【分享】ISA Server 2004 常见问题:管理
问: 在 ISA Server 中,如何允许用户执行特定任务而不是全部任务?
答: ISA Server 提供了基于角色的管理功能,使用 Windows 用户和组来允许用户执行特定任务。您可以分配“管理员(完全控制)”角色来允许用户执行全部任务。使用“扩展监视”角色来允许用户执行监件、日志配置、警报定义、导出和导入机密配置信息等任务。使用“基本监视”角色来允许用户查看监件信息,而不是进行配置。
问: 如何远程管理 ISA Server 计算机?
答: 您可以使用“终端服务”或“远程桌面”连接到 ISA Server 计算机。或者,您可以安装 ISA Server 管理 Microsoft 管理控制台 (MMC),并使用它来进行远程管理。有两个系统策略规则允许远程管理 ISA Server 计算机--一个面向 MMC 管理,另一个面向“终端服务(远程桌面)”管理。将您希望用于远程管理的计算机添加到由这些规则所使用的、预定义的“远程管理计算机”集合中。
问: 导入和导出与备份和还原之间有什么区别?
答: 导入和导出特性与备份和还原特性是相似的。但是通常您把它们用于不同的目的。您可以使用导出和导入功能来保存,然后导入整个或部分 ISA Server 配置。例如,整个防火墙策略、系统策略或选定的角色。加密机密信息。将信息导出到一个 .xml 文件中,再从该文件中导入。导出和导入特性主要用于复制服务器设置,或将配置设置导出到一个文件中以进行故障诊断。
备份和还原特性使您能够保存和还原大多数配置信息。ISA Server 备份服务器的常规配置信息、缓存配置和 VPN 配置。配置参数存储在本地的 .xml 文件中。该特性主要用于灾难还原,我们建议您在做出任何主要变更之后备份配置。例如,当更改了网络定义、缓存配置或系统策略规则之后。
问: ISA Server 使用哪些服务?
答: 当您安装 ISA Server 时,也将安装以下 Microsoft Windows 操作系统服务:
• Microsoft 防火墙服务。 Wspsrv.exe (fwsrv)。支持来自防火墙和 SecureNAT 客户端的请求的 Windows 服务。
• Microsoft ISA Server 控制服务。 Mspadmin (isactrl)。负责重启其他 ISA Server 服务,产生警报,运行操作,删除日志文件等任务的 Windows 服务。
• Microsoft ISA Server Job Scheduler 服务。W3Prefch.exe (isasched)。从 Web 服务器下载缓存内容的 Windows 服务。
• Microsoft 数据引擎 (MSDE)。用于以 MSDE 格式保存日志信息。
• ISA Server 存储服务。Isastg.exe (isastg)。用于管理对 ISA Server 配置存储的读取和写入访问的 Windows 服务。ISA Server 配置存储是基于注册表,使用了一些文件存储。
问: ISA 何时进入锁定模式?
答: 当某一时间触发防火墙服务关闭时,或如果防火墙服务被手动关闭,则会触发锁定模式。
当“防火墙”服务重启时,ISA Server 将退出锁定模式并继续照常运行。锁定模式的影响可以在 ISA Server 联机帮助中找到。当防火墙服务重启时,ISA Server 将退出锁定模式。对 ISA Server 配置的任何更改都将在 ISA Server 退出锁定模式之后应用。
问: 防火墙服务在哪个系统帐户下运行?
答: 防火墙服务(和 ISA Server 服务)是在“网络服务”帐户下运行的。
问: “网络服务”帐户是否需要任何特殊权限?
答: 要使 SecurID 能够在运行 Windows Server 2003 的计算机上的 ISA Server 中工作,“网络服务 (NetworkService)”帐户需要以下权限:
• 在 HKEY_LOCAL_MACHINE\Software\SDTI\ACECLIENT 上的读取/写入访问权限
• 在 %SystemRoot%\system32\sdconf.rec 上的读取权限
问: 我刚刚创建了一个拒绝特定通信的规则。我以前有一个规则允许进行此类通信,当我进行检查时,拒绝规则似乎没有工作,通信仍然畅通无阻。哪里有问题?
答: 这种行为是因为设计导致的。当您创建新规则时,该规则被应用到新连接上,而不是现有的连接上。如果现有连接仍然处于活动状态,您可能会看到上面所描述的行为。您可以等待几分钟以便使连接状态超时,关闭现有的会话,或重启服务以强制删除旧连接状态。
问: 当我在网络环境中安装 ISA Server 时(利用强制的 IPSec),ISA Server 能够在短时间内进行远程管理,但是当现有的 IPSec 会话到期后,ISA Server 计算机就不能用于远程访问了。发生了什么事情?
答: ISA Server 不允许进行 Internet 密钥交换 (IKE) 通信,因此不能续订 IPSec 会话。作为一次运算,以允许在 IPSec 环境中远程管理 ISA Server,您必须创建一个规则,以允许到本地主机网络的 IKE 协议通信。在“ISA Server 管理”中的“工具箱、协议(VPN 和 IPSec 协议)”中有一个预定义的 IKE 协议定义。IKE 客户端协议定义定义了 UDP 端口 500 (SendReceive) 的主要连接。
问: 我已经为 ISA Server 设置了 NLB。如何才能确定每台 ISA Server 计算机可以与其他计算机通信?
答: 在每台 ISA Server 计算机上,您需要包括在其网络之一中的另一台 ISA Server 计算机的 IP 地址。例如,在 ISAServer2 的内部网络中包括 ISAServer1 的内部适配器的 IP 地址。在写入的时候,您还需要多播模式。
问: 我无法使用从“远程管理计算机”集中的计算机到 ISA Server 计算机的 DCOM。为什么不能?
答: 在系统策略规则中,没有选项可配置远程管理来允许不严格的 RPC 通讯。“远程管理”计算机到“本地主机”计算机之间的所有 DCOM 通信都将被断开 (drop)。RPC 筛选器不能被配置为不强制执行 RPC 筛选,允许 DCOM。作为一次运算,从“远程管理计算机”集合中删除计算机,为与系统策略规则相同的通信创建额外的策略规则。然后右击规则,单击“配置 RPC 协议”,清除该规则的“强制严格符合 RPC”。
问: 网络之间的 NAT 和路由关系有什么重要意义?
答: 如果您拥有一个网络规则,它定义两个网络(比如:内部网络和外部网络)之间的网络地址转换 (NAT) 关系,则适用以下条件:
• 内部到外部流量将由访问规则定义。
• 外部到内部流量将由发布规则定义。
如果您拥有路由关系,则可以在两个方向上使用访问规则。
问: 什么是本地主机网络?
答: 本地主机网络是指 ISA Server 计算机。也就是说,来往于 ISA Server 的所有流量都被视为通过本地主机网络传送。它包括 ISA Server 计算机的所有 IP 地址,以及保留的环回 IP 地址 127.0.0.1。
问: 如何才能筛选不想要的站点?
答: ISA Server 2004 中的 HTTP 筛选器允许您基于 URL 长度、字符串、文件扩展名和其他方法来阻止内容。您可以按访问规则或 Web 发布规则来指定 HTTP 筛选器。选择规则,然后在“任务”选项卡上,单击“编辑所选择的规则”。在“流量”选项卡(Web 发布)上,或在“协议”选项卡(访问规则)上,单击“配置 HTTP”。详细信息,请参阅联机帮助文档中的“HTTP 筛选器”主题。
问: 某些攻击为了破坏安全性,在 HTTP 标头中使用大量数据。如何才能限制 HTTP 标头的长度?
答: HTTP 筛选器可设置请求头的最大长度,并应用于所有规则。默认长度为 32,768 字节。要想修改默认值,请在“防火墙策略”节点的详细信息窗格中,右击需要的规则,然后单击“配置 HTTP”。您还可以使用 ISA Server SDK 帮助文档的“配置加载项”主题中提供的脚本来修改该值。
对响应头长度的限制是全局的,由 admin COM 属性“FPCWebProxy.MaxHeadersSize”来控制。
问: 我希望配置入站访问规则,但是不能为该规则选择入站协议。有什么问题?
答: 在 ISA Server 2004 中,入站协议只用于发布规则。对于访问规则,协议是出站的。
问: 在本地化语言环境中,使用集成身份验证的连锁请求失败了。这是什么原因?
答: 问题在于凭据的转换。集成身份验证失败,下游代理被识别为上游代理上的来宾帐户。
问: 当在 ISA Server 中使用网络负载平衡 (NBL) 时,双向关联 (BDA) 是否受支持?
答: 不,不支持 BDA。
问: 我看到在 SMTP 命令列表中的 Startls 命令。这是否意味着 SMTP 筛选器允许 SMTP TLS 加密的连接?
答: 如果您正在使用 STARTTLS 命令,SMTP 筛选器以 Passthrough(通过)模式工作,不对 SMTP 流量进行任何筛选。
2007-01-02 16:50:28.060000000
