微軟 ISA SERVER 2004 HANDS ON LABS 教學光碟英文版 (2片裝)


微軟ISASERVER2004HANDSONLABS教學光碟英文版(2片裝)-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=軟體名稱:微軟ISASERVER2004HANDSONLABS教學光碟英文版(2片裝)語系版本:英文版光碟片數:2片裝破解說明:系統支援:WIN9x/WINME/WINNT/WIN2000/WINXP/WIN2003軟體類型:微軟系列軟體硬體需求:PC更新日期:2004/9/15官方網站:http://或者任何子目錄的識別字“/”在功能中文網站:http://或者任何子目錄的識別字“/”在功能軟體簡介:銷售價格:160-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=軟體簡介:微軟ISASERVER2004HANDSONLABS教學光碟英文版(2片裝)【內容說明】★◇以下中文譯文說明僅供參考，請依實際軟體內容為準◇★微軟InternetSecurityandAcceleration(ISA)Server2004是當前被廣泛應用的企業邊界網路安全解決方案，它能夠保護企業的關鍵應用程式免受來自網際網路的威脅。ISAServer2004能夠提供安全的應用程式連接和資料訪問，通過對企業網路層提供全狀態的包過濾、應用程式過濾以及統一的發佈工具，對企業整個網路環境內的應用程式、服務和資料提供安全的連接，從而為您的業務開展提供有力的保障。ISAServer通過一個統一的防火牆和虛擬專用網路（VPN）架構，以簡化的管理來優化企業整體的網路環境，降低企業的IT風險和成本，把惡意軟體和入侵行為拒絕在企業的邊界之外。針對ISAServer2004已經廣泛被應用的事實，本文將針對ISAServer操作過程中較為廣泛出現的問題以及相應的解決方法，致力於提供能夠實際解決用戶應用過程問題的方法。本文面對的物件是已經完成了ISAServer的安裝、配置等工作，而且假設用戶在使用的過程中遇到了哪些問題，本文將對這些問題做出解答。下面將簡述筆者使用的實驗環境，為快速部署企業級的ISAServer2004應用環境而避免較為繁瑣的網路、應用軟體配置，筆者採用了ISAServer2004Hands-OnLabs虛擬機實驗環境。2、疑難問題解決工具微軟提供了一款名為ISAServerBestPracticesAnalyzer的工作用以進行ISAServer的疑難問題解決，該工具能夠掃描本地ISAServer電腦上的配置設置，並報告未施行推薦的最佳實踐的事件，它能夠在任何安裝有微軟.NETFramework1.1的電腦上運行，而且能夠對以下版本的ISAServer進行掃描：ISAServer2004StandardEdtion；ISAServer2004EnterpriseEdtion；ISAServer2004StandardEdtion；ISAServer2004EnterpriseEdtion；讀者可以通過以下步驟來部署並使用該工具：1）下載ISAServerBestPracticesAnalyzer從以下鏈結：MicrosoftDownloadCenter，安裝檔被拷貝到：%SystemDrive%\programfiles\IsaBPA目錄當中；2）從“開始”功能表啟動該程式，點“開始”、“所有程式”、“MicrosoftISAServer”、“ISATools”、“ISAServerBestPracticesAnalyzer”，然後點擊“開始掃描”來運行該工具。3）復查結果並解決所有問題，當運行ISAServerBestPracticesAnalyzer的時候，每個錯誤或者警告都有一個相關的幫助主題，其中包括了如何解決問題的詳細指導。對於ISAServer企業版而言，對ISA陣列當中的每個成員都安裝ISAServerBestPracticesAnalyzer工具。二、SSL認證疑難問題解決1、SSL認證應用場景安全套接層（SSL）伺服器認證在一下ISA伺服器發佈場景中廣泛應用：1）與伺服器發佈規則一起發佈ISAServer通過伺服器發佈來處理對內部伺服器的入站請求，內部伺服器通過在用戶端請求的網路位址和實際被發佈的伺服器位址之間建立網路位址轉換（NAT）關係的機制而得到保護。對外發佈的IP位址事實上是部署ISAServer的伺服器，從而保護企業的內部資源。伺服器的發佈並不具備類Web發佈當中的超文本傳輸協定（HTTP）或安全的超文本傳輸協定（HTTPS）的優勢。在這種發佈規則下，ISAServer不提供應用層傳輸過濾的功能。伺服器的發佈規則被應用於發佈基於除HTTP和HTTPS協定之外的協定，如運行微軟SQLServer的電腦。當伺服器通過一個安全的SSL連接進行發佈時，用戶SSL伺服器認證在發佈的伺服器上進行，而不會在安裝ISAServer的電腦進行SSL認證。2）與Web發佈規則一起發佈Web發佈方式是在發佈HTTP和HTTPS相關的協定時推薦的發佈方式，如微軟OutlookWebAccess伺服器等，Web發佈規則提供了一系列的伺服器發佈優勢，包括在HTTP資料包發佈之前進行加密和資料核對操作等、來自對已發佈的Web站點的Web回應緩存、ISAServer用戶端認證以及對於基於HTTP和HTTPS的資料被進入內網之前進行的Web應用程式層傳輸過濾等。2、使用SSL認證的常見問題和解決方法1）問題：當我生成一個認證簽名請求（CertificateSigningRequest，CSR）時，我應該在“通用名稱”一欄輸入什麼？解決方法：通用名稱一欄應當包括域或伺服器的名稱，在名稱中不要包括http://或者任何子目錄的識別字“/”在功能變數名稱之後，同時不要添加埠名稱。正確的方式為：www.mydomain.com，mydomain.com，以及secure.mydomain.com等。2）問題：500InternalError-Thetargetprincipalnameisincorrect的錯誤原因是什麼？解決方法：此錯誤在SSL用戶端向ISAServer請求的名稱和在Web站點認證的通用名稱不一致的情況下發生，請按照以下建議來檢查認證名稱：a、對於在ISAServer電腦上的證書而言，其名稱必須與用戶端請求的名稱一致；b、對於在發佈的Web伺服器上的證書而言，其名稱必須與顯示在發佈規則上的“目的證書”名稱一致；c、對於在伺服器發佈場景中的Web伺服器上的認證，認證必須與用戶用以連接到伺服器的證書名稱一致。為排除錯誤，讀者可以選擇或者獲得一個與請求的名稱相一致的證書，或者修改被請求的名稱以滿足通用名稱。另外，確保ISAServer能夠解析發佈的Web站點的IP地址。如果讀者修改了“目標證書”的名稱，一種確保這一名稱能夠被解析的方法是添加一個主機檔到ISAServer電腦的以下目錄：$System/system32\drivers\etc\hosts當中，用以進行名稱和IP地址匹配。3）問題：如何使用同樣的IP位址和埠、不同的證書來發佈多個SSL站點？解決方法：用戶只能對於一個監聽器使用一個SSL證書，如果所有的站點使用同樣的功能變數名稱進行發佈，您可以使用一個統配證書，然後使用一個單獨的IP位址和單獨的監聽器來發佈多個站點。例如如果您嘗試發佈以下三個站點：OWA、WebSite1、WebSite2到域domain.com當中，您可以在ISAServer電腦上為該域申請一個統配證書。4）問題：我在我的IIS4.0Web站點上安裝了一個證書，並到導出到ISAServer當中，當我嘗試選擇Web監聽器當中的證書的時候，有一個訊息方塊彈出說沒有認證被安裝。解決方法：當從ISS4.0導入證書的時候並不會自動地生成.pfx格式的檔，而且微軟WindowsServer2003並不能識別它是一個證書。為解決該問題，首先安裝IIS6.0，然後把證書從IIS4.0導入到IIS6.0，最後把證書從IIS6.0中導出並安裝在ISAServer中。5）問題：在使用統配證書時遇到了以下錯誤：500InternetServerError-Thetargetprincipalnameisincorrect。解決方法：ISAServer2004支援在發佈的伺服器上使用統配證書，當使用HTTPS到HTTPS的橋接時，不能使用統配證書來授權後端的Web伺服器，而應在內部的Web伺服器上，創建一個新的符合內部Web伺服器名稱的證書，作為針對Web發佈規則中的“目的證書”6）問題：在發佈基於HTTP的遠端程式呼叫（RemoteProcedureCall，RPC）的時候遇到以下錯誤：500InternetServerError-Thetargetprincipalnameisincorrect，但客戶請求的名稱與ISAServer電腦上的證書名稱一樣。解決方法：當在ExchangeServer設置的“連接”標籤中創建一個新的“展望”屬性時，用戶需要點擊“交換代理設置”來指定基於HTTP設置的RPC。通過“使用這個URL來連接到Exchange代理伺服器”，確定輸入了與證書中顯示的一樣的名字，選擇“當通過SSL連接時總是通過認證”，然後在“代理伺服器首要名稱”中再次輸入顯示在證書中的通用名稱。例如，如果用戶端用以訪問這一站點的通用證書名稱為FQDN，用戶需要以msstd:commanname的格式輸入。如果這一錯誤在使用統配證書的時候出現，確保“代理伺服器首要名稱”展望設置被定義為msstd:*domain.com，而不是server.domain.com。7）問題：配置過程中遇到以下消息：500InternalServerError.Thecertificatechainwasissuedbyanauthoritythatisnottrusted.解決方法：ISAServer必須信任來自發佈的伺服器上的證書，確保CA證書在ISAServer信任的跟認證授權認證庫。8）問題：當創建使用證書的Web監聽器時，遇到以下消息：Therearenocertificatesconfiguredonthisserver.而事實上已經有一個證書，但為什麼不可以呢？解決方法：這一消息可能同時還會在事件流覽器中指明證書的私鑰無法被讀取，該錯誤可能在以下情況中出現：SSL證書和它相應的私鑰未被導入到ISAServer電腦上正確的證書庫中，SSL證書被從一個證書存儲庫中移動到了另外的證書庫中，導致SSL證書與它相應的私鑰分離。當從Web伺服器中導出證書的時候，用戶可能並不確定私鑰也應該被導出來。檢查私鑰是否被導出，然後檢查證書是否在本地電腦帳號下導入到了專有的存儲庫中。9）問題：遇到以下消息：500InternalServerError.Thecertificateisrevoked.解決方法：為確保CA公鑰基礎架構的統一性，CA管理員需要在確定的該證書不再可用的情況下才能吊銷該證書。當一個證書被吊銷後，該證書將會被添加到證書吊銷列表（CertificateRevocationList，CRL）。CA管理中心階段性地發佈一個更新過的CRL。CRL分佈點被用以提供一個證書檢驗器，該檢驗器用以回復當前的CRL。這一錯誤在根證書無能找到一個CRL的分佈點或者證書已經被吊銷的情況下發生。10）問題：想要使用有多個通用名稱在內的證書，例如https://servername和http://www.server_name.com，ISAServer能夠傳遞多個通用名稱嗎？解決方法：不可以，ISAServer只能夠引用證書當中的第一個通用名稱，而且不支持多個名稱。三、使用IPSec的VPN疑難問題解決1、檢查模式完整性事件它對於判斷主模式和快速模式這兩種模式中哪種IPSec通信的模式是有缺陷的，有多種方法來檢查主模式或快速模式的狀態或者是否失敗，包括：1）啟用監控以確保IPSec相關的事件被記錄；2）使用IP安全監控來流覽IPSec資訊；3）使用一個Oakley日誌檔，但Oakley日誌檔不會在WindowsServerLonghorn或者WindowsVista作業系統下產生。2、審計IPSec事件網際網路密鑰轉換（InternetKeyExchange，IKE）事件將會被記錄到安全日誌中，IKE事件的分類同樣被用以審計登錄事件而不僅僅是IPSec，本地電腦的系統管理員可以通過以下方法啟用本地電腦日誌：為本地電腦啟用日誌：1）在“控制面板”中，雙擊“管理工具”；2）雙擊“本地安全策略”；3）在控制臺目錄中，展開“本地策略”，然後點擊“審計策略”；4）在細節面板中，雙擊“審計登錄事件”，如果要審計成功的嘗試，選中“成功”核取方塊，如果要審計失敗的嘗試，選中“失敗”核取方塊。當啟用成功和失敗審計之後，IPSec將記錄成功每次主模式或快速模式通信的成功或失敗的記錄，而且把每次通信的創建和結束事件處理為獨立的事件。但是啟用這種類型的審計會導致安全日誌充滿了IKE事件。比如，對於連接到Internet的伺服器而言，對IKE協議的攻擊可能導致安全日誌充滿IKE事件的記錄。IKE事件也可能充滿使用IPSec來確保到多個用戶端的傳輸的伺服器上的安全日誌，為避免這樣的事情發生，系統管理員可以通過創建以下註冊表鍵來禁用在安全日誌中對IKE事件的審計。在安全日誌中禁用IKE事件審計：1）點“開始”，然後點“運行”；2）在“打開”一欄中，輸入“regedit”，然後點“確定”；3）展開“HKEY_LOCAL_MACHINE”，展開“System”，展開“CurrentControlSet”，然後展開“Control”；4）右擊“LSA”，指向“New”，然後點“Key”；5）為該鍵輸入“DisableIKEAudits”的名稱；6）在細節面板中，右擊預設值，然後點“Modify”；7）在“ValueData”中，輸入“1”，然後點“確定”；8）推出註冊表編輯器。注意：不正確的註冊表修改可能對系統帶來很多的危害，在對註冊表做任何修改之前，系統管理員應該備份任何對電腦有價值的資料。在對註冊表進行了以上修改之後，系統管理員必須重啟電腦或者通過在命令行中運行以下命令來重啟IPSec服務：netstoppolicyagent和netstartpolicyagent。停止和重啟IPSec服務可能會斷開該電腦對外所有採用IPSec進行的連接。3、IP安全監視器在微軟WindowsServer2003和WindowsXP作業系統中，IP安全監視器被部署為微軟管理控制臺（MicrosoftManagementConsole，MMC）的一個管理單元，讀者可以通過以下步驟來流覽IP安全監視器：1）點“開始”，然後點“運行”；2）在“運行”對話方塊中，輸入“MMC”，然後點“確定”；3）點“檔”功能表，然後點“添加/刪除管理單元”；4）在“添加/刪除管理單元”對話方塊中，點“添加”；5）在“添加/刪除管理單元”的獨立對話方塊中，從管理單元列表中選擇“IP安全監視器”，然後點“添加”，點“關閉”來關閉“添加/刪除管理單元”的獨立對話方塊，然後在“添加/刪除管理單元”對話方塊中點“確定”；6）在“檔”功能表中，點“保存”來保存控制臺設置並指定一個要保存的名稱；7）在“IP安全監視器”控制臺中，點“添加電腦”來添加本地電腦或者遠端電腦；8）要流覽主模式的細節，展開想要流覽IPSec資訊的電腦，然後展開“主模式”，展開“安全相關”並確定在這兩個VPN端點之間是否有關聯；9）對“快速模式”重複同樣的過程。IP安全監控器同樣允許用戶來流覽關於活動IPSec策略的細節，這些策略往往被用於域或者本地，用以流覽快速模式和主模式的統計資料，以及IPSec安全關聯性（SecurityAssociations，SAs）。IP安全監控器使用戶能夠搜索特定的主模式或者快速模式篩檢程式，為解決複雜的IPSec策略設計，讀者可以使用IP安全監控器來搜索所有符合一個特定傳輸類型的篩檢程式。4、Oakley日誌檔儘管在事件流覽器中啟用審計、日誌以及流覽IKE事件是最簡單的解決主模式或快速模式通信出錯的最簡單的方法，但在一些情景下用戶需要更為詳細的分析才能夠解決複雜的問題。IKE跟蹤日誌（systemroot\Debug\Oakley.log）是一個詳細的IKE內在可操作的解決疑難問題的日誌，該日誌有一個固定為50,000行的大小，而且在必要的情況下將會重寫。每次IPSec服務啟動時，就會創建一個新的Oakley.log檔，而之前版本的Oakley.log檔將會被保存為Oakley.log.sav文件，當Oakley.log檔將要被寫滿的時候，它將會被保存為Oakley.log.sav檔，同時將創建一個新的Oakley.log文件。由於很多IKE通信可能同時發生，用戶應當最小化通信的數量而且應當在盡可能短的時間內記錄日誌以獲取更有參考價值的日誌檔。在WindowsServer2003操作環境中，用戶可以在伺服器運行的過程中動態地啟用或者禁用IKE跟蹤日誌。5、VPN網路主機之間的ping命令被禁用1）現象：本地內部網路的主機不能使用ping命令來找到遠端IPSec網路當中的主機，ping命令顯示以下消息：“與IP安全通信中”，而且無法收到響應。2）原因：該錯誤在以下情景中出現：a、在ISAServerVPN網路當中的電腦嘗試使用ping命令來找到遠端VPN網路當中的電腦時；b、在遠端電腦上定義ISAServerVPN網路的時候，管理員沒有把ISAServerVPN通道終端位址包含進來；c、遠端VPN網路中的電腦嘗試使用ping命來來找到一個在ISAServerVPN網路中的電腦時；d、當在ISAServer電腦上定義遠端站點VPN網路時，管理員沒有把遠端VPN伺服器上的VPN通道終端位址包含進來。3）解決方法：確保在IPSec通道的各個方面定義遠端VPN站點時添加了VPN通道終端的位址，比如，如果ISAServer電腦為伺服器A，一個第三方的VPN伺服器為伺服器B，當在伺服器B上定義伺服器A的VPN網路是，把伺服器A的位址包含為VPN終端。當創建一個代表了在ISAServer管理當中的遠端VPN站點遠端網路物件時，管理員可以通過運行“創建VPN站到站連接嚮導”來創建，具體操作步驟如下：a、在ISAServer管理面板中，點“VirtualPrivateNetwork（VPN）”節點；b、在“遠端站點”面板上，右擊想要創建一個代表遠端VPN站點的遠端網路物件，然後點“屬性”；c、在“地址”面板上，確認IP地址列包括了遠端閘道IP地址。-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=