今天,帮一位朋友解决ISA SERVER2006标准版本地主机不能上网的问题,中间经历了一些困难,有点意思,故写了下来,供各位参考分享。
一、安装环境:
windows server 2003 sp2
isa server 2006 标准版
双网卡 外网卡固定IP
二、ISA本地主机的策略设置:
1、充许内部、本地主机到外部,所有的通讯
2、***客户端到内部、本地主机以及外部所有的通讯,充许
这样做的相对宽泛,具体策略不多说。
其他没有做任何限制。
三、故障描述:
本地主机一直上网正常。内部客户端(S NAT客户端)上网一直正常
但下午时,本地主机却不能访问网站了,但可以访问QQ等其它服务。
报错大约就是The ISA Server denied the specified Uniform Resource Locator (URL).
此时内部客户端仍能正常上网。而且,本地主机可以上微软网站。
一句话总结就是:不能在IE使用http:// ftp://访问任何网址。除了微软之外。
四、故障排除步骤:
1、ping 网址,通
2、nslookup,可以解析
3、 [url]http://IP[/url] 不行
4、QQ等,可以
5、禁用HTTP筛选器,不行
6、使用网络模板中的边缘防火墙向导新做策略,仍然能访问网址
7、改变MTU 不行
8、禁用ISA FIREWALL服务 可以访问网址,一切正常(可以说明是ISA的引起的问题)
9、改变网卡的先后顺序,不行
10、此时,在ISA IE 里设置成WEB代理的方式。以本地主机的内部IP为代理IP。竟然一切正常。
11、改变策略的先后顺序,仍然不行
12、使用其他浏览器,不行
13、动用网络监视器,得不到什么有用的信息
14、看到启用了缓存,禁用。仍不行
15、修改注册表的键值,不行(打了SP2后的2K3对ISA会有一定的影响,相关表述见本BLOG)
15、后来又试了一些方法。仍然行不通。
五、问题解决方法:
究竟是怎么回事呢,这时侯ISA日志派上了用场,(呵呵,有朋友说了,你为何不早查日志呢??!!)
查询了下本地主机访问的日志,发现了拒绝连接的竟然没有发生在任何一个防火墙新建的访问策略里。
但也得了些提示如下:
原始客户端 IP 客户端代理 通过身份验证的客户端 服务 服务器名 引用服务器 目标主机
名称 传输 MIME 类型 对象源 源代理 目标代理 双向 客户端主机名称 筛选器信息
网络接口 原始 IP 头 原始负载 GMT 日志时间 源端口 处理时间 发送字节数
接收字节数 结果代码 HTTP 状态代码 缓存信息 错误信息 日志记录类型 身份验证
服务器 日志时间 目标 IP 目标端口 协议 操作 规则 客户端 IP 客户端用户名
源网络 目标网络 HTTP 方法 URL
0.0.0.0 Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322) 是 代理
SERVER_ISA 202.108.22.43 TCP - - - Req ID:
098c771c; Compression: client=No, server=No, compress rate=0% decompress rate=0% - -
- 2008-5-11 12:26:09 0 16 2151 360 12202 The ISA Server denied the
specified Uniform Resource Locator (URL). 0x0 0x800 Web 代理筛选器 2008-5-11
20:26:09 202.108.22.43 80 http 被拒绝的连接 [System] 允许 HTTP,从 ISA 服务器下载内
容到所选计算机 124.207.110.118 anonymous 本地主机 外部 GET [url]http://202.108.22.43/[/url]
看到红色标记的文字没有。由此可以初步推断于系统策略有关。可我询问朋友,他说从没有动过系统策略的限制.系统策略里第29个,就是相关的设定。双击时,出现第二个图。
我选择了取消启用。也就是禁用。之后就完全可以了。问题得以解析。至于原因分析。各位从图上可以看的很清楚。我就不多说。
后来,查了下,发现朋友在缓存项做了个内容下载作业。但以前我在自己的ISA上也常这样子做,也没有什么问题。
呵呵,关键还是上述两项引起的啦。
六、总结
遇到问题,不能慌乱,运用自己所学的知识及经验挨个分析排除最终胜利属于自己。
同时,不要忘了查看日志,分析日志哟。
我之所以开始时没有去分析日记,也被四中的一些故障分析给搞的。
一、安装环境:
windows server 2003 sp2
isa server 2006 标准版
双网卡 外网卡固定IP
二、ISA本地主机的策略设置:
1、充许内部、本地主机到外部,所有的通讯
2、***客户端到内部、本地主机以及外部所有的通讯,充许
这样做的相对宽泛,具体策略不多说。
其他没有做任何限制。
三、故障描述:
本地主机一直上网正常。内部客户端(S NAT客户端)上网一直正常
但下午时,本地主机却不能访问网站了,但可以访问QQ等其它服务。
报错大约就是The ISA Server denied the specified Uniform Resource Locator (URL).
此时内部客户端仍能正常上网。而且,本地主机可以上微软网站。
一句话总结就是:不能在IE使用http:// ftp://访问任何网址。除了微软之外。
四、故障排除步骤:
1、ping 网址,通
2、nslookup,可以解析
3、 [url]http://IP[/url] 不行
4、QQ等,可以
5、禁用HTTP筛选器,不行
6、使用网络模板中的边缘防火墙向导新做策略,仍然能访问网址
7、改变MTU 不行
8、禁用ISA FIREWALL服务 可以访问网址,一切正常(可以说明是ISA的引起的问题)
9、改变网卡的先后顺序,不行
10、此时,在ISA IE 里设置成WEB代理的方式。以本地主机的内部IP为代理IP。竟然一切正常。
11、改变策略的先后顺序,仍然不行
12、使用其他浏览器,不行
13、动用网络监视器,得不到什么有用的信息
14、看到启用了缓存,禁用。仍不行
15、修改注册表的键值,不行(打了SP2后的2K3对ISA会有一定的影响,相关表述见本BLOG)
15、后来又试了一些方法。仍然行不通。
五、问题解决方法:
究竟是怎么回事呢,这时侯ISA日志派上了用场,(呵呵,有朋友说了,你为何不早查日志呢??!!)
查询了下本地主机访问的日志,发现了拒绝连接的竟然没有发生在任何一个防火墙新建的访问策略里。
但也得了些提示如下:
原始客户端 IP 客户端代理 通过身份验证的客户端 服务 服务器名 引用服务器 目标主机
名称 传输 MIME 类型 对象源 源代理 目标代理 双向 客户端主机名称 筛选器信息
网络接口 原始 IP 头 原始负载 GMT 日志时间 源端口 处理时间 发送字节数
接收字节数 结果代码 HTTP 状态代码 缓存信息 错误信息 日志记录类型 身份验证
服务器 日志时间 目标 IP 目标端口 协议 操作 规则 客户端 IP 客户端用户名
源网络 目标网络 HTTP 方法 URL
0.0.0.0 Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322) 是 代理
SERVER_ISA 202.108.22.43 TCP - - - Req ID:
098c771c; Compression: client=No, server=No, compress rate=0% decompress rate=0% - -
- 2008-5-11 12:26:09 0 16 2151 360 12202 The ISA Server denied the
specified Uniform Resource Locator (URL). 0x0 0x800 Web 代理筛选器 2008-5-11
20:26:09 202.108.22.43 80 http 被拒绝的连接 [System] 允许 HTTP,从 ISA 服务器下载内
容到所选计算机 124.207.110.118 anonymous 本地主机 外部 GET [url]http://202.108.22.43/[/url]
看到红色标记的文字没有。由此可以初步推断于系统策略有关。可我询问朋友,他说从没有动过系统策略的限制.系统策略里第29个,就是相关的设定。双击时,出现第二个图。
我选择了取消启用。也就是禁用。之后就完全可以了。问题得以解析。至于原因分析。各位从图上可以看的很清楚。我就不多说。
后来,查了下,发现朋友在缓存项做了个内容下载作业。但以前我在自己的ISA上也常这样子做,也没有什么问题。
呵呵,关键还是上述两项引起的啦。
六、总结
遇到问题,不能慌乱,运用自己所学的知识及经验挨个分析排除最终胜利属于自己。
同时,不要忘了查看日志,分析日志哟。
我之所以开始时没有去分析日记,也被四中的一些故障分析给搞的。
扫一扫
3002
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
