ISA Server故障排除策略（3）

　　 
　　ISA Server故障排除策略
　　 10.2.4　小结

　　　　 要排除ISA Server中的访问故障，最好的办法是从确定问题是基于用户的，还是基于数据包的入手。如果连接能力因用户而异，或者网络资源从IP实用程序如Ping 、Tracert等可以访问，而不是通过所有的用户账户访问，那么访问问题是基于用户的。如果网络访问并不因用户而异，或者使用IP实用程序无法连接到网络资源，那么访问问题是基于数据包的。

　　　　 要排除基于用户的访问问题，应当先检查访问策略规则，确保已经许可适当的用户访问合适的站点、内容组和协议。另外，如果要把为指定的用户和组配置的访问策略规则应用到Web会话，应当确认阵列属性已配置成要求传出Web 请求进行身份验证。最后，应当确认为阵列配置了合适的身份验证方法。

　　　　 要在ISA Server中排除基于数据包的访问问题，先尽可能简化网络配置。然后，执行访问测试。如果在简化的网络环境里还是遇到网络问题，则可能是ISA Server配置造成的。如果它与 ISA Server无关，接着根据网络访问问题排除配置故障。如果能在简化测试配置中访问Internet，则可以逐一导入网络单元，直到断定出问题的地方。附加的VPN连接故障排除参考包括验证VPN客户机被配置成安全网络地址转换客户端、启动了Routing And Remote Aclearcase/" target="_blank" >ccess、为VPN创建了适当的请求拨号接口，以及为VPN选择的每个身份验证协议都启动了2个IP数据数据包筛选器。
　　 10.3　本章复习
　　　　 下列问题帮助您巩固本章所讲的关键知识。如果您回答下列问题有困难，请先复习相关各节，然后再试着回答问题。问题的答案在附录A中。

　　 1.　　 您的网络配置是由安装在DMZ 的ISA Server组成的。ISA Server后的地址空间由子网192.168.0.0/24组成，在ISA Server计算机前的DMZ已经配置了子网 192.168.1.0/24。ISA Server计算机内部地址是192.168.0.1，外部地址是192.168.1.99。外部网关地址是192.168.1.1。

　　 不能从任何在ISA Server后的客户计算机上访问Internet。在ISA Server计算机上，在C:>提示符下运行Route打印命令，接收到的输出如图 10.5所示。

　　 在路由表中有什么错误？使用路由命令怎样解决问题?

　　 2.　　 在重新启动问题1中指定的计算机后，结果又出现同样的问题，怎样避免每次重启都要重新配置路由表？

　　 3.　　用什么工具可以发现进行中的SYN攻击？SYN攻击有什么警报性标记？

　　 4.　　试图telnet连接到一个指定的TCP或UDP端口的目的是什么？

　　 5.　　 如果运行本地的ISA ServerVPN配置向导并将L2TP指定为验证协议，那么要创建多少个IP数据包筛选器？这些数据包筛选器将静态打开哪些端口？（小节完）

原文转自：http://www.ltesting.net