作為一個ISA防火墻管理員...... ??? 為了使用ISA防火墻,你應該掌握以下基礎知識: TCP/IP網絡和路由基礎? Windows 網絡基礎服務(DNS、DHCP、WINS) 遠程訪問技術基礎(×××) 為了更好的使用ISA防火墻和排除其故障,建議你掌握: 虛擬機: Virtual PC?? Virtual Server Sniffer: WildPackets? EtherPeek/Omnipeek NetworkInstruments Observer Microsoft Network Monitor 3.1 使用ISA Server...... 由于ISA Server的管理界面及操作非常人性化,ISA Server的配置非常簡單 但是由于涉及的方面太廣,要正確的配置ISA Server卻不簡單: Need? Why? How ISA Server內核高度封裝: 執行排錯和故障分析比較困難 Troubleshooting ISA: 對ISA Server具有深入的了解是執行排錯的基礎 如果不能確定具體的原因,則從易到難、從簡到繁執行排錯; 熟悉排錯工具的使用,并且了解這些工具的使用場景; 做任何修改之前,記得對ISA進行備份; 不要在ISA服務器上安裝無必要的軟件。 用于排錯的支持工具: 警告? 增強型日志查看? 診斷日志? 性能監視器? ISA最佳實踐分析工具(BPA)? TCP/IP診斷工具? Sniffer 增強型日志查看: 需要安裝KB 939455,? ISA 2006支持更新包 提供更為直觀、清晰的日志查看: 日志說明窗格? 日志著色? 診斷日志: 需要安裝KB 939455, ISA 2006支持更新包; 提供ISA Server內部工作過程的跟蹤信息; 防火墻策略訪問: 提供有關防火墻策略規則評估的診斷事件; 身份驗證: 提供有關ISA 服務器身份驗證過程的信息。 對性能會有較大影響; 十大故障: Windows 2003 SP2兼容性問題; HTTP兼容性問題; 訪問非443端口的HTTPS被拒絕; SNAT不支持用戶身份驗證; FTP無法上傳; 無法訪問外部網絡; Web發布-阻止高位字符; Web發布-拒絕在HTTP上進行身份驗證; 防火墻客戶端無法正常連接到ISA 用戶超出連接限制 ISA與Windows? 2003 SP2的兼容性問題: 癥狀: 安裝SP2之后,NAT無法正常工作或服務器無法正常通訊; 故障原因: 網絡適配器硬件所計算出來的TCP哈希值與NAT所計算出來的TCP哈希值不一致,導致數據包無法正確識別; 解決方案: HKLMSYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableRSS = 0?? 在設備管理器硬件高級屬性中關閉接收端調節功能。 HTTP兼容性問題: 癥狀: 訪問web站點時出現: 通過其他路由器可以訪問Web站點,但是通過ISA無法訪問等 64找不到主機,但是DNS解析正常; 無法訪問,在日志中顯示被HTTP過慮器拒絕; 日志中顯示失敗的連接嘗試; 不支持的HTTP頭; 解壓縮失敗/不支持的壓縮方式等; ...... 故障原因: ISA是應用層防火墻,可以根據訪問的Web站點內容來進行訪問控制;? ISA嚴格按照RFC國際標準進行過濾; 目前很多Web站點不是嚴格按照RFC標準進行開發; 導致訪問這些Web站點時,被ISA的應用層過濾所拒絕; 部分程序為了防止普通防火墻的封鎖,通過TCP 80端口來傳輸非HTTP數據,例如QQ等 解決方案: 進行操作之前,考慮安全風險先; 針對此服務器使用自定義TCP 80出站協議訪問: 不要配置客戶為Web代理客戶; 禁用HTTP壓縮; 禁用對應的Web過濾器: HTTP壓縮篩選器與緩存壓縮內容篩選器; 禁用ISA的Web應用層過濾 訪問非443端口的HTTPS被拒絕: 癥狀: Web代理客戶在使用HTTPS訪問非443端口的安全Web服務時,被ISA拒絕; 故障原因: 為了防止用戶的非法訪問,ISA的Web應用層過濾只允許基于標準HTTPS端口TCP 443的HTTPS連接。 解決方案: 配置客戶為SNAT或者FWC客戶?? 擴展SSL端口; SNAT客戶不支持用戶身份驗證: 癥狀: 當防火墻策略要求用戶身份驗證時,SNAT客戶無法進行訪問; 故障原因: SNAT客戶不支持用戶身份驗證,因此當防火墻策略要求用戶身份驗證時,SNAT客戶的訪問請求被ISA拒絕。 解決方案: 取消用戶身份驗證? 配置客戶為Web代理客戶或防火墻客戶。 FTP無法上傳: 癥狀: 當成功連接到FTP服務器(TCP 21端口)后,無法上傳數據;錯誤顯示為550,訪問被拒絕; 故障原因: 為了保障企業網絡的安全性,默認情況下,ISA的應用層過濾禁止FTP上傳; 解決方案: 在防火墻策略的配置FTP中取消"只讀"選項; 無法訪問外部網絡: 癥狀: 無法訪問外部網絡或部分程序無法訪問; 故障原因: 防火墻策略未允許; 解決方案: 建立訪問規則允許用戶訪問? 分析防火墻日志,獲取應用程序需要開放的端口; Web發布-阻止高位字符: 癥狀: 無法使用包含非ANSI字符的URL地址(例如包含中文字符的URL)來訪問發布的Web服務器; 故障原因: 為了保障Web服務器的安全性,ISA拒絕包含非ANSI字符的URL地址; 解決方案: 取消阻止高位字符; Web發布-拒絕在HTTP上進行身份驗證: 癥狀: 用戶訪問HTTP服務器,當要求用戶身份驗證,訪問被ISA拒絕; 故障原因: 為了保障Web服務器的安全性,默認情況下,ISA 2006拒絕在HTTP上進行身份驗證; 解決方案: 取消禁止在HTTP上進行身份驗證; 防火墻客戶端無法正常連接到ISA: 癥狀: 當FWC連接ISA時,測試返回無法解析的名字,從而不能正常的連接到ISA; 故障原因: 默認情況下,ISA使用自己的FQDN來作為返回給FWC的名字,但是如果FWC不能正確解析此名字,則提示上述錯誤; 解決方案: 配置ISA使用IP作為返回給FWC的名字? 確保針對ISA域名的DNS解析成功; 用戶超出連接限制: 癥狀: 用戶無法進行訪問? 日志中出現"QUOTA_EXCEED"等信息; 故障原因: 用戶超出了ISA的并發連接限制; 解決方案: 檢查此用戶是否使用P2P軟件或中病毒? 提高ISA并發連接限制;

轉載于:https://blog.51cto.com/yejunsheng/175814

總結

以上是生活随笔為你收集整理的ISA Server 2006排错最佳实践的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。