ISA 2006 Server排错(上)

一、 Isa 与 windows 2003 sp2 的兼容性问题

症状：

安装 sp2 之后， nat 无法正常工作或服务无法正常通讯；

故障原因：

网络适配器硬件所计算机出来的 tcp 哈希值与 nat 所计算出来的 tcp 哈希值不一致，导致数据包无法正确识别；

解决方案：

HKLMSYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableRSS=0

在设备管理器硬件高级属性中关闭接收端调节功能

 

二、 HTTP 兼容性问题

症状：

访问 web 站点时出现：

通过其他路由器可以访问 web 站点，但是通过 isa 无法访问等

64 找不到主机，大师 dns 解析正常；

无法访问，在日志中显示被 http 过滤器拒绝；

日志中显示失败的连接性尝试；

不支持的 http 头；

解压缩失败 / 不支持的压缩方式等

 

故障原因：

Isa 是应用层防火墙，可以根据访问的 web 站点内容进行访问控制；

Isa 严格按照 rfc 国际标准进行过滤；

目前很多 web 站点不是严格按照 rfc 标准进行开发

导致访问这些 web 站点时，被 isa 的应用层过滤所拒绝；

部分程序为了防止普通防火墙的封锁，通过 tcp80 端口来传输非 http 数据，例如 QQ 等

 

解决方案：

进行操作之前，考虑安全风险先；

1 、针对此服务器使用自定义 tcp80 出站协议访问；

   不要配置客户为 web 代理客户；

2 、禁用 http 压缩

 

 

禁用 3 和 10

3 、禁用对应的 web 过滤器

http 压缩筛选器与缓存压缩内容筛选器；

 

 

把 web 代理筛选器去掉

4 、禁用 isa 的 web 应用层过滤。

 

三、访问非 443 端口的 https 被拒绝

症状：

Web 代理客户在使用 https 访问非 443 端口的安全 web 服务时，被 isa 拒绝；

故障原因：

为了防止用户的非法访问， isa 的 web 应用层过滤只允许基于标准 https 端口 tcp443 的 https 连接。

解决方案：

配置客户为 snat 或者 fwc 客户端；

扩展 ssl 端口；

   1 、下载 isa_tpr.js 文件，拷贝到 ISA 服务器上，

2 、运行，在第一个对话框上可看到当前状态信息 “This is your current Tunnel Port Range list” ，点确定
3 、此时， NNTP 端口显示出来了，点击确定
4 、然后， SSL 端口显示出来了，点击确定
5 、现在复制 isa_tpr.js 这个文件到 C 盘根目录，然后打开一个命名提示符窗口，输入以下命令： isa_tpr.js /?
6 、添加一个新的 SSL 隧道端口，例如 8848 ，输入： Cscript isa_tpr.js /add Ext8848 8848
7 、此时，你可以看到如下的信息，提示你命令运行成功
还可以添加一段端口范围

Cscript isa_tpr.js /add Ext500-600 500 600
另外，你还可以下载 Steven Soekrasno 编写的 .NET 程序， ISATpre.zip ，然后在 ISA 上安装即可。

端口添加完成后，记得重启 ISA Server 服务！

 

四、 Snat 客户不支持用户身份验证

症状：

当防火墙策略要求身份验证时， snat 客户端无法进行访问；

故障原因：

Snat 客户端不支持用户身份验证，因此当防火墙策略要求用户身份验证时， snat 客户的访问请求被 isa 拒绝。

解决方案：

取消用户身份验证；

配置客户端为 web 代理客户或防火墙客户端。

 

五、 ftp 无法上传

症状：

当成功连接到 ftp 服务器（ tcp21 端口）后，无法上传数据；错误为 550. 访问被拒绝；

故障原因：

为了保障企业网络的安全性，默认情况下， isa 的应用层过滤禁止 ftp 上传；

解决方案

在防火墙策略的配置 ftp 中取消“只读”选项；

在用允许 ftp 的规则上点击右键――选择“配置 ftp ”

 

 

把只读的勾去掉