ISA Server故障排除策略
　 　　10.2　ISA Server故障排除策略
　　　　 系統(tǒng)方法是成功排除故障的必要條件。當(dāng)遇到意外的ISA Server錯(cuò)誤時(shí)，可以從辨別錯(cuò)誤是基于用戶的還是基于數(shù)據(jù)包的入手進(jìn)行故障排除。本節(jié)為兩種類型的連接問(wèn)題提供了故障排除策略。

　　 本節(jié)學(xué)習(xí)目標(biāo)
　　 排除基于用戶的訪問(wèn)問(wèn)題。

　　 排除基于數(shù)據(jù)包的訪問(wèn)問(wèn)題。

　　 排除ISA Server里VPN連接的故障。

　　 估計(jì)學(xué)習(xí)時(shí)間：30分鐘
　　 10.2.1　用戶訪問(wèn)故障排除
　　　　 當(dāng)用戶賬戶訪問(wèn)被中斷或者不可用時(shí)，可能是由于用戶安全要求過(guò)于嚴(yán)格、規(guī)則配置不正確、身份驗(yàn)證方法不夠全面等造成的。出現(xiàn)此類情況時(shí)，Ping，Tracert等工具就有用武之地了。

　　　　 要排除基于用戶的訪問(wèn)問(wèn)題，首先檢查訪問(wèn)策略規(guī)則。通過(guò)已配置的訪問(wèn)策略規(guī)則，確認(rèn)無(wú)法建立網(wǎng)絡(luò)連接的用戶已經(jīng)被許可擁有連接站點(diǎn)，內(nèi)容組和協(xié)議的權(quán)限。

　　 如果所配置的規(guī)則不能成功應(yīng)用到用戶會(huì)話中去，確認(rèn)陣列屬性配置為向未認(rèn)證用戶要求身份證明。同時(shí)注意，如果創(chuàng)建一個(gè)允許類型的訪問(wèn)政策并應(yīng)用到指定的用戶和組上，會(huì)要求用戶會(huì)話通過(guò)ISA Server身份驗(yàn)證。另一方面，如果要所有的Web會(huì)話保持匿名時(shí)，對(duì)Web會(huì)話的訪問(wèn)受到拒絕，那么確定陣列屬性不要求匿名用戶進(jìn)行身份驗(yàn)證。另外，刪除所有應(yīng)用到指定Win2000用戶和組上的允許類型的站點(diǎn)和內(nèi)容規(guī)則或協(xié)議規(guī)則。

　　 身份驗(yàn)證

　　　　 在陣列屬性中，對(duì)身份驗(yàn)證方法的選擇將影響到用戶的連接能力。每種身份驗(yàn)證方法是專為某種網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的。如果在網(wǎng)絡(luò)配置中選擇了不兼容的身份驗(yàn)證方法，或者是方法配置不正確，用戶將不能訪問(wèn)ISA Server計(jì)算機(jī)和網(wǎng)絡(luò)。

　　　　 例如，陣列的默認(rèn)身份驗(yàn)證模式是集成的Windows身份驗(yàn)證。但此方法不能驗(yàn)證運(yùn)行非Windows操作系統(tǒng)的客戶機(jī)。如果要在ISA Server中為此類客戶提供驗(yàn)證的訪問(wèn)服務(wù)，則必須把陣列屬性配置為使用其他的身份驗(yàn)證方法。同樣，集成的Windows身份驗(yàn)證與Netscape也不兼容，因?yàn)镹etscape不能傳遞NTLM格式的用戶證書(shū)。它的另一個(gè)限制是依靠Kerberos V5身份驗(yàn)證協(xié)議或它自己的質(zhì)詢/響應(yīng)身份驗(yàn)證協(xié)議，然而在直通式身份驗(yàn)證方案中，如圖 10.3所示，ISA Server不支持Kerberos V5身份驗(yàn)證協(xié)議，因?yàn)镵erberos V5要求客戶機(jī)能識(shí)別驗(yàn)證身份的服務(wù)器。

　　 在ISA Server中，可選的身份驗(yàn)證方法有Basic、Digest、Client Certificate等。Basic身份驗(yàn)證與所有客戶類型都兼容，然而，因?yàn)榇朔椒ㄊ且悦鞔a而不加密的格式傳遞用戶名和密碼的，它的安全性就不夠了。Digest身份驗(yàn)證僅能在Windows2000域中使用，密碼傳遞采用明碼但加密的文本進(jìn)

　　 行。Client Certificate身份驗(yàn)證使用SSL通道來(lái)驗(yàn)證。它需要在ISA Server 計(jì)算機(jī)上的Web代理服務(wù)證書(shū)庫(kù)中安裝客戶證書(shū)，且證書(shū)應(yīng)該映射到適當(dāng)?shù)挠脩糍~戶。ISA Server只在SSL橋接配置時(shí)提供客戶證書(shū)。

　　 10.2.2　基于數(shù)據(jù)包的訪問(wèn)故障排除
　　　　 當(dāng)所有用戶都不能訪問(wèn)網(wǎng)絡(luò)時(shí)，或基于IP的實(shí)用程序如Ping、Tracert操作失敗時(shí)，可以斷定為基于數(shù)據(jù)包的訪問(wèn)問(wèn)題。

　　 在ISA Server中，要排除基于數(shù)據(jù)包的訪問(wèn)故障，先盡可能地簡(jiǎn)化網(wǎng)絡(luò)配置，形成一個(gè)測(cè)試　　環(huán)境。

　　 Ø　　　　　建立網(wǎng)絡(luò)故障排除配置

　　 1.　　啟動(dòng)數(shù)據(jù)包過(guò)濾，創(chuàng)建一個(gè)自定義的數(shù)據(jù)包篩選器以允許任何IP協(xié)議都能傳入、傳出。

　　 2.　　創(chuàng)建一個(gè)協(xié)議規(guī)則，允許任何請(qǐng)求的IP通信，確定已有一個(gè)站點(diǎn)和內(nèi)容規(guī)則來(lái)允許訪問(wèn)所有站點(diǎn)和內(nèi)容組。

　　 3.　　將所有程序篩選器和路由規(guī)則恢復(fù)成默認(rèn)設(shè)置。

　　 4.　　驗(yàn)證已將本地地址表定義在ISA Server內(nèi)部客戶范圍內(nèi)。

　　 5.　　在 IP Packet Filters Properties對(duì)話框中，啟動(dòng)IP Routing。


　　 注意　IP Routing選項(xiàng)為有輔助連接的協(xié)議提供路由能力。此設(shè)置對(duì)邊界網(wǎng)絡(luò)配置尤為重要?？梢栽贗SA Management 的IP Packet Filters Properties對(duì)話框中或Routing and Remote Access 控制臺(tái)中，啟動(dòng)IP路由選項(xiàng)。


　　 6.　　在 ISA Server計(jì)算機(jī)上，確保沒(méi)有為內(nèi)部接口定義默認(rèn)的網(wǎng)關(guān)。不過(guò)，確保外部接口上指定了合適的默認(rèn)網(wǎng)關(guān)。

　　 7.　　 在試圖建立訪問(wèn)連接的客戶端上，禁用防火墻客戶端軟件，并將 ISA Server指定為默認(rèn)網(wǎng)關(guān)。

　　 一旦以這種簡(jiǎn)化的方式配置了 ISA Server，重啟ISA Server服務(wù)。如果仍然不能訪問(wèn)網(wǎng)絡(luò)，那么重啟ISA Server計(jì)算機(jī)。如果這還不能解決問(wèn)題，那么可能不是ISA Server配置的問(wèn)題。這時(shí)，應(yīng)該執(zhí)行網(wǎng)絡(luò)故障排除。用網(wǎng)絡(luò)監(jiān)視器跟蹤并需要檢查DNS、路由表、報(bào)告、日志等。

　　　　 如果在這種簡(jiǎn)化的模式下能訪問(wèn)Internet，那么再一項(xiàng)一項(xiàng)地將網(wǎng)絡(luò)單元導(dǎo)入，判斷問(wèn)題的原因。例如，如果能在一個(gè)給定的客戶端上訪問(wèn)Internet，就可以試著從該計(jì)算機(jī)上使用指定的Internet程序。如果遇到問(wèn)題，可以認(rèn)為要么是應(yīng)用程序沒(méi)有正確配置為把ISA Server作為代理服務(wù)器使用，要么就是該程序不能使用代理服務(wù)器。對(duì)于不能使用代理服務(wù)器的程序，必須將客戶機(jī)配置成安全網(wǎng)絡(luò)地址轉(zhuǎn)換客戶端或者是運(yùn)行防火墻客戶端軟件。在重新配置客戶機(jī)以后，注意其行為上的變化。可以認(rèn)為自動(dòng)發(fā)現(xiàn)特性配置不正確。這樣出現(xiàn)問(wèn)題不斷解決，直到為特定的配置添加了所有所需的網(wǎng)絡(luò)組件。

　　 VPN網(wǎng)絡(luò)考慮事項(xiàng)
　　　　 在VPN網(wǎng)絡(luò)中，故障排除也從上述建立簡(jiǎn)化網(wǎng)絡(luò)環(huán)境入手。如果已運(yùn)行了新建VPN向?qū)В瑧?yīng)當(dāng)先證實(shí)已運(yùn)行了Routing and Remote Access服務(wù)。然后，確保已將客戶機(jī)配置成安全網(wǎng)絡(luò)地址轉(zhuǎn)換客戶端，而非防火墻客戶端。

　　　　 此外，還需要證實(shí)LocaISA Server VPN Configuration向?qū)б呀?jīng)在Routing and Remote Access中創(chuàng)建了適當(dāng)?shù)恼?qǐng)求撥號(hào)接口?？稍赗outing Interfaces節(jié)點(diǎn)對(duì)此進(jìn)行檢查，如圖 10.4所示。

　　 在此之后，確認(rèn)為VPN連接選擇的每一個(gè)身份驗(yàn)證協(xié)議都創(chuàng)建了2個(gè)IP數(shù)據(jù)數(shù)據(jù)包篩選器。例如，如果VPN網(wǎng)絡(luò)配置為使用L2TP或PPTP，則LocaISA Server VPN Configuration向?qū)?yīng)該創(chuàng)建并啟動(dòng)4個(gè)IP數(shù)據(jù)數(shù)據(jù)包篩選器。(對(duì)于L2TP，配置向?qū)槎丝?00和1701創(chuàng)建自定義的常規(guī)篩選器。對(duì)于PPTP，配置向?qū)镻PTP呼叫和PPTP接收創(chuàng)建預(yù)定義的篩選器)。

最新評(píng)論