ISA Server 2006的全自动无人职守安装
ISA Server 2006的全自动无人职守安装
王春海
有些服务器,例如作为托管的服务器来说,把服务器放到托管机房后,所有对服务器的管理与操作都要通过远程控制来进行,如在服务器上安装一些软件、修改服务器设置、添加或修改用户等。现在许多托管的服务器使用
ISA Server 2004
或
ISA Server 2006
作防火墙,这时就出现一个问题:远程安装
ISA Server 2006
的问题。
在安装一些软件的时候,完全可以通过远程登陆到服务器来安装,但在安装
ISA Server 2006
时,由于在
ISA Server 2006
安装完成后,
ISA Server 2006
防火墙默认的访问规则是不允许任何计算机与此计算机进行通讯,所以当
ISA Server 2006
安装完成后,处于网络断开的状态,此时无法通过远程来管理这台服务器,所以在将服务器放到托管机房前,需要先将
ISA Server 2006
防火墙策略设置好,使服务器能够进行远程登陆管理。
在进行其他准备之前,应该确保无人职守安装
ISA SERVE 2006
的服务器应该有两块网卡,因为
ISA SERVE 2006
在安装时需要两块网卡才能正常安装,否则将会导致安装失败。
建议在服务器上先安装
VMware Server
虚拟机,这样在装完虚拟机软件后,就会增加两个虚拟网卡(
VMnet0
、
VMnet8
),在安装
ISA Server 2006
时,可以使用虚拟网卡做为
ISA Server 2006
中的“内部”网络。
下面开始介绍无人职守安装
ISA Server 2006
的具体步骤。
在
ISA Server 2006
安装光盘的
FPC
目录中找到
msisaund.ini
这个文件,这个文件就是在安装
ISA Server 2006
时自动加载的安装应答配置文件。用记事本程序打开这个文件内容如下:
;; This file is a sample answer file to be used during unattended installation.
;; To perform an unattended installation, copy this file, modify it with the required settings,
;; and run the file from the command line. For example: <cd>\FPC\setup.exe /v"/qb FULLPATHANSWERFILE=\"c:\msisaund.ini\""
[Setup Property Assignment]
;; PIDKEY specifies the product key. This is the 25-character number located on the back of the ISA Server CD-ROM case.
;PIDKEY=12345ABCDE12345ABCDE12345
;; INTERNALNETRANGES specifies the range of IP addresses in the Internal network.
;; At least one IP address must be specified, or unattended setup will fail.
;; The syntax is: N From1-To1,From2-To2, ... FromN-ToN
;; Where N is the number of ranges, and FromI an ToI are the starting and ending addresses in each range.
INTERNALNETRANGES=3 10.0.0 .0-10.255.255.255,172.16.0.0-172.31.255.255,192.168.0.0-192.168.255.255
;; SUPPORT_EARLIER_CLIENTS allows Firewall clients running earlier version of the Firewall client software to connect to ISA Server.
;; By default, these clients are blocked. When upgrading from ISA2000, the default is that these clients are allowed.
;; To allow these clients to connect to ISA Server, set SUPPORT_EARLIER_CLIENTS to 1.
;SUPPORT_EARLIER_CLIENTS=1
;; INSTALLDIR specifies the product installation directory.
;; The default installation folder is %ProgramFiles%\Microsoft ISA Server.
;INSTALLDIR=C:\Program Files\Microsoft ISA Server
;; COMPANYNAME specifies the name of the company installing the product.
;COMPANYNAME=Microsoft Corporation
;; DONOTDELLOGS should be set to 1 if log files should not be deleted.
;; If not specified, the default setting (0) is used, and log files are deleted.
;DONOTDELLOGS=1
;; DONOTDELCACHE should set to 1 if cache files should not be deleted.
;; If not specified, the default setting (0) is used, and cache files are deleted.
;DONOTDELCACHE=1
;; ADDLOCAL specifies a list of features, delimited by commas, that will be installed on the computer.
;; The following features can be installed using ADDLOCAL: MSFirewall_Management, MSFirewall_Services, MSDE.
;; To install all features on the computer, use ADDLOCAL=ALL.
;; If you do not specify ADDLOCAL, the following features are installed by default: MSFirewall_Management, MSFirewall_Services, MSDE.
;; In the example below, MSDE is not installed.
;ADDLOCAL=MSFirewall_Management,MSFirewall_Services
;; REMOVE specifies is a list of features, delimited by commas, that will be removed during reinstall.
;; The following features can be removed using REMOVE: MSFirewall_Management, MSFirewall_Services, MSDE.
;; Note that if you use REMOVE=ALL, the installer removes all features.
;REMOVE=MSFirewall_Services
;; IMPORT_CONFIG_FILE specifies the full path to the configuration file for import.
;; This configuration file should be an XML file generated by the ISA Server export feature or migration tool.
;; For more information, see import and export information in ISA Server help.
;IMPORT_CONFIG_FILE=c:\My Config Files\My_Isa_Config.xml
以上就是配置文件中的一些配置参数及参数的说明,下面将介绍这个参数配置文件中较常使用的一些参数。
・
[Setup Property Assignment]
:安装应答文件开始标记。
・
PIDKEY
这个参数是指定产品密钥。这是一个
25
个字符的号码,可以在
ISA Server CD-ROM
盒的背面找到,然后将下面等号后面的字符串替换即可。
;PIDKEY=12345ABCDE12345ABCDE12345
・
INTERNALNETRANGES
参数指定内部网络的
IP
地址范围。
此参数中,必须指定至少一个
IP
地址(段),否则无人参与安装将失败。
语法为
: N From1 -To1,From2-To2,FromN-ToN
其中
N
是范围数目,
From1
和
To1
是每个范围的起始和结束地址。
例如:
INTERNALNETRANGES=3 10.0.0 .0-10.255.255.255,172.16.0.0-172.31.255.255,192.168.0.0-192.168.255.255
表示
ISA Server 2006
的内部网络
IP
地址段数为
3
,范围分别为
10.0.0
.0-10.255.255.255
、
172.16.0.0-172.31.255.255
、
192.168.0.0-192.168.255.255
。
・
SUPPORT_EARLIER_CLIENTS
参数是允许运行早期版本防火墙客户端软件的防火墙客户端连接到
ISA Server
。默认情况下,这些客户端被阻止连接。要允许这些客户端连接到
ISA Server
,设置
SUPPORT_EARLIER_CLIENTS
为
1
。例如:
SUPPORT_EARLIER_CLIENTS=1
・
INSTALLDIR
参数指定产品的安装路径。默认安装文件夹为
%ProgramFiles%\Microsoft ISA Server
。如果想修改安装路径可以直接修改
INSTALLDIR
等号后面的路径即可。
INSTALLDIR=C:\Program Files\Microsoft ISA Server
・
COMPANYNAME
指定安装的产品的公司名称。这个用到的不多。系统默认如下
COMPANYNAME=Microsoft Corporation
・
DONOTDELLOGS
这个参数是在卸载
ISA Server 2006
时是否删除日志文件,如果要删除日志文件请将此参数指定为
1
,
DONOTDELLOGS=1
。如果不指定,将使用默认设置
(0)
,日志文件将被删除。
・
DONOTDELCACHE
这个参数设置在卸载
ISA Server 2006
时是否删除缓存文件,如果要删除缓存文件应该设置此参数为
1
,
DONOTDELCACHE=1
。如果不指定,将使用默认设置
(0)
,缓存文件将被删除。
・
ADDLOCAL
参数指定要安装到此计算机上的功能列表,以逗号分隔。
可以使用
ADDLOCAL
安装的
ISA Server 2006
的功能组件为
MSFirewall_Management, MSFirewall_Services, Message_Screener, Publish_Share_Directory, MSDE
如果想要安装
ISA Server 2006
的所有功能,可以在
ADDLOCAL
等号后面填写
ALL
参数,例如:
ADDLOCAL=ALL
如果在应答配置文件中不指定
ADDLOCAL
参数的值,默认将安装下列功能:
MSFirewall_Management,MSFirewall_Services,MSDE
这跟在图形安装界面的选项是一样的。
在下面的示例中,使用的是默认功能安装,但从默认安装组件中去除了
MSDE
组件。
ADDLOCAL=MSFirewall_Management,MSFirewall_Services
另外,
REMOVE
参数指定在重新安装时要删除的组件功能列表,以逗号分隔。可以使用
REMOVE
删除下列功能:
MSFirewall_Management,MSFirewall_Services,Message_Screener,Publish_Share_Directory,MSDE
注意,如果使用
REMOVE=ALL
,安装程序将删除所有功能。
REMOVE=MSDE
・
IMPORT_CONFIG_FILE
参数指定要导入的配置文件的完整路径。此配置文件应该是一个
XML
文件,是由
ISA Server 2006
中的导出功能或迁移工具生成的。
例如:
IMPORT_CONFIG_FILE=c:\bak\isa_2006_std.xml
上面这一行表示在安装完成
ISA Server 2006
后,将
C
盘
BAK
目录中的
isa_2006_std.xml
配置文件导入到
ISA Server 2006
并应用此配置规则。
对于托管服务器来说,在安装时只配置下面这
8
项就行了:
PIDKEY
INTERNALNETRANGES
SUPPORT_EARLIER_CLIENTS
INSTALLDIR
COMPANYNAME
DONOTDELLOGS
DONOTDELCACHE0
ADDLOCAL
最后,用一个实例来看一下编写配置文件的应用过程。
复制
msisaund.ini
文件到
C
盘根目录,然后用记事本打开,进行编辑。
下面这个就是编辑完成后的脚本内容:
[Setup Property Assignment]
;
在这里键入你的
ISA Server 2006
安装光盘中带的产品密钥。
PIDKEY=XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
;
指定
ISA Server 2006
中内网的网络地址范围为
192.168.0.0-192.168.0.255
INTERNALNETRANGES=1 192.168.0.0-192.168.0.255
;
允许客户端连接到
ISA Server
SUPPORT_EARLIER_CLIENTS=1
;
将
ISA Server 2006
安装到
C:\Program Files\Microsoft ISA Server
目录中
INSTALLDIR=C:\Program Files\Microsoft ISA Server
;
安装
ISA Server 2006
的计算机的名称
COMPANYNAME=Server-M
;
保留日志文件
DONOTDELLOGS=1
;
删除缓存文件
DONOTDELCACHE=0
;
安装
ISA Server 2006
时只安装
MSFirewall_Management,MSFirewall_Services,Publish_Share_Directory
三个组件
ADDLOCAL=MSFirewall_Management,MSFirewall_Services,Publish_Share_Directory
;
安装完成后,将
c:\isa_2006_std_bak.xml
防火墙配置文件导入并应用
IMPORT_CONFIG_FILE=c:\isa_2006_std_bak.xml
注意:在应用这个配置文件之前应该将
PIDKEY
后面的
XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
换成你的
ISA Server 2006
安装光盘中带的产品密钥。文件中每一行开头的分号表示注释,分号后面的整行内容不会应用到应答配置中。
将
ISA Server 2006
的安装文件以及刚编辑好的安装应答文件和从
ISA Server 2006
中导出的配置文件一同放到托管服务器上,然后在服务器上进行如下操作:
(
1
)将
msisaund.ini
和
isa_2006_std_bak.xml
文件存放到
c:\
中,然后打开
Windows
中的“运行”页,键入“
CMD
”单击“确定”按钮。
(
2
)假设已经将
ISA Server 2006
的安装文件放到了
d:\
,则在命令行提示符中键入命令“
d:
”然后按回车键,切换到
ISA Server 2006
所在的盘。
(
3
)然后在命令行提示符中键入
D:\FPC\setup.exe /v "/qb FULLPATHANSWERFILE=\"c:\msisaund.ini\""
然后按回车键,开始
ISA Server 2006
的自动安装,等待一段时间后,
ISA
就会自动安装完毕。
在远程安装ISA Server 2006
时,因为在安装好ISA Server 2006
后,网络会断开,这样将造成在安装ISA Server 2006
后,不能使用终端服务远程连接ISA Server 2006
。这时可以按照远程服务器的IP
地址(内网地址必须一样)配置一台样机,在该样机上安装ISA Server 2006
,并且创建一条发布终端服务器的规则,发布终端服务器到样机的内网地址(即ISA Server 2006
计算机本身),在导出ISA Server设置时,要导出“
所有配置”方式,导出样机的所有配置,然后将该配置文件上传到远程服务器上,使用“无人值守安装”的方式安装,在安装的同时,导入该配置文件,这样在远程安装ISA Server 2006
后,仍然可以通过终端服务进行远程管理。
如果
ISA Server 2006
安装之后,需要远程安装
ISA Server 2006
或计算机的补丁,在安装补丁之后,网络有可能会中断。为了避免这种情况,在远程安装补丁的时候,可以使用
shutdown
命令,设置系统
10
分钟重新启动,这样在打补丁之后,如果网络中断,
10
分钟会自动重新启动
ISA Server
计算机,再重新启动之后,网络即恢复连接。
Shutdown
命令格式如下(
10
分钟后重启):
Shutdown �Cr �Ct 600
在运行该命令后,会弹出“离关机还有:
00:09: 27 ” 等的倒计时提示框,并且在指定的时候到达后,系统重启,如图
所示。
系统重启提示
如果想安装补丁后,网络没有中断,在命令提示符下键入下列命令,取消重新启动计算机:
Shutdown �Ca
这样可以做到有备无患,防止远程机器失去控制。
说明:《超级网管员》部分图书内容。采用本文介绍的方法,已经成功远程安装了多台服务器。