ISA 2006 Server排错(上)

一、Isa与windows 2003 sp2的兼容性问题<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

症状：

安装sp2之后，nat无法正常工作或服务无法正常通讯；

故障原因：

网络适配器硬件所计算机出来的tcp哈希值与nat所计算出来的tcp哈希值不一致，导致数据包无法正确识别；

解决方案：

HKLMSYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableRSS=0

在设备管理器硬件高级属性中关闭接收端调节功能

 

二、HTTP兼容性问题

症状：

访问web站点时出现：

通过其他路由器可以访问web站点，但是通过isa无法访问等

64找不到主机，大师dns解析正常；

无法访问，在日志中显示被http过滤器拒绝；

日志中显示失败的连接性尝试；

不支持的http头；

解压缩失败/不支持的压缩方式等

 

故障原因：

Isa是应用层防火墙，可以根据访问的web站点内容进行访问控制；

Isa严格按照rfc国际标准进行过滤；

目前很多web站点不是严格按照rfc标准进行开发

导致访问这些web站点时，被isa的应用层过滤所拒绝；

部分程序为了防止普通防火墙的封锁，通过tcp80端口来传输非http数据，例如QQ等

 

解决方案：

进行操作之前，考虑安全风险先；

1、针对此服务器使用自定义tcp80出站协议访问；

   不要配置客户为web代理客户；

2、禁用http压缩

 

 

禁用3和10

3、禁用对应的web过滤器

http压缩筛选器与缓存压缩内容筛选器；

 

 

把web代理筛选器去掉

4、禁用isa的web应用层过滤。

 

三、访问非443端口的https被拒绝

症状：

Web代理客户在使用https访问非443端口的安全web服务时，被isa拒绝；

故障原因：

为了防止用户的非法访问，isa的web应用层过滤只允许基于标准https端口tcp443的https连接。

解决方案：

配置客户为snat或者fwc客户端；

扩展ssl端口；

   1、下载isa_tpr.js文件，拷贝到ISA服务器上，

2、运行，在第一个对话框上可看到当前状态信息“This is your current Tunnel Port Range list”，点确定
3、此时，NNTP端口显示出来了，点击确定
4、然后，SSL端口显示出来了，点击确定
5、现在复制isa_tpr.js这个文件到C盘根目录，然后打开一个命名提示符窗口，输入以下命令：isa_tpr.js /?
6、添加一个新的 SSL 隧道端口，例如 8848，输入：Cscript isa_tpr.js /add Ext8848 8848
7、此时，你可以看到如下的信息，提示你命令运行成功<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
还可以添加一段端口范围

Cscript isa_tpr.js /add Ext500-600 500 600
另外，你还可以下载Steven Soekrasno编写的.NET程序，ISATpre.zip，然后在ISA上安装即可。

端口添加完成后，记得重启ISA Server服务！

 

四、Snat客户不支持用户身份验证

症状：

当防火墙策略要求身份验证时，snat客户端无法进行访问；

故障原因：

Snat客户端不支持用户身份验证，因此当防火墙策略要求用户身份验证时，snat客户的访问请求被isa拒绝。

解决方案：

取消用户身份验证；

配置客户端为web代理客户或防火墙客户端。

 

五、ftp无法上传

症状：

当成功连接到ftp服务器（tcp21端口）后，无法上传数据；错误为550.访问被拒绝；

故障原因：

为了保障企业网络的安全性，默认情况下，isa的应用层过滤禁止ftp上传；

解决方案

在防火墙策略的配置ftp中取消“只读”选项；

在用允许ftp的规则上点击右键——选择“配置ftp”

 

 

把只读的勾去掉

 

转载于:https://blog.51cto.com/suzlz/408950