大多数与ISA相关的故障,即使是由于服务器端的错误设置导致的,但也会在客户端出现。在接下来的小节中,我们将讨论一些常见的故障以及如何进行处理。这些故障包括: ● 客户端性能故障。
● 客户端连接故障。
25.1 客户机性能故障
ISA Server上的配置问题经常会导致客户端出现性能问题。客户机连接速度缓慢的原因可能是各种各样的,但主要取决于客户机的类型。在下一节里,我们将查找可能的原因,并解决Secure NAT客户机和防火墙客户机连接速度减缓的原因。
1.缓慢的客户机连接:SecureNAT客户机
如果Secure NAT(S-NAT)连接缓慢,其原因可能是因为没有启用数据包过滤所致。
通过启用IP数据包过滤可以解决该故障。如果启用了IP路由(在RRAS中启用,或者在ISA控制中启用),你应该启用动态数据包过滤。
注意:你可能在微软文档和其他文档的互换,以及微软产品的不同对话框中,看到术语IP routing和IP forwarding的运用。这两个术语的意思是完全相同。
为了启用数据包过滤,在ISA管理MMC的左侧控制面板中展开服务器或者阵列名,然后展开Access Policy(访问策略),右击IP Packet Filters(IP数据包过滤器)后选择Properties(属性)。在Properties(属性)的General(常规)选项卡中,选中Enablepacketfiltering(启用数据包过滤)复选框。为了启用IP路由,请在同一张表中选中Enable IP routing(启用IP路由)复选框,如图25.13所示。
图25.13启用TP数据包过滤和IP路由以改善S-NAT的性能
请注意,如果IP路由通过ISA Server上的Windows 2000 PPAS控制台被启用,即使在数据包过滤器属性表中没有选中此复选框的情况下,IP传送也会被启用。
2.缓慢的内部连接:防火墙客户机
如果防火墙客户机的内部连接速度非常缓慢,可能是由于客户机不能使用没有所需记录的外部DNS服务器来解析本地名。客户机向DNS服务器发送请求后,在尝试着使用其他方法解析该名称前,必须等到该请求超时。
解决该故障可以设置一个内部DNS服务器,该服务器含有内部网络中全部客户机名称和地址记录。使用防火墙服务的客户机应该采用DNS地址进行设置:所有客户机名称的解析请求将由ISA Server进行处理,客户机不必因为等待不能处理内部名称的DNS服务器响应而产生延误。 ’
如果启用了数据包过滤,你应该也创建一个IP数据包过滤器,以便使用DNS查询。该操作将允许ISA Server为获得Internet上外部主机的名称而发送DNS请求。请注意,如果所用的内部DNS服务器已经设置为转发器,那么就不必执行此操作。
25.2客户机连接故障
客户机的连接故障可以体现为多种形式。多种情况下可以导致客户机无法进行连接,其中包括客户机或者ISA Server的错误设置。在下一节里,我们可以看到几种客户机不能进行连接的案例,其中包括:
● 客户机不能通过调制解调器进行连接。
● Secure NAT客户机不能连接到互联网。
● 客户机不能连接到外部SSL站点。
● Secure NAT客户机不能采用计算机名称进行连接。
● Secure NAT客户机由于超时,不能连接到指定端口。
1.客户机不能通过Modem连接
运行防火墙客户机软件的客户端计算机不能直接拨号连接到Intemet,这是一种安全特性。
为了解决该问题,必须禁用防火墙客户机。为了完成该操作,请选择Start l Settings I Control Panel(开始I设置I控制面板),打开防火墙客户机的Java小应用程序(如图25.14所示)。取消选中的Enable Firewall Client(启用防火墙客户机)复选框,以便允许客户机直接通过Modem拨号连接。
图25.14禁止防火墙客户机从而使其从计算机直接拨号连接
2.Secure NAT客户机不能连接Intemet
如果客户机没有正确设置默认的网关和DNS服务器,Secure NAT客户机将无法通过IsAServer连接到Intemet。可以在客户端的TCP/IP属性中选择配置设置。
3.客户机不能连接外部SSL站点
如果客户机尝试通过Web代理服务连接到安全的站点,数据必须采用端到端的加密。这就意味着ISA Server必须为进行通信创建一个SSL通道。由于ISA Server只允许默认的端口443和端口563进行通道连接,所以如果客户机试使用其他端口连接到安全站点,那么该连接尝试将会失败。
解决方法是修改ISA管理的COM对象,以便在附加的端口上建立通道连接。需要修改的合适对象是FPCTunnelPortRange。在ISA SDK中显示了向通道端口范围中添加端口的VBScript程序范例。
如何修改COM对象的指令在ISA Server的SDK帮助文件中进行了显示。为了访问该帮助文件,也就是在ISA Server光盘中的sdk文件夹下运行help.cmd。
组件对象模式(COM)是一种面向对象的编程结构,而且包含一套操作系统服务。COM倾向于采用微软产品,以便程序员可以采用模块化、搭积木的方式创建应用程序。新程序可以通过重用现有组件的方式进行创建。分布式COM(DCOM)可以将接口添加到应用程序的各种分布组件中,以便连接网络中的不同计算机。
ISA Server中的管理COM对象可由开发者使用,还可以与其他支持COM的编程语言协同工作。一些对象可用于对当前所运行的服务进行规划监视,大部分对象用于内部ISA设置的规划配置。
程序员可以采用脚本扩展ISA的功能,以便通过管理COM对象访问和控制ISA。ISAServer的SDK包含一些可以使用VB和C++管理对象的指令。
4.Secure NAT客户机不能使用计算机名进行连接
如果S-NAT可以使用IP地址连接到Intemet站点,但却不能使用“友好的”计算机名进行连接,这种问题的出现很可能是因为将客户机设置成了采用内部DNS服务器。服务器内部DNS服务器不能识别外部域名。
对该问题的最好解决办法是对内部DNS服务器进行设置,以便将请求转发到Intemet的外部DNS服务器。另一个办法是将客户机设置成使用不同的DNS服务器,该服务器可以将名称解析请求转发到外部DNS服务器。
5.SecureNAT客户机由于超时而不能连接特定端口
由于连接超时,即使将协议规则设置成允许“任何IP通信”,S-NAT客户机也不能连接到指定端口。
如果应用程序尝试连接正在使用的多个端口,就可能产生这种故障。这种情况的解决方?如果其中的一些端口是动态的)是使用应用程序过滤器,它可以对端口进行指定和定义。
如果应用程序不能使用多个端口,问题可能是协议不能列入到协议定义中。在这种情况下,你需要定义一个协议,该协议的指定端口就是初始端口。
注意:与应用程序过滤器一起安装的协议定义不能进行编辑(可以将它们删除)。对于包含在ISA Server中的协议定义,既不能修改也不能删除。我们可以编辑自己创建的协议定义(换句话说,就是用户自定义的协议定义)。
为了创建一个新的协议定义,在ISA管理MMC左侧控制面板的Policy Elements(策略项)对象(该对象可以是阵列的对象,也可以是企业的对象)的下方,右击Protocol Definitions(协议定义)。选中New(新建)和Protocol Definitions(协议定义)。该操作可以调用协议定义向导,该向导可以指导你通过这些步骤。在向导的Primary Connection Information(主要连接信息)页中为主要连接指定端口(以及协议的类型和方向)。
|