Раздел: Документация

0 ... 35 36 37 38 39 40 41 ... 131

Занятие 4. Устранение неполадок,

возникающих при подключении клиентов к ISA-серверу

Подключение к Интернету при помощи только что установленного ISA-сервера весьма несложно, но некоторые факторы способны усложнить конфигурацию, что и приводит к возникновению неполадок при подключении. В этом занятии рассматриваются наиболее типичные неполадки,при подключении клиентов и доступе в Интернет по

телефонной линии.

Изучив материал этого занятия, вы сможете:

устранять неполадки, возникающие при подключении клиентов к ISA-серверу; / устранять неполадки подключений ISA-сервера по телефонной линии; перезапускать службы ISA-сервера после изменений в конфигурации.

Продолжительность занятия — около 20 минут.

Устранение неполадок при подключении клиентов

Неполадки подключения клиентов варьируются от неудовлетворительной производительности до полного отсутствия доступа клиентовбрандмауэра ив Интернет. Чтобы облегчить устранение неполадок впоследствии, постарайтесь не усложнять конфигурацию сети и отслеживать все изменения, вносимые после первоначальной успешной установки. Вообшс говоря, наиболее эффективен систематический подход при выявлении неполадок, когда сначала проверяют наличие физического подключения, затем последовательно проверяют все более высокие уровни связи — вплоть до отдельных политик доступа на ISA-сервере.

При устранении неполадок мы советуем руководствоваться таблицей 3-4, в которой перечислены типичные ошибки в конфигурациях клиентов, которые препятствуют подключению к Интернету.

Таблица 3-4. Типичные ошибки в конфигурации клиентов

Неполадка

Причина

Способ устранения

Внутренние подключения клиентов брандмауэра

работают слишком медленно

Клиенты SecureNAT не в состоянии подключиться к Интернету

Клиенты не в состоянии разрешать локальные имена средствами внешнего DNS-сервера, так как на нем отсутствуют необходимые записи. Клиенты ожидают тайм-аута DNS-сервера до перехода к другим методам разрешения имен

ISA-сервер не в состоянии подключать к Интернету некорректно настроенные клиенты SecureNAT

На внутреннем D N S - сер не ре необходимо настроить имена и адреса всех внутренних узлов. Кроме того, если применяется фильтрация пакетов, нужно создать фильтр IP-пакетов, который использует предопределенный фильтр DNS Lookup, чтобы разрешить ISA-серверу отравлять

запросы расположенных в Интернете

DNS-имен

Настройте основной шлюз и DNS-ссрвср на клиентах

---

Замятие 4

Устранение неполадок33

Таблица 3-4. (окончание)

Неполадка

Причина

Способ устранения

Клиенты не

в состоянии

подключиться

к внешним

узлам с поддержкой

SSL

Подключения клиентов SecureNAT перестают работать, когда вместо IP-адреса указываются а мена компьютеров Клиенты SecureNAT не в состоянии подключиться по определенному порту, так как истекает время, отводимое на установку подключения, несмотря на наличие правила протокола, пропускающего весь IP-трафик

Сервер не в состоянии создать привязку или вьщелить определенный порт

Когда клиент подключается через Wfeb-ripoKCH к безопасномуISA-сервер должен открыть туннель для

трафика, так как для последнего поддерживается

сквозное шифрование.

По умолчанию ISA-сервер разрешает туннельные подключения только по портам 443 и 563 (Secure-News). Попытки клиентов подключиться к ным узлам Интернета по

другим портам блокируются

Если клиент использует внутренний DNS-сервер, он не может разрешать доменные имена, расположенные в Интернете

Клиентам SecureNAT разрешается подключаться только по протоколам, перечисленным в узле Protocol Definitions дерева консоли ISA Management. Кроме того, протокол не вправе создавать дополнительные (вторичные) подключения, если в фильтре соответствующего протокола они не разрешены

Имеет место конфликт распределения портов — более одной службы (в число этих служб может входить и сам ISA-сервер) запрашивает привязку к определенному

порту внешнего интерфейса

Чтобы разрешить открывать туннель для других портов, внесите соответствующие изменения в параметры администрирования ISA-сервера FPCProxyTunne! PortRange

Настройте DNS-сервер на пересылку запросов на внешний DNS-сервер (DNS-сервер Интернета). Альтернативный вариант — настроить клиенты на использование DNS-сервера, пересылающего запросы разрешения имен на внешний DNS-сервер

Если приложение использует только один порт, определите протокол, в котором этот порт является первичным. Если приложение подключается по нескольким портам, в том числе определяемым динамически, определить в фильтре приложения

Вообще говоря, Microsoft не рекомендует запускать дополнительные службы

совместно с основным брандмауэром.

По возможности следует устанавливать другие службы на отдельные расположенные во внутренней сети, защишенной ISA-сервером. Создайте привязку другого сервера к внутреннему интерфейсу, чтобы внешний интерфейс прослушивался только ISA-сервером

---

ч

Устранение неполадок при подключении по телефонной линии

Существует несколько основных причин неполадок при подключении по телефонной линии. Способы их устранения перечислены в таблице 3-5.

Таблица 3-5. Неполадки при подключении по телефонной линии

Неполадка

Причина

Способ устранения

Автоматическое подключение по телефонной линии к Интернету не получается, хотя ручное подключение выполняется без проблем

Подключение к

Интернету заканчивается неудачей, так как номер уже

набирается

Подключение по телефонной линии

прервалось

Подключение по телефонной линии

никогда не разрывается, даже при от-

запросов, требующих установки подключения по

телефонной линии

Невозможно подключиться к Интернету по телефонной

линии

Указаны неправильные реквизиты

в записи подключения

по телефонной линии,

а в сетевом подключении учетные данные указаны корректно

На ISA-сервере не разрешено п с поль зов тие подключения по тгле-

фонной линии

Клиент является клиентом

Другая служба, установленная на

использует это подключение по телефонной

линии

Кто-то нечаянно

прервал подключение

При получении ского запроса, адресуемого компьютеру локальной сети, ISAcep-вер отправляет разрешениякак

внутреннему, так внешнему DNS-серверу

Клиент является клиентома подключения по

фонной линии сконфигурирована не до

Введите правильные реквизиты в запись подключения по телефонной линии

Перенастройте сетевое подключение по телефоннойразрешив его примене-

ние всем пользователям. Подробнее об этом — в справочной системе Windows 2000

Установите и запустите клиент брандмауэра

Попробуйте подключиться через некоторое время — ISA-сервер попытается установить подключение попозже. Если неполадка не устраняется, перезапустите службы сервера

Перезапустите службы ISA-сервера — они автоматически выполнят повторное подключение

Настройте ISA-сервер на использование только внутренних DNS-серверов. Имейте в виду, что такое решение работоспособно, только когда внутренний

DNS-сервер способен по мере необходимости переводить запросы разрешения имени на внешний DNS-сервер

Установите на компьютер клиент брандмауэра. Также можно создать запись подключения по телефонной линии и настроить свойства сети на маршрутизацию к вышестоящим серверам через подключение по телефонной линии

0 ... 35 36 37 38 39 40 41 ... 131