ISA 2000 学习笔记（8）

　　 
　　ISA 2000 学习笔记
    问题：我的全部客户端和其它的服务器都在使用ISA 服务器并把其当作他们的网关，这个基于我安装的访问策略的网关允许他们访问Internet。然而ISA服务器本身是根本不能访问Internet的。

WWW， FTP， SMTP， POP， PING等其它功能是不是也是这样？我又如何补救呢?

1. 不要在ISA 服务器上安装防火墙客户端程序。这是微软不支持的。
2. 你不需要把ISA 服务器本身用作Web代理客户端。
为了让应用程序在ISA 服务器上运行正常，你必须配置包过滤器。
例如，如果你想要允许外接网络服务器访问，创建一个允许TCP 80外接请求的包过滤器。那很容易。

问题：在面向SecureNAT使用ISA时，如何把端口转到内部的客户端?假设防火墙客户端程序不是必须的。比如说，我想要内部客户端可以接收全部的针对TCP和/或者UDP端口5000-6000的包。

你需要使用服务器发布功能。原因是：如果SecureNAT的端口连接需要打开第二个端口，那么端口的连接将会失去。解决问题的办法是：要么你编写一个你自己的应用程序过滤器或者使用第三方软件。

问题：我在一台操作系统是W2K并有两块网卡的电脑上安装了ISA beta1。我在那台机器上也安装了终端服务功能。我安装ISA的方式是使用TS，但在安装的过程中，我失去了终端服务功能和服务器工具的网络共享功能。有人知道这是什么原因吗？又如何解决这个问题呢?

安装一个TCP 端口3389的过滤器就可以了。

问题：可能打开今天的使用报告和日志报告吗？我正在尝试打开一个今天的报告。我把报告的产生选项设成“立即”，期限设成“今天”。电脑显示报告已成功生成(状态 0)。但当我试图在“监控/报告/任何容器”中打开报告时，光标变成沙漏，再就什么也没有了。我试图把报告保存到硬盘。我打开“另存为”对话框，并进行了相应的操作，但没有产生任何文件。

报告是基于来自日志文件的“日志摘要”的。在监控配置/日志文件的文件夹中，你在日志文件的文件夹处右击，点击属性，然后点击“日志摘要”标签，确保选中了“支持每天和每月的摘要”。
尽管日志文件每天都在更新，日志摘要是在每天中午12：30生成的。等到中午12：30以后，就可以打开报告了。
检查\Microsoft ISA Server\ISASummaries 文件夹以确认摘要列表是否已经产生。

问题：当我试图通过远程管理员模式连接到ISA服务器时(我已经在内部客户端安装了ISA管理工具)，我得到的错误信息是权限被拒绝。有人能帮我解决这个问题吗？

使用其它的配置文件进行登录。
你的配置文件可能已经崩溃。删除你的原始配置文件 (Windows 2000 Professional)并创建一个新的配置文件。

问题：我能在ISA上使用动态包过滤功能吗?如果能，如何启动这个功能?

你可以通过使用访问策略或者发布规则来支持动态包过滤功能。
从ISA帮助系统得到的信息是：
当你支持包过滤功能时，全部经过外部接口的包将都被屏蔽，除非他们是特允的： 要么是通过使用IP包过滤器静态特允的，要么是通过使用访问策略或者发布规则动态特允的。

问题：当SMTP网关是在ISA 服务器上时，是否存在一种方法可以面向输入SMTP Filter中的标准，使Message Screener扫描端口25? 我使用MSSMTP 服务作为我的Exchange服务器网关。SMTP服务器是位于ISA服务器电脑上的。如果SMTP服务器不在ISA服务器上，SMTP 过滤器运行正常。

SMTP过滤器是一种应用程序过滤器。如果数据是传向本地电脑的，应用程序过滤器将不截取数据传输。比如，在同一台电脑上，你不能同时拥有SMTP过滤器和SMTP服务器。SMTP服务器应该安装在防火墙之后，而不是安装在防火墙上。

问题：有人曾经成功的打开过报告吗?我的报告中没有任何数据。报告文件是有的，但内容是空的。

如果你是支持报告的，并且打开了创建报告的功能，报告就应该根据你的计划产生了。
报告是根据日志摘要创建的，检查LogSummaries 文件夹以确定是否存在错误。

问题： 我想将属于我的域的客户端(outlook 2000)配置为可以收发我们的ISP的Internet邮件(pop3/SMTP) 。我们是通过新安装的ISA 2000 (CR1)连接到Internet的。有何方法实现这个功能(对客户端和服务器都有效)?

创建两个自定义的允许端口25和端口110进行双向通讯的IP包过滤器。
选择“任何远程主机”或者输入他们连接到的邮件服务器的IP。 这将创建一个Winsock，或者一个防火墙、连接，使客户端能与远程主机进行通讯。以上步骤应该是奏效的。

问题： 我是否需要在当前的ISA 服务器上安装一个本地的IIS SMTP服务器?

你需要在你的内部网中安装一台IIS SMTP 服务器并发布那台服务器。在你发布了那台服务器之后，通过把你的内部邮件服务器的名称或者IP地址配置到“智能主机”中，就可以完成配置SMTP服务来保存发往你内部邮件服务器的信息。

问题：我应该如何配置我的ISA 服务器以使其具有代理的功能？

工具 => Internet 选项=> 连接标签 =>局域网设置按钮=>选中“使用代理服务器”复选框 => 输入你的内部接口地址和端口 8080 => 点击 OK

问题：我正忙于尽可能快的发布我的站点。但我无法使我的ISA服务器呈现我自己的网络站点(该站点基于IIS，位于同一台电脑) 。

为了在同一台电脑上实现网络站点服务器和ISA 服务器两种功能，你应该把网络站点的属性改成使用内部接口和不是80的端口号。 尽管在帮助文件末尾中的实例学习文档中提到了你可以在内部接口使用端口 80，但我们从来没有试通过。
因此，建议你在网络站点中使用端口88和内部接口的IP地址。改完之后请重新启动网络站点，使用网络站点发布向导发布你的网站。尽管内部接口正在使用的是端口88，用户仍可以在外部接口使用端口80 ，因为在那个端口中同样列出了网络代理服务。
注意在使用网络站点发布向导之前，为你的网站创建一个目标集。

问题： 推荐的针对100个用户的缓存容量是多少?

微软推荐给每个用户分配10 – 20MB的内存。

问题：我有两间办公室，每间都有专用的连接和一台ISA服务器，每台ISA服务器都选择了综合模式的安装。我想要在两台ISA 服务器之间安装一个网关对网关的VPN连接，实现各站点到Internet的数据传输，和像到达其它站点一样的准确无误的数据传输，而这个数据传输是通过VPN到达目的地的。可以在ISA 服务器上实现这个功能吗？如果可以，如何解决这个问题呢?

是的，你可以这样做。你需要做的就是在其中的一台服务器上运行“安装本地ISA VPN 服务器” 以创建一个 .vpc 文件。你的配置一定要保证在两端都可以进行连接的初使化。在你创建了 .vpc 文件之后，到其它的ISA 服务器上使用你已创建的.vpc文件并运行“安装远程ISA VPN 服务器”。
这将创建连接请求接口，这个接口将允许每一台ISA 服务器与其它的服务器建立连接。这也将增加静态的路由表入口，这样在远程网络请求产生时，连接请求接口就可以被激活了。

问题：我需要一些关于如何在ISA 服务器上安装3块网卡和使DMZ执行邮件中转域功能的信息。我希望防止任何到位于我内部网中的MS Exchange 服务器的访问。有办法解决这个问题吗?

在DMZ中设置中转，然后就把邮件服务器放置到内部网络中去。而后，发布内部邮件服务器并仅允许访问在DMZ中列出的服务器IP地址。这样，你就可以禁止任何非中转站机器访问内部服务器了。

原文转自：http://www.ltesting.net