最近遇到一个问题,一个客户使用两台ISA服务器做了ISA阵列,但不小心人为的在DC中将其中一台ISA服务器的计算机帐户删除了,删除后又重新把ISA服务器重新加域,但发现重新加入的这台ISA服务器无法连接ISA配置服务器。
在客户处拿到的ISA日志中,发现如下警报信息:
Event Type:       Warning
Event Source:   Microsoft ISA Server Control
Event Category: None
Event ID:           21238
Date:                  1/13/2009
Time:                  4:16:46 PM
User:                  N/A
Computer:       ****-***-02
Description:
ISA Server cannot connect to the Configuration Storage server ****-***-01.****.com for one of the following reasons:
- The Configuration Storage server is not available.
- There are general networking or authentication issues.
- The firewall policy for the array is incorrectly configured.
For information on resolving these issues, see  http://go.microsoft.com/fwlink/?LinkId=37487
      从得到的日志信息来分析,因ISA服务器的计算机帐户人为删除,而在ISA服务器的安装过程中,ISA服务器会把本机的SID写入ISA配置服务器的ADAM中,并赋予一定的访问和修改权限,当在重建帐号,并重新加入到域的过程中,计算机SID会发生改变,这样就会造成这台ISA服务器没有访问和修改ADAM的权限。
      找到问题的原因,那怎么解决呢?
      首先对比了SPN,对比两台ISA服务器,检查出问题的一台ISA服务器的servicePrincipalName属性中是否有意外丢失的信息。
      比对完成后,将新建的计算机账号加入到ISA配置服务器的ISA企业管理员角色。
      1、在DC中新建一个安全组。
      2、把ISA防火墙服务器的计算机账号加入该安全组。
      3、登陆ISA配置服务器,把该安全组加为企业级(而不是阵列级)的ISA企业管理员角色。
      4、重启ISA防火墙服务器。
      ISA问题得以解决。

0

收藏

跃跃领舞

45篇文章,16W+人气,0粉丝

Ctrl+Enter 发布

发布

取消

0

分享
跃跃领舞