原創(chuàng):GiantWong
日期:2010-3-10
感謝:Google , ISA中文站,WinOS.cn�����,51CTO
故障關(guān)鍵字:
1.PRC服務(wù)不可用�;
2.RPC通信問(wèn)題;
3.終結(jié)點(diǎn)映射器中沒(méi)有更多的終結(jié)點(diǎn)可用����。
2010年過(guò)年請(qǐng)了長(zhǎng)假回家了趟,等過(guò)了年返公司時(shí)被同事告知ISA服務(wù)器掛了���,現(xiàn)在用一臺(tái)PC在做代替�,原老ISA怎么裝都用不了����。同事描述故障情況:
1.新裝WIN SERVER 2003 SP2/R2,加域正常,然后安裝ISA�����,之后無(wú)法添加域用戶。
2.若先裝ISA�����,打開(kāi)內(nèi)部通訊�,則無(wú)法加入域。
3.兩個(gè)同事裝了N遍系統(tǒng)�����,都不成功���,懷疑網(wǎng)卡問(wèn)題����。
新年第一天上班就遇到這問(wèn)題���,實(shí)在頭疼��,沒(méi)辦法�����,這臺(tái)老ISA必須得裝起來(lái)用��,現(xiàn)在替用的PC是要裝到分廠去做IPGUARD監(jiān)控的��,只能暫時(shí)用著����。還是自己裝下看看這臺(tái)老ISA到底什么故障吧���。
先介紹下公司的網(wǎng)絡(luò)環(huán)境:
1.5M光纖上網(wǎng)�����,進(jìn)交換接后���,一條支線接硬件防火墻到EMAIL服務(wù)器及Web服務(wù)器。一條支線進(jìn)路由器然后到ISA服務(wù)器及內(nèi)網(wǎng)(交換機(jī))��。公司利用ISA及路由器的結(jié)合合理分配上網(wǎng)用戶及進(jìn)行流量等其他行為限制���。
2.域環(huán)境����,用戶300+。
3.ISA服務(wù)器硬件配置:HP G5+Windows server 2003 SP2+ISA 2006 ENT,單網(wǎng)卡���。
好��,介紹完這些開(kāi)始裝ISA服務(wù)器了�。
1. 安裝完 Windows Server 2003 Sp2��,計(jì)算機(jī)名:ISA, 加域�,用域管理員用戶登錄,安裝ISA 2006,一切正常���。
2. 建立內(nèi)部-本機(jī)的訪問(wèn)規(guī)則����,OK.
3. 我們通過(guò)與AD結(jié)合來(lái)限制域用戶上網(wǎng)�����,所以現(xiàn)在我們要把允許上網(wǎng)的域用戶組加入到ISA的用戶集中���。打開(kāi)”ISA服務(wù)管理”,依次展開(kāi)“Microsoft Internet Security and Acceleration Server 2006”-“陣列”-“防火墻策略(ISA)”�����,右邊的“工具箱”-“用戶”�����,點(diǎn)“新建”����,依提示輸入名稱(chēng)���,下一步���,點(diǎn)添加“Windows用戶和組”,在查找位置中選擇到域或選整個(gè)目錄�����,點(diǎn)“高級(jí)”-“立即查找”�,列出了所有的域用戶信息,然后定位到INTERNET組(之前在域用戶中建立好的允許上網(wǎng)的域用戶組)����,點(diǎn)確定。問(wèn)題出來(lái)了,此時(shí)等了好長(zhǎng)時(shí)間��,等到一個(gè)錯(cuò)誤提示“添加..用戶時(shí)出錯(cuò)…PRC服務(wù)不可用”�����,O����,原來(lái)是這個(gè)問(wèn)題啊,馬上查看服務(wù)中的RPC服務(wù)��,顯示的是啟動(dòng)的��,正常��。然后我重啟SERVER及RPC服務(wù)�,故障依舊。檢查域���,服務(wù)也啟動(dòng)正常���。這是個(gè)PRC通信問(wèn)題。由于我對(duì)ISA 2006不太熟悉�,一時(shí)不知道如何解決。
4. 之后上網(wǎng)查找,有提到去掉系統(tǒng)策略中的“強(qiáng)制符合RPC”可解決此問(wèn)題����。依次在ISA中單擊"防火墻策略”-“任務(wù)”--點(diǎn)開(kāi)“編輯系統(tǒng)策略”-“身份驗(yàn)證服務(wù)“-Active Directory-去掉“強(qiáng)制符合RPC”,再測(cè)試添加域用戶�����,還是不行�。
5. 之后��,我想到既然是RPC服務(wù)問(wèn)題����,我就把ISA中的“PRC篩選器”也禁止。先禁止“企業(yè)”中的“PRC篩選器”, 依次展開(kāi)“Microsoft Internet Security and Acceleration Server 2006”-“企業(yè)”-“企業(yè)插件”���,在““PRC篩選器”上點(diǎn)右鍵��,選禁止��。然后點(diǎn)開(kāi)“陣列”-“ISA服務(wù)器名”-“配置”-“插件”�,在““PRC篩選器”上點(diǎn)右鍵���,選禁止��。之后再加域用戶����,OK,成功解決問(wèn)題��。
搞定這個(gè)問(wèn)題后�����,就忙其他事情去了���,暫時(shí)幾天沒(méi)理這臺(tái)ISA�����,等今天我來(lái)配置策略加域用戶時(shí)�����,又在添加域用戶的時(shí)候出現(xiàn)故障����,這次提示的是“由于如下錯(cuò)誤,Windows不能處理名為“Internet”的對(duì)象:終結(jié)點(diǎn)映射器中沒(méi)有更多的終結(jié)點(diǎn)可用”。我暈��!不用這么折騰我吧�!上網(wǎng)一搜,看似1025端口的問(wèn)題��。那就打開(kāi)1025端口試下�。
進(jìn)ISA管理器,新建“協(xié)議”�����,TCP出站1025到1025端口�,UDP1025發(fā)送和接收。然后創(chuàng)建一個(gè)防火墻策略��,“任務(wù)”-“創(chuàng)建訪問(wèn)規(guī)則”�,輸入名稱(chēng)“1025通訊”�����,選擇剛建立的1025端口協(xié)議����,從本機(jī)到內(nèi)部�����,然后確定���,應(yīng)用。
之后再建用戶時(shí)��,選擇域及域用戶一切OK��,速度快很多�����,問(wèn)題終于解決了����。思來(lái)想去,之前的RPC通訊問(wèn)題是否也是1025的端口問(wèn)題呢��?做測(cè)試���,將之前關(guān)掉的PRC全部啟用���,再添加域用戶���,出錯(cuò)了?�?磥?lái)兩個(gè)問(wèn)題不能相提并論�����。
此文是我在使用ISA2006中的一點(diǎn)小經(jīng)驗(yàn)�,寫(xiě)出來(lái)分享給大家,希望給遇到此問(wèn)題的朋友有所幫助����。
本文出自 “giantwong” 博客,請(qǐng)務(wù)必保留此出處http://giantwong.blog.51cto.com/428752/282773
