我们有时会发现 web 代理客户端虽然加入域,但在上网时,却仍然弹框要求输入用户名和密码。
这时,您往往会在 ISA 服务器的事件日志中看到 Net logon 5719 的报错。 我们首先需要排除 ISA 服务器和 DC 服务器之间的连接性,因为 ISA 每次做用户验证时都必须和 DC 通讯。
如果您排除了和 DC 通讯的问题,那问题很有可能出在 ISA 防火墙规则上。
当您发现 ISA 的规则中有一些特定的防火墙规则,并且包含”所有出站通讯”+”URL集/域名集”,您需要注意了。
clip_p_w_picpath002
”所有出站通讯”+”URL集/域名集”规则会严重影响 ISA 服务器的性能,如果网络流量匹配到这条规则,ISA 会尝试对所有匹配这条规则的流量做名字反解,来判断 IP 地址是否匹配 URL集/域名集。这时 DNS 解析就会非常多,DNS 解析会变得异常缓慢,而 ISA 服务器又必须等待 DNS 回应,从而造成没有资源去处理新的网络流量,这些规则不但影响客户端认证,客户端上网,还会影响 ××× 拨入,ISA 服务器与 DC 之间的通信等等。
解决方法也很简单,可以通过限定通讯协议,限定到 http、https 后,问题一般都能解决