ISA 2000 学习笔记（5）

　　 
　　ISA 2000 学习笔记
    问：在将ISA安装于RRAS机盒的情况下，该产品将以何种方成对RRAS加以应用？尽管ISA取代了RRAS数据包筛选功能，然而，该产品将如何就路由操作、虚拟专用网络（VPN）和请求拨号特性对RRAS加以充分利用？

特别是在已完成ISA安装操作的前提下，应如何确保RRAS远程访问策略及相关配置同VPN或拨号连接之间的协作关系？

ISA与RRAS之间具有十分密切的协作关系。事实上，在试用VPN向导程序后，您便会觉察到在RRAS服务器上所发生的变化。RRAS与ISA主要以并列方式运转，如果两者之间偶尔发生冲突，那么，其结果也必然是ISA获得优先权。

问：据说在ISA Server上，SecureNAT和防火墙客户端之间存在着“鱼与熊掌不可兼得”的关系。贵公司所提供的白皮书及其它相关文档使我得以令众多客户端将ISA Server与防火墙客户端配合使用。与此同时，我还允许客户端在无需安装专用防火墙软件的前提下，将ISA作为代理服务器加以应用。但是，代理功能仅适用于http及其它Inte.net Explorer参数。而我对ISA Server的理解则是，不使用防火墙客户端软件的客户端必然是SecureNAT客户端，所有请求均应在IP配置网关参数正确输入的情况下获得解译。请问：是否有人能告诉我对这种功能加以应用的具体方式？

您的客户端IP地址将由类似于192.168.0.1-255的专用地址构成。这些地址中的某一个有可能被用作ISA的内部网卡地址，比如，192.168.0.1；而外部网卡地址则可能是由ISP为您专门指定的，比如，207.69.188.185。在内部客户端试图对主机实施访问的情况下，其所配备的网关地址便有可能针对某一Web页面而被设定为192.168.0.1。这表明，主机并非位于本地子网，并且必须通过ISA实现访问调用。开放式端口通信只能在ISA和Internet两者间进行，并将通过8080端口将符合要求的信息反馈至相关客户端或您所指定的任何位置。这基本上属于NAT的模式。在客户端和Internet远程主机之间，并不存在任何面向端口通信而开放的端口。
防火墙客户端的使用情况极可能具备完全相同的配置，但却允许在客户端与Internet之间执行端口通信。假设您主要借助Publishing Wizard（发布向导程序）来实现邮件服务器的发布。在此基础上，您将会发现该服务器在会话期间所显现的内部地址同Winsock会话期别无二致。鉴于邮件服务器将在执行接发操作时对其它端口加以利用，因此，上述情况是完全必要的。由此看来，通过将邮件服务器设置为防火墙的方式对其进行“发布”，势必有助于在专用端口上实现信息收发功能。

问：我似乎无法编制当天的报告。ISA生成了这些报告，而我却难以对其执行打开和浏览操作。奇怪的是，所有先前生成的报告（当天之前的）均可被打开和浏览。

ISA Server基本依据日志摘要生成报告。具体方式为，每天12:30AM生成日志摘要，然后，在此基础上生成相关报告。因此，即使您将程序设定为生成“当前”报告，系统也无法在次日12:30AM之前为您提供当天数据。

问：我所注意到的一个情况是，目前仍无法从具备专用IP地址、并已启用NAT的客户端上对Internet地址执行ping操作。难道是我忽略了什么问题吗？

您需要在IP数据包筛选程序属性中激活IP路由功能。上述操作还可同时为ICMP将NAT激活。

问：报告功能无法正常发挥作用。难道是我做错了什么吗？

请务必确定，您正在实际执行报告生成操作，而非仅仅在“Monitoring/Reports”（监控/报告）部分中进行浏览。
如需生成相关报告，请依次执行下列操作：
将鼠标依次指向“Monitoring Configuration”（监控配置）>“Report Jobs”（报告工作）
右键单击鼠标并选择“New”（新建）>“Report Job”（报告工作）
按向导程序提示填写配置需求（开始生成报告：立即启动）
稍候数秒后即可获得所需报告
现在，返回“Monitoring/Reports”（监控/报告）部分>“Reports”（报告）部分，即可看到新近生成的报告。每项内容（摘要和Web使用情况等）下方均有一份相关报告。

问：当我在缓存模式下安装ISA RC1时，却无法对自己的Web页面执行访问；而当我在集成模式下安装该产品时，一切功能虽处于正常状态，但又不能对相关配置进行调用。这究竟是怎么回事？

这大概是因为，如果您仅仅在缓存模式下安装ISA，那么，该产品将无法执行透明代理操作，而这恰恰是您在客户端上以手工方式安装代理功能时所必需的。当然，在集成化模式下，具备安全保障的NAT将可在无需针对某一客户端进行配置的前提下，自动代理全部访问调用请求。

问：我希望借助于MMC同ISA服务器实现连网，这主要是因为该产品在其所安装的服务器上运行良好，而我却需要从自己运行Windows 2000 Professional操作系统的PC机上对其实施控制。请问：上述设想是否可行？

您需要在以Win2k Prof为操作系统的PC机上运行ISA安装程序，并选择仅就该产品的管理功能部分进行安装。与此同时，有权执行登录操作的用户也必须是具备较高优先级的帐号，其中包括Enterprise Admin（企业管理员）和架构（Schema）管理员。

问：在已将某个T1依次挂接至路由器、已启用ISA防火墙的服务器、交换机和各种服务器及其它PC机的情况下，ISA服务器停机故障（例如，电源插头不慎脱落）将会导致那些问题的发生？位于上述链接关系末端的服务器和PC机能否继续接收到Internet通信量，ISA服务器是否会出于阻止位于其后端的任何设备获取Internet通信量的目的而自动停机？

如果相关配置依次为路由器—>ISA—>交换机—>其它服务器，那么，在ISA计算机出现停机故障的情况下，网卡便会掉电，并由此导致数据包往复路由处理任务出现中断……

问：我已经安装了ISA Server，并且需要花费很长时间方可与该服务器实现连接。在开始调用Web页面之前，所需耗用的时间约为40至45秒。请问，这究竟是何缘故？

如果您正在就防火墙客户端加以应用，那么，该产品的确存在可能导致上述延迟的程序错误；除非用户具备本地管理员资格或属于客户机自身功能用户，否则，上述延迟将难以避免。我们将在RC2发布后针对上述问题加以解决。

问：我的DSL路由器拥有一个静态IP地址，而ISA Server外部接口也拥有一个静态IP地址。ISA Server的外部接口缺省网关正是DSL路由器的IP地址。目前，这两个IP地址均从属于一个拥有16个IP地址的子网。该子网的IP地址中，有两个已分别被DSL路由器和ISA Server外部接口占用，另有两个则被用作网络编号和广播IP地址。DSL路由器和ISA Server外部接口的子网掩码均为255.255.255.240。现在，我需要掌握将剩余IP地址分派给内部网络所属计算机的具体方法。我的内部网络正在使用以255.255.255.0为子网掩码的10.0.0.0网络。而所有计算机均通过一台集线器和一台交换机实现在同一网络中的运行。

虽然您无法在内部网络上针对客户端指派IP地址，但却可以将第三块网卡置入ISA Server，并利用这些地址构建起一个周边网络（DMZ）。由于这些地址无法使用与外部接口完全一致的网络ID，因此，您必须将其全部纳入子网范围。

问：ISA初始化安装并不能允许我通过自己的服务器对ICMP（Internet信报控制协议）进行访问调用。外部和内部网卡均可对ICMP产生响应，但却无法使之通过服务器。我按照由ISAServer.org所提供的操作说明创建了将所有对象打开的规则，这样一来，所有服务（telnet和ftp等）均可正常运转，唯有ICMP除外。

激活IP路由功能。
将相关客户端配置为SecureNAT客户端。
在此基础上，便可通过ISA Server执行ping操作。

问：我在从ISA RC1向ISA Evaluation（120）实施迁移的过程中遇到了技术问题。在将Release Candidate 1（RC1）Upgrade安装完毕后，防火墙和Web代理仍然无法生效。而其它ISA服务功能却可正常运行。上述问题在Event Log（事件日志）中的错误编号为14079。为此，我先运行了rmisa，并在基础上重新执行安装操作（从ISA Server 2000评估版开始），但问题却依然如故。此后，我又代之以先运行rmisa，而后重新执行安装程序（从ISA RC1开始）的做法，于是，所有服务功能便均可正常发挥作用。

每当将现有ISA Server升级为最新版本时，请务必对防火墙客户端进行重新安装，这有助于相关问题的解决。

问：如何为实现远程管理功能而将ISA Server插件安装在非ISA服务器之上？

请尽管运行安装程序，并使用定制安装方式，然后，仅将管理控制台复选框选中即可。所需插件将自动完成安装，并在“程序”文件夹内生成相关快捷方式。

原文转自：http://www.ltesting.net