一����、ISA Server 2006操作環(huán)境準(zhǔn)備
1、ISA Server 2006簡介
微軟Internet Security and Acceleration (ISA) Server 2006是當(dāng)前被廣泛應(yīng)用的企業(yè)邊界網(wǎng)絡(luò)安全解決方案��,它能夠保護(hù)企業(yè)的關(guān)鍵應(yīng)用程序免受來自因特網(wǎng)的威脅�。ISA Server 2006能夠提供安全的應(yīng)用程序連接和數(shù)據(jù)訪問,通過對企業(yè)網(wǎng)絡(luò)層提供全狀態(tài)的包過濾����、應(yīng)用程序過濾以及統(tǒng)一的發(fā)布工具,對企業(yè)整個網(wǎng)絡(luò)環(huán)境內(nèi)的應(yīng)用程序�����、服務(wù)和數(shù)據(jù)提供安全的連接����,從而為您的業(yè)務(wù)開展提供有力的保障����。ISA Server通過一個統(tǒng)一的防火墻和虛擬專用網(wǎng)絡(luò)(VPN)架構(gòu)��,以簡化的管理來優(yōu)化企業(yè)整體的網(wǎng)絡(luò)環(huán)境����,降低企業(yè)的IT風(fēng)險和成本,把惡意軟件和入侵行為拒絕在企業(yè)的邊界之外����。
針對ISA Server 2006已經(jīng)廣泛被應(yīng)用的事實,本文將針對ISA Server操作過程中較為廣泛出現(xiàn)的問題以及相應(yīng)的解決方法��,致力于提供能夠?qū)嶋H解決用戶應(yīng)用過程問題的方法�����。本文面對的對象是已經(jīng)完成了ISA Server的安裝����、配置等工作,而且假設(shè)用戶在使用的過程中遇到了哪些問題�,本文將對這些問題做出解答。
下面將簡述筆者使用的實驗環(huán)境,為快速部署企業(yè)級的ISA Server 2006應(yīng)用環(huán)境而避免較為繁瑣的網(wǎng)絡(luò)�����、應(yīng)用軟件配置�����,筆者采用了ISA Server 2006 Hands-On Labs虛擬機實驗環(huán)境����,以下是簡單的網(wǎng)絡(luò)拓?fù)鋱D:
 |
|
ISA Server 2006 Hands-On Labs網(wǎng)絡(luò)拓?fù)鋱D |
2����、疑難問題解決工具
微軟提供了一款名為ISA Server Best Practices Analyzer的工作用以進(jìn)行ISA Server的疑難問題解決,該工具能夠掃描本地ISA Server計算機上的配置設(shè)置��,并報告未施行推薦的最佳實踐的事件��,它能夠在任何安裝有微軟.NET Framework 1.1的電腦上運行�����,而且能夠?qū)σ韵掳姹镜腎SA Server進(jìn)行掃描:
ISA Server 2004 Standard Edtion���;
ISA Server 2004 Enterprise Edtion�;
ISA Server 2006 Standard Edtion;
ISA Server 2006 Enterprise Edtion��;
讀者可以通過以下步驟來部署并使用該工具:
1)下載ISA Server Best Practices Analyzer從以下鏈接:Microsoft Download Center��,安裝文件被拷貝到:%SystemDrive%\program files\IsaBPA目錄當(dāng)中�����;
2)從“開始”菜單啟動該程序���,點“開始”���、“所有程序”、“Microsoft ISA Server”�、“ISA Tools”、“ISA Server Best Practices Analyzer”��,然后點擊“開始掃描”來運行該工具��。
3)復(fù)查結(jié)果并解決所有問題��,當(dāng)運行ISA Server Best Practices Analyzer的時候�����,每個錯誤或者警告都有一個相關(guān)的幫助主題,其中包括了如何解決問題的詳細(xì)指導(dǎo)����。
對于ISA Server企業(yè)版而言�,對ISA陣列當(dāng)中的每個成員都安裝ISA Server Best Practices Analyzer工具。
二��、SSL認(rèn)證疑難問題解決
1�����、SSL認(rèn)證應(yīng)用場景
安全套接層(SSL)服務(wù)器認(rèn)證在一下ISA 服務(wù)器發(fā)布場景中廣泛應(yīng)用:
1)與服務(wù)器發(fā)布規(guī)則一起發(fā)布
ISA Server通過服務(wù)器發(fā)布來處理對內(nèi)部服務(wù)器的入站請求�����,內(nèi)部服務(wù)器通過在客戶端請求的網(wǎng)絡(luò)地址和實際被發(fā)布的服務(wù)器地址之間建立網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)關(guān)系的機制而得到保護(hù)�。對外發(fā)布的IP地址事實上是部署ISA Server的服務(wù)器,從而保護(hù)企業(yè)的內(nèi)部資源����。服務(wù)器的發(fā)布并不具備類Web發(fā)布當(dāng)中的超文本傳輸協(xié)議(HTTP)或安全的超文本傳輸協(xié)議(HTTPS)的優(yōu)勢。在這種發(fā)布規(guī)則下�����,ISA Server不提供應(yīng)用層傳輸過濾的功能。
服務(wù)器的發(fā)布規(guī)則被應(yīng)用于發(fā)布基于除HTTP和HTTPS協(xié)議之外的協(xié)議����,如運行微軟SQL Server的計算機。當(dāng)服務(wù)器通過一個安全的SSL連接進(jìn)行發(fā)布時��,用戶SSL服務(wù)器認(rèn)證在發(fā)布的服務(wù)器上進(jìn)行���,而不會在安裝ISA Server的計算機進(jìn)行SSL認(rèn)證��。
2)與Web發(fā)布規(guī)則一起發(fā)布
Web發(fā)布方式是在發(fā)布HTTP和HTTPS相關(guān)的協(xié)議時推薦的發(fā)布方式�����,如微軟Outlook Web Access服務(wù)器等����,Web發(fā)布規(guī)則提供了一系列的服務(wù)器發(fā)布優(yōu)勢���,包括在HTTP數(shù)據(jù)包發(fā)布之前進(jìn)行加密和數(shù)據(jù)檢驗操作等��、來自對已發(fā)布的Web站點的Web響應(yīng)緩存����、ISA Server客戶端認(rèn)證以及對于基于HTTP和HTTPS的數(shù)據(jù)被進(jìn)入內(nèi)網(wǎng)之前進(jìn)行的Web應(yīng)用程序?qū)觽鬏斶^濾等。
2�����、使用SSL認(rèn)證的常見問題和解決方法
1)問題:當(dāng)我生成一個認(rèn)證簽名請求(Certificate Signing Request���,CSR)時,我應(yīng)該在“通用名稱”一欄輸入什么���?
解決方法:
通用名稱一欄應(yīng)當(dāng)包括域或服務(wù)器的名稱��,在名稱中不要包括http://或者任何子目錄的標(biāo)識符“/”在域名之后����,同時不要添加端口名稱���。正確的方式為:www.mydomain.com�,mydomain.com����,以及secure.mydomain.com等���。
2)問題:500 Internal Error-The target principal name is incorrect的錯誤原因是什么?
解決方法:
此錯誤在SSL客戶端向ISA Server請求的名稱和在Web站點認(rèn)證的通用名稱不一致的情況下發(fā)生�����,請按照以下建議來檢查認(rèn)證名稱:
a����、對于在ISA Server計算機上的證書而言,其名稱必須與客戶端請求的名稱一致����;
b、對于在發(fā)布的Web服務(wù)器上的證書而言�����,其名稱必須與顯示在發(fā)布規(guī)則上的“目的證書”名稱一致����;
c、對于在服務(wù)器發(fā)布場景中的Web服務(wù)器上的認(rèn)證��,認(rèn)證必須與用戶用以連接到服務(wù)器的證書名稱一致��。
為排除錯誤,讀者可以選擇或者獲得一個與請求的名稱相一致的證書�����,或者修改被請求的名稱以滿足通用名稱��。另外����,確保ISA Server能夠解析發(fā)布的Web站點的IP地址。如果讀者修改了“目標(biāo)證書”的名稱���,一種確保這一名稱能夠被解析的方法是添加一個主機文件到ISA Server計算機的以下目錄:$System/system32\drivers\etc\hosts當(dāng)中����,用以進(jìn)行名稱和IP地址匹配�。
3)問題:如何使用同樣的IP地址和端口���、不同的證書來發(fā)布多個SSL站點�����?
解決方法:
用戶只能對于一個監(jiān)聽器使用一個SSL證書�����,如果所有的站點使用同樣的域名進(jìn)行發(fā)布�����,您可以使用一個統(tǒng)配證書���,然后使用一個單獨的IP地址和單獨的監(jiān)聽器來發(fā)布多個站點����。例如如果您嘗試發(fā)布以下三個站點:OWA�����、WebSite1��、WebSite2到域domain.com當(dāng)中�����,您可以在ISA Server計算機上為該域申請一個統(tǒng)配證書���。
4)問題:我在我的IIS 4.0Web站點上安裝了一個證書����,并到導(dǎo)出到ISA Server當(dāng)中,當(dāng)我嘗試選擇Web監(jiān)聽器當(dāng)中的證書的時候��,有一個消息框彈出說沒有認(rèn)證被安裝�。
解決方法:
當(dāng)從ISS 4.0導(dǎo)入證書的時候并不會自動地生成.pfx格式的文件,而且微軟Windows Server 2003并不能識別它是一個證書�。為解決該問題,首先安裝IIS 6.0�����,然后把證書從IIS 4.0導(dǎo)入到IIS 6.0��,最后把證書從IIS 6.0中導(dǎo)出并安裝在ISA Server中���。
5)問題:在使用統(tǒng)配證書時遇到了以下錯誤:500 Internet Server Error-The target principal name is incorrect���。
解決方法:
ISA Server 2006支持在發(fā)布的服務(wù)器上使用統(tǒng)配證書�,當(dāng)使用HTTPS到HTTPS的橋接時,不能使用統(tǒng)配證書來授權(quán)后端的Web服務(wù)器�,而應(yīng)在內(nèi)部的Web服務(wù)器上,創(chuàng)建一個新的符合內(nèi)部Web服務(wù)器名稱的證書��,作為針對Web發(fā)布規(guī)則中的“目的證書”
6)問題:在發(fā)布基于HTTP的遠(yuǎn)程過程調(diào)用(Remote Procedure Call,RPC)的時候遇到以下錯誤:500 Internet Server Error-The target principal name is incorrect���,但客戶請求的名稱與ISA Server計算機上的證書名稱一樣����。
解決方法:
當(dāng)在Exchange Server設(shè)置的“連接”標(biāo)簽中創(chuàng)建一個新的“展望”屬性時����,用戶需要點擊“交換代理設(shè)置”來指定基于HTTP設(shè)置的RPC。通過“使用這個URL來連接到Exchange代理服務(wù)器”��,確定輸入了與證書中顯示的一樣的名字�,選擇“當(dāng)通過SSL連接時總是通過認(rèn)證”,然后在“代理服務(wù)器首要名稱”中再次輸入顯示在證書中的通用名稱�����。例如�,如果客戶端用以訪問這一站點的通用證書名稱為FQDN,用戶需要以msstd:comman name的格式輸入�����。
如果這一錯誤在使用統(tǒng)配證書的時候出現(xiàn),確�����!按矸⻊(wù)器首要名稱”展望設(shè)置被定義為msstd:*domain.com��,而不是server.domain.com���。
7)問題:配置過程中遇到以下消息:500 Internal Server Error. The certificate chain was issued by an authority that is not trusted.
解決方法:
ISA Server必須信任來自發(fā)布的服務(wù)器上的證書��,確保CA證書在ISA Server信任的跟認(rèn)證授權(quán)認(rèn)證庫���。
8)問題:當(dāng)創(chuàng)建使用證書的Web監(jiān)聽器時,遇到以下消息:There are no certificates configured on this server. 而事實上已經(jīng)有一個證書�����,但為什么不可以呢�����?
解決方法:
這一消息可能同時還會在事件瀏覽器中指明證書的私鑰無法被讀取���,該錯誤可能在以下情況中出現(xiàn):
SSL證書和它相應(yīng)的私鑰未被導(dǎo)入到ISA Server計算機上正確的證書庫中,SSL證書被從一個證書存儲庫中移動到了另外的證書庫中,導(dǎo)致SSL證書與它相應(yīng)的私鑰分離��。當(dāng)從Web服務(wù)器中導(dǎo)出證書的時候����,用戶可能并不確定私鑰也應(yīng)該被導(dǎo)出來。
檢查私鑰是否被導(dǎo)出�,然后檢查證書是否在本地計算機帳號下導(dǎo)入到了專有的存儲庫中。
9)問題:遇到以下消息:500 Internal Server Error. The certificate is revoked.
解決方法:
為確保CA公鑰基礎(chǔ)架構(gòu)的統(tǒng)一性��,CA管理員需要在確定的該證書不再可用的情況下才能吊銷該證書����。當(dāng)一個證書被吊銷后,該證書將會被添加到證書吊銷列表(Certificate Revocation List�����,CRL)����。CA管理中心階段性地發(fā)布一個更新過的CRL。CRL分布點被用以提供一個證書檢驗器��,該檢驗器用以回復(fù)當(dāng)前的CRL���。這一錯誤在根證書無能找到一個CRL的分布點或者證書已經(jīng)被吊銷的情況下發(fā)生��。
10)問題:想要使用有多個通用名稱在內(nèi)的證書����,例如https://servername和http://www.server_name.com,ISA Server能夠傳遞多個通用名稱嗎�?
解決方法:
不可以,ISA Server只能夠引用證書當(dāng)中的第一個通用名稱��,而且不支持多個名稱��。
三�、使用IPSec的VPN疑難問題解決
1、檢查模式完整性事件
它對于判斷主模式和快速模式這兩種模式中哪種IPSec通信的模式是有缺陷的�,有多種方法來檢查主模式或快速模式的狀態(tài)或者是否失敗,包括:
1)啟用監(jiān)控以確保IPSec相關(guān)的事件被記錄��;
2)使用IP安全監(jiān)控來瀏覽IPSec信息�;
3)使用一個Oakley日志文件,但Oakley日志文件不會在Windows Server Longhorn或者Windows Vista操作系統(tǒng)下產(chǎn)生�。
2、審計IPSec事件
因特網(wǎng)密鑰轉(zhuǎn)換(Internet Key Exchange�,IKE)事件將會被記錄到安全日志中,IKE事件的分類同樣被用以審計登錄事件而不僅僅是IPSec���,本地計算機的系統(tǒng)管理員可以通過以下方法啟用本地計算機日志:
為本地計算機啟用日志:
1)在“控制面板”中�����,雙擊“管理工具”���;
2)雙擊“本地安全策略”;
3)在控制臺目錄中�����,展開“本地策略”��,然后點擊“審計策略”���;
4)在細(xì)節(jié)面板中����,雙擊“審計登錄事件”��,如果要審計成功的嘗試����,選中“成功”復(fù)選框�����,如果要審計失敗的嘗試���,選中“失敗”復(fù)選框。
當(dāng)啟用成功和失敗審計之后�,IPSec將記錄成功每次主模式或快速模式通信的成功或失敗的記錄,而且把每次通信的創(chuàng)建和結(jié)束事件處理為獨立的事件�����。但是啟用這種類型的審計會導(dǎo)致安全日志充滿了IKE事件���。比如����,對于連接到Internet的服務(wù)器而言���,對IKE協(xié)議的攻擊可能導(dǎo)致安全日志充滿IKE事件的記錄�。IKE事件也可能充滿使用IPSec來確保到多個客戶端的傳輸?shù)姆⻊?wù)器上的安全日志���,為避免這樣的事情發(fā)生���,系統(tǒng)管理員可以通過創(chuàng)建以下注冊表鍵來禁用在安全日志中對IKE事件的審計��。
在安全日志中禁用IKE事件審計:
1)點“開始”�����,然后點“運行”;
2)在“打開”一欄中��,輸入“regedit”���,然后點“確定”�;
3)展開“HKEY_LOCAL_MACHINE”���,展開“System”���,展開“CurrentControlSet”,然后展開“Control”�����;
4)右擊“LSA”����,指向“New”����,然后點“Key”�����;
5)為該鍵輸入“DisableIKEAudits”的名稱��;
6)在細(xì)節(jié)面板中���,右擊默認(rèn)值��,然后點“Modify”��;
7)在“ValueData”中�����,輸入“1”�����,然后點“確定”�;
8)推出注冊表編輯器。
注意:不正確的注冊表修改可能對系統(tǒng)帶來很多的危害�,在對注冊表做任何修改之前,系統(tǒng)管理員應(yīng)該備份任何對計算機有價值的數(shù)據(jù)����。
在對注冊表進(jìn)行了以上修改之后,系統(tǒng)管理員必須重啟計算機或者通過在命令行中運行以下命令來重啟IPSec服務(wù):net stop policyagent和net start policyagent��。停止和重啟IPSec服務(wù)可能會斷開該計算機對外所有采用IPSec進(jìn)行的連接��。
3��、IP安全監(jiān)視器
在微軟Windows Server 2003和Windows XP操作系統(tǒng)中���,IP安全監(jiān)視器被部署為微軟管理控制臺(Microsoft Management Console,MMC)的一個管理單元��,讀者可以通過以下步驟來瀏覽IP安全監(jiān)視器:
1)點“開始”�����,然后點“運行”����;
2)在“運行”對話框中�����,輸入“MMC”�����,然后點“確定”��;
3)點“文件”菜單����,然后點“添加/刪除管理單元”����;
4)在“添加/刪除管理單元”對話框中,點“添加”����;
5)在“添加/刪除管理單元”的獨立對話框中,從管理單元列表中選擇“IP安全監(jiān)視器”���,然后點“添加”��,點“關(guān)閉”來關(guān)閉“添加/刪除管理單元”的獨立對話框��,然后在“添加/刪除管理單元”對話框中點“確定”����;
6)在“文件”菜單中,點“保存”來保存控制臺設(shè)置并指定一個要保存的名稱��;
7)在“IP安全監(jiān)視器”控制臺中����,點“添加計算機”來添加本地計算機或者遠(yuǎn)程計算機;
8)要瀏覽主模式的細(xì)節(jié)�����,展開想要瀏覽IPSec信息的計算機�����,然后展開“主模式”����,展開“安全相關(guān)”并確定在這兩個VPN端點之間是否有關(guān)聯(lián)���;
9)對“快速模式”重復(fù)同樣的過程�。
IP安全監(jiān)控器同樣允許用戶來瀏覽關(guān)于活動IPSec策略的細(xì)節(jié),這些策略往往被用于域或者本地�,用以瀏覽快速模式和主模式的統(tǒng)計數(shù)據(jù),以及IPSec安全關(guān)聯(lián)性(Security Associations��,SAs)�����。IP安全監(jiān)控器使用戶能夠搜索特定的主模式或者快速模式過濾器���,為解決復(fù)雜的IPSec策略設(shè)計���,讀者可以使用IP安全監(jiān)控器來搜索所有符合一個特定傳輸類型的過濾器。
4����、Oakley日志文件
盡管在事件瀏覽器中啟用審計、日志以及瀏覽IKE事件是最簡單的解決主模式或快速模式通信出錯的最簡單的方法�,但在一些情景下用戶需要更為詳細(xì)的分析才能夠解決復(fù)雜的問題。IKE跟蹤日志(systemroot\Debug\Oakley.log)是一個詳細(xì)的IKE內(nèi)在可操作的解決疑難問題的日志�����,該日志有一個固定為50,000行的大小,而且在必要的情況下將會重寫��。每次IPSec服務(wù)啟動時�,就會創(chuàng)建一個新的Oakley.log文件,而之前版本的Oakley.log文件將會被保存為Oakley.log.sav文件���,當(dāng)Oakley.log文件將要被寫滿的時候�,它將會被保存為Oakley.log.sav文件����,同時將創(chuàng)建一個新的Oakley.log文件。由于很多IKE通信可能同時發(fā)生����,用戶應(yīng)當(dāng)最小化通信的數(shù)量而且應(yīng)當(dāng)在盡可能短的時間內(nèi)記錄日志以獲取更有參考價值的日志文件。在Windows Server 2003操作環(huán)境中����,用戶可以在服務(wù)器運行的過程中動態(tài)地啟用或者禁用IKE跟蹤日志。
5��、VPN網(wǎng)絡(luò)主機之間的ping命令被禁用
1)現(xiàn)象:本地內(nèi)部網(wǎng)絡(luò)的主機不能使用ping命令來找到遠(yuǎn)程IPSec網(wǎng)絡(luò)當(dāng)中的主機���,ping命令顯示以下消息:“與IP安全通信中”�����,而且無法收到響應(yīng)�����。
2)原因:該錯誤在以下情景中出現(xiàn):
a�、在ISA Server VPN網(wǎng)絡(luò)當(dāng)中的計算機嘗試使用ping命令來找到遠(yuǎn)程VPN網(wǎng)絡(luò)當(dāng)中的計算機時�����;
b����、在遠(yuǎn)程計算機上定義ISA Server VPN網(wǎng)絡(luò)的時候,管理員沒有把ISA Server VPN通道終端地址包含進(jìn)來����;
c、遠(yuǎn)程VPN網(wǎng)絡(luò)中的計算機嘗試使用ping命來來找到一個在ISA Server VPN網(wǎng)絡(luò)中的計算機時�;
d、當(dāng)在ISA Server計算機上定義遠(yuǎn)程站點VPN網(wǎng)絡(luò)時��,管理員沒有把遠(yuǎn)程VPN服務(wù)器上的VPN通道終端地址包含進(jìn)來�����。
3)解決方法:
確保在IPSec通道的各個方面定義遠(yuǎn)程VPN站點時添加了VPN通道終端的地址,比如��,如果ISA Server計算機為服務(wù)器A�����,一個第三方的VPN服務(wù)器為服務(wù)器B����,當(dāng)在服務(wù)器B上定義服務(wù)器A的VPN網(wǎng)絡(luò)是,把服務(wù)器A的地址包含為VPN終端����。當(dāng)創(chuàng)建一個代表了在ISA Server管理當(dāng)中的遠(yuǎn)程VPN站點遠(yuǎn)程網(wǎng)絡(luò)對象時,管理員可以通過運行“創(chuàng)建VPN站到站連接向?qū)А眮韯?chuàng)建���,具體操作步驟如下:
a�����、在ISA Server管理面板中�,點“Virtual Private Network(VPN)”節(jié)點����;
b、在“遠(yuǎn)程站點”面板上����,右擊想要創(chuàng)建一個代表遠(yuǎn)程VPN站點的遠(yuǎn)程網(wǎng)絡(luò)對象,然后點“屬性”��;
c����、在“地址”面板上,確認(rèn)IP地址列包括了遠(yuǎn)程網(wǎng)關(guān)IP地址����。
四、ISA Server疑難問題解決參考資源
本文從ISA Server的官方技術(shù)網(wǎng)站上���,總結(jié)了與SSL 認(rèn)證和使用IPSec的VPN相關(guān)的疑難問題及相應(yīng)的解決方法���,但對于ISA Server的應(yīng)用,有著更為廣泛的需要探討的問題���,針對ISA Server配置�、使用過程中出現(xiàn)的問題及其可能的原因,讀者可以通過以下資源獲取更多的參考資料:
微軟TechNet ISA Server站點:http://www.microsoft.com/technet/isa/default.mspx
小 結(jié)
本文首先概述了ISA Server 2006的主要功能��,簡介了ISA Server 2006的疑難問題排除工具:ISA Server Best Practices Analyzer�����,通過對實際應(yīng)用的總結(jié)和來自微軟TechNet ISA Server相關(guān)的應(yīng)用知識總結(jié)����,詳細(xì)介紹了在ISA Server 2006當(dāng)中SSL認(rèn)證和使用IPSec的VPN的應(yīng)用相關(guān)的疑難問題和相應(yīng)的解決方法,對在應(yīng)用ISA Server過程中遇到問題的用戶而言���,提供實際可參考的解決方法�。 |
