ISA 2006 Server排错(上)

一、 Isa windows 2003 sp2 的兼容性问题
症状:
安装 sp2 之后, nat 无法正常工作或服务无法正常通讯;
故障原因:
网络适配器硬件所计算机出来的 tcp 哈希值与 nat 所计算出来的 tcp 哈希值不一致,导致数据包无法正确识别;
解决方案:
HKLMSYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableRSS=0
在设备管理器硬件高级属性中关闭接收端调节功能
 
二、 HTTP 兼容性问题
症状:
访问 web 站点时出现:
通过其他路由器可以访问 web 站点,但是通过 isa 无法访问等
64 找不到主机,大师 dns 解析正常;
无法访问,在日志中显示被 http 过滤器拒绝;
日志中显示失败的连接性尝试;
不支持的 http 头;
解压缩失败 / 不支持的压缩方式等
 
故障原因:
Isa 是应用层防火墙,可以根据访问的 web 站点内容进行访问控制;
Isa 严格按照 rfc 国际标准进行过滤;
目前很多 web 站点不是严格按照 rfc 标准进行开发
导致访问这些 web 站点时,被 isa 的应用层过滤所拒绝;
部分程序为了防止普通防火墙的封锁,通过 tcp80 端口来传输非 http 数据,例如 QQ
 
解决方案:
进行操作之前,考虑安全风险先;
1 、针对此服务器使用自定义 tcp80 出站协议访问;
   不要配置客户为 web 代理客户;
2 、禁用 http 压缩
 
 
禁用 3 10
3 、禁用对应的 web 过滤器
http 压缩筛选器与缓存压缩内容筛选器;
 
 
web 代理筛选器去掉
4 、禁用 isa web 应用层过滤。
 
三、访问非 443 端口的 https 被拒绝
症状:
Web 代理客户在使用 https 访问非 443 端口的安全 web 服务时,被 isa 拒绝;
故障原因:
为了防止用户的非法访问, isa web 应用层过滤只允许基于标准 https 端口 tcp443 https 连接。
解决方案:
配置客户为 snat 或者 fwc 客户端;
扩展 ssl 端口;
   1 、下载 isa_tpr.js 文件,拷贝到 ISA 服务器上,
2 、运行,在第一个对话框上可看到当前状态信息 This is your current Tunnel Port Range list ,点确定
3
、此时, NNTP 端口显示出来了,点击确定
4
、然后, SSL 端口显示出来了,点击确定
5
、现在复制 isa_tpr.js 这个文件到 C 盘根目录,然后打开一个命名提示符窗口,输入以下命令: isa_tpr.js /?
6
、添加一个新的 SSL 隧道端口,例如 8848 ,输入: Cscript isa_tpr.js /add Ext8848 8848
7
、此时,你可以看到如下的信息,提示你命令运行成功
还可以添加一段端口范围
Cscript isa_tpr.js /add Ext500-600 500 600
另外,你还可以下载 Steven Soekrasno 编写的 .NET 程序, ISATpre.zip ,然后在 ISA 上安装即可。

端口添加完成后,记得重启 ISA Server 服务!
 
四、 Snat 客户不支持用户身份验证
症状:
当防火墙策略要求身份验证时, snat 客户端无法进行访问;
故障原因:
Snat 客户端不支持用户身份验证,因此当防火墙策略要求用户身份验证时, snat 客户的访问请求被 isa 拒绝。
解决方案:
取消用户身份验证;
配置客户端为 web 代理客户或防火墙客户端。
 
五、 ftp 无法上传
症状:
当成功连接到 ftp 服务器( tcp21 端口)后,无法上传数据;错误为 550. 访问被拒绝;
故障原因:
为了保障企业网络的安全性,默认情况下, isa 的应用层过滤禁止 ftp 上传;
解决方案
在防火墙策略的配置 ftp 中取消“只读”选项;
在用允许 ftp 的规则上点击右键――选择“配置 ftp
 
 
把只读的勾去掉
 

你可能感兴趣的:(职场,休闲,ISA,2006,Server排错)