一、
Isa
与
windows 2003 sp2
的兼容性问题
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
症状:
安装
sp2
之后,
nat
无法正常工作或服务无法正常通讯;
故障原因:
网络适配器硬件所计算机出来的
tcp
哈希值与
nat
所计算出来的
tcp
哈希值不一致,导致数据包无法正确识别;
解决方案:
HKLMSYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableRSS=0
在设备管理器硬件高级属性中关闭接收端调节功能
二、
HTTP
兼容性问题
症状:
访问
web
站点时出现:
通过其他路由器可以访问
web
站点,但是通过
isa
无法访问等
64
找不到主机,大师
dns
解析正常;
无法访问,在日志中显示被
http
过滤器拒绝;
日志中显示失败的连接性尝试;
不支持的
http
头;
解压缩失败
/
不支持的压缩方式等
故障原因:
Isa
是应用层防火墙,可以根据访问的
web
站点内容进行访问控制;
Isa
严格按照
rfc
国际标准进行过滤;
目前很多
web
站点不是严格按照
rfc
标准进行开发
导致访问这些
web
站点时,被
isa
的应用层过滤所拒绝;
部分程序为了防止普通防火墙的封锁,通过
tcp80
端口来传输非
http
数据,例如
QQ
等
解决方案:
进行操作之前,考虑安全风险先;
1
、针对此服务器使用自定义
tcp80
出站协议访问;
不要配置客户为
web
代理客户;
2
、禁用
http
压缩
禁用
3
和
10
3
、禁用对应的
web
过滤器
http
压缩筛选器与缓存压缩内容筛选器;
把
web
代理筛选器去掉
4
、禁用
isa
的
web
应用层过滤。
三、访问非
443
端口的
https
被拒绝
症状:
Web
代理客户在使用
https
访问非
443
端口的安全
web
服务时,被
isa
拒绝;
故障原因:
为了防止用户的非法访问,
isa
的
web
应用层过滤只允许基于标准
https
端口
tcp443
的
https
连接。
解决方案:
配置客户为
snat
或者
fwc
客户端;
扩展
ssl
端口;
1
、下载
isa_tpr.js
文件,拷贝到
ISA
服务器上,
2
、运行,在第一个对话框上可看到当前状态信息
“This is your current Tunnel Port Range list”
,点确定
3 、此时, NNTP 端口显示出来了,点击确定
4 、然后, SSL 端口显示出来了,点击确定
5 、现在复制 isa_tpr.js 这个文件到 C 盘根目录,然后打开一个命名提示符窗口,输入以下命令: isa_tpr.js /?
6 、添加一个新的 SSL 隧道端口,例如 8848 ,输入: Cscript isa_tpr.js /add Ext8848 8848
7 、此时,你可以看到如下的信息,提示你命令运行成功 <?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
还可以添加一段端口范围
3 、此时, NNTP 端口显示出来了,点击确定
4 、然后, SSL 端口显示出来了,点击确定
5 、现在复制 isa_tpr.js 这个文件到 C 盘根目录,然后打开一个命名提示符窗口,输入以下命令: isa_tpr.js /?
6 、添加一个新的 SSL 隧道端口,例如 8848 ,输入: Cscript isa_tpr.js /add Ext8848 8848
7 、此时,你可以看到如下的信息,提示你命令运行成功 <?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
还可以添加一段端口范围
Cscript isa_tpr.js /add Ext500-600 500 600
另外,你还可以下载 Steven Soekrasno 编写的 .NET 程序, ISATpre.zip ,然后在 ISA 上安装即可。
端口添加完成后,记得重启 ISA Server 服务!
另外,你还可以下载 Steven Soekrasno 编写的 .NET 程序, ISATpre.zip ,然后在 ISA 上安装即可。
端口添加完成后,记得重启 ISA Server 服务!
四、
Snat
客户不支持用户身份验证
症状:
当防火墙策略要求身份验证时,
snat
客户端无法进行访问;
故障原因:
Snat
客户端不支持用户身份验证,因此当防火墙策略要求用户身份验证时,
snat
客户的访问请求被
isa
拒绝。
解决方案:
取消用户身份验证;
配置客户端为
web
代理客户或防火墙客户端。
五、
ftp
无法上传
症状:
当成功连接到
ftp
服务器(
tcp21
端口)后,无法上传数据;错误为
550.
访问被拒绝;
故障原因:
为了保障企业网络的安全性,默认情况下,
isa
的应用层过滤禁止
ftp
上传;
解决方案
在防火墙策略的配置
ftp
中取消“只读”选项;
在用允许
ftp
的规则上点击右键——选择“配置
ftp
”
把只读的勾去掉
转载于:https://blog.51cto.com/suzlz/408950