一、 Isa windows 2003 sp2 的兼容性问题 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

症状:

安装 sp2 之后, nat 无法正常工作或服务无法正常通讯;

故障原因:

网络适配器硬件所计算机出来的 tcp 哈希值与 nat 所计算出来的 tcp 哈希值不一致,导致数据包无法正确识别;

解决方案:

HKLMSYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableRSS=0

在设备管理器硬件高级属性中关闭接收端调节功能

 

二、 HTTP 兼容性问题

症状:

访问 web 站点时出现:

通过其他路由器可以访问 web 站点,但是通过 isa 无法访问等

64 找不到主机,大师 dns 解析正常;

无法访问,在日志中显示被 http 过滤器拒绝;

日志中显示失败的连接性尝试;

不支持的 http 头;

解压缩失败 / 不支持的压缩方式等

 

故障原因:

Isa 是应用层防火墙,可以根据访问的 web 站点内容进行访问控制;

Isa 严格按照 rfc 国际标准进行过滤;

目前很多 web 站点不是严格按照 rfc 标准进行开发

导致访问这些 web 站点时,被 isa 的应用层过滤所拒绝;

部分程序为了防止普通防火墙的封锁,通过 tcp80 端口来传输非 http 数据,例如 QQ

 

解决方案:

进行操作之前,考虑安全风险先;

1 、针对此服务器使用自定义 tcp80 出站协议访问;

   不要配置客户为 web 代理客户;

2 、禁用 http 压缩

 
 
禁用 3 10

3 、禁用对应的 web 过滤器

http 压缩筛选器与缓存压缩内容筛选器;
 
 
web 代理筛选器去掉

4 、禁用 isa web 应用层过滤。

 

三、访问非 443 端口的 https 被拒绝

症状:

Web 代理客户在使用 https 访问非 443 端口的安全 web 服务时,被 isa 拒绝;

故障原因:

为了防止用户的非法访问, isa web 应用层过滤只允许基于标准 https 端口 tcp443 https 连接。

解决方案:

配置客户为 snat 或者 fwc 客户端;

扩展 ssl 端口;

   1 、下载 isa_tpr.js 文件,拷贝到 ISA 服务器上,

2 、运行,在第一个对话框上可看到当前状态信息 This is your current Tunnel Port Range list ,点确定
3 、此时, NNTP 端口显示出来了,点击确定
4 、然后, SSL 端口显示出来了,点击确定
5 、现在复制 isa_tpr.js 这个文件到 C 盘根目录,然后打开一个命名提示符窗口,输入以下命令: isa_tpr.js /?
6 、添加一个新的 SSL 隧道端口,例如 8848 ,输入: Cscript isa_tpr.js /add Ext8848 8848
7 、此时,你可以看到如下的信息,提示你命令运行成功 <?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
还可以添加一段端口范围

Cscript isa_tpr.js /add Ext500-600 500 600
另外,你还可以下载 Steven Soekrasno 编写的 .NET 程序, ISATpre.zip ,然后在 ISA 上安装即可。

端口添加完成后,记得重启 ISA Server 服务!

 

四、 Snat 客户不支持用户身份验证

症状:

当防火墙策略要求身份验证时, snat 客户端无法进行访问;

故障原因:

Snat 客户端不支持用户身份验证,因此当防火墙策略要求用户身份验证时, snat 客户的访问请求被 isa 拒绝。

解决方案:

取消用户身份验证;

配置客户端为 web 代理客户或防火墙客户端。

 

五、 ftp 无法上传

症状:

当成功连接到 ftp 服务器( tcp21 端口)后,无法上传数据;错误为 550. 访问被拒绝;

故障原因:

为了保障企业网络的安全性,默认情况下, isa 的应用层过滤禁止 ftp 上传;

解决方案

在防火墙策略的配置 ftp 中取消“只读”选项;

在用允许 ftp 的规则上点击右键——选择“配置 ftp

 
 
把只读的勾去掉