ISA Server故障排除策略
　 　　10.2　ISA Server故障排除策略
　　　　 系統(tǒng)方法是成功排除故障的必要條件。當(dāng)遇到意外的ISA Server錯誤時，可以從辨別錯誤是基于用戶的還是基于數(shù)據(jù)包的入手進行故障排除。本節(jié)為兩種類型的連接問題提供了故障排除策略。

　　 本節(jié)學(xué)習(xí)目標
　　 排除基于用戶的訪問問題。

　　 排除基于數(shù)據(jù)包的訪問問題。

　　 排除ISA Server里VPN連接的故障。

　　 估計學(xué)習(xí)時間：30分鐘
　　 10.2.1　用戶訪問故障排除
　　　　 當(dāng)用戶賬戶訪問被中斷或者不可用時，可能是由于用戶安全要求過于嚴格、規(guī)則配置不正確、身份驗證方法不夠全面等造成的。出現(xiàn)此類情況時，Ping，Tracert等工具就有用武之地了。

　　　　 要排除基于用戶的訪問問題，首先檢查訪問策略規(guī)則。通過已配置的訪問策略規(guī)則，確認無法建立網(wǎng)絡(luò)連接的用戶已經(jīng)被許可擁有連接站點，內(nèi)容組和協(xié)議的權(quán)限。

　　 如果所配置的規(guī)則不能成功應(yīng)用到用戶會話中去，確認陣列屬性配置為向未認證用戶要求身份證明。同時注意，如果創(chuàng)建一個允許類型的訪問政策并應(yīng)用到指定的用戶和組上，會要求用戶會話通過ISA Server身份驗證。另一方面，如果要所有的Web會話保持匿名時，對Web會話的訪問受到拒絕，那么確定陣列屬性不要求匿名用戶進行身份驗證。另外，刪除所有應(yīng)用到指定Win2000用戶和組上的允許類型的站點和內(nèi)容規(guī)則或協(xié)議規(guī)則。

　　 身份驗證

　　　　 在陣列屬性中，對身份驗證方法的選擇將影響到用戶的連接能力。每種身份驗證方法是專為某種網(wǎng)絡(luò)環(huán)境設(shè)計的。如果在網(wǎng)絡(luò)配置中選擇了不兼容的身份驗證方法，或者是方法配置不正確，用戶將不能訪問ISA Server計算機和網(wǎng)絡(luò)。

　　　　 例如，陣列的默認身份驗證模式是集成的Windows身份驗證。但此方法不能驗證運行非Windows操作系統(tǒng)的客戶機。如果要在ISA Server中為此類客戶提供驗證的訪問服務(wù)，則必須把陣列屬性配置為使用其他的身份驗證方法。同樣，集成的Windows身份驗證與Netscape也不兼容，因為Netscape不能傳遞NTLM格式的用戶證書。它的另一個限制是依靠Kerberos V5身份驗證協(xié)議或它自己的質(zhì)詢/響應(yīng)身份驗證協(xié)議，然而在直通式身份驗證方案中，如圖 10.3所示，ISA Server不支持Kerberos V5身份驗證協(xié)議，因為Kerberos V5要求客戶機能識別驗證身份的服務(wù)器。

　　 在ISA Server中，可選的身份驗證方法有Basic、Digest、Client Certificate等。Basic身份驗證與所有客戶類型都兼容，然而，因為此方法是以明碼而不加密的格式傳遞用戶名和密碼的，它的安全性就不夠了。Digest身份驗證僅能在Windows2000域中使用，密碼傳遞采用明碼但加密的文本進

　　 行。Client Certificate身份驗證使用SSL通道來驗證。它需要在ISA Server 計算機上的Web代理服務(wù)證書庫中安裝客戶證書，且證書應(yīng)該映射到適當(dāng)?shù)挠脩糍~戶。ISA Server只在SSL橋接配置時提供客戶證書。

　　 10.2.2　基于數(shù)據(jù)包的訪問故障排除
　　　　 當(dāng)所有用戶都不能訪問網(wǎng)絡(luò)時，或基于IP的實用程序如Ping、Tracert操作失敗時，可以斷定為基于數(shù)據(jù)包的訪問問題。

　　 在ISA Server中，要排除基于數(shù)據(jù)包的訪問故障，先盡可能地簡化網(wǎng)絡(luò)配置，形成一個測試　　環(huán)境。

　　 Ø　　　　　建立網(wǎng)絡(luò)故障排除配置

　　 1.　　啟動數(shù)據(jù)包過濾，創(chuàng)建一個自定義的數(shù)據(jù)包篩選器以允許任何IP協(xié)議都能傳入、傳出。

　　 2.　　創(chuàng)建一個協(xié)議規(guī)則，允許任何請求的IP通信，確定已有一個站點和內(nèi)容規(guī)則來允許訪問所有站點和內(nèi)容組。

　　 3.　　將所有程序篩選器和路由規(guī)則恢復(fù)成默認設(shè)置。

　　 4.　　驗證已將本地地址表定義在ISA Server內(nèi)部客戶范圍內(nèi)。

　　 5.　　在 IP Packet Filters Properties對話框中，啟動IP Routing。


　　 注意　IP Routing選項為有輔助連接的協(xié)議提供路由能力。此設(shè)置對邊界網(wǎng)絡(luò)配置尤為重要?？梢栽贗SA Management 的IP Packet Filters Properties對話框中或Routing and Remote Access 控制臺中，啟動IP路由選項。


　　 6.　　在 ISA Server計算機上，確保沒有為內(nèi)部接口定義默認的網(wǎng)關(guān)。不過，確保外部接口上指定了合適的默認網(wǎng)關(guān)。

　　 7.　　 在試圖建立訪問連接的客戶端上，禁用防火墻客戶端軟件，并將 ISA Server指定為默認網(wǎng)關(guān)。

　　 一旦以這種簡化的方式配置了 ISA Server，重啟ISA Server服務(wù)。如果仍然不能訪問網(wǎng)絡(luò)，那么重啟ISA Server計算機。如果這還不能解決問題，那么可能不是ISA Server配置的問題。這時，應(yīng)該執(zhí)行網(wǎng)絡(luò)故障排除。用網(wǎng)絡(luò)監(jiān)視器跟蹤并需要檢查DNS、路由表、報告、日志等。

　　　　 如果在這種簡化的模式下能訪問Internet，那么再一項一項地將網(wǎng)絡(luò)單元導(dǎo)入，判斷問題的原因。例如，如果能在一個給定的客戶端上訪問Internet，就可以試著從該計算機上使用指定的Internet程序。如果遇到問題，可以認為要么是應(yīng)用程序沒有正確配置為把ISA Server作為代理服務(wù)器使用，要么就是該程序不能使用代理服務(wù)器。對于不能使用代理服務(wù)器的程序，必須將客戶機配置成安全網(wǎng)絡(luò)地址轉(zhuǎn)換客戶端或者是運行防火墻客戶端軟件。在重新配置客戶機以后，注意其行為上的變化?？梢哉J為自動發(fā)現(xiàn)特性配置不正確。這樣出現(xiàn)問題不斷解決，直到為特定的配置添加了所有所需的網(wǎng)絡(luò)組件。

　　 VPN網(wǎng)絡(luò)考慮事項
　　　　 在VPN網(wǎng)絡(luò)中，故障排除也從上述建立簡化網(wǎng)絡(luò)環(huán)境入手。如果已運行了新建VPN向?qū)?，?yīng)當(dāng)先證實已運行了Routing and Remote Access服務(wù)。然后，確保已將客戶機配置成安全網(wǎng)絡(luò)地址轉(zhuǎn)換客戶端，而非防火墻客戶端。

　　　　 此外，還需要證實LocaISA Server VPN Configuration向?qū)б呀?jīng)在Routing and Remote Access中創(chuàng)建了適當(dāng)?shù)恼埱髶芴柦涌凇？稍赗outing Interfaces節(jié)點對此進行檢查，如圖 10.4所示。

　　 在此之后，確認為VPN連接選擇的每一個身份驗證協(xié)議都創(chuàng)建了2個IP數(shù)據(jù)數(shù)據(jù)包篩選器。例如，如果VPN網(wǎng)絡(luò)配置為使用L2TP或PPTP，則LocaISA Server VPN Configuration向?qū)?yīng)該創(chuàng)建并啟動4個IP數(shù)據(jù)數(shù)據(jù)包篩選器。(對于L2TP，配置向?qū)槎丝?00和1701創(chuàng)建自定義的常規(guī)篩選器。對于PPTP，配置向?qū)镻PTP呼叫和PPTP接收創(chuàng)建預(yù)定義的篩選器)。