熱點推薦:
您现在的位置: 電腦知識網 >> 電腦故障 >> 正文

ISA教程之ISA Server故障排除策略

2013-11-12 00:02:32  來源: 電腦故障 

   ISA Server故障排除策略
  系統方法是成功排除故障的必要條件當遇到意外的ISA Server錯誤時可以從辨別錯誤是基於用戶的還是基於數據包的入手進行故障排除本節為兩種類型的連接問題提供了故障排除策略
  
  本節學習目標
  l     排除基於用戶的訪問問題
  
  l     排除基於數據包的訪問問題
  
  l     排除ISA Server裡VPN連接的故障
  
  估計學習時間分鐘
   用戶訪問故障排除
  當用戶賬戶訪問被中斷或者不可用時可能是由於用戶安全要求過於嚴格規則配置不正確身份驗證方法不夠全面等造成的出現此類情況時PingTracert等工具就有用武之地了
  
  要排除基於用戶的訪問問題首先檢查訪問策略規則通過已配置的訪問策略規則確認無法建立網絡連接的用戶已經被許可擁有連接站點內容組和協議的權限
  
  如果所配置的規則不能成功應用到用戶會話中去確認陣列屬性配置為向未認證用戶要求身份證明同時注意如果創建一個允許類型的訪問政策並應用到指定的用戶和組上會要求用戶會話通過ISA Server身份驗證另一方面如果要所有的Web會話保持匿名時對Web會話的訪問受到拒絕那麼確定陣列屬性不要求匿名用戶進行身份驗證另外刪除所有應用到指定Win用戶和組上的允許類型的站點和內容規則或協議規則
  
  身份驗證
  在陣列屬性中對身份驗證方法的選擇將影響到用戶的連接能力每種身份驗證方法是專為某種網絡環境設計的如果在網絡配置中選擇了不兼容的身份驗證方法或者是方法配置不正確用戶將不能訪問ISA Server計算機和網絡
  
  例如陣列的默認身份驗證模式是集成的Windows身份驗證但此方法不能驗證運行非Windows操作系統的客戶機如果要在ISA Server中為此類客戶提供驗證的訪問服務則必須把陣列屬性配置為使用其他的身份驗證方法同樣集成的Windows身份驗證與Netscape也不兼容因為Netscape不能傳遞NTLM格式的用戶證書它的另一個限制是依靠Kerberos V身份驗證協議或它自己的質詢/響應身份驗證協議然而在直通式身份驗證方案中如圖 所示ISA Server不支持Kerberos V身份驗證協議因為Kerberos V要求客戶機能識別驗證身份的服務器
  
  在ISA Server中可選的身份驗證方法有BasicDigestClient Certificate等Basic身份驗證與所有客戶類型都兼容然而因為此方法是以明碼而不加密的格式傳遞用戶名和密碼的它的安全性就不夠了Digest身份驗證僅能在Windows域中使用密碼傳遞采用明碼但加密的文本進
  
  行Client Certificate身份驗證使用SSL通道來驗證它需要在ISA Server 計算機上的Web代理服務證書庫中安裝客戶證書且證書應該映射到適當的用戶賬戶ISA Server只在SSL橋接配置時提供客戶證書
   
   基於數據包的訪問故障排除
  當所有用戶都不能訪問網絡時或基於IP的實用程序如PingTracert操作失敗時可以斷定為基於數據包的訪問問題
  
  在ISA Server中要排除基於數據包的訪問故障先盡可能地簡化網絡配置形成一個測試  環境
  
  Ø     建立網絡故障排除配置
  
    啟動數據包過濾創建一個自定義的數據包篩選器以允許任何IP協議都能傳入傳出
  
    創建一個協議規則允許任何請求的IP通信確定已有一個站點和內容規則來允許訪問所有站點和內容組
  
    將所有程序篩選器和路由規則恢復成默認設置
  
    驗證已將本地地址表定義在ISA Server內部客戶范圍內
  
    在 IP Packet Filters Properties對話框中啟動IP Routing
  
  
   注意 IP Routing選項為有輔助連接的協議提供路由能力此設置對邊界網絡配置尤為重要可以在ISA Management 的IP Packet Filters Properties對話框中或Routing and Remote Access 控制台中啟動IP路由選項
  
  
    在 ISA Server計算機上確保沒有為內部接口定義默認的網關不過確保外部接口上指定了合適的默認網關
  
     在試圖建立訪問連接的客戶端上禁用防火牆客戶端軟件並將 ISA Server指定為默認網關
  
  一旦以這種簡化的方式配置了 ISA Server重啟ISA Server服務如果仍然不能訪問網絡那麼重啟ISA Server計算機如果這還不能解決問題那麼可能不是ISA Server配置的問題這時應該執行網絡故障排除用網絡監視器跟蹤並需要檢查DNS路由表報告日志等
  
  如果在這種簡化的模式下能訪問Internet那麼再一項一項地將網絡單元導入判斷問題的原因例如如果能在一個給定的客戶端上訪問Internet就可以試著從該計算機上使用指定的Internet程序如果遇到問題可以認為要麼是應用程序沒有正確配置為把ISA Server作為代理服務器使用要麼就是該程序不能使用代理服務器對於不能使用代理服務器的程序必須將客戶機配置成安全網絡地址轉換客戶端或者是運行防火牆客戶端軟件在重新配置客戶機以後注意其行為上的變化可以認為自動發現特性配置不正確這樣出現問題不斷解決直到為特定的配置添加了所有所需的網絡組件
  
  VPN網絡考慮事項
  在VPN網絡中故障排除也從上述建立簡化網絡環境入手如果已運行了新建VPN向導應當先證實已運行了Routing and Remote Access服務然後確保已將客戶機配置成安全網絡地址轉換客戶端而非防火牆客戶端
  
  此外還需要證實Local ISA Server VPN Configuration向導已經在Routing and Remote Access中創建了適當的請求撥號接口可在Routing Interfaces節點對此進行檢查如圖 所示
   
  在此之後確認為VPN連接選擇的每一個身份驗證協議都創建了個IP數據數據包篩選器例如如果VPN網絡配置為使用LTP或PPTP則Local ISA Server VPN Configuration向導應該創建並啟動個IP數據數據包篩選器(對於LTP配置向導為端口創建自定義的常規篩選器對於PPTP配置向導為PPTP呼叫和PPTP接收創建預定義的篩選器)
  
  如果已經創建了合適的接口與IP數據數據包篩選器且如果重啟計算機也無濟於事那麼建議您刪除VPN向導創建的IP數據數據包篩選器禁用Routing and Remote Access再次運行VPN向導
  
   附加故障排除注解
  在ISA Server中排除故障時可以先參考下列表格下表總結了有關ISA Server各個方面的常見問題及解決方法
   
   
   
   
    
   小結
  要排除ISA Server中的訪問故障最好的辦法是從確定問題是基於用戶的還是基於數據包的入手如果連接能力因用戶而異或者網絡資源從IP實用程序如Ping Tracert等可以訪問而不是通過所有的用戶賬戶訪問那麼訪問問題是基於用戶的如果網絡訪問並不因用戶而異或者使用IP實用程序無法連接到網絡資源那麼訪問問題是基於數據包的
  
  要排除基於用戶的訪問問題應當先檢查訪問策略規則確保已經許可適當的用戶訪問合適的站點內容組和協議另外如果要把為指定的用戶和組配置的訪問策略規則應用到Web會話應當確認陣列屬性已配置成要求傳出Web 請求進行身份驗證最後應當確認為陣列配置了合適的身份驗證方法
  
  要在ISA Server中排除基於數據包的訪問問題先盡可能簡化網絡配置然後執行訪問測試如果在簡化的網絡環境裡還是遇到網絡問題則可能是ISA Server配置造成的如果它與 ISA Server無關接著根據網絡訪問問題排除配置故障如果能在簡化測試配置中訪問Internet則可以逐一導入網絡單元直到斷定出問題的地方附加的VPN連接故障排除參考包括驗證VPN客戶機被配置成安全網絡地址轉換客戶端啟動了Routing And Remote Access為VPN創建了適當的請求撥號接口以及為VPN選擇的每個身份驗證協議都啟動了個IP數據數據包篩選器
   本章復習
  下列問題幫助您鞏固本章所講的關鍵知識如果您回答下列問題有困難請先復習相關各節然後再試著回答問題問題的答案在附錄A中
  
     您的網絡配置是由安裝在DMZ 的ISA Server組成的ISA Server後的地址空間由子網/組成在ISA Server計算機前的DMZ已經配置了子網 /ISA Server計算機內部地址是外部地址是外部網關地址是
  
  不能從任何在ISA Server後的客戶計算機上訪問Internet在ISA Server計算機上在C:>提示符下運行Route打印命令接收到的輸出如圖 所示
  educitycn/img_///jpg >
  在路由表中有什麼錯誤?使用路由命令怎樣解決問題?
  
     在重新啟動問題中指定的計算機後結果又出現同樣的問題怎樣避免每次重啟都要重新配置路由表?
  
    用什麼工具可以發現進行中的SYN攻擊?SYN攻擊有什麼警報性標記?
  
    試圖telnet連接到一個指定的TCP
From:http://tw.wingwit.com/Article/Fault/201311/10532.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.