ISA 故障排除(PRC/终结点)
原创:GiantWong
日期:2010-3-10
 
 
感谢:Google , ISA中文站,WinOS.cn51CTO
 
故障关键字:
1.PRC服务不可用;
2.RPC 通信问题;
3. 终结点映射器中没有更多的终结点可用。
 
2010 年过年请了长假回家了趟,等过了年返公司时被同事告知ISA服务器挂了,现在用一台PC在做代替,原老ISA怎么装都用不了。同事描述故障情况:
1.新装WIN SERVER 2003 SP2/R2,加域正常,然后安装ISA,之后无法添加域用户。
2. 若先装ISA,打开内部通讯,则无法加入域。
3. 两个同事装了N遍系统,都不成功,怀疑网卡问题。
     新年第一天上班就遇到这问题,实在头疼,没办法,这台老ISA必须得装起来用,现在替用的PC是要装到分厂去做IPGUARD监控的,只能暂时用着。还是自己装下看看这台老ISA到底什么故障吧。
     先介绍下公司的网络环境:
1.5M 光纤上网,进交换接后,一条支线接硬件防火墙到EMAIL服务器及Web服务器。一条支线进路由器然后到ISA服务器及内网(交换机)。公司利用ISA及路由器的结合合理分配上网用户及进行流量等其他行为限制。
2. 域环境,用户300+
3.ISA 服务器硬件配置:HP G5+Windows server 2003 SP2+ISA 2006 ENT,单网卡。
     好,介绍完这些开始装ISA服务器了。
1.  安装完 Windows Server 2003 Sp2,计算机名:ISA, 加域,用域管理员用户登录,安装ISA 2006,一切正常。
2.  建立内部-本机的访问规则,OK.
3.  我们通过与AD结合来限制域用户上网,所以现在我们要把允许上网的域用户组加入到ISA的用户集中。打开”ISA服务管理”,依次展开“Microsoft Internet Security and Acceleration Server 2006-“阵列”-“防火墙策略(ISA)”,右边的“工具箱”-“用户”,点“新建”,依提示输入名称,下一步,点添加“Windows用户和组”,在查找位置中选择到域或选整个目录,点“高级”-“立即查找”,列出了所有的域用户信息,然后定位到INTERNET组(之前在域用户中建立好的允许上网的域用户组),点确定。问题出来了,此时等了好长时间,等到一个错误提示“添加..用户时出错…PRC服务不可用”,O,原来是这个问题啊,马上查看服务中的RPC服务,显示的是启动的,正常。然后我重启SERVERRPC服务,故障依旧。检查域,服务也启动正常。这是个PRC通信问题。由于我对ISA 2006不太熟悉,一时不知道如何解决。
4.  之后上网查找,有提到去掉系统策略中的“强制符合RPC”可解决此问题。依次在ISA中单击"防火墙策略”-“任务”--点开“编辑系统策略”-“身份验证服务“-Active Directory-去掉“强制符合RPC”,再测试添加域用户,还是不行。
5.  之后,我想到既然是RPC服务问题,我就把ISA中的“PRC筛选器”也禁止。先禁止“企业”中的“PRC筛选器”, 依次展开“Microsoft Internet Security and Acceleration Server 2006-“企业”-“企业插件”,在““PRC筛选器”上点右键,选禁止。然后点开“阵列”-ISA服务器名”-“配置”-“插件”,在““PRC筛选器”上点右键,选禁止。之后再加域用户,OK,成功解决问题。
   搞定这个问题后,就忙其他事情去了,暂时几天没理这台ISA,等今天我来配置策略加域用户时,又在添加域用户的时候出现故障,这次提示的是“由于如下错误,Windows不能处理名为“Internet”的对象:终结点映射器中没有更多的终结点可用”。我晕!不用这么折腾我吧!上网一搜,看似1025端口的问题。那就打开1025端口试下。
ISA管理器,新建“协议”,TCP出站10251025端口,UDP1025发送和接收。然后创建一个防火墙策略,“任务”-“创建访问规则”,输入名称“1025通讯”,选择刚建立的1025端口协议,从本机到内部,然后确定,应用。
之后再建用户时,选择域及域用户一切OK,速度快很多,问题终于解决了。思来想去,之前的RPC通讯问题是否也是1025的端口问题呢?做测试,将之前关掉的PRC全部启用,再添加域用户,出错了。看来两个问题不能相提并论。
此文是我在使用ISA2006中的一点小经验,写出来分享给大家,希望给遇到此问题的朋友有所帮助。