[1] ISA2004清理日志的方法
如果使用MSDE作为日志存储方式,日志文件比较大,时常需要清理,可以按下面的方法完成:
(1)运行services.msc,停止 MSSQL$MSFW 服务,此时Microsoft Firewall也会被停止;
(2)删除日志文件夹中需要要的日志文件,默认路径为C:/Program Files/Microsoft ISA Server/ISALogs
(3)在服务控制台中依次启动MSSQL$MSFW,Microsoft Firewall即可。
[2]去掉 接ADSL那块网卡的问号的方法
右击网上邻居-----属性----右击外网卡的连接----属性----
取消外网卡的TCP/IP绑定!也就是在把TCP/IP属性前的勾去掉!
(可以会弹出说远程打印服务出错提示,不用理他)
[3]新手心得
服务器上装了dhcp dns isa2004后 最好不要更改内网网卡IP 否则有意想不到的麻烦
[4]使用“创建新的服务器发布规则”向导发布服务器的注意事项
使用“创建新的服务器发布规则”向导发布服务器后,必须将网络规则中的“外围访问”的关系改为NAT,否则是发布不成功的。
[5]内网存在多个网段且存在各种内部服务器时
当内部为多网段的时候,ISA作为代理使用时,如果内部有WEB,打印,FTP等访问时,建一条ALLOW----INTERNAL----INTERNAL----ALL PROTOCOL----ALL USER 较好.
[6]提醒:经常备份配置文件
我认为应该注意经常注意导出配置文件,以免系统崩溃造成不必要的损失!
[7]注意monitor ISA的report alerts和performance
常看REPORTS、ALERTS、PERFERENCE,注意各类TOP TRAFFIC、TOP USER、DROPPED PACKETS,能及时发现异常现象,如内网病毒等。
在Windows 2003 上安装ISA 2004后,如使用VPN,请在对Windows 2003升级SP1时注意,我到现在都出现问题.安装SP1后,VPN客户端一会可以拔入,一会不能拔入.
如果没有打isa2004 的sp1,当把防火墙的默认日志目录改掉以后,发现“报告”生成不了。还有就是ipsec 站点对第三方ipsec站点的连接不成功,还有就是ipsec 里面有一个第二阶段什么同步时间不管怎么改,在查看ipsec里面都是 1000000 妙.打下sp1以后就正常
策略最好不要用“域名集”而用“计算机集”,否则会严重影响效率。
如果你是宽带动态得到IP,而且几天就要重新DHCP一下
要在系统策略中的DHCP加入外部
如果客户机的网关是192.168.47.172,通过ISA 2004服务器出Internet的,除了在Tcp/Ip协议里面加上这个IP地址之外,还有在DNS服务器里面右击服务器名点击属性,在“接口”项下面,增加这个IP地址,选择“只在下列的IP地址侦听”。客户机网关是这个IP,就可以上网了。
在域环境中,如果你使用了集成WINDOWS身份验证,有时你的WEB代理客户端身份验证工作不正常,而防火墙客户端没有问题,重启 NETLOGON服务就可以了,但是原因我到现在都没查出来为什么....系统只是报NETLOGON 5719错误...
当你想更改你的DNS设置时,考虑好后果,并且你需要在新的设置生效后刷一下DNS缓存,不然一段时间后,你才能看到效果
在域环境中,域成员机器访问活动目录的规则是从Internal到域控制器,允许下列协议:
Kerberos-Sec(TCP和UDP),LDAP,LDAP(UDP),LDAPS,LDAP GC,LDAPS GC,Ping,ICMP Information Request,ICMP Timestamp,NTP。当ISA Server装在域控制器上时可能需要这个规则。
在域環境中, 如果使用域身份驗證要注意ISA與DC的通信.DC的錯誤將導致所有用戶不能上網
为了能快速查找到故障,在设置所有安全策略(规则)时应该先做好规划(注意检查各条规则之间的逻辑是否有问题),并形成文档.以后每次对ISA的操作均做详细记录!规则修改时应该更新初始文档
经常关注LOG那是绝对的!服务器尽量只装一种服务!
为了ISA内的电脑能正常访问外网,这里特别指出最好在ISA内网里安装DNS(具体设置方法请参考相关资料)