ISA Server故障排除策略(1)

ISA Server故障排除策略
    10.2 ISA Server故障排除策略
     系统方法是成功排除故障的必要条件。当遇到意外的ISA Server错误时,可以从辨别错误是基于用户的还是基于数据包的入手进行故障排除。本节为两种类型的连接问题提供了故障排除策略。

   本节学习目标
   排除基于用户的访问问题。

   排除基于数据包的访问问题。

   排除ISA Server里VPN连接的故障。

   估计学习时间:30分钟
   10.2.1 用户访问故障排除
     当用户账户访问被中断或者不可用时,可能是由于用户安全要求过于严格、规则配置不正确、身份验证方法不够全面等造成的。出现此类情况时,Ping,Tracert等工具就有用武之地了。

     要排除基于用户的访问问题,首先检查访问策略规则。通过已配置的访问策略规则,确认无法建立网络连接的用户已经被许可拥有连接站点,内容组和协议的权限。

   如果所配置的规则不能成功应用到用户会话中去,确认阵列属性配置为向未认证用户要求身份证明。同时注意,如果创建一个允许类型的访问政策并应用到指定的用户和组上,会要求用户会话通过ISA Server身份验证。另一方面,如果要所有的Web会话保持匿名时,对Web会话的访问受到拒绝,那么确定阵列属性不要求匿名用户进行身份验证。另外,删除所有应用到指定Win2000用户和组上的允许类型的站点和内容规则或协议规则。

   身份验证

     在阵列属性中,对身份验证方法的选择将影响到用户的连接能力。每种身份验证方法是专为某种网络环境设计的。如果在网络配置中选择了不兼容的身份验证方法,或者是方法配置不正确,用户将不能访问ISA Server计算机和网络。

     例如,阵列的默认身份验证模式是集成的Windows身份验证。但此方法不能验证运行非Windows操作系统的客户机。如果要在ISA Server中为此类客户提供验证的访问服务,则必须把阵列属性配置为使用其他的身份验证方法。同样,集成的Windows身份验证与Netscape也不兼容,因为Netscape不能传递NTLM格式的用户证书。它的另一个限制是依靠Kerberos V5身份验证协议或它自己的质询/响应身份验证协议,然而在直通式身份验证方案中,如图 10.3所示,ISA Server不支持Kerberos V5身份验证协议,因为Kerberos V5要求客户机能识别验证身份的服务器。

   在ISA Server中,可选的身份验证方法有Basic、Digest、Client Certificate等。Basic身份验证与所有客户类型都兼容,然而,因为此方法是以明码而不加密的格式传递用户名和密码的,它的安全性就不够了。Digest身份验证仅能在Windows2000域中使用,密码传递采用明码但加密的文本进

   行。Client Certificate身份验证使用SSL通道来验证。它需要在ISA Server 计算机上的Web代理服务证书库中安装客户证书,且证书应该映射到适当的用户账户。ISA Server只在SSL桥接配置时提供客户证书。

   10.2.2 基于数据包的访问故障排除
     当所有用户都不能访问网络时,或基于IP的实用程序如Ping、Tracert操作失败时,可以断定为基于数据包的访问问题。

   在ISA Server中,要排除基于数据包的访问故障,先尽可能地简化网络配置,形成一个测试  环境。

   Ø     建立网络故障排除配置

   1.  启动数据包过滤,创建一个自定义的数据包筛选器以允许任何IP协议都能传入、传出。

   2.  创建一个协议规则,允许任何请求的IP通信,确定已有一个站点和内容规则来允许访问所有站点和内容组。

   3.  将所有程序筛选器和路由规则恢复成默认设置。

   4.  验证已将本地地址表定义在ISA Server内部客户范围内。

   5.  在 IP Packet Filters Properties对话框中,启动IP Routing。

   注意 IP Routing选项为有辅助连接的协议提供路由能力。此设置对边界网络配置尤为重要。可以在ISA Management 的IP Packet Filters Properties对话框中或Routing and Remote Access 控制台中,启动IP路由选项。

   6.  在 ISA Server计算机上,确保没有为内部接口定义默认的网关。不过,确保外部接口上指定了合适的默认网关。

   7.   在试图建立访问连接的客户端上,禁用防火墙客户端软件,并将 ISA Server指定为默认网关。

   一旦以这种简化的方式配置了 ISA Server,重启ISA Server服务。如果仍然不能访问网络,那么重启ISA Server计算机。如果这还不能解决问题,那么可能不是ISA Server配置的问题。这时,应该执行网络故障排除。用网络监视器跟踪并需要检查DNS、路由表、报告、日志等。

     如果在这种简化的模式下能访问Internet,那么再一项一项地将网络单元导入,判断问题的原因。例如,如果能在一个给定的客户端上访问Internet,就可以试着从该计算机上使用指定的Internet程序。如果遇到问题,可以认为要么是应用程序没有正确配置为把ISA Server作为代理服务器使用,要么就是该程序不能使用代理服务器。对于不能使用代理服务器的程序,必须将客户机配置成安全网络地址转换客户端或者是运行防火墙客户端软件。在重新配置客户机以后,注意其行为上的变化。可以认为自动发现特性配置不正确。这样出现问题不断解决,直到为特定的配置添加了所有所需的网络组件。

   VPN网络考虑事项
     在VPN网络中,故障排除也从上述建立简化网络环境入手。如果已运行了新建VPN向导,应当先证实已运行了Routing and Remote Access服务。然后,确保已将客户机配置成安全网络地址转换客户端,而非防火墙客户端。

     此外,还需要证实LocaISA Server VPN Configuration向导已经在Routing and Remote Access中创建了适当的请求拨号接口。可在Routing Interfaces节点对此进行检查,如图 10.4所示。

   在此之后,确认为VPN连接选择的每一个身份验证协议都创建了2个IP数据数据包筛选器。例如,如果VPN网络配置为使用L2TP或PPTP,则LocaISA Server VPN Configuration向导应该创建并启动4个IP数据数据包筛选器。(对于L2TP,配置向导为端口500和1701创建自定义的常规筛选器。对于PPTP,配置向导为PPTP呼叫和PPTP接收创建预定义的筛选器)。

(0)

相关推荐

  • ISA Server故障排除策略(1)

    ISA Server故障排除策略 10.2 ISA Server故障排除策略 系统方法是成功排除故障的必要条件.当遇到意外的ISA Server错误时,可以从辨别错误是基于用户的还是基于数据包的入手进行故障排除.本节为两种类型的连接问题提供了故障排除策略. 本节学习目标 排除基于用户的访问问题. 排除基于数据包的访问问题. 排除ISA Server里VPN连接的故障. 估计学习时间:30分钟 10.2.1 用户访问故障排除 当用户账户访问被中断或者不可用时,可能是由于用户安全要求过于严格.规则配

  • ISA Server 的故障排除工具(4)

    ISA Server 的故障排除工具  10.1.3 练习:测试端口状态   在这个练习中,您需要使用Netstat和Telnet命令来断定ISA Server计算机的端口状态.此技术可用来验证安全或用来断定ISA Server计算机上运行的服务对外部站点是否 可用.  练习:测试ISA Server端口   在这个练习中,在命令提示符中运行Netstat实用程序,并注意ISA Server的外部接口上打开了不同的端口.  Ø 测试ISA Server计算机的端口状态:  1. 以Adminis

  • ISA Server 的故障排除工具(2)

    ISA Server 的故障排除工具  10.1.1.4 Netstat   Netstat是一个命令行工具.它可以用来排除安全和连接问题.在命令行中输入netstat,就可以检查ISA Server计算机的端口配置以及查看进出计算机的连接.  注意 TCP和UDP中使用端口来命名逻辑连接终端.端口号从0到65535,分成以下3种:熟知端口.注册端口.动态/或专用端口.熟知端口从0到1023,注册端口从1024到49151,动态/或专用端口从49151到65535.相关更多详细信息,请参考Web

  • ISA Server 的故障排除工具(3)

    ISA Server 的故障排除工具 10.1.1.6 网络监视器 网络监视器或Netmon是用来捕获与显示Windows2000从局域网接收的帧内容的工具.为了简化网络通信分析,网络监视器分化组合了40个常用的网络协议.这意味对大多数网络通信而言,网络监视器实际上显示了与网络会话相关的所有信息,包括源和目的端口和地址.服务器响应.有效通信等. 下面是来自网络监视器跟踪文件或捕获的帧内容示例: Network Monitor trace Wed 03/07/2001 08:55:17 AM Ca

  • ISA Server 的防火墙客户端 官方下载

    ISA Server 的防火墙客户端可以选择安装在受 Microsoft ISA Server 保护的客户端计算机上.ISA Server 的防火墙客户端提供了增强的安全性.应用程序支持以及对客户端计算机的访问控制.ISA Server 的防火墙客户端为使用 TCP 和 UDP 的 Winsock 应用程序提供身份验证,支持复杂的辅助协议,并为 ISA Server 日志提供用户和应用程序信息. 运行 ISA Server 的防火墙客户端的客户端计算机发出请求时,防火墙客户端软件会评估该目标,然

  • 一般故障排除步骤与方法

    一般故障排除 硬盘的分区损坏.当硬盘启动时,会出现"Invalid partition table",而且用系统软盘启动后,用"DIR C:"命令,如果出现"Invalid drive specification",说明硬盘的分区损坏.需要用"FDISK"和"FORMAT"命令重新分区格式化. 24.2.1 硬盘故障排除 l.系统引导文件被破坏的处理 启动计算机时,屏幕出现"Missing Ope

  • 在域环境中配置ISA Server 2004的图文教程第1/2页

    非常感谢Ronald Beekelaar,他做的ISA Server 2004 LAB是如此的精致,只需要我些许的修改几个地方,就可以完成这个比较复杂的试验) 很多朋友提出了在域环境中不能正确配置ISA Server 2004的问题,主要集中在无法引用域用户和DNS无法解析.在这篇文章中,我以一个域环境实例,来给大家介绍如何在域环境中配置ISA Server 2004.从这篇文章,你可以学习到如何在域环境中配置ISA防火墙.启用域用户的身份验证.配置内部客户.配置域控上的DNS转发和建立访问规则

  • 自定义 ISA Server 2006 中的登录表单

    在 ISA Server 2004 中虽然可以通过修改源文件来自定义表单登录界面,但是这样是不受微软支持的.在 ISA Server 2006 中虽然微软同样不对表单自定义提供技术支持,但是提供了自定义登录表单的功能,你现在可以发挥你的想像力和图像处理技术,把千篇一律的登录表单给修改一下,做出你自己的特色. ISA Server 2006 安装时自带了两个登录表单模板,分别用于 Exchange OWA 登录和其他 情况下的表单登录,HTML 源文件位于 %ISA_Install_Folder%

  • 基于路由器诊断步骤和故障排除技巧

    网络诊断是管好.用好网络,使网络发挥最大作用的重要技术工作.本文简述分层诊断技术,结合讨论路由器各种接口的诊断,综述互联网络连通性故障的排除. 网络故障诊断概述 网络故障诊断,从故障现象出发,以网络诊断工具为手段获取诊断信息,确定网络故障点,查找问题的根源,排除故障,恢复网络正常运行.网络故障通常有以下几种可能:物理层中物理设备相互连接失败或者硬件及线路本身的问题:数据链路层的网络设备的接口配置 问题:网络层网络协议配置或操作错误:传输层的设备性能或通信拥塞问题:上三层或网络应用程序错误.诊断网

  • 深入介绍Spring框架及故障排除

    目录 Spring的缺点 不可理解性 按注释编程 故障排除 为什么是Spring IoC? 选择 其他人在说什么 结论 前言: 曾几何时,Spring框架提供了比J2EE更轻量级和更灵活的解决方案.即使在2013年左右,我也很高兴详细了解当时的新款Spring 4.如今,7年后,当我看到春天的时候,我感到一阵恐慌.注释和@ComponentScan已经用更好的东西取代了XML,这需要一个可视化工具来理解您的系统.Spring变成了一头不断生长(和变化)的水螅.我接手并试图理解他人编写的Sprin

随机推荐