|
ISA Server故障排除策略 系统方法是成功排除故障的必要条件当遇到意外的ISA Server错误时可以从辨别错误是基于用户的还是基于数据包的入手进行故障排除本节为两种类型的连接问题提供了故障排除策略 本节学习目标 l排除基于用户的访问问题 l排除基于数据包的访问问题 l排除ISA Server里VPN连接的故障 估计学习时间分钟 用户访问故障排除 当用户账户访问被中断或者不可用时可能是由于用户安全要求过于严格规则配置不正确身份验证方法不够全面等造成的出现此类情况时PingTracert等工具就有用武之地了 要排除基于用户的访问问题首先检查访问策略规则通过已配置的访问策略规则确认无法建立网络连接的用户已经被许可拥有连接站点内容组和协议的权限 如果所配置的规则不能成功应用到用户会话中去确认阵列属性配置为向未认证用户要求身份证明同时注意如果创建一个允许类型的访问政策并应用到指定的用户和组上会要求用户会话通过ISA Server身份验证另一方面如果要所有的Web会话保持匿名时对Web会话的访问受到拒绝那么确定阵列属性不要求匿名用户进行身份验证另外删除所有应用到指定Win用户和组上的允许类型的站点和内容规则或协议规则 身份验证 在阵列属性中对身份验证方法的选择将影响到用户的连接能力每种身份验证方法是专为某种网络环境设计的如果在网络配置中选择了不兼容的身份验证方法或者是方法配置不正确用户将不能访问ISA Server计算机和网络 例如阵列的默认身份验证模式是集成的Windows身份验证但此方法不能验证运行非Windows操作系统的客户机如果要在ISA Server中为此类客户提供验证的访问服务则必须把阵列属性配置为使用其他的身份验证方法同样集成的Windows身份验证与Netscape也不兼容因为Netscape不能传递NTLM格式的用户证书它的另一个限制是依靠Kerberos V身份验证协议或它自己的质询/响应身份验证协议然而在直通式身份验证方案中如图 所示ISA Server不支持Kerberos V身份验证协议因为Kerberos V要求客户机能识别验证身份的服务器 在ISA Server中可选的身份验证方法有BasicDigestClient Certificate等Basic身份验证与所有客户类型都兼容然而因为此方法是以明码而不加密的格式传递用户名和密码的它的安全性就不够了Digest身份验证仅能在Windows域中使用密码传递采用明码但加密的文本进 行Client Certificate身份验证使用SSL通道来验证它需要在ISA Server 计算机上的Web代理服务证书库中安装客户证书且证书应该映射到适当的用户账户ISA Server只在SSL桥接配置时提供客户证书 基于数据包的访问故障排除 当所有用户都不能访问网络时或基于IP的实用程序如PingTracert操作失败时可以断定为基于数据包的访问问题 在ISA Server中要排除基于数据包的访问故障先尽可能地简化网络配置形成一个测试环境 Ø建立网络故障排除配置 启动数据包过滤创建一个自定义的数据包筛选器以允许任何IP协议都能传入传出 创建一个协议规则允许任何请求的IP通信确定已有一个站点和内容规则来允许访问所有站点和内容组 将所有程序筛选器和路由规则恢复成默认设置 验证已将本地地址表定义在ISA Server内部客户范围内 在 IP Packet Filters Properties对话框中启动IP Routing 注意IP Routing选项为有辅助连接的协议提供路由能力此设置对边界网络配置尤为重要可以在ISA Management 的IP Packet Filters Properties对话框中或Routing and Remote Access 控制台中启动IP路由选项 在 ISA Server计算机上确保没有为内部接口定义默认的网关不过确保外部接口上指定了合适的默认网关 在试图建立访问连接的客户端上禁用防火墙客户端软件并将 ISA Server指定为默认网关 一旦以这种简化的方式配置了 ISA Server重启ISA Server服务如果仍然不能访问网络那么重启ISA Server计算机如果这还不能解决问题那么可能不是ISA Server配置的问题这时应该执行网络故障排除用网络监视器跟蹤并需要检查DNS路由表报告日志等 如果在这种简化的模式下能访问Internet那么再一项一项地将网络单元导入判断问题的原因例如如果能在一个给定的客户端上访问Internet就可以试着从该计算机上使用指定的Internet程序如果遇到问题可以认为要么是应用程序没有正确配置为把ISA Server作为代理服务器使用要么就是该程序不能使用代理服务器对于不能使用代理服务器的程序必须将客户机配置成安全网络地址转换客户端或者是运行防火墙客户端软件在重新配置客户机以后注意其行为上的变化可以认为自动发现特性配置不正确这样出现问题不断解决直到为特定的配置添加了所有所需的网络组件 VPN网络考虑事项 在VPN网络中故障排除也从上述建立简化网络环境入手如果已运行了新建VPN向导应当先证实已运行了Routing and Remote Access服务然后确保已将客户机配置成安全网络地址转换客户端而非防火墙客户端 此外还需要证实Local ISA Server VPN Configuration向导已经在Routing and Remote Access中创建了适当的请求拨号接口可在Routing Interfaces节点对此进行检查如图 所示 在此之后确认为VPN连接选择的每一个身份验证协议都创建了个IP数据数据包筛选器例如如果VPN网络配置为使用LTP或PPTP则Local ISA Server VPN Configuration向导应该创建并启动个IP数据数据包筛选器(对于LTP配置向导为端口和创建自定义的常规筛选器对于PPTP配置向导为PPTP呼叫和PPTP接收创建预定义的筛选器) 如果已经创建了合适的接口与IP数据数据包筛选器且如果重启计算机也无济于事那么建议您删除VPN向导创建的IP数据数据包筛选器禁用Routing and Remote Access再次运行VPN向导 附加故障排除注解 在ISA Server中排除故障时可以先参考下列表格下表总结了有关ISA Server各个方面的常见问题及解决方法 小结 要排除ISA Server中的访问故障最好的办法是从确定问题是基于用户的还是基于数据包的入手如果连接能力因用户而异或者网络资源从IP实用程序如Ping Tracert等可以访问而不是通过所有的用户账户访问那么访问问题是基于用户的如果网络访问并不因用户而异或者使用IP实用程序无法连接到网络资源那么访问问题是基于数据包的 要排除基于用户的访问问题应当先检查访问策略规则确保已经许可适当的用户访问合适的站点内容组和协议另外如果要把为指定的用户和组配置的访问策略规则应用到Web会话应当确认阵列属性已配置成要求传出Web 请求进行身份验证最后应当确认为阵列配置了合适的身份验证方法 要在ISA Server中排除基于数据包的访问问题先尽可能简化网络配置然后执行访问测试如果在简化的网络环境里还是遇到网络问题则可能是ISA Server配置造成的如果它与 ISA Server无关接着根据网络访问问题排除配置故障如果能在简化测试配置中访问Internet则可以逐一导入网络单元直到断定出问题的地方附加的VPN连接故障排除参考包括验证VPN客户机被配置成安全网络地址转换客户端启动了Routing And Remote Access为VPN创建了适当的请求拨号接口以及为VPN选择的每个身份验证协议都启动了个IP数据数据包筛选器 本章复习 下列问题帮助您巩固本章所讲的关键知识如果您回答下列问题有困难请先复习相关各节然后再试着回答问题问题的答案在附录A中 您的网络配置是由安装在DMZ 的ISA Server组成的ISA Server后的地址空间由子网/组成在ISA Server计算机前的DMZ已经配置了子网 /ISA Server计算机内部地址是外部地址是外部网关地址是 不能从任何在ISA Server后的客户计算机上访问Internet在ISA Server计算机上在C:>提示符下运行Route打印命令接收到的输出如图 所示 educitycn/img_///jpg > 在路由表中有什么错误?使用路由命令怎样解决问题? 在重新启动问题中指定的计算机后结果又出现同样的问题怎样避免每次重启都要重新配置路由表? 用什么工具可以发现进行中的SYN攻击?SYN攻击有什么警报性标记? 试图telnet连接到一个指定的TCP |
