您现在的位置是:首页 > IT基础架构 > 网络与安全 >
ISA Server常用疑难解决
2008-09-10 22:06:00作者:Sguy来源:
摘要微软Internet Security and Acceleration (ISA) Server 2006是当前被广泛应用的企业边界网络安全解决方案,它能够保护企业的关键应用程序免受来自因特网的威胁。 ...
一、ISA Server 2006操作环境准备
1、ISA Server 2006简介
微软Internet Security and Acceleration (ISA) Server 2006是当前被广泛应用的企业边界网络安全解决方案,它能够保护企业的关键应用程序免受来自因特网的威胁。ISA Server 2006能够提供安全的应用程序连接和数据访问,通过对企业网络层提供全状态的包过滤、应用程序过滤以及统一的发布工具,对企业整个网络环境内的应用程序、服务和数据提供安全的连接,从而为您的业务开展提供有力的保障。ISA Server通过一个统一的防火墙和虚拟专用网络(VPN)架构,以简化的管理来优化企业整体的网络环境,降低企业的IT风险和成本,把恶意软件和入侵行为拒绝在企业的边界之外。
针对ISA Server 2006已经广泛被应用的事实,本文将针对ISA Server操作过程中较为广泛出现的问题以及相应的解决方法,致力于提供能够实际解决用户应用过程问题的方法。本文面对的对象是已经完成了ISA Server的安装、配置等工作,而且假设用户在使用的过程中遇到了哪些问题,本文将对这些问题做出解答。
下面将简述笔者使用的实验环境,为快速部署企业级的ISA Server 2006应用环境而避免较为繁琐的网络、应用软件配置,笔者采用了ISA Server 2006 Hands-On Labs虚拟机实验环境。
2、疑难问题解决工具
微软提供了一款名为ISA Server Best Practices Analyzer的工作用以进行ISA Server的疑难问题解决,该工具能够扫描本地ISA Server计算机上的配置设置,并报告未施行推荐的最佳实践的事件,它能够在任何安装有微软.NET Framework 1.1的电脑上运行,而且能够对以下版本的ISA Server进行扫描:
ISA Server 2004 Standard Edtion;
ISA Server 2004 Enterprise Edtion;
ISA Server 2006 Standard Edtion;
ISA Server 2006 Enterprise Edtion;
读者可以通过以下步骤来部署并使用该工具:
1)下载ISA Server Best Practices Analyzer从以下链接:Microsoft Download Center,安装文件被拷贝到:%SystemDrive%program filesIsaBPA目录当中;
2)从“开始”菜单启动该程序,点“开始”、“所有程序”、“Microsoft ISA Server”、“ISA Tools”、“ISA Server Best Practices Analyzer”,然后点击“开始扫描”来运行该工具。
3)复查结果并解决所有问题,当运行ISA Server Best Practices Analyzer的时候,每个错误或者警告都有一个相关的帮助主题,其中包括了如何解决问题的详细指导。
对于ISA Server企业版而言,对ISA阵列当中的每个成员都安装ISA Server Best Practices Analyzer工具。
二、SSL认证疑难问题解决
1、SSL认证应用场景
安全套接层(SSL)服务器认证在一下ISA 服务器发布场景中广泛应用:
1)与服务器发布规则一起发布
ISA Server通过服务器发布来处理对内部服务器的入站请求,内部服务器通过在客户端请求的网络地址和实际被发布的服务器地址之间建立网络地址转换(NAT)关系的机制而得到保护。对外发布的IP地址事实上是部署ISA Server的服务器,从而保护企业的内部资源。服务器的发布并不具备类Web发布当中的超文本传输协议(HTTP)或安全的超文本传输协议(HTTPS)的优势。在这种发布规则下,ISA Server不提供应用层传输过滤的功能。
服务器的发布规则被应用于发布基于除HTTP和HTTPS协议之外的协议,如运行微软SQL Server的计算机。当服务器通过一个安全的SSL连接进行发布时,用户SSL服务器认证在发布的服务器上进行,而不会在安装ISA Server的计算机进行SSL认证。
2)与Web发布规则一起发布
Web发布方式是在发布HTTP和HTTPS相关的协议时推荐的发布方式,如微软Outlook Web Access服务器等,Web发布规则提供了一系列的服务器发布优势,包括在HTTP数据包发布之前进行加密和数据检验操作等、来自对已发布的Web站点的Web响应缓存、ISA Server客户端认证以及对于基于HTTP和HTTPS的数据被进入内网之前进行的Web应用程序层传输过滤等。
2、使用SSL认证的常见问题和解决方法
1)问题:当我生成一个认证签名请求(Certificate Signing Request,CSR)时,我应该在“通用名称”一栏输入什么?
解决方法:
通用名称一栏应当包括域或服务器的名称,在名称中不要包括http://或者任何子目录的标识符“/”在域名之后,同时不要添加端口名称。正确的方式为:www.mydomain.com,mydomain.com,以及secure.mydomain.com等。
2)问题:500 Internal Error-The target principal name is incorrect的错误原因是什么?
解决方法:
此错误在SSL客户端向ISA Server请求的名称和在Web站点认证的通用名称不一致的情况下发生,请按照以下建议来检查认证名称:
a、对于在ISA Server计算机上的证书而言,其名称必须与客户端请求的名称一致;
b、对于在发布的Web服务器上的证书而言,其名称必须与显示在发布规则上的“目的证书”名称一致;
c、对于在服务器发布场景中的Web服务器上的认证,认证必须与用户用以连接到服务器的证书名称一致。
为排除错误,读者可以选择或者获得一个与请求的名称相一致的证书,或者修改被请求的名称以满足通用名称。另外,确保ISA Server能够解析发布的Web站点的IP地址。如果读者修改了“目标证书”的名称,一种确保这一名称能够被解析的方法是添加一个主机文件到ISA Server计算机的以下目录:$System/system32driversetchosts当中,用以进行名称和IP地址匹配。
3)问题:如何使用同样的IP地址和端口、不同的证书来发布多个SSL站点?
解决方法:
用户只能对于一个监听器使用一个SSL证书,如果所有的站点使用同样的域名进行发布,您可以使用一个统配证书,然后使用一个单独的IP地址和单独的监听器来发布多个站点。例如如果您尝试发布以下三个站点:OWA、WebSite1、WebSite2到域domain.com当中,您可以在ISA Server计算机上为该域申请一个统配证书。
4)问题:我在我的IIS 4.0Web站点上安装了一个证书,并到导出到ISA Server当中,当我尝试选择Web监听器当中的证书的时候,有一个消息框弹出说没有认证被安装。
解决方法:
当从ISS 4.0导入证书的时候并不会自动地生成.pfx格式的文件,而且微软Windows Server 2003并不能识别它是一个证书。为解决该问题,首先安装IIS 6.0,然后把证书从IIS 4.0导入到IIS 6.0,最后把证书从IIS 6.0中导出并安装在ISA Server中。
5)问题:在使用统配证书时遇到了以下错误:500 Internet Server Error-The target principal name is incorrect。
解决方法:
ISA Server 2006支持在发布的服务器上使用统配证书,当使用HTTPS到HTTPS的桥接时,不能使用统配证书来授权后端的Web服务器,而应在内部的Web服务器上,创建一个新的符合内部Web服务器名称的证书,作为针对Web发布规则中的“目的证书”
6)问题:在发布基于HTTP的远程过程调用(Remote Procedure Call,RPC)的时候遇到以下错误:500 Internet Server Error-The target principal name is incorrect,但客户请求的名称与ISA Server计算机上的证书名称一样。
解决方法:
当在Exchange Server设置的“连接”标签中创建一个新的“展望”属性时,用户需要点击“交换代理设置”来指定基于HTTP设置的RPC。通过“使用这个URL来连接到Exchange代理服务器”,确定输入了与证书中显示的一样的名字,选择“当通过SSL连接时总是通过认证”,然后在“代理服务器首要名称”中再次输入显示在证书中的通用名称。例如,如果客户端用以访问这一站点的通用证书名称为FQDN,用户需要以msstd:comman name的格式输入。
如果这一错误在使用统配证书的时候出现,确保“代理服务器首要名称”展望设置被定义为msstd:*domain.com,而不是server.domain.com。
7)问题:配置过程中遇到以下消息:500 Internal Server Error. The certificate chain was issued by an authority that is not trusted.
解决方法:
ISA Server必须信任来自发布的服务器上的证书,确保CA证书在ISA Server信任的跟认证授权认证库。
8)问题:当创建使用证书的Web监听器时,遇到以下消息:There are no certificates configured on this server. 而事实上已经有一个证书,但为什么不可以呢?
解决方法:
这一消息可能同时还会在事件浏览器中指明证书的私钥无法被读取,该错误可能在以下情况中出现:
SSL证书和它相应的私钥未被导入到ISA Server计算机上正确的证书库中,SSL证书被从一个证书存储库中移动到了另外的证书库中,导致SSL证书与它相应的私钥分离。当从Web服务器中导出证书的时候,用户可能并不确定私钥也应该被导出来。
检查私钥是否被导出,然后检查证书是否在本地计算机帐号下导入到了专有的存储库中。
9)问题:遇到以下消息:500 Internal Server Error. The certificate is revoked.
解决方法:
为确保CA公钥基础架构的统一性,CA管理员需要在确定的该证书不再可用的情况下才能吊销该证书。当一个证书被吊销后,该证书将会被添加到证书吊销列表(Certificate Revocation List,CRL)。CA管理中心阶段性地发布一个更新过的CRL。CRL分布点被用以提供一个证书检验器,该检验器用以回复当前的CRL。这一错误在根证书无能找到一个CRL的分布点或者证书已经被吊销的情况下发生。
10)问题:想要使用有多个通用名称在内的证书,例如https://servername和http://www.server_name.com,ISA Server能够传递多个通用名称吗?
解决方法:
不可以,ISA Server只能够引用证书当中的第一个通用名称,而且不支持多个名称。
三、使用IPSec的VPN疑难问题解决
1、检查模式完整性事件
它对于判断主模式和快速模式这两种模式中哪种IPSec通信的模式是有缺陷的,有多种方法来检查主模式或快速模式的状态或者是否失败,包括:
1)启用监控以确保IPSec相关的事件被记录;
2)使用IP安全监控来浏览IPSec信息;
3)使用一个Oakley日志文件,但Oakley日志文件不会在Windows Server Longhorn或者Windows Vista操作系统下产生。
2、审计IPSec事件
因特网密钥转换(Internet Key Exchange,IKE)事件将会被记录到安全日志中,IKE事件的分类同样被用以审计登录事件而不仅仅是IPSec,本地计算机的系统管理员可以通过以下方法启用本地计算机日志:
为本地计算机启用日志:
1)在“控制面板”中,双击“管理工具”;
2)双击“本地安全策略”;
3)在控制台目录中,展开“本地策略”,然后点击“审计策略”;
4)在细节面板中,双击“审计登录事件”,如果要审计成功的尝试,选中“成功”复选框,如果要审计失败的尝试,选中“失败”复选框。
当启用成功和失败审计之后,IPSec将记录成功每次主模式或快速模式通信的成功或失败的记录,而且把每次通信的创建和结束事件处理为独立的事件。但是启用这种类型的审计会导致安全日志充满了IKE事件。比如,对于连接到Internet的服务器而言,对IKE协议的攻击可能导致安全日志充满IKE事件的记录。IKE事件也可能充满使用IPSec来确保到多个客户端的传输的服务器上的安全日志,为避免这样的事情发生,系统管理员可以通过创建以下注册表键来禁用在安全日志中对IKE事件的审计。
在安全日志中禁用IKE事件审计:
1)点“开始”,然后点“运行”;
2)在“打开”一栏中,输入“regedit”,然后点“确定”;
3)展开“HKEY_LOCAL_MACHINE”,展开“System”,展开“CurrentControlSet”,然后展开“Control”;
4)右击“LSA”,指向“New”,然后点“Key”;
5)为该键输入“DisableIKEAudits”的名称;
6)在细节面板中,右击默认值,然后点“Modify”;
7)在“ValueData”中,输入“1”,然后点“确定”;
8)推出注册表编辑器。
注意:不正确的注册表修改可能对系统带来很多的危害,在对注册表做任何修改之前,系统管理员应该备份任何对计算机有价值的数据。
在对注册表进行了以上修改之后,系统管理员必须重启计算机或者通过在命令行中运行以下命令来重启IPSec服务:net stop policyagent和net start policyagent。停止和重启IPSec服务可能会断开该计算机对外所有采用IPSec进行的连接。
3、IP安全监视器
在微软Windows Server 2003和Windows XP操作系统中,IP安全监视器被部署为微软管理控制台(Microsoft Management Console,MMC)的一个管理单元,读者可以通过以下步骤来浏览IP安全监视器:
1)点“开始”,然后点“运行”;
2)在“运行”对话框中,输入“MMC”,然后点“确定”;
3)点“文件”菜单,然后点“添加/删除管理单元”;
4)在“添加/删除管理单元”对话框中,点“添加”;
5)在“添加/删除管理单元”的独立对话框中,从管理单元列表中选择“IP安全监视器”,然后点“添加”,点“关闭”来关闭“添加/删除管理单元”的独立对话框,然后在“添加/删除管理单元”对话框中点“确定”;
6)在“文件”菜单中,点“保存”来保存控制台设置并指定一个要保存的名称;
7)在“IP安全监视器”控制台中,点“添加计算机”来添加本地计算机或者远程计算机;
8)要浏览主模式的细节,展开想要浏览IPSec信息的计算机,然后展开“主模式”,展开“安全相关”并确定在这两个VPN端点之间是否有关联;
9)对“快速模式”重复同样的过程。
IP安全监控器同样允许用户来浏览关于活动IPSec策略的细节,这些策略往往被用于域或者本地,用以浏览快速模式和主模式的统计数据,以及IPSec安全关联性(Security Associations,SAs)。IP安全监控器使用户能够搜索特定的主模式或者快速模式过滤器,为解决复杂的IPSec策略设计,读者可以使用IP安全监控器来搜索所有符合一个特定传输类型的过滤器。
4、Oakley日志文件
尽管在事件浏览器中启用审计、日志以及浏览IKE事件是最简单的解决主模式或快速模式通信出错的最简单的方法,但在一些情景下用户需要更为详细的分析才能够解决复杂的问题。IKE跟踪日志(systemrootDebugOakley.log)是一个详细的IKE内在可操作的解决疑难问题的日志,该日志有一个固定为50,000行的大小,而且在必要的情况下将会重写。每次IPSec服务启动时,就会创建一个新的Oakley.log文件,而之前版本的Oakley.log文件将会被保存为Oakley.log.sav文件,当Oakley.log文件将要被写满的时候,它将会被保存为Oakley.log.sav文件,同时将创建一个新的Oakley.log文件。由于很多IKE通信可能同时发生,用户应当最小化通信的数量而且应当在尽可能短的时间内记录日志以获取更有参考价值的日志文件。在Windows Server 2003操作环境中,用户可以在服务器运行的过程中动态地启用或者禁用IKE跟踪日志。
5、VPN网络主机之间的ping命令被禁用
1)现象:本地内部网络的主机不能使用ping命令来找到远程IPSec网络当中的主机,ping命令显示以下消息:“与IP安全通信中”,而且无法收到响应。
2)原因:该错误在以下情景中出现:
a、在ISA Server VPN网络当中的计算机尝试使用ping命令来找到远程VPN网络当中的计算机时;
b、在远程计算机上定义ISA Server VPN网络的时候,管理员没有把ISA Server VPN通道终端地址包含进来;
c、远程VPN网络中的计算机尝试使用ping命来来找到一个在ISA Server VPN网络中的计算机时;
d、当在ISA Server计算机上定义远程站点VPN网络时,管理员没有把远程VPN服务器上的VPN通道终端地址包含进来。
3)解决方法:
确保在IPSec通道的各个方面定义远程VPN站点时添加了VPN通道终端的地址,比如,如果ISA Server计算机为服务器A,一个第三方的VPN服务器为服务器B,当在服务器B上定义服务器A的VPN网络是,把服务器A的地址包含为VPN终端。当创建一个代表了在ISA Server管理当中的远程VPN站点远程网络对象时,管理员可以通过运行“创建VPN站到站连接向导”来创建,具体操作步骤如下:
a、在ISA Server管理面板中,点“Virtual Private Network(VPN)”节点;
b、在“远程站点”面板上,右击想要创建一个代表远程VPN站点的远程网络对象,然后点“属性”;
c、在“地址”面板上,确认IP地址列包括了远程网关IP地址。
四、ISA Server疑难问题解决参考资源
本文从ISA Server的官方技术网站上,总结了与SSL 认证和使用IPSec的VPN相关的疑难问题及相应的解决方法,但对于ISA Server的应用,有着更为广泛的需要探讨的问题,针对ISA Server配置、使用过程中出现的问题及其可能的原因,读者可以通过以下资源获取更多的参考资料:
微软TechNet ISA Server站点:http://www.microsoft.com/technet/isa/default.mspx
小 结
本文首先概述了ISA Server 2006的主要功能,简介了ISA Server 2006的疑难问题排除工具:ISA Server Best Practices Analyzer,通过对实际应用的总结和来自微软TechNet ISA Server相关的应用知识总结,详细介绍了在ISA Server 2006当中SSL认证和使用IPSec的VPN的应用相关的疑难问题和相应的解决方法,对在应用ISA Server过程中遇到问题的用户而言,提供实际可参考的解决方法。
(本文不涉密)
责任编辑:
上一篇:ISA Server内网安全方案
下一篇:小心设置启动项 保护系统安全