ISA運(yùn)行狀態(tài)時往往會出現(xiàn)很多故障，那么怎樣清除ISA Server故障呢?接下來就由西部數(shù)碼頻道的小編分享一篇關(guān)于清除ISA Server故障的方法給大家吧!

　　ISA Server故障排除策略

　　10.2　ISA Server故障排除策略

　　系統(tǒng)方法是成功排除故障的必要條件。當(dāng)遇到意外的ISA Server錯誤時，可以從辨別錯誤是基于用戶的還是基于數(shù)據(jù)包的入手進(jìn)行故障排除。本節(jié)為兩種類型的連接問題提供了故障排除策略。

　　本節(jié)學(xué)習(xí)目標(biāo)

　　排除基于用戶的訪問問題。

　　排除基于數(shù)據(jù)包的訪問問題。

　　排除ISA Server里VPN連接的故障。

　　估計學(xué)習(xí)時間：30分鐘

　　10.2.1　用戶訪問故障排除

　　當(dāng)用戶賬戶訪問被中斷或者不可用時，可能是由于用戶安全要求過于嚴(yán)格、規(guī)則配置不正確、身份驗(yàn)證方法不夠全面等造成的。出現(xiàn)此類情況時，Ping，Tracert等工具就有用武之地了。

　　要排除基于用戶的訪問問題，首先檢查訪問策略規(guī)則。通過已配置的訪問策略規(guī)則，確認(rèn)無法建立網(wǎng)絡(luò)連接的用戶已經(jīng)被許可擁有連接站點(diǎn)，內(nèi)容組和協(xié)議的權(quán)限。

　　如果所配置的規(guī)則不能成功應(yīng)用到用戶會話中去，確認(rèn)陣列屬性配置為向未認(rèn)證用戶要求身份證明。同時注意，如果創(chuàng)建一個允許類型的訪問政策并應(yīng)用到指定的用戶和組上，會要求用戶會話通過ISA Server身份驗(yàn)證。另一方面，如果要所有的Web會話保持匿名時，對Web會話的訪問受到拒絕，那么確定陣列屬性不要求匿名用戶進(jìn)行身份驗(yàn)證。另外，刪除所有應(yīng)用到指定Win2000用戶和組上的允許類型的站點(diǎn)和內(nèi)容規(guī)則或協(xié)議規(guī)則。

　　身份驗(yàn)證

　　在陣列屬性中，對身份驗(yàn)證方法的選擇將影響到用戶的連接能力。每種身份驗(yàn)證方法是專為某種網(wǎng)絡(luò)環(huán)境設(shè)計的。如果在網(wǎng)絡(luò)配置中選擇了不兼容的身份驗(yàn)證方法，或者是方法配置不正確，用戶將不能訪問ISA Server計算機(jī)和網(wǎng)絡(luò)。

　　例如，陣列的默認(rèn)身份驗(yàn)證模式是集成的Windows身份驗(yàn)證。但此方法不能驗(yàn)證運(yùn)行非Windows操作系統(tǒng)的客戶機(jī)。如果要在ISA Server中為此類客戶提供驗(yàn)證的訪問服務(wù)，則必須把陣列屬性配置為使用其他的身份驗(yàn)證方法。同樣，集成的Windows身份驗(yàn)證與Netscape也不兼容，因?yàn)镹etscape不能傳遞NTLM格式的用戶證書。它的另一個限制是依靠Kerberos V5身份驗(yàn)證協(xié)議或它自己的質(zhì)詢/響應(yīng)身份驗(yàn)證協(xié)議，然而在直通式身份驗(yàn)證方案中，如圖 10.3所示，ISA Server不支持Kerberos V5身份驗(yàn)證協(xié)議，因?yàn)镵erberos V5要求客戶機(jī)能識別驗(yàn)證身份的服務(wù)器。

　　在ISA Server中，可選的身份驗(yàn)證方法有Basic、Digest、Client Certificate等。Basic身份驗(yàn)證與所有客戶類型都兼容，然而，因?yàn)榇朔椒ㄊ且悦鞔a而不加密的格式傳遞用戶名和密碼的，它的安全性就不夠了。Digest身份驗(yàn)證僅能在Windows2000域中使用，密碼傳遞采用明碼但加密的文本進(jìn)

　　行。Client Certificate身份驗(yàn)證使用SSL通道來驗(yàn)證。它需要在ISA Server 計算機(jī)上的Web代理服務(wù)證書庫中安裝客戶證書，且證書應(yīng)該映射到適當(dāng)?shù)挠脩糍~戶。ISA Server只在SSL橋接配置時提供客戶證書。

　　10.2.2　基于數(shù)據(jù)包的訪問故障排除

　　當(dāng)所有用戶都不能訪問網(wǎng)絡(luò)時，或基于IP的實(shí)用程序如Ping、Tracert操作失敗時，可以斷定為基于數(shù)據(jù)包的訪問問題。

　　在ISA Server中，要排除基于數(shù)據(jù)包的訪問故障，先盡可能地簡化網(wǎng)絡(luò)配置，形成一個測試　　環(huán)境。

　　?　　　　　建立網(wǎng)絡(luò)故障排除配置

　　1.　　啟動數(shù)據(jù)包過濾，創(chuàng)建一個自定義的數(shù)據(jù)包篩選器以允許任何IP協(xié)議都能傳入、傳出。

　　2.　　創(chuàng)建一個協(xié)議規(guī)則，允許任何請求的IP通信，確定已有一個站點(diǎn)和內(nèi)容規(guī)則來允許訪問所有站點(diǎn)和內(nèi)容組。

　　3.　　將所有程序篩選器和路由規(guī)則恢復(fù)成默認(rèn)設(shè)置。

　　4.　　驗(yàn)證已將本地地址表定義在ISA Server內(nèi)部客戶范圍內(nèi)。

　　5.　　在 IP Packet Filters Properties對話框中，啟動IP Routing。

　　注意　IP Routing選項為有輔助連接的協(xié)議提供路由能力。此設(shè)置對邊界網(wǎng)絡(luò)配置尤為重要�？梢栽贗SA Management 的IP Packet Filters Properties對話框中或Routing and Remote Access 控制臺中，啟動IP路由選項。

　　6.　　在 ISA Server計算機(jī)上，確保沒有為內(nèi)部接口定義默認(rèn)的網(wǎng)關(guān)。不過，確保外部接口上指定了合適的默認(rèn)網(wǎng)關(guān)。

　　7.　　 在試圖建立訪問連接的客戶端上，禁用防火墻客戶端軟件，并將 ISA Server指定為默認(rèn)網(wǎng)關(guān)。

　　一旦以這種簡化的方式配置了 ISA Server，重啟ISA Server服務(wù)。如果仍然不能訪問網(wǎng)絡(luò)，那么重啟ISA Server計算機(jī)。如果這還不能解決問題，那么可能不是ISA Server配置的問題。這時，應(yīng)該執(zhí)行網(wǎng)絡(luò)故障排除。用網(wǎng)絡(luò)監(jiān)視器跟蹤并需要檢查DNS、路由表、報告、日志等。

　　如果在這種簡化的模式下能訪問Internet，那么再一項一項地將網(wǎng)絡(luò)單元導(dǎo)入，判斷問題的原因。例如，如果能在一個給定的客戶端上訪問Internet，就可以試著從該計算機(jī)上使用指定的Internet程序。如果遇到問題，可以認(rèn)為要么是應(yīng)用程序沒有正確配置為把ISA Server作為代理服務(wù)器使用，要么就是該程序不能使用代理服務(wù)器。對于不能使用代理服務(wù)器的程序，必須將客戶機(jī)配置成安全網(wǎng)絡(luò)地址轉(zhuǎn)換客戶端或者是運(yùn)行防火墻客戶端軟件。在重新配置客戶機(jī)以后，注意其行為上的變化�？梢哉J(rèn)為自動發(fā)現(xiàn)特性配置不正確。這樣出現(xiàn)問題不斷解決，直到為特定的配置添加了所有所需的網(wǎng)絡(luò)組件。

　　VPN網(wǎng)絡(luò)考慮事項

　　在VPN網(wǎng)絡(luò)中，故障排除也從上述建立簡化網(wǎng)絡(luò)環(huán)境入手。如果已運(yùn)行了新建VPN向?qū)�，�?yīng)當(dāng)先證實(shí)已運(yùn)行了Routing and Remote Access服務(wù)。然后，確保已將客戶機(jī)配置成安全網(wǎng)絡(luò)地址轉(zhuǎn)換客戶端，而非防火墻客戶端。

　　此外，還需要證實(shí)LocaISA Server VPN Configuration向?qū)б呀?jīng)在Routing and Remote Access中創(chuàng)建了適當(dāng)?shù)恼埱髶芴柦涌凇？稍赗outing Interfaces節(jié)點(diǎn)對此進(jìn)行檢查，如圖 10.4所示。

　　在此之后，確認(rèn)為VPN連接選擇的每一個身份驗(yàn)證協(xié)議都創(chuàng)建了2個IP數(shù)據(jù)數(shù)據(jù)包篩選器。例如，如果VPN網(wǎng)絡(luò)配置為使用L2TP或PPTP，則LocaISA Server VPN Configuration向?qū)��?yīng)該創(chuàng)建并啟動4個IP數(shù)據(jù)數(shù)據(jù)包篩選器。(對于L2TP，配置向?qū)�為端�?00和1701創(chuàng)建自定義的常規(guī)篩選器。對于PPTP，配置向?qū)�為PPTP呼叫和PPTP接收創(chuàng)建預(yù)定義的篩選器)。

　　以上就是清除ISA Server故障的方法了，想必都了解了吧，更多相關(guān)內(nèi)容請繼續(xù)關(guān)注西部數(shù)碼技術(shù)頻道。

標(biāo)簽： dns ssl 安全 代理服務(wù)器 防火墻 服務(wù)器 服務(wù)器使用 權(quán)限 通信 網(wǎng)絡(luò) 西部數(shù)碼

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。