Раздел: Документация

0 ... 113 114 115 116 117 118 119 ... 131

Отрытое состояние порта в общем случае не говорит о слабой защите, но некоторые порты но соображениям безопасности лучше не оставлять статически открытыми, в частности порты 15 (Net-stat), 21 (FTP), 23 (Telnet), 25 (SMTP), 79 (Finger) и 80 (HTTP). Закройте окно командной строки.

Резюме

ISA-сервер поставляется со многими утилитами устранения неполадок. Для первичной диагностики используются отчеты fSA-сервера. которые помогают выявлять причины низкой производительности. В Event Viewer (Просмотр событий) вы найдете все сообщения о событиях служб ISA-сервера. Осяастка Performance Monitor применяется для устранения неполадок, связанных с коифтпурапгк-и и работой сети, а также оборудования. Утилита командной строки Netstat позволяет получить информацию обо всех активных ТСР-и/или С Ем подключениях и используется для выявления неполадок подключений и «од-системы безопасности.определяют доступность конкретных портов

сервера. Network Monitor (Сетевой монитор) применяется для перехвата и отображения содержимого кадров, поступающих на компьютер с локальной сети. И, наконец, команда Route необходима для проверки и наегроикп таблиц маршрутизации, а также -ifeinsTC-ния корректности маршрутов во всех сегментах сети.

---

Занятие 2. Методики выявления неполадок в работе ISA-сервера

Чтобы успешно выявлять и устранять неполадки, нужно соблюдать определенную последовательность действий. После выявления необычного поведения ISA-сервера прежде всего следует определить, на каком уровне происходит сбой — на уровне пользователя или пакетов. В этом занятии обсуждаются методики устранения неполадок обоих типов.

Изучив материал этоговы сможете:

устранять неполадки пользовательского доступа;

устранять неполадки на уровне пакетов;

устранять неполадки VPN-подключений на ISA-сервере.

Продолжительность занятия — около 30 минут.

Устранение неполадок пользовательского доступа

Если доступ для определенной учетной записи пользователя нестабилен или невозможен, вероятно, причина излишне строгих мерах безопасности, неправильно сконфигурированных правилах или неверном методе аутентификации. Утилиты Ping и Tracert работают корректно даже в таких условиях.

Для устранения ошибки пользовательского уровня в первую очередь необходимо проверить правила политики доступа. Необходимо убедиться, что в соответствии с правилами политики доступа пользователям, которые испытывают трудности при создании сетевого подключения, предоставлены необходимые права доступа на подключение к нужным узлам, на работу с нужными группами содержимого и по соответствующих протоколами.

Если настроенные вами правила не позволяют корректно управлять нжъ-ювагтеяъски -ми сеансами, необходимо удостовериться в правильности настройки массива для запроса идентификационных реквизитов у пользователей, не проходящих аутентификацию. Имейте в виду, что после созданияправил политики доступа для определенного гользд&ателя или группы ISA-сервер принудительно выполняет аутентификацию пользовательских сеансов. С другой стороны, если вы хотите оставить все Web-сеансы анонимными, но анонимный доступ невозможен, проверьте, не сконфигурирован ли массив на принудительную аутентификацию анонимных пользователей. Удалите все правила протоколов, Web-узлов и содержимого, применяемые к конкретным группам или пользователям Windows 2000,

Аутентификация

Выбор метода аутентификации для массива ISA-сервера влияет на способность подключения пользователей. Различные методы аутентификации годятся для разных сетевых окружений. Если для данной сетевой конфигурации выбран несовместимый метод аутенти-или он неправильно настроен, пользователю не удастся получить доступ к ISA-серверу и сети.

режимом аутентификации по умолчанию является стандартная проверка подлинности Windows (Integrated Windows}, но в этом режиме не поддерживается идентификация клиентов под управлением операционных систем, отличных от Window.. Чтобы обеспечить доступ таких клиентов к ISA-серверу, необходимо настроить массив для использования другого, совместимого метода аутентификации. Браузер Netscape не пядхер-

---

живает работу с реквизитами пользо япе.тя в формате NTL.M. поэтому при его применении не следует устанавливать режим идентификации Integrated Windows. Этот режим работает либо по протоколу Kerberos V5, либо по собственному протоколу типа «запрос — in ini > что также налагает дополнительные ограничения. Однако в схеме сквозной аутентификации (рис. 10-3) ISA-сервер не поддерживает аутентификацию по протоколу Kerberos V5, так как Kerberos V5 требует, зтобы клиент мог идентифицировать сервер, выполняющий проверку подлинности.

Аутентификация завершен а

Рис. 10-3. Сквозная аутентификация не совместима

с аутентификацией по протоколу Kerberos V5

ISA-сервер поддерживает и другие методы аутентификации - базовый (Basic), на основе хеша (Digest) и клиентских сертификатов (Client Certificate). Базовая аутентификация совместима с клиентами всехонапередачу по сети имени пользователя и пароля в незашифрованном виде, поэтому сама по себе она не обеспечивает должной безопасности. Аутентификация на основе хеша поддерживается только в доменах 2000, пароли пересылаются по открытым яегга. но в зашифрованном виде. При аутентификации на основании клиентских сертификатов используется протокол SSL, и необходимо наличие предустановленного сертификата клиента в хранилище Web-прокси на ISA-сервере, кроме того, сертификат следует сопоставить со-отпетствуюшек"учетной записи нодьзомк.ля ISA-сервер представляет клиентские сертификаты только в конфигурации SSL-сопряжения (SSL bridging).

Устранение неполадок пакетного уровня

Когда сеть недоступна ни одному из лотьзоЕателей или утилиты Ping и Tracer! не работают, вероятнее всего причина неполадки — на уровне пакетов.

В процессе устранения неполадок п;.ке того уровня ISA-сервера прежде всего максимально упростите конфигурацию сети.

► Упрощение конфигурации для устранения неполадок сети

1.Включите фильтрацию пакетов (если это уже не сделано) и создайте специальный

фильтр пакетов, разрешающий трафик любых IP-протоколов в обе стороны.

2.Создайте правило протокола, разрешающее прохождение любых запросов по протоколу IP. Позаботьтесь, чтобы правила узлок и содержания разрешали доступ ко всем узлам и группам содержания.

3.Верните в исходное состояние (по умолчанию) параметры всех фильтров приложений

и правил маршрутизации.

4.Проверьте корректность определения в таблице локальных адресов (LAT) всех внутренних клиентов ISA-сервера.

0 ... 113 114 115 116 117 118 119 ... 131