1 PIX 后面放 DNS 服务器,并且 DNS 服务器要成为公网 DNS 服务器时,不仅要做静态映射和 ACL ,还要在 INSIDE 接口放置 permit ip any any ACL<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

2 PIX 后面放邮件服务器,并且邮件服务器需要让外部访问时,需要做静态映射和 ACL ,并且需要关闭 PIX
 MailGuard 功能, MailGuard 只允许 SMTP TCP25 )通讯,这样会造成潜在的问题。关系 MailGuard 的命令是 no fixup protocol smtp 25 (默认为启用) 在公网 PC 上输入 telnet X.X.X.X 25 正常情况下应该显示 SMTP 服务器的 Banner 信息,如果无显示或显示乱字符,则表示 ESMTP 端口被阻挡,因为 MailGuard 在起作用,关闭 MailGuard 后问题可排除。

 

3 、在 PIX 上配置 Remote Access ××× 时,需要 isakmp nat-traversal 20 命令。(重要)
   如果没有这条命令导致的结果是,远程的 PC 如果通过 NAT/PAT 连接至 Internet ,同一时间将只有 1 个用户可以使用 ××× ,因为经过 PAT 私网地址被隐藏,在 PIX 端看来只有 1 个公网地址与它建立安全关连( SA )所以同一时间内同一地址只允许建立一条 SA 连接(基于 IP 地址),以上命令将允许远端在 NAT 内部的多个用户同时建立 ××× 连接,让 PIX 接受 PAT

 

4 PIX 只允许 outside 接口的 SSH 连接,不允许 Telnet

 

5 Microsoft ISA 安装完毕后,默认将阻挡所有的通讯(协议)

 

6 、配置 WINDOWS 时间同步( NTP
  键入下列内容(其中 PeerList 是所需时间源的 DNS 名称或 Internet 协议 (IP) 地址的逗号分隔列表):
   w32tm /config /syncfromflags:manual /manualpeerlist:PeerList
   比如: w32tm /config /syncfromflags:manual /manualpeerlist:192.168.9.222 

 

  要更新类型,请键入:
    w32tm /config /update

 

  注册 w32time 服务: w32tm /register

 

7 Windows AutoUpdate Client 在代理服务器之后无法获得更新的问题 ( 比较重要 )

   Windows AutoUpdate Client 在代理服务器之后,如果需要从 WSUS 服务器获得更新,需要在 PC 上指定 WinHTTP 代理服务器。

   命令如下:

 C:\>proxycfg -p "proxy-ip-address:port"

   这里指定的代理服务器和 IE 里的代理设置没有关系。

   测试客户机的 AutoUpdate
 1 C:\>net stop wuauserv 关闭 WUAU 服务
 2 C:\>del windows\windowsupdate.log 删除原有 Update 日志记录
 3 C:\>net start wuauserv 开启 WUAU 服务
 4 C:\>wuauclt /detectnow 立即执行 Update 操作
 5 、检查 Windows\windowsupdate.log 日志文件,该文件显示配置的代理服务器地址 / 端口,如果成功更新会显示 success update

    如果代理服务器是 ISA ,需要开放 FW 策略允许 HTTP HTTPS Kerberos-Sec(UDP) 端口 Pass-through

   参考信息: [url]http://support.microsoft.com/kb/900935/[/url]