ISA Server 2006排错最佳实践

作为一个ISA防火墙管理员......

为了使用ISA防火墙,你应该掌握以下基础知识:

TCP/IP网络和路由基础

Windows 网络基础服务(DNS、DHCP、WINS)

远程访问技术基础(×××)

为了更好的使用ISA防火墙和排除其故障,建议你掌握:

虚拟机: Virtual PC Virtual Server

Sniffer:

WildPackets EtherPeek/Omnipeek

NetworkInstruments Observer

Microsoft Network Monitor 3.1

使用ISA Server......

由于ISA Server的管理界面及操作非常人性化,ISA Server的配置非常简单

但是由于涉及的方面太广,要正确的配置ISA Server却不简单: Need Why How

ISA Server内核高度封装: 执行排错和故障分析比较困难

Troubleshooting ISA:

对ISA Server具有深入的了解是执行排错的基础

如果不能确定具体的原因,则从易到难、从简到繁执行排错;

熟悉排错工具的使用,并且了解这些工具的使用场景;

做任何修改之前,记得对ISA进行备份;

不要在ISA服务器上安装无必要的软件。

用于排错的支持工具: 警告增强型日志查看诊断日志性能监视器 ISA最佳实践分析工具(BPA) TCP/IP诊断工具 Sniffer

增强型日志查看:

需要安装KB 939455, ISA 2006支持更新包

提供更为直观、清晰的日志查看: 日志说明窗格日志着色

诊断日志:

需要安装KB 939455, ISA 2006支持更新包;

提供ISA Server内部工作过程的跟踪信息;

防火墙策略访问: 提供有关防火墙策略规则评估的诊断事件;

身份验证: 提供有关ISA 服务器身份验证过程的信息。

对性能会有较大影响;

十大故障:

Windows 2003 SP2兼容性问题;

HTTP兼容性问题;

访问非443端口的HTTPS被拒绝;

SNAT不支持用户身份验证;

FTP无法上传;

无法访问外部网络;

Web发布-阻止高位字符;

Web发布-拒绝在HTTP上进行身份验证;

防火墙客户端无法正常连接到ISA

用户超出连接限制

ISA与Windows 2003 SP2的兼容性问题:

症状: 安装SP2之后,NAT无法正常工作或服务器无法正常通讯;

故障原因: 网络适配器硬件所计算出来的TCP哈希值与NAT所计算出来的TCP哈希值不一致,导致数据包无法正确识别;

解决方案: HKLMSYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableRSS = 0 在设备管理器硬件高级属性中关闭接收端调节功能。

HTTP兼容性问题:

症状:

访问web站点时出现: 通过其他路由器可以访问Web站点,但是通过ISA无法访问等

64找不到主机,但是DNS解析正常;

无法访问,在日志中显示被HTTP过虑器拒绝;

日志中显示失败的连接尝试;

不支持的HTTP头;

解压缩失败/不支持的压缩方式等;

......

故障原因:

ISA是应用层防火墙,可以根据访问的Web站点内容来进行访问控制;

ISA严格按照RFC国际标准进行过滤;

目前很多Web站点不是严格按照RFC标准进行开发;

导致访问这些Web站点时,被ISA的应用层过滤所拒绝;

部分程序为了防止普通防火墙的封锁,通过TCP 80端口来传输非HTTP数据,例如QQ等

解决方案:

进行操作之前,考虑安全风险先;

针对此服务器使用自定义TCP 80出站协议访问: 不要配置客户为Web代理客户;

禁用HTTP压缩;

禁用对应的Web过滤器: HTTP压缩筛选器与缓存压缩内容筛选器;

禁用ISA的Web应用层过滤

访问非443端口的HTTPS被拒绝:

症状: Web代理客户在使用HTTPS访问非443端口的安全Web服务时,被ISA拒绝;

故障原因: 为了防止用户的非法访问,ISA的Web应用层过滤只允许基于标准HTTPS端口TCP 443的HTTPS连接。

解决方案: 配置客户为SNAT或者FWC客户扩展SSL端口;

SNAT客户不支持用户身份验证:

症状: 当防火墙策略要求用户身份验证时,SNAT客户无法进行访问;

故障原因: SNAT客户不支持用户身份验证,因此当防火墙策略要求用户身份验证时,SNAT客户的访问请求被ISA拒绝。

解决方案: 取消用户身份验证配置客户为Web代理客户或防火墙客户。

FTP无法上传:

症状: 当成功连接到FTP服务器(TCP 21端口)后,无法上传数据;错误显示为550,访问被拒绝;

故障原因: 为了保障企业网络的安全性,默认情况下,ISA的应用层过滤禁止FTP上传;

解决方案: 在防火墙策略的配置FTP中取消"只读"选项;

无法访问外部网络:

症状: 无法访问外部网络或部分程序无法访问;

故障原因: 防火墙策略未允许;

解决方案: 建立访问规则允许用户访问分析防火墙日志,获取应用程序需要开放的端口;

Web发布-阻止高位字符:

症状: 无法使用包含非ANSI字符的URL地址(例如包含中文字符的URL)来访问发布的Web服务器;

故障原因: 为了保障Web服务器的安全性,ISA拒绝包含非ANSI字符的URL地址;

解决方案: 取消阻止高位字符;

Web发布-拒绝在HTTP上进行身份验证:

症状: 用户访问HTTP服务器,当要求用户身份验证,访问被ISA拒绝;

故障原因: 为了保障Web服务器的安全性,默认情况下,ISA 2006拒绝在HTTP上进行身份验证;

解决方案: 取消禁止在HTTP上进行身份验证;

防火墙客户端无法正常连接到ISA:

症状: 当FWC连接ISA时,测试返回无法解析的名字,从而不能正常的连接到ISA;

故障原因: 默认情况下,ISA使用自己的FQDN来作为返回给FWC的名字,但是如果FWC不能正确解析此名字,则提示上述错误;

解决方案: 配置ISA使用IP作为返回给FWC的名字确保针对ISA域名的DNS解析成功;

用户超出连接限制:

症状: 用户无法进行访问日志中出现"QUOTA_EXCEED"等信息;

故障原因: 用户超出了ISA的并发连接限制;

解决方案: 检查此用户是否使用P2P软件或中病毒提高ISA并发连接限制;

转载于:https://blog.51cto.com/yejunsheng/175814

ISA Server 2006排错最佳实践相关推荐

ISA Server 2006 安全保障指南
Alan Maddison 概览: 服务器安全保障最佳实践安装安全配置向导安全配置向导演练分配管理角色目录保障服务器的安全安装安全配置向导运行 SCW 管理角色当前,众多 IT 专家正 ...
Windows域环境下部署ISA Server 2006防火墙（四）
构建基于ISA Server 2006的远程接入×××服务器<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:off ...
ISA Server 2006 的内部客户端概念
来源于微软台湾站点前言:Microsoft® Internet Security and Acceleration (ISA) Server 2006 使用多种通讯层来保护公司网络.ISA Se ...
使用ISA Server 2006的DMZ区保护内网的服务器群
使用ISA Server 2006的DMZ区保护内网的服务器群在大多数单位中,网络中的所有服务器通常接在核心交换机上,工作站通过接入层交换机接到核心交换机,服务器与工作站划分在不同的VLAN中,如图 ...
配置ISA Server 2006 ×××使用户轻松连接内网
ISA Server所支持的×××功能: 远程访问××× 站点间××× 可支持的×××通讯协议: PPTP L2TP IPSec 可使用网络规则及访问规则来控制×××网络与其他网络间 ...
实用ISA Server 2006之一：简介
实用ISA Server 2006之一: 简介参考了一些资料.有些朋友的文档和自己的使用过程,整理了实用ISA Server 2006系列,希望对想学想用ISA Server 2006 的朋友有些帮 ...
可以下载Microsoft ISA Server 2006 试用版了，网管需要关注
下载试用版地址:http://www.microsoft.com/china/isaserver/2006/beta.mspx 2006 FAQ: http://www.microsoft.com/c ...
从ISA Server 2006升级到TMG2010
ISA Server的下个版本TMG2010已经发布有一段时间了,现在正在逐渐将原来的ISA Server 2006升级到TMG2010.由于TMG2010需要64位的CPU与Windows Serv ...
ISA Server 2006的全自动无人职守安装
ISA Server 2006的全自动无人职守安装王春海有些服务器,例如作为托管的服务器来说,把服务器放到托管机房后,所有对服务器的管理与操作都要通过远程控制来进行,如在服务器上安装一些软件.修改 ...

ISA Server 2006排错最佳实践

ISA Server 2006排错最佳实践相关推荐

最新文章

热门文章