微軟中文新聞組:關於ISA Server驗證模式與DNS名稱解析故障的經驗共享。

[psac]

1.對於安裝了防火牆客戶端的計算機，在ISA Server服務器級別上沒有
必要的話不設置用戶級身份驗證模式，即便啟用此模式，加入用戶而避
免組授權——因為ISA對組的授權模式“有問題”（一般出現在ISA計算
機與客戶不屬於一個域的時候），可能導致"表面"屬於該組的用戶仍然
上不了網、郵件客戶端軟件收發不了郵件的問題（基於Web的郵件發送除
外，只要能看見頁面就能夠發送）。

2.這是一個太多人問到的問題——安裝ISA後內部的域控制器名稱解析
“優先級”沖突。由於域控制器默認與“根”DNS通訊，特別是自身在運
行DNS服務的域控制器更是如此。

當首選DNS為內部DNS時，用nslookup
無法解析外部域名，即便你的輔助DNS是外部的，反過來的情況應該也好
設想。

有人說在域控制器上的DNS中設置轉發器——注意，域控制器上的
DNS轉發器根本就是灰色的！！DC上的DNS很特殊，運行在權威根模式
下，那麼怎麼解決這個問題呢？
（強烈反對刪除"."根區，將來可能會有
意外驚喜）我們必須要保持首選DNS是內部的，因為內部DNS解析問題比
外部嚴重，將導致活動目錄故障。

建議將ISA Server裝上一個只緩存的DNS，由於ISA計算機上的DNS是
獨立模式的可以設置轉發器，將外部ISP的DNS加入其中，將內部所有計
算機包括域控制器的首選DNS設為ISA計算機——但這樣不還是沒有解決
內部域名的解析問題嗎？
因此，將內部所有計算機的輔助DNS設置為內部
的DNS防止ISA萬一壞了因只設了一個DNS造成內部域名解析失敗（活動
目錄故障），然後在內部DNS與ISA上的DNS之間建立一個區域傳送（當
然ISA的DNS中的正向搜索中的那個是輔助區域，內部的是標准區域或活
動目錄集成區域）。

如此設置，保證能解決內外的DNS問題並提供DNS容
錯，由於ISA的DNS還順便緩存了很多Internet上的DNS映射，會略微加
快上網的速度，並且在ISP的單純DNS故障時，仍然讓內部客戶能夠通過
域名而非IP的方式訪問部分網站。

其中第2點的想法可以變向用於解決其它問題