Раздел: Документация

0 ... 114 115 116 117 118 119 120 ... 131

5. Разрешите 1 Р-маршрупиаимт (установите флажок Г-.itable IP routing) в диалоговом окне свойств фильтрации пакетов IP Packet Filters Properties.

Примечание Установка флажка Enable IP routing обеспечивает возможность маршрутизации для npiviоколо!* с дополнительными подключениями. Этот параметр особенно важен при конфигурировании сетей периметра. IP-маршрутизацию активизируют либо в диалоговом окне свойств фильтрации пакетов IP Packet Filters Properties в оснастке ISA Management, либо в оснастке Routing and Remote Access (Маршрутизация и удаленный доступ).

6.Убедитесь, что на внутреннем интерфейсе ISA-сервера не определен основной шлюз, а основной шлюз внешнего интерфейса определен корректно.

7.Отключите клиент брандмауэра и определите ISA-сервер в качестве основного шлюза на клиентских компьютерах.

Упростив конфигурацию ISA-сервера, перезапустите его службы. Если доступ все равно невозможен, перезагрузите компьютер ISA-сервера. Если и это не помогает — следовательно, неполадка не связана с конфигурацией ISA-сервера. В таком случае необходимо устранять неполадки сети обычным образом: изучать трафик средствами Network Monitor, проверять корректность DNS, таблиц маршрутизации, оповещении, отчетов и журналов.

Если в упрошенной конфигурации Интернет доступен, источник неполадки обычно определяют путем последовательного подключения сетевых элементов. Например, если при наличии доступа в Интернет на определенном компьютере после запуска интернет-приложения возникают ошибки, предполагается, что либо приложение неправильно настроено для использования ISA-сервера в качестве прокси-сервера, либо оно вообще не поддерживает работу с прокси-сервером. Для таких приложений нужно настроить клиент SecureNAT или запустить клиент брандмауэра. После исправления конфигурации клиента снова попытайтесь запустить приложение. Если при включенном обнаружении сервера клиенту брандмауэра не удается получить доступ,автоматическое обнару-

жение настроено неправильно. Последовательно устраняя неполадки по мере их возникновения, добавьте все необходимые в данной конфигурации элементы сети.

VPN-сети

В виртуальных частных сетях устранение неполадок также начинается с упрощения сетевой конфигурации, как описано выше. Если вы уже установили VPN с помощью мастеров, первым делом проверьте, работает ли служба Routing and Remote Access (Маршрутизация и удаленный доступ). Далее позаботьтесь, чтобы клиентский компьютер работал как клиент SecureNAT, а не как клиент брандмауэра.

Также необходимо проверить, корректно ли мастер конфигурировал VPN локального ISA-сервера и создал интерфейс вызова по требованию службы Routing and Remote Access в узле Routing Interfaces (Интерфейсы маршрутизации) (рис. 10-4).

После этого выясните, созданы ли два фильтра IP-пакетов для каждого выбранного про-токолааутентификацииУРподключений.Например,прииспользованиивУРподклю-чении протоколов L2TP и РРТР мастер VPN-конфигурации локального ISA-сервера должен создать и активизировать четыре фильтра I Р-няхетоа [Для L2TP мастер создает специальные фильтры на портах 500 и 1701, а для РРТР - предопределенные фильтры вызова (РРТР Call) и приема (РРТР Receive).]

Если при правильно созданных интерфейсах и фильтрах IP-пакетов после перезагрузки компьютера нормальная работа невозможна, рекомендуется удалить все мастерами фильтры IP-пакетов, отключить службу RRAS и снова выполнить мастер.

---

Гяй &?mz Ac

#Э 5erver status R ffT SERVER! ftocafl

(Г

P***rigfr<.orra-.» \

I1 — -Л-iVws (II

ЖPcrts

Ж General S Steele Routes J ИКР Relay Agent

«йягрйв Access Policies

Й jW Remote

1АЯ arw remand C.J roerhia t ! Гии

I Internal

Dedkated

Internal

ErpaHed

Enabled

Connected Connected

Шей

1 sTCocal rVe* Comeflb on 2

Рис. 10-4. Интерфейс вызова по требованию службы RRAS

Перечень типичных неполадок и способы их устранения

Устраняя неполадки. воспользуйтесь информацией из приведенных далее

таблиц. В них собраны сведения о стандартных неполадках ISA-сервера и предлагаются варианты их устранения.

Таблица 10-1. Устранение неполадок политики доступа

Неполадка

Возможныепричины

Решение

Клиентамнедос-тупны внешние Wb-узлы

При просмотре Web-узлов клиенты получают сообщение об ошибке 502

После установки ISA-сервер блокирует весь трафик Интернета в обеих направлениях. Вы создать разрешающие правила, если это не противоречит кориоратн той политике безопасности

После установки ISA-сервер блокирует весь трафик Интернета обоих направлениях. Вы вправе датьправи-

ла, если это не чит корпоративной политике безопасности. Д? я некоторых правил политики

доступа необходима аутентификация; возможно, не настроено

запросов аутентификации

Создайте правила протоколов, разрешающие определенным пользователям применять протоколы. Далее создайте правила узлов и содержания, предоставляющие лям доступ к определенным Web-узлам по протоколам, предусмотренным в протоколов- Проверьте, правильно ли настроен порт прокси на клиентских браузерах. По умолчанию для взаимодействия с ISA-сервером используется порт 8080

Создайте правила протоколов, разрешающие определенным пользователям применять протоколы. Далее создайте правила узлов и содержания,

вателям доступ к определенным Vseh-узлам по протоколам, предусмотренным в правилах

протоколов. Выберите метод аутентификации для прослушивания. Клиенты получат

доступ согласно сконфигурированным

правилам по определенному методу аутентификации

---

Таблица 10-1. штчание)

Неполадка

Возможные причины

Решение

Клиентам недоступны отдельные протоколы, например HTTP, RealAudio и др.

После отключения правила протокола, клиенты продолжают работать по протоколу, который данное правило разрешало

Клиенты не в состоянии ИСМОЛВ III-

вать отдельные определения протоколов, хотя создано правило, разрешающее работу по данным протоколам

После установки ISA-сервер блокирует весь трафик Интернета в обоих направлениях. Вы вправе создатьправила, если это не противоречит корпоративной политике

При отключении правила протокола

клиентские сеансы не закрываются — просто дополнительные сеансы создать не удастся. Например, если клиент в соответствии с правилом использует

протокол RealAudio,

сеанс будет продолжать работу, невзирая на активизацию правила, запре-доступ

Если отключить фильтр приложения, весь трафик,

связанный с определениями указанных протоколов, блокируется, хотя

вроде бы правила протокола трафик разрешают

Создайте правила протоколов, которые разрешают обмениваться информацией

по нужным протоколам. Проверьте, не заблокированы ли эти протоколы фильтрами приложений

Отключите пользовательский сеанс

Включите фильтр приложения

Таблица 10-2. Неполадки аутентификации

Неполадка

Возможные причины

Решение

ISA-сервер не выполняет

кацию пользователей Netscape

Возможно, ISA-сервер сконфигурирован только на использование встроенной аутентификации Windows. Браузер Netscape не поддерживает работу с реквизитами пользователя

в формате NTLM

Настройте ISA-сервер на применение

других методов аутентификации —

базового (Basic) или на основе хеша (Digest)

0 ... 114 115 116 117 118 119 120 ... 131