1
、
PIX
后面放
DNS
服务器,并且
DNS
服务器要成为公网
DNS
服务器时,不仅要做静态映射和
ACL
,还要在
INSIDE
接口放置
permit ip any any
的
ACL<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
2
、
PIX
后面放邮件服务器,并且邮件服务器需要让外部访问时,需要做静态映射和
ACL
,并且需要关闭
PIX
的 MailGuard 功能, MailGuard 只允许 SMTP ( TCP25 )通讯,这样会造成潜在的问题。关系 MailGuard 的命令是 no fixup protocol smtp 25 (默认为启用) 在公网 PC 上输入 telnet X.X.X.X 25 正常情况下应该显示 SMTP 服务器的 Banner 信息,如果无显示或显示乱字符,则表示 ESMTP 端口被阻挡,因为 MailGuard 在起作用,关闭 MailGuard 后问题可排除。
的 MailGuard 功能, MailGuard 只允许 SMTP ( TCP25 )通讯,这样会造成潜在的问题。关系 MailGuard 的命令是 no fixup protocol smtp 25 (默认为启用) 在公网 PC 上输入 telnet X.X.X.X 25 正常情况下应该显示 SMTP 服务器的 Banner 信息,如果无显示或显示乱字符,则表示 ESMTP 端口被阻挡,因为 MailGuard 在起作用,关闭 MailGuard 后问题可排除。
3
、在
PIX
上配置
Remote Access ×××
时,需要
isakmp nat-traversal 20
命令。(重要)
如果没有这条命令导致的结果是,远程的 PC 如果通过 NAT/PAT 连接至 Internet ,同一时间将只有 1 个用户可以使用 ××× ,因为经过 PAT 后 私网地址被隐藏,在 PIX 端看来只有 1 个公网地址与它建立安全关连( SA )所以同一时间内同一地址只允许建立一条 SA 连接(基于 IP 地址),以上命令将允许远端在 NAT 内部的多个用户同时建立 ××× 连接,让 PIX 接受 PAT
如果没有这条命令导致的结果是,远程的 PC 如果通过 NAT/PAT 连接至 Internet ,同一时间将只有 1 个用户可以使用 ××× ,因为经过 PAT 后 私网地址被隐藏,在 PIX 端看来只有 1 个公网地址与它建立安全关连( SA )所以同一时间内同一地址只允许建立一条 SA 连接(基于 IP 地址),以上命令将允许远端在 NAT 内部的多个用户同时建立 ××× 连接,让 PIX 接受 PAT
4
、
PIX
只允许
outside
接口的
SSH
连接,不允许
Telnet
5
、
Microsoft ISA
安装完毕后,默认将阻挡所有的通讯(协议)
6
、配置
WINDOWS
时间同步(
NTP
)
键入下列内容(其中 PeerList 是所需时间源的 DNS 名称或 Internet 协议 (IP) 地址的逗号分隔列表):
w32tm /config /syncfromflags:manual /manualpeerlist:PeerList
比如: w32tm /config /syncfromflags:manual /manualpeerlist:192.168.9.222
键入下列内容(其中 PeerList 是所需时间源的 DNS 名称或 Internet 协议 (IP) 地址的逗号分隔列表):
w32tm /config /syncfromflags:manual /manualpeerlist:PeerList
比如: w32tm /config /syncfromflags:manual /manualpeerlist:192.168.9.222
要更新类型,请键入:
w32tm /config /update 。
w32tm /config /update 。
注册
w32time
服务:
w32tm /register
7
、
Windows AutoUpdate Client
在代理服务器之后无法获得更新的问题
(
比较重要
)
Windows AutoUpdate Client
在代理服务器之后,如果需要从
WSUS
服务器获得更新,需要在
PC
上指定
WinHTTP
代理服务器。
命令如下:
C:\>proxycfg -p "proxy-ip-address:port"
这里指定的代理服务器和
IE
里的代理设置没有关系。
测试客户机的
AutoUpdate
:
1 、 C:\>net stop wuauserv 关闭 WUAU 服务
2 、 C:\>del windows\windowsupdate.log 删除原有 Update 日志记录
3 、 C:\>net start wuauserv 开启 WUAU 服务
4 、 C:\>wuauclt /detectnow 立即执行 Update 操作
5 、检查 Windows\windowsupdate.log 日志文件,该文件显示配置的代理服务器地址 / 端口,如果成功更新会显示 success update
1 、 C:\>net stop wuauserv 关闭 WUAU 服务
2 、 C:\>del windows\windowsupdate.log 删除原有 Update 日志记录
3 、 C:\>net start wuauserv 开启 WUAU 服务
4 、 C:\>wuauclt /detectnow 立即执行 Update 操作
5 、检查 Windows\windowsupdate.log 日志文件,该文件显示配置的代理服务器地址 / 端口,如果成功更新会显示 success update
如果代理服务器是
ISA
,需要开放
FW
策略允许
HTTP
,
HTTPS
,
Kerberos-Sec(UDP)
端口
Pass-through
转载于:https://blog.51cto.com/orange/16757