服务器租用 ISA Server怎样故障

　　ISA Server故障排除策略

　　10.2　ISA Server故障排除策略

　　系统方法是成功排除故障的必要条件。当遇到意外的ISA Server错误时，可以从辨别错误是基于用户的还是基于数据包的入手进行故障排除。本节为两种类型的连接问题提供了故障排除策略。

　　本节学习目标

　　排除基于用户的访问问题。

　　排除基于数据包的访问问题。

　　排除ISA Server里连接的故障。

　　估计学习时间：30分钟

　　10.2.1　用户访问故障排除

　　当用户账户访问被中断或者不可用时，可能是由于用户安全要求过于严格、规则配置不正确、身份验证方法不够全面等造成的。出现此类情况时，Ping，Tracert等工具就有用武之地了。

　　要排除基于用户的访问问题，首先检查访问策略规则。通过已配置的访问策略规则，确认无法建立网络连接的用户已经被许可拥有连接站点，内容组和协议的权限。

　　如果所配置的规则不能成功应用到用户会话中去，确认阵列属性配置为向未认证用户要求身份证明。同时注意，如果创建一个允许类型的访问政策并应用到指定的用户和组上，会要求用户会话通过ISA Server身份验证。另一方面，如果要所有的Web会话保持匿名时，对Web会话的访问受到拒绝，那么确定阵列属性不要求匿名用户进行身份验证。另外，删除所有应用到指定Win2000用户和组上的允许类型的站点和内容规则或协议规则。

　　身份验证

　　在阵列属性中，对身份验证方法的选择将影响到用户的连接能力。每种身份验证方法是专为某种网络环境设计的。如果在网络配置中选择了不兼容的身份验证方法，或者是方法配置不正确，用户将不能访问ISA Server计算机和网络。

　　例如，阵列的默认身份验证模式是集成的Windows身份验证。但此方法不能验证运行非Windows操作系统的客户机。如果要在ISA Server中为此类客户提供验证的访问服务，则必须把阵列属性配置为使用其他的身份验证方法。同样，集成的Windows身份验证与Netscape也不兼容，因为Netscape不能传递NTLM格式的用户证书。它的另一个限制是依靠Kerberos V5身份验证协议或它自己的质询/响应身份验证协议，然而在直通式身份验证方案中，如图 10.3所示，ISA Server不支持Kerberos V5身份验证协议，因为Kerberos V5要求客户机能识别验证身份的服务器。

　　在ISA Server中，可选的身份验证方法有Basic、Digest、Client Certificate等。Basic身份验证与所有客户类型都兼容，然而，因为此方法是以明码而不加密的格式传递用户名和密码的，它的安全性就不够了。Digest身份验证仅能在Windows2000域中使用，密码传递采用明码但加密的文本进

　　行。Client Certificate身份验证使用SSL通道来验证。它需要在ISA Server 计算机上的Web代理服务证书库中安装客户证书，且证书应该映射到适当的用户账户。ISA Server只在SSL桥接配置时提供客户证书。

　　10.2.2　基于数据包的访问故障排除

　　当所有用户都不能访问网络时，或基于IP的实用程序如Ping、Tracert操作失败时，可以断定为基于数据包的访问问题。

　　在ISA Server中，要排除基于数据包的访问故障，先尽可能地简化网络配置，形成一个测试　　环境。

　　佛山机房.接托管、机柜出租 东莞大朗机房.松山湖机房 恒温系统，

　　专为企业稳定而存在 陕西机房 杭州高防大带宽，

　　另有国外香港、日本、韩国、华盛顿、新加坡、菲律宾、洛杉矶

　　手游，页游，端游，网站。

　　欢迎到三三在线 www.33o*** 咨询!

　　有需要的可以加企业Q Q：2852361322

　　电话：4000900901

　　杭州BGP：

　　43.228.68.1

　　43.228.68.2

　　43.228.68.3

　　43.228.68.4

　　......

　　43.228.68.255

　　43.228.67.1

　　43.228.67.2

　　43.228.67.3

　　43.228.67.4

　　43.228.67.5

　　.......

　　43.228.67.255

　　四川高防：

　　182.132.33.1

　　182.132.33.2

　　182.132.33.3

　　182.132.33.4

　　.......

　　182.132.33.255