ISA Server故障排除策略
　 　　10.2　ISA Server故障排除策略
　　　　 系統方法是成功排除故障的必要條件。當遇到意外的ISA Server錯誤時，可以從辨別錯誤是基于用戶的還是基于數據包的入手進行故障排除。本節(jié)為兩種類型的連接問題提供了故障排除策略。

　　 本節(jié)學習目標
　　 排除基于用戶的訪問問題。

　　 排除基于數據包的訪問問題。

　　 排除ISA Server里VPN連接的故障。

　　 估計學習時間：30分鐘
　　 10.2.1　用戶訪問故障排除
　　　　 當用戶賬戶訪問被中斷或者不可用時，可能是由于用戶安全要求過于嚴格、規(guī)則配置不正確、身份驗證方法不夠全面等造成的。出現此類情況時，Ping，Tracert等工具就有用武之地了。

　　　　 要排除基于用戶的訪問問題，首先檢查訪問策略規(guī)則。通過已配置的訪問策略規(guī)則，確認無法建立網絡連接的用戶已經被許可擁有連接站點，內容組和協議的權限。

　　 如果所配置的規(guī)則不能成功應用到用戶會話中去，確認陣列屬性配置為向未認證用戶要求身份證明。同時注意，如果創(chuàng)建一個允許類型的訪問政策并應用到指定的用戶和組上，會要求用戶會話通過ISA Server身份驗證。另一方面，如果要所有的Web會話保持匿名時，對Web會話的訪問受到拒絕，那么確定陣列屬性不要求匿名用戶進行身份驗證。另外，刪除所有應用到指定Win2000用戶和組上的允許類型的站點和內容規(guī)則或協議規(guī)則。

　　 身份驗證

　　　　 在陣列屬性中，對身份驗證方法的選擇將影響到用戶的連接能力。每種身份驗證方法是專為某種網絡環(huán)境設計的。如果在網絡配置中選擇了不兼容的身份驗證方法，或者是方法配置不正確，用戶將不能訪問ISA Server計算機和網絡。

　　　　 例如，陣列的默認身份驗證模式是集成的Windows身份驗證。但此方法不能驗證運行非Windows操作系統的客戶機。如果要在ISA Server中為此類客戶提供驗證的訪問服務，則必須把陣列屬性配置為使用其他的身份驗證方法。同樣，集成的Windows身份驗證與Netscape也不兼容，因為Netscape不能傳遞NTLM格式的用戶證書。它的另一個限制是依靠Kerberos V5身份驗證協議或它自己的質詢/響應身份驗證協議，然而在直通式身份驗證方案中，如圖 10.3所示，ISA Server不支持Kerberos V5身份驗證協議，因為Kerberos V5要求客戶機能識別驗證身份的服務器。

　　 在ISA Server中，可選的身份驗證方法有Basic、Digest、Client Certificate等。Basic身份驗證與所有客戶類型都兼容，然而，因為此方法是以明碼而不加密的格式傳遞用戶名和密碼的，它的安全性就不夠了。Digest身份驗證僅能在Windows2000域中使用，密碼傳遞采用明碼但加密的文本進

　　 行。Client Certificate身份驗證使用SSL通道來驗證。它需要在ISA Server 計算機上的Web代理服務證書庫中安裝客戶證書，且證書應該映射到適當的用戶賬戶。ISA Server只在SSL橋接配置時提供客戶證書。

　　 10.2.2　基于數據包的訪問故障排除
　　　　 當所有用戶都不能訪問網絡時，或基于IP的實用程序如Ping、Tracert操作失敗時，可以斷定為基于數據包的訪問問題。

　　 在ISA Server中，要排除基于數據包的訪問故障，先盡可能地簡化網絡配置，形成一個測試　　環(huán)境。

　　 Ø　　　　　建立網絡故障排除配置

　　 1.　　啟動數據包過濾，創(chuàng)建一個自定義的數據包篩選器以允許任何IP協議都能傳入、傳出。

　　 2.　　創(chuàng)建一個協議規(guī)則，允許任何請求的IP通信，確定已有一個站點和內容規(guī)則來允許訪問所有站點和內容組。

　　 3.　　將所有程序篩選器和路由規(guī)則恢復成默認設置。

　　 4.　　驗證已將本地地址表定義在ISA Server內部客戶范圍內。

　　 5.　　在 IP Packet Filters Properties對話框中，啟動IP Routing。


　　 注意　IP Routing選項為有輔助連接的協議提供路由能力。此設置對邊界網絡配置尤為重要?？梢栽贗SA Management 的IP Packet Filters Properties對話框中或Routing and Remote Access 控制臺中，啟動IP路由選項。


　　 6.　　在 ISA Server計算機上，確保沒有為內部接口定義默認的網關。不過，確保外部接口上指定了合適的默認網關。

　　 7.　　 在試圖建立訪問連接的客戶端上，禁用防火墻客戶端軟件，并將 ISA Server指定為默認網關。

　　 一旦以這種簡化的方式配置了 ISA Server，重啟ISA Server服務。如果仍然不能訪問網絡，那么重啟ISA Server計算機。如果這還不能解決問題，那么可能不是ISA Server配置的問題。這時，應該執(zhí)行網絡故障排除。用網絡監(jiān)視器跟蹤并需要檢查DNS、路由表、報告、日志等。

　　　　 如果在這種簡化的模式下能訪問Internet，那么再一項一項地將網絡單元導入，判斷問題的原因。例如，如果能在一個給定的客戶端上訪問Internet，就可以試著從該計算機上使用指定的Internet程序。如果遇到問題，可以認為要么是應用程序沒有正確配置為把ISA Server作為代理服務器使用，要么就是該程序不能使用代理服務器。對于不能使用代理服務器的程序，必須將客戶機配置成安全網絡地址轉換客戶端或者是運行防火墻客戶端軟件。在重新配置客戶機以后，注意其行為上的變化。可以認為自動發(fā)現特性配置不正確。這樣出現問題不斷解決，直到為特定的配置添加了所有所需的網絡組件。

　　 VPN網絡考慮事項
　　　　 在VPN網絡中，故障排除也從上述建立簡化網絡環(huán)境入手。如果已運行了新建VPN向導，應當先證實已運行了Routing and Remote Access服務。然后，確保已將客戶機配置成安全網絡地址轉換客戶端，而非防火墻客戶端。

　　　　 此外，還需要證實LocaISA Server VPN Configuration向導已經在Routing and Remote Access中創(chuàng)建了適當的請求撥號接口?？稍赗outing Interfaces節(jié)點對此進行檢查，如圖 10.4所示。

　　 在此之后，確認為VPN連接選擇的每一個身份驗證協議都創(chuàng)建了2個IP數據數據包篩選器。例如，如果VPN網絡配置為使用L2TP或PPTP，則LocaISA Server VPN Configuration向導應該創(chuàng)建并啟動4個IP數據數據包篩選器。(對于L2TP，配置向導為端口500和1701創(chuàng)建自定義的常規(guī)篩選器。對于PPTP，配置向導為PPTP呼叫和PPTP接收創(chuàng)建預定義的篩選器)。

最新評論