ISA 2006 Server排錯(上)

1、 Isa 與 windows 2003 sp2 的兼容性問題

症狀：

安裝 sp2 以後， nat 沒法正常工做或服務沒法正常通信；

故障緣由：

網絡適配器硬件所計算機出來的 tcp 哈希值與 nat 所計算出來的 tcp 哈希值不一致，致使數據包沒法正確識別；

解決方案：

HKLMSYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableRSS=0

在設備管理器硬件高級屬性中關閉接收端調節功能

 

2、 HTTP 兼容性問題

症狀：

訪問 web 站點時出現：

經過其餘路由器能夠訪問 web 站點，可是經過 isa 沒法訪問等

64 找不到主機，大師 dns 解析正常；

沒法訪問，在日誌中顯示被 http 過濾器拒絕；

日誌中顯示失敗的鏈接性嘗試；

不支持的 http 頭；

解壓縮失敗 / 不支持的壓縮方式等

 

故障緣由：

Isa 是應用層防火牆，能夠根據訪問的 web 站點內容進行訪問控制；

Isa 嚴格按照 rfc 國際標準進行過濾；

目前不少 web 站點不是嚴格按照 rfc 標準進行開發

致使訪問這些 web 站點時，被 isa 的應用層過濾所拒絕；

部分程序爲了防止普通防火牆的封鎖，經過 tcp80 端口來傳輸非 http 數據，例如 QQ 等

 

解決方案：

進行操做以前，考慮安全風險先；

1 、針對此服務器使用自定義 tcp80 出站協議訪問；

   不要配置客戶爲 web 代理客戶；

2 、禁用 http 壓縮

 

 

禁用 3 和 10

3 、禁用對應的 web 過濾器

http 壓縮篩選器與緩存壓縮內容篩選器；

 

 

把 web 代理篩選器去掉

4 、禁用 isa 的 web 應用層過濾。

 

3、訪問非 443 端口的 https 被拒絕

症狀：

Web 代理客戶在使用 https 訪問非 443 端口的安全 web 服務時，被 isa 拒絕；

故障緣由：

爲了防止用戶的非法訪問， isa 的 web 應用層過濾只容許基於標準 https 端口 tcp443 的 https 鏈接。

解決方案：

配置客戶爲 snat 或者 fwc 客戶端；

擴展 ssl 端口；

   1 、下載 isa_tpr.js 文件，拷貝到 ISA 服務器上，

2 、運行，在第一個對話框上可看到當前狀態信息 「This is your current Tunnel Port Range list」 ，點肯定
3 、此時， NNTP 端口顯示出來了，點擊肯定
4 、而後， SSL 端口顯示出來了，點擊肯定
5 、如今複製 isa_tpr.js 這個文件到 C 盤根目錄，而後打開一個命名提示符窗口，輸入如下命令： isa_tpr.js /?
6 、添加一個新的 SSL 隧道端口，例如 8848 ，輸入： Cscript isa_tpr.js /add Ext8848 8848
7 、此時，你能夠看到以下的信息，提示你命令運行成功
還能夠添加一段端口範圍

Cscript isa_tpr.js /add Ext500-600 500 600
另外，你還能夠下載 Steven Soekrasno 編寫的 .NET 程序， ISATpre.zip ，而後在 ISA 上安裝便可。

端口添加完成後，記得重啓 ISA Server 服務！

 

4、 Snat 客戶不支持用戶身份驗證

症狀：

當防火牆策略要求身份驗證時， snat 客戶端沒法進行訪問；

故障緣由：

Snat 客戶端不支持用戶身份驗證，所以當防火牆策略要求用戶身份驗證時， snat 客戶的訪問請求被 isa 拒絕。

解決方案：

取消用戶身份驗證；

配置客戶端爲 web 代理客戶或防火牆客戶端。

 

5、 ftp 沒法上傳

症狀：

當成功鏈接到 ftp 服務器（ tcp21 端口）後，沒法上傳數據；錯誤爲 550. 訪問被拒絕；

故障緣由：

爲了保障企業網絡的安全性，默認狀況下， isa 的應用層過濾禁止 ftp 上傳；

解決方案

在防火牆策略的配置 ftp 中取消「只讀」選項；

在用容許 ftp 的規則上點擊右鍵——選擇「配置 ftp 」

 

 

把只讀的勾去掉