《ISA SERVER 2000教案》---朱立务实 勤奋 创新 积极
E时代北大燕工教育之道
ISA SERVER2000
一:Microsoft Internet Security and Acceleration Server 2000 介绍
ISA包括两个版本:标准版和企业版。包括三种模式:防火墙模式,CACHE模式和集成模式,可以与WIN2K集成,根据计算机,用户,组来定义策略,它通过MMC界面进行管理,可以在本地和远程管理ISA。
ISA的防火墙分为三个层次,最底层为IP packet filters,这是静态的,对于指定的端口,不是允许就是阻止通过,然后为POLICY RULES,这可以理解为动态的包过滤,允许在二次连接的时候,动态打开相应的端口(即只有在使用的时候,才会打开这一端口,而不像IP packet filters是一直开放的),最后为应用层的过滤,可以对诸如电子邮件的内容进行过滤。
ISA的CACHE功能十分强大,可以定义为自动下载定义计划,可以根据访问频率的高低自动下载,可以在多台ISA上分布CACHE.
当使用ISA企业版的阵列方式时,为企业的管理提供更大的灵活性,你可以统一定义企业策略,也可以对每个阵列分别定义策略
二:安装Microsoft Internet Security and Acceleration Server 2000
在安装前,必须首先考虑ISA的安装模式(防火墙模式,CACHE模式和集成模式),同时对客户端也要有所考虑,因为客户端可以分为防火墙客户端,WEB客户端和SNAT客户端。对于一个小公司来说,典型的安装是一台ISA安装两块网卡,隔断企业内部局域网和INTERNET,对于一个大型公司,则可能需要多台ISA组成阵列。同时对于防火墙后面的WEB,MAIL服务器的发布也要有所考虑,你是将它们直接安装在ISA上,混合域(perimeter network.),还是在企业的内部。
如果要安装ISA企业版,必须首先安装Enterprise Initialization utility,在AD中加入SCHEMA,如果是安装ISA标准版,它的信息是保存在SERVER本身的注册表中的。
如果企业以前使用Proxy Server 2.0,可以考虑直接升级到ISA
三:设定INTERNET访问
ISA的客户端分为防火墙客户端,WEB客户端和SNAT客户端,它们的使用场合是不同的,主要的区别有以下几点:
SNAT用户的访问只能通过IP地址来进行控制,它是匿名访问,无法使用基于USER的规则控制,而防火墙用户和WEB用户可以(在缺省情况下,ISA允许WEB匿名访问,但是你可以通过设置,在访问前要求用户认证)
防火墙用户只能在WINX的机器上安装(需要客户端安装程序),而SNAT客户和WEB客户可以跨越操作系统平台,WEB只有浏览器要求如何内部有WEB/FTP/MAIL之类的服务器提供对外服务,则它们必须作为SNAT用户
SNAT用户不支持需要二次连接的网络运用,除非在IP FILTER中指定
SNAT用户需要解决DNS解析问题,这就意味着你的INTRANET要有DNS服务器或者在IP FILTER中允许DNS Query operation。
SNAT用户和防火墙用户同时也可以是WEB用户,不过WEB用户只支持HTTP/HTTPS/FTP服务。
对于SNAT用户来说,即使Protocol Rule allows "Any IP traffic.",它也只是开放了ISA预先定义的那些Protocol,至于如QQ之类还要你自己定义。注意如果这一应用只使用了单一端口,那只要直接定义即可,如果使用了多个端口,则须在IP FILTER中加以定义。
如果你的网络对外连接是通过拨号方式,则只有Web Proxy and firewall clients可以使用按需拨号,对于NAT用户,必须首先建立连接。WEB用户和防火墙用户还可以配置使用自动发现ISA。你需要在DHCP(a special Web Proxy Autodiscovery Protocol entry)和DNS(both a host (A) record of the ISA Server computer and an alias (CNAME) record named WPAD pointing to the ISA Server computer.)中进行相应设置
四:设置Access Policies
对于用户访问是否允许,ISA通过PROTOCOL->SITE AND CONTENT->IP FILTER->ROUTING RULE的次序进行考察,首先考察是否有PROTOCOL RULES拒绝访问,如果没有,再考察是否有明确的允许,如果有,则通过,其他情况则拒绝。SITE AND CONTENT/IP FILTER也是这样判断。ROUTING RULE主要用来判断是将访问要求转交给上一级ISA还是直接发到INTERNET上。特别的:
对于一个指定的PROTOCOL,如果以一个SNAT访问,如果没有明确的拒绝(这里的拒绝指得是IP地址的拒绝),则ISA会查找是否有明确的许可,如果许可都是针对用户的,则SNAT客户会被拒绝(因为SNAT是匿名的)。如果许可是针对IP的,如果客户端在这一IP地址范围内,则PROTOCOL这一层过滤通过。
对以WEB PROXY CLIENT用户(在浏览器中填写ISA作为代理服务器),缺省情况下它是允许匿名的,他允许跑的协议为HTTP/HTTPS/FTP。对于这种情况,我们可以在ISA的设置中要求出站WEB需要认证,或者在PROTOCOL中加一条允许协议,因为WEB允许匿名,所以一条DENY并不能阻止他的访问,加上允许,ISA就会对他进行匹配,他就会因为不匹配而遭到拒绝。
对于FIREWALL/WEB CLIENT均是通过用户来进行管理的,只有NAT是通过IP来进行管理,在ISA上观察,FIREWALL/ SNAT CLIENT均属于FIRWALL SESSION,但是FIRWALL CLIENT有用户名和机器名,SNAT这两项为空,他只有客户端的IP地址。
一般来说,你如果想访问外部网站,必须要有两个条件,一个是PROTOCOL RULE许可,另外一个是SITE AND CONTENT许可,在缺省条件下,ISA会自动建立一个SITE AND CONTENT许可供你使用,在PROTOCOL RULE集中,没有先后次序的概念,但是DENY比PERMIT的权力要高
在ISA的控制元素中包括:计划schedules,带宽优先级bandwidth priorities,目标集destination sets,客户集client address sets,协议定义protocol definitions,内容组content groups,and 拨号dial-up entries。你可以将它们组合各种规则(access policy rules,routing rules,publishing rules,和bandwidth rules)
对于包含路径的目标地址,ISA不同的客户端有不同的处理
如果想在ISA服务器本身上发布服务器,必须使用IP FILTER,它本身还可以用来阻止外界的某些IP攻击
五:设置ISA Server Cache
CACHE可以加快用户的INTERNET访问速度,你可以使用routing rules来指定何者需要CACHE,何者从INTERNET上直接访问,何者则把请求发给上一级ISA。对ISA本身的CACHE,你可以控制它的大小(必须安装在NTFS上);是否CACHE动态内容;是否CACHE HTTP和FTP内容;自动更新的频率以及定义计划来自动下载频繁访问的INTERNET内容。 如果ISA本身的内存比较小,还可以调整分配给CACHE的内存大小以提高性能。
六:发布内部SERVER
如果想发布内部的SERVER,则使用PUBISHING RULES(这实际上也就是PROTOCOL RULES,只有在需要的时候才会开放),如果SERVER就在ISA上,则应使用IP PACKET FILTERS。在SERVER的发布上,最重要的是WEB SERVER和MAIL SERVER
七:ISA的安全性控制ISA,你必须有相应权限(Enterprise Admins),如果为了提高性能,在企业中有多台ISA SERVER,则对于防火墙用户,你只要简单的设置DNS,使用round robin distribution即可,对于SNAT客户,则需要设置Network Load Balancing (这需要高级服务器版和数据中心版)。对于企业设置和阵列设置,你可以将设置备份到一个文件,并可以在任何时刻通过它们进行恢复。
利用ISA你可以在公司两地搭建VPN,并可以让移动用户通过VPN访问公司的信息,这实际上是利用了WIN2K的Routing and Remote Access服务(ISA只不过在IP PACKET FILTER中针对PPTP和L2TP增加了几条包过滤),你可以在相应服务上进行进一步设置,例如增加DHCP中续代理使远端用户得到正确的局域网DNS/WINS配置,远端用户实际上并没有真正登录到公司的域中,对VPN的接入安全性必须加强设置。如果觉得有问题,可以删除由WIZARD建立的4条IP FILTERS,然后DISABLE Routing and Remote Access,最后由WIZARD重新建立。
八:使用H.323 Gatekeeper
不懂,请高人指点。
九:监视和优化ISA
ISA有45种报警,当报警触发时,写入WIN2K的事件记录器,并可选择E-MAIL传递和停止启动ISA服务。ISA的LOG分为IP FILTERS,防火墙,WEB代理三个文件,每天产生(当然你可以限制其总数量),缺省条件下放在ISA的LOG目录下。对于ISA的运行效率观察,最简单的办法是审查ISA的运行报告(事先你要设定ISA如何产生报告),对于ISA的带宽分配,你也可以加以定义,ISA是一种所谓的动态分配,优先满足优先权高的访问,在这基础上再满足优先权低的访问,而不是直接分配固定带宽给用户。
十:排错基本的,你可以使用ISA Server Reports(性能) /Event Viewer (警告出错信息)/Performance Monitor (性能)/Netstat (网络状态)/Telnet (服务状态)/Network Monitor(网络状况) /The Routing Table (路由信息)来排除错误。
对于复杂的错误,可以先将ISA设置到最简单的模式,观察是否能连通内外网络,然后再一步步添加设置,找出问题的根源。最简单的形式如下:
激活packet filtering enabled,设定一个最简单的filter,允许双向的IP包建立一条protocol rule,允许所有的IP traffic,
建立一条SITE AND CONTENT,允许访问所有的网站和内容将application filters 和routing rules 恢复成缺省设置检查LAT表包含了所有的客户端在IP Packet Filters中激活IP Routing,保证有二次连接的协议被顺利路由检查ISA的外部网卡,确保正确的网关,而内部网卡应该不设置网关客户端作为SNAT连接ISA,确定其网关地址为ISA的内网卡地址
附录:常见问题解答(资料来自www.isaserver.org)
问:什么是Microsoft ISA Server?
这是一种具备全面功能特性的企业级安全,加速和多层次陈列管理服务器。ISA Server提供了安全、快速、可管理的Internet连接性。ISA Server包括一个可扩展的、多层的企业防火墙,该防火墙能够进行动态的数据包过滤、透明的、SecureNAT、“智能的”数据感知的应用程序过滤器、系统硬化以及内置的入侵检测。它的高性能缓存加速了Web访问速度,而同时节约了带宽,并且可以进行按比例放大以获得有效的、动态的负荷平衡。统一,灵活的管理工具为用户、应用程序、目的地、计划和内容类型提供了多层策略。同时与Windows 200的虚拟专用网(VPN,virtual private networking)和带宽控制进行了集成。ISA Server是一个进行扩展和自定义的丰富的平台,它包括一个广泛的软件开发工具包(SDK)和多个用于进行管理、应用程序过滤器、Web过滤器和缓存控制的应用程序设计接口(API)。
问:Microsoft Internet Security and Acceleration Server 2000是否属于防火墙或缓存服务器?
ISA Server既可被配置为集成化防火墙与缓存解决方案,又可被部署成专用防火墙或专用缓存。正在寻求强大防火墙解决方案的组织机构完全可以借助由该产品所提供的动态数据包筛选、入侵检测、系统加固和“智能”应用程序筛选器等特性为其网络系统提供安全保障。而急需专用缓存解决方案的组织机构则可通过使用ISA Server所具备的高级缓存特性对网络实施改进增强。
问:拥有与缓存解决方案相结合的防火墙会带来哪些优势?
即使在组织机构选择分别实施防火墙与缓存功能的情况下,ISA Server仍可同时面向出站与入站通信量提供具备一致性的单点访问策略及管理功能。在此基础上,组织机构便可适当缩短系统和网络管理员的培训周期,并相应降低产品管理与维护工作负荷。
问:实施缓存功能是否需要以牺牲ISA Server作为防火墙的安全性为代价?
绝对不会。缓存基本上属于一种智能存储引擎,可帮助管理人员通过对频繁接受检索的对象加以存储的方式提高网络访问性能。Web缓存是基于Web代理引擎实施构建的,而Web代理引擎则可实现HTTP连接特性、筛选功能以及像内容屏幕显示和URL阻断这样与安全性相关的任务。
问:ISA Server是否需要由Active Directory(活动目录)提供支持?
Active Directory并非实现ISA Server安全与加速优势的必要条件。然而,谋求以分层方式在企业范围内创建并部署访问策略或针对负载平衡与故障容错生成相关阵列的客户则需要对Active Directory加以运用。
客户完全可以借助Active Directory实现阵列化部署,并同现有域建立起信任关系,以期将变化影响程度限制在最低水平。而在这种情况下,则需要面向Active Directory实施全面迁移。
问:是否可从Microsoft Proxy Server 2.0迁移至ISA Server?
可以,这里的确存在着一条可供运行Proxy Server 2.0版的客户实施升级的有效途径。ISA Server所具备的强大防火墙与缓存特性将可面向针对Proxy Server 2.0加以应用的具体情境提供相关支持。当然,ISA Server毕竟是一项基于Microsoft Windows 2000操作系统安全与可靠特性的新产品,并具备针对企业安全与缓存需求而专门设计的新型体系结构。
问:目前存在哪些针对ISA Server的第三方支持?
不同组织机构间的安全与性能需求往往大相径庭。为面向客户提供最为广泛的选择余地,Microsoft已经同那些在网络安全与管理领域处于领先地位的厂商展开了密切合作。第三方厂商将可提供包括站点分类、病毒检测、监控与远程管理及内容分析等解决方案在内的兼容型、互补式软件产品。
问:ISA Server是否可面向VPN(虚拟专用网络)提供支持?
可以。ISA Server可帮助您创建虚拟专用网络(VPN),并在此基础上为其提供安全保障。在使用有关向导程序的情况下,ISA Server将可针对Windows 2000 Server所具备的内建式虚拟专用网络服务进行配置,以便帮助组织机构面向远程站点和移动用户提供符合成本效益原则的链接。
问:ISA Server Enterprise Initialization Tool(ISA Server企业初始化工具)可对Active Directory架构进行修改,请问:截至目前,是否发布过有关上述修改的完整列表?
请查阅位于cdroot\isa目录下的scheme.ldif文件……该文件是针对架构更新而生成的导入文件……
问:单一日志容量是否可超过4 GB?
非NTFS卷中的文件容量主要受制于相关磁盘卷所容许的最大文件容量。适用于Fat16卷的最大文件容量约为2 GB。
问:如何对已安装的ISA执行全面删除操作?
请在\I386目录下运行可执行文件RMISA.EXE。
问:如何在ISA中备份Destination(目标)集合?
请在ISA MMC中右键单击您的服务器名称,然后点击备份。
问:ISA Server是否可像MSProxy 2.0那样面向AutoDial提供支持?
ISA 2000具备这种特性。在该产品的beta 3版中,上述特性将得到自动应用。如果您需要使用AutoDial,则应首先在ISA CD上运行一个位于\sdk\samples\admin\scripts文件夹、文件名为Add_DOD.vbs的VBS脚本。当然,您还必须事先根据自身需求对该脚本进行相关编辑。
问:通过使用ISA Server,将能为您带来哪些重大改进?
全面集成SOCKS v.4.3a筛选程序
得到改进的邮件服务器向导程序
新型虚拟专用网络向导程序
PPTP支持特性
性能调节
适用于SMTP筛选程序的新型用户界面(UI)
得到更新的COM和应用程序筛选器界面
附加预定制协议
包括全面文档化事件消息和性能计数器在内的改进型文档功能
问:从何时起可下载ISA Server,该软件存在哪些限定性条件?
请从http://www.microsoft.com/isaserver/下载ISA Server拷贝。 ISA Server的测试版有效期限为安装后的120天。
问:ISA Server需要占用多少RAM容量,如何对该容量值进行修改?
在缺省状态下,ISA Server RC1将针对RAM代理缓存占用50%的可用内存空间。如需对上述内存占用量加以修改,请打开Cache Configuration(缓存配置)属性,并在Advanced(高级)选项卡上点击鼠标,接着,在“可供用于缓存特性的内存容量百分比”提示后,将百分比数值从50%(缺省值)相应降至5%左右。在上述修改操作完成后,重新启动Microsoft Web Proxy服务,您将会看到,内存占用量已得到了显著降低。
问:如何针对每个用户分别指派Bandwidth Quota(带宽配额)?举例来说,是否可将用户“John”的信息下载容量限定为每月500 Meg,而在此基础上,该用户的Internet访问请求将被予以拒绝?
ISA Server目前尚无法针对此等特性提供相关支持,但您却可以将具备相关功能的第三方附件程序安装至ISA Server。如需查阅有关第三方产品列表,请访问以下Web站点:http://www.isaserver.org/。
问:能否实现针对ISA服务器的远程管理(从具备管理员角色的PC运行ISA管理控制台)?
可以实现,但必须确保相关PC运行Win2000操作系统。
问:ISA是否可为“内容引导协议”(CVP)提供相关支持?
ISA无法提供上述支持。在使用ISA的情况下,您必须具备独立的电子邮件病毒保护功能。虽然市场上存在可供使用的第三方产品,但仍请就所需支持特性参阅http://www.isaserver.org/站点。
问:请提供有关wpad.dat的确切解释。
wpad.dat文件主要供Internet Explorer用来获取所需信息,以便允许客户端浏览器通过使用ISA Server代理服务实现Internet访问功能。为实现Internet访问而运行Internet Explorer的客户端可通过使用DNS或DHCP的方式进行配置,但就ISA Server部署而言,团队成员则必须使用DHCP来面向客户端提供wpad.dat配置。
问:能否借助ISA Server标准版创建阵列?
标准版无法面向阵列提供相关支持。
问:我一共拥有四个站点(其中,包括一个总部站点和三个分支机构站点),而它们中的每一个都仅配备一颗CPU,并在各自位置运行着Proxy Server 2。这些站点分别具备独立的Internet访问功能,但又通过Frame Relay(帧中继)实现了彼此间的网络互联。如果我希望从总部位置对上述四个站点实施统一管理,并建立起相应的企业策略,那么,还需要为这些站点购置哪些软件产品?究竟是仅购买一份企业版即可满足需求,还是必须同时购买一份企业版和三份标准版?
您需要为此购买四份企业版许可证。
问:如何查看自己正在使用的ISA Server版本?
在Computer(s)节点上点击鼠标,您将在右侧窗格内查看到有关版本和产品ID的卷标。
问:ISA Server标准版是否与NT 4.0相集成,如何按用户或组对出站访问进行设定?
您无法在基于Windows NT操作系统的计算机上安装ISA Server。该产品必须安装于以Win2k为操作系统的计算机。标准版可基于Win2k Server产品家族进行安装,而企业版则需要由Advanced Server或Datacenter Server提供相关支持。
ISA Server的所有版本均可被安装于具备Windows NT 4.0域成员资格的计算机,同时,ISA Server还可对基于安全策略的SAM数据库加以应用。由于ISA Server需要使用AD为自身创建阵列,因此,如果您所安装的是ISA Server企业版,则无法创建阵列。
问:防火墙客户端是否属于ISA软件包的组成部分?
完全正确。防火墙客户端同Winsock Proxy客户端一样,均属于Proxy Server 2.0的组成部分。
问:贵公司针对该服务器产品所推荐的RAM和硬盘容量分别是多少?512MB的RAM容量是否足够,亦或仍需购置更多的RAM内存?
512 MB的RAM容量针对软件安装来说,无疑是绰绰有余的。请务必运行System Monitor(系统监视程序),并针对缓存性能及其它内建ISA计数参数生成日志记录,以便就相关配置下的性能表现加以掌握。
问:在将ISA安装于RRAS机盒的情况下,该产品将以何种方成对RRAS加以应用?尽管ISA取代了RRAS数据包筛选功能,然而,该产品将如何就路由操作、虚拟专用网络(VPN)和请求拨号特性对RRAS加以充分利用?特别是在已完成ISA安装操作的前提下,应如何确保RRAS远程访问策略及相关配置同VPN或拨号连接之间的协作关系?
ISA与RRAS之间具有十分密切的协作关系。事实上,在试用VPN向导程序后,您便会觉察到在RRAS服务器上所发生的变化。RRAS与ISA主要以并列方式运转,如果两者之间偶尔发生冲突,那么,其结果也必然是ISA获得优先权。
问:据说在ISA Server上,SecureNAT和防火墙客户端之间存在着“鱼与熊掌不可兼得”的关系。贵公司所提供的白皮书及其它相关文档使我得以令众多客户端将ISA Server与防火墙客户端配合使用。与此同时,我还允许客户端在无需安装专用防火墙软件的前提下,将ISA作为代理服务器加以应用。但是,代理功能仅适用于http及其它Internet Explorer参数。而我对ISA Server的理解则是,不使用防火墙客户端软件的客户端必然是SecureNAT客户端,所有请求均应在IP配置网关参数正确输入的情况下获得解译。请问:是否有人能告诉我对这种功能加以应用的具体方式?
您的客户端IP地址将由类似于192.168.0.1-255的专用地址构成。这些地址中的某一个有可能被用作ISA的内部网卡地址,比如,192.168.0.1;而外部网卡地址则可能是由ISP为您专门指定的,比如,207.69.188.185。在内部客户端试图对主机实施访问的情况下,其所配备的网关地址便有可能针对某一Web页面而被设定为192.168.0.1。这表明,主机并非位于本地子网,并且必须通过ISA实现访问调用。开放式端口通信只能在ISA和Internet两者间进行,并将通过8080端口将符合要求的信息反馈至相关客户端或您所指定的任何位置。这基本上属于NAT的模式。在客户端和Internet远程主机之间,并不存在任何面向端口通信而开放的端口。
防火墙客户端的使用情况极可能具备完全相同的配置,但却允许在客户端与Internet之间执行端口通信。假设您主要借助Publishing Wizard(发布向导程序)来实现邮件服务器的发布。在此基础上,您将会发现该服务器在会话期间所显现的内部地址同Winsock会话期别无二致。鉴于邮件服务器将在执行接发操作时对其它端口加以利用,因此,上述情况是完全必要的。由此看来,通过将邮件服务器设置为防火墙的方式对其进行“发布”,势必有助于在专用端口上实现信息收发功能。
问:我似乎无法编制当天的报告。ISA生成了这些报告,而我却难以对其执行打开和浏览操作。奇怪的是,所有先前生成的报告(当天之前的)均可被打开和浏览。
ISA Server基本依据日志摘要生成报告。具体方式为,每天12:30AM生成日志摘要,然后,在此基础上生成相关报告。因此,即使您将程序设定为生成“当前”报告,系统也无法在次日12:30AM之前为您提供当天数据。
问:我所注意到的一个情况是,目前仍无法从具备专用IP地址、并已启用NAT的客户端上对Internet地址执行ping操作。难道是我忽略了什么问题吗?
您需要在IP数据包筛选程序属性中激活IP路由功能。上述操作还可同时为ICMP将NAT激活。
问:报告功能无法正常发挥作用。难道是我做错了什么吗?
请务必确定,您正在实际执行报告生成操作,而非仅仅在“Monitoring/Reports”(监控/报告)部分中进行浏览。
如需生成相关报告,请依次执行下列操作:
将鼠标依次指向“Monitoring Configuration”(监控配置)>“Report Jobs”(报告工作)
右键单击鼠标并选择“New”(新建)>“Report Job”(报告工作)
按向导程序提示填写配置需求(开始生成报告:立即启动)
稍候数秒后即可获得所需报告
现在,返回“Monitoring/Reports”(监控/报告)部分>“Reports”(报告)部分,即可看到新近生成的报告。每项内容(摘要和Web使用情况等)下方均有一份相关报告。
问:当我在缓存模式下安装ISA RC1时,却无法对自己的Web页面执行访问;而当我在集成模式下安装该产品时,一切功能虽处于正常状态,但又不能对相关配置进行调用。这究竟是怎么回事?
这大概是因为,如果您仅仅在缓存模式下安装ISA,那么,该产品将无法执行透明代理操作,而这恰恰是您在客户端上以手工方式安装代理功能时所必需的。当然,在集成化模式下,具备安全保障的NAT将可在无需针对某一客户端进行配置的前提下,自动代理全部访问调用请求。
问:我希望借助于MMC同ISA服务器实现连网,这主要是因为该产品在其所安装的服务器上运行良好,而我却需要从自己运行Windows 2000 Professional操作系统的PC机上对其实施控制。请问:上述设想是否可行?
您需要在以Win2k Prof为操作系统的PC机上运行ISA安装程序,并选择仅就该产品的管理功能部分进行安装。与此同时,有权执行登录操作的用户也必须是具备较高优先级的帐号,其中包括Enterprise Admin(企业管理员)和架构(Schema)管理员。
问:在已将某个T1依次挂接至路由器、已启用ISA防火墙的服务器、交换机和各种服务器及其它PC机的情况下,ISA服务器停机故障(例如,电源插头不慎脱落)将会导致那些问题的发生?位于上述链接关系末端的服务器和PC机能否继续接收到Internet通信量,ISA服务器是否会出于阻止位于其后端的任何设备获取Internet通信量的目的而自动停机?
如果相关配置依次为路由器—>ISA—>交换机—>其它服务器,那么,在ISA计算机出现停机故障的情况下,网卡便会掉电,并由此导致数据包往复路由处理任务出现中断……
问:我已经安装了ISA Server,并且需要花费很长时间方可与该服务器实现连接。在开始调用Web页面之前,所需耗用的时间约为40至45秒。请问,这究竟是何缘故?
如果您正在就防火墙客户端加以应用,那么,该产品的确存在可能导致上述延迟的程序错误;除非用户具备本地管理员资格或属于客户机自身功能用户,否则,上述延迟将难以避免。我们将在RC2发布后针对上述问题加以解决。
问:我的DSL路由器拥有一个静态IP地址,而ISA Server外部接口也拥有一个静态IP地址。ISA Server的外部接口缺省网关正是DSL路由器的IP地址。目前,这两个IP地址均从属于一个拥有16个IP地址的子网。该子网的IP地址中,有两个已分别被DSL路由器和ISA Server外部接口占用,另有两个则被用作网络编号和广播IP地址。DSL路由器和ISA Server外部接口的子网掩码均为255.255.255.240。现在,我需要掌握将剩余IP地址分派给内部网络所属计算机的具体方法。我的内部网络正在使用以255.255.255.0为子网掩码的10.0.0.0网络。而所有计算机均通过一台集线器和一台交换机实现在同一网络中的运行。
虽然您无法在内部网络上针对客户端指派IP地址,但却可以将第三块网卡置入ISA Server,并利用这些地址构建起一个周边网络(DMZ)。由于这些地址无法使用与外部接口完全一致的网络ID,因此,您必须将其全部纳入子网范围。
问:ISA初始化安装并不能允许我通过自己的服务器对ICMP(Internet信报控制协议)进行访问调用。外部和内部网卡均可对ICMP产生响应,但却无法使之通过服务器。我按照由ISAServer.org所提供的操作说明创建了将所有对象打开的规则,这样一来,所有服务(telnet和ftp等)均可正常运转,唯有ICMP除外。
激活IP路由功能。
将相关客户端配置为SecureNAT客户端。
在此基础上,便可通过ISA Server执行ping操作。
问:我在从ISA RC1向ISA Evaluation(120)实施迁移的过程中遇到了技术问题。在将Release Candidate 1(RC1)Upgrade安装完毕后,防火墙和Web代理仍然无法生效。而其它ISA服务功能却可正常运行。上述问题在Event Log(事件日志)中的错误编号为14079。为此,我先运行了rmisa,并在基础上重新执行安装操作(从ISA Server 2000评估版开始),但问题却依然如故。此后,我又代之以先运行rmisa,而后重新执行安装程序(从ISA RC1开始)的做法,于是,所有服务功能便均可正常发挥作用。
每当将现有ISA Server升级为最新版本时,请务必对防火墙客户端进行重新安装,这有助于相关问题的解决。
问:如何为实现远程管理功能而将ISA Server插件安装在非ISA服务器之上?
请尽管运行安装程序,并使用定制安装方式,然后,仅将管理控制台复选框选中即可。所需插件将自动完成安装,并在“程序”文件夹内生成相关快捷方式。
问:我在配备有SP1的W2K AS上安装了Proxy 2.0,并希望将其升级为ISA Server。此外,我还拥有一个运行于Proxy机盒中的VPN(虚拟专用网络),并在Proxy后端安装了Exchange Server(5.5)。根据上述情况,当我执行升级操作时,应就哪些筛选和准许条件加以明确定义?我是否必须对所有配备WSP客户端软件的计算机实施升级?
获得保留和遭到删除的项目主要取决于ISA Server的安装模式和执行ISA Server安装操作的用户所具备的组成员资格。如需获取详细说明材料,请查阅随同ISA Server CD一并提供的产品升级指南。不同的安装模式和组成员资格“的确”会导致功能特性在去留方面出现重大差异,为此,您必须在执行升级操作前就有关操作规范加以掌握。
Winsock Proxy客户端完全能够同ISA Server协调配合。我既没有看到,也不曾听说因使用该产品而导致的任何问题。
由于在被配置为SecureNAT客户端的情况下,Exchange Server完全可以正常发挥作用,因此,您完全没有必要将其设定为Winsock(防火墙)客户端。即使在您已对wspcfg.ini文件执行某些特殊配置修改的情况下,该产品仍可继续担当防火墙客户端。当然,我还是建议您将Winsock Proxy客户端软件从Exchange Server中删除,这种做法可以先将该产品配置为SNAT客户端,并就其能否正常运转进行观察。
问:我需要在自己的网络系统上针对ISA Server进行配置。我总共拥有三台服务器,其中,一台担当防火墙,一台用于Web支持,还有一台存放数据库。有鉴于此,我能否获得有关在上述服务器与ISA服务器间实施网络配置的相关文档?
应分别将ISA Server置于网络系统边缘,将Web服务器放置在位于Internet和内部网络间的DMZ,并将数据库服务器安放在内部网络之上。上述工作完成后,再在位于内部网络和DMZ之间的ISA Server上创建数据包筛选程序,以便对发往内部数据库服务器的通信量加以限制,进而,确保只有Web服务器具备通过下游防火墙执行数据库访问调用的能力。
问:我在事件日志防火墙中收到了以下错误提示“Cannot bind SMTP requests to port 25 because it is already in use by another process”(由于第25号端口已被其它进程占用,故无法将SMTP请求绑定至该端口)。请问,这究竟意味着什么?
这可能是因“简单邮件传输协议,SMTP”随同IIS一并自动安装而导致的错误。请在服务控制面板中就此项服务功能予以禁用。
问:我刚刚安装完RC1,就在事件日志中发现了14120条错误调用(LAT与Windows路由表不匹配),请问,这究竟是何缘故?
只需在ISA控制台上重新生成“Lat table”即可。
问:我有一个关于ISA和Outlook Express 5的技术问题。我无法对自己的hotmail帐号实施访问调用——而我所收到的错误信息则显示为:“Proxy Error (Logon failure,unknown user name or bad password.)”(代理错误[登录失败:未知用户名或口令错误])。我应该如何解决这个问题?
请将Hotmail Web站点添加至特例列表,并使用Winsock客户端(目前为防火墙客户端)对其实施访问调用。这样便可成功解决上述问题(并同时拥有SNAT选项)。
问:在安装操作过程中,我收到了如下错误提示“Cannot start service isacntl”(无法启动isacntl服务)。请问,这句话是什么意思?
这通常意味着,您尚具备足够的内存容量,或者相关架构并未得到全面复制。请从I386目录下运行RMISA,在全面卸载完成后,重新引导系统,并再试一次。
问:我无法继续在ISA RC2上启动Web Proxy Service。相关错误信息显示为:Microsoft Web Proxy Service:Error 2148074254:No credentials are available in the security package(Microsoft Web Proxy Service:错误2148074254:安全包内无可用凭据)。为此,我已将ISA予以卸载,并重新执行了安装操作,但问题依然如故。请问,是否存在有助于解决上述问题的方法?
请在ISA产品CD中查找可执行文件rmisa.exe,并尝试运行该程序。它可将由ISA插入的全部注册表项尽数删除。
问:我在基于Windows 2000的独立服务器上安装了ISA Server标准版。于是,Windows NT域中的防火墙便收到了编号为407的错误信息(不可用)。请问,应如何解决这个问题?
请对Protocol and Site/Content(协议和站点/控制)规则进行配置,并确保以Win2k为操作系统的计算机成为NT域成员。
问:我无法在不具备代理设置的前提下于客户端获得Web连接。请问,我忽略了什么环节?
客户端网关已被设定至ISA Server内置适配器地址。鉴于该网关无法应用代理设置,我便可以断定,相关协议与站点/内容规则能够为访问调用提供支持。如果情况有所不同,那么,该客户端必然是基于Win98的计算机。
面向全体网络客户端打开所有站点(这可能已被您列为缺省站点/内容规则,请在控制台上予以确认),并开放所有协议。
如果您正在使用拨号连接,并具备SNAT客户端,那么,就请记住这条秘诀:在左侧窗格内右键单击路由节点,并将拨号连接选定为防火墙主路由节点。
问:安装程序完成后,Web代理和防火墙服务均无法正常启动,且不支持系统重启。而事件查看器所提供的错误代码则显示为#7031:“The Microsoft Web Proxy Service terminated unexpectedly”(Microsoft Web Proxy Service意外终止)。请问,这究竟是何缘故?
当我遇到这个问题时,曾迫不得已地使用由ISA Server CD提供的rmisa.exe程序将ISA Server删除。在该程序运行完毕后,重新引导系统,并再试一次。
在计算机RAM容量和可用磁盘空间供不应求的情况下,上述问题发生的频率相对较高。另一种有效的解决方法是针对IIS加以禁用,或干脆将其从计算机中删除。
如果上述方法仍无济于事,就请重新安装操作系统和ISA Server。
问:当我在浏览器中就代理功能予以禁用,并对ISA客户端执行安装和配置操作时,将会收到以下错误提示:“The ISA Server denies the specified Uniform Resource Locator (URL),(12202)”(ISA Server拒绝指定的统一资源位址[URL]。[12202])。请问,这究竟是何缘故?
如果您一边“在ISA Server上”使用浏览器,一边试图对Web站点进行访问,那么,就需要创建可将80出站端口面向所有计算机开放的静态数据包筛选程序,亦或使用ISA Server“内部”接口IP地址将浏览器配置为Web Proxy客户端。
问:以下是一条在ISA服务重新启动时出现的错误提示:“The Microsoft Web Proxy failed to log information to file WEBxxxxxxxx.log”(Microsoft Web Proxy无法将日志信息录入WEBxxxxxxxx.log文件)。请问,这究竟是何缘故?
针对ISA日志文件夹中的索引和压缩特性予以禁用,并在ISA-Server MMC中取消压缩/索引项目的选中状态。
问:在ISA处于运行状态的情况下,网卡升级操作通常会导致故障发生。而在针对内部适配器执行升级操作时,Windows往往会要求提供一个名为“|”的文件。请问,应如何防止上述问题的出现?
终止ISA服务功能,而后便可实现驱动程序升级。
问:我在试图以手工方式启动所需服务时,收到了以下错误信息:“ERROR 1747 - THE AUTHENTICATION SERVICE IS UNKNOWN”(错误1747—未知身份验证服务)。请问,这究竟意味着什么?
在解除原有侦听器绑定关系的基础上,再将它们重新绑定到一起。您可能需要针对相关发布规则和数据包筛选程序进行重新配置。而您所创建的任何对象均可能具备与其存在绑定关系的原有IP地址。
问题,如何使用ISA发布你的网络(反向网络代理)?
例如,你想要发布如下两个网络站点以供Internet用户访问:
PublicSite.mydom.com
PrivateSite.mydom.com/EmployeeInfo
在属于你的域的可靠的DNS服务器中为你的公共站点和私人站点产生DNS记录,并把他们指向ISA服务器的外部的接口。
在目的集中产生一个记录并赋予其描述名称,如:对于到公共站点的请求,目标机器标识/主机标识包含的计算机名称类型,比如:PublicSite.mydom.com,而且没有相对路径。
对于第二种情况,在目的集中产生一个记录并赋予其一个友好的名称,如:对于到私人站点的请求,目标机器标识/主机标识包含的计算机名称类型,比如,PrivateSite.mydom.com,并加上相对路径/EmployeeInfo/* 。
然后给这两个站点每一个都创建一个网站发布规则,这个规则是用来给相应服务器发送请求的。
名称:任何友好的名称,比如:对于“公共站点目的地址”,在“已选择的目标集”中选择“名称”;对于到公共站点的请求是在下拉列表中的。动作:重新把请求导向主机地址。在目标站点输入框中,输入承载公共站点的内部网站服务器的计算机名称或者IP地址。适用于:任何请求。
对于私人站点:
名称:任何友好的名称,比如:对于“私人信息站点目的地址”,在“已选择的目标集”中选择“名称”;对于到私人信息站点的访问是在下拉列表中的。动作:重新把请求导向主机地址。在目标站点输入框中,输入承载私人站点的内部网站服务器的计算机名称或者IP地址。适用于:选择基于你是否想要对其访问进行限制的客户端、用户、组或者任何使用者。
问题,每次我想断开连接的时候,ISA总是要用很长时间去强迫进行再次连接。我已经关闭了活动缓存,没有运行任何会周期性的提交Internet请求信息的应用程序,也已经也关闭了全部的有可能引起这个问题的到我的路由器的netbios 请求。那么是什么原因强迫ISA进行再次连接的?
当安装ISA的时候,一个DNS包查询过滤器是默认与其一同安装的。此过滤器是允许DNS查询通过路由器的。禁用此过滤器,你的路由器就应该支持默认的超时设置,而不再进行连接。
问题:如果选择了支持包过滤,我就无法浏览网络。我得到的信息是dns错误。我是在ISA 服务器上使用的IE5。其它连接到ISA服务器的电脑却可以这样浏览Internet。我如何解决这个问题?
在ISA 服务器的自述文件中,你可以发现,要使用在ISA 服务器上的浏览器,你应该把内部网卡的IP地址配置到代理设置中去。
问题:我想要我的ISA服务器通过使用我的Internet 提供商提供的拨号入口连接到Internet,但ISA 服务器配置窗口中的下拉框并没有显示我已经配置了的拨号入口。下拉框是空白的。有人知道这问题是怎么回事吗?
策略元素,拨号入口,视图/创建拨号连接。你应该能选择你预先设定的Internet 拨号连接。
问题,有否任何方法删除某些与ISA服务器捆绑的协议定义?我正在使用 SNAT,但我并不想让用户使用某些嵌入的定义功能,如:ICQ、AOL等等。我如何解决这个问题?
右击“Enterprise”(企业),然后选择属性和改变自定义策略。
问题,ISA 服务器和Exchange 5.5 服务器是分开的。应该如何设置DNS和Exchange 5.5 服务器上默认的网关?
你的DG 应该设置成你ISA服务器内部网卡的地址。
你的DNS入口应该设置成离你最近的上游DNS服务器。如果你已为你公司提供了主次DNS,那么就使用那些地址(即使他们在防火墙内部)。然而,如果DNS是某个ISP提供的,或者其它的外部资源,直接使用他们的地址就可以了。
还要注意的是,不要在你的MS Exchange 服务器上使用防火墙客户端程序,那将与Internet 邮件连接或者Exchange冲突。
请参考有关如何在防火墙内部配置Exchange服务器的详细资料,其位于Microsoft Knowledgebase 文章中的 #Q181420。
问题,当我查看日志文件时,显示的用户是匿名。我正在使用ISA安装一台缓存服务器。我怎样做才能让他们的用户名出现在日志文件?
在防火墙和Web代理客户端中,如果你配置了匿名访问策略,那就没有身份认证了。
要解决你提出的问题,需要确认“Outgoing Web Requests”(出站Web请求)中的“Ask unauthenticated.....”(要求未经身份验证的…)设置。
问题:我要格式化我的PDC并重新构建我的网络,不知到是否有一种方法来备份我保存在ISA 中的大约250个条目的地址?
右击ISA MMC 中你的服务器名称,然后点击“备份”。
问题:可能通过ISA共享文件吗?
你可以通过 ISA,在TCP/IP (TCP/UDP 137-9)上支持 NetBIOS 以实现此功能。
问题:我的全部客户端和其它的服务器都在使用ISA 服务器并把其当作他们的网关,这个基于我安装的访问策略的网关允许他们访问Internet。然而ISA服务器本身是根本不能访问Internet的。WWW,FTP,SMTP,POP,PING等其它功能是不是也是这样?我又如何补救呢?
1,不要在ISA 服务器上安装防火墙客户端程序。这是微软不支持的。
2,你不需要把ISA 服务器本身用作Web代理客户端。
为了让应用程序在ISA 服务器上运行正常,你必须配置包过滤器。
例如,如果你想要允许外接网络服务器访问,创建一个允许TCP 80外接请求的包过滤器。那很容易。
问题:在面向SecureNAT使用ISA时,如何把端口转到内部的客户端?假设防火墙客户端程序不是必须的。比如说,我想要内部客户端可以接收全部的针对TCP和/或者UDP端口5000-6000的包。
你需要使用服务器发布功能。原因是:如果SecureNAT的端口连接需要打开第二个端口,那么端口的连接将会失去。解决问题的办法是:要么你编写一个你自己的应用程序过滤器或者使用第三方软件。
问题:我在一台操作系统是W2K并有两块网卡的电脑上安装了ISA beta1。我在那台机器上也安装了终端服务功能。我安装ISA的方式是使用TS,但在安装的过程中,我失去了终端服务功能和服务器工具的网络共享功能。有人知道这是什么原因吗?又如何解决这个问题呢?
安装一个TCP 端口3389的过滤器就可以了。
问题:可能打开今天的使用报告和日志报告吗?我正在尝试打开一个今天的报告。我把报告的产生选项设成“立即”,期限设成“今天”。电脑显示报告已成功生成(状态 0)。但当我试图在“监控/报告/任何容器”中打开报告时,光标变成沙漏,再就什么也没有了。我试图把报告保存到硬盘。我打开“另存为”对话框,并进行了相应的操作,但没有产生任何文件。
报告是基于来自日志文件的“日志摘要”的。在监控配置/日志文件的文件夹中,你在日志文件的文件夹处右击,点击属性,然后点击“日志摘要”标签,确保选中了“支持每天和每月的摘要”。
尽管日志文件每天都在更新,日志摘要是在每天中午12:30生成的。等到中午12:30以后,就可以打开报告了。
检查\Microsoft ISA Server\ISASummaries 文件夹以确认摘要列表是否已经产生。
问题:当我试图通过远程管理员模式连接到ISA服务器时(我已经在内部客户端安装了ISA管理工具),我得到的错误信息是权限被拒绝。有人能帮我解决这个问题吗?
使用其它的配置文件进行登录。
你的配置文件可能已经崩溃。删除你的原始配置文件 (Windows 2000 Professional)并创建一个新的配置文件。
问题:我能在ISA上使用动态包过滤功能吗?如果能,如何启动这个功能?
你可以通过使用访问策略或者发布规则来支持动态包过滤功能。
从ISA帮助系统得到的信息是:
当你支持包过滤功能时,全部经过外部接口的包将都被屏蔽,除非他们是特允的,要么是通过使用IP包过滤器静态特允的,要么是通过使用访问策略或者发布规则动态特允的。
问题:当SMTP网关是在ISA 服务器上时,是否存在一种方法可以面向输入SMTP Filter中的标准,使Message Screener扫描端口25? 我使用MSSMTP 服务作为我的Exchange服务器网关。SMTP服务器是位于ISA服务器电脑上的。如果SMTP服务器不在ISA服务器上,SMTP 过滤器运行正常。
SMTP过滤器是一种应用程序过滤器。如果数据是传向本地电脑的,应用程序过滤器将不截取数据传输。比如,在同一台电脑上,你不能同时拥有SMTP过滤器和SMTP服务器。SMTP服务器应该安装在防火墙之后,而不是安装在防火墙上。
问题:有人曾经成功的打开过报告吗?我的报告中没有任何数据。报告文件是有的,但内容是空的。
如果你是支持报告的,并且打开了创建报告的功能,报告就应该根据你的计划产生了。
报告是根据日志摘要创建的,检查LogSummaries 文件夹以确定是否存在错误。
问题,我想将属于我的域的客户端(outlook 2000)配置为可以收发我们的ISP的Internet邮件(pop3/SMTP) 。我们是通过新安装的ISA 2000 (CR1)连接到Internet的。有何方法实现这个功能(对客户端和服务器都有效)?
创建两个自定义的允许端口25和端口110进行双向通讯的IP包过滤器。
选择“任何远程主机”或者输入他们连接到的邮件服务器的IP。 这将创建一个Winsock,或者一个防火墙、连接,使客户端能与远程主机进行通讯。以上步骤应该是奏效的。
问题,我是否需要在当前的ISA 服务器上安装一个本地的IIS SMTP服务器?
你需要在你的内部网中安装一台IIS SMTP 服务器并发布那台服务器。在你发布了那台服务器之后,通过把你的内部邮件服务器的名称或者IP地址配置到“智能主机”中,就可以完成配置SMTP服务来保存发往你内部邮件服务器的信息。
问题:我应该如何配置我的ISA 服务器以使其具有代理的功能?
工具 => Internet 选项=> 连接标签 =>局域网设置按钮=>选中“使用代理服务器”复选框 => 输入你的内部接口地址和端口 8080 => 点击 OK
问题:我正忙于尽可能快的发布我的站点。但我无法使我的ISA服务器呈现我自己的网络站点(该站点基于IIS,位于同一台电脑) 。
为了在同一台电脑上实现网络站点服务器和ISA 服务器两种功能,你应该把网络站点的属性改成使用内部接口和不是80的端口号。 尽管在帮助文件末尾中的实例学习文档中提到了你可以在内部接口使用端口 80,但我们从来没有试通过。
因此,建议你在网络站点中使用端口88和内部接口的IP地址。改完之后请重新启动网络站点,使用网络站点发布向导发布你的网站。尽管内部接口正在使用的是端口88,用户仍可以在外部接口使用端口80,因为在那个端口中同样列出了网络代理服务。
注意在使用网络站点发布向导之前,为你的网站创建一个目标集。
问题,推荐的针对100个用户的缓存容量是多少?
微软推荐给每个用户分配10 – 20MB的内存。
问题:我有两间办公室,每间都有专用的连接和一台ISA服务器,每台ISA服务器都选择了综合模式的安装。我想要在两台ISA 服务器之间安装一个网关对网关的VPN连接,实现各站点到Internet的数据传输,和像到达其它站点一样的准确无误的数据传输,而这个数据传输是通过VPN到达目的地的。可以在ISA 服务器上实现这个功能吗?如果可以,如何解决这个问题呢?
是的,你可以这样做。你需要做的就是在其中的一台服务器上运行“安装本地ISA VPN 服务器” 以创建一个,vpc 文件。你的配置一定要保证在两端都可以进行连接的初使化。在你创建了,vpc 文件之后,到其它的ISA 服务器上使用你已创建的.vpc文件并运行“安装远程ISA VPN 服务器”。
这将创建连接请求接口,这个接口将允许每一台ISA 服务器与其它的服务器建立连接。这也将增加静态的路由表入口,这样在远程网络请求产生时,连接请求接口就可以被激活了。
问题:我需要一些关于如何在ISA 服务器上安装3块网卡和使DMZ执行邮件中转域功能的信息。我希望防止任何到位于我内部网中的MS Exchange 服务器的访问。有办法解决这个问题吗?
在DMZ中设置中转,然后就把邮件服务器放置到内部网络中去。而后,发布内部邮件服务器并仅允许访问在DMZ中列出的服务器IP地址。这样,你就可以禁止任何非中转站机器访问内部服务器了。
问题,我如何在没有安装防火墙客户端程序的情况下,在日志文件中支持用户名而不是“匿名”?
为了在“会话(session)”中支持用户名,在希望的阵列上选择“属性”,然后选择“出站网络请求”。在“连接”下,选择“要求验证匿名用户身份”的复选框。当提示的时候重新启动服务,然后用户列表就出现在他们的域中了。此处不需要防火墙客户端程序和Netbios协议。
问题,如何我配置DHCP以实现ISA 服务器的自动检测功能?
点击“开始”,指向“程序”,再指向“管理工具”,然后再点击“DHCP”。
在控制树中,右击“可应用的DHCP服务器”,点击“设置预定义选项”,然后点击“新增”,再点击“增加”,在“名称”中,输入“WPAD”。在“代码”中,输入“252”。
在“数据类型”中,选择“字符串”,然后再点击“OK”。在“字符串”中,输入http://Computer_Name:AutoDiscoveryPortNumber/Wpad.dat。
计算机名是经过完全验证的ISA 服务器域名或者阵列,而自动检测端口号是用来发布自动检测信息的端口号。这个端口要么是出站网络请求的端口号,要么是另外的用以发布自动检测的端口。
右击“服务器选项”,然后点击“配置选项”。确认选中了选项252的复选框。
问题,我如何才能在我的已发布的网络站点中提供验证功能?
对于IIS WWW服务本身,ISA服务器仅支持基本的访问和匿名的访问。如果你 想要支持其它的验证模式,你需要在ISA服务器监听选项中进行配置。可从以下网址得到更多的有关验证的信息:
http://www.microsoft.com/TechNet/isa/isadocs/CMT_CMTAuth.htm
问题,Netscape 用户仅仅通过使用“基本的”验证功能得到身份的鉴别。我如何改善身份的鉴别功能?
选中你的服务器,右击,选择“属性”->“出站网络请求”->选择你的监听器 ->“编辑”-> 选中“基本验证”。
问题:我有一个多地址的系统。一个外部的IP和两个从子网得到的、用于内部的IP。我已经把这三个地址全部分配到我的外部接口中。当我支持包过滤功能时,前面提到的内部路由子网的两个IP从Internet是不可访问的。当包过滤器被禁止使用时,就可以了。我把这两个IP用在我的DNS服务器上。有办法解决这个问题吗?
你已经支持路由了吗?你需要为每个IP地址创建包过滤器。
问题:我能只配置防火墙的功能吗?
是的,你可以把防火墙配置成向下锁定的安全解决方案。作为安装过程的一部分,你可以选择ISA 服务器模式:防火墙,缓存,或者集成方式。在防火墙模式,你可以通过使用配置控制你单位的网络和Internet通讯的规则来保证网络通讯。你可以也发布内部服务器,安全的与Internet用户共享你内部服务器上的数据。
对于缓存模式,你可以通过使用保存常被用户访问的对象来改进网络性能并节省带宽。你可以也发布内部的Web服务器。集成模式结合了两者的特点,即防火墙和缓存,既保证了安全又增强了性能。在所有模式下,你都可以从ISA 服务器企业策略管理、实时监控和报警的特点中获益。
问题:ISA 服务器支持状态检测吗?
是的。为保证全面的安全,ISA 服务器支持三层过滤,数据包层过滤,链路层过滤和应用程序层过滤。链路层过滤通常指的就是“状态检测”,即当包到达防火墙的时候,检测包、监视状态信息、允许或者不允许通过基于访问策略的防火墙的过程。 ISA 服务器增加了基于特定的应用程序命令的“智能型”检测的应用程序过滤器,以在更高的通讯层提供过滤功能。这允许特定的SMTP 命令和过滤基于请求界面的RPC 访问实现模块化。
问题:你如何禁止客户进行SecureNAT存取?
生成一个包含那台机器IP地址的客户端设置,然后再使用一个拒绝基于客户端设置访问的规则。
问题:可以对网络内部的客户端进行ping的操作吗?
外部是不可能ping内部的客户端的。只有内部的S-NAT 客户端可以ping 外部的ISA。
问题:如果我要使http请求只能去访问某些机器,我该如何设置包过滤功能?
新建一个 Web 发布规则就可以了。
问题:我应当在什么时候到控制面板中去更新防火墙的客户端?我得到的错误信息是:服务器对更新请求没有回应。
重新输入其名称。 IP (内部的ISA 接口的)服务器名字(netbios,非FQDN,像:“server1”而不是“server1.domain.com”)
例如,172.16.1.45 NTSERVER1 – 奏效了吗?可能也会有人建议使用LMHOSTS文件来代替。
重新安装客户端或者检查端口设置。注意确保不妨碍其它的服务。
问题:有方法可以使用 ISA 服务器和一个 Novell 服务器相连结,以实现接入到Internet吗?
如果有IP地址,那么你可以使用Secure NAT 来接入Internet。
问题:使用防火墙客户端程序而不使用SecureNAT 的好处是什么?
使用Secure Nat,你仅仅可以通过使用 IP (特定于使用IE的机器)来进行管理。比如,ISA 服务器不能区分用户是否已登录到系统。使用防火墙客户端程序,通过使用他们的用户登录名称和他们归属的组名,你就可以控制用户了。这样把IP转换成用户登录名称和他们归属的组名就可以实现更好的控制了,而不管用户是从哪台PC登录的。
问题:使用 SNAT 时,我总是收到“登录失败”的信息。为什么是这样,而我又如何解决这个问题呢?
定义一个新的协议:
TCPIP Outgoing Port 7175
Secondary Connections:
51200-51201 UDP Incoming
51200-51201 UDP Outgoing
51210 TCP Incoming
51210 TCP Outgoing
问题:无论我怎么做,使用通过Outlook Express 的NNTP 就是不工作!我确信在安装ISA的时候已经定义了协议,但为什么它就是不工作?
卸载FW 客户端,然后再重新安装FW客户端。
如果邮件也提示你相同的问题,然后重新安装FW客户端就应该可以了。
问题:是否可以配置防火墙的服务功能,以实现允许所有的内部地址可以进行任意连接?( 比如说,没有限制)现在看起来我只能是允许对在协议定义容器中被定义的记录执行存取操作。
只有Secure NAT 客户端才有这种限制。防火墙客户端程序可以访问任何信息。如果你没有实现本功能,你需要重新安装FW客户端。
问题:我在Win2K的客户机上安装防火墙以试用一下。我并未决定我现在就使用它,但在我卸载、重新启动了之后,ISA服务器仍然拒绝我的访问。我尝试再一次安装、卸载,但它仍然是没有任何的起色。有人知道该如何解决吗?
你需要到你的浏览器设置中找出有关ISA 服务器的参数。参考:局域网设置->代理服务器。或者,更好的情况下,恢复安装防火墙客户端程序之前浏览器的配置。
问题:我怎样配置MSN Instant Messenger以可以在ISA 服务器后端工作?
最简单的办法就是使用防火墙客户端程序动态的允许访问正在使用的任何一个端口。 如果使用S-NAT,你需要新定义一个端口信息..,(55xx? )协议。如果你打算使用Netmeeting,你可能需要配置ISA gatekeeper部分,也需要使用gatekeeper配置Netmeeting。通常情况下在Netmeeting使用gatekeeper的时候,远程NM 客户端需要设置他们的NM使用网关,不论他们是在getekeeper后端以及他们的gatekeeper 是否已恰当的配置了到你的GK的路由请求。
问题,CuteFTP不能连接到FTP 站点。它运行登录程序,并确定它已成功连接,但运行PWD指令总是超时。如何解决这个问题?
生成一个新的协议以定义允许TCP 外接端口 21和TCP 外接端口 20进行第二次连接。
问题,Quicken 2000已经安装到了客户端(在LAT内部)。我正在尝试连接到英特网以获取银行记录。我的问题是它提示检测不到已存在的网络。如何解决这个问题?
完成Quicken中在EDIT 菜单下的Internet连接安装向导。确保你的默认浏览器设置了使用ISA 服务器作为其代理,Quicken将使用这些设置。
问题:我怎样才能在ISA服务器后端执行对SETI@home的访问?
在代理服务器设置中禁止使用HTTP代理并使用SOCKS代理,然后只需在SOCKS Host一栏键入你的ISA 服务器的名称。 你不需要在SOCKS用户名和密码一栏键入任何信息。端口默认是1080。
问题:ISA服务器在本地运行的时候,我如何才能连接到一个远程SQL服务器?我不能连接到SQL 企业版,而且我也不能产生对远程SQL 服务器的DSN。这个问题如何解决?
打开端口 1433
问题:我现在正在使用RRAS NAT以使我的 Linux 和Windows用户漫游英特网。当我安装了 ISA 而且禁止使用RRAS NAT的时候,如何做才能实现和上面一样的功能?
以sNAT(ISA 服务器的一部分)的方式。在这种情况下,系统将自动提供策略。
问题:每个人都知道该如何使用Yahoo Messenger Voice Chat。我已经直接连接了Yahoo,但是Voice Chat不能连接到他们的服务器。如何解决这个问题?
如果基于Java,可能是因为端口8000或者端口8500 和TCP端口。为此你将需要定义一个清晰的协议和规则。检查并确定一下正在使用什么端口?你可能需要运行NetMon来跟踪一下。
问题:除非我允许所有的IP都可以进行数据的传输,否则我无法进行Real Player Clients的在线浏览。有人曾经成功的让Real Player运行吗?
你并不需要开放任何特殊的端口。有一个协议和规则是针对Real Player 的,而且要运行Real Player,这个协议和规则是必须的。
问题:我正在尝试发布我的运行在ISA服务器后端的内部FTP服务器。我为端口21和端口 20 配置了一个自定义的协议,但它仍然不工作,问题可能是什么?
你需要打开内部的动态外接端口1025-5000到任何有过滤功能的端口。
问题:我如何配置ISA 才能允许内部用户使用AOL Instant Messenger?
有一个为AOL Instant Messenger预先定义的访问协议。支持这个访问协议,重新启动你的防火墙服务,就应该可以了。
问题:我如何安装ISA 服务器以允许远程客户端接受DNS服务? 比如说,应当允许什么协议或者过滤哪些端口?
如果你想要Internet客户端使用你的DNS服务器,那么打开内接端口53/udp。如果你想要Internet服务器从你的DNS服务器传送区域信息,同样需要打开内接端口53/tcp。确保你的DNS 服务器允许通过外部IP地址连接。
问题:有否容易的方法只运行ISA就可以完成所有网络数据的传输?
禁止使用包过滤,支持有关外部IP的netbios。在协议规则中允许全部的数据传输。
问题:我如何安装QuickTime以使之运行在ISA 服务器后端?
安装防火墙客户端程序。开始安装后,安装Quicktime,在安装窗口中,当询问有关代理服务器信息时,保持空白。
问题:我如何设置才能允许内部的客户端通过我的ISA服务器进行对外部的PPTP 操作?
支持路由和PF
选中“PPTP通过防火墙”复选框为PPTP Call新建一个PF
问题:每次我改变协议规则之后,就必须重新启动防火墙服务功能,而规则的改变将影响网络数据的传输。我确实需要重新启动防火墙服务吗?
你并不需要重新启动防火墙服务,但在策略生效之前,可能需要一段时间。我认为这是ISA读注册表或者AD的方式引起的问题。
问题:我安装了控制网络访问的策略,也配置了浏览器。Navigator 4.75 要求验证 (用户姓名/密码),然后就锁住了,或者报告是内存错误。我如何解决这个问题?
其原因是使用了ISA的集成验证。在ISA MMC中,找到ISA 计算机名称并右击鼠标。选择“属性”并点击“出站Web请求”选项卡。然后选中“集成的安全性”复选框。
1) 你可以不选中这个复选框,因而就没有验证。但这之后你就不会知道有谁正在使用哪些服务,因为在日志文件中用户都是匿名的,结果就是不能通过使用他们的用户名控制用户的访问。
2) 你可以不选中综合安全这个复选框,但可以选中“基本验证”的复选框。这可以使你控制和访问全部其它浏览器。注意只有IE3.x和其以上版本才支持集成 NTCR验证。
问题:有人有建议可以使我的内部的客户端通过 ISA访问 Symantec Live Update吗?
首先的,也是最重要的,确保你用的是LiveUpdate最新版本。我原来用的是1.5,但当我升级到1.6时,就正常了。
我进行了如下的操作:
1,允许用户通过代理服务器使用HTTP 和 FTP 访问。
2,用代理服务器名称配置LiveUpdate并要求用户输入账号和密码以验证身份。直到我让它使用Internet Explorer的配置,LiveUpdate才正常执行程序。(这些都可以通过在控制面板中的LiveUpdate applet 进行配置)。
问题:我正在试图发布SSH (端口 22)服务器,其基于在我的ISA防火墙后端运行的UNIX 服务器。但SSH不在发布规则协议列表之中。有否其他途径解决这个问题?
只需创建一个新的定义协议并制定了足够的发布规则。
问题:使用新的ISA服务器,你能通过使用用户账号来限制他们访问Internet吗?
是的。如果你安装了的防火墙客户端程序,你可以通过用户/组成员控制访问。然而,如果你没有安装防火墙客户端应用程序,那么你必须要么使用网络代理服务器,要么使用安全的NAT。你可以控制到正在使用网络代理服务器的网络协议(HTTP,FTP,HTTPS 和 Gopher) 的访问,但如果你使用的是面向其它协议的安全NAT,你将无法控制基于用户/组的访问。
问题:我的很多用户下载了像HTTP PORT那样的程序,程序和详细资料可以在Http://www.technetva.com/httport/index.htm找到,另一个例子是Socks2HTTP,可以在http://www.totalrc.com/找到。他们把SOCKS v.5 请求转换成HTTP 请求,并通过 HTTP 代理建立传输通道,从而虚拟地开放了几乎所有tcp端口。我曾经试图通过使用应用内容规则加以限制,但没有任何效果。我如何解决这个问题?
HTTP端口和Socks2HTTP程序就像是简单的建立一个连接到代理服务器并发送以下字符串到代理服务器:
CONNECT URL:PORT HTTP/1.1
User-Agent,Mozilla/4.0 (compatible; MSIE 5.0; Windows NT)
URL:PORT就是未授权的用户想要连接的服务器。
ISA服务器是支持这种连接方法的,但通过使用默认设置仅仅允许这方法到目的 端口443和563,因此内部用户不能滥用ISA-服务器代理,所以你的用户很可能是连接到了你网络外部的代理服务器。你要做的是屏蔽到允许你的用户建立他们连接的代理服务器的ip地址的访问。你也要考虑屏蔽到默认代理服务器端口,8080,3128和socks 1080访问的连接。 另一种解决方案就是仅允许连接到预先定义的目的端口。其它应该屏蔽的就是你到www.http-tunnel.com 和类似服务的连接。 你也应该注意内部的客户端也有可能在他们的家用pc上安装了软件并且从那里建立连接。
问题:我刚刚在一台Win 2K 服务器上安装了ISA,通过使用一个线缆调制解调器连到网上。我想知道对于S/Nat 客户端,是否可以使用FTP?如果可能,如何才能找到相关的信息?
SNAT 客户端访问 FTP是没有问题的。但你必须确保存在允许你的SNAT 客户端访问FTP的Site/Content(站点/内容) 规则和协议规则。
问题:我正在尝试通过端口 3000并使用SSL连接某网站(https://www...:3000)。当允许包过滤的时候,我不能与网站连接。但当禁止包过滤的时候,我却可以访问。我如何才能在允许包过滤的情况下与网站建立连接?
ISA 服务器仅仅允许到端口 443和563 (Secure-news)的隧道连接。如果某个客户端试图连接到一个安全的运行在某个端口上的站点,而端口不是443 或者 563,连接将会失败。
问题:我怎样安装ISA服务器才能拒绝或允许基于IP地址的用户的访问?
在“站点和内容规则”、“协议规则”中,你需要选择并指定访问是通过使用正在使用的用户名还是通过ip地址的。某些情况下,两者结合使用可能更有效。我们采取如下的步骤解决了问题。 在“站点和内容规则”中,我们指定访问是通过使用IP地址的,在“协议规则”中,我们指定访问要通过使用用户账号。
我们是这样解决问题的:允许任何人通过我们内部网在任何时间访问Internet,但在工作时间,只允许拨号访问Internet。
问题:如果我想要允许对所有的IP都可以传输数据,我可以制定并设置一个针对端口0-60000的称为“允许全部”的规则,但有没有更容易的方法呢?
你只要在向导中的“协议”属性页选择“全部的IP 数据传输”就可以了。这样就可以开放全部的外接协议。
问题:缓存如何保证带宽需求和信息的可用性?
缓存通过移动比较接近使用者的网页内容从而减少带宽需求。通过缓存满足了频繁的请求响应,带宽使用量就可能被减少40%。缓存也能提供内容给使用者,即使这些内容的来源处于离线或不可用状态。
问题:什么是反向缓存,以及ISA Server支持它吗?
反向缓存是另外一个术语,指在Web服务器或电子商务应用程序之前放置一个缓存。被称为“反向”是因为它是由Web服务器的管理员执行的,而不是客户执行的,是内容从服务器被分发传送到缓存的过程或卸下的过程。ISA Server 支持反向缓存,并允许Web服务器的管理员管理缓存并分发其内容,因此缩短了客户的响应时间。
问题:ISA Server 2000对缓存的要求(推荐)是多大?(公司和ISP安装)
更多的规则和限制将会增加处理器的负载。因而如果你计划让它畅通无阻,则需要更多的内存。你可能想要通过运行决定瓶颈的位置。如果负载较小,250MB将是刚好的。但如果负载较大,则需要1GB。你也可以使用Proxy 2算法,100MB +每客户5 MB。
问题:我已经制定了一组预定内容下载任务,有没有办法查看这些被缓存的页面以验证预定下载是否在正确的运行。
在ISA Server内部,访问Web缓存的唯一方法是通过缓存API (包含在ISA SDK中)。
一个改变你一生命运教育
E时代北大燕工教育之道
本资料的最终解释权归北大燕工教育集团所有
E时代北大燕工教育之道
ISA SERVER2000
一:Microsoft Internet Security and Acceleration Server 2000 介绍
ISA包括两个版本:标准版和企业版。包括三种模式:防火墙模式,CACHE模式和集成模式,可以与WIN2K集成,根据计算机,用户,组来定义策略,它通过MMC界面进行管理,可以在本地和远程管理ISA。
ISA的防火墙分为三个层次,最底层为IP packet filters,这是静态的,对于指定的端口,不是允许就是阻止通过,然后为POLICY RULES,这可以理解为动态的包过滤,允许在二次连接的时候,动态打开相应的端口(即只有在使用的时候,才会打开这一端口,而不像IP packet filters是一直开放的),最后为应用层的过滤,可以对诸如电子邮件的内容进行过滤。
ISA的CACHE功能十分强大,可以定义为自动下载定义计划,可以根据访问频率的高低自动下载,可以在多台ISA上分布CACHE.
当使用ISA企业版的阵列方式时,为企业的管理提供更大的灵活性,你可以统一定义企业策略,也可以对每个阵列分别定义策略
二:安装Microsoft Internet Security and Acceleration Server 2000
在安装前,必须首先考虑ISA的安装模式(防火墙模式,CACHE模式和集成模式),同时对客户端也要有所考虑,因为客户端可以分为防火墙客户端,WEB客户端和SNAT客户端。对于一个小公司来说,典型的安装是一台ISA安装两块网卡,隔断企业内部局域网和INTERNET,对于一个大型公司,则可能需要多台ISA组成阵列。同时对于防火墙后面的WEB,MAIL服务器的发布也要有所考虑,你是将它们直接安装在ISA上,混合域(perimeter network.),还是在企业的内部。
如果要安装ISA企业版,必须首先安装Enterprise Initialization utility,在AD中加入SCHEMA,如果是安装ISA标准版,它的信息是保存在SERVER本身的注册表中的。
如果企业以前使用Proxy Server 2.0,可以考虑直接升级到ISA
三:设定INTERNET访问
ISA的客户端分为防火墙客户端,WEB客户端和SNAT客户端,它们的使用场合是不同的,主要的区别有以下几点:
SNAT用户的访问只能通过IP地址来进行控制,它是匿名访问,无法使用基于USER的规则控制,而防火墙用户和WEB用户可以(在缺省情况下,ISA允许WEB匿名访问,但是你可以通过设置,在访问前要求用户认证)
防火墙用户只能在WINX的机器上安装(需要客户端安装程序),而SNAT客户和WEB客户可以跨越操作系统平台,WEB只有浏览器要求如何内部有WEB/FTP/MAIL之类的服务器提供对外服务,则它们必须作为SNAT用户
SNAT用户不支持需要二次连接的网络运用,除非在IP FILTER中指定
SNAT用户需要解决DNS解析问题,这就意味着你的INTRANET要有DNS服务器或者在IP FILTER中允许DNS Query operation。
SNAT用户和防火墙用户同时也可以是WEB用户,不过WEB用户只支持HTTP/HTTPS/FTP服务。
对于SNAT用户来说,即使Protocol Rule allows "Any IP traffic.",它也只是开放了ISA预先定义的那些Protocol,至于如QQ之类还要你自己定义。注意如果这一应用只使用了单一端口,那只要直接定义即可,如果使用了多个端口,则须在IP FILTER中加以定义。
如果你的网络对外连接是通过拨号方式,则只有Web Proxy and firewall clients可以使用按需拨号,对于NAT用户,必须首先建立连接。WEB用户和防火墙用户还可以配置使用自动发现ISA。你需要在DHCP(a special Web Proxy Autodiscovery Protocol entry)和DNS(both a host (A) record of the ISA Server computer and an alias (CNAME) record named WPAD pointing to the ISA Server computer.)中进行相应设置
四:设置Access Policies
对于用户访问是否允许,ISA通过PROTOCOL->SITE AND CONTENT->IP FILTER->ROUTING RULE的次序进行考察,首先考察是否有PROTOCOL RULES拒绝访问,如果没有,再考察是否有明确的允许,如果有,则通过,其他情况则拒绝。SITE AND CONTENT/IP FILTER也是这样判断。ROUTING RULE主要用来判断是将访问要求转交给上一级ISA还是直接发到INTERNET上。特别的:
对于一个指定的PROTOCOL,如果以一个SNAT访问,如果没有明确的拒绝(这里的拒绝指得是IP地址的拒绝),则ISA会查找是否有明确的许可,如果许可都是针对用户的,则SNAT客户会被拒绝(因为SNAT是匿名的)。如果许可是针对IP的,如果客户端在这一IP地址范围内,则PROTOCOL这一层过滤通过。
对以WEB PROXY CLIENT用户(在浏览器中填写ISA作为代理服务器),缺省情况下它是允许匿名的,他允许跑的协议为HTTP/HTTPS/FTP。对于这种情况,我们可以在ISA的设置中要求出站WEB需要认证,或者在PROTOCOL中加一条允许协议,因为WEB允许匿名,所以一条DENY并不能阻止他的访问,加上允许,ISA就会对他进行匹配,他就会因为不匹配而遭到拒绝。
对于FIREWALL/WEB CLIENT均是通过用户来进行管理的,只有NAT是通过IP来进行管理,在ISA上观察,FIREWALL/ SNAT CLIENT均属于FIRWALL SESSION,但是FIRWALL CLIENT有用户名和机器名,SNAT这两项为空,他只有客户端的IP地址。
一般来说,你如果想访问外部网站,必须要有两个条件,一个是PROTOCOL RULE许可,另外一个是SITE AND CONTENT许可,在缺省条件下,ISA会自动建立一个SITE AND CONTENT许可供你使用,在PROTOCOL RULE集中,没有先后次序的概念,但是DENY比PERMIT的权力要高
在ISA的控制元素中包括:计划schedules,带宽优先级bandwidth priorities,目标集destination sets,客户集client address sets,协议定义protocol definitions,内容组content groups,and 拨号dial-up entries。你可以将它们组合各种规则(access policy rules,routing rules,publishing rules,和bandwidth rules)
对于包含路径的目标地址,ISA不同的客户端有不同的处理
如果想在ISA服务器本身上发布服务器,必须使用IP FILTER,它本身还可以用来阻止外界的某些IP攻击
五:设置ISA Server Cache
CACHE可以加快用户的INTERNET访问速度,你可以使用routing rules来指定何者需要CACHE,何者从INTERNET上直接访问,何者则把请求发给上一级ISA。对ISA本身的CACHE,你可以控制它的大小(必须安装在NTFS上);是否CACHE动态内容;是否CACHE HTTP和FTP内容;自动更新的频率以及定义计划来自动下载频繁访问的INTERNET内容。 如果ISA本身的内存比较小,还可以调整分配给CACHE的内存大小以提高性能。
六:发布内部SERVER
如果想发布内部的SERVER,则使用PUBISHING RULES(这实际上也就是PROTOCOL RULES,只有在需要的时候才会开放),如果SERVER就在ISA上,则应使用IP PACKET FILTERS。在SERVER的发布上,最重要的是WEB SERVER和MAIL SERVER
七:ISA的安全性控制ISA,你必须有相应权限(Enterprise Admins),如果为了提高性能,在企业中有多台ISA SERVER,则对于防火墙用户,你只要简单的设置DNS,使用round robin distribution即可,对于SNAT客户,则需要设置Network Load Balancing (这需要高级服务器版和数据中心版)。对于企业设置和阵列设置,你可以将设置备份到一个文件,并可以在任何时刻通过它们进行恢复。
利用ISA你可以在公司两地搭建VPN,并可以让移动用户通过VPN访问公司的信息,这实际上是利用了WIN2K的Routing and Remote Access服务(ISA只不过在IP PACKET FILTER中针对PPTP和L2TP增加了几条包过滤),你可以在相应服务上进行进一步设置,例如增加DHCP中续代理使远端用户得到正确的局域网DNS/WINS配置,远端用户实际上并没有真正登录到公司的域中,对VPN的接入安全性必须加强设置。如果觉得有问题,可以删除由WIZARD建立的4条IP FILTERS,然后DISABLE Routing and Remote Access,最后由WIZARD重新建立。
八:使用H.323 Gatekeeper
不懂,请高人指点。
九:监视和优化ISA
ISA有45种报警,当报警触发时,写入WIN2K的事件记录器,并可选择E-MAIL传递和停止启动ISA服务。ISA的LOG分为IP FILTERS,防火墙,WEB代理三个文件,每天产生(当然你可以限制其总数量),缺省条件下放在ISA的LOG目录下。对于ISA的运行效率观察,最简单的办法是审查ISA的运行报告(事先你要设定ISA如何产生报告),对于ISA的带宽分配,你也可以加以定义,ISA是一种所谓的动态分配,优先满足优先权高的访问,在这基础上再满足优先权低的访问,而不是直接分配固定带宽给用户。
十:排错基本的,你可以使用ISA Server Reports(性能) /Event Viewer (警告出错信息)/Performance Monitor (性能)/Netstat (网络状态)/Telnet (服务状态)/Network Monitor(网络状况) /The Routing Table (路由信息)来排除错误。
对于复杂的错误,可以先将ISA设置到最简单的模式,观察是否能连通内外网络,然后再一步步添加设置,找出问题的根源。最简单的形式如下:
激活packet filtering enabled,设定一个最简单的filter,允许双向的IP包建立一条protocol rule,允许所有的IP traffic,
建立一条SITE AND CONTENT,允许访问所有的网站和内容将application filters 和routing rules 恢复成缺省设置检查LAT表包含了所有的客户端在IP Packet Filters中激活IP Routing,保证有二次连接的协议被顺利路由检查ISA的外部网卡,确保正确的网关,而内部网卡应该不设置网关客户端作为SNAT连接ISA,确定其网关地址为ISA的内网卡地址
附录:常见问题解答(资料来自www.isaserver.org)
问:什么是Microsoft ISA Server?
这是一种具备全面功能特性的企业级安全,加速和多层次陈列管理服务器。ISA Server提供了安全、快速、可管理的Internet连接性。ISA Server包括一个可扩展的、多层的企业防火墙,该防火墙能够进行动态的数据包过滤、透明的、SecureNAT、“智能的”数据感知的应用程序过滤器、系统硬化以及内置的入侵检测。它的高性能缓存加速了Web访问速度,而同时节约了带宽,并且可以进行按比例放大以获得有效的、动态的负荷平衡。统一,灵活的管理工具为用户、应用程序、目的地、计划和内容类型提供了多层策略。同时与Windows 200的虚拟专用网(VPN,virtual private networking)和带宽控制进行了集成。ISA Server是一个进行扩展和自定义的丰富的平台,它包括一个广泛的软件开发工具包(SDK)和多个用于进行管理、应用程序过滤器、Web过滤器和缓存控制的应用程序设计接口(API)。
问:Microsoft Internet Security and Acceleration Server 2000是否属于防火墙或缓存服务器?
ISA Server既可被配置为集成化防火墙与缓存解决方案,又可被部署成专用防火墙或专用缓存。正在寻求强大防火墙解决方案的组织机构完全可以借助由该产品所提供的动态数据包筛选、入侵检测、系统加固和“智能”应用程序筛选器等特性为其网络系统提供安全保障。而急需专用缓存解决方案的组织机构则可通过使用ISA Server所具备的高级缓存特性对网络实施改进增强。
问:拥有与缓存解决方案相结合的防火墙会带来哪些优势?
即使在组织机构选择分别实施防火墙与缓存功能的情况下,ISA Server仍可同时面向出站与入站通信量提供具备一致性的单点访问策略及管理功能。在此基础上,组织机构便可适当缩短系统和网络管理员的培训周期,并相应降低产品管理与维护工作负荷。
问:实施缓存功能是否需要以牺牲ISA Server作为防火墙的安全性为代价?
绝对不会。缓存基本上属于一种智能存储引擎,可帮助管理人员通过对频繁接受检索的对象加以存储的方式提高网络访问性能。Web缓存是基于Web代理引擎实施构建的,而Web代理引擎则可实现HTTP连接特性、筛选功能以及像内容屏幕显示和URL阻断这样与安全性相关的任务。
问:ISA Server是否需要由Active Directory(活动目录)提供支持?
Active Directory并非实现ISA Server安全与加速优势的必要条件。然而,谋求以分层方式在企业范围内创建并部署访问策略或针对负载平衡与故障容错生成相关阵列的客户则需要对Active Directory加以运用。
客户完全可以借助Active Directory实现阵列化部署,并同现有域建立起信任关系,以期将变化影响程度限制在最低水平。而在这种情况下,则需要面向Active Directory实施全面迁移。
问:是否可从Microsoft Proxy Server 2.0迁移至ISA Server?
可以,这里的确存在着一条可供运行Proxy Server 2.0版的客户实施升级的有效途径。ISA Server所具备的强大防火墙与缓存特性将可面向针对Proxy Server 2.0加以应用的具体情境提供相关支持。当然,ISA Server毕竟是一项基于Microsoft Windows 2000操作系统安全与可靠特性的新产品,并具备针对企业安全与缓存需求而专门设计的新型体系结构。
问:目前存在哪些针对ISA Server的第三方支持?
不同组织机构间的安全与性能需求往往大相径庭。为面向客户提供最为广泛的选择余地,Microsoft已经同那些在网络安全与管理领域处于领先地位的厂商展开了密切合作。第三方厂商将可提供包括站点分类、病毒检测、监控与远程管理及内容分析等解决方案在内的兼容型、互补式软件产品。
问:ISA Server是否可面向VPN(虚拟专用网络)提供支持?
可以。ISA Server可帮助您创建虚拟专用网络(VPN),并在此基础上为其提供安全保障。在使用有关向导程序的情况下,ISA Server将可针对Windows 2000 Server所具备的内建式虚拟专用网络服务进行配置,以便帮助组织机构面向远程站点和移动用户提供符合成本效益原则的链接。
问:ISA Server Enterprise Initialization Tool(ISA Server企业初始化工具)可对Active Directory架构进行修改,请问:截至目前,是否发布过有关上述修改的完整列表?
请查阅位于cdroot\isa目录下的scheme.ldif文件……该文件是针对架构更新而生成的导入文件……
问:单一日志容量是否可超过4 GB?
非NTFS卷中的文件容量主要受制于相关磁盘卷所容许的最大文件容量。适用于Fat16卷的最大文件容量约为2 GB。
问:如何对已安装的ISA执行全面删除操作?
请在\I386目录下运行可执行文件RMISA.EXE。
问:如何在ISA中备份Destination(目标)集合?
请在ISA MMC中右键单击您的服务器名称,然后点击备份。
问:ISA Server是否可像MSProxy 2.0那样面向AutoDial提供支持?
ISA 2000具备这种特性。在该产品的beta 3版中,上述特性将得到自动应用。如果您需要使用AutoDial,则应首先在ISA CD上运行一个位于\sdk\samples\admin\scripts文件夹、文件名为Add_DOD.vbs的VBS脚本。当然,您还必须事先根据自身需求对该脚本进行相关编辑。
问:通过使用ISA Server,将能为您带来哪些重大改进?
全面集成SOCKS v.4.3a筛选程序
得到改进的邮件服务器向导程序
新型虚拟专用网络向导程序
PPTP支持特性
性能调节
适用于SMTP筛选程序的新型用户界面(UI)
得到更新的COM和应用程序筛选器界面
附加预定制协议
包括全面文档化事件消息和性能计数器在内的改进型文档功能
问:从何时起可下载ISA Server,该软件存在哪些限定性条件?
请从http://www.microsoft.com/isaserver/下载ISA Server拷贝。 ISA Server的测试版有效期限为安装后的120天。
问:ISA Server需要占用多少RAM容量,如何对该容量值进行修改?
在缺省状态下,ISA Server RC1将针对RAM代理缓存占用50%的可用内存空间。如需对上述内存占用量加以修改,请打开Cache Configuration(缓存配置)属性,并在Advanced(高级)选项卡上点击鼠标,接着,在“可供用于缓存特性的内存容量百分比”提示后,将百分比数值从50%(缺省值)相应降至5%左右。在上述修改操作完成后,重新启动Microsoft Web Proxy服务,您将会看到,内存占用量已得到了显著降低。
问:如何针对每个用户分别指派Bandwidth Quota(带宽配额)?举例来说,是否可将用户“John”的信息下载容量限定为每月500 Meg,而在此基础上,该用户的Internet访问请求将被予以拒绝?
ISA Server目前尚无法针对此等特性提供相关支持,但您却可以将具备相关功能的第三方附件程序安装至ISA Server。如需查阅有关第三方产品列表,请访问以下Web站点:http://www.isaserver.org/。
问:能否实现针对ISA服务器的远程管理(从具备管理员角色的PC运行ISA管理控制台)?
可以实现,但必须确保相关PC运行Win2000操作系统。
问:ISA是否可为“内容引导协议”(CVP)提供相关支持?
ISA无法提供上述支持。在使用ISA的情况下,您必须具备独立的电子邮件病毒保护功能。虽然市场上存在可供使用的第三方产品,但仍请就所需支持特性参阅http://www.isaserver.org/站点。
问:请提供有关wpad.dat的确切解释。
wpad.dat文件主要供Internet Explorer用来获取所需信息,以便允许客户端浏览器通过使用ISA Server代理服务实现Internet访问功能。为实现Internet访问而运行Internet Explorer的客户端可通过使用DNS或DHCP的方式进行配置,但就ISA Server部署而言,团队成员则必须使用DHCP来面向客户端提供wpad.dat配置。
问:能否借助ISA Server标准版创建阵列?
标准版无法面向阵列提供相关支持。
问:我一共拥有四个站点(其中,包括一个总部站点和三个分支机构站点),而它们中的每一个都仅配备一颗CPU,并在各自位置运行着Proxy Server 2。这些站点分别具备独立的Internet访问功能,但又通过Frame Relay(帧中继)实现了彼此间的网络互联。如果我希望从总部位置对上述四个站点实施统一管理,并建立起相应的企业策略,那么,还需要为这些站点购置哪些软件产品?究竟是仅购买一份企业版即可满足需求,还是必须同时购买一份企业版和三份标准版?
您需要为此购买四份企业版许可证。
问:如何查看自己正在使用的ISA Server版本?
在Computer(s)节点上点击鼠标,您将在右侧窗格内查看到有关版本和产品ID的卷标。
问:ISA Server标准版是否与NT 4.0相集成,如何按用户或组对出站访问进行设定?
您无法在基于Windows NT操作系统的计算机上安装ISA Server。该产品必须安装于以Win2k为操作系统的计算机。标准版可基于Win2k Server产品家族进行安装,而企业版则需要由Advanced Server或Datacenter Server提供相关支持。
ISA Server的所有版本均可被安装于具备Windows NT 4.0域成员资格的计算机,同时,ISA Server还可对基于安全策略的SAM数据库加以应用。由于ISA Server需要使用AD为自身创建阵列,因此,如果您所安装的是ISA Server企业版,则无法创建阵列。
问:防火墙客户端是否属于ISA软件包的组成部分?
完全正确。防火墙客户端同Winsock Proxy客户端一样,均属于Proxy Server 2.0的组成部分。
问:贵公司针对该服务器产品所推荐的RAM和硬盘容量分别是多少?512MB的RAM容量是否足够,亦或仍需购置更多的RAM内存?
512 MB的RAM容量针对软件安装来说,无疑是绰绰有余的。请务必运行System Monitor(系统监视程序),并针对缓存性能及其它内建ISA计数参数生成日志记录,以便就相关配置下的性能表现加以掌握。
问:在将ISA安装于RRAS机盒的情况下,该产品将以何种方成对RRAS加以应用?尽管ISA取代了RRAS数据包筛选功能,然而,该产品将如何就路由操作、虚拟专用网络(VPN)和请求拨号特性对RRAS加以充分利用?特别是在已完成ISA安装操作的前提下,应如何确保RRAS远程访问策略及相关配置同VPN或拨号连接之间的协作关系?
ISA与RRAS之间具有十分密切的协作关系。事实上,在试用VPN向导程序后,您便会觉察到在RRAS服务器上所发生的变化。RRAS与ISA主要以并列方式运转,如果两者之间偶尔发生冲突,那么,其结果也必然是ISA获得优先权。
问:据说在ISA Server上,SecureNAT和防火墙客户端之间存在着“鱼与熊掌不可兼得”的关系。贵公司所提供的白皮书及其它相关文档使我得以令众多客户端将ISA Server与防火墙客户端配合使用。与此同时,我还允许客户端在无需安装专用防火墙软件的前提下,将ISA作为代理服务器加以应用。但是,代理功能仅适用于http及其它Internet Explorer参数。而我对ISA Server的理解则是,不使用防火墙客户端软件的客户端必然是SecureNAT客户端,所有请求均应在IP配置网关参数正确输入的情况下获得解译。请问:是否有人能告诉我对这种功能加以应用的具体方式?
您的客户端IP地址将由类似于192.168.0.1-255的专用地址构成。这些地址中的某一个有可能被用作ISA的内部网卡地址,比如,192.168.0.1;而外部网卡地址则可能是由ISP为您专门指定的,比如,207.69.188.185。在内部客户端试图对主机实施访问的情况下,其所配备的网关地址便有可能针对某一Web页面而被设定为192.168.0.1。这表明,主机并非位于本地子网,并且必须通过ISA实现访问调用。开放式端口通信只能在ISA和Internet两者间进行,并将通过8080端口将符合要求的信息反馈至相关客户端或您所指定的任何位置。这基本上属于NAT的模式。在客户端和Internet远程主机之间,并不存在任何面向端口通信而开放的端口。
防火墙客户端的使用情况极可能具备完全相同的配置,但却允许在客户端与Internet之间执行端口通信。假设您主要借助Publishing Wizard(发布向导程序)来实现邮件服务器的发布。在此基础上,您将会发现该服务器在会话期间所显现的内部地址同Winsock会话期别无二致。鉴于邮件服务器将在执行接发操作时对其它端口加以利用,因此,上述情况是完全必要的。由此看来,通过将邮件服务器设置为防火墙的方式对其进行“发布”,势必有助于在专用端口上实现信息收发功能。
问:我似乎无法编制当天的报告。ISA生成了这些报告,而我却难以对其执行打开和浏览操作。奇怪的是,所有先前生成的报告(当天之前的)均可被打开和浏览。
ISA Server基本依据日志摘要生成报告。具体方式为,每天12:30AM生成日志摘要,然后,在此基础上生成相关报告。因此,即使您将程序设定为生成“当前”报告,系统也无法在次日12:30AM之前为您提供当天数据。
问:我所注意到的一个情况是,目前仍无法从具备专用IP地址、并已启用NAT的客户端上对Internet地址执行ping操作。难道是我忽略了什么问题吗?
您需要在IP数据包筛选程序属性中激活IP路由功能。上述操作还可同时为ICMP将NAT激活。
问:报告功能无法正常发挥作用。难道是我做错了什么吗?
请务必确定,您正在实际执行报告生成操作,而非仅仅在“Monitoring/Reports”(监控/报告)部分中进行浏览。
如需生成相关报告,请依次执行下列操作:
将鼠标依次指向“Monitoring Configuration”(监控配置)>“Report Jobs”(报告工作)
右键单击鼠标并选择“New”(新建)>“Report Job”(报告工作)
按向导程序提示填写配置需求(开始生成报告:立即启动)
稍候数秒后即可获得所需报告
现在,返回“Monitoring/Reports”(监控/报告)部分>“Reports”(报告)部分,即可看到新近生成的报告。每项内容(摘要和Web使用情况等)下方均有一份相关报告。
问:当我在缓存模式下安装ISA RC1时,却无法对自己的Web页面执行访问;而当我在集成模式下安装该产品时,一切功能虽处于正常状态,但又不能对相关配置进行调用。这究竟是怎么回事?
这大概是因为,如果您仅仅在缓存模式下安装ISA,那么,该产品将无法执行透明代理操作,而这恰恰是您在客户端上以手工方式安装代理功能时所必需的。当然,在集成化模式下,具备安全保障的NAT将可在无需针对某一客户端进行配置的前提下,自动代理全部访问调用请求。
问:我希望借助于MMC同ISA服务器实现连网,这主要是因为该产品在其所安装的服务器上运行良好,而我却需要从自己运行Windows 2000 Professional操作系统的PC机上对其实施控制。请问:上述设想是否可行?
您需要在以Win2k Prof为操作系统的PC机上运行ISA安装程序,并选择仅就该产品的管理功能部分进行安装。与此同时,有权执行登录操作的用户也必须是具备较高优先级的帐号,其中包括Enterprise Admin(企业管理员)和架构(Schema)管理员。
问:在已将某个T1依次挂接至路由器、已启用ISA防火墙的服务器、交换机和各种服务器及其它PC机的情况下,ISA服务器停机故障(例如,电源插头不慎脱落)将会导致那些问题的发生?位于上述链接关系末端的服务器和PC机能否继续接收到Internet通信量,ISA服务器是否会出于阻止位于其后端的任何设备获取Internet通信量的目的而自动停机?
如果相关配置依次为路由器—>ISA—>交换机—>其它服务器,那么,在ISA计算机出现停机故障的情况下,网卡便会掉电,并由此导致数据包往复路由处理任务出现中断……
问:我已经安装了ISA Server,并且需要花费很长时间方可与该服务器实现连接。在开始调用Web页面之前,所需耗用的时间约为40至45秒。请问,这究竟是何缘故?
如果您正在就防火墙客户端加以应用,那么,该产品的确存在可能导致上述延迟的程序错误;除非用户具备本地管理员资格或属于客户机自身功能用户,否则,上述延迟将难以避免。我们将在RC2发布后针对上述问题加以解决。
问:我的DSL路由器拥有一个静态IP地址,而ISA Server外部接口也拥有一个静态IP地址。ISA Server的外部接口缺省网关正是DSL路由器的IP地址。目前,这两个IP地址均从属于一个拥有16个IP地址的子网。该子网的IP地址中,有两个已分别被DSL路由器和ISA Server外部接口占用,另有两个则被用作网络编号和广播IP地址。DSL路由器和ISA Server外部接口的子网掩码均为255.255.255.240。现在,我需要掌握将剩余IP地址分派给内部网络所属计算机的具体方法。我的内部网络正在使用以255.255.255.0为子网掩码的10.0.0.0网络。而所有计算机均通过一台集线器和一台交换机实现在同一网络中的运行。
虽然您无法在内部网络上针对客户端指派IP地址,但却可以将第三块网卡置入ISA Server,并利用这些地址构建起一个周边网络(DMZ)。由于这些地址无法使用与外部接口完全一致的网络ID,因此,您必须将其全部纳入子网范围。
问:ISA初始化安装并不能允许我通过自己的服务器对ICMP(Internet信报控制协议)进行访问调用。外部和内部网卡均可对ICMP产生响应,但却无法使之通过服务器。我按照由ISAServer.org所提供的操作说明创建了将所有对象打开的规则,这样一来,所有服务(telnet和ftp等)均可正常运转,唯有ICMP除外。
激活IP路由功能。
将相关客户端配置为SecureNAT客户端。
在此基础上,便可通过ISA Server执行ping操作。
问:我在从ISA RC1向ISA Evaluation(120)实施迁移的过程中遇到了技术问题。在将Release Candidate 1(RC1)Upgrade安装完毕后,防火墙和Web代理仍然无法生效。而其它ISA服务功能却可正常运行。上述问题在Event Log(事件日志)中的错误编号为14079。为此,我先运行了rmisa,并在基础上重新执行安装操作(从ISA Server 2000评估版开始),但问题却依然如故。此后,我又代之以先运行rmisa,而后重新执行安装程序(从ISA RC1开始)的做法,于是,所有服务功能便均可正常发挥作用。
每当将现有ISA Server升级为最新版本时,请务必对防火墙客户端进行重新安装,这有助于相关问题的解决。
问:如何为实现远程管理功能而将ISA Server插件安装在非ISA服务器之上?
请尽管运行安装程序,并使用定制安装方式,然后,仅将管理控制台复选框选中即可。所需插件将自动完成安装,并在“程序”文件夹内生成相关快捷方式。
问:我在配备有SP1的W2K AS上安装了Proxy 2.0,并希望将其升级为ISA Server。此外,我还拥有一个运行于Proxy机盒中的VPN(虚拟专用网络),并在Proxy后端安装了Exchange Server(5.5)。根据上述情况,当我执行升级操作时,应就哪些筛选和准许条件加以明确定义?我是否必须对所有配备WSP客户端软件的计算机实施升级?
获得保留和遭到删除的项目主要取决于ISA Server的安装模式和执行ISA Server安装操作的用户所具备的组成员资格。如需获取详细说明材料,请查阅随同ISA Server CD一并提供的产品升级指南。不同的安装模式和组成员资格“的确”会导致功能特性在去留方面出现重大差异,为此,您必须在执行升级操作前就有关操作规范加以掌握。
Winsock Proxy客户端完全能够同ISA Server协调配合。我既没有看到,也不曾听说因使用该产品而导致的任何问题。
由于在被配置为SecureNAT客户端的情况下,Exchange Server完全可以正常发挥作用,因此,您完全没有必要将其设定为Winsock(防火墙)客户端。即使在您已对wspcfg.ini文件执行某些特殊配置修改的情况下,该产品仍可继续担当防火墙客户端。当然,我还是建议您将Winsock Proxy客户端软件从Exchange Server中删除,这种做法可以先将该产品配置为SNAT客户端,并就其能否正常运转进行观察。
问:我需要在自己的网络系统上针对ISA Server进行配置。我总共拥有三台服务器,其中,一台担当防火墙,一台用于Web支持,还有一台存放数据库。有鉴于此,我能否获得有关在上述服务器与ISA服务器间实施网络配置的相关文档?
应分别将ISA Server置于网络系统边缘,将Web服务器放置在位于Internet和内部网络间的DMZ,并将数据库服务器安放在内部网络之上。上述工作完成后,再在位于内部网络和DMZ之间的ISA Server上创建数据包筛选程序,以便对发往内部数据库服务器的通信量加以限制,进而,确保只有Web服务器具备通过下游防火墙执行数据库访问调用的能力。
问:我在事件日志防火墙中收到了以下错误提示“Cannot bind SMTP requests to port 25 because it is already in use by another process”(由于第25号端口已被其它进程占用,故无法将SMTP请求绑定至该端口)。请问,这究竟意味着什么?
这可能是因“简单邮件传输协议,SMTP”随同IIS一并自动安装而导致的错误。请在服务控制面板中就此项服务功能予以禁用。
问:我刚刚安装完RC1,就在事件日志中发现了14120条错误调用(LAT与Windows路由表不匹配),请问,这究竟是何缘故?
只需在ISA控制台上重新生成“Lat table”即可。
问:我有一个关于ISA和Outlook Express 5的技术问题。我无法对自己的hotmail帐号实施访问调用——而我所收到的错误信息则显示为:“Proxy Error (Logon failure,unknown user name or bad password.)”(代理错误[登录失败:未知用户名或口令错误])。我应该如何解决这个问题?
请将Hotmail Web站点添加至特例列表,并使用Winsock客户端(目前为防火墙客户端)对其实施访问调用。这样便可成功解决上述问题(并同时拥有SNAT选项)。
问:在安装操作过程中,我收到了如下错误提示“Cannot start service isacntl”(无法启动isacntl服务)。请问,这句话是什么意思?
这通常意味着,您尚具备足够的内存容量,或者相关架构并未得到全面复制。请从I386目录下运行RMISA,在全面卸载完成后,重新引导系统,并再试一次。
问:我无法继续在ISA RC2上启动Web Proxy Service。相关错误信息显示为:Microsoft Web Proxy Service:Error 2148074254:No credentials are available in the security package(Microsoft Web Proxy Service:错误2148074254:安全包内无可用凭据)。为此,我已将ISA予以卸载,并重新执行了安装操作,但问题依然如故。请问,是否存在有助于解决上述问题的方法?
请在ISA产品CD中查找可执行文件rmisa.exe,并尝试运行该程序。它可将由ISA插入的全部注册表项尽数删除。
问:我在基于Windows 2000的独立服务器上安装了ISA Server标准版。于是,Windows NT域中的防火墙便收到了编号为407的错误信息(不可用)。请问,应如何解决这个问题?
请对Protocol and Site/Content(协议和站点/控制)规则进行配置,并确保以Win2k为操作系统的计算机成为NT域成员。
问:我无法在不具备代理设置的前提下于客户端获得Web连接。请问,我忽略了什么环节?
客户端网关已被设定至ISA Server内置适配器地址。鉴于该网关无法应用代理设置,我便可以断定,相关协议与站点/内容规则能够为访问调用提供支持。如果情况有所不同,那么,该客户端必然是基于Win98的计算机。
面向全体网络客户端打开所有站点(这可能已被您列为缺省站点/内容规则,请在控制台上予以确认),并开放所有协议。
如果您正在使用拨号连接,并具备SNAT客户端,那么,就请记住这条秘诀:在左侧窗格内右键单击路由节点,并将拨号连接选定为防火墙主路由节点。
问:安装程序完成后,Web代理和防火墙服务均无法正常启动,且不支持系统重启。而事件查看器所提供的错误代码则显示为#7031:“The Microsoft Web Proxy Service terminated unexpectedly”(Microsoft Web Proxy Service意外终止)。请问,这究竟是何缘故?
当我遇到这个问题时,曾迫不得已地使用由ISA Server CD提供的rmisa.exe程序将ISA Server删除。在该程序运行完毕后,重新引导系统,并再试一次。
在计算机RAM容量和可用磁盘空间供不应求的情况下,上述问题发生的频率相对较高。另一种有效的解决方法是针对IIS加以禁用,或干脆将其从计算机中删除。
如果上述方法仍无济于事,就请重新安装操作系统和ISA Server。
问:当我在浏览器中就代理功能予以禁用,并对ISA客户端执行安装和配置操作时,将会收到以下错误提示:“The ISA Server denies the specified Uniform Resource Locator (URL),(12202)”(ISA Server拒绝指定的统一资源位址[URL]。[12202])。请问,这究竟是何缘故?
如果您一边“在ISA Server上”使用浏览器,一边试图对Web站点进行访问,那么,就需要创建可将80出站端口面向所有计算机开放的静态数据包筛选程序,亦或使用ISA Server“内部”接口IP地址将浏览器配置为Web Proxy客户端。
问:以下是一条在ISA服务重新启动时出现的错误提示:“The Microsoft Web Proxy failed to log information to file WEBxxxxxxxx.log”(Microsoft Web Proxy无法将日志信息录入WEBxxxxxxxx.log文件)。请问,这究竟是何缘故?
针对ISA日志文件夹中的索引和压缩特性予以禁用,并在ISA-Server MMC中取消压缩/索引项目的选中状态。
问:在ISA处于运行状态的情况下,网卡升级操作通常会导致故障发生。而在针对内部适配器执行升级操作时,Windows往往会要求提供一个名为“|”的文件。请问,应如何防止上述问题的出现?
终止ISA服务功能,而后便可实现驱动程序升级。
问:我在试图以手工方式启动所需服务时,收到了以下错误信息:“ERROR 1747 - THE AUTHENTICATION SERVICE IS UNKNOWN”(错误1747—未知身份验证服务)。请问,这究竟意味着什么?
在解除原有侦听器绑定关系的基础上,再将它们重新绑定到一起。您可能需要针对相关发布规则和数据包筛选程序进行重新配置。而您所创建的任何对象均可能具备与其存在绑定关系的原有IP地址。
问题,如何使用ISA发布你的网络(反向网络代理)?
例如,你想要发布如下两个网络站点以供Internet用户访问:
PublicSite.mydom.com
PrivateSite.mydom.com/EmployeeInfo
在属于你的域的可靠的DNS服务器中为你的公共站点和私人站点产生DNS记录,并把他们指向ISA服务器的外部的接口。
在目的集中产生一个记录并赋予其描述名称,如:对于到公共站点的请求,目标机器标识/主机标识包含的计算机名称类型,比如:PublicSite.mydom.com,而且没有相对路径。
对于第二种情况,在目的集中产生一个记录并赋予其一个友好的名称,如:对于到私人站点的请求,目标机器标识/主机标识包含的计算机名称类型,比如,PrivateSite.mydom.com,并加上相对路径/EmployeeInfo/* 。
然后给这两个站点每一个都创建一个网站发布规则,这个规则是用来给相应服务器发送请求的。
名称:任何友好的名称,比如:对于“公共站点目的地址”,在“已选择的目标集”中选择“名称”;对于到公共站点的请求是在下拉列表中的。动作:重新把请求导向主机地址。在目标站点输入框中,输入承载公共站点的内部网站服务器的计算机名称或者IP地址。适用于:任何请求。
对于私人站点:
名称:任何友好的名称,比如:对于“私人信息站点目的地址”,在“已选择的目标集”中选择“名称”;对于到私人信息站点的访问是在下拉列表中的。动作:重新把请求导向主机地址。在目标站点输入框中,输入承载私人站点的内部网站服务器的计算机名称或者IP地址。适用于:选择基于你是否想要对其访问进行限制的客户端、用户、组或者任何使用者。
问题,每次我想断开连接的时候,ISA总是要用很长时间去强迫进行再次连接。我已经关闭了活动缓存,没有运行任何会周期性的提交Internet请求信息的应用程序,也已经也关闭了全部的有可能引起这个问题的到我的路由器的netbios 请求。那么是什么原因强迫ISA进行再次连接的?
当安装ISA的时候,一个DNS包查询过滤器是默认与其一同安装的。此过滤器是允许DNS查询通过路由器的。禁用此过滤器,你的路由器就应该支持默认的超时设置,而不再进行连接。
问题:如果选择了支持包过滤,我就无法浏览网络。我得到的信息是dns错误。我是在ISA 服务器上使用的IE5。其它连接到ISA服务器的电脑却可以这样浏览Internet。我如何解决这个问题?
在ISA 服务器的自述文件中,你可以发现,要使用在ISA 服务器上的浏览器,你应该把内部网卡的IP地址配置到代理设置中去。
问题:我想要我的ISA服务器通过使用我的Internet 提供商提供的拨号入口连接到Internet,但ISA 服务器配置窗口中的下拉框并没有显示我已经配置了的拨号入口。下拉框是空白的。有人知道这问题是怎么回事吗?
策略元素,拨号入口,视图/创建拨号连接。你应该能选择你预先设定的Internet 拨号连接。
问题,有否任何方法删除某些与ISA服务器捆绑的协议定义?我正在使用 SNAT,但我并不想让用户使用某些嵌入的定义功能,如:ICQ、AOL等等。我如何解决这个问题?
右击“Enterprise”(企业),然后选择属性和改变自定义策略。
问题,ISA 服务器和Exchange 5.5 服务器是分开的。应该如何设置DNS和Exchange 5.5 服务器上默认的网关?
你的DG 应该设置成你ISA服务器内部网卡的地址。
你的DNS入口应该设置成离你最近的上游DNS服务器。如果你已为你公司提供了主次DNS,那么就使用那些地址(即使他们在防火墙内部)。然而,如果DNS是某个ISP提供的,或者其它的外部资源,直接使用他们的地址就可以了。
还要注意的是,不要在你的MS Exchange 服务器上使用防火墙客户端程序,那将与Internet 邮件连接或者Exchange冲突。
请参考有关如何在防火墙内部配置Exchange服务器的详细资料,其位于Microsoft Knowledgebase 文章中的 #Q181420。
问题,当我查看日志文件时,显示的用户是匿名。我正在使用ISA安装一台缓存服务器。我怎样做才能让他们的用户名出现在日志文件?
在防火墙和Web代理客户端中,如果你配置了匿名访问策略,那就没有身份认证了。
要解决你提出的问题,需要确认“Outgoing Web Requests”(出站Web请求)中的“Ask unauthenticated.....”(要求未经身份验证的…)设置。
问题:我要格式化我的PDC并重新构建我的网络,不知到是否有一种方法来备份我保存在ISA 中的大约250个条目的地址?
右击ISA MMC 中你的服务器名称,然后点击“备份”。
问题:可能通过ISA共享文件吗?
你可以通过 ISA,在TCP/IP (TCP/UDP 137-9)上支持 NetBIOS 以实现此功能。
问题:我的全部客户端和其它的服务器都在使用ISA 服务器并把其当作他们的网关,这个基于我安装的访问策略的网关允许他们访问Internet。然而ISA服务器本身是根本不能访问Internet的。WWW,FTP,SMTP,POP,PING等其它功能是不是也是这样?我又如何补救呢?
1,不要在ISA 服务器上安装防火墙客户端程序。这是微软不支持的。
2,你不需要把ISA 服务器本身用作Web代理客户端。
为了让应用程序在ISA 服务器上运行正常,你必须配置包过滤器。
例如,如果你想要允许外接网络服务器访问,创建一个允许TCP 80外接请求的包过滤器。那很容易。
问题:在面向SecureNAT使用ISA时,如何把端口转到内部的客户端?假设防火墙客户端程序不是必须的。比如说,我想要内部客户端可以接收全部的针对TCP和/或者UDP端口5000-6000的包。
你需要使用服务器发布功能。原因是:如果SecureNAT的端口连接需要打开第二个端口,那么端口的连接将会失去。解决问题的办法是:要么你编写一个你自己的应用程序过滤器或者使用第三方软件。
问题:我在一台操作系统是W2K并有两块网卡的电脑上安装了ISA beta1。我在那台机器上也安装了终端服务功能。我安装ISA的方式是使用TS,但在安装的过程中,我失去了终端服务功能和服务器工具的网络共享功能。有人知道这是什么原因吗?又如何解决这个问题呢?
安装一个TCP 端口3389的过滤器就可以了。
问题:可能打开今天的使用报告和日志报告吗?我正在尝试打开一个今天的报告。我把报告的产生选项设成“立即”,期限设成“今天”。电脑显示报告已成功生成(状态 0)。但当我试图在“监控/报告/任何容器”中打开报告时,光标变成沙漏,再就什么也没有了。我试图把报告保存到硬盘。我打开“另存为”对话框,并进行了相应的操作,但没有产生任何文件。
报告是基于来自日志文件的“日志摘要”的。在监控配置/日志文件的文件夹中,你在日志文件的文件夹处右击,点击属性,然后点击“日志摘要”标签,确保选中了“支持每天和每月的摘要”。
尽管日志文件每天都在更新,日志摘要是在每天中午12:30生成的。等到中午12:30以后,就可以打开报告了。
检查\Microsoft ISA Server\ISASummaries 文件夹以确认摘要列表是否已经产生。
问题:当我试图通过远程管理员模式连接到ISA服务器时(我已经在内部客户端安装了ISA管理工具),我得到的错误信息是权限被拒绝。有人能帮我解决这个问题吗?
使用其它的配置文件进行登录。
你的配置文件可能已经崩溃。删除你的原始配置文件 (Windows 2000 Professional)并创建一个新的配置文件。
问题:我能在ISA上使用动态包过滤功能吗?如果能,如何启动这个功能?
你可以通过使用访问策略或者发布规则来支持动态包过滤功能。
从ISA帮助系统得到的信息是:
当你支持包过滤功能时,全部经过外部接口的包将都被屏蔽,除非他们是特允的,要么是通过使用IP包过滤器静态特允的,要么是通过使用访问策略或者发布规则动态特允的。
问题:当SMTP网关是在ISA 服务器上时,是否存在一种方法可以面向输入SMTP Filter中的标准,使Message Screener扫描端口25? 我使用MSSMTP 服务作为我的Exchange服务器网关。SMTP服务器是位于ISA服务器电脑上的。如果SMTP服务器不在ISA服务器上,SMTP 过滤器运行正常。
SMTP过滤器是一种应用程序过滤器。如果数据是传向本地电脑的,应用程序过滤器将不截取数据传输。比如,在同一台电脑上,你不能同时拥有SMTP过滤器和SMTP服务器。SMTP服务器应该安装在防火墙之后,而不是安装在防火墙上。
问题:有人曾经成功的打开过报告吗?我的报告中没有任何数据。报告文件是有的,但内容是空的。
如果你是支持报告的,并且打开了创建报告的功能,报告就应该根据你的计划产生了。
报告是根据日志摘要创建的,检查LogSummaries 文件夹以确定是否存在错误。
问题,我想将属于我的域的客户端(outlook 2000)配置为可以收发我们的ISP的Internet邮件(pop3/SMTP) 。我们是通过新安装的ISA 2000 (CR1)连接到Internet的。有何方法实现这个功能(对客户端和服务器都有效)?
创建两个自定义的允许端口25和端口110进行双向通讯的IP包过滤器。
选择“任何远程主机”或者输入他们连接到的邮件服务器的IP。 这将创建一个Winsock,或者一个防火墙、连接,使客户端能与远程主机进行通讯。以上步骤应该是奏效的。
问题,我是否需要在当前的ISA 服务器上安装一个本地的IIS SMTP服务器?
你需要在你的内部网中安装一台IIS SMTP 服务器并发布那台服务器。在你发布了那台服务器之后,通过把你的内部邮件服务器的名称或者IP地址配置到“智能主机”中,就可以完成配置SMTP服务来保存发往你内部邮件服务器的信息。
问题:我应该如何配置我的ISA 服务器以使其具有代理的功能?
工具 => Internet 选项=> 连接标签 =>局域网设置按钮=>选中“使用代理服务器”复选框 => 输入你的内部接口地址和端口 8080 => 点击 OK
问题:我正忙于尽可能快的发布我的站点。但我无法使我的ISA服务器呈现我自己的网络站点(该站点基于IIS,位于同一台电脑) 。
为了在同一台电脑上实现网络站点服务器和ISA 服务器两种功能,你应该把网络站点的属性改成使用内部接口和不是80的端口号。 尽管在帮助文件末尾中的实例学习文档中提到了你可以在内部接口使用端口 80,但我们从来没有试通过。
因此,建议你在网络站点中使用端口88和内部接口的IP地址。改完之后请重新启动网络站点,使用网络站点发布向导发布你的网站。尽管内部接口正在使用的是端口88,用户仍可以在外部接口使用端口80,因为在那个端口中同样列出了网络代理服务。
注意在使用网络站点发布向导之前,为你的网站创建一个目标集。
问题,推荐的针对100个用户的缓存容量是多少?
微软推荐给每个用户分配10 – 20MB的内存。
问题:我有两间办公室,每间都有专用的连接和一台ISA服务器,每台ISA服务器都选择了综合模式的安装。我想要在两台ISA 服务器之间安装一个网关对网关的VPN连接,实现各站点到Internet的数据传输,和像到达其它站点一样的准确无误的数据传输,而这个数据传输是通过VPN到达目的地的。可以在ISA 服务器上实现这个功能吗?如果可以,如何解决这个问题呢?
是的,你可以这样做。你需要做的就是在其中的一台服务器上运行“安装本地ISA VPN 服务器” 以创建一个,vpc 文件。你的配置一定要保证在两端都可以进行连接的初使化。在你创建了,vpc 文件之后,到其它的ISA 服务器上使用你已创建的.vpc文件并运行“安装远程ISA VPN 服务器”。
这将创建连接请求接口,这个接口将允许每一台ISA 服务器与其它的服务器建立连接。这也将增加静态的路由表入口,这样在远程网络请求产生时,连接请求接口就可以被激活了。
问题:我需要一些关于如何在ISA 服务器上安装3块网卡和使DMZ执行邮件中转域功能的信息。我希望防止任何到位于我内部网中的MS Exchange 服务器的访问。有办法解决这个问题吗?
在DMZ中设置中转,然后就把邮件服务器放置到内部网络中去。而后,发布内部邮件服务器并仅允许访问在DMZ中列出的服务器IP地址。这样,你就可以禁止任何非中转站机器访问内部服务器了。
问题,我如何在没有安装防火墙客户端程序的情况下,在日志文件中支持用户名而不是“匿名”?
为了在“会话(session)”中支持用户名,在希望的阵列上选择“属性”,然后选择“出站网络请求”。在“连接”下,选择“要求验证匿名用户身份”的复选框。当提示的时候重新启动服务,然后用户列表就出现在他们的域中了。此处不需要防火墙客户端程序和Netbios协议。
问题,如何我配置DHCP以实现ISA 服务器的自动检测功能?
点击“开始”,指向“程序”,再指向“管理工具”,然后再点击“DHCP”。
在控制树中,右击“可应用的DHCP服务器”,点击“设置预定义选项”,然后点击“新增”,再点击“增加”,在“名称”中,输入“WPAD”。在“代码”中,输入“252”。
在“数据类型”中,选择“字符串”,然后再点击“OK”。在“字符串”中,输入http://Computer_Name:AutoDiscoveryPortNumber/Wpad.dat。
计算机名是经过完全验证的ISA 服务器域名或者阵列,而自动检测端口号是用来发布自动检测信息的端口号。这个端口要么是出站网络请求的端口号,要么是另外的用以发布自动检测的端口。
右击“服务器选项”,然后点击“配置选项”。确认选中了选项252的复选框。
问题,我如何才能在我的已发布的网络站点中提供验证功能?
对于IIS WWW服务本身,ISA服务器仅支持基本的访问和匿名的访问。如果你 想要支持其它的验证模式,你需要在ISA服务器监听选项中进行配置。可从以下网址得到更多的有关验证的信息:
http://www.microsoft.com/TechNet/isa/isadocs/CMT_CMTAuth.htm
问题,Netscape 用户仅仅通过使用“基本的”验证功能得到身份的鉴别。我如何改善身份的鉴别功能?
选中你的服务器,右击,选择“属性”->“出站网络请求”->选择你的监听器 ->“编辑”-> 选中“基本验证”。
问题:我有一个多地址的系统。一个外部的IP和两个从子网得到的、用于内部的IP。我已经把这三个地址全部分配到我的外部接口中。当我支持包过滤功能时,前面提到的内部路由子网的两个IP从Internet是不可访问的。当包过滤器被禁止使用时,就可以了。我把这两个IP用在我的DNS服务器上。有办法解决这个问题吗?
你已经支持路由了吗?你需要为每个IP地址创建包过滤器。
问题:我能只配置防火墙的功能吗?
是的,你可以把防火墙配置成向下锁定的安全解决方案。作为安装过程的一部分,你可以选择ISA 服务器模式:防火墙,缓存,或者集成方式。在防火墙模式,你可以通过使用配置控制你单位的网络和Internet通讯的规则来保证网络通讯。你可以也发布内部服务器,安全的与Internet用户共享你内部服务器上的数据。
对于缓存模式,你可以通过使用保存常被用户访问的对象来改进网络性能并节省带宽。你可以也发布内部的Web服务器。集成模式结合了两者的特点,即防火墙和缓存,既保证了安全又增强了性能。在所有模式下,你都可以从ISA 服务器企业策略管理、实时监控和报警的特点中获益。
问题:ISA 服务器支持状态检测吗?
是的。为保证全面的安全,ISA 服务器支持三层过滤,数据包层过滤,链路层过滤和应用程序层过滤。链路层过滤通常指的就是“状态检测”,即当包到达防火墙的时候,检测包、监视状态信息、允许或者不允许通过基于访问策略的防火墙的过程。 ISA 服务器增加了基于特定的应用程序命令的“智能型”检测的应用程序过滤器,以在更高的通讯层提供过滤功能。这允许特定的SMTP 命令和过滤基于请求界面的RPC 访问实现模块化。
问题:你如何禁止客户进行SecureNAT存取?
生成一个包含那台机器IP地址的客户端设置,然后再使用一个拒绝基于客户端设置访问的规则。
问题:可以对网络内部的客户端进行ping的操作吗?
外部是不可能ping内部的客户端的。只有内部的S-NAT 客户端可以ping 外部的ISA。
问题:如果我要使http请求只能去访问某些机器,我该如何设置包过滤功能?
新建一个 Web 发布规则就可以了。
问题:我应当在什么时候到控制面板中去更新防火墙的客户端?我得到的错误信息是:服务器对更新请求没有回应。
重新输入其名称。 IP (内部的ISA 接口的)服务器名字(netbios,非FQDN,像:“server1”而不是“server1.domain.com”)
例如,172.16.1.45 NTSERVER1 – 奏效了吗?可能也会有人建议使用LMHOSTS文件来代替。
重新安装客户端或者检查端口设置。注意确保不妨碍其它的服务。
问题:有方法可以使用 ISA 服务器和一个 Novell 服务器相连结,以实现接入到Internet吗?
如果有IP地址,那么你可以使用Secure NAT 来接入Internet。
问题:使用防火墙客户端程序而不使用SecureNAT 的好处是什么?
使用Secure Nat,你仅仅可以通过使用 IP (特定于使用IE的机器)来进行管理。比如,ISA 服务器不能区分用户是否已登录到系统。使用防火墙客户端程序,通过使用他们的用户登录名称和他们归属的组名,你就可以控制用户了。这样把IP转换成用户登录名称和他们归属的组名就可以实现更好的控制了,而不管用户是从哪台PC登录的。
问题:使用 SNAT 时,我总是收到“登录失败”的信息。为什么是这样,而我又如何解决这个问题呢?
定义一个新的协议:
TCPIP Outgoing Port 7175
Secondary Connections:
51200-51201 UDP Incoming
51200-51201 UDP Outgoing
51210 TCP Incoming
51210 TCP Outgoing
问题:无论我怎么做,使用通过Outlook Express 的NNTP 就是不工作!我确信在安装ISA的时候已经定义了协议,但为什么它就是不工作?
卸载FW 客户端,然后再重新安装FW客户端。
如果邮件也提示你相同的问题,然后重新安装FW客户端就应该可以了。
问题:是否可以配置防火墙的服务功能,以实现允许所有的内部地址可以进行任意连接?( 比如说,没有限制)现在看起来我只能是允许对在协议定义容器中被定义的记录执行存取操作。
只有Secure NAT 客户端才有这种限制。防火墙客户端程序可以访问任何信息。如果你没有实现本功能,你需要重新安装FW客户端。
问题:我在Win2K的客户机上安装防火墙以试用一下。我并未决定我现在就使用它,但在我卸载、重新启动了之后,ISA服务器仍然拒绝我的访问。我尝试再一次安装、卸载,但它仍然是没有任何的起色。有人知道该如何解决吗?
你需要到你的浏览器设置中找出有关ISA 服务器的参数。参考:局域网设置->代理服务器。或者,更好的情况下,恢复安装防火墙客户端程序之前浏览器的配置。
问题:我怎样配置MSN Instant Messenger以可以在ISA 服务器后端工作?
最简单的办法就是使用防火墙客户端程序动态的允许访问正在使用的任何一个端口。 如果使用S-NAT,你需要新定义一个端口信息..,(55xx? )协议。如果你打算使用Netmeeting,你可能需要配置ISA gatekeeper部分,也需要使用gatekeeper配置Netmeeting。通常情况下在Netmeeting使用gatekeeper的时候,远程NM 客户端需要设置他们的NM使用网关,不论他们是在getekeeper后端以及他们的gatekeeper 是否已恰当的配置了到你的GK的路由请求。
问题,CuteFTP不能连接到FTP 站点。它运行登录程序,并确定它已成功连接,但运行PWD指令总是超时。如何解决这个问题?
生成一个新的协议以定义允许TCP 外接端口 21和TCP 外接端口 20进行第二次连接。
问题,Quicken 2000已经安装到了客户端(在LAT内部)。我正在尝试连接到英特网以获取银行记录。我的问题是它提示检测不到已存在的网络。如何解决这个问题?
完成Quicken中在EDIT 菜单下的Internet连接安装向导。确保你的默认浏览器设置了使用ISA 服务器作为其代理,Quicken将使用这些设置。
问题:我怎样才能在ISA服务器后端执行对SETI@home的访问?
在代理服务器设置中禁止使用HTTP代理并使用SOCKS代理,然后只需在SOCKS Host一栏键入你的ISA 服务器的名称。 你不需要在SOCKS用户名和密码一栏键入任何信息。端口默认是1080。
问题:ISA服务器在本地运行的时候,我如何才能连接到一个远程SQL服务器?我不能连接到SQL 企业版,而且我也不能产生对远程SQL 服务器的DSN。这个问题如何解决?
打开端口 1433
问题:我现在正在使用RRAS NAT以使我的 Linux 和Windows用户漫游英特网。当我安装了 ISA 而且禁止使用RRAS NAT的时候,如何做才能实现和上面一样的功能?
以sNAT(ISA 服务器的一部分)的方式。在这种情况下,系统将自动提供策略。
问题:每个人都知道该如何使用Yahoo Messenger Voice Chat。我已经直接连接了Yahoo,但是Voice Chat不能连接到他们的服务器。如何解决这个问题?
如果基于Java,可能是因为端口8000或者端口8500 和TCP端口。为此你将需要定义一个清晰的协议和规则。检查并确定一下正在使用什么端口?你可能需要运行NetMon来跟踪一下。
问题:除非我允许所有的IP都可以进行数据的传输,否则我无法进行Real Player Clients的在线浏览。有人曾经成功的让Real Player运行吗?
你并不需要开放任何特殊的端口。有一个协议和规则是针对Real Player 的,而且要运行Real Player,这个协议和规则是必须的。
问题:我正在尝试发布我的运行在ISA服务器后端的内部FTP服务器。我为端口21和端口 20 配置了一个自定义的协议,但它仍然不工作,问题可能是什么?
你需要打开内部的动态外接端口1025-5000到任何有过滤功能的端口。
问题:我如何配置ISA 才能允许内部用户使用AOL Instant Messenger?
有一个为AOL Instant Messenger预先定义的访问协议。支持这个访问协议,重新启动你的防火墙服务,就应该可以了。
问题:我如何安装ISA 服务器以允许远程客户端接受DNS服务? 比如说,应当允许什么协议或者过滤哪些端口?
如果你想要Internet客户端使用你的DNS服务器,那么打开内接端口53/udp。如果你想要Internet服务器从你的DNS服务器传送区域信息,同样需要打开内接端口53/tcp。确保你的DNS 服务器允许通过外部IP地址连接。
问题:有否容易的方法只运行ISA就可以完成所有网络数据的传输?
禁止使用包过滤,支持有关外部IP的netbios。在协议规则中允许全部的数据传输。
问题:我如何安装QuickTime以使之运行在ISA 服务器后端?
安装防火墙客户端程序。开始安装后,安装Quicktime,在安装窗口中,当询问有关代理服务器信息时,保持空白。
问题:我如何设置才能允许内部的客户端通过我的ISA服务器进行对外部的PPTP 操作?
支持路由和PF
选中“PPTP通过防火墙”复选框为PPTP Call新建一个PF
问题:每次我改变协议规则之后,就必须重新启动防火墙服务功能,而规则的改变将影响网络数据的传输。我确实需要重新启动防火墙服务吗?
你并不需要重新启动防火墙服务,但在策略生效之前,可能需要一段时间。我认为这是ISA读注册表或者AD的方式引起的问题。
问题:我安装了控制网络访问的策略,也配置了浏览器。Navigator 4.75 要求验证 (用户姓名/密码),然后就锁住了,或者报告是内存错误。我如何解决这个问题?
其原因是使用了ISA的集成验证。在ISA MMC中,找到ISA 计算机名称并右击鼠标。选择“属性”并点击“出站Web请求”选项卡。然后选中“集成的安全性”复选框。
1) 你可以不选中这个复选框,因而就没有验证。但这之后你就不会知道有谁正在使用哪些服务,因为在日志文件中用户都是匿名的,结果就是不能通过使用他们的用户名控制用户的访问。
2) 你可以不选中综合安全这个复选框,但可以选中“基本验证”的复选框。这可以使你控制和访问全部其它浏览器。注意只有IE3.x和其以上版本才支持集成 NTCR验证。
问题:有人有建议可以使我的内部的客户端通过 ISA访问 Symantec Live Update吗?
首先的,也是最重要的,确保你用的是LiveUpdate最新版本。我原来用的是1.5,但当我升级到1.6时,就正常了。
我进行了如下的操作:
1,允许用户通过代理服务器使用HTTP 和 FTP 访问。
2,用代理服务器名称配置LiveUpdate并要求用户输入账号和密码以验证身份。直到我让它使用Internet Explorer的配置,LiveUpdate才正常执行程序。(这些都可以通过在控制面板中的LiveUpdate applet 进行配置)。
问题:我正在试图发布SSH (端口 22)服务器,其基于在我的ISA防火墙后端运行的UNIX 服务器。但SSH不在发布规则协议列表之中。有否其他途径解决这个问题?
只需创建一个新的定义协议并制定了足够的发布规则。
问题:使用新的ISA服务器,你能通过使用用户账号来限制他们访问Internet吗?
是的。如果你安装了的防火墙客户端程序,你可以通过用户/组成员控制访问。然而,如果你没有安装防火墙客户端应用程序,那么你必须要么使用网络代理服务器,要么使用安全的NAT。你可以控制到正在使用网络代理服务器的网络协议(HTTP,FTP,HTTPS 和 Gopher) 的访问,但如果你使用的是面向其它协议的安全NAT,你将无法控制基于用户/组的访问。
问题:我的很多用户下载了像HTTP PORT那样的程序,程序和详细资料可以在Http://www.technetva.com/httport/index.htm找到,另一个例子是Socks2HTTP,可以在http://www.totalrc.com/找到。他们把SOCKS v.5 请求转换成HTTP 请求,并通过 HTTP 代理建立传输通道,从而虚拟地开放了几乎所有tcp端口。我曾经试图通过使用应用内容规则加以限制,但没有任何效果。我如何解决这个问题?
HTTP端口和Socks2HTTP程序就像是简单的建立一个连接到代理服务器并发送以下字符串到代理服务器:
CONNECT URL:PORT HTTP/1.1
User-Agent,Mozilla/4.0 (compatible; MSIE 5.0; Windows NT)
URL:PORT就是未授权的用户想要连接的服务器。
ISA服务器是支持这种连接方法的,但通过使用默认设置仅仅允许这方法到目的 端口443和563,因此内部用户不能滥用ISA-服务器代理,所以你的用户很可能是连接到了你网络外部的代理服务器。你要做的是屏蔽到允许你的用户建立他们连接的代理服务器的ip地址的访问。你也要考虑屏蔽到默认代理服务器端口,8080,3128和socks 1080访问的连接。 另一种解决方案就是仅允许连接到预先定义的目的端口。其它应该屏蔽的就是你到www.http-tunnel.com 和类似服务的连接。 你也应该注意内部的客户端也有可能在他们的家用pc上安装了软件并且从那里建立连接。
问题:我刚刚在一台Win 2K 服务器上安装了ISA,通过使用一个线缆调制解调器连到网上。我想知道对于S/Nat 客户端,是否可以使用FTP?如果可能,如何才能找到相关的信息?
SNAT 客户端访问 FTP是没有问题的。但你必须确保存在允许你的SNAT 客户端访问FTP的Site/Content(站点/内容) 规则和协议规则。
问题:我正在尝试通过端口 3000并使用SSL连接某网站(https://www...:3000)。当允许包过滤的时候,我不能与网站连接。但当禁止包过滤的时候,我却可以访问。我如何才能在允许包过滤的情况下与网站建立连接?
ISA 服务器仅仅允许到端口 443和563 (Secure-news)的隧道连接。如果某个客户端试图连接到一个安全的运行在某个端口上的站点,而端口不是443 或者 563,连接将会失败。
问题:我怎样安装ISA服务器才能拒绝或允许基于IP地址的用户的访问?
在“站点和内容规则”、“协议规则”中,你需要选择并指定访问是通过使用正在使用的用户名还是通过ip地址的。某些情况下,两者结合使用可能更有效。我们采取如下的步骤解决了问题。 在“站点和内容规则”中,我们指定访问是通过使用IP地址的,在“协议规则”中,我们指定访问要通过使用用户账号。
我们是这样解决问题的:允许任何人通过我们内部网在任何时间访问Internet,但在工作时间,只允许拨号访问Internet。
问题:如果我想要允许对所有的IP都可以传输数据,我可以制定并设置一个针对端口0-60000的称为“允许全部”的规则,但有没有更容易的方法呢?
你只要在向导中的“协议”属性页选择“全部的IP 数据传输”就可以了。这样就可以开放全部的外接协议。
问题:缓存如何保证带宽需求和信息的可用性?
缓存通过移动比较接近使用者的网页内容从而减少带宽需求。通过缓存满足了频繁的请求响应,带宽使用量就可能被减少40%。缓存也能提供内容给使用者,即使这些内容的来源处于离线或不可用状态。
问题:什么是反向缓存,以及ISA Server支持它吗?
反向缓存是另外一个术语,指在Web服务器或电子商务应用程序之前放置一个缓存。被称为“反向”是因为它是由Web服务器的管理员执行的,而不是客户执行的,是内容从服务器被分发传送到缓存的过程或卸下的过程。ISA Server 支持反向缓存,并允许Web服务器的管理员管理缓存并分发其内容,因此缩短了客户的响应时间。
问题:ISA Server 2000对缓存的要求(推荐)是多大?(公司和ISP安装)
更多的规则和限制将会增加处理器的负载。因而如果你计划让它畅通无阻,则需要更多的内存。你可能想要通过运行决定瓶颈的位置。如果负载较小,250MB将是刚好的。但如果负载较大,则需要1GB。你也可以使用Proxy 2算法,100MB +每客户5 MB。
问题:我已经制定了一组预定内容下载任务,有没有办法查看这些被缓存的页面以验证预定下载是否在正确的运行。
在ISA Server内部,访问Web缓存的唯一方法是通过缓存API (包含在ISA SDK中)。
一个改变你一生命运教育
E时代北大燕工教育之道
本资料的最终解释权归北大燕工教育集团所有