ISA SERVER2000 學習筆記

[psac]

作者:yetaotao
//很扎基礎的文章,新手入門強烈建議閱讀.高手可以複習複習理論知識.

ISA SERVER2000 學習筆記
一：Microsoft Internet Security and Acceleration Server 2000 介紹
ISA包括兩個版本：標準版和企業版。包括三種模式：防火牆模式，CACHE模式和集成模式，可以與WIN2K集成，根據電腦，用戶，組來定義策略，它通過MMC界面進行管理，可以在本機和遠端管理ISA。
ISA的防火牆分為三個層次，最底層為IP packet filters，這是靜態的，對於指定的連接阜，不是允許就是阻止通過，然後為POLICY RULES，這可以理解為動態的包過濾，允許在二次連接的時候，動態開啟相應的連接阜（即只有在使用的時候，才會開啟這一連接阜，而不像IP packet filters是一直開放的），最後為套用層的過濾，可以對諸如電子郵件的內容進行過濾。
ISA的CACHE功能十分強大，可以定義為自動下載定義計劃，可以根據訪問頻率的高低自動下載，可以在多台ISA上分佈CACHE.
當使用ISA企業版的陣列方式時，為企業的管理提供更大的靈活性，你可以統一定義企業策略，也可以對每個陣列分別定義策略

二：安裝Microsoft Internet Security and Acceleration Server 2000
在安裝前，必須首先考慮ISA的安裝模式（防火牆模式，CACHE模式和集成模式），同時對客戶端也要有所考慮，因為客戶端可以分為防火牆客戶端，WEB客戶端和SNAT客戶端。對於一個小公司來說，典型的安裝是一台ISA安裝兩塊網路卡，隔斷企業內部區域網路和INTERNET，對於一個大型公司，則可能需要多台ISA組成陣列。同時對於防火牆後面的WEB，MAIL伺服器的發佈也要有所考慮，你是將它們直接安裝在ISA上，混合域（perimeter network.），還是在企業的內部。
如果要安裝ISA企業版，必須首先安裝Enterprise Initialization utility，在AD中加入SCHEMA，如果是安裝ISA標準版，它的信息是儲存在SERVER本身的註冊表中的。
如果企業以前使用Proxy Server 2.0，可以考慮直接昇級到ISA

三：設定INTERNET訪問
ISA的客戶端分為防火牆客戶端，WEB客戶端和SNAT客戶端，它們的使用場合是不同的，主要的區別有以下幾點：
1. SNAT用戶的訪問只能通過IP位址來進行控制，它是匿名訪問，無法使用基於USER的規則控制，而防火牆用戶和WEB用戶可以（在預設情況下，ISA允許WEB匿名訪問，但是你可以通過設置，在訪問前要求用戶認證）
2. 防火牆用戶只能在WINX的電腦上安裝（需要客戶端安裝程序），而SNAT客戶和WEB客戶可以跨越操作系統平台，WEB只有瀏覽器要求
3. 如何內部有WEB/FTP/MAIL之類的伺服器提供對外服務，則它們必須作為SNAT用戶
4. SNAT用戶不支持需要二次連接的網路運用，除非在IP FILTER中指定
5. SNAT用戶需要解決DNS解析問題，這就意味著你的INTRANET要有DNS伺服器或者在IP FILTER中允許DNS Query operation。
6. SNAT用戶和防火牆用戶同時也可以是WEB用戶，不過WEB用戶只支持HTTP/HTTPS/FTP服務。
7. 對於SNAT用戶來說，即使Protocol Rule allows "Any IP traffic."，它也只是開放了ISA預先定義的那些Protocol，至於如QQ之類還要你自己定義。注意如果這一套用只使用了單一連接阜，那只要直接定義即可，如果使用了多個連接阜，則須在IP FILTER中加以定義。
如果你的網路對外連接是通過撥號方式，則只有Web Proxy and firewall clients可以使用按需撥號，對於NAT用戶，必須首先建立連接。WEB用戶和防火牆用戶還可以配置使用自動發現ISA。你需要在DHCP（a special Web Proxy Autodiscovery Protocol entry）和DNS（both a host (A) record of the ISA Server computer and an alias (CNAME) record named WPAD pointing to the ISA Server computer.）中進行相應設置

四：設置Access Policies
對於用戶訪問是否允許，ISA通過PROTOCOL->SITE AND CONTENT->IP FILTER->ROUTING RULE的次序進行考察，首先考察是否有PROTOCOL RULES拒絕訪問，如果沒有，再考察是否有明確的允許，如果有，則通過，其他情況則拒絕。SITE AND CONTENT/IP FILTER也是這樣判斷。ROUTING RULE主要用來判斷是將訪問要求轉交給上一級ISA還是直接發到INTERNET上。特別的：

1. 對於一個指定的PROTOCOL，如果以一個SNAT訪問，如果沒有明確的拒絕（這裡的拒絕指得是IP位址的拒絕），則ISA會搜尋是否有明確的許可，如果許可都是針對用戶的，則SNAT客戶會被拒絕（因為SNAT是匿名的）。如果許可是針對IP的，如果客戶端在這一IP位址範圍內，則PROTOCOL這一層過濾通過。
2. 對以WEB PROXY CLIENT用戶（在瀏覽器中填寫ISA作為代理伺服器），預設情況下它是允許匿名的，他允許跑的協議為HTTP/HTTPS/FTP。對於這種情況，我們可以在ISA的設置中要求出站WEB需要認證，或者在PROTOCOL中加一條允許協議，因為WEB允許匿名，所以一條DENY並不能阻止他的訪問，加上允許，ISA就會對他進行匹配，他就會因為不匹配而遭到拒絕。
3. 對於FIREWALL/WEB CLIENT均是通過用戶來進行管理的，只有NAT是通過IP來進行管理，在ISA上觀察，FIREWALL/ SNAT CLIENT均屬於FIRWALL SESSION，但是FIRWALL CLIENT有用戶名和機器名，SNAT這兩項為空，他只有客戶端的IP位址。

一般來說，你如果想訪問外部網站，必須要有兩個條件，一個是PROTOCOL RULE許可，另外一個是SITE AND CONTENT許可，在預設條件下，ISA會自動建立一個SITE AND CONTENT許可供你使用，在PROTOCOL RULE集中，沒有先後次序的概念，但是DENY比PERMIT的權力要高
在ISA的控制元素中包括：計劃schedules, 帶寬優先級bandwidth priorities, 目標集destination sets, 客戶集client address sets, 協議定義protocol definitions, 內容組content groups, and 撥號dial-up entries。你可以將它們組合各種規則（access policy rules, routing rules, publishing rules, 和bandwidth rules）
對於包含路徑的目標位址，ISA不同的客戶端有不同的處理
如果想在ISA伺服器本身上發佈伺服器，必須使用IP FILTER，它本身還可以用來阻止外界的某些IP攻擊

五：設置ISA Server 快取
CACHE可以加快用戶的INTERNET訪問速度，你可以使用routing rules來指定何者需要CACHE，何者從INTERNET上直接訪問，何者則把請求發給上一級ISA。對ISA本身的CACHE，你可以控制它的大小（必須安裝在NTFS上）；是否CACHE動態內容；是否CACHE HTTP和FTP內容；自動更新的頻率以及定義計劃來自動下載頻繁訪問的INTERNET內容。 如果ISA本身的記憶體比較小，還可以調整分配給CACHE的記憶體大小以提高性能。

六：發佈內部SERVER
如果想發佈內部的SERVER，則使用PUBISHING RULES（這實際上也就是PROTOCOL RULES，只有在需要的時候才會開放），如果SERVER就在ISA上，則應使用IP PACKET FILTERS。在SERVER的發佈上，最重要的是WEB SERVER和MAIL SERVER

七：ISA的安全性
控制ISA，你必須有相應權限（Enterprise Admins），如果為了提高性能，在企業中有多台ISA SERVER，則對於防火牆用戶，你只要簡單的設置DNS，使用round robin distribution即可，對於SNAT客戶，則需要設置Network Load Balancing （這需要進階伺服器版和資料中心版）。對於企業設置和陣列設置，你可以將設置制作備份到一個文件，並可以在任何時刻通過它們進行恢復。
利用ISA你可以在公司兩地搭建VPN，並可以讓移動用戶通過VPN訪問公司的信息，這實際上是利用了WIN2K的Routing and Remote Access服務（ISA只不過在IP PACKET FILTER中針對PPTP和L2TP增加了幾條包過濾），你可以在相應服務上進行進一步設置，例如增加DHCP中續代理使遠端用戶得到正確的區域網路DNS/WINS配置，遠端用戶實際上並沒有真正登錄到公司的域中，對VPN的接入安全性必須加強設置。如果覺得有問題，可以刪除由WIZARD建立的4條IP FILTERS，然後DISABLE Routing and Remote Access，最後由WIZARD重新增立。

八：使用H.323 Gatekeeper
不懂，請高人指點。

九：監視和優化ISA
ISA有45種報警，當報警觸發時，寫入WIN2K的事件記錄器，並可選項E-MAIL傳遞和停止啟動ISA服務。ISA的LOG分為IP FILTERS，防火牆，WEB代理三個文件，每天產生（當然你可以限制其總數量），預設條件下放在ISA的LOG目錄下。對於ISA的執行效率觀察，最簡單的辦法是審查ISA的執行報告（事先你要設定ISA如何產生報告），對於ISA的帶寬分配，你也可以加以定義，ISA是一種所謂的動態分配，優先滿足優先權高的訪問，在這基礎上再滿足優先權低的訪問，而不是直接分配固定帶寬給用戶。

十：排錯
基本的，你可以使用ISA Server Reports（性能） /Event Viewer （警告出錯信息）/Performance Monitor （性能）/Netstat （網路狀態）/Telnet （服務狀態）/Network Monitor（網路狀況） /The Routing Table （路由信息）來排除錯誤。
對於複雜的錯誤，可以先將ISA設置到最簡單的模式，觀察是否能連通內外網路，然後再一步步增加設置，找出問題的根源。最簡單的形式如下：
1. 啟動packet filtering enabled, 設定一個最簡單的filter，允許雙向的IP包
2. 建立一條protocol rule，允許所有的IP traffic，
3. 建立一條SITE AND CONTENT,允許訪問所有的網站和內容
4. 將application filters 和routing rules 恢復成預設設置
5. 檢查LAT表包含了所有的客戶端
6. 在IP Packet Filters中啟動IP Routing，保證有二次連接的協議被順利路由
7. 檢查ISA的外部網路卡，確保正確的網關，而內部網路卡應該不設置網關
8. 客戶端作為SNAT連接ISA，確定其網關位址為ISA的內網路卡位址

附錄：常見問題解答（資料來自[url]www.isaserver.org︴/url]^
問：什麼是Microsoft ISA Server？
這是一種具備全面功能特性的企業級安全，加速和多層次陳列管理伺服器。ISA Server提供了安全、快速、可管理的Internet連接性。ISA Server包括一個可擴展的、多層的企業防火牆，該防火牆能夠進行動態的資料包過濾、透明的、SecureNAT、「智能的」資料感知的應用程式過濾器、系統硬化以及內裝的入侵檢測。它的高性能快取加速了Web訪問速度，而同時節約了帶寬，並且可以進行按比例放大以獲得有效的、動態的負荷平衡。統一，靈活的管理工具為用戶、應用程式、目的地、計劃和內容類型提供了多層策略。同時與Windows 200的虛擬專用網(VPN，virtual private networking)和帶寬控制進行了集成。ISA Server是一個進行擴展和自定義的豐富的平台，它包括一個廣泛的軟體開發工具包(SDK)和多個用於進行管理、應用程式過濾器、Web過濾器和快取控制的應用程式設計接頭(API)。

問：Microsoft Internet Security and Acceleration Server 2000是否屬於防火牆或快取伺服器？
ISA Server既可被配置為集成化防火牆與快取解決方案，又可被部署成專用防火牆或專用快取。正在尋求強大防火牆解決方案的組織機構完全可以借助由該產品所提供的動態資料包篩選、入侵檢測、系統加固和「智能」應用程式篩選器等特性為其網路系統提供安全保障。而急需專用快取解決方案的組織機構則可通過使用ISA Server所具備的進階快取特性對網路實施改進增強。

問：擁有與快取解決方案相結合的防火牆會帶來哪些優勢？
即使在組織機構選項分別實施防火牆與快取功能的情況下，ISA Server仍可同時面向出站與入站通信量提供具備一致性的單點訪問策略及管理功能。在此基礎上，組織機構便可適當縮短系統和網路管理員的培訓週期，並相應降低產品管理與維護工作負荷。

問：實施快取功能是否需要以犧牲ISA Server作為防火牆的安全性為代價？
絕對不會。快取基本上屬於一種智能存儲引擎，可幫助管理人員通過對頻繁接受檢索的對象加以存儲的方式提高網路訪問性能。Web快取是基於Web代理引擎實施構建的，而Web代理引擎則可實現HTTP連接特性、篩選功能以及像內容螢幕顯示和URL阻斷這樣與安全性相關的任務。

問：ISA Server是否需要由Active Directory（活動目錄）提供支持？
Active Directory並非實現ISA Server安全與加速優勢的必要條件。然而，謀求以分層方式在企業範圍內新增並部署訪問策略或針對負載平衡與故障容錯產生相關陣列的客戶則需要對Active Directory加以運用。
客戶完全可以借助Active Directory實現陣列化部署，並同現有域建立起信任關係，以期將變化影響程度限制在最低水準。而在這種情況下，則需要面向Active Directory實施全面遷移。

問：是否可從Microsoft Proxy Server 2.0遷移至ISA Server？
可以，這裡的確存在著一條可供執行Proxy Server 2.0版的客戶實施昇級的有效途徑。ISA Server所具備的強大防火牆與快取特性將可面向針對Proxy Server 2.0加以套用的具體情境提供相關支持。當然，ISA Server畢竟是一項基於Microsoft Windows 2000操作系統安全與可靠特性的新產品，並具備針對企業安全與快取需求而專門設計的新型體系結構。

問：目前存在哪些針對ISA Server的第三方支持？
不同組織機構間的安全與性能需求往往大相逕庭。為面向客戶提供最為廣泛的選項餘地，Microsoft已經同那些在網路安全與管理領域處於領先地位的廠商展開了密切合作。第三方廠商將可提供包括站點分類、病毒檢測、監控與遠端管理及內容分析等解決方案在內的相容型、互補式軟體產品。

問：ISA Server是否可面向VPN（虛擬專用網路）提供支持？
可以。ISA Server可幫助您新增虛擬專用網路（VPN），並在此基礎上為其提供安全保障。在使用有關嚮導程序的情況下，ISA Server將可針對Windows 2000 Server所具備的內建式虛擬專用網路服務進行配置，以便幫助組織機構面向遠端站點和移動用戶提供符合成本效益原則的連接。

問：ISA Server Enterprise Initialization Tool（ISA Server企業啟始化工具）可對Active Directory架構進行修改，請問：截至目前，是否發佈過有關上述修改的完整列表？
請查閱位於cdroot\isa目錄下的scheme.ldif文件……該檔案是針對架構更新而產生的導入文件……

問：單一日誌容量是否可超過4 GB？
非NTFS卷中的文件容量主要受制於相關磁牒卷所容許的最大文件容量。適用於Fat16卷的最大文件容量約為2 GB。

問：如何對已安裝的ISA執行全面刪除操作？
請在\I386目錄下執行可執行文件RMISA.EXE。

問：如何在ISA中制作備份Destination（目標）集合？
請在ISA MMC中右鍵按擊您的伺服器名稱，然後點擊制作備份。

問：ISA Server是否可像MSProxy 2.0那樣面向AutoDial提供支持？
ISA 2000具備這種特性。在該產品的beta 3版中，上述特性將得到自動套用。如果您需要使用AutoDial，則應首先在ISA CD上執行一個位於\sdk\samples\admin\scripts資料夾、檔案名為Add_DOD.vbs的VBS指令碼。當然，您還必須事先根據自身需求對該指令碼進行相關編輯。

問：通過使用ISA Server，將能為您帶來哪些重大改進？
全面集成SOCKS v.4.3a篩選程序
得到改進的郵件伺服器嚮導程序
新型虛擬專用網路嚮導程序
PPTP支持特性
性能調節
適用於SMTP篩選程序的新型用戶界面（UI）
得到更新的COM和應用程式篩選器界面
附加預定制協議
包括全面我的文件化事件消息和性能計數器在內的改進型我的文件功能

問：從何時起可下載ISA Server， 該軟體存在哪些限定性條件？
請 http://www.microsoft.com/isaserver/下載ISA Server拷貝。 ISA Server的測試版有效期限為安裝後的120天。

問：ISA Server需要佔用多少RAM容量，如何對該容量值進行修改？
在預設狀態下，ISA Server RC1將針對RAM代理快取佔用50％的可用記憶體空間。如需對上述記憶體佔用量加以修改，請開啟快取 Configuration（快取配置）屬性內容，並在Advanced（進階）選擇項上點擊滑鼠，接著，在「可供用於快取特性的記憶體容量百分比」提示後，將百分比數值從50%（預設值）相應降至5%左右。在上述修改操作完成後，重新啟動Microsoft Web Proxy服務，您將會看到，記憶體佔用量已得到了顯著降低。

問：如何針對每個用戶分別指派Bandwidth Quota（帶寬配額）？舉例來說，是否可將用戶「John」的信息下載容量限定為每月500 Meg，而在此基礎上，該用戶的Internet訪問請求將被予以拒絕？
ISA Server目前尚無法針對此等特性提供相關支持，但您卻可以將具備相關功能的第三方附件程序安裝至ISA Server。如需查閱有關第三方產品列表，請訪問以下Web站點 http://www.isaserver.org/。

問：能否實現針對ISA伺服器的遠端管理（從具備管理員角色的PC執行ISA管理控制台）？
可以實現，但必須確保相關PC執行Win2000操作系統。

問：ISA是否可為「內容引導協議」（CVP）提供相關支持？
ISA無法提供上述支持。在使用ISA的情況下，您必須具備獨立的電子郵件病毒保護功能。雖然市場上存在可供使用的第三方產品，但仍請就所需支持特性參 http://www.isaserver.org/站點。

問：請提供有關wpad.dat的確切解釋。
wpad.dat文件主要供Internet Explorer用來獲取所需信息，以便允許客戶端瀏覽器通過使用ISA Server代理服務實現Internet訪問功能。為實現Internet訪問而執行Internet Explorer的客戶端可通過使用DNS或DHCP的方式進行配置，但就ISA Server部署而言，團隊成員則必須使用DHCP來面向客戶端提供wpad.dat配置。

問：能否借助ISA Server標準版新增陣列？
標準版無法面向陣列提供相關支持。

問：我一共擁有四個站點（其中，包括一個總部站點和三個分支機構站點），而它們中的每一個都僅配備一顆CPU，並在各自位置執行著Proxy Server 2。這些站點分別具備獨立的Internet訪問功能，但又通過Frame Relay（畫格中繼）實現了彼此間的網路互聯。如果我希望從總部位置對上述四個站點實施統一管理，並建立起相應的企業策略，那麼，還需要為這些站點購置哪些軟體產品？究竟是僅購買一份企業版即可滿足需求，還是必須同時購買一份企業版和三份標準版？
您需要為此購買四份企業版許可證。

問：如何檢視自己正在使用的ISA Server版本？
在Computer(s)節點上點擊滑鼠，您將在右側窗格內檢視到有關版本和產品ID的卷標。

問：ISA Server標準版是否與NT 4.0相集成，如何按用戶或組對出站訪問進行設定？
您無法在基於Windows NT操作系統的電腦上安裝ISA Server。該產品必須安裝於以Win2k為操作系統的電腦。標準版可基於Win2k Server產品家族進行安裝，而企業版則需要由Advanced Server或Datacenter Server提供相關支持。
ISA Server的所有版本均可被安裝於具備Windows NT 4.0域成員資格的電腦，同時，ISA Server還可對基於安全策略的SAM資料庫加以套用。由於ISA Server需要使用AD為自身新增陣列，因此，如果您所安裝的是ISA Server企業版，則無法新增陣列。

問：防火牆客戶端是否屬於ISA軟體包的組成部分？
完全正確。防火牆客戶端同Winsock Proxy客戶端一樣，均屬於Proxy Server 2.0的組成部分。

問：貴公司針對該伺服器產品所推薦的RAM和硬碟容量分別是多少？512MB的RAM容量是否足夠，亦或仍需購置更多的RAM記憶體？
512 MB的RAM容量針對軟體安裝來說，無疑是綽綽有餘的。請務必執行System Monitor（系統監視程序），並針對快取性能及其它內建ISA計數參數產生日誌記錄，以便就相關配置下的性能表現加以掌握。

問：在將ISA安裝於RRAS機盒的情況下，該產品將以何種方成對RRAS加以套用？儘管ISA取代了RRAS資料包篩選功能，然而，該產品將如何就路由操作、虛擬專用網路（VPN）和請求撥號特性對RRAS加以充分利用？特別是在已完成ISA安裝操作的前提下，應如何確保RRAS遠端訪問策略及相關配置同VPN或撥號連接之間的協作關係？
ISA與RRAS之間具有十分密切的協作關係。事實上，在試用VPN嚮導程序後，您便會覺察到在RRAS伺服器上所發生的變化。RRAS與ISA主要以並列方式運轉，如果兩者之間偶爾發生衝突，那麼，其結果也必然是ISA獲得優先權。

問：據說在ISA Server上，SecureNAT和防火牆客戶端之間存在著「魚與熊掌不可兼得」的關係。貴公司所提供的白皮書及其它相關我的文件使我得以令眾多客戶端將ISA Server與防火牆客戶端配合使用。與此同時，我還允許客戶端在無需安裝專用防火牆軟體的前提下，將ISA作為代理伺服器加以套用。但是，代理功能僅適用於http及其它Internet Explorer參數。而我對ISA Server的理解則是，不使用防火牆客戶端軟體的客戶端必然是SecureNAT客戶端，所有請求均應在IP配置網關參數正確輸入的情況下獲得解譯。請問：是否有人能告訴我對這種功能加以套用的具體方式？
您的客戶端IP位址將由類似於192.168.0.1-255的專用位址構成。這些位址中的某一個有可能被用作ISA的內部網路卡位址，比如，192.168.0.1；而外部網路卡位址則可能是由ISP為您專門指定的，比如，207.69.188.185。在內部客戶端試圖對主機實施訪問的情況下，其所配備的網關位址便有可能針對某一Web頁面而被設定為192.168.0.1。這表明，主機並非位於本機子網，並且必須通過ISA實現訪問使用。開放式連接阜通信只能在ISA和Internet兩者間進行，並將通過8080連接阜將符合要求的信息反饋至相關客戶端或您所指定的任何位置。這基本上屬於NAT的模式。在客戶端和Internet遠端主機之間，並不存在任何面向連接阜通信而開放的連接阜。
防火牆客戶端的使用情況極可能具備完全相同的配置，但卻允許在客戶端與Internet之間執行連接阜通信。假設您主要借助Publishing Wizard（發佈嚮導程序）來實現郵件伺服器的發佈。在此基礎上，您將會發現該伺服器在會話期間所顯現的內部位址同Winsock會話期別無二致。鑒於郵件伺服器將在執行接發操作時對其它連接阜加以利用，因此，上述情況是完全必要的。由此看來，通過將郵件伺服器設置為防火牆的方式對其進行「發佈」，勢必有助於在專用連接阜上實現信息收發功能。

問：我似乎無法編製當天的報告。ISA產生了這些報告，而我卻難以對其執行開啟和瀏覽操作。奇怪的是，所有先前產生的報告（當天之前的）均可被開啟和瀏覽。
ISA Server基本依據日誌摘要產生報告。具體方式為，每天12:30AM產生日誌摘要，然後，在此基礎上產生相關報告。因此，即使您將程序設定為產生「當前」報告，系統也無法在次日12:30AM之前為您提供當天資料。

問：我所注意到的一個情況是，目前仍無法從具備專用IP位址、並已啟用NAT的客戶端上對Internet位址執行ping操作。難道是我忽略了什麼問題嗎？
您需要在IP資料包篩選程序屬性內容中啟動IP路由功能。上述操作還可同時為ICMP將NAT啟動。

問：報告功能無法正常發揮作用。難道是我做錯了什麼嗎？
請務必確定，您正在實際執行報告產生操作，而非僅僅在「Monitoring/Reports」（監控/報告）部分中進行瀏覽。
如需產生相關報告，請依次執行下列操作：
將滑鼠依次指向「Monitoring Configuration」（監控配置）>「Report Jobs」（報告工作）
右鍵按擊滑鼠並選項「New」（新增）>「Report Job」（報告工作）
按嚮導程序提示填寫配置需求（開始產生報告：立即啟動）
稍候數秒後即可獲得所需報告
現在，返回「Monitoring/Reports」（監控/報告）部分>「Reports」（報告）部分，即可看到新近產生的報告。每項內容（摘要和Web使用情況等）下方均有一份相關報告。

問：當我在快取模式下安裝ISA RC1時，卻無法對自己的Web頁面執行訪問；而當我在集成模式下安裝該產品時，一切功能雖處於正常狀態，但又不能對相關配置進行使用。這究竟是怎麼回事？
這大概是因為，如果您僅僅在快取模式下安裝ISA，那麼，該產品將無法執行透明代理操作，而這恰恰是您在客戶端上以手工方式安裝代理功能時所必需的。當然，在集成化模式下，具備安全保障的NAT將可在無需針對某一客戶端進行配置的前提下，自動代理全部訪問使用請求。

問：我希望借助於MMC同ISA伺服器實現連網，這主要是因為該產品在其所安裝的伺服器上執行良好，而我卻需要從自己執行Windows 2000 Professional操作系統的PC機上對其實施控制。請問：上述設想是否可行？
您需要在以Win2k Prof為操作系統的PC機上執行ISA安裝程序，並選項僅就該產品的管理功能部分進行安裝。與此同時，有權執行登錄操作的用戶也必須是具備較高優先級的帳號，其中包括Enterprise Admin（企業管理員）和架構（Schema）管理員。

問：在已將某個T1依次掛接至路由器、已啟用ISA防火牆的伺服器、交換機和各種伺服器及其它PC機的情況下，ISA伺服器停機故障（例如，電源插頭不慎脫落）將會導致那些問題的發生？位於上述連接關係末端的伺服器和PC機能否繼續接收到Internet通信量，ISA伺服器是否會出於阻止位於其後端的任何設備獲取Internet通信量的目的而自動停機？
如果相關配置依次為路由器—>ISA—>交換機—>其它伺服器，那麼，在ISA電腦出現停機故障的情況下，網路卡便會掉電，並由此導致資料包往復路由處理任務出現中斷……

問：我已經安裝了ISA Server，並且需要花費很長時間方可與該伺服器實現連接。在開始使用Web頁面之前，所需耗用的時間約為40至45秒。請問，這究竟是何緣故？
如果您正在就防火牆客戶端加以套用，那麼，該產品的確存在可能導致上述延遲的程序錯誤；除非用戶具備本機管理員資格或屬於客戶端機自身功能用戶，否則，上述延遲將難以避免。我們將在RC2發佈後針對上述問題加以解決。

問：我的DSL路由器擁有一個靜態IP位址，而ISA Server外部接頭也擁有一個靜態IP位址。ISA Server的外部接頭預設網關正是DSL路由器的IP位址。目前，這兩個IP位址均從屬於一個擁有16個IP位址的子網。該子網的IP位址中，有兩個已分別被DSL路由器和ISA Server外部接頭佔用，另有兩個則被用作網路編號和廣播IP位址。DSL路由器和ISA Server外部接頭的子網掩碼均為255.255.255.240。現在，我需要掌握將剩餘IP位址分派給內部網路所屬電腦的具體方法。我的內部網路正在使用以255.255.255.0為子網掩碼的10.0.0.0網路。而所有電腦均通過一台集線器和一台交換機實現在同一網路中的執行。
雖然您無法在內部網路上針對客戶端指派IP位址，但卻可以將第三塊網路卡置入ISA Server，並利用這些位址構建起一個周邊網路（DMZ）。由於這些位址無法使用與外部接頭完全一致的網路ID，因此，您必須將其全部納入子網範圍。

問：ISA啟始化安裝並不能允許我通過自己的伺服器對ICMP（Internet信報控制協議）進行訪問使用。外部和內部網路卡均可對ICMP產生回應，但卻無法使之通過伺服器。我按照由ISAServer.org所提供的操作說明新增了將所有對象開啟的規則，這樣一來，所有服務（telnet和ftp等）均可正常運轉，唯有ICMP除外。
啟動IP路由功能。
將相關客戶端配置為SecureNAT客戶端。
在此基礎上，便可通過ISA Server執行ping操作。

問：我在從ISA RC1向ISA Evaluation（120）實施遷移的程序中遇到了技術問題。在將Release Candidate 1（RC1）Upgrade安裝完畢後，防火牆和Web代理仍然無法生效。而其它ISA服務功能卻可正常執行。上述問題在Event Log（事件日誌）中的錯誤編號為14079。為此，我先執行了rmisa，並在基礎上重新執行安裝操作（從ISA Server 2000評估版開始），但問題卻依然如故。此後，我又代之以先執行rmisa，而後重新執行安裝程序（從ISA RC1開始）的做法，於是，所有服務功能便均可正常發揮作用。
每當將現有ISA Server昇級為最新版本時，請務必對防火牆客戶端進行重新安裝，這有助於相關問題的解決。

問：如何為實現遠端管理功能而將ISA Server插件安裝在非ISA伺服器之上？
請儘管執行安裝程序，並使用全部安裝方式，然後，僅將管理控制台復選框選即可。所需插件將自動完成安裝，並在「程序」資料夾內產生相關快捷方式。

問：我在配備有SP1的W2K AS上安裝了Proxy 2.0，並希望將其昇級為ISA Server。此外，我還擁有一個執行於Proxy機盒中的VPN（虛擬專用網路），並在Proxy後端安裝了Exchange Server（5.5）。根據上述情況，當我執行昇級操作時，應就哪些篩選和准許條件加以明確定義？我是否必須對所有配備WSP客戶端軟體的電腦實施昇級？
獲得保留和遭到刪除的項目主要取決於ISA Server的安裝模式和執行ISA Server安裝操作的用戶所具備的組成員資格。如需獲取詳細說明材料，請查閱隨同ISA Server CD一併提供的產品昇級指南。不同的安裝模式和組成員資格「的確」會導致功能特性在去留方面出現重大差異，為此，您必須在執行昇級操作前就有關操作規範加以掌握。
Winsock Proxy客戶端完全能夠同ISA Server協調配合。我既沒有看到，也不曾聽說因使用該產品而導致的任何問題。
由於在被配置為SecureNAT客戶端的情況下，Exchange Server完全可以正常發揮作用，因此，您完全沒有必要將其設定為Winsock（防火牆）客戶端。即使在您已對wspcfg.ini文件執行某些特殊配置修改的情況下，該產品仍可繼續擔當防火牆客戶端。當然，我還是建議您將Winsock Proxy客戶端軟體從Exchange Server中刪除，這種做法可以先將該產品配置為SNAT客戶端，並就其能否正常運轉進行觀察。

問：我需要在自己的網路系統上針對ISA Server進行配置。我總共擁有三台伺服器，其中，一台擔當防火牆，一台用於Web支持，還有一台存放資料庫。有鑒於此，我能否獲得有關在上述伺服器與ISA伺服器間實施網路配置的相關我的文件？
應分別將ISA Server置於網路系統邊緣，將Web伺服器放置在位於Internet和內部網路間的DMZ，並將資料庫伺服器安放在內部網路之上。上述工作完成後，再在位於內部網路和DMZ之間的ISA Server上新增資料包篩選程序，以便對發往內部資料庫伺服器的通信量加以限制，進而，確保只有Web伺服器具備通過下游防火牆執行資料庫訪問使用的能力。

問：我在事件日誌防火牆中收到了以下錯誤提示「Cannot bind SMTP requests to port 25 because it is already in use by another process」（由於第25號連接阜已被其它工作佔用，故無法將SMTP請求綁定至該連接阜）。請問，這究竟意味著什麼？
這可能是因「簡單郵件傳輸協議，SMTP」隨同IIS一併自動安裝而導致的錯誤。請在服務控制台中就此項服務功能予以禁用。

問：我剛剛安裝完RC1，就在事件日誌中發現了14120條錯誤使用（LAT與Windows路由表不匹配），請問，這究竟是何緣故？
只需在ISA控制台上重新產生「Lat table」即可。

問：我有一個關於ISA和Outlook Express 5的技術問題。我無法對自己的hotmail帳號實施訪問使用——而我所收到的錯誤信息則顯示為：「Proxy Error (Logon failure: unknown user name or bad password.)」（代理錯誤[登錄失敗：未知用戶名或密碼錯誤]）。我應該如何解決這個問題？
請將Hotmail Web站點增加至特例列表，並使用Winsock客戶端（目前為防火牆客戶端）對其實施訪問使用。這樣便可成功解決上述問題（並同時擁有SNAT選項）。

問：在安裝操作程序中，我收到了如下錯誤提示「Cannot start service isacntl」（無法啟動isacntl服務）。請問，這句話是什麼意思？
這通常意味著，您尚具備足夠的記憶體容量，或者相關架構並未得到全面複製。請從I386目錄下執行RMISA，在全面卸載完成後，重新起始系統，並再試一次。

問：我無法繼續在ISA RC2上啟動Web Proxy Service。相關錯誤資訊顯示為：Microsoft Web Proxy Service：Error 2148074254：No credentials are available in the security package（Microsoft Web Proxy Service：錯誤2148074254：安全包內無可用憑據）。為此，我已將ISA予以卸載，並重新執行了安裝操作，但問題依然如故。請問，是否存在有助於解決上述問題的方法？
請在ISA產品CD中搜尋可執行文件rmisa.exe，並嘗試執行該程序。它可將由ISA插入的全部註冊表項盡數刪除。

問：我在基於Windows 2000的獨立伺服器上安裝了ISA Server標準版。於是，Windows NT域中的防火牆便收到了編號為407的錯誤信息（不可用）。請問，應如何解決這個問題？
請對Protocol and Site/Content（協議和站點/控制）規則進行配置，並確保以Win2k為操作系統的電腦成為NT域成員。

問：我無法在不具備代理設置的前提下於客戶端獲得Web連接。請問，我忽略了什麼環節？
客戶端網關已被設定至ISA Server內裝適配器位址。鑒於該網關無法套用代理設置，我便可以斷定，相關協議與站點/內容規則能夠為訪問使用提供支持。如果情況有所不同，那麼，該客戶端必然是基於Win98的電腦。
面向全體網路客戶端開啟所有站點（這可能已被您列為預設站點/內容規則，請在控制台上予以驗證），並開放所有協議。
如果您正在使用撥號連接，並具備SNAT客戶端，那麼，就請記住這條秘訣：在左側窗格內右鍵按擊路由節點，並將撥號連接選定為防火牆主路由節點。

問：安裝程序完成後，Web代理和防火牆服務均無法正常啟動，且不支持系統重啟。而事件檢視器所提供的錯誤程式碼則顯示為#7031：「The Microsoft Web Proxy Service terminated unexpectedly」（Microsoft Web Proxy Service意外終止）。請問，這究竟是何緣故？
當我遇到這個問題時，曾迫不得已地使用由ISA Server CD提供的rmisa.exe程序將ISA Server刪除。在該程序執行完畢後，重新起始系統，並再試一次。
在電腦RAM容量和可用磁牒空間供不應求的情況下，上述問題發生的頻率相對較高。另一種有效的解決方法是針對IIS加以禁用，或乾脆將其從電腦中刪除。
如果上述方法仍無濟於事，就請重新安裝操作系統和ISA Server。

問：當我在瀏覽器中就代理功能予以禁用，並對ISA客戶端執行安裝和配置操作時，將會收到以下錯誤提示：「The ISA Server denies the specified Uniform Resource Locator (URL). (12202)」（ISA Server拒絕指定的統一資源位址[url]。[12202]）。請問，這究竟是何緣故？
如果您一邊「在ISA Server上」使用瀏覽器，一邊試圖對Web站點進行訪問，那麼，就需要新增可將80出站連接阜面向所有電腦開放的靜態資料包篩選程序，亦或使用ISA Server「內部」接頭IP位址將瀏覽器配置為Web Proxy客戶端。

問：以下是一條在ISA服務重新啟動時出現的錯誤提示：「The Microsoft Web Proxy failed to log information to file WEBxxxxxxxx.log」（Microsoft Web Proxy無法將日誌信息錄入WEBxxxxxxxx.log文件）。請問，這究竟是何緣故？
針對ISA日誌資料夾中的索引和壓縮特性予以禁用，並在ISA-Server MMC中取消壓縮/索引項目的選狀態。

問：在ISA處於執行狀態的情況下，網路卡昇級操作通常會導致故障發生。而在針對內部適配器執行昇級操作時，Windows往往會要求提供一個名為「|」的文件。請問，應如何防止上述問題的出現？
終止ISA服務功能，而後便可實現驅動程式昇級。

問：我在試圖以手工方式啟動所需服務時，收到了以下錯誤信息：「ERROR 1747 - THE AUTHENTICATION SERVICE IS UNKNOWN」（錯誤1747—未知身份驗證服務）。請問，這究竟意味著什麼？
在解除原有偵聽器綁定關係的基礎上，再將它們重新綁定到一起。您可能需要針對相關發佈規則和資料包篩選程序進行重新配置。而您所新增的任何對像均可能具備與其存在綁定關係的原有IP位址。

問題： 如何使用ISA發佈你的網路(反向網路代理)?
例如，你想要發佈如下兩個網路站點以供Internet用戶訪問：
PublicSite.mydom.com
PrivateSite.mydom.com/EmployeeInfo
在屬於你的域的可靠的DNS伺服器中為你的公共站點和私人站點產生DNS記錄，並把他們指向ISA伺服器的外部的接頭。
在目的集中產生一個記錄並賦予其描述名稱，如：對於到公共站點的請求，目標機器標識/主機標識包含的電腦名稱類型，比如：PublicSite.mydom.com ，而且沒有相對路徑。
對於第二種情況，在目的集中產生一個記錄並賦予其一個友好的名稱，如：對於到私人站點的請求，目標機器標識/主機標識包含的電腦名稱類型，比如： PrivateSite.mydom.com，並加上相對路徑/EmployeeInfo/* 。
然後給這兩個站點每一個都新增一個網站發佈規則，這個規則是用來給相應伺服器發送請求的。
名稱：任何友好的名稱，比如：對於「公共站點目的位址」，在「已選項的目標集」中選項「名稱」；對於到公共站點的請求是在下拉列表中的。動作：重新把請求導向主機位址。在目標站點輸入框中，輸入承載公共站點的內部網站伺服器的電腦名稱或者IP位址。適用於：任何請求。
對於私人站點：
名稱：任何友好的名稱，比如：對於「私人信息站點目的位址」，在「已選項的目標集」中選項「名稱」；對於到私人信息站點的訪問是在下拉列表中的。動作：重新把請求導向主機位址。在目標站點輸入框中，輸入承載私人站點的內部網站伺服器的電腦名稱或者IP位址。適用於：選項基於你是否想要對其訪問進行限制的客戶端、用戶、組或者任何使用者。

問題： 每次我想斷開連接的時候，ISA總是要用很長時間去強迫進行再次連接。我已經關閉了活動快取，沒有執行任何會週期性的提交Internet請求信息的應用程式，也已經也關閉了全部的有可能引起這個問題的到我的路由器的netbios 請求。那麼是什麼原因強迫ISA進行再次連接的?
當安裝ISA的時候，一個DNS包查詢過濾器是預設與其一同安裝的。此過濾器是允許DNS查詢通過路由器的。禁用此過濾器，你的路由器就應該支持預設的超時設置，而不再進去行連接。

問題：如果選項了支持包過濾，我就無法瀏覽網路。我得到的信息是dns錯誤。我是在ISA 伺服器上使用的IE5。其它連線到ISA伺服器的電腦卻可以這樣瀏覽Internet。我如何解決這個問題?
在ISA 伺服器的自述文件中，你可以發現，要使用在ISA 伺服器上的瀏覽器，你應該把內部網路卡的IP位址配置到代理設置中去。

問題：我想要我的ISA伺服器通過使用我的Internet 提供商提供的撥號入口連線到Internet，但ISA 伺服器配置視窗中的下拉框並沒有顯示我已經配置了的撥號入口。下拉框是空白的。有人知道這問題是怎麼回事嗎?
策略元素，撥號入口，視圖/新增撥號連接。你應該能選項你預先設定的Internet 撥號連接。

問題： 有否任何方法刪除某些與ISA伺服器捆綁的協議定義？我正在使用 SNAT，但我並不想讓用戶使用某些嵌入的定義功能，如：ICQ、AOL等等。我如何解決這個問題?
右擊「Enterprise」（企業），然後選項屬性內容和改變自定義策略。

問題： ISA 伺服器和Exchange 5.5 伺服器是分開的。應該如何設置DNS和Exchange 5.5 伺服器上預設的網關?
你的DG 應該設置成你ISA伺服器內部網路卡的位址。
你的DNS入口應該設置成離你最近的上游DNS伺服器。如果你已為你公司提供了主次DNS，那麼就使用那些位址(即使他們在防火牆內部)。然而，如果DNS是某個ISP提供的，或者其它的外部資源，直接使用他們的位址就可以了。
還要注意的是，不要在你的MS Exchange 伺服器上使用防火牆客戶端程序，那將與Internet 郵件連接或者Exchange衝突。
請參考有關如何在防火牆內部配置Exchange伺服器的詳細資料，其位於Microsoft Knowledgebase 文章中的 #Q181420。

問題： 當我檢視日誌文件時，顯示的用戶是匿名。我正在使用ISA安裝一台快取伺服器。我怎樣做才能讓他們的用戶名出現在日誌文件?
在防火牆和Web代理客戶端中，如果你配置了匿名訪問策略，那就沒有身份認證了。
要解決你提出的問題，需要驗證「Outgoing Web Requests」（出站Web請求）中的「Ask unauthenticated.....」（要求未經身份驗證的…）設置。

問題：我要格式化我的PDC並重新構建我的網路，不知到是否有一種方法來制作備份我儲存在ISA 中的大約250個條目的位址?
右擊ISA MMC 中你的伺服器名稱，然後點擊「制作備份」。

問題：可能通過ISA共享文件嗎?
你可以通過 ISA，在TCP/IP (TCP/UDP 137-9)上支持 NetBIOS 以實現此功能。

問題：我的全部客戶端和其它的伺服器都在使用ISA 伺服器並把其當作他們的網關，這個基於我安裝的訪問策略的網關允許他們訪問Internet。然而ISA伺服器本身是根本不能訪問Internet的。WWW， FTP， SMTP， POP， PING等其它功能是不是也是這樣？我又如何補救呢?
1. 不要在ISA 伺服器上安裝防火牆客戶端程序。這是微軟不支持的。
2. 你不需要把ISA 伺服器本身用作Web代理客戶端。
為了讓應用程式在ISA 伺服器上執行正常，你必須配置包過濾器。
例如，如果你想要允許外接網路伺服器訪問，新增一個允許TCP 80外接請求的包過濾器。那很容易。

問題：在面向SecureNAT使用ISA時，如何把連接阜轉到內部的客戶端?假設防火牆客戶端程序不是必須的。比如說，我想要內部客戶端可以接收全部的針對TCP和/或者UDP連接阜5000-6000的包。
你需要使用伺服器發佈功能。原因是：如果SecureNAT的連接阜連接需要開啟第二個連接阜，那麼連接阜的連接將會失去。解決問題的辦法是：要麼你編寫一個你自己的應用程式過濾器或者使用第三方軟體。

問題：我在一台操作系統是W2K並有兩塊網路卡的電腦上安裝了ISA beta1。我在那台電腦上也安裝了終端服務功能。我安裝ISA的方式是使用TS，但在安裝的程序中，我失去了終端服務功能和伺服器工具的網路共享功能。有人知道這是什麼原因嗎？又如何解決這個問題呢?
安裝一個TCP 連接阜3389的過濾器就可以了。

問題：可能開啟今天的使用報告和日誌報告嗎？我正在嘗試開啟一個今天的報告。我把報告的產生選項設成「立即」，期限設成「今天」。電腦顯示報告已成功產生(狀態 0)。但當我試圖在「監控/報告/任何容器」中開啟報告時，游標變成沙漏，再就什麼也沒有了。我試圖把報告儲存到硬碟。我開啟「另存為」對話視窗，並進行了相應的操作，但沒有產生任何文件。
報告是基於來自日誌文件的「日誌摘要」的。在監控配置/日誌文件的資料夾中，你在日誌文件的資料夾處右擊，點擊屬性內容，然後點擊「日誌摘要」標籤，確保選了「支持每天和每月的摘要」。
儘管日誌文件每天都在更新，日誌摘要是在每天中午12：30產生的。等到中午12：30以後，就可以開啟報告了。
檢查\Microsoft ISA Server\ISASummaries 資料夾以驗證摘要列表是否已經產生。

問題：當我試圖通過遠端管理員模式連線到ISA伺服器時(我已經在內部客戶端安裝了ISA管理工具)，我得到的錯誤信息是權限被拒絕。有人能幫我解決這個問題嗎？
使用其它的配置文件進行登錄。
你的配置文件可能已經崩潰。刪除你的原始配置文件 (Windows 2000 Professional)並新增一個新的配置文件。

問題：我能在ISA上使用動態包過濾功能嗎?如果能，如何啟動這個功能?
你可以通過使用訪問策略或者發佈規則來支持動態包過濾功能。
從ISA幫助系統得到的信息是：
當你支持包過濾功能時，全部經過外部接頭的包將都被遮閉，除非他們是特允的： 要麼是通過使用IP包過濾器靜態特允的，要麼是通過使用訪問策略或者發佈規則動態特允的。

問題：當SMTP網關是在ISA 伺服器上時，是否存在一種方法可以面向輸入SMTP Filter中的標準，使Message Screener掃瞄連接阜25? 我使用MSSMTP 服務作為我的Exchange伺服器網關。SMTP伺服器是位於ISA伺服器電腦上的。如果SMTP伺服器不在ISA伺服器上，SMTP 過濾器執行正常。
SMTP過濾器是一種應用程式過濾器。如果資料是傳向本機電腦的，應用程式過濾器將不截取資料傳輸。比如，在同一台電腦上，你不能同時擁有SMTP過濾器和SMTP伺服器。SMTP伺服器應該安裝在防火牆之後，而不是安裝在防火牆上。

問題：有人曾經成功的開啟過報告嗎?我的報告中沒有任何資料。報告文件是有的，但內容是空的。
如果你是支持報告的，並且開啟了新增報告的功能，報告就應該根據你的計劃產生了。
報告是根據日誌摘要新增的，檢查LogSummaries 資料夾以確定是否存在錯誤。

問題： 我想將屬於我的域的客戶端(outlook 2000)配置為可以收發我們的ISP的Internet郵件(pop3/SMTP) 。我們是通過新安裝的ISA 2000 (CR1)連線到Internet的。有何方法實現這個功能(對客戶端和伺服器都有效)?
新增兩個自定義的允許連接阜25和連接阜110進行雙向通訊的IP包過濾器。
選項「任何遠端主機」或者輸入他們連線到的郵件伺服器的IP。 這將新增一個Winsock，或者一個防火牆、連接，使客戶端能與遠端主機進行通訊。以上步驟應該是奏效的。

問題： 我是否需要在當前的ISA 伺服器上安裝一個本機的IIS SMTP伺服器?
你需要在你的內部網中安裝一台IIS SMTP 伺服器並發佈那台伺服器。在你發佈了那台伺服器之後，通過把你的內部郵件伺服器的名稱或者IP位址配置到「智能主機」中，就可以完成配置SMTP服務來儲存發往你內部郵件伺服器的信息。

問題：我應該如何配置我的ISA 伺服器以使其具有代理的功能？
工具 => Internet 選項=> 連接標籤 =>區域網路設置按鈕=>選「使用代理伺服器」復選框 => 輸入你的內部接頭位址和連接阜 8080 => 點擊 OK

問題：我正忙於盡可能快的發佈我的站點。但我無法使我的ISA伺服器呈現我自己的網路站點(該站點基於IIS，位於同一台電腦) 。
為了在同一台電腦上實現網路站點伺服器和ISA 伺服器兩種功能，你應該把網路站點的屬性內容改成使用內部接頭和不是80的連接阜號。 儘管在求助文件末尾中的實例學習我的文件中提到了你可以在內部接頭使用連接阜 80，但我們從來沒有試通過。
因此，建議你在網路站點中使用連接阜88和內部接頭的IP位址。改完之後請重新啟動網路站點，使用網路站點發佈嚮導發佈你的網站。儘管內部接頭正在使用的是連接阜88，用戶仍可以在外部接頭使用連接阜80 ，因為在那個連接阜中同樣列出了網路代理服務。
注意在使用網路站點發佈嚮導之前，為你的網站新增一個目標集。

問題： 推薦的針對100個用戶的快取容量是多少?
微軟推薦給每個用戶分配10 – 20MB的記憶體。

問題：我有兩間辦公室，每間都有專用的連接和一台ISA伺服器，每台ISA伺服器都選項了綜合模式的安裝。我想要在兩台ISA 伺服器之間安裝一個網關對網關的VPN連接，實現各站點到Internet的資料傳輸，和像到達其它站點一樣的準確無誤的資料傳輸，而這個資料傳輸是通過VPN到達目的地的。可以在ISA 伺服器上實現這個功能嗎？如果可以，如何解決這個問題呢?
是的，你可以這樣做。你需要做的就是在其中的一台伺服器上執行「安裝本機ISA VPN 伺服器」 以新增一個 .vpc 文件。你的配置一定要保證在兩端都可以進行連接的初使化。在你新增了 .vpc 文件之後，到其它的ISA 伺服器上使用你已新增的.vpc文件並執行「安裝遠端ISA VPN 伺服器」。
這將新增連接請求接頭，這個接頭將允許每一台ISA 伺服器與其它的伺服器建立連接。這也將增加靜態的路由表入口，這樣在遠端網路請求產生時，連接請求接頭就可以被啟動了。

問題：我需要一些關於如何在ISA 伺服器上安裝3塊網路卡和使DMZ執行郵件中轉域功能的信息。我希望防止任何到位於我內部網中的MS Exchange 伺服器的訪問。有辦法解決這個問題嗎?
在DMZ中設置中轉，然後就把郵件伺服器放置到內部網路中去。而後，發佈內部郵件伺服器並僅允許訪問在DMZ中列出的伺服器IP位址。這樣，你就可以禁止任何非中轉站機器訪問內部伺服器了。

問題： 我如何在沒有安裝防火牆客戶端程序的情況下，在日誌文件中支持用戶名而不是「匿名」?
為了在「會話（session）」中支持用戶名，在希望的陣列上選項「屬性內容」， 然後選項「出站網路請求」。在「連接」下，選項「要求驗證匿名用戶身份」的復選框。當提示的時候重新啟動服務，然後用戶列表就出現在他們的域中了。此處不需要防火牆客戶端程序和Netbios協議。

問題： 如何我配置DHCP以實現ISA 伺服器的自動檢測功能?
點擊「開始」，指向「程序」，再指向「管理工具」，然後再點擊「DHCP」。
在控制樹中，右擊「可套用的DHCP伺服器」，點擊「設置預定義選項」，然後點擊「新增」，再點擊「增加」，在「名稱」中，輸入「WPAD」。在「程式碼」中，輸入「252」。
在「資料類型」中，選項「字串串」，然後再點擊「OK」。在「字串串」中，輸 http://Computer_Name:AutoDiscoveryPortNumber/Wpad.dat。
電腦名是經過完全驗證的ISA 伺服器域名或者陣列，而自動檢測連接阜號是用來發佈自動檢測信息的連接阜號。這個連接阜要麼是出站網路請求的連接阜號，要麼是另外的用以發佈自動檢測的連接阜。
右擊「伺服器選項」，然後點擊「配置選項」。驗證選了選項252的復選框。

問題： 我如何才能在我的已發佈的網路站點中提供驗證功能?
對於IIS WWW服務本身，ISA伺服器僅支持基本的訪問和匿名的訪問。如果你 想要支持其它的驗證模式，你需要在ISA伺服器監聽選項中進行配置。可從以下網址得到更多的有關驗證的信息： http://www.microsoft.com/TechNet/isa...MT_CMTAuth.htm

問題： Netscape 用戶僅僅通過使用「基本的」驗證功能得到身份的鑒別。我如何改善身份的鑒別功能?
選你的伺服器，右擊，選項「屬性內容」->「出站網路請求」->選項你的監聽器 ->「編輯」-> 選「基本驗證」。

問題：我有一個多位址的系統。一個外部的IP和兩個從子網得到的、用於內部的IP。我已經把這三個位址全部分配到我的外部接頭中。當我支持包過濾功能時，前面提到的內部路由子網的兩個IP從Internet是不可訪問的。當包過濾器被禁止使用時，就可以了。我把這兩個IP用在我的DNS伺服器上。有辦法解決這個問題嗎?
你已經支持路由了嗎？你需要為每個IP位址新增包過濾器。

問題：我能只配置防火牆的功能嗎?
是的， 你可以把防火牆配置成向下鎖定的安全解決方案。作為安裝程序的一部分，你可以選項ISA 伺服器模式：防火牆，快取，或者集成方式。在防火牆模式，你可以通過使用配置控制你單位的網路和Internet通訊的規則來保證網路通訊。你可以也發佈內部伺服器，安全的與Internet用戶共享你內部伺服器上的資料。
對於快取模式，你可以通過使用儲存常被用戶訪問的對象來改進網路性能並節省帶寬。你可以也發佈內部的Web伺服器。集成模式結合了兩者的特點，即防火牆和快取，既保證了安全又增強了性能。在所有模式下， 你都可以從ISA 伺服器企業策略管理、實時監控和報警的特點中獲益。

問題：ISA 伺服器支持狀態檢測嗎?
是的。為保證全面的安全，ISA 伺服器支持三層過濾： 資料包層過濾， 鏈路層過濾和應用程式層過濾。鏈路層過濾通常指的就是「狀態檢測」，即當包到達防火牆的時候，檢測包、監視狀態信息、允許或者不允許通過基於訪問策略的防火牆的程序。 ISA 伺服器增加了基於特定的應用程式指令的「智能型」檢測的應用程式過濾器，以在更高的通訊層提供過濾功能。這允許特定的SMTP 指令和過濾基於請求界面的RPC 訪問實現模組化。

問題：你如何禁止客戶進行SecureNAT存取?
產生一個包含那台機器IP位址的客戶端設置，然後再使用一個拒絕基於客戶端設置訪問的規則。

問題：可以對網路內部的客戶端進行ping的操作嗎?
外部是不可能ping內部的客戶端的。只有內部的S-NAT 客戶端可以ping 外部的ISA。

問題：如果我要使http請求只能去訪問某些機器，我該如何設置包過濾功能?
新增一個 Web 發佈規則就可以了。

問題：我應當在什麼時候到控制台中去更新防火牆的客戶端？我得到的錯誤信息是：伺服器對更新請求沒有回應。
重新輸入其名稱。 IP (內部的ISA 接頭的)伺服器名字(netbios，非FQDN， 像：「server1」而不是「server1.domain.com」)
例如： 172.16.1.45 NTSERVER1 – 奏效了嗎？可能也會有人建議使用LMHOSTS文件來替代。
重新安裝客戶端或者檢查連接阜設置。注意確保不妨礙其它的服務。

問題：有方法可以使用 ISA 伺服器和一個 Novell 伺服器相連結，以實現接入到Internet嗎?
如果有IP位址，那麼你可以使用Secure NAT 來接入Internet。

問題：使用防火牆客戶端程序而不使用SecureNAT 的好處是什麼?
使用Secure Nat，你僅僅可以通過使用 IP (特定於使用IE的機器)來進行管理。比如： ISA 伺服器不能區分用戶是否已登錄到系統。使用防火牆客戶端程序，通過使用他們的用戶登錄名稱和他們歸屬的組名，你就可以控制用戶了。這樣把IP轉換成用戶登錄名稱和他們歸屬的組名就可以實現更好的控制了，而不管用戶是從哪台PC登錄的。

問題：使用 SNAT 時，我總是收到「登錄失敗」的信息。為什麼是這樣，而我又如何解決這個問題呢?
定義一個新的協議：
TCPIP Outgoing Port 7175
Secondary Connections：
51200-51201 UDP Incoming
51200-51201 UDP Outgoing
51210 TCP Incoming
51210 TCP Outgoing

問題：無論我怎麼做，使用通過Outlook Express 的NNTP 就是不工作!我確信在安裝ISA的時候已經定義了協議， 但為什麼它就是不工作?
卸載FW 客戶端，然後再重新安裝FW客戶端。
如果郵件也提示你相同的問題，然後重新安裝FW客戶端就應該可以了。

問題：是否可以配置防火牆的服務功能，以實現允許所有的內部位址可以進行任意連接?( 比如說，沒有限制)現在看起來我只能是允許對在協議定義容器中被定義的記錄執行存取操作。
只有Secure NAT 客戶端才有這種限制。防火牆客戶端程序可以訪問任何信息。如果你沒有實現本功能，你需要重新安裝FW客戶端。

問題：我在Win2K的客戶端機上安裝防火牆以試用一下。我並未決定我現在就使用它，但在我卸載、重新啟動了之後，ISA伺服器仍然拒絕我的訪問。我嘗試再一次安裝、卸載，但它仍然是沒有任何的起色。有人知道該如何解決嗎?
你需要到你的瀏覽器設置中找出有關ISA 伺服器的參數。參考：區域網路設置－>代理伺服器。或者，更好的情況下，恢復安裝防火牆客戶端程序之前瀏覽器的配置。

問題：我怎樣配置MSN Instant Messenger以可以在ISA 伺服器後端工作?
最簡單的辦法就是使用防火牆客戶端程序動態的允許訪問正在使用的任何一個連接阜。 如果使用S-NAT，你需要新定義一個連接阜信息... (55xx? )協議。如果你打算使用Netmeeting，你可能需要配置ISA gatekeeper部分，也需要使用gatekeeper配置Netmeeting。通常情況下在Netmeeting使用gatekeeper的時候，遠端NM 客戶端需要設置他們的NM使用網關，不論他們是在getekeeper後端以及他們的gatekeeper 是否已恰當的配置了到你的GK的路由請求。

問題： CuteFTP不能連線到FTP 站點。它執行登錄程序，並確定它已成功連接，但執行PWD指令總是超時。如何解決這個問題?
產生一個新的協議以定義允許TCP 外接連接阜 21和TCP 外接連接阜 20進行第二次連接。

問題： Quicken 2000已經安裝到了客戶端(在LAT內部)。我正在嘗試連線到互聯網以獲取銀行記錄。我的問題是它提示檢測不到已存在的網路。如何解決這個問題?
完成Quicken中在EDIT 功能表下的Internet連接安裝嚮導。確保你的預設瀏覽器設置了使用ISA 伺服器作為其代理，Quicken將使用這些設置。

問題：我怎樣才能在ISA伺服器後端執行對SETI@home的訪問?
在代理伺服器設置中禁止使用HTTP代理並使用SOCKS代理，然後只需在SOCKS Host一欄鍵入你的ISA 伺服器的名稱。 你不需要在SOCKS用戶名和密碼一欄鍵入任何信息。連接阜預設是1080。

問題：ISA伺服器在本機執行的時候，我如何才能連線到一個遠端SQL伺服器?我不能連線到SQL 企業版，而且我也不能產生對遠端SQL 伺服器的DSN。這個問題如何解決?
開啟連接阜 1433

問題：我現在正在使用RRAS NAT以使我的 Linux 和Windows用戶漫遊互聯網。當我安裝了 ISA 而且禁止使用RRAS NAT的時候，如何做才能實現和上面一樣的功能?
以sNAT（ISA 伺服器的一部分）的方式。在這種情況下，系統將自動提供策略。

問題：每個人都知道該如何使用Yahoo Messenger Voice Chat。我已經直接連接了Yahoo，但是Voice Chat不能連線到他們的伺服器。如何解決這個問題?
如果基於Java，可能是因為連接阜8000或者連接阜8500 和TCP連接阜。為此你將需要定義一個清晰的協議和規則。檢查並確定一下正在使用什麼連接阜?你可能需要執行NetMon來跟蹤一下。

問題：除非我允許所有的IP都可以進行資料的傳輸，否則我無法進行Real Player Clients的在線瀏覽。有人曾經成功的讓Real Player執行嗎?
你並不需要開放任何特殊的連接阜。有一個協議和規則是針對Real Player 的，而且要執行Real Player， 這個協議和規則是必須的。

問題：我正在嘗試發佈我的執行在ISA伺服器後端的內部FTP伺服器。我為連接阜21和連接阜 20 配置了一個自定義的協議，但它仍然不工作，問題可能是什麼?
你需要開啟內部的動態外接連接阜1025-5000到任何有過濾功能的連接阜。

問題：我如何配置ISA 才能允許內部用戶使用AOL Instant Messenger?
有一個為AOL Instant Messenger預先定義的訪問協議。支持這個訪問協議，重新啟動你的防火牆服務，就應該可以了。

問題：我如何安裝ISA 伺服器以允許遠端客戶端接受DNS服務? 比如說，應當允許什麼協議或者過濾哪些連接阜?
如果你想要Internet客戶端使用你的DNS伺服器，那麼開啟內接連接阜53/udp。如果你想要Internet伺服器從你的DNS伺服器傳送區域信息，同樣需要開啟內接連接阜53/tcp。確保你的DNS 伺服器允許通過外部IP位址連接。

問題：有否容易的方法只執行ISA就可以完成所有網路資料的傳輸?
禁止使用包過濾，支持有關外部IP的netbios。在協議規則中允許全部的資料傳輸。

問題：我如何安裝QuickTime以使之執行在ISA 伺服器後端?
安裝防火牆客戶端程序。開始安裝後，安裝Quicktime，在安裝視窗中，當詢問有關代理伺服器信息時，保持空白。

問題：我如何設置才能允許內部的客戶端通過我的ISA伺服器進行對外部的PPTP 操作?
支持路由和PF
選「PPTP通過防火牆」復選框
為PPTP Call新增一個PF

問題：每次我改變協議規則之後，就必須重新啟動防火牆服務功能，而規則的改變將影響網路資料的傳輸。我確實需要重新啟動防火牆服務嗎?
你並不需要重新啟動防火牆服務，但在策略生效之前，可能需要一段時間。我認為這是ISA讀註冊表或者AD的方式引起的問題。

問題：我安裝了控制網路訪問的策略，也配置了瀏覽器。Navigator 4.75 要求驗證 (用戶姓名/密碼)， 然後就鎖住了，或者報告是記憶體錯誤。我如何解決這個問題?
其原因是使用了ISA的集成驗證。在ISA MMC中，找到ISA 電腦名稱並右擊滑鼠。選項「屬性內容」並點擊「出站Web請求」選擇項。然後選「集成的安全性」復選框。
1) 你可以不選這個復選框，因而就沒有驗證。但這之後你就不會知道有誰正在使用哪些服務， 因為在日誌文件中用戶都是匿名的，結果就是不能通過使用他們的用戶名控制用戶的訪問。
2) 你可以不選綜合安全這個復選框，但可以選「基本驗證」的復選框。這可以使你控制和訪問全部其它瀏覽器。注意只有IE3.x和其以上版本才支持集成 NTCR驗證。

問題：有人有建議可以使我的內部的客戶端通過 ISA訪問 Symantec Live Update嗎?
首先的，也是最重要的，確保你用的是LiveUpdate最新版本。我原來用的是1.5，但當我昇級到1.6時，就正常了。
我進行了如下的操作：
1. 允許用戶通過代理伺服器使用HTTP 和 FTP 訪問。
2. 用代理伺服器名稱配置LiveUpdate並要求用戶輸入帳號和密碼以驗證身份。直到我讓它使用Internet Explorer的配置，LiveUpdate才正常執行程序。(這些都可以通過在控制台中的LiveUpdate applet 進行配置)。

問題：我正在試圖發佈SSH (連接阜 22)伺服器，其基於在我的ISA防火牆後端執行的UNIX 伺服器。但SSH不在發佈規則協議列表之中。有否其他途徑解決這個問題?
只需新增一個新的定義協議並制定了足夠的發佈規則。

問題：使用新的ISA伺服器，你能通過使用用戶帳號來限制他們訪問Internet嗎?
是的。如果你安裝了的防火牆客戶端程序，你可以通過用戶/組成員控制訪問。然而，如果你沒有安裝防火牆客戶端應用程式，那麼你必須要麼使用網路代理伺服器，要麼使用安全的NAT。你可以控制到正在使用網路代理伺服器的網路協議(HTTP， FTP， HTTPS 和 Gopher) 的訪問，但如果你使用的是面向其它協議的安全NAT， 你將無法控制基於用戶/組的訪問。

問題：我的很多用戶下載了像HTTP PORT那樣的程序，程序和詳細資料可以在Http：//www.technetva.com/httport/index.htm找到，另一個例子是Socks2HTTP， 可以在http：//www.totalrc.com/找到。他們把SOCKS v.5 請求轉換成HTTP 請求，並通過 HTTP 代理建立傳輸通道，從而虛擬地開放了幾乎所有tcp連接阜。我曾經試圖通過使用套用內容規則加以限制，但沒有任何效果。我如何解決這個問題?
HTTP連接阜和Socks2HTTP程序就像是簡單的建立一個連線到代理伺服器並發送以下字串串到代理伺服器：
CONNECT URL：PORT HTTP/1.1
User-Agent： Mozilla/4.0 (compatible； MSIE 5.0； Windows NT)
URL：PORT就是未授權的用戶想要連接的伺服器。
ISA伺服器是支持這種連接方法的，但通過使用預設設置僅僅允許這方法到目的 連接阜443和563，因此內部用戶不能濫用ISA-伺服器代理，所以你的用戶很可能是連線到了你網路外部的代理伺服器。你要做的是遮閉到允許你的用戶建立他們連接的代理伺服器的ip位址的訪問。你也要考慮遮閉到預設代理伺服器連接阜： 8080， 3128和socks 1080訪問的連接。 另一種解決方案就是僅允許連線到預先定義的目的連接阜。其它應該遮閉的就是你到www.http-tunnel.com 和類似服務的連接。 你也應該注意內部的客戶端也有可能在他們的家用pc上安裝了軟體並且從那裡建立連接。

問題：我剛剛在一台Win 2K 伺服器上安裝了ISA ，通過使用一個線纜調製解調器連到網上。我想知道對於S/Nat 客戶端，是否可以使用FTP?如果可能，如何才能找到相關的信息？
SNAT 客戶端訪問 FTP是沒有問題的。但你必須確儲存在允許你的SNAT 客戶端訪問FTP的Site/Content（站點/內容） 規則和協議規則。

問題：我正在嘗試通過連接阜 3000並使用SSL連接某網站(https：//www...：3000)。當允許包過濾的時候，我不能與網站連接。但當禁止包過濾的時候，我卻可以訪問。我如何才能在允許包過濾的情況下與網站建立連接?
ISA 伺服器僅僅允許到連接阜 443和563 (Secure-news)的隧道連接。如果某個客戶端試圖連線到一個安全的執行在某個連接阜上的站點，而連接阜不是443 或者 563，連接將會失敗。

問題：我怎樣安裝ISA伺服器才能拒絕或允許基於IP位址的用戶的訪問？
在「站點和內容規則」、「協議規則」中，你需要選項並指定訪問是通過使用正在使用的用戶名還是通過ip位址的。某些情況下，兩者結合使用可能更有效。我們採取如下的步驟解決了問題。 在「站點和內容規則」中，我們指定訪問是通過使用IP位址的，在「協議規則」中，我們指定訪問要通過使用用戶帳號。
我們是這樣解決問題的：允許任何人通過我們內部網在任何時間訪問Internet，但在工作時間，只允許撥號訪問Internet。

問題：如果我想要允許對所有的IP都可以傳輸資料，我可以制定並設置一個針對連接阜0-60000的稱為「允許全部」的規則，但有沒有更容易的方法呢?
你只要在嚮導中的「協議」屬性內容頁選項「全部的IP 資料傳輸」就可以了。這樣就可以開放全部的外接協議。

問題：快取如何保證帶寬需求和信息的可用性?
快取通過移動比較接近使用者的網頁內容從而減少帶寬需求。通過快取滿足了頻繁的請求回應，帶寬使用量就可能被減少40%。快取也能提供內容給使用者，即使這些內容的來源處於離線或不可用狀態。

問題：什麼是反向快取，以及ISA Server支持它嗎?
反向快取是另外一個術語，指在Web伺服器或電子商務應用程式之前放置一個快取。被稱為「反向」是因為它是由Web伺服器的管理員執行的，而不是客戶執行的，是內容從伺服器被分發傳送到快取的程序或卸下的程序。ISA Server 支持反向快取，並允許Web伺服器的管理員管理快取並分發其內容，因此縮短了客戶的回應時間。

問題：ISA Server 2000對快取的要求（推薦）是多大?(公司和ISP安裝)
更多的規則和限制將會增加處理器的負載。因而如果你計劃讓它暢通無阻，則需要更多的記憶體。你可能想要通過執行決定瓶頸的位置。如果負載較小，250MB將是剛好的。但如果負載較大，則需要1GB。你也可以使用Proxy 2算法： 100MB +每客戶5 MB。

問題：我已經制定了一組預定內容下載任務，有沒有辦法檢視這些被快取的頁面以驗證預定下載是否在正確的執行。
在ISA Server內部，訪問Web快取的唯一方法是通過快取API (包含在ISA SDK中)。