|
【第74期实录】ISA2004/2006服务器发布及访问控制
[QUOTE]
[size=5][color=red][b]ISA2004/2006服务器发布及访问控制[/b][/color][/size]<br><br>
     本期专家门诊主题针对ISA的管理展开,重点是ISA的代理功能,服务器发布,VPN以及访问控制,这些ISA应用最广泛的技术,都将在这里深入探讨。欢迎大家前来参与。<br><br>
[color=blue][b]参考资料:[/b][/color]<br>
     [attach]86251[/attach]<br>
     [attach]86252[/attach]
[/QUOTE]
[QUOTE]
[b][color=Red]活动时间:[/color][/b]<br><br>
此次活动时间是07月03日下午14:00点-17:00点,请大家在提问的时候保持跟这期活动的主题密切相关,方便问题有针对性的及时处理,严禁灌水,谢谢!
[/QUOTE]
[QUOTE]
[color=Red][b]专家介绍:岳雷[/b][/color]<br><br>
[attach]86037[/attach]<br><br>
      [color=red]ITET培训学校金牌培训讲师[/color] 1998年开始网工生涯,1999年成为国内最早一批NT4MCP。1998-1999年在香港星光公司负责维护NT4+IIS+Exchange5.5+SQL7+Proxy2.0。1999-2003在国内最大的财经网站和讯网从事网络运维,负责 Win2000+Exchange2000+ISA2000+SQL6.5。对微软的操作系统及服务器产品有丰富的使用经验,熟悉Active Directory,Exchange,SMS,WSUS,ISA2004/2006,Forefront,CA+智能卡+VPN,数据存储原理+分区手工恢复。<br><br>
     2000年开始兼职培训,2003年后专事培训工作。擅长启发式教育,着重培养学生解决问题的思路和方法,重视文档阅读/撰写能力。目前已亲手培养出网络工程师2000多名,大多数已经成为企业的技术骨干,甚至有些已经成为微软的MVP。<br><br>
[url=http://yuelei.blog.51cto.com][color=red]点击进入岳雷的博客>>>[/color][/url]
[/QUOTE]
[QUOTE]
[color=Red][b]门诊活动奖品:[/b][/color]<br><br>
1、参与门诊提问的用户,可获得由系统颁发的[color=Blue]10点无忧币[/color]。<br><br>
2、参与用户可获得[color=blue]“专家门诊纪念勋章”一枚(时效一周)[/color],到下期专家门诊活动时结束。
[/QUOTE]
[QUOTE]
[color=Red][b]注意事项:[/b][/color]<br><br>
专家门诊活动进行当中仅对本站会员开放,如果您想参与提问,或者是查看专家回复请点击<a href='javascript:showlogin2()'><font color=red>登陆>>></font></a>
[/QUOTE]
[QUOTE]
     [url=http://bbs.51cto.com/thread-99565-1-1.html][color=red]申请成为门诊专家>>[/color][/url]<br><br>
     [url=http://doctor.51cto.com][color=Red]历届专家门诊及活动规则流程介绍>>[/color][/url]
[/QUOTE] |
|
沙发 首先做个广告:广告位招租,租期7天,1-4天每天租金10个无忧币,5-7天5个无忧币。
现在请问专家一些问题:
我的网络结构是:电信光纤通过思科的PIX(192.168.0.1),然后再连接ISA,ISA外网卡(192.168.0.2),内网卡(192.168.1.1)。
企业采购域管理模式,我的目的就是想做一个EXCHANGE邮件服务器,在网上看了一些资料,头很晕,还是没有做成功,专家给一些指点吧,其他ISA用起来还是不错,就是邮件一直没有做好。
我的ISA是2006。
[quote]
[color=Red][b]专家回复:[/b][/color]
1 不知您发布Exchange服务器是采用哪种形式?是RPC,RPC Over HTTPS,OWA还是SMTP,POP3?本次门诊提供了ISA实验手册下载,手册中有详细的Exchange发布步骤,您可以参考一下。
2 您采用的背靠背防火墙架构,想把Exchange发布到公网,除了在ISA上要创建发布规则,在PIX上也要作相关设置。
3 注意将DNS的MX记录解析到PIX的外网IP。
[/quote]
[[i] 本帖最后由 yuelei 于 2008-7-3 13:52 编辑 [/i]] |
|
[quote]原帖由 [i]yibi[/i] 于 2008-6-27 10:42 发表
沙发 首先做个广告:广告位招租,租期7天,1-4天每天租金10个无忧币,5-7天5个无忧币。
现在请问专家一些问题:
我的网络结构是:电信光纤通过思科的PIX(192.168.0.1),然后再连接I ... [/quote]
楼上兄弟,你太邪恶了。呵呵。:lol
我不负责这块,也进来学习一下。 |
| termite3304 | | 2008-6-27 13:51 |
|
ISA2004/2006 都是太多的面向对象了,操作相对简单,不过对于原理不一定能掌握并理解
如果想真正了解原理,还是ISA2000 比较合适,不知我所言对否
[quote]
[color=Red][b]专家回复:[/b][/color]
个人感觉操作界面的友好程度和掌握原理的深浅并无必然联系,即使今日我们不用简体字而改用甲骨文,除了给我们带来诸多不便,并不会促使我们成为国学大师。我认为掌握原理还是要文档+实验+交流,友好的交互界面显然有助于提高学习效率。
[/quote]
[[i] 本帖最后由 yuelei 于 2008-7-3 13:53 编辑 [/i]] |
|
| 此次活动时间是[color=red]06月19日[/color]下午14:00点-17:00点 |
|
ISA半小时制真的就没办法控制了莫?(8:30~11:30)
[quote]
[color=Red][b]专家回复:[/b][/color]
我一般采用的方法是把服务器上的时钟拨快半小时,呵呵。
[/quote]
[[i] 本帖最后由 yuelei 于 2008-7-3 13:55 编辑 [/i]] |
| grindstone | | 2008-6-30 02:38 |
|
| 顶一下。。。 |
|
我们公司想把ISA2004换成ISA2006,我想请问您ISA2006比ISA2004多了什么新功能?
操作方法一样吗?
[quote]
[color=Red][b]专家回复:[/b][/color]
ISA2006可以看作是ISA2004+功能补丁,ISA2006的很多操作方法和ISA2004完全一致,管理员可以轻松上手。ISA2006中新增了一些发布功能,例如支持发布Exchange2007,Sharepoint站点,支持服务器场。
Web侦听器允许在不同的IP上绑定不同的证书,身份验证支持的种类也更多,支持单点登录等等。
参考[url]http://www.isacn.org/info/info.php?sessid=&infoid=310[/url]
[/quote]
[[i] 本帖最后由 yuelei 于 2008-7-3 13:55 编辑 [/i]] |
| doscommand | | 2008-6-30 03:44 |
|
我公司以前使用的是ISA2004 SP3 ,VPN功能一直都很正常。
现在公司安装了ISA2006来代替原来的ISA2004 结果发现VPN客户无法连接了,报800错误!!
所有的配置和ISA2004 都是相同的,不知道是什么原因。
[quote]
[color=Red][b]专家回复:[/b][/color]
如果您使用的是Win2003+SP2,可能需要安装KB948496,
[url]http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=062e954c-fdec-45af-a09c-5a05b8f010a5[/url]。可参考[url]http://support.microsoft.com/kb/936594/[/url]。
[/quote]
[[i] 本帖最后由 yuelei 于 2008-7-3 14:04 编辑 [/i]] |
| stephen1986 | | 2008-6-30 04:15 |
|
好东西 顶哦
[[i] 本帖最后由 yuelei 于 2008-7-3 14:13 编辑 [/i]] |
|
我们公司有些软件无法通过IE代理上网。我又不想给他们安装ISA的客户端。有没有方法实现在服务器上设置实现这些软件上网啊。比方说SKype。
。
[quote]
[color=Red][b]专家回复:[/b][/color]
客户机可以使用SNAT上网,参考[url]http://yuelei.blog.51cto.com/202879/83453[/url]。
[/quote]
[[i] 本帖最后由 yuelei 于 2008-7-3 14:13 编辑 [/i]] |
|
安装isa2006后为什么会多出一个空白的sql server 服务?
[quote]
[color=Red][b]专家回复:[/b][/color]
ISA2006自带了一个MSDE数据库,数据库实例为msfw,由于MSDE没有提供管理工具,所以您看到的是空白的SQL Server,其实只要在右下角的SQL服务管理器中填上SQL的实例名,格式为ISA服务器名\MSFW,您看到的就不是空白的SQL了。
[/quote]
[[i] 本帖最后由 yuelei 于 2008-7-3 14:14 编辑 [/i]] |
|
还有个问题请教,ISA 2006做为域成员好,还是工作组好?
[quote]
[color=Red][b]专家回复:[/b][/color]
如果有可能,ISA应加入域,可以更方便地进行用户身份验证,和其他微软服务器配合得也更好。
[/quote]
[[i] 本帖最后由 yuelei 于 2008-7-3 14:15 编辑 [/i]] |
| coolfengsy | | 2008-6-30 09:25 |
|
岳老师你好,我向你请教个问题:
我公司用的是ISA2004服务器,有三网卡,分别通向内部、互联网和外围网
内部和互联网之间NAT,内部和外围网之间路由
在外围网络还有个路由,通向公司广域网,该路由我无权限配置
现在有部分通讯要从内部通过外围网的路由到公司广域网
发现HTTP可以走,但其他如SQL不行。我能不能通过配置ISA,让这个路由通向我内部网的路由呢?
[quote]
[color=Red][b]专家回复:[/b][/color]
呵呵,这个问题不错。HTTP协议可以通过,其他协议不行,这是因为ISA中的Web筛选器将HTTP请求进行了NAT处理,而其他协议还是用路由方式处理。如果您能配置外围的路由,在外围路由中添加通往内网的路由表就可以了。如果不行,就考虑把内网和外围的关系改为NAT。只配置您的ISA,解决不了这个路由问题。
[/quote]
[[i] 本帖最后由 yuelei 于 2008-7-3 14:17 编辑 [/i]] |
|
多个安全站点的发布
你好,有个问题请教:
我们公司使用的是ISA 2004,现在内部网络中已经有一个SSL WEB站点 如: [url]https://www.dufei.com[/url],并且已经成功发布.
现在因业务需要将再创建一个SSL WEB站点,请问专家应该怎么解决证书的问题!
[quote]
[color=Red][b]专家回复:[/b][/color]
ISA2004可以用两种方法解决:
1 在ISA上用两个SSL侦听器,其中一个放在443端口,另一个放在非标准的SSL端口如2443。
2 在ISA使用1个SSL侦听器,侦听器上绑定通配符证书,例如*.dufei.com。
如果是ISA2006,可以在ISA外网绑定两个IP,每个IP绑定一个SSL证书。
[/quote]
[[i] 本帖最后由 yuelei 于 2008-7-3 14:23 编辑 [/i]] |
|
ISA 2006 如何控制使用软件下载(迅雷,BT,电骡等),而不影响正常上网行为的
[quote]
[color=Red][b]专家回复:[/b][/color]
1 可以考虑安装bandwidth splitter进行限速
2 可以考虑限制每个客户端的TCP和非TCP连接总数
3 在HTTP中限制文件类型,禁止种子文件。
[/quote]
[[i] 本帖最后由 yuelei 于 2008-7-3 14:33 编辑 [/i]] |
|
每次我改变协议规则之后,就必须重新启动防火墙服务功能,而规则的改变将影响网络数据的传输。我必须要重新启动防火墙服务吗?有没有别的方法可行啊?
[quote]
[color=Red][b]专家回复:[/b][/color]
改变规则后并不需要重启防火墙服务,您用的如果是企业版,可能防火墙服务器与配置存储服务器同步有个时间延迟,等一下就好了。
[/quote]
[[i] 本帖最后由 yuelei 于 2008-7-3 14:34 编辑 [/i]] |
| jimoshalengzhou | | 2008-7-1 08:41 |
|
我先安装isa server,然后加入域,会提示说“RPC服务器不可用”,加入域失败。
然后我先把isa服务器加入域,然后安装isa,一切正常。
这是为什么啊?
[quote]
[color=Red][b]专家回复:[/b][/color]
不知您用的是否是Win2003+SP1或SP2,如果ISA无法加入域,而且提示RPC服务器不可用,可以将ISA的RPC筛选器禁用,然后应该就可以加入域了,有可能是您的ISA没有及时更新,请参考[url]http://support.microsoft.com/kb/887222/[/url]
[/quote]
[[i] 本帖最后由 yuelei 于 2008-7-3 14:35 编辑 [/i]] |
|
我安装ISA客户端并启用后。我的Notes邮箱突然不能打开服务上的邮件了(服务器是局域网内的),也不提示有新邮件了。
请问 岳老师 如何解决?
提示:远程系统不再响应。
[quote]
[color=Red][b]专家回复:[/b][/color]
不知您的Notes客户端和服务器是否都在ISA内网,如果都在ISA内网而且又是同一网段,那Notes客户端和服务器的通讯并不经过ISA,故障和ISA无关。如果Notes客户端和服务器都在ISA内网,而且依靠ISA路由,那在防火墙策略中应该允许内网访问内网。如果问题没解决,请再详细描述网络拓扑。
[/quote]
[[i] 本帖最后由 yuelei 于 2008-7-3 14:40 编辑 [/i]] |
|
请问专家:
防火墙策略元素中有很多东西,但URL集和域名集不是很清楚.如果我想完全禁止内网用户访问百度网站,我应该如何设置:
[quote]
[color=Red][b]专家回复:[/b][/color]
域名集中包括了一个或多个域名,URL集中的对象是URL,例如news.sina.com.cn是一个域名,而[url]http://news.sina.com.cn/sports[/url]则是一个URL,两者之间的细节请参考[url]http://www.microsoft.com/china/technet/prodtechnol/isa/2004/plan/faq-urldomainnamesets.mspx[/url]。如要限制百度,应使用域名集+IP的方法,我博客中有一篇博文提到这个问题,[url]http://yuelei.blog.51cto.com/202879/84995[/url]。
[/quote]
[[i] 本帖最后由 yuelei 于 2008-7-3 14:41 编辑 [/i]] |
相关文章:
【第87期专家门诊】深入剖析微软产品 SCOM 及 SCCM部署方案
【第86期实录】java系列 之 java多线程技术探讨
【第85期实录】网络入侵检查分析---破解安全隐患
【第84期实录】深入剖析DNS应用及域控制器配置与维护
【第83期实录】解析企业网病毒查杀、防护措施及安全管理方案
Powered by 51CTO.COM
|