这个贴子专用总结ISA SERVER常见问题的解决方法,也欢迎大家把自己遇到的问题及其解决方法跟在此贴后,经确定其正确性后提交进总结,当然会写上总结者的大名。
---------------------------问题分类索引------------------------------------
一楼:规划与安装
二楼:访问策略
三楼:发布
四楼:客户端
五楼:其他
------------------------------------------------------------------------
为了快速找到相关主题,请用浏览器编辑菜单中的查找功能搜索关键字
-----------------------规划与安装----------------------------------------
A0001 ISA内网卡设置了网关后与远端子网(非直接连接到ISA的内网接口)通信有故障 shukoshi
由于访问INTERNET时的数据要通过ISA出去,所以ISA的内网卡不能设置网关,ISA上的默认网关只应存在于它的外部接口上,对于有远端子网的环境,为了让ISA能与它们通信,可以手动建立到达这些网络的静态路由,方法是在ISA的服务器上运行命令route add -p.
------------------------------------------------------------------------------
-------------------------------------------------------------------------
A0002 在windowns server 2003安装运行ISA SERVER 2K的前期准备 shukoshi
1,需要先安装ISA的SP1
2,一个专门的更新isahf255.exe:
[url]http://www.microsoft.com/downloads/details.aspx?FamilyID=77d[/url]
更详细的说明请看KB:
[url]http://support.microsoft.com/default.aspx?scid=kb;en-us;331062[/url]
------------------------------------------------------------------
A0003 在域中分发防火墙客户端 shukoshi
1,在相应的OU或域组策略中进行软件分发,使用指派方式
2,选择软件包时使用UNC路径,选择ISA服务器mspclnt共享目录下的MS_FWC.MSI程序包。
注意:需要把ISA服务器排除在分发的范围内,因为ISA上不能安装客户端.
------------------------------------------------------------------
A0004 完全删除ISA SERVER 2000 shukoshi
有时可能要重新安装ISA,如果安装前想完全卸载掉ISA (包括注册表项),请运行ISA光盘上的rmisa.exe。
------------------------------------------------------------------
A0005 安装ISA SP2出现错误,导致不能正确安装 lsfy/stevenzj2
现象:安装ISA SP2后出现错误提示如下:this program canot regster fltrsnk1.dll,导致不能正确安装
解决(一)[url]http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=14&id=436335[/url]
(二)[url]http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=14&id=449407[/url]
---------------------------问题分类索引------------------------------------
一楼:规划与安装
二楼:访问策略
三楼:发布
四楼:客户端
五楼:其他
------------------------------------------------------------------------
为了快速找到相关主题,请用浏览器编辑菜单中的查找功能搜索关键字
-----------------------规划与安装----------------------------------------
A0001 ISA内网卡设置了网关后与远端子网(非直接连接到ISA的内网接口)通信有故障 shukoshi
由于访问INTERNET时的数据要通过ISA出去,所以ISA的内网卡不能设置网关,ISA上的默认网关只应存在于它的外部接口上,对于有远端子网的环境,为了让ISA能与它们通信,可以手动建立到达这些网络的静态路由,方法是在ISA的服务器上运行命令route add -p.
------------------------------------------------------------------------------
-------------------------------------------------------------------------
A0002 在windowns server 2003安装运行ISA SERVER 2K的前期准备 shukoshi
1,需要先安装ISA的SP1
2,一个专门的更新isahf255.exe:
[url]http://www.microsoft.com/downloads/details.aspx?FamilyID=77d[/url]
更详细的说明请看KB:
[url]http://support.microsoft.com/default.aspx?scid=kb;en-us;331062[/url]
------------------------------------------------------------------
A0003 在域中分发防火墙客户端 shukoshi
1,在相应的OU或域组策略中进行软件分发,使用指派方式
2,选择软件包时使用UNC路径,选择ISA服务器mspclnt共享目录下的MS_FWC.MSI程序包。
注意:需要把ISA服务器排除在分发的范围内,因为ISA上不能安装客户端.
------------------------------------------------------------------
A0004 完全删除ISA SERVER 2000 shukoshi
有时可能要重新安装ISA,如果安装前想完全卸载掉ISA (包括注册表项),请运行ISA光盘上的rmisa.exe。
------------------------------------------------------------------
A0005 安装ISA SP2出现错误,导致不能正确安装 lsfy/stevenzj2
现象:安装ISA SP2后出现错误提示如下:this program canot regster fltrsnk1.dll,导致不能正确安装
解决(一)[url]http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=14&id=436335[/url]
(二)[url]http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=14&id=449407[/url]
-----------------------访问策略----------------------------
B0001 关于某某(比如某某游戏)服务端口的寻找方法 shukoshi
要想又快又准地找到某网络应用软件要连接的服务器端口,最好使用一个sniffer软件来完成,这里推荐commview,它简单、直观,很适合这种“小型”应用,搜新网有下载,比如我现在要使用一款集QQ和MSN于一身通讯软件IMU,但不知它要连接到服务器的那个端口,这时,就可以在使用此软件的客户端上启动commview(也可以在ISA上抓包,此时选择外网卡),并选择相应网卡进行抓包,然后运行我的IMU并登录,很快就发现它要连接远方服务器的UDP/6005端口,于是定义一条UDP 6005的协议(如下图),然后创建一条相应协议规则就可以使用IMU了。
500)this.width=500
}
}
}" border=0>
-------------------------------------------------------------
B0002 禁止内网用户使用BT shukoshi
可以采取下面的思路:
1,不准客户端下载.torrent格式文件,但如果别人改了扩展名此法将失效
2,即使客户端下载了种子,不准其与TRACKER服务器连接,BT下载也不会成功
3,不准外部BT连接内网BT,在ISA上,不经过特殊配置外网是不可能连接进内网客户端的,所以这不必担心,外网不能连接进内网,将大大影响BT下载的速度,
4,不准内部BT连接出去,
另外也可以使用限制软件运行等其他方法,由于前两种变量少,效果明显,就说说前两种禁止方法:
1,先在Policy elements/content groups下新建一个BT内容组:如图
B0001 关于某某(比如某某游戏)服务端口的寻找方法 shukoshi
要想又快又准地找到某网络应用软件要连接的服务器端口,最好使用一个sniffer软件来完成,这里推荐commview,它简单、直观,很适合这种“小型”应用,搜新网有下载,比如我现在要使用一款集QQ和MSN于一身通讯软件IMU,但不知它要连接到服务器的那个端口,这时,就可以在使用此软件的客户端上启动commview(也可以在ISA上抓包,此时选择外网卡),并选择相应网卡进行抓包,然后运行我的IMU并登录,很快就发现它要连接远方服务器的UDP/6005端口,于是定义一条UDP 6005的协议(如下图),然后创建一条相应协议规则就可以使用IMU了。
-------------------------------------------------------------
B0002 禁止内网用户使用BT shukoshi
可以采取下面的思路:
1,不准客户端下载.torrent格式文件,但如果别人改了扩展名此法将失效
2,即使客户端下载了种子,不准其与TRACKER服务器连接,BT下载也不会成功
3,不准外部BT连接内网BT,在ISA上,不经过特殊配置外网是不可能连接进内网客户端的,所以这不必担心,外网不能连接进内网,将大大影响BT下载的速度,
4,不准内部BT连接出去,
另外也可以使用限制软件运行等其他方法,由于前两种变量少,效果明显,就说说前两种禁止方法:
1,先在Policy elements/content groups下新建一个BT内容组:如图
rule action:DENY
rule configuration:custom
destination sets:all destination
schedule:always
client type:any requst
content groups:only the following content types/BT(上面创建的内容组)
2,TRACKER服务器的端口通常是81,82,8000,8001,6969,8080等,你可以把对这几个TCP端口的访问封掉。
----------------------------------------------------------------
B0003 ISA 2004后客户端不能对FTP服务器进行上传 shukoshi
默认情况下ISA 2004限制客户端对FTP服务只能进行只读访问,可以按下面配置使客户端能够上传:
1,右击相应允许FTP访问的规则,然后选择config ftp项
2,在弹出窗口中去掉read only项。
另外WEB PROXY客户端不能进行上传。
[此贴 2004-7-18 9:36:04 被作者本人编辑过]
B0004 内网客户端不能从位于ISA2004上的DHCP服务器取得TCP/IP参数 SHUKOSHI
创建两条访问规则:
1,内网到本地主机,协议选择DHCP REQUEST,
2,本地主机到内网,协议选择DHCP REPLY,
注意把这两条访问规则放在所有与域名集或URL集相关的访问规则之前,以免出现可能的故障。
-----------------------发布------------------------------
C0001 关于提问如何发布XXX服务器的统一回答 朗月繁星
原贴见[url]http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=14&id=186003[/url]
在ISA 板块经常有很多帖子问 如何发布xxx服务器的问题,其实这种问题对我而言即简单又非常难,因为对于发布服务器的过程并不是很难,而您提出的关于某个Server的发布,我对这个Server可能一点不了解,毕竟我不可能把所有ISA可以发布的资源做测试,所以这里提供一个通用的方法
1,你需要了解ISA发布的工作原理,ISA有两种发布方法(其实是3种,只不过第三种方法用的不多),一种是Server Publish ,一种是Web publish,有关这些发布的原理,我在置顶的帖子“朗月繁星文章专区”里已经介绍,虽然写的是发布FTP Server,但是2种发布的原理已经讲述清楚。
2,你需要对发布的Server有一个了解,对于发布的过程来讲,你需要了解的只是Server监听的端口号码,以及使用什么协议。这些信息,你可以参考你的Server的使用说明,也可以使用一些软件,例如ActivePort ,天网, netstat,来测试你的Server在监听什么端口
3,使用Server Publish或者Web publish将服务器发布,Step2所作的调查,实际上是为制定Server Publsih或者Web Publish的发布规则提供参数的,因为你要告诉ISA 内部的Server监听什么端口,以及他的内网IP
一般来讲发布的服务器只要作为ISA 的SNAT客户即可,但是有些Server他监听请求或者一些应用不是使用特定的端口,这种情况这台服务器可能需要配置成为FWC,并且在FWC的配置文件中,指明动态端口的范围。你可以会有这样的疑问,FTP的Passive模式也是使用了动态端口,但是为什么FTP Server可以配置成为SNAT客户,而不配置成为FWC,这是因为ISA Server中有一个FTP APP filter,他可以管理动态端口的问题,所以你不需要把Server配置成为FWC,再自己配置FWC的配置文件。
C0002 发布的WEB站点URL中有中文时从外部访问不能成功 shukoshi
右击WEB服务器发布规则,选configure HTTP,取消block high bit characters项
可参见此贴:[url]http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=14&id=[/url]
C0003 动网论坛发布后在外部访问不能发贴 starlee
在发布时选中"Send the original host header to the publishing server instead of the actual one",也就让ISA把主机头传给发布的WEB服务器。
C0001 关于提问如何发布XXX服务器的统一回答 朗月繁星
原贴见[url]http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=14&id=186003[/url]
在ISA 板块经常有很多帖子问 如何发布xxx服务器的问题,其实这种问题对我而言即简单又非常难,因为对于发布服务器的过程并不是很难,而您提出的关于某个Server的发布,我对这个Server可能一点不了解,毕竟我不可能把所有ISA可以发布的资源做测试,所以这里提供一个通用的方法
1,你需要了解ISA发布的工作原理,ISA有两种发布方法(其实是3种,只不过第三种方法用的不多),一种是Server Publish ,一种是Web publish,有关这些发布的原理,我在置顶的帖子“朗月繁星文章专区”里已经介绍,虽然写的是发布FTP Server,但是2种发布的原理已经讲述清楚。
2,你需要对发布的Server有一个了解,对于发布的过程来讲,你需要了解的只是Server监听的端口号码,以及使用什么协议。这些信息,你可以参考你的Server的使用说明,也可以使用一些软件,例如ActivePort ,天网, netstat,来测试你的Server在监听什么端口
3,使用Server Publish或者Web publish将服务器发布,Step2所作的调查,实际上是为制定Server Publsih或者Web Publish的发布规则提供参数的,因为你要告诉ISA 内部的Server监听什么端口,以及他的内网IP
一般来讲发布的服务器只要作为ISA 的SNAT客户即可,但是有些Server他监听请求或者一些应用不是使用特定的端口,这种情况这台服务器可能需要配置成为FWC,并且在FWC的配置文件中,指明动态端口的范围。你可以会有这样的疑问,FTP的Passive模式也是使用了动态端口,但是为什么FTP Server可以配置成为SNAT客户,而不配置成为FWC,这是因为ISA Server中有一个FTP APP filter,他可以管理动态端口的问题,所以你不需要把Server配置成为FWC,再自己配置FWC的配置文件。
C0002 发布的WEB站点URL中有中文时从外部访问不能成功 shukoshi
右击WEB服务器发布规则,选configure HTTP,取消block high bit characters项
可参见此贴:[url]http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=14&id=[/url]
C0003 动网论坛发布后在外部访问不能发贴 starlee
在发布时选中"Send the original host header to the publishing server instead of the actual one",也就让ISA把主机头传给发布的WEB服务器。
-----------------------客户端----------------------------
D0001 不能从OE收取hotmail邮件 shukoshi
如果是创建的非用户类规则,请开放https端口,TCP/443.如果是用户类规则,请看KB:
[url]http://support.microsoft.com/default.aspx?scid=kb;en-us;287921[/url]
---------------------------------------------------------
D0002 FWC客户端经常掉线,表现为FWC图标显示一个红色的叹号 insus/shukoshi
总结自[url]http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=14&id=433172[/url]
可能原因1:如果工作站是win98,在登录域时,是按ESC或取消登录;如工作站是win2k,登录时,只是登录本机,没有登录域。也会经常出现离线。工作站使用时,最好登录域。
2,客户端解析ISA的名字不成功或结果不正确,导致连接失败,这可以通过配置客户端直接用IP的方式与ISA联系,可以这样配置,在ISA中双击client configuration/firewall client,在弹出窗口的general标签中选择ip address,然后在里面输入ISA的IP地址.
3,病毒导致。
----------------------------------------------------------
D0003 SecureNAT客户端或FWC从网络“掉线” shukoshi
可能原因(FWC先看D0002):
1,因为ISA限制了每个客户端只能最多40个并发映射,要增大数量,需要修改注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\FPC\Arrays\GUID\ArrayPolicy\Proxy-WSP\msFPCConnectionQuota
详细讨论请看KB:[url]http://support.microsoft.com/default.aspx?scid=kb;en-us;316356[/url]
D0001 不能从OE收取hotmail邮件 shukoshi
如果是创建的非用户类规则,请开放https端口,TCP/443.如果是用户类规则,请看KB:
[url]http://support.microsoft.com/default.aspx?scid=kb;en-us;287921[/url]
---------------------------------------------------------
D0002 FWC客户端经常掉线,表现为FWC图标显示一个红色的叹号 insus/shukoshi
总结自[url]http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=14&id=433172[/url]
可能原因1:如果工作站是win98,在登录域时,是按ESC或取消登录;如工作站是win2k,登录时,只是登录本机,没有登录域。也会经常出现离线。工作站使用时,最好登录域。
2,客户端解析ISA的名字不成功或结果不正确,导致连接失败,这可以通过配置客户端直接用IP的方式与ISA联系,可以这样配置,在ISA中双击client configuration/firewall client,在弹出窗口的general标签中选择ip address,然后在里面输入ISA的IP地址.
3,病毒导致。
----------------------------------------------------------
D0003 SecureNAT客户端或FWC从网络“掉线” shukoshi
可能原因(FWC先看D0002):
1,因为ISA限制了每个客户端只能最多40个并发映射,要增大数量,需要修改注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\FPC\Arrays\GUID\ArrayPolicy\Proxy-WSP\msFPCConnectionQuota
详细讨论请看KB:[url]http://support.microsoft.com/default.aspx?scid=kb;en-us;316356[/url]
-----------------------其他----------------------------
Z0001 ISA服务器上无法使用FTP客户端 shukoshi
使用专门的FTP客户端软件,比如flashfxp,cuteftp,然后设置它们使用ISA上的socket4代理,不过即使这样,仍然不是所有的服务器都支持。
--------------------------------------------------------
Z0002 用ISA实现网关到网关的×××文章转自微软中国社区,
[url]http://www.microsoft.com/china/community/program/originalarticles/TechDoc/ISA_RRAS.mspx[/url]
--------------------------------------------------------
Z0003 ISA2K后查看非标准端口(TCP/443以外)的SSL 站点时显示空白页或无法显示页 shukoshi
具体情况参见KB:[url]http://support.microsoft.com/default.aspx?scid=kb;zh-cn;283284[/url]
比如要添加一个2004端口的HTTPS,可以新建一个VBS文件,内容为:
set isa=CreateObject("FPC.Root")
set tprange=isa.Arrays.GetContainingArray.ArrayPolicy.WebProxy.TunnelPortRanges
set tmp=tprange.AddRange("SSL2004",2004,2004)
tprange.Save
然后双击此文件即可,完成后重启ISA相关服务。
如果你是ISA2004,操作方法请见
[url]http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=14&id=527984[/url]
--------------------------------------------------------
Z0004 揪出内网中的CCproxy二级代理 songboy799
总结自:[url]http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=14&id=437063[/url]
在防火墙日志中搜寻ccproxy。
扫描内网中ccproxy常用代理端口
-------------------------------------------------------
Z0005 清除ISA服务器上的cache shukoshi
net stop w3schdwn
net stop w3proxy
del d:\urlcache\dir1.cdat
net start w3proxy
net start w3schdwn
del命令处换上自己urlcache所在的目录.
Z0006 用企业管理器本地或远程管理ISA2004的MSDE日志 shukoshi
由于步骤较多,请参看专贴
请点这里
Z0001 ISA服务器上无法使用FTP客户端 shukoshi
使用专门的FTP客户端软件,比如flashfxp,cuteftp,然后设置它们使用ISA上的socket4代理,不过即使这样,仍然不是所有的服务器都支持。
--------------------------------------------------------
Z0002 用ISA实现网关到网关的×××文章转自微软中国社区,
[url]http://www.microsoft.com/china/community/program/originalarticles/TechDoc/ISA_RRAS.mspx[/url]
--------------------------------------------------------
Z0003 ISA2K后查看非标准端口(TCP/443以外)的SSL 站点时显示空白页或无法显示页 shukoshi
具体情况参见KB:[url]http://support.microsoft.com/default.aspx?scid=kb;zh-cn;283284[/url]
比如要添加一个2004端口的HTTPS,可以新建一个VBS文件,内容为:
set isa=CreateObject("FPC.Root")
set tprange=isa.Arrays.GetContainingArray.ArrayPolicy.WebProxy.TunnelPortRanges
set tmp=tprange.AddRange("SSL2004",2004,2004)
tprange.Save
然后双击此文件即可,完成后重启ISA相关服务。
如果你是ISA2004,操作方法请见
[url]http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=14&id=527984[/url]
--------------------------------------------------------
Z0004 揪出内网中的CCproxy二级代理 songboy799
总结自:[url]http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=14&id=437063[/url]
在防火墙日志中搜寻ccproxy。
扫描内网中ccproxy常用代理端口
-------------------------------------------------------
Z0005 清除ISA服务器上的cache shukoshi
net stop w3schdwn
net stop w3proxy
del d:\urlcache\dir1.cdat
net start w3proxy
net start w3schdwn
del命令处换上自己urlcache所在的目录.
Z0006 用企业管理器本地或远程管理ISA2004的MSDE日志 shukoshi
由于步骤较多,请参看专贴
请点这里
------------------------------------------------------------
Z0007 VNC服务器的监听端口 shukoshi
如果你用专门的VNC客户端vncviewer连接,那么它将连接服务器的TCP/5900+display number,比如显示号是1,那么将连接TCP5901端口,
如果你使用浏览器连接,那么端口将是5800+显示号,比如TCP 5801。
Z0007 VNC服务器的监听端口 shukoshi
如果你用专门的VNC客户端vncviewer连接,那么它将连接服务器的TCP/5900+display number,比如显示号是1,那么将连接TCP5901端口,
如果你使用浏览器连接,那么端口将是5800+显示号,比如TCP 5801。
不能打SP2的解决办法:在ISA Server 上修改注册表,
HKEY_Local_Machine\Software\Microsoft\FPC\acmecomonents
如果当前的值是
y=x-8
y 等于 17(H),
用y 换掉x
然后再安装ISA SP2 安装程序就可以了
HKEY_Local_Machine\Software\Microsoft\FPC\acmecomonents
如果当前的值是
y=x-8
y 等于 17(H),
用y 换掉x
然后再安装ISA SP2 安装程序就可以了
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
ajax常见问题总结
ajax常见问题总结 收藏 在看文章前,先指定一个通用的变量xhr,xhr代码ajax对象。 测试浏览器:ie为ie6,firefox为2,其他的未测试。统称ie6为ie,firefox2为ff。
xml ajax microsoft 服务器端 服务器
举报文章
请选择举报类型
内容侵权
涉嫌营销
内容抄袭
违法信息
其他
补充说明
0/200
上传截图
格式支持JPEG/PNG/JPG,图片不超过1.9M
如有误判或任何疑问,可联系 「小助手微信:cto51cto」申诉及反馈。
我知道了
