ISA注意事项

[1] ISA2004清理日志的方法

如果使用MSDE作为日志存储方式，日志文件比较大，时常需要清理，可以按下面的方法完成:
(1)运行services.msc,停止 MSSQL$MSFW 服务,此时Microsoft Firewall也会被停止;
(2)删除日志文件夹中需要要的日志文件，默认路径为C:/Program Files/Microsoft ISA Server/ISALogs
(3)在服务控制台中依次启动MSSQL$MSFW，Microsoft Firewall即可。

[2]去掉 接ADSL那块网卡的问号的方法

右击网上邻居-----属性----右击外网卡的连接----属性----

取消外网卡的ＴＣＰ／ＩＰ绑定！也就是在把ＴＣＰ／ＩＰ属性前的勾去掉！

（可以会弹出说远程打印服务出错提示，不用理他）

[3]新手心得

服务器上装了dhcp dns isa2004后 最好不要更改内网网卡IP 否则有意想不到的麻烦

[4]使用“创建新的服务器发布规则”向导发布服务器的注意事项
使用“创建新的服务器发布规则”向导发布服务器后，必须将网络规则中的“外围访问”的关系改为NAT，否则是发布不成功的。

[5]内网存在多个网段且存在各种内部服务器时

当内部为多网段的时候,ISA作为代理使用时,如果内部有WEB,打印,FTP等访问时,建一条ALLOW----INTERNAL----INTERNAL----ALL PROTOCOL----ALL USER 较好.

[6]提醒:经常备份配置文件

我认为应该注意经常注意导出配置文件，以免系统崩溃造成不必要的损失！

[7]注意monitor ISA的report alerts和performance

常看REPORTS、ALERTS、PERFERENCE，注意各类TOP TRAFFIC、TOP USER、DROPPED PACKETS，能及时发现异常现象，如内网病毒等。

 

在Windows 2003 上安装ISA 2004后,如使用VPN,请在对Windows 2003升级SP1时注意,我到现在都出现问题.安装SP1后,VPN客户端一会可以拔入,一会不能拔入.

如果没有打isa2004 的sp1,当把防火墙的默认日志目录改掉以后，发现“报告”生成不了。还有就是ipsec 站点对第三方ipsec站点的连接不成功，还有就是ipsec 里面有一个第二阶段什么同步时间不管怎么改，在查看ipsec里面都是 1000000 妙.打下sp1以后就正常

 

策略最好不要用“域名集”而用“计算机集”，否则会严重影响效率。

如果你是宽带动态得到IP,而且几天就要重新DHCP一下

要在系统策略中的DHCP加入外部

如果客户机的网关是192.168.47.172，通过ISA 2004服务器出Internet的，除了在Tcp/Ip协议里面加上这个IP地址之外，还有在DNS服务器里面右击服务器名点击属性，在“接口”项下面，增加这个IP地址，选择“只在下列的IP地址侦听”。客户机网关是这个IP，就可以上网了。

在域环境中,如果你使用了集成WINDOWS身份验证,有时你的WEB代理客户端身份验证工作不正常,而防火墙客户端没有问题,重启 NETLOGON服务就可以了,但是原因我到现在都没查出来为什么....系统只是报NETLOGON 5719错误...
当你想更改你的DNS设置时,考虑好后果,并且你需要在新的设置生效后刷一下DNS缓存,不然一段时间后,你才能看到效果

 

在域环境中，域成员机器访问活动目录的规则是从Internal到域控制器,允许下列协议:
Kerberos-Sec(TCP和UDP)，LDAP，LDAP（UDP），LDAPS，LDAP GC，LDAPS GC，Ping，ICMP Information Request，ICMP Timestamp，NTP。当ISA Server装在域控制器上时可能需要这个规则。

 

在域環境中, 如果使用域身份驗證要注意ISA與DC的通信.DC的錯誤將導致所有用戶不能上網

 

为了能快速查找到故障,在设置所有安全策略(规则)时应该先做好规划(注意检查各条规则之间的逻辑是否有问题),并形成文档.以后每次对ISA的操作均做详细记录!规则修改时应该更新初始文档
经常关注LOG那是绝对的!服务器尽量只装一种服务!
为了ISA内的电脑能正常访问外网,这里特别指出最好在ISA内网里安装DNS(具体设置方法请参考相关资料)