ISA Server故障排除策略
10.2 ISA Server故障排除策略
系统方法是成功排除故障的必要条件。当遇到意外的ISA Server错误时,可以从辨别错误是基于用户的还是基于数据包的入手进行故障排除。本节为两种类型的连接问题提供了故障排除策略。
本节学习目标
排除基于用户的访问问题。
排除基于数据包的访问问题。
排除ISA Server里VPN连接的故障。
估计学习时间:30分钟
10.2.1 用户访问故障排除
当用户账户访问被中断或者不可用时,可能是由于用户安全要求过于严格、规则配置不正确、身份验证方法不够全面等造成的。出现此类情况时,Ping,Tracert等工具就有用武之地了。
要排除基于用户的访问问题,首先检查访问策略规则。通过已配置的访问策略规则,确认无法建立网络连接的用户已经被许可拥有连接站点,内容组和协议的权限。
如果所配置的规则不能成功应用到用户会话中去,确认阵列属性配置为向未认证用户要求身份证明。同时注意,如果创建一个允许类型的访问政策并应用到指定的用户和组上,会要求用户会话通过ISA Server身份验证。另一方面,如果要所有的Web会话保持匿名时,对Web会话的访问受到拒绝,那么确定阵列属性不要求匿名用户进行身份验证。另外,删除所有应用到指定Win2000用户和组上的允许类型的站点和内容规则或协议规则。
身份验证
在阵列属性中,对身份验证方法的选择将影响到用户的连接能力。每种身份验证方法是专为某种网络环境设计的。如果在网络配置中选择了不兼容的身份验证方法,或者是方法配置不正确,用户将不能访问ISA Server计算机和网络。
例如,阵列的默认身份验证模式是集成的Windows身份验证。但此方法不能验证运行非Windows操作系统的客户机。如果要在ISA Server中为此类客户提供验证的访问服务,则必须把阵列属性配置为使用其他的身份验证方法。同样,集成的Windows身份验证与Netscape也不兼容,因为Netscape不能传递NTLM格式的用户证书。它的另一个限制是依靠Kerberos V5身份验证协议或它自己的质询/响应身份验证协议,然而在直通式身份验证方案中,如图 10.3所示,ISA Server不支持Kerberos V5身份验证协议,因为Kerberos V5要求客户机能识别验证身份的服务器。
在ISA Server中,可选的身份验证方法有Basic、Digest、Client Certificate等。Basic身份验证与所有客户类型都兼容,然而,因为此方法是以明码而不加密的格式传递用户名和密码的,它的安全性就不够了。Digest身份验证仅能在Windows2000域中使用,密码传递采用明码但加密的文本进
行。Client Certificate身份验证使用SSL通道来验证。它需要在ISA Server 计算机上的Web代理服务证书库中安装客户证书,且证书应该映射到适当的用户账户。ISA Server只在SSL桥接配置时提供客户证书。
10.2.2 基于数据包的访问故障排除
当所有用户都不能访问网络时,或基于IP的实用程序如Ping、Tracert操作失败时,可以断定为基于数据包的访问问题。
在ISA Server中,要排除基于数据包的访问故障,先尽可能地简化网络配置,形成一个测试 环境。
Ø 建立网络故障排除配置
1. 启动数据包过滤,创建一个自定义的数据包筛选器以允许任何IP协议都能传入、传出。
2. 创建一个协议规则,允许任何请求的IP通信,确定已有一个站点和内容规则来允许访问所有站点和内容组。
3. 将所有程序筛选器和路由规则恢复成默认设置。
4. 验证已将本地地址表定义在ISA Server内部客户范围内。
5. 在 IP Packet Filters Properties对话框中,启动IP Routing。
注意 IP Routing选项为有辅助连接的协议提供路由能力。此设置对边界网络配置尤为重要。可以在ISA Management 的IP Packet Filters Properties对话框中或Routing and Remote Access 控制台中,启动IP路由选项。
6. 在 ISA Server计算机上,确保没有为内部接口定义默认的网关。不过,确保外部接口上指定了合适的默认网关。
7. 在试图建立访问连接的客户端上,禁用防火墙客户端软件,并将 ISA Server指定为默认网关。
一旦以这种简化的方式配置了 ISA Server,重启ISA Server服务。如果仍然不能访问网络,那么重启ISA Server计算机。如果这还不能解决问题,那么可能不是ISA Server配置的问题。这时,应该执行网络故障排除。用网络监视器跟踪并需要检查DNS、路由表、报告、日志等。
如果在这种简化的模式下能访问Internet,那么再一项一项地将网络单元导入,判断问题的原因。例如,如果能在一个给定的客户端上访问Internet,就可以试着从该计算机上使用指定的Internet程序。如果遇到问题,可以认为要么是应用程序没有正确配置为把ISA Server作为代理服务器使用,要么就是该程序不能使用代理服务器。对于不能使用代理服务器的程序,必须将客户机配置成安全网络地址转换客户端或者是运行防火墙客户端软件。在重新配置客户机以后,注意其行为上的变化。可以认为自动发现特性配置不正确。这样出现问题不断解决,直到为特定的配置添加了所有所需的网络组件。
VPN网络考虑事项
在VPN网络中,故障排除也从上述建立简化网络环境入手。如果已运行了新建VPN向导,应当先证实已运行了Routing and Remote Access服务。然后,确保已将客户机配置成安全网络地址转换客户端,而非防火墙客户端。
此外,还需要证实LocaISA Server VPN Configuration向导已经在Routing and Remote Access中创建了适当的请求拨号接口。可在Routing Interfaces节点对此进行检查,如图 10.4所示。
在此之后,确认为VPN连接选择的每一个身份验证协议都创建了2个IP数据数据包筛选器。例如,如果VPN网络配置为使用L2TP或PPTP,则LocaISA Server VPN Configuration向导应该创建并启动4个IP数据数据包筛选器。(对于L2TP,配置向导为端口500和1701创建自定义的常规筛选器。对于PPTP,配置向导为PPTP呼叫和PPTP接收创建预定义的筛选器)。
10.2 ISA Server故障排除策略
系统方法是成功排除故障的必要条件。当遇到意外的ISA Server错误时,可以从辨别错误是基于用户的还是基于数据包的入手进行故障排除。本节为两种类型的连接问题提供了故障排除策略。
本节学习目标
排除基于用户的访问问题。
排除基于数据包的访问问题。
排除ISA Server里VPN连接的故障。
估计学习时间:30分钟
10.2.1 用户访问故障排除
当用户账户访问被中断或者不可用时,可能是由于用户安全要求过于严格、规则配置不正确、身份验证方法不够全面等造成的。出现此类情况时,Ping,Tracert等工具就有用武之地了。
要排除基于用户的访问问题,首先检查访问策略规则。通过已配置的访问策略规则,确认无法建立网络连接的用户已经被许可拥有连接站点,内容组和协议的权限。
如果所配置的规则不能成功应用到用户会话中去,确认阵列属性配置为向未认证用户要求身份证明。同时注意,如果创建一个允许类型的访问政策并应用到指定的用户和组上,会要求用户会话通过ISA Server身份验证。另一方面,如果要所有的Web会话保持匿名时,对Web会话的访问受到拒绝,那么确定阵列属性不要求匿名用户进行身份验证。另外,删除所有应用到指定Win2000用户和组上的允许类型的站点和内容规则或协议规则。
身份验证
在阵列属性中,对身份验证方法的选择将影响到用户的连接能力。每种身份验证方法是专为某种网络环境设计的。如果在网络配置中选择了不兼容的身份验证方法,或者是方法配置不正确,用户将不能访问ISA Server计算机和网络。
例如,阵列的默认身份验证模式是集成的Windows身份验证。但此方法不能验证运行非Windows操作系统的客户机。如果要在ISA Server中为此类客户提供验证的访问服务,则必须把阵列属性配置为使用其他的身份验证方法。同样,集成的Windows身份验证与Netscape也不兼容,因为Netscape不能传递NTLM格式的用户证书。它的另一个限制是依靠Kerberos V5身份验证协议或它自己的质询/响应身份验证协议,然而在直通式身份验证方案中,如图 10.3所示,ISA Server不支持Kerberos V5身份验证协议,因为Kerberos V5要求客户机能识别验证身份的服务器。
在ISA Server中,可选的身份验证方法有Basic、Digest、Client Certificate等。Basic身份验证与所有客户类型都兼容,然而,因为此方法是以明码而不加密的格式传递用户名和密码的,它的安全性就不够了。Digest身份验证仅能在Windows2000域中使用,密码传递采用明码但加密的文本进
行。Client Certificate身份验证使用SSL通道来验证。它需要在ISA Server 计算机上的Web代理服务证书库中安装客户证书,且证书应该映射到适当的用户账户。ISA Server只在SSL桥接配置时提供客户证书。
10.2.2 基于数据包的访问故障排除
当所有用户都不能访问网络时,或基于IP的实用程序如Ping、Tracert操作失败时,可以断定为基于数据包的访问问题。
在ISA Server中,要排除基于数据包的访问故障,先尽可能地简化网络配置,形成一个测试 环境。
Ø 建立网络故障排除配置
1. 启动数据包过滤,创建一个自定义的数据包筛选器以允许任何IP协议都能传入、传出。
2. 创建一个协议规则,允许任何请求的IP通信,确定已有一个站点和内容规则来允许访问所有站点和内容组。
3. 将所有程序筛选器和路由规则恢复成默认设置。
4. 验证已将本地地址表定义在ISA Server内部客户范围内。
5. 在 IP Packet Filters Properties对话框中,启动IP Routing。
注意 IP Routing选项为有辅助连接的协议提供路由能力。此设置对边界网络配置尤为重要。可以在ISA Management 的IP Packet Filters Properties对话框中或Routing and Remote Access 控制台中,启动IP路由选项。
6. 在 ISA Server计算机上,确保没有为内部接口定义默认的网关。不过,确保外部接口上指定了合适的默认网关。
7. 在试图建立访问连接的客户端上,禁用防火墙客户端软件,并将 ISA Server指定为默认网关。
一旦以这种简化的方式配置了 ISA Server,重启ISA Server服务。如果仍然不能访问网络,那么重启ISA Server计算机。如果这还不能解决问题,那么可能不是ISA Server配置的问题。这时,应该执行网络故障排除。用网络监视器跟踪并需要检查DNS、路由表、报告、日志等。
如果在这种简化的模式下能访问Internet,那么再一项一项地将网络单元导入,判断问题的原因。例如,如果能在一个给定的客户端上访问Internet,就可以试着从该计算机上使用指定的Internet程序。如果遇到问题,可以认为要么是应用程序没有正确配置为把ISA Server作为代理服务器使用,要么就是该程序不能使用代理服务器。对于不能使用代理服务器的程序,必须将客户机配置成安全网络地址转换客户端或者是运行防火墙客户端软件。在重新配置客户机以后,注意其行为上的变化。可以认为自动发现特性配置不正确。这样出现问题不断解决,直到为特定的配置添加了所有所需的网络组件。
VPN网络考虑事项
在VPN网络中,故障排除也从上述建立简化网络环境入手。如果已运行了新建VPN向导,应当先证实已运行了Routing and Remote Access服务。然后,确保已将客户机配置成安全网络地址转换客户端,而非防火墙客户端。
此外,还需要证实LocaISA Server VPN Configuration向导已经在Routing and Remote Access中创建了适当的请求拨号接口。可在Routing Interfaces节点对此进行检查,如图 10.4所示。
在此之后,确认为VPN连接选择的每一个身份验证协议都创建了2个IP数据数据包筛选器。例如,如果VPN网络配置为使用L2TP或PPTP,则LocaISA Server VPN Configuration向导应该创建并启动4个IP数据数据包筛选器。(对于L2TP,配置向导为端口500和1701创建自定义的常规筛选器。对于PPTP,配置向导为PPTP呼叫和PPTP接收创建预定义的筛选器)。
免责声明:本站文章均来自网站采集或用户投稿,网站不提供任何软件下载或自行开发的软件!
如有用户或公司发现本站内容信息存在侵权行为,请邮件告知! 858582#qq.com
千金楼资源网 Copyright www.htabc.com
暂无“ISA Server故障排除策略(1)”评论...
《魔兽世界》大逃杀!60人新游玩模式《强袭风暴》3月21日上线
暴雪近日发布了《魔兽世界》10.2.6 更新内容,新游玩模式《强袭风暴》即将于3月21 日在亚服上线,届时玩家将前往阿拉希高地展开一场 60 人大逃杀对战。
艾泽拉斯的冒险者已经征服了艾泽拉斯的大地及遥远的彼岸。他们在对抗世界上最致命的敌人时展现出过人的手腕,并且成功阻止终结宇宙等级的威胁。当他们在为即将于《魔兽世界》资料片《地心之战》中来袭的萨拉塔斯势力做战斗准备时,他们还需要在熟悉的阿拉希高地面对一个全新的敌人──那就是彼此。在《巨龙崛起》10.2.6 更新的《强袭风暴》中,玩家将会进入一个全新的海盗主题大逃杀式限时活动,其中包含极高的风险和史诗级的奖励。
《强袭风暴》不是普通的战场,作为一个独立于主游戏之外的活动,玩家可以用大逃杀的风格来体验《魔兽世界》,不分职业、不分装备(除了你在赛局中捡到的),光是技巧和战略的强弱之分就能决定出谁才是能坚持到最后的赢家。本次活动将会开放单人和双人模式,玩家在加入海盗主题的预赛大厅区域前,可以从强袭风暴角色画面新增好友。游玩游戏将可以累计名望轨迹,《巨龙崛起》和《魔兽世界:巫妖王之怒 经典版》的玩家都可以获得奖励。
更新日志
2024年12月22日
2024年12月22日
- 小骆驼-《草原狼2(蓝光CD)》[原抓WAV+CUE]
- 群星《欢迎来到我身边 电影原声专辑》[320K/MP3][105.02MB]
- 群星《欢迎来到我身边 电影原声专辑》[FLAC/分轨][480.9MB]
- 雷婷《梦里蓝天HQⅡ》 2023头版限量编号低速原抓[WAV+CUE][463M]
- 群星《2024好听新歌42》AI调整音效【WAV分轨】
- 王思雨-《思念陪着鸿雁飞》WAV
- 王思雨《喜马拉雅HQ》头版限量编号[WAV+CUE]
- 李健《无时无刻》[WAV+CUE][590M]
- 陈奕迅《酝酿》[WAV分轨][502M]
- 卓依婷《化蝶》2CD[WAV+CUE][1.1G]
- 群星《吉他王(黑胶CD)》[WAV+CUE]
- 齐秦《穿乐(穿越)》[WAV+CUE]
- 发烧珍品《数位CD音响测试-动向效果(九)》【WAV+CUE】
- 邝美云《邝美云精装歌集》[DSF][1.6G]
- 吕方《爱一回伤一回》[WAV+CUE][454M]