一���、ISA Server 2006操作環(huán)境準備
1�、ISA Server 2006簡介
微軟Internet Security and Acceleration (ISA) Server 2006是當前被廣泛應用的企業(yè)邊界網絡安全解決方案��,它能夠保護企業(yè)的關鍵應用程序免受來自因特網的威脅���。ISA Server 2006能夠提供安全的應用程序連接和數據訪問�,通過對企業(yè)網絡層提供全狀態(tài)的包過濾�、應用程序過濾以及統(tǒng)一的發(fā)布工具,對企業(yè)整個網絡環(huán)境內的應用程序�����、服務和數據提供安全的連接�,從而為您的業(yè)務開展提供有力的保障。ISA Server通過一個統(tǒng)一的防火墻和虛擬專用網絡(VPN)架構�,以簡化的管理來優(yōu)化企業(yè)整體的網絡環(huán)境,降低企業(yè)的IT風險和成本���,把惡意軟件和入侵行為拒絕在企業(yè)的邊界之外���。
針對ISA Server 2006已經廣泛被應用的事實�,本文將針對ISA Server操作過程中較為廣泛出現的問題以及相應的解決方法����,致力于提供能夠實際解決用戶應用過程問題的方法。本文面對的對象是已經完成了ISA Server的安裝��、配置等工作����,而且假設用戶在使用的過程中遇到了哪些問題�����,本文將對這些問題做出解答���。
下面將簡述筆者使用的實驗環(huán)境�,為快速部署企業(yè)級的ISA Server 2006應用環(huán)境而避免較為繁瑣的網絡�����、應用軟件配置,筆者采用了ISA Server 2006 Hands-On Labs虛擬機實驗環(huán)境���,以下是簡單的網絡拓撲圖:
 |
|
ISA Server 2006 Hands-On Labs網絡拓撲圖 |
2���、疑難問題解決工具
微軟提供了一款名為ISA Server Best Practices Analyzer的工作用以進行ISA Server的疑難問題解決,該工具能夠掃描本地ISA Server計算機上的配置設置�,并報告未施行推薦的最佳實踐的事件,它能夠在任何安裝有微軟.NET Framework 1.1的電腦上運行���,而且能夠對以下版本的ISA Server進行掃描:
ISA Server 2004 Standard Edtion����;
ISA Server 2004 Enterprise Edtion��;
ISA Server 2006 Standard Edtion���;
ISA Server 2006 Enterprise Edtion�����;
讀者可以通過以下步驟來部署并使用該工具:
1)下載ISA Server Best Practices Analyzer從以下鏈接:Microsoft Download Center��,安裝文件被拷貝到:%SystemDrive%\program files\IsaBPA目錄當中���;
2)從“開始”菜單啟動該程序�����,點“開始”�、“所有程序”��、“Microsoft ISA Server”�����、“ISA Tools”�、“ISA Server Best Practices Analyzer”�����,然后點擊“開始掃描”來運行該工具�����。
3)復查結果并解決所有問題���,當運行ISA Server Best Practices Analyzer的時候����,每個錯誤或者警告都有一個相關的幫助主題,其中包括了如何解決問題的詳細指導��。
對于ISA Server企業(yè)版而言�����,對ISA陣列當中的每個成員都安裝ISA Server Best Practices Analyzer工具�。
二、SSL認證疑難問題解決
1���、SSL認證應用場景
安全套接層(SSL)服務器認證在一下ISA 服務器發(fā)布場景中廣泛應用:
1)與服務器發(fā)布規(guī)則一起發(fā)布
ISA Server通過服務器發(fā)布來處理對內部服務器的入站請求����,內部服務器通過在客戶端請求的網絡地址和實際被發(fā)布的服務器地址之間建立網絡地址轉換(NAT)關系的機制而得到保護����。對外發(fā)布的IP地址事實上是部署ISA Server的服務器,從而保護企業(yè)的內部資源��。服務器的發(fā)布并不具備類Web發(fā)布當中的超文本傳輸協(xié)議(HTTP)或安全的超文本傳輸協(xié)議(HTTPS)的優(yōu)勢���。在這種發(fā)布規(guī)則下���,ISA Server不提供應用層傳輸過濾的功能�����。
服務器的發(fā)布規(guī)則被應用于發(fā)布基于除HTTP和HTTPS協(xié)議之外的協(xié)議����,如運行微軟SQL Server的計算機�����。當服務器通過一個安全的SSL連接進行發(fā)布時�����,用戶SSL服務器認證在發(fā)布的服務器上進行��,而不會在安裝ISA Server的計算機進行SSL認證�����。
2)與Web發(fā)布規(guī)則一起發(fā)布
Web發(fā)布方式是在發(fā)布HTTP和HTTPS相關的協(xié)議時推薦的發(fā)布方式�,如微軟Outlook Web Access服務器等�����,Web發(fā)布規(guī)則提供了一系列的服務器發(fā)布優(yōu)勢,包括在HTTP數據包發(fā)布之前進行加密和數據檢驗操作等����、來自對已發(fā)布的Web站點的Web響應緩存、ISA Server客戶端認證以及對于基于HTTP和HTTPS的數據被進入內網之前進行的Web應用程序層傳輸過濾等�。
2、使用SSL認證的常見問題和解決方法
1)問題:當我生成一個認證簽名請求(Certificate Signing Request���,CSR)時���,我應該在“通用名稱”一欄輸入什么?
解決方法:
通用名稱一欄應當包括域或服務器的名稱����,在名稱中不要包括http://或者任何子目錄的標識符“/”在域名之后,同時不要添加端口名稱�����。正確的方式為:www.mydomain.com��,mydomain.com�,以及secure.mydomain.com等�����。
2)問題:500 Internal Error-The target principal name is incorrect的錯誤原因是什么�?
解決方法:
此錯誤在SSL客戶端向ISA Server請求的名稱和在Web站點認證的通用名稱不一致的情況下發(fā)生���,請按照以下建議來檢查認證名稱:
a���、對于在ISA Server計算機上的證書而言,其名稱必須與客戶端請求的名稱一致���;
b��、對于在發(fā)布的Web服務器上的證書而言���,其名稱必須與顯示在發(fā)布規(guī)則上的“目的證書”名稱一致;
c�����、對于在服務器發(fā)布場景中的Web服務器上的認證��,認證必須與用戶用以連接到服務器的證書名稱一致�����。
為排除錯誤���,讀者可以選擇或者獲得一個與請求的名稱相一致的證書�,或者修改被請求的名稱以滿足通用名稱����。另外,確保ISA Server能夠解析發(fā)布的Web站點的IP地址�����。如果讀者修改了“目標證書”的名稱����,一種確保這一名稱能夠被解析的方法是添加一個主機文件到ISA Server計算機的以下目錄:$System/system32\drivers\etc\hosts當中,用以進行名稱和IP地址匹配�����。
3)問題:如何使用同樣的IP地址和端口�����、不同的證書來發(fā)布多個SSL站點?
解決方法:
用戶只能對于一個監(jiān)聽器使用一個SSL證書����,如果所有的站點使用同樣的域名進行發(fā)布,您可以使用一個統(tǒng)配證書�,然后使用一個單獨的IP地址和單獨的監(jiān)聽器來發(fā)布多個站點。例如如果您嘗試發(fā)布以下三個站點:OWA���、WebSite1����、WebSite2到域domain.com當中�����,您可以在ISA Server計算機上為該域申請一個統(tǒng)配證書�����。
4)問題:我在我的IIS 4.0Web站點上安裝了一個證書���,并到導出到ISA Server當中����,當我嘗試選擇Web監(jiān)聽器當中的證書的時候�����,有一個消息框彈出說沒有認證被安裝���。
解決方法:
當從ISS 4.0導入證書的時候并不會自動地生成.pfx格式的文件��,而且微軟Windows Server 2003并不能識別它是一個證書�����。為解決該問題�����,首先安裝IIS 6.0�����,然后把證書從IIS 4.0導入到IIS 6.0�����,最后把證書從IIS 6.0中導出并安裝在ISA Server中�。
5)問題:在使用統(tǒng)配證書時遇到了以下錯誤:500 Internet Server Error-The target principal name is incorrect。
解決方法:
ISA Server 2006支持在發(fā)布的服務器上使用統(tǒng)配證書����,當使用HTTPS到HTTPS的橋接時,不能使用統(tǒng)配證書來授權后端的Web服務器����,而應在內部的Web服務器上,創(chuàng)建一個新的符合內部Web服務器名稱的證書�����,作為針對Web發(fā)布規(guī)則中的“目的證書”
6)問題:在發(fā)布基于HTTP的遠程過程調用(Remote Procedure Call�����,RPC)的時候遇到以下錯誤:500 Internet Server Error-The target principal name is incorrect���,但客戶請求的名稱與ISA Server計算機上的證書名稱一樣��。
解決方法:
當在Exchange Server設置的“連接”標簽中創(chuàng)建一個新的“展望”屬性時����,用戶需要點擊“交換代理設置”來指定基于HTTP設置的RPC。通過“使用這個URL來連接到Exchange代理服務器”���,確定輸入了與證書中顯示的一樣的名字�,選擇“當通過SSL連接時總是通過認證”����,然后在“代理服務器首要名稱”中再次輸入顯示在證書中的通用名稱�。例如,如果客戶端用以訪問這一站點的通用證書名稱為FQDN��,用戶需要以msstd:comman name的格式輸入�。
如果這一錯誤在使用統(tǒng)配證書的時候出現,確���!按矸⻊掌魇滓Q”展望設置被定義為msstd:*domain.com����,而不是server.domain.com���。
7)問題:配置過程中遇到以下消息:500 Internal Server Error. The certificate chain was issued by an authority that is not trusted.
解決方法:
ISA Server必須信任來自發(fā)布的服務器上的證書�,確保CA證書在ISA Server信任的跟認證授權認證庫��。
8)問題:當創(chuàng)建使用證書的Web監(jiān)聽器時,遇到以下消息:There are no certificates configured on this server. 而事實上已經有一個證書����,但為什么不可以呢?
解決方法:
這一消息可能同時還會在事件瀏覽器中指明證書的私鑰無法被讀取��,該錯誤可能在以下情況中出現:
SSL證書和它相應的私鑰未被導入到ISA Server計算機上正確的證書庫中��,SSL證書被從一個證書存儲庫中移動到了另外的證書庫中�����,導致SSL證書與它相應的私鑰分離����。當從Web服務器中導出證書的時候,用戶可能并不確定私鑰也應該被導出來���。
檢查私鑰是否被導出�����,然后檢查證書是否在本地計算機帳號下導入到了專有的存儲庫中�����。
9)問題:遇到以下消息:500 Internal Server Error. The certificate is revoked.
解決方法:
為確保CA公鑰基礎架構的統(tǒng)一性���,CA管理員需要在確定的該證書不再可用的情況下才能吊銷該證書�。當一個證書被吊銷后�,該證書將會被添加到證書吊銷列表(Certificate Revocation List,CRL)����。CA管理中心階段性地發(fā)布一個更新過的CRL。CRL分布點被用以提供一個證書檢驗器����,該檢驗器用以回復當前的CRL�����。這一錯誤在根證書無能找到一個CRL的分布點或者證書已經被吊銷的情況下發(fā)生�����。
10)問題:想要使用有多個通用名稱在內的證書���,例如https://servername和http://www.server_name.com����,ISA Server能夠傳遞多個通用名稱嗎?
解決方法:
不可以����,ISA Server只能夠引用證書當中的第一個通用名稱,而且不支持多個名稱�。
三、使用IPSec的VPN疑難問題解決
1�、檢查模式完整性事件
它對于判斷主模式和快速模式這兩種模式中哪種IPSec通信的模式是有缺陷的,有多種方法來檢查主模式或快速模式的狀態(tài)或者是否失敗�,包括:
1)啟用監(jiān)控以確保IPSec相關的事件被記錄;
2)使用IP安全監(jiān)控來瀏覽IPSec信息���;
3)使用一個Oakley日志文件�,但Oakley日志文件不會在Windows Server Longhorn或者Windows Vista操作系統(tǒng)下產生��。
2�、審計IPSec事件
因特網密鑰轉換(Internet Key Exchange,IKE)事件將會被記錄到安全日志中���,IKE事件的分類同樣被用以審計登錄事件而不僅僅是IPSec�����,本地計算機的系統(tǒng)管理員可以通過以下方法啟用本地計算機日志:
為本地計算機啟用日志:
1)在“控制面板”中��,雙擊“管理工具”��;
2)雙擊“本地安全策略”��;
3)在控制臺目錄中���,展開“本地策略”�����,然后點擊“審計策略”���;
4)在細節(jié)面板中���,雙擊“審計登錄事件”��,如果要審計成功的嘗試���,選中“成功”復選框�,如果要審計失敗的嘗試�����,選中“失敗”復選框。
當啟用成功和失敗審計之后��,IPSec將記錄成功每次主模式或快速模式通信的成功或失敗的記錄�,而且把每次通信的創(chuàng)建和結束事件處理為獨立的事件。但是啟用這種類型的審計會導致安全日志充滿了IKE事件���。比如���,對于連接到Internet的服務器而言,對IKE協(xié)議的攻擊可能導致安全日志充滿IKE事件的記錄�。IKE事件也可能充滿使用IPSec來確保到多個客戶端的傳輸的服務器上的安全日志,為避免這樣的事情發(fā)生���,系統(tǒng)管理員可以通過創(chuàng)建以下注冊表鍵來禁用在安全日志中對IKE事件的審計���。
在安全日志中禁用IKE事件審計:
1)點“開始”,然后點“運行”��;
2)在“打開”一欄中����,輸入“regedit”�,然后點“確定”���;
3)展開“HKEY_LOCAL_MACHINE”�,展開“System”���,展開“CurrentControlSet”����,然后展開“Control”����;
4)右擊“LSA”,指向“New”��,然后點“Key”�;
5)為該鍵輸入“DisableIKEAudits”的名稱;
6)在細節(jié)面板中���,右擊默認值,然后點“Modify”�����;
7)在“ValueData”中,輸入“1”�����,然后點“確定”�;
8)推出注冊表編輯器。
注意:不正確的注冊表修改可能對系統(tǒng)帶來很多的危害����,在對注冊表做任何修改之前,系統(tǒng)管理員應該備份任何對計算機有價值的數據���。
在對注冊表進行了以上修改之后�����,系統(tǒng)管理員必須重啟計算機或者通過在命令行中運行以下命令來重啟IPSec服務:net stop policyagent和net start policyagent�����。停止和重啟IPSec服務可能會斷開該計算機對外所有采用IPSec進行的連接�。
3����、IP安全監(jiān)視器
在微軟Windows Server 2003和Windows XP操作系統(tǒng)中�����,IP安全監(jiān)視器被部署為微軟管理控制臺(Microsoft Management Console����,MMC)的一個管理單元�����,讀者可以通過以下步驟來瀏覽IP安全監(jiān)視器:
1)點“開始”���,然后點“運行”����;
2)在“運行”對話框中����,輸入“MMC”,然后點“確定”�;
3)點“文件”菜單,然后點“添加/刪除管理單元”����;
4)在“添加/刪除管理單元”對話框中,點“添加”�;
5)在“添加/刪除管理單元”的獨立對話框中,從管理單元列表中選擇“IP安全監(jiān)視器”���,然后點“添加”����,點“關閉”來關閉“添加/刪除管理單元”的獨立對話框�����,然后在“添加/刪除管理單元”對話框中點“確定”����;
6)在“文件”菜單中,點“保存”來保存控制臺設置并指定一個要保存的名稱����;
7)在“IP安全監(jiān)視器”控制臺中,點“添加計算機”來添加本地計算機或者遠程計算機��;
8)要瀏覽主模式的細節(jié)����,展開想要瀏覽IPSec信息的計算機��,然后展開“主模式”�,展開“安全相關”并確定在這兩個VPN端點之間是否有關聯(lián)����;
9)對“快速模式”重復同樣的過程。
IP安全監(jiān)控器同樣允許用戶來瀏覽關于活動IPSec策略的細節(jié)���,這些策略往往被用于域或者本地���,用以瀏覽快速模式和主模式的統(tǒng)計數據,以及IPSec安全關聯(lián)性(Security Associations�����,SAs)�����。IP安全監(jiān)控器使用戶能夠搜索特定的主模式或者快速模式過濾器��,為解決復雜的IPSec策略設計����,讀者可以使用IP安全監(jiān)控器來搜索所有符合一個特定傳輸類型的過濾器�。
4���、Oakley日志文件
盡管在事件瀏覽器中啟用審計、日志以及瀏覽IKE事件是最簡單的解決主模式或快速模式通信出錯的最簡單的方法���,但在一些情景下用戶需要更為詳細的分析才能夠解決復雜的問題�。IKE跟蹤日志(systemroot\Debug\Oakley.log)是一個詳細的IKE內在可操作的解決疑難問題的日志�����,該日志有一個固定為50,000行的大小��,而且在必要的情況下將會重寫��。每次IPSec服務啟動時����,就會創(chuàng)建一個新的Oakley.log文件,而之前版本的Oakley.log文件將會被保存為Oakley.log.sav文件�����,當Oakley.log文件將要被寫滿的時候,它將會被保存為Oakley.log.sav文件�����,同時將創(chuàng)建一個新的Oakley.log文件�。由于很多IKE通信可能同時發(fā)生,用戶應當最小化通信的數量而且應當在盡可能短的時間內記錄日志以獲取更有參考價值的日志文件�。在Windows Server 2003操作環(huán)境中,用戶可以在服務器運行的過程中動態(tài)地啟用或者禁用IKE跟蹤日志���。
5��、VPN網絡主機之間的ping命令被禁用
1)現象:本地內部網絡的主機不能使用ping命令來找到遠程IPSec網絡當中的主機��,ping命令顯示以下消息:“與IP安全通信中”�����,而且無法收到響應���。
2)原因:該錯誤在以下情景中出現:
a、在ISA Server VPN網絡當中的計算機嘗試使用ping命令來找到遠程VPN網絡當中的計算機時���;
b����、在遠程計算機上定義ISA Server VPN網絡的時候,管理員沒有把ISA Server VPN通道終端地址包含進來�;
c、遠程VPN網絡中的計算機嘗試使用ping命來來找到一個在ISA Server VPN網絡中的計算機時�;
d、當在ISA Server計算機上定義遠程站點VPN網絡時�,管理員沒有把遠程VPN服務器上的VPN通道終端地址包含進來�����。
3)解決方法:
確保在IPSec通道的各個方面定義遠程VPN站點時添加了VPN通道終端的地址���,比如����,如果ISA Server計算機為服務器A�����,一個第三方的VPN服務器為服務器B���,當在服務器B上定義服務器A的VPN網絡是���,把服務器A的地址包含為VPN終端���。當創(chuàng)建一個代表了在ISA Server管理當中的遠程VPN站點遠程網絡對象時,管理員可以通過運行“創(chuàng)建VPN站到站連接向導”來創(chuàng)建���,具體操作步驟如下:
a�����、在ISA Server管理面板中�����,點“Virtual Private Network(VPN)”節(jié)點���;
b、在“遠程站點”面板上���,右擊想要創(chuàng)建一個代表遠程VPN站點的遠程網絡對象�����,然后點“屬性”�����;
c����、在“地址”面板上,確認IP地址列包括了遠程網關IP地址���。
四�����、ISA Server疑難問題解決參考資源
本文從ISA Server的官方技術網站上,總結了與SSL 認證和使用IPSec的VPN相關的疑難問題及相應的解決方法�����,但對于ISA Server的應用�����,有著更為廣泛的需要探討的問題��,針對ISA Server配置、使用過程中出現的問題及其可能的原因�����,讀者可以通過以下資源獲取更多的參考資料:
微軟TechNet ISA Server站點:http://www.microsoft.com/technet/isa/default.mspx
小 結
本文首先概述了ISA Server 2006的主要功能����,簡介了ISA Server 2006的疑難問題排除工具:ISA Server Best Practices Analyzer,通過對實際應用的總結和來自微軟TechNet ISA Server相關的應用知識總結�����,詳細介紹了在ISA Server 2006當中SSL認證和使用IPSec的VPN的應用相關的疑難問題和相應的解決方法�����,對在應用ISA Server過程中遇到問題的用戶而言�,提供實際可參考的解決方法。 |
