ISA 2006 Server排错(上)

1、 Isa 与 windows 2003 sp2 的兼容性问题

症状：

安装 sp2 以后， nat 没法正常工做或服务没法正常通信；

故障缘由：

网络适配器硬件所计算机出来的 tcp 哈希值与 nat 所计算出来的 tcp 哈希值不一致，致使数据包没法正确识别；

解决方案：

HKLMSYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableRSS=0

在设备管理器硬件高级属性中关闭接收端调节功能

 

2、 HTTP 兼容性问题

症状：

访问 web 站点时出现：

经过其余路由器能够访问 web 站点，可是经过 isa 没法访问等

64 找不到主机，大师 dns 解析正常；

没法访问，在日志中显示被 http 过滤器拒绝；

日志中显示失败的链接性尝试；

不支持的 http 头；

解压缩失败 / 不支持的压缩方式等

 

故障缘由：

Isa 是应用层防火墙，能够根据访问的 web 站点内容进行访问控制；

Isa 严格按照 rfc 国际标准进行过滤；

目前不少 web 站点不是严格按照 rfc 标准进行开发

致使访问这些 web 站点时，被 isa 的应用层过滤所拒绝；

部分程序为了防止普通防火墙的封锁，经过 tcp80 端口来传输非 http 数据，例如 QQ 等

 

解决方案：

进行操做以前，考虑安全风险先；

1 、针对此服务器使用自定义 tcp80 出站协议访问；

   不要配置客户为 web 代理客户；

2 、禁用 http 压缩

 

 

禁用 3 和 10

3 、禁用对应的 web 过滤器

http 压缩筛选器与缓存压缩内容筛选器；

 

 

把 web 代理筛选器去掉

4 、禁用 isa 的 web 应用层过滤。

 

3、访问非 443 端口的 https 被拒绝

症状：

Web 代理客户在使用 https 访问非 443 端口的安全 web 服务时，被 isa 拒绝；

故障缘由：

为了防止用户的非法访问， isa 的 web 应用层过滤只容许基于标准 https 端口 tcp443 的 https 链接。

解决方案：

配置客户为 snat 或者 fwc 客户端；

扩展 ssl 端口；

   1 、下载 isa_tpr.js 文件，拷贝到 ISA 服务器上，

2 、运行，在第一个对话框上可看到当前状态信息 “This is your current Tunnel Port Range list” ，点肯定
3 、此时， NNTP 端口显示出来了，点击肯定
4 、而后， SSL 端口显示出来了，点击肯定
5 、如今复制 isa_tpr.js 这个文件到 C 盘根目录，而后打开一个命名提示符窗口，输入如下命令： isa_tpr.js /?
6 、添加一个新的 SSL 隧道端口，例如 8848 ，输入： Cscript isa_tpr.js /add Ext8848 8848
7 、此时，你能够看到以下的信息，提示你命令运行成功
还能够添加一段端口范围

Cscript isa_tpr.js /add Ext500-600 500 600
另外，你还能够下载 Steven Soekrasno 编写的 .NET 程序， ISATpre.zip ，而后在 ISA 上安装便可。

端口添加完成后，记得重启 ISA Server 服务！

 

4、 Snat 客户不支持用户身份验证

症状：

当防火墙策略要求身份验证时， snat 客户端没法进行访问；

故障缘由：

Snat 客户端不支持用户身份验证，所以当防火墙策略要求用户身份验证时， snat 客户的访问请求被 isa 拒绝。

解决方案：

取消用户身份验证；

配置客户端为 web 代理客户或防火墙客户端。

 

5、 ftp 没法上传

症状：

当成功链接到 ftp 服务器（ tcp21 端口）后，没法上传数据；错误为 550. 访问被拒绝；

故障缘由：

为了保障企业网络的安全性，默认状况下， isa 的应用层过滤禁止 ftp 上传；

解决方案

在防火墙策略的配置 ftp 中取消“只读”选项；

在用容许 ftp 的规则上点击右键——选择“配置 ftp ”

 

 

把只读的勾去掉