一个问题:远程安装ISA Server 2006的问题。
在安装一些软件的时候,完全可以通过远程登陆到服务器来安装,但在安装ISA Server 2006时,由于在ISA Server 2006安装完成后,ISA Server 2006防火墙默认的访问规则是不允许任何计算机与此计算机进行通讯,所以当ISA Server 2006安装完成后,处于网络断开的状态,此时无法通过远程来管理这台服务器,所以在将服务器放到托管机房前,需要先将ISA Server 2006防火墙策略设置好,使服务器能够进行远程登陆管理。
在进行其他准备之前,应该确保无人职守安装ISA SERVE 2006的服务器应该有两块网卡,因为ISA SERVE 2006在安装时需要两块网卡才能正常安装,否则将会导致安装失败。
建议在服务器上先安装VMware Server虚拟机,这样在装完虚拟机软件后,就会增加两个虚拟网卡(VMnet0、VMnet8),在安装ISA Server 2006时,可以使用虚拟网卡做为ISA Server 2006中的“内部”网络。
下面开始介绍无人职守安装ISA Server 2006的具体步骤。
在ISA Server 2006安装光盘的FPC目录中找到msisaund.ini这个文件,这个文件就是在安装ISA Server 2006时自动加载的安装应答配置文件。用记事本程序打开这个文件内容如下:
;; This file is a sample answer file to be used during unattended installation.
;; To perform an unattended installation, copy this file, modify it with the required settings,
;; and run the file from the command line. For example: \FPC\setup.exe /v"/qb FULLPATHANSWERFILE=\"c:\msisaund.ini\""
[Setup Property Assignment]
;; PIDKEY specifies the product key. This is the 25-character number located on the back of the ISA Server CD-ROM case.
;PIDKEY=12345ABCDE12345ABCDE12345
;; INTERNALNETRANGES specifies the range of IP addresses in the Internal network.
;; At least one IP address must be specified, or unattended setup will fail.
;; The syntax is: N From1-To1,From2-To2, ... FromN-ToN
;; Where N is the number of ranges, and FromI an ToI are the starting and ending addresses in each range.
INTERNALNETRANGES=3 10.0.0 .0-10.255.255.255,172.16.0.0-172.31.255.255,192.168.0.0-192.168.255.255
;; SUPPORT_EARLIER_CLIENTS allows Firewall clients running earlier version of the Firewall client software to connect to ISA Server.
;; By default, these clients are blocked. When upgrading from ISA2000, the default is that these clients are allowed.
;; To allow these clients to connect to ISA Server, set SUPPORT_EARLIER_CLIENTS to 1.
;SUPPORT_EARLIER_CLIENTS=1
;; INSTALLDIR specifies the product installation directory.
;; The default installation folder is %ProgramFiles%\Microsoft ISA Server.
;INSTALLDIR=C:\Program Files\Microsoft ISA Server
;; COMPANYNAME specifies the name of the company installing the product.
;COMPANYNAME=Microsoft Corporation
;; DONOTDELLOGS should be set to 1 if log files should not be deleted.
;; If not specified, the default setting (0) is used, and log files are deleted.
;DONOTDELLOGS=1
;; DONOTDELCACHE should set to 1 if cache files should not be deleted.
;; If not specified, the default setting (0) is used, and cache files are deleted.
;DONOTDELCACHE=1
;; ADDLOCAL specifies a list of features, delimited by commas, that will be installed on the computer.
;; The following features can be installed using ADDLOCAL: MSFirewall_Management, MSFirewall_Services, MSDE.
;; To install all features on the computer, use ADDLOCAL=ALL.
;; If you do not specify ADDLOCAL, the following features are installed by default: MSFirewall_Management, MSFirewall_Services, MSDE.
;; In the example below, MSDE is not installed.
;ADDLOCAL=MSFirewall_Management,MSFirewall_Services
;; REMOVE specifies is a list of features, delimited by commas, that will be removed during reinstall.
;; The following features can be removed using REMOVE: MSFirewall_Management, MSFirewall_Services, MSDE.
;; Note that if you use REMOVE=ALL, the installer removes all features.
;REMOVE=MSFirewall_Services
;; IMPORT_CONFIG_FILE specifies the full path to the configuration file for import.
;; This configuration file should be an XML file generated by the ISA Server export feature or migration tool.
;; For more information, see import and export information in ISA Server help.
;IMPORT_CONFIG_FILE=c:\My Config Files\My_Isa_Config.xml
以上就是配置文件中的一些配置参数及参数的说明,下面将介绍这个参数配置文件中较常使用的一些参数。
·[Setup Property Assignment]:安装应答文件开始标记。
·PIDKEY这个参数是指定产品密钥。这是一个25个字符的号码,可以在ISA Server CD-ROM盒的背面找到,然后将下面等号后面的字符串替换即可。
;PIDKEY=12345ABCDE12345ABCDE12345
·INTERNALNETRANGES参数指定内部网络的 IP 地址范围。
此参数中,必须指定至少一个IP地址(段),否则无人参与安装将失败。
语法为: N From1 -To1,From2-To2,FromN-ToN
其中N是范围数目,From1和To1是每个范围的起始和结束地址。
例如:
INTERNALNETRANGES=3 10.0.0 .0-10.255.255.255,172.16.0.0-172.31.255.255,192.168.0.0-192.168.255.255
表示ISA Server 2006的内部网络IP地址段数为3,范围分别为 10.0.0 .0-10.255.255.255、172.16.0.0-172.31.255.255、192.168.0.0-192.168.255.255。
·SUPPORT_EARLIER_CLIENTS参数是允许运行早期版本防火墙客户端软件的防火墙客户端连接到ISA Server。默认情况下,这些客户端被阻止连接。要允许这些客户端连接到ISA Server,设置SUPPORT_EARLIER_CLIENTS为1。例如:
SUPPORT_EARLIER_CLIENTS=1
·INSTALLDIR参数指定产品的安装路径。默认安装文件夹为%ProgramFiles%\Microsoft ISA Server。如果想修改安装路径可以直接修改INSTALLDIR等号后面的路径即可。
INSTALLDIR=C:\Program Files\Microsoft ISA Server
·COMPANYNAME指定安装的产品的公司名称。这个用到的不多。系统默认如下
COMPANYNAME=Microsoft Corporation
·DONOTDELLOGS这个参数是在卸载ISA Server 2006时是否删除日志文件,如果要删除日志文件请将此参数指定为1,DONOTDELLOGS=1。如果不指定,将使用默认设置(0),日志文件将被删除。
·DONOTDELCACHE这个参数设置在卸载ISA Server 2006时是否删除缓存文件,如果要删除缓存文件应该设置此参数为1,DONOTDELCACHE=1。如果不指定,将使用默认设置(0),缓存文件将被删除。
·ADDLOCAL 参数指定要安装到此计算机上的功能列表,以逗号分隔。
可以使用ADDLOCAL安装的ISA Server 2006的功能组件为
MSFirewall_Management, MSFirewall_Services, Message_Screener, Publish_Share_Directory, MSDE
如果想要安装ISA Server 2006的所有功能,可以在ADDLOCAL等号后面填写ALL参数,例如:
ADDLOCAL=ALL
如果在应答配置文件中不指定ADDLOCAL参数的值,默认将安装下列功能:
MSFirewall_Management,MSFirewall_Services,MSDE
这跟在图形安装界面的选项是一样的。
在下面的示例中,使用的是默认功能安装,但从默认安装组件中去除了MSDE组件。
ADDLOCAL=MSFirewall_Management,MSFirewall_Services
另外,REMOVE参数指定在重新安装时要删除的组件功能列表,以逗号分隔。可以使用REMOVE删除下列功能:
MSFirewall_Management,MSFirewall_Services,Message_Screener,Publish_Share_Directory,MSDE
注意,如果使用REMOVE=ALL,安装程序将删除所有功能。
REMOVE=MSDE
·IMPORT_CONFIG_FILE参数指定要导入的配置文件的完整路径。此配置文件应该是一个 XML 文件,是由ISA Server 2006中的导出功能或迁移工具生成的。例如:
IMPORT_CONFIG_FILE=c:\bak\isa_2006_std.xml
上面这一行表示在安装完成ISA Server 2006后,将C盘BAK目录中的isa_2006_std.xml配置文件导入到ISA Server 2006并应用此配置规则。
对于托管服务器来说,在安装时只配置下面这8项就行了:
PIDKEY
INTERNALNETRANGES
SUPPORT_EARLIER_CLIENTS
INSTALLDIR
COMPANYNAME
DONOTDELLOGS
DONOTDELCACHE0
ADDLOCAL
最后,用一个实例来看一下编写配置文件的应用过程。
复制msisaund.ini文件到C盘根目录,然后用记事本打开,进行编辑。
下面这个就是编辑完成后的脚本内容:
[Setup Property Assignment]
;在这里键入你的ISA Server 2006安装光盘中带的产品密钥。
PIDKEY=XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
;指定ISA Server 2006中内网的网络地址范围为192.168.0.0-192.168.0.255
INTERNALNETRANGES=1 192.168.0.0-192.168.0.255
; 允许客户端连接到 ISA Server
SUPPORT_EARLIER_CLIENTS=1
;将ISA Server 2006安装到C:\Program Files\Microsoft ISA Server目录中
INSTALLDIR=C:\Program Files\Microsoft ISA Server
;安装ISA Server 2006的计算机的名称
COMPANYNAME=Server-M
;保留日志文件
DONOTDELLOGS=1
;删除缓存文件
DONOTDELCACHE=0
;安装ISA Server 2006时只安装MSFirewall_Management,MSFirewall_Services,Publish_Share_Directory三个组件
ADDLOCAL=MSFirewall_Management,MSFirewall_Services,Publish_Share_Directory
;安装完成后,将c:\isa_2006_std_bak.xml防火墙配置文件导入并应用
IMPORT_CONFIG_FILE=c:\isa_2006_std_bak.xml
注意:在应用这个配置文件之前应该将PIDKEY后面的XXXXX-XXXXX-XXXXX-XXXXX-XXXXX换成你的ISA Server 2006安装光盘中带的产品密钥。文件中每一行开头的分号表示注释,分号后面的整行内容不会应用到应答配置中。
将ISA Server 2006的安装文件以及刚编辑好的安装应答文件和从ISA Server 2006中导出的配置文件一同放到托管服务器上,然后在服务器上进行如下操作:
(1)将msisaund.ini和isa_2006_std_bak.xml文件存放到c:\中,然后打开Windows中的“运行”页,键入“CMD”单击“确定”按钮。
(2)假设已经将ISA Server 2006的安装文件放到了d:\,则在命令行提示符中键入命令“d:”然后按回车键,切换到ISA Server 2006所在的盘。
(3)然后在命令行提示符中键入
D:\FPC\setup.exe /v "/qb FULLPATHANSWERFILE=\"c:\msisaund.ini\""
然后按回车键,开始ISA Server 2006的自动安装,等待一段时间后,ISA就会自动安装完毕。
在远程安装ISA Server 2006时,因为在安装好ISA Server 2006后,网络会断开,这样将造成在安装ISA Server 2006后,不能使用终端服务远程连接ISA Server 2006。这时可以按照远程服务器的IP地址(内网地址必须一样)配置一台样机,在该样机上安装ISA Server 2006,并且创建一条发布终端服务器的规则,发布终端服务器到样机的内网地址(即ISA Server 2006计算机本身),在导出ISA Server设置时,要导出“所有配置”方式,导出样机的所有配置,然后将该配置文件上传到远程服务器上,使用“无人值守安装”的方式安装,在安装的同时,导入该配置文件,这样在远程安装ISA Server 2006后,仍然可以通过终端服务进行远程管理。
如果ISA Server 2006安装之后,需要远程安装ISA Server 2006或计算机的补丁,在安装补丁之后,网络有可能会中断。为了避免这种情况,在远程安装补丁的时候,可以使用shutdown命令,设置系统10分钟重新启动,这样在打补丁之后,如果网络中断,10分钟会自动重新启动ISA Server计算机,再重新启动之后,网络即恢复连接。Shutdown命令格式如下(10分钟后重启):
Shutdown –r –t 600
在运行该命令后,会弹出“离关机还有:00:09: 27 ” 等的倒计时提示框,并且在指定的时候到达后,系统重启,如图所示。
系统重启提示
如果想安装补丁后,网络没有中断,在命令提示符下键入下列命令,取消重新启动计算机:
Shutdown –a
这样可以做到有备无患,防止远程机器失去控制。
说明:《超级网管员》部分图书内容。采用本文介绍的方法,已经成功远程安装了多台服务器。