在下面的练习中,要配置 ISA Server 来发布自动发现特性:
1. 以 Administrator 身份登录到 Server1 。
2. 打开 ISA Management 控制台。
3. 展开控制台树 , 右击 MyArray 节点 , 并单击 Properties 。
出现 MyArray Properties 对话框。
4. 单击 Auto Discovery 选项卡。
5. 选择 Publish Automatic Discovery Information 复选框。
6. 确认自动发现请求的端口设置为 80 ,然后单击 OK 。
出现 ISA Server Warning 对话框。
7. 单击 Save The Changes And Restart The Service(s) 单选钮。
8. 单击 OK 。
为了实现基于 DNS 的自动发现,您需要在 DNS 上创建一个指向 ISA Server 计算机名为 WPAD 别名记录。在 Server1 上操作以下步骤:
1. 单击 Start ,指向 Programs ,再指向 Administrative Tools, 然后单击 DNS. 。
2. 在 DNS 控制台树上,右击现行的正向查找区域,并单击 New Alias 。如果按照“前言”的指导 步骤进行安装, 这个区域应该是 域 01 本地正向查找区域。
3. 在 Alias Name 文本框输入 WPAD 。
4. 在 Fully Qualified Name for Target Host 文本框输入 server1.domain01.local . 。
5. 单击 OK 。
在 Server2 上进行这个练习。要完成本练习,必须已经在 Server2 上安装并启用了防火墙客户端。
1. 以 Administrator 身份从 Server2 登录到 Domain01 。
2. 打开 Coutrol Panel 。
3. 双击 Firewall Client 。
出现 Firewall Client Options 对话框。
4. 选择 Automatically Detect ISA Server 复选框。
5. 单击 Update Now 按钮。
出现一个指示刷新完成的消息框。
6. 单击 OK 按钮来关闭这个消息框。
7. 单击 OK 来关闭 Firewall Client Options 对话框。
配置了自动发现特性之后,就应该验证该特性是否工作。防火墙客户端的自动发现特性要求在客户端启动了防火墙客户端软件。然而,在自动发现特性启动了时,如果它正常工作,防火墙客户端只作为防火墙客户端运行。否则,将成为安全网络地址转换客户端。
因此就可以通过在 ISA Managemen 检查客户端会话信息来判断自动发现特性是否在工作。如果会话提供用户名和计算机名,就可以判定自动发现特性在起作用。如果该会话只提供本次会话的 IP 地址,就可以判断自动发现特性没有正确配置,进而该客户端不能自动发现到 ISA Server 。
1. 以 Administrator 身份登录到 Server2 时,打开一个 命令提示符并输入 nslookup www. microsoft.com. 。
这时应该可以看到一个指示成功连接到外部 DNS 服务器成功的输出文字。
2. 在 Server1 上 ,展开 ISA Management 控制台树,并单击 Sessions 。
3. 在 View 菜单上,确定选中了 Advanced 。
4. 右击详细信息窗格,并单击 Refresh 。
这时会看到活动会话中列出了 Server2 的 Internet 会话。需要注意的是用户名列为 Administrator, 而客户端计算机则为 Server2 。因为身份验证信息正传送到 ISA Server 上,您可以知道客户端是一个防火墙客户端,而且自动发现特性是正常工作的。
配置了自动发现特性,所有的 Web 代理客户端和防火墙客户端都自动发现适当的 ISA Server 计算机。自动发现特性和防火墙客户端一起工作允许客户端自动发现将要使用的 ISA Server 。自动发现和 Web 代理客户端一起工作以便漫游客户在连接 Internet 的时候总是跟一个适当的 ISA Server 连接。为了启动自动发现特性,网络必须配置 DNS 、 DHCP 或者两者都配置。配置自动发现特性要求在 ISA Server 计算机上发布自动发现特性,在客户端上启动自动发现功能,在网络的每一台 DHCP 服务器上配置一个特定的 Web 代理项,还需要保证网络的 DNS 服务器有 ISA Server 计算机的主机 (A) 记录和一个指向 ISA Server 计算机的名称为 WPAD 的别名记录 (CNAME) 。
虽然在原始安装中,通过 ISA Server 建立安全的 Internet 连接是一个很简单的过程,但是有很多因素可以使配置复杂化并引起连接问题。本节将讨论最常见的导致客户端连接和拨号连接出现问题的情况。
• 排除 ISA Server 客户端连接故障
• 排除 ISA Server 上拨号连接故障
• 在配置改变之后会重启 ISA Server 服务
客户端连接的故障范围很广,小到性能低劣,大到到安全网络地址转换、防火墙、 Web 代理客户端完全缺乏 Internet 访问等。为了以后能简化故障排除,避免网络配置中的不必要的复杂性,并了解最初安装之后的所作的改动就非常重要了。总而言之,在排除故障时使用系统的方法很有用处。该方法先检查物理连通性,然后通过不同的网络层来检查配置在 ISA Server 中指定的访问策略。
为了能进一步帮助您排除故障,可以使用表 3.4 来检查客户端配置中最常见的、阻碍 Internet 连接性的错误。
|
问 题 |
原 因 |
解决办法 |
|
对防火墙客户端而言,内部连接较慢 |
由于外部 DNS 服务器可能没有所需的正确的记录,客户端使用外部的 DNS 服务器不能解析本地的域名。在尝试其他的域名解析方法之前,客户端必然要浪费时间来等待对 DNS 的查询超时 |
内部 DNS 服务器应该配置所有内部主机的名称和地址。此外,如果运行数据包筛选器,还需要创建一个 IP 数据数据包筛选器,使用 DNS 查找 ( 一个预先定义的筛选器 ) 来允许 ISA Server 计算机为 Internet 名称发送 DNS 名称查询 |
|
安全网络地址转换客户端无法连接到 Internet |
如果 安全网络地址转换客户端没有正确地配置 , ISA Server 将不能把它们连接到 Internet |
配置默认网关和 DNS 服务器 |
|
客户端无法连接到外部的 SSL 站点 |
当一个客户端通过 Web 代理服务连接到一个安全的 Web 站点时 , 由于该通信是端对端加密的 , ISA Server 必须为它打开一个隧道。默认情况下, ISA Server 只允许隧道连接到端口 443 和 563( 安全新闻 ) 。如果客户端试图连接到一个不在端口 443 和 563 运行的安全站点,该连接就会失败 |
要允许在其他的端口进行隧道连接,需要修改 ISA Administration COM 对象和 FPCProxyTunnelPortRange ( FPC 代理隧道端口范围 ) |
续表
|
问 题 |
原 因 |
解决办法 |
|
安全网络地址转换连接在客户端指定 IP 地址而不是指定计算机名称的时工作 |
如果该客户端使用的 DNS 服务器是一个内部 DNS 服务器,它就不能够解析 Internet 域名 |
配置 DNS 服务器把请求转送到一个外部 (Internet)DNS 服务器。另一种方法是把客户端配置为使用 DNS 服务器。该服务器把名称解析请求转送到外部 DNS 服务器 |
|
虽然有协议规则允许任何 IP 通信,但是安全网络地址转换客户端仍然由于连接超时连接不到指定的端口 |
使用列在 ISA Management 的 Protocol Definitions 节点里的协议 , 安全网络地址转换才能连接。此外 , 协议不能要求辅助连接 , 除非使用该协议的应用程序筛选器是可用的 |
如果该应用程序只使用一个单一端口,定义一个协议。其中,指定端口为主端口。如果应用程序使用多个端口,而且其中的一些端口定义为动态端口,则它们必须由应用程序筛选器来指定和定义 |
|
服务器不能绑定到或者分配要求的端口 |
存在端口分配冲突。 ISA Server 计算机上有多个服务 , 也可能包括 ISA Server 本身 , 要求绑定到外部接口上的一个指定端口上 |
通常 Microsoft 推荐您不要在主防火墙上运行附加的服务。如果可能的话,在 ISA Server 计算机后安装其他的计算机来运行别的服务。把其他的服务器绑定到内部接口,以便只有 ISA Server 在外部接口上侦听 |
一般来讲,造成拨号项故障就少数几个可能的原因。可以参阅下面表 3.5 来排除拨号项的故障。
|
问 题 |
原 因 |
解决办法 |
|
虽然手动可以拨出,但自动拨出到 Internet 失败。 |
虽然为网络拨号连接指定的证书是正确的,但是拨号项证书指定却不正确 |
重新配置拨号项证书 |
|
ISA Server 无权使用拨号连接 |
重新设置拨号连接,允许任何人使用该连接。请参阅 Windows 2000 在线帮助 | |
|
客户端配置成了 安全网络地址转换客户端 |
在客户端上安装并启动防火墙客户端软件 | |
|
拨出到 Internet 失败,因为该拨号连接正被使用 |
计算机上的另一个服务正在使用该拨号连接进行连接 |
等一会——随后又有请求时, ISA Server 会重试该连接。如果问题依然存在,重新启动 ISA Server 服务 |
|
拨号连接断开 |
有人可能无意中断开了拨号连接 |
重新启动 ISA Server 服务,该服务将会自动重新建立连接 |
续表
|
问 题 |
原 因 |
解决办法 |
|
即使没有任何拨号活动,拨号连接也从不挂断 |
无论什么时候发出客户端请求时,即使是一个位于本地网络上的计算机发出的, ISA Server 也会向内部 DNS 服务器和外部 DNS 服务器发出名称解析请求 |
把 ISA Server 配 置为 只使用内部 DNS 服务器。注意:只有内部 DNS 服务器能够在需要时从外部转发名称解析请求,该解决方案才会有效 |
|
不能通过拨号连接到 Internet |
客户端被配置为 安全网络地址转换客户端,并且没有完全配置拨 号项 |
在客户端上安装防火墙客户端软件,或者创建一个拨号项并配置 Network Configuration 属性来通过拨号项向上游路由 |
如果客户端上的 Internet 连接突然中断了,试着重启一个 ISA Server 服务,比如防火墙服务或者 Web 代理服务。对 ISA Server 配置进行更改,要求重启阵列中的所有服务器上的一个或多个 ISA Server 服务。如果不重启 ISA Server 服务,将会丢失客户端连接。在进行此类配置改动的情况下, ISA Management 通常 ( 并非一直 ) 会出现一个消息框,通知该服务需要重启。
|
配置改动 |
需重启的服务 |
|
安装、删除、启动、禁用一个应用程序筛选器 |
防火墙服务 |
|
减少、增加缓存大小,从缓存增减盘 |
防火墙服务 |
|
对 LAT 的改变,影响网络适配器内部或外部状态 |
防火墙服务、 Web 代理服务 |
|
启动或者禁用数据包筛选 |
防火墙服务 |
|
启动或者禁用网络适配器 |
防火墙服务、 Web 代理服务 |
|
改变网络适配器的 IP 地址 |
防火墙服务、 Web 代理服务 |
|
对路由表的改变 |
防火墙服务 |
|
安装、删除、启动、禁用或者改变 Web 筛选器的顺序 |
Web 代理服务 |
|
改变 Web 代理的端口号 |
Web 代理服务 |
|
改变 ISA Management 中的 防火墙客户端 应用程序设置 |
防火墙服务 |
|
更新 SSL 证书 |
Web 代理服务 |
|
向服务列表中添加或者删除服务器 |
Web 代理服务 |
|
改变 H.323 Gatekeeper 的网络接口 |
H.323 Gatekeeper 服务 |
|
改变网络配置属性或者配置防火墙链接 |
防火墙服务 |
图 3.6 所示是 ISA Management 的 Monitor Servers And Services 任务栏,在其上您可以启动或者停止 ISA Server 服务。
按照以下步骤来启动一项服务:
1 . 在 ISA Management 控制台树上 , 单击 Services 。
2. 在 View 菜单 , 单击 Advanced 。
3. 在详细信息窗格 , 右击应用的服务 , 然后单击 Start 。
按照以下步骤来停止一项服务:
1. 在 ISA Management 控制台树上 , 单击 Services 。
2. 在 View 菜单 , 单击 Advanced 。
3. 在详细信息窗格 , 右击可用的服务 , 然后单击 Stop 。
通过避免 ISA Server 配置中不必要的复杂性,并了解自安装以来所作的所有改变,就可以将连接性问题最小化。在排除连接性故障时,利用系统的方法和参照本节所列的常见问题、原因和解决办法可以助您一臂之力。
此外,很多客户端连接中断都是因为对 ISA Server 配置的改动,这些改动需要重启阵列中的所有服务器上一项或多项 ISA Server 服务。
下列问题帮助您巩固本章所讲的关键知识。如果您回答下列问题有困难,请先复习相关各节,然后再试着回答问题。问题的答案在附录 A 中。
1. 假设您为一家公司的两个分部办公室配置 ISA Server 安装,为其提供防火墙和网络缓存服务。您需要评估条件并推荐怎样配置客户端。这两个分部各有 20 个成员。此外,还有 10 个现场工人也到这两个办公室来,他们会把便携式电脑插入到任一一间办公室的任何可用的以太网接口上。办公室的台式机的位置几乎是固定的,同时也不必考虑为任何用户账号设置特定的访问规则。要获得最高安装和维护效率,推荐把哪一台计算机 ( 如果有的话 ) 配置为安全网络地址转换客户端?哪一台 ( 如果有的话 ) 作为防火墙客户端?
2. 防火墙客户端上的 Mspclnt.ini 文件和 Wspcfg.ini 文件之间的区别是什么?
3. 配置了自动发现特性后,它采取什么样的步骤来满足客户端请求?
4. 在 ISA Server 中配置拨号上网项允许在 Web 代理客户端中共享一个安全的 Internet 拨号连接吗?
5. 由于近来已从专线连接上网改为拨号连接上网,您禁用了外部网络适配器并为现在的拨号连接配置了拨号上网项。然而, ISA Server 通过该拨号连接拨号到 ISP 时,所有的客户端无法连接到 Internet 。要解决这个问题,应当采取的第一个措施是什么?
| 上篇文章: 业界动态介绍 下篇文章:大学生如何求职 |
| 相关文章: 没有相关文章 |
现在位置: 
