ISA Server 的故障排除工具
要檢查出ISA Server 中的連接
安全和服務等方面的故障
您必須全面了解所有可用的網絡故障排除工具
這些故障排除工具包括ISA Server指定的特性
TCP/IP命令以及Windows
實用程序
本節介紹了其中的部分工具
並詳細討論了如何使用這些工具來診斷和修復ISA Server安裝過程中出現的錯誤
本節學習目標
l 使用一些工具來排除ISA Server 錯誤
l 驗證和修改路由表
l 使用Netstat和Telnet驗證端口狀態
估計學習時間
分鐘
故障排除工具
如果在ISA Server 安裝中出現了意外的故障
此時就可以利用故障排除工具來確定故障原因
根據要排除的故障的類型
可以組合使用下列故障排除工具
l ISA Server 報告
l 事件查看器
l 性能監視器
l Netstat
l Telnet
l 網絡監視器
l 路由表
ISA Server 報告
作為故障排除的第一步
ISA Server報告非常有用
這些報告可以單個或一起查看來找出造成性能問題的原因
例如
如果用戶抱怨Web性能緩慢
可以先檢查通信和使用Traffic and Utilization報告文件中的緩存性能報告
如圖
所示
然而
即使報告說明緩存單擊率很低
還是應當參照其他報告來決定Web響應緩慢是否由於緩存使用不夠充分造成的
如果禁用了活動緩存
且如果沒有安排下載作業
ISA Server就不能從緩存中頻繁地檢索HTTP請求
終端用戶就會遇到網絡性能緩慢的問題
不過
如果報告說明緩存利用率很高
響應緩慢則是由於網絡飽和造成的
而網絡飽和可能是由於下載作業太頻繁或TTL參數設置太短造成的
注意 因為緩存點擊率低造成的網絡性能差可以通過在工作時間以外的時間配置更頻繁或更廣泛的下載作業
或者是延長Cache Configuration Properties對話框中的TTL參數來改進
事件查看器
在排除與ISA Server服務功能相關的錯誤時
可以利用Microsoft Windows
事件查看器
Windows
事件查看器顯示了ISA Server服務生成的所有事件消息
這些消息可能是警報
錯誤通知
或者只是個報告
當發現了要進行故障排除的服務所報告的特殊事件消息時
雙擊它
記下它的事件ID
利用事件ID
就可以查找ISA Server幫助或本書附錄C
學習其中推薦的方法來補救與事件消息相關的問題
性能監視器
ISA Server性能監視器對解決與網絡使用
硬件
配置相關的問題很有幫助
例如
在確定緩存性能緩慢的原因時
可能會發現%Disk Time很高
另外
如果Disk Bytes/sec計數器指示的往返磁的數據傳輸率很低
您可能會添加新磁盤來改進緩存性能
另一方面
如果Disk Bytes/sec讀數不低於正常值
但Pages/sec計數器指示的頁失誤率很高
您可能通過增加系統的物理內存的數量或者提高用於緩存的物理內存百分比來改進緩存性能
使用ISA Server性能監視器成功地排除故障
要在問題發生之前建立計數器基准
這樣
發現某個計數器的值明顯地偏離它的基准時
您可以確定某個特殊的系統單元出現了問題
Netstat
Netstat是一個命令行工具
它可以用來排除安全和連接問題
在命令行中輸入netstat
就可以檢查ISA Server計算機的端口配置以及查看進出計算機的連接
注意 TCP和UDP中使用端口來命名邏輯連接終端
端口號從
到
分成以下
種
熟知端口
注冊端口
動態/或專用端口
熟知端口從
到
注冊端口從
到
動態/或專用端口從
到
相關更多詳細信息
請參考Web站點
notes/ assignments/port
numbers
上的端口數
利用Netstat命令
a選項
可以接受到所有活動連接和偵聽端口的輸出信息
使用
n選項時
地址和端口號不轉換成字符名稱
這樣就可將ISA Server計算機上的外部和內部IP的連接區別開來
並可確定在某個特殊接口上在任何給定時間哪個端口是開放的
可以通過比較
an和
a選項可以知道在哪個特殊端口上哪個服務是活動的
用
p TCP或
p UDP選項指定一個特殊的協議可以限定netstat
an的輸出
例如
Netstat –an –p TCP命令將打印所有活動TCP連接和偵聽端口的輸出信息
Netstat –an –p UDP命令將只打印UDP端口狀態的輸出信息
此外
了解端口配置可以檢查連接問題
端口沖突和安全漏洞
例如
如果連接不到遠程服務器
netstat輸出信息可能確定這不是本地網絡的問題
而是遠程計算機拒絕連接請求
同時
每一次連接時
還可以確認本地機是否收到TCP重置或ICMP Port Unreachable數據包的信息
最後
Netstat可以用來診斷對系統的攻擊
例如
SYN攻擊通過創建大量的半公開TCP連接從而使服務器癱瘓
在這種情況下
外部地址通常是一個偽地址
並且有以增量方式增加的端口號
因此
根據SYN攻擊的這一顯著特性
可以從下面的netstat輸出信息裡把它識別出來
c:\>net stat
a
c:\>netstat
n
p TCP
Active Connections
Proto Local Address Foreign Address State
TCP
:
:
ESTABLISHED
TCP
:
:
ESTABLISHED
TCP
:
:
SYN
RECEIVD
TCP
:
:
SYN
RECEIVD
TCP
:
:
SYN
RECEIVD
TCP
:
:
SYN
RECEIVD
TCP
:
:
SYN
RECEIVD
TCP
:
:
SYN
RECEIVD
TCP
:
:
SYN
RECEIVD
TCP
:
:
SYN
RECEIVD
TCP
:
:
SYN
RECEIVD
TCP
:
:
SYN
RECEIVD
TCP
:
:
SYN
RECEIVD
Telnet
在Telnet命令後面指定端口號
可以測試服務器是否通過此端口接收命令
例如
在運行Netstat
an
p TCP 命令後
發現端口
是用來偵聽傳入請求的
然後
在命令行中輸入telnet external_ip_address
可以確定ISA Server是否允許用戶telnet到該端口
這裡external_ip_Address指分配給ISA Server計算機的公共IP地址
如果返回的是空白屏幕或者不是連接失敗的響應輸出
那麼理論上外部用戶直接輸入服務命令就可以和位於該端口的服務通信
注意
通常此狀態並不能說明存在安全漏洞
但如果給定服務存在安全弱點的話
黑客通常會用Telnet來開發這些弱點
Telnet還可以用來斷定計算機上的服務是否活動的
例如
如果能Telnet ISA Server計算機的端口
說明SMTP服務正在運行
且對外部用戶是可訪問的
如果要阻止外部用戶訪問SMTP服務
您可以選擇來改正該情形
您可以通過關掉此項服務
可以驗證啟動了ISA Server上的數據包過濾作用
可以且/或確保ISA Server上沒有啟動允許入站通信通過端口
的IP數據數據包篩選器
另一方面
如果要發布服務器並測試外部訪問
您可能想Telnet連接到服務的端口
來看它是否接受連接
例如
如果在ISA Server計算機的端口
發布Web服務器
可以輸入telnet external_ip_Address
來確定能連接到該端口
網絡監視器
網絡監視器或Netmon是用來捕獲與顯示Windows
從局域網接收的幀內容的工具
為了簡化網絡通信分析
網絡監視器分化組合了
個常用的網絡協議
這意味對大多數網絡通信而言
網絡監視器實際上顯示了與網絡會話相關的所有信息
包括源和目的端口和地址
服務器響應
有效通信等
下面是來自網絡監視器跟蹤文件或捕獲的幀內容示例
Network Monitor trace Wed
/
/
:
:
AM Capture
TXT
+Frame: Base Frame Properties
+ETHERNET:ETYPE=Ox
:protocol:IP:DOD Internet Protocol
+IP:IP=
xAD
;Proto=TCP;Len:
+TCP:AP
len:
Seq:
ack:
win:
src:
dst:
+HTTP:GET Request (from client using port
)
對於顯示的每一幅幀
它所包含的封裝協議按照從幀的外部到內部
或者從聯網的角度看
從最低層向上的順序排列
單擊每一行的+號
可以顯示給定協議的更多信息
第
行
稱為Frame
是網絡監視器添加的介紹所捕獲的幀
第
行顯示將幀放到網絡上的數據鏈路層協議(在此例中
為Ethernet)
此類協議代表了此幀中最低層協議
並與OSI模型的第
層對應
接下來是網絡層協議或者
From:http://tw.wingwit.com/Article/Fault/201311/10375.html