一���、ISA Server 2006操作環(huán)境準(zhǔn)備
1���、ISA Server 2006簡(jiǎn)介
微軟Internet Security and Acceleration (ISA) Server 2006是當(dāng)前被廣泛應(yīng)用的企業(yè)邊界網(wǎng)絡(luò)安全解決方案,它能夠保護(hù)企業(yè)的關(guān)鍵應(yīng)用程序免受來(lái)自因特網(wǎng)的威脅�。ISA Server 2006能夠提供安全的應(yīng)用程序連接和數(shù)據(jù)訪問(wèn),通過(guò)對(duì)企業(yè)網(wǎng)絡(luò)層提供全狀態(tài)的包過(guò)濾�、應(yīng)用程序過(guò)濾以及統(tǒng)一的發(fā)布工具,對(duì)企業(yè)整個(gè)網(wǎng)絡(luò)環(huán)境內(nèi)的應(yīng)用程序��、服務(wù)和數(shù)據(jù)提供安全的連接�����,從而為您的業(yè)務(wù)開(kāi)展提供有力的保障��。ISA Server通過(guò)一個(gè)統(tǒng)一的防火墻和虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)架構(gòu)����,以簡(jiǎn)化的管理來(lái)優(yōu)化企業(yè)整體的網(wǎng)絡(luò)環(huán)境,降低企業(yè)的IT風(fēng)險(xiǎn)和成本����,把惡意軟件和入侵行為拒絕在企業(yè)的邊界之外。
針對(duì)ISA Server 2006已經(jīng)廣泛被應(yīng)用的事實(shí)�,本文將針對(duì)ISA Server操作過(guò)程中較為廣泛出現(xiàn)的問(wèn)題以及相應(yīng)的解決方法�,致力于提供能夠?qū)嶋H解決用戶(hù)應(yīng)用過(guò)程問(wèn)題的方法�����。本文面對(duì)的對(duì)象是已經(jīng)完成了ISA Server的安裝���、配置等工作�����,而且假設(shè)用戶(hù)在使用的過(guò)程中遇到了哪些問(wèn)題��,本文將對(duì)這些問(wèn)題做出解答�。
下面將簡(jiǎn)述筆者使用的實(shí)驗(yàn)環(huán)境�,為快速部署企業(yè)級(jí)的ISA Server 2006應(yīng)用環(huán)境而避免較為繁瑣的網(wǎng)絡(luò)����、應(yīng)用軟件配置,筆者采用了ISA Server 2006 Hands-On Labs虛擬機(jī)實(shí)驗(yàn)環(huán)境�����,以下是簡(jiǎn)單的網(wǎng)絡(luò)拓?fù)鋱D:
 |
|
ISA Server 2006 Hands-On Labs網(wǎng)絡(luò)拓?fù)鋱D |
2���、疑難問(wèn)題解決工具
微軟提供了一款名為ISA Server Best Practices Analyzer的工作用以進(jìn)行ISA Server的疑難問(wèn)題解決�����,該工具能夠掃描本地ISA Server計(jì)算機(jī)上的配置設(shè)置���,并報(bào)告未施行推薦的最佳實(shí)踐的事件���,它能夠在任何安裝有微軟.NET Framework 1.1的電腦上運(yùn)行,而且能夠?qū)σ韵掳姹镜腎SA Server進(jìn)行掃描:
ISA Server 2004 Standard Edtion���;
ISA Server 2004 Enterprise Edtion�����;
ISA Server 2006 Standard Edtion���;
ISA Server 2006 Enterprise Edtion;
讀者可以通過(guò)以下步驟來(lái)部署并使用該工具:
1)下載ISA Server Best Practices Analyzer從以下鏈接:Microsoft Download Center�����,安裝文件被拷貝到:%SystemDrive%\program files\IsaBPA目錄當(dāng)中���;
2)從“開(kāi)始”菜單啟動(dòng)該程序��,點(diǎn)“開(kāi)始”�、“所有程序”、“Microsoft ISA Server”�����、“ISA Tools”���、“ISA Server Best Practices Analyzer”�����,然后點(diǎn)擊“開(kāi)始掃描”來(lái)運(yùn)行該工具����。
3)復(fù)查結(jié)果并解決所有問(wèn)題����,當(dāng)運(yùn)行ISA Server Best Practices Analyzer的時(shí)候�,每個(gè)錯(cuò)誤或者警告都有一個(gè)相關(guān)的幫助主題,其中包括了如何解決問(wèn)題的詳細(xì)指導(dǎo)����。
對(duì)于ISA Server企業(yè)版而言�����,對(duì)ISA陣列當(dāng)中的每個(gè)成員都安裝ISA Server Best Practices Analyzer工具���。
二、SSL認(rèn)證疑難問(wèn)題解決
1����、SSL認(rèn)證應(yīng)用場(chǎng)景
安全套接層(SSL)服務(wù)器認(rèn)證在一下ISA 服務(wù)器發(fā)布場(chǎng)景中廣泛應(yīng)用:
1)與服務(wù)器發(fā)布規(guī)則一起發(fā)布
ISA Server通過(guò)服務(wù)器發(fā)布來(lái)處理對(duì)內(nèi)部服務(wù)器的入站請(qǐng)求,內(nèi)部服務(wù)器通過(guò)在客戶(hù)端請(qǐng)求的網(wǎng)絡(luò)地址和實(shí)際被發(fā)布的服務(wù)器地址之間建立網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)關(guān)系的機(jī)制而得到保護(hù)�����。對(duì)外發(fā)布的IP地址事實(shí)上是部署ISA Server的服務(wù)器��,從而保護(hù)企業(yè)的內(nèi)部資源�。服務(wù)器的發(fā)布并不具備類(lèi)Web發(fā)布當(dāng)中的超文本傳輸協(xié)議(HTTP)或安全的超文本傳輸協(xié)議(HTTPS)的優(yōu)勢(shì)。在這種發(fā)布規(guī)則下���,ISA Server不提供應(yīng)用層傳輸過(guò)濾的功能���。
服務(wù)器的發(fā)布規(guī)則被應(yīng)用于發(fā)布基于除HTTP和HTTPS協(xié)議之外的協(xié)議�����,如運(yùn)行微軟SQL Server的計(jì)算機(jī)���。當(dāng)服務(wù)器通過(guò)一個(gè)安全的SSL連接進(jìn)行發(fā)布時(shí),用戶(hù)SSL服務(wù)器認(rèn)證在發(fā)布的服務(wù)器上進(jìn)行��,而不會(huì)在安裝ISA Server的計(jì)算機(jī)進(jìn)行SSL認(rèn)證�����。
2)與Web發(fā)布規(guī)則一起發(fā)布
Web發(fā)布方式是在發(fā)布HTTP和HTTPS相關(guān)的協(xié)議時(shí)推薦的發(fā)布方式����,如微軟Outlook Web Access服務(wù)器等,Web發(fā)布規(guī)則提供了一系列的服務(wù)器發(fā)布優(yōu)勢(shì)����,包括在HTTP數(shù)據(jù)包發(fā)布之前進(jìn)行加密和數(shù)據(jù)檢驗(yàn)操作等、來(lái)自對(duì)已發(fā)布的Web站點(diǎn)的Web響應(yīng)緩存����、ISA Server客戶(hù)端認(rèn)證以及對(duì)于基于HTTP和HTTPS的數(shù)據(jù)被進(jìn)入內(nèi)網(wǎng)之前進(jìn)行的Web應(yīng)用程序?qū)觽鬏斶^(guò)濾等。
2���、使用SSL認(rèn)證的常見(jiàn)問(wèn)題和解決方法
1)問(wèn)題:當(dāng)我生成一個(gè)認(rèn)證簽名請(qǐng)求(Certificate Signing Request����,CSR)時(shí)�����,我應(yīng)該在“通用名稱(chēng)”一欄輸入什么����?
解決方法:
通用名稱(chēng)一欄應(yīng)當(dāng)包括域或服務(wù)器的名稱(chēng),在名稱(chēng)中不要包括http://或者任何子目錄的標(biāo)識(shí)符“/”在域名之后����,同時(shí)不要添加端口名稱(chēng)。正確的方式為:www.mydomain.com�����,mydomain.com�,以及secure.mydomain.com等。
2)問(wèn)題:500 Internal Error-The target principal name is incorrect的錯(cuò)誤原因是什么��?
解決方法:
此錯(cuò)誤在SSL客戶(hù)端向ISA Server請(qǐng)求的名稱(chēng)和在Web站點(diǎn)認(rèn)證的通用名稱(chēng)不一致的情況下發(fā)生����,請(qǐng)按照以下建議來(lái)檢查認(rèn)證名稱(chēng):
a�����、對(duì)于在ISA Server計(jì)算機(jī)上的證書(shū)而言����,其名稱(chēng)必須與客戶(hù)端請(qǐng)求的名稱(chēng)一致�;
b、對(duì)于在發(fā)布的Web服務(wù)器上的證書(shū)而言��,其名稱(chēng)必須與顯示在發(fā)布規(guī)則上的“目的證書(shū)”名稱(chēng)一致���;
c�����、對(duì)于在服務(wù)器發(fā)布場(chǎng)景中的Web服務(wù)器上的認(rèn)證�����,認(rèn)證必須與用戶(hù)用以連接到服務(wù)器的證書(shū)名稱(chēng)一致�����。
為排除錯(cuò)誤����,讀者可以選擇或者獲得一個(gè)與請(qǐng)求的名稱(chēng)相一致的證書(shū)���,或者修改被請(qǐng)求的名稱(chēng)以滿(mǎn)足通用名稱(chēng)����。另外���,確保ISA Server能夠解析發(fā)布的Web站點(diǎn)的IP地址����。如果讀者修改了“目標(biāo)證書(shū)”的名稱(chēng)�����,一種確保這一名稱(chēng)能夠被解析的方法是添加一個(gè)主機(jī)文件到ISA Server計(jì)算機(jī)的以下目錄:$System/system32\drivers\etc\hosts當(dāng)中��,用以進(jìn)行名稱(chēng)和IP地址匹配�����。
3)問(wèn)題:如何使用同樣的IP地址和端口、不同的證書(shū)來(lái)發(fā)布多個(gè)SSL站點(diǎn)���?
解決方法:
用戶(hù)只能對(duì)于一個(gè)監(jiān)聽(tīng)器使用一個(gè)SSL證書(shū)�����,如果所有的站點(diǎn)使用同樣的域名進(jìn)行發(fā)布�,您可以使用一個(gè)統(tǒng)配證書(shū)���,然后使用一個(gè)單獨(dú)的IP地址和單獨(dú)的監(jiān)聽(tīng)器來(lái)發(fā)布多個(gè)站點(diǎn)��。例如如果您嘗試發(fā)布以下三個(gè)站點(diǎn):OWA�����、WebSite1��、WebSite2到域domain.com當(dāng)中���,您可以在ISA Server計(jì)算機(jī)上為該域申請(qǐng)一個(gè)統(tǒng)配證書(shū)。
4)問(wèn)題:我在我的IIS 4.0Web站點(diǎn)上安裝了一個(gè)證書(shū)���,并到導(dǎo)出到ISA Server當(dāng)中�����,當(dāng)我嘗試選擇Web監(jiān)聽(tīng)器當(dāng)中的證書(shū)的時(shí)候���,有一個(gè)消息框彈出說(shuō)沒(méi)有認(rèn)證被安裝��。
解決方法:
當(dāng)從ISS 4.0導(dǎo)入證書(shū)的時(shí)候并不會(huì)自動(dòng)地生成.pfx格式的文件,而且微軟Windows Server 2003并不能識(shí)別它是一個(gè)證書(shū)��。為解決該問(wèn)題����,首先安裝IIS 6.0,然后把證書(shū)從IIS 4.0導(dǎo)入到IIS 6.0��,最后把證書(shū)從IIS 6.0中導(dǎo)出并安裝在ISA Server中����。
5)問(wèn)題:在使用統(tǒng)配證書(shū)時(shí)遇到了以下錯(cuò)誤:500 Internet Server Error-The target principal name is incorrect。
解決方法:
ISA Server 2006支持在發(fā)布的服務(wù)器上使用統(tǒng)配證書(shū)���,當(dāng)使用HTTPS到HTTPS的橋接時(shí)���,不能使用統(tǒng)配證書(shū)來(lái)授權(quán)后端的Web服務(wù)器����,而應(yīng)在內(nèi)部的Web服務(wù)器上��,創(chuàng)建一個(gè)新的符合內(nèi)部Web服務(wù)器名稱(chēng)的證書(shū)��,作為針對(duì)Web發(fā)布規(guī)則中的“目的證書(shū)”
6)問(wèn)題:在發(fā)布基于HTTP的遠(yuǎn)程過(guò)程調(diào)用(Remote Procedure Call�����,RPC)的時(shí)候遇到以下錯(cuò)誤:500 Internet Server Error-The target principal name is incorrect��,但客戶(hù)請(qǐng)求的名稱(chēng)與ISA Server計(jì)算機(jī)上的證書(shū)名稱(chēng)一樣��。
解決方法:
當(dāng)在Exchange Server設(shè)置的“連接”標(biāo)簽中創(chuàng)建一個(gè)新的“展望”屬性時(shí)�,用戶(hù)需要點(diǎn)擊“交換代理設(shè)置”來(lái)指定基于HTTP設(shè)置的RPC。通過(guò)“使用這個(gè)URL來(lái)連接到Exchange代理服務(wù)器”�����,確定輸入了與證書(shū)中顯示的一樣的名字���,選擇“當(dāng)通過(guò)SSL連接時(shí)總是通過(guò)認(rèn)證”�����,然后在“代理服務(wù)器首要名稱(chēng)”中再次輸入顯示在證書(shū)中的通用名稱(chēng)�。例如,如果客戶(hù)端用以訪問(wèn)這一站點(diǎn)的通用證書(shū)名稱(chēng)為FQDN���,用戶(hù)需要以msstd:comman name的格式輸入��。
如果這一錯(cuò)誤在使用統(tǒng)配證書(shū)的時(shí)候出現(xiàn)�,確��!按矸⻊(wù)器首要名稱(chēng)”展望設(shè)置被定義為msstd:*domain.com����,而不是server.domain.com�。
7)問(wèn)題:配置過(guò)程中遇到以下消息:500 Internal Server Error. The certificate chain was issued by an authority that is not trusted.
解決方法:
ISA Server必須信任來(lái)自發(fā)布的服務(wù)器上的證書(shū),確保CA證書(shū)在ISA Server信任的跟認(rèn)證授權(quán)認(rèn)證庫(kù)���。
8)問(wèn)題:當(dāng)創(chuàng)建使用證書(shū)的Web監(jiān)聽(tīng)器時(shí)��,遇到以下消息:There are no certificates configured on this server. 而事實(shí)上已經(jīng)有一個(gè)證書(shū)���,但為什么不可以呢��?
解決方法:
這一消息可能同時(shí)還會(huì)在事件瀏覽器中指明證書(shū)的私鑰無(wú)法被讀取����,該錯(cuò)誤可能在以下情況中出現(xiàn):
SSL證書(shū)和它相應(yīng)的私鑰未被導(dǎo)入到ISA Server計(jì)算機(jī)上正確的證書(shū)庫(kù)中�����,SSL證書(shū)被從一個(gè)證書(shū)存儲(chǔ)庫(kù)中移動(dòng)到了另外的證書(shū)庫(kù)中����,導(dǎo)致SSL證書(shū)與它相應(yīng)的私鑰分離。當(dāng)從Web服務(wù)器中導(dǎo)出證書(shū)的時(shí)候�,用戶(hù)可能并不確定私鑰也應(yīng)該被導(dǎo)出來(lái)。
檢查私鑰是否被導(dǎo)出�,然后檢查證書(shū)是否在本地計(jì)算機(jī)帳號(hào)下導(dǎo)入到了專(zhuān)有的存儲(chǔ)庫(kù)中。
9)問(wèn)題:遇到以下消息:500 Internal Server Error. The certificate is revoked.
解決方法:
為確保CA公鑰基礎(chǔ)架構(gòu)的統(tǒng)一性���,CA管理員需要在確定的該證書(shū)不再可用的情況下才能吊銷(xiāo)該證書(shū)��。當(dāng)一個(gè)證書(shū)被吊銷(xiāo)后��,該證書(shū)將會(huì)被添加到證書(shū)吊銷(xiāo)列表(Certificate Revocation List�,CRL)�。CA管理中心階段性地發(fā)布一個(gè)更新過(guò)的CRL��。CRL分布點(diǎn)被用以提供一個(gè)證書(shū)檢驗(yàn)器���,該檢驗(yàn)器用以回復(fù)當(dāng)前的CRL。這一錯(cuò)誤在根證書(shū)無(wú)能找到一個(gè)CRL的分布點(diǎn)或者證書(shū)已經(jīng)被吊銷(xiāo)的情況下發(fā)生�。
10)問(wèn)題:想要使用有多個(gè)通用名稱(chēng)在內(nèi)的證書(shū),例如https://servername和http://www.server_name.com���,ISA Server能夠傳遞多個(gè)通用名稱(chēng)嗎���?
解決方法:
不可以,ISA Server只能夠引用證書(shū)當(dāng)中的第一個(gè)通用名稱(chēng)��,而且不支持多個(gè)名稱(chēng)���。
三、使用IPSec的VPN疑難問(wèn)題解決
1���、檢查模式完整性事件
它對(duì)于判斷主模式和快速模式這兩種模式中哪種IPSec通信的模式是有缺陷的�����,有多種方法來(lái)檢查主模式或快速模式的狀態(tài)或者是否失敗����,包括:
1)啟用監(jiān)控以確保IPSec相關(guān)的事件被記錄;
2)使用IP安全監(jiān)控來(lái)瀏覽IPSec信息�����;
3)使用一個(gè)Oakley日志文件���,但Oakley日志文件不會(huì)在Windows Server Longhorn或者Windows Vista操作系統(tǒng)下產(chǎn)生���。
2、審計(jì)IPSec事件
因特網(wǎng)密鑰轉(zhuǎn)換(Internet Key Exchange�����,IKE)事件將會(huì)被記錄到安全日志中���,IKE事件的分類(lèi)同樣被用以審計(jì)登錄事件而不僅僅是IPSec����,本地計(jì)算機(jī)的系統(tǒng)管理員可以通過(guò)以下方法啟用本地計(jì)算機(jī)日志:
為本地計(jì)算機(jī)啟用日志:
1)在“控制面板”中���,雙擊“管理工具”�;
2)雙擊“本地安全策略”;
3)在控制臺(tái)目錄中����,展開(kāi)“本地策略”,然后點(diǎn)擊“審計(jì)策略”�����;
4)在細(xì)節(jié)面板中�,雙擊“審計(jì)登錄事件”,如果要審計(jì)成功的嘗試�,選中“成功”復(fù)選框,如果要審計(jì)失敗的嘗試����,選中“失敗”復(fù)選框。
當(dāng)啟用成功和失敗審計(jì)之后�,IPSec將記錄成功每次主模式或快速模式通信的成功或失敗的記錄,而且把每次通信的創(chuàng)建和結(jié)束事件處理為獨(dú)立的事件�����。但是啟用這種類(lèi)型的審計(jì)會(huì)導(dǎo)致安全日志充滿(mǎn)了IKE事件����。比如,對(duì)于連接到Internet的服務(wù)器而言���,對(duì)IKE協(xié)議的攻擊可能導(dǎo)致安全日志充滿(mǎn)IKE事件的記錄�。IKE事件也可能充滿(mǎn)使用IPSec來(lái)確保到多個(gè)客戶(hù)端的傳輸?shù)姆⻊?wù)器上的安全日志���,為避免這樣的事情發(fā)生�,系統(tǒng)管理員可以通過(guò)創(chuàng)建以下注冊(cè)表鍵來(lái)禁用在安全日志中對(duì)IKE事件的審計(jì)����。
在安全日志中禁用IKE事件審計(jì):
1)點(diǎn)“開(kāi)始”,然后點(diǎn)“運(yùn)行”����;
2)在“打開(kāi)”一欄中,輸入“regedit”���,然后點(diǎn)“確定”�����;
3)展開(kāi)“HKEY_LOCAL_MACHINE”�����,展開(kāi)“System”�����,展開(kāi)“CurrentControlSet”���,然后展開(kāi)“Control”����;
4)右擊“LSA”���,指向“New”��,然后點(diǎn)“Key”�����;
5)為該鍵輸入“DisableIKEAudits”的名稱(chēng)���;
6)在細(xì)節(jié)面板中,右擊默認(rèn)值�,然后點(diǎn)“Modify”�;
7)在“ValueData”中�����,輸入“1”�����,然后點(diǎn)“確定”����;
8)推出注冊(cè)表編輯器��。
注意:不正確的注冊(cè)表修改可能對(duì)系統(tǒng)帶來(lái)很多的危害���,在對(duì)注冊(cè)表做任何修改之前�,系統(tǒng)管理員應(yīng)該備份任何對(duì)計(jì)算機(jī)有價(jià)值的數(shù)據(jù)���。
在對(duì)注冊(cè)表進(jìn)行了以上修改之后����,系統(tǒng)管理員必須重啟計(jì)算機(jī)或者通過(guò)在命令行中運(yùn)行以下命令來(lái)重啟IPSec服務(wù):net stop policyagent和net start policyagent��。停止和重啟IPSec服務(wù)可能會(huì)斷開(kāi)該計(jì)算機(jī)對(duì)外所有采用IPSec進(jìn)行的連接。
3��、IP安全監(jiān)視器
在微軟Windows Server 2003和Windows XP操作系統(tǒng)中�,IP安全監(jiān)視器被部署為微軟管理控制臺(tái)(Microsoft Management Console,MMC)的一個(gè)管理單元���,讀者可以通過(guò)以下步驟來(lái)瀏覽IP安全監(jiān)視器:
1)點(diǎn)“開(kāi)始”����,然后點(diǎn)“運(yùn)行”����;
2)在“運(yùn)行”對(duì)話框中,輸入“MMC”����,然后點(diǎn)“確定”;
3)點(diǎn)“文件”菜單�����,然后點(diǎn)“添加/刪除管理單元”�����;
4)在“添加/刪除管理單元”對(duì)話框中,點(diǎn)“添加”��;
5)在“添加/刪除管理單元”的獨(dú)立對(duì)話框中���,從管理單元列表中選擇“IP安全監(jiān)視器”,然后點(diǎn)“添加”���,點(diǎn)“關(guān)閉”來(lái)關(guān)閉“添加/刪除管理單元”的獨(dú)立對(duì)話框�����,然后在“添加/刪除管理單元”對(duì)話框中點(diǎn)“確定”��;
6)在“文件”菜單中����,點(diǎn)“保存”來(lái)保存控制臺(tái)設(shè)置并指定一個(gè)要保存的名稱(chēng)��;
7)在“IP安全監(jiān)視器”控制臺(tái)中���,點(diǎn)“添加計(jì)算機(jī)”來(lái)添加本地計(jì)算機(jī)或者遠(yuǎn)程計(jì)算機(jī)�����;
8)要瀏覽主模式的細(xì)節(jié)����,展開(kāi)想要瀏覽IPSec信息的計(jì)算機(jī),然后展開(kāi)“主模式”��,展開(kāi)“安全相關(guān)”并確定在這兩個(gè)VPN端點(diǎn)之間是否有關(guān)聯(lián)���;
9)對(duì)“快速模式”重復(fù)同樣的過(guò)程��。
IP安全監(jiān)控器同樣允許用戶(hù)來(lái)瀏覽關(guān)于活動(dòng)IPSec策略的細(xì)節(jié)�,這些策略往往被用于域或者本地�����,用以瀏覽快速模式和主模式的統(tǒng)計(jì)數(shù)據(jù)�����,以及IPSec安全關(guān)聯(lián)性(Security Associations���,SAs)�����。IP安全監(jiān)控器使用戶(hù)能夠搜索特定的主模式或者快速模式過(guò)濾器���,為解決復(fù)雜的IPSec策略設(shè)計(jì)�����,讀者可以使用IP安全監(jiān)控器來(lái)搜索所有符合一個(gè)特定傳輸類(lèi)型的過(guò)濾器����。
4����、Oakley日志文件
盡管在事件瀏覽器中啟用審計(jì)��、日志以及瀏覽IKE事件是最簡(jiǎn)單的解決主模式或快速模式通信出錯(cuò)的最簡(jiǎn)單的方法���,但在一些情景下用戶(hù)需要更為詳細(xì)的分析才能夠解決復(fù)雜的問(wèn)題���。IKE跟蹤日志(systemroot\Debug\Oakley.log)是一個(gè)詳細(xì)的IKE內(nèi)在可操作的解決疑難問(wèn)題的日志,該日志有一個(gè)固定為50,000行的大小�,而且在必要的情況下將會(huì)重寫(xiě)。每次IPSec服務(wù)啟動(dòng)時(shí)����,就會(huì)創(chuàng)建一個(gè)新的Oakley.log文件��,而之前版本的Oakley.log文件將會(huì)被保存為Oakley.log.sav文件����,當(dāng)Oakley.log文件將要被寫(xiě)滿(mǎn)的時(shí)候�,它將會(huì)被保存為Oakley.log.sav文件,同時(shí)將創(chuàng)建一個(gè)新的Oakley.log文件�。由于很多IKE通信可能同時(shí)發(fā)生,用戶(hù)應(yīng)當(dāng)最小化通信的數(shù)量而且應(yīng)當(dāng)在盡可能短的時(shí)間內(nèi)記錄日志以獲取更有參考價(jià)值的日志文件���。在Windows Server 2003操作環(huán)境中�,用戶(hù)可以在服務(wù)器運(yùn)行的過(guò)程中動(dòng)態(tài)地啟用或者禁用IKE跟蹤日志����。
5、VPN網(wǎng)絡(luò)主機(jī)之間的ping命令被禁用
1)現(xiàn)象:本地內(nèi)部網(wǎng)絡(luò)的主機(jī)不能使用ping命令來(lái)找到遠(yuǎn)程IPSec網(wǎng)絡(luò)當(dāng)中的主機(jī)���,ping命令顯示以下消息:“與IP安全通信中”��,而且無(wú)法收到響應(yīng)���。
2)原因:該錯(cuò)誤在以下情景中出現(xiàn):
a�����、在ISA Server VPN網(wǎng)絡(luò)當(dāng)中的計(jì)算機(jī)嘗試使用ping命令來(lái)找到遠(yuǎn)程VPN網(wǎng)絡(luò)當(dāng)中的計(jì)算機(jī)時(shí)���;
b、在遠(yuǎn)程計(jì)算機(jī)上定義ISA Server VPN網(wǎng)絡(luò)的時(shí)候���,管理員沒(méi)有把ISA Server VPN通道終端地址包含進(jìn)來(lái)�;
c���、遠(yuǎn)程VPN網(wǎng)絡(luò)中的計(jì)算機(jī)嘗試使用ping命來(lái)來(lái)找到一個(gè)在ISA Server VPN網(wǎng)絡(luò)中的計(jì)算機(jī)時(shí);
d����、當(dāng)在ISA Server計(jì)算機(jī)上定義遠(yuǎn)程站點(diǎn)VPN網(wǎng)絡(luò)時(shí),管理員沒(méi)有把遠(yuǎn)程VPN服務(wù)器上的VPN通道終端地址包含進(jìn)來(lái)����。
3)解決方法:
確保在IPSec通道的各個(gè)方面定義遠(yuǎn)程VPN站點(diǎn)時(shí)添加了VPN通道終端的地址,比如�,如果ISA Server計(jì)算機(jī)為服務(wù)器A,一個(gè)第三方的VPN服務(wù)器為服務(wù)器B,當(dāng)在服務(wù)器B上定義服務(wù)器A的VPN網(wǎng)絡(luò)是�,把服務(wù)器A的地址包含為VPN終端。當(dāng)創(chuàng)建一個(gè)代表了在ISA Server管理當(dāng)中的遠(yuǎn)程VPN站點(diǎn)遠(yuǎn)程網(wǎng)絡(luò)對(duì)象時(shí)���,管理員可以通過(guò)運(yùn)行“創(chuàng)建VPN站到站連接向?qū)А眮?lái)創(chuàng)建����,具體操作步驟如下:
a��、在ISA Server管理面板中����,點(diǎn)“Virtual Private Network(VPN)”節(jié)點(diǎn);
b�、在“遠(yuǎn)程站點(diǎn)”面板上,右擊想要?jiǎng)?chuàng)建一個(gè)代表遠(yuǎn)程VPN站點(diǎn)的遠(yuǎn)程網(wǎng)絡(luò)對(duì)象����,然后點(diǎn)“屬性”;
c���、在“地址”面板上�,確認(rèn)IP地址列包括了遠(yuǎn)程網(wǎng)關(guān)IP地址����。
四����、ISA Server疑難問(wèn)題解決參考資源
本文從ISA Server的官方技術(shù)網(wǎng)站上��,總結(jié)了與SSL 認(rèn)證和使用IPSec的VPN相關(guān)的疑難問(wèn)題及相應(yīng)的解決方法����,但對(duì)于ISA Server的應(yīng)用,有著更為廣泛的需要探討的問(wèn)題��,針對(duì)ISA Server配置��、使用過(guò)程中出現(xiàn)的問(wèn)題及其可能的原因���,讀者可以通過(guò)以下資源獲取更多的參考資料:
微軟TechNet ISA Server站點(diǎn):http://www.microsoft.com/technet/isa/default.mspx
小 結(jié)
本文首先概述了ISA Server 2006的主要功能�����,簡(jiǎn)介了ISA Server 2006的疑難問(wèn)題排除工具:ISA Server Best Practices Analyzer,通過(guò)對(duì)實(shí)際應(yīng)用的總結(jié)和來(lái)自微軟TechNet ISA Server相關(guān)的應(yīng)用知識(shí)總結(jié)��,詳細(xì)介紹了在ISA Server 2006當(dāng)中SSL認(rèn)證和使用IPSec的VPN的應(yīng)用相關(guān)的疑難問(wèn)題和相應(yīng)的解決方法���,對(duì)在應(yīng)用ISA Server過(guò)程中遇到問(wèn)題的用戶(hù)而言�,提供實(shí)際可參考的解決方法。 |
