[技术分享 - ISA 篇]
MSSecurity
大家好,我们是微软大中华区安全团队。微软大中华区安全团队博客主要为全中国所有微软使用者提供微软安全产品技术分享文章以及安全补丁及时信息。大家多多给我们提供意见,以帮助我们提供更好的服务。 [此处文章欢迎转载,但请注明出处] 谢谢!
展开
-
[技术分享 – ISA 篇] ISA 2006 验证委派弹性得不得了!
ISA 2006 有许多验证委派方式,在验证用户信息后,您可以为 ISA 发布规则配置使用下列到内部服务器的委派方法:No delegation, and client cannot authenticate directly No delegation, but client may authenticate directly Basic NTLM NTLM/Kerber原创 2010-02-05 12:07:00 · 1649 阅读 · 0 评论 -
[技术分享 – ISA 篇] 网卡相关四不要 – DNS 设置篇
<br />不要在两个网卡上都设置 DNS。<br />比如内网卡设置内网 DNS 同时外网卡设置外网 DNS,或者在一个网卡上即设置内部的 DNS 又设置外部的 DNS。试图通过这两种方式来使得ISA能解析内外网的域名,反而会造成 ISA 不能正确解析域名,例如 ISA 不能正确解析 DC 的名字而无法与 DC 通讯进行身份验证。只在内网卡上设置内网的 DNS。对于外网的域名解析,可以通过在内网的 DNS上设置条件转发来转发给外网或者 ISP 的 DNS。这样既满足了内外网名字解析的需要,又不会造成内外网原创 2010-06-30 14:18:00 · 1589 阅读 · 0 评论 -
[技术分享 – ISA 篇] ISA 发布不用慌, Test Rule 帮你忙
ISA 发布是一个常见问题,ISA 管理员们通常会先检查发布规则的每一项,但是常常肉眼看不出会有什么明显的错误。那么有没有什么工具可以帮助测试呢?答案是 ISA 2006 SP1 添加了一个新的特性,对于基于 web 的发布,增加了一个 Test Rule 的选项按钮。ISA 管理员们可以通过 Test Rule 来检查发布的问题。那么究竟 Test Rule 可适用于哪些发布,有哪些问题 Test Rule 可以检查出来,显示的错误代码又意味着什么呢?Test Rule 功能可以应用于以下场合:Excha原创 2010-06-15 10:29:00 · 1718 阅读 · 0 评论 -
[技术分享 - ISA 篇] ISA 服务器发布规则失败的原因
<br />ISA 服务器发布规则失败的原因可能有许多,但可以肯定百分之七十以上与下列问题有关: <br />打开 ISA 的管理界面,双击服务器发布规则,点击”到”,如果你发现指定 ISA 服务器如何将请求转发到发布的服务器为”使请求显示为来自初始客户端”, 那你要注意了,这样的话,内部服务器看到的请求源 IP 地址是来自外部客户端,这就需要在内部服务器上正确设置路由以保证内部服务器到外部客户端的回复数据包也经过 ISA 服务器。 <br />如果不能保证内部服务器到外部客户端的回复数据包也经过 ISA原创 2010-11-16 12:31:00 · 1556 阅读 · 0 评论 -
[技术分享- ISA篇] 如何解决IE7/8客户端与ISA验证时弹框的问题
如果我们发现所有的IE6可以与ISA正常验证,而IE7/8则一直出现弹框,那就极有可能是Kerberos 验证问题。 这是因为IE6默认只能使用NTLM验证,而IE7/8默认会首先尝试使用Kerberos,如果Kerberos验证失败,就会发生弹框问题。 简单有效的解决方法有以下两种: 方法一:修改配置,迫使IE 7/8只使用NTLM验原创 2011-06-07 17:06:00 · 1756 阅读 · 0 评论 -
[技术分享] 媒体播放器通过 ISA 服务器不能播放网络广播
Windows 媒体播放器(版本 11),通过ISA服务器,无论是使用 web 代理还是 ISA 防火墙客户端,都不能成功网络播放, 通过抓包(防火墙客户端),我们发现客户端发送了请求 “rtsp://XX.com.cn/audio_cn RTSP/1.0” 到 ISA 服务器,原创 2011-08-01 13:08:36 · 1097 阅读 · 0 评论 -
[技术分享] 20110803,Web 代理客户端通过 TMG ISA 不能访问新浪微博等网站
Web 代理客户端通过 TMG/ISA 不能访问新浪微博等网站,Web 客户端返回错误:" Error Code: 502 Proxy Error. The request is not supported (50)”。这类问题一般是由于网站回复的数据是压缩的所导致。遇到此类问原创 2011-08-03 10:28:13 · 2714 阅读 · 0 评论 -
[技术分享]WPAD 怎么不工作了
在企业内使用 TMG/ISA 时,我们经常会部署WPAD 来使 IE 客户端自动发现代理服务器。Automatic Detection Concepts in ISA Server 2006http://technet.microsoft.com/en-us/library/bb原创 2011-09-30 18:15:26 · 3091 阅读 · 0 评论 -
你了解 ISA/TMG的各类更新吗?
《本文转译自Forefront TMG (ISA Server) Product Team博客文章”Understand ISA/TMG updates”》本文向读者提供了一些有趣的信息,列举了 ISA/TMG Sustained Engineering团队在管理有关 ISA Sever 或Forefront 的威胁的生命周期中可能发布的各类的产品更新。首先,我们来区分一下bug 和 DCR(设计翻译 2012-06-20 11:47:48 · 1939 阅读 · 0 评论 -
[技术分享 – ISA 篇] ISA 防火墙服务意外终止急救药方
对于 ISA 管理员来说,最头痛和棘手的问题就是遇到防火墙服务意外终止,这意味着通过 ISA 向外代理和向内发布的网络访问的大面积瘫痪。在几乎全员抱怨的巨大压力下,ISA 管理员在抓狂的同时常常感到束手无策。我们整理了以往遇到并解决的类似的案例,总结出了一些常见问题以及建议方案,希望帮助 ISA 管理员们对症下药,实施急救方案,力争快速恢复。如果您的 ISA 服务器满足以下一条或者几条情形,请您对原创 2010-05-06 15:15:00 · 1704 阅读 · 0 评论 -
[技术分享 – ISA 篇] 网卡相关四不要 - 网络设置篇
<br />不要在单网卡的 ISA 上设置外部网络。<br />对于单网卡的 ISA 而言,所有网段 (除了本机网络) 都会被看作是内部网络。如果设置外部网络,不符合 ISA 的网络逻辑,会造成意想不到的问题,影响正常访问。只在单网卡的 ISA 上设置缺省的内部网络,建议使用 Add Adapter 来进行添加。<br />参考<br />Configuring ISA Server 2004 on a Computer with a Single Network Adapter http://techne原创 2010-06-30 14:16:00 · 1471 阅读 · 0 评论 -
[技术分享 - ISA 篇] FTP 主动? 被动? 傻傻搞不清楚…
一些时候,我们在通过 ISA 服务器使用 FTP 时 (通常是使用 IE 的 FTP over HTTP), 会发现连接失败。 虽然连接失败的原因可能很多,但如果不通过 ISA 服务器能成功访问 FTP 站点,那问题很有可能与 FTP 的主被动模式有关。 默认情况下,ISA 在处理客户端的 FTP over HTTP 请求时,只会以主动模式与外部 FTP 服务器建立连接,如果要改为 FT原创 2009-12-24 22:36:00 · 1546 阅读 · 1 评论 -
[技术分享 - ISA 篇] 登录 FTP 会“迷路”? 给 ISA 服务器一点协助
当您使用 IE web 代理通过 ISA 服务器连接 FTP 站点时(在没有勾选 IE 的高级设置”Enable folder view for FTP sites”, 并且在 IE 中使用格式 ftp://username:password@host), 您会发现 IE 中显示的并非是您目前账号所对应的 FTP 用户相对目录,而是 FTP 根目录。这是由 ISA 服务器的默认行为所决定的原创 2009-12-24 22:44:00 · 1265 阅读 · 1 评论 -
[技术分享 - ISA 篇] ISA 与交换机的红娘配对游戏
难道 ISA 网络负载均衡 NLB 还要挑交换机???没错,ISA 网络负载均衡 NLB 确实对交换机有要求,NLB 只能工作在二层模式下!许多企业都购买了 ISA 服务器企业版,企业版区别于标准版的一个显著的特征,就是支持 ISA 网络负载均衡,在 ISA 2004 和 ISA 2006 中,ISA 内置默认启用的是单播模式网络负载均衡,ISA 2006 企业版可以把单播 NLB原创 2009-12-24 22:49:00 · 1941 阅读 · 0 评论 -
[技术分享 - ISA 篇] 如何通过ISA2006发布网站时实现URL跳转
在用 ISA2006 发布网站时候,我们经常碰到的一个问题是怎么实现 URL 跳转。比如,通过 ISA2006 发布Exchange 2007 OWA,用户需要访问 https://www.contoso.com/owa 来访问 OWA。 很多用户就希望,能不能通过 URL 跳转的方式,可以通过访问 https://www.contoso.com 直接跳转到 https://www.co原创 2009-12-24 22:34:00 · 2000 阅读 · 0 评论 -
[技术分享 - ISA 篇] Oh My..! FTP 终于可以上传了!?
当客户端配置为 Web 代理方式访问 FTP,这时您可能会发现 FTP 站点只能浏览,而不能上传。例如当你打开 Windows 资源管理器,并输入 FTP 的地址,您可能会收到以下警告。 以上是可以预期到的行为,因为用 Web 代理方式访问 FTP,FTP 协议会封装在 Http 协议之中,Web 代理方式只能支持 FTP over Http下载,而不支持 FTP ov原创 2009-12-24 22:39:00 · 1902 阅读 · 0 评论 -
[技术分享 - ISA 篇] FTP 有“证策”,ISA Web 代理有对策
当您使用 IE 打开 FTP 站点,并使用 ISA 作为 web 代理(并且没有勾选 IE 高级选项”Enable folder view for FTP sites”),访问需要认证的 FTP 站点时, ISA 服务器可能会返回以下报错:Error Code: 502 Proxy Error. The login request was denied. The logon account原创 2009-12-24 22:41:00 · 1595 阅读 · 0 评论 -
[技术分享 - ISA 篇] ISA 服务器性能不好?小心 ISA 防火墙规则“生病”了
我们有时会发现 web 代理客户端虽然加入域,但在上网时,却仍然弹框要求输入用户名和密码。这时,您往往会在 ISA 服务器的事件日志中看到 Net logon 5719 的报错。 我们首先需要排除 ISA 服务器和 DC 服务器之间的连接性,因为 ISA 每次做用户验证时都必须和 DC 通讯。如果您排除了和 DC 通讯的问题,那问题很有可能出在 ISA 防火墙规则上。当您发现 IS原创 2009-12-24 22:46:00 · 1535 阅读 · 0 评论 -
[技术分享 - ISA 篇] 给我用户验证,安全免谈?!
您在 ISA 2006 服务器中建了一条内网服务器 Web 发布规则,并在 Web 侦听器上启用了用户验证,相应的 Web 侦听器启用的是 HTTP 协议。当您用一台外网客户端进行测试时,您可能发现客户端收到以下报错:ISA is configured to block the HTTP requests that require authentication。这个问题是由于 IS原创 2009-12-24 22:47:00 · 1345 阅读 · 2 评论 -
[技术分享 – ISA 篇] 网卡相关四不要 - 默认网关篇
<br />在 ISA 单网卡的情况下,我们都知道只有且仅有一个网卡要设置默认网关。<br />如果 ISA 有多块网卡,请注意不要在两个网卡上都设置缺省默认网关。<br />这会使 ISA 的路由出问题, ISA 无法判断该走哪个默认网关。我们建议在这种情况下,只在外网卡上设置默认网关。如果内网有路由需要,可以通过 route add 命令在内网卡上添加静态路由的方式来实现。这样既满足了 ISA 与内网之间的路由需要,又不会因为多个默认网关造成路由问题。<br />可以使用 route print 命令来原创 2010-06-30 14:14:00 · 1513 阅读 · 0 评论 -
[技术分享-ISA/TMG]怎样在 ISA 或者 TMG 上禁止 IPv6 tunneling
一般来说 IPv6 封装指的是把 IPv6 的数据包封装在 IPv4 的数据包中,涉及到三种协议:6to4,ISATAP, Teredo 具体关于 IPv6 封装的介绍,请参考:http://en.wikipedia.org/wiki/IPv6http://technet.microsoft.com/en-us/library/bb727021.aspx#EFAA Windows 7 和 Wind原创 2012-12-27 16:05:30 · 1870 阅读 · 0 评论