收藏
下载资源

第10章 ISA Server 故障排除

上传人:飞*** 文档编号:3857372 上传时间:2017-08-12 格式:DOC 页数:15 大小:657.50KB
返回 下载 相关 举报
第10章 ISA Server 故障排除_第1页
第1页 / 共15页
第10章 ISA Server 故障排除_第2页
第2页 / 共15页
第10章 ISA Server 故障排除_第3页
第3页 / 共15页
第10章 ISA Server 故障排除_第4页
第4页 / 共15页
第10章 ISA Server 故障排除_第5页
第5页 / 共15页
点击查看更多>>
资源描述

《第10章 ISA Server 故障排除》由会员分享,可在线阅读,更多相关《第10章 ISA Server 故障排除(15页珍藏版)》请在金锄头文库上搜索。

1、第 10 章 ISA Server 故障排除10.1 ISA Server 的故障排除工具 .26810.2 ISA Server 故障排除策略 .27510.3 复习 .280本章概要在一个复杂网络中,要有效的排除故障需要了解可用的故障排除工具,还需要了解判定引起网络问题的精确原因的正确策略,本章简略概述了可以供在 ISA Server 环境中解决网络问题的工具和策略。先决条件要学习本章,您必须 完成“前言” 所要求的安装步骤 完成第 9 章的所有练习 第 10 章 ISA Server 故障排除 26910.1 ISA Server 的故障排除工具要检查出 ISA Server 中的连接、

2、安全和服务等方面的故障,您必须全面了解所有可用的网络故障排除工具。这些故障排除工具包括 ISA Server 指定的特性,TCP/IP 命令以及 Windows2000 实用程序。本节介绍了其中的部分工具,并详细讨论了如何使用这些工具来诊断和修复 ISA Server 安装过程中出现的错误。本节学习目标 使用一些工具来排除 ISA Server 错误 验证和修改路由表 使用 Netstat 和 Telnet 验证端口状态估计学习时间:45分钟10.1.1 故障排除工具如果在 ISA Server 安装中出现了意外的故障,此时就可以利用故障排除工具来确定故障原因。根据要排除的故障的类型,可以组合

3、使用下列故障排除工具: ISA Server 报告 事件查看器 性能监视器 Netstat Telnet 网络监视器 路由表10.1.1.1 ISA Server 报告作为故障排除的第一步,ISA Server 报告非常有用。这些报告可以单个或一起查看来找出造成性能问题的原因。例如,如果用户抱怨 Web 性能缓慢,可以先检查通信和使用 Traffic and Utilization 报告文件中的缓存性能报告。如图 10.1 所示。然而,即使报告说明缓存单击率很低,还是应当参照其他报告来决定 Web 响应缓慢是否由于缓存使用不够充分造成的。如果禁用了活动缓存,且如果没有安排下载作业,ISA Se

4、rver 就不能从缓存中频繁地检索 HTTP 请求,终端用户就会遇到网络性能缓慢的问题。不过,如果报告说明缓存利用率很高,响应缓慢则是由于网络饱和造成的,而网络饱和可能是由于下载作业太频繁或 TTL 参数设置太短造成的。注意 因为缓存点击率低造成的网络性能差可以通过在工作时间以外的时间配置更频繁或更广泛的下载作业,或者是延长 Cache Configuration Properties 对话框中的 TTL参数来改进。 MCSE 制胜 宝典Microsoft Internet Security and Acceleration Server 2000270图 10.1 缓存性能报告示例10.1.

5、1.2 事件查看器在排除与 ISA Server 服务功能相关的错误时,可以利用 Microsoft Windows 2000 事件查看器。Windows2000 事件查看器显示了 ISA Server 服务生成的所有事件消息。这些消息可能是警报、错误通知,或者只是个报告。当发现了要进行故障排除的服务所报告的特殊事件消息时,双击它,记下它的事件 ID。利用事件 ID,就可以查找 ISA Server 帮助或本书附录 C,学习其中推荐的方法来补救与事件消息相关的问题。10.1.1.3 性能监视器ISA Server 性能监视器对解决与网络使用、硬件、配置相关的问题很有帮助。例如,在确定缓存性能缓

6、慢的原因时,可能会发现%Disk Time 很高。另外,如果 Disk Bytes/sec 计数器指示的往返磁的数据传输率很低,您可能会添加新磁盘来改进缓存性能。另一方面,如果 Disk Bytes/sec 读数不低于正常值,但 Pages/sec 计数器指示的页失误率很高,您可能通过增加系统的物理内存的数量或者提高用于缓存的物理内存百分比来改进缓存性能。使用 ISA Server 性能监视器成功地排除故障,要在问题发生之前建立计数器基准。这样,发现某个计数器的值明显地偏离它的基准时,您可以确定某个特殊的系统单元出现了问题。10.1.1.4 NetstatNetstat 是一个命令行工具。它可

7、以用来排除安全和连接问题。在命令行中输入 netstat,就可以检查 ISA Server 计算机的端口配置以及查看进出计算机的连接。注意 TCP 和 UDP 中使用端口来命名逻辑连接终端。端口号从 0 到 65535,分成以下 3种:熟知端口、注册端口、动态 /或专用端口。熟知端口从 0 到 1023,注册端口从1024 到 49151,动态/ 或专用端口从 49151 到 65535。相关更多 详细信息,请参考 第 10 章 ISA Server 故障排除 271Web 站点 http:/www.idi.edu/in-notes/ assignments/port-numbers 上的端口

8、数。利用 Netstat 命令-a 选项,可以接受到所有活动连接和侦听端口的输出信息。使用-n 选项时,地址和端口号不转换成字符名称。这样就可将 ISA Server 计算机上的外部和内部 IP 的连接区别开来,并可确定在某个特殊接口上在任何给定时间哪个端口是开放的。可以通过比较-an 和-a 选项可以知道在哪个特殊端口上哪个服务是活动的。用-p TCP 或-p UDP 选项指定一个特殊的协议可以限定 netstat -an 的输出。例如,Netstat an p TCP 命令将打印所有活动 TCP 连接和侦听端口的输出信息。Netstat an p UDP 命令将只打印 UDP 端口状态的输

9、出信息。此外,了解端口配置可以检查连接问题、端口冲突和安全漏洞。例如,如果连接不到远程服务器,netstat 输出信息可能确定这不是本地网络的问题,而是远程计算机拒绝连接请求。同时,每一次连接时,还可以确认本地机是否收到 TCP 重置或 ICMP Port Unreachable 数据包的信息。最后,Netstat 可以用来诊断对系统的攻击。例如, SYN 攻击通过创建大量的半公开 TCP 连接从而使服务器瘫痪。在这种情况下,外部地址通常是一个伪地址,并且有以增量方式增加的端口号。因此,根据 SYN 攻击的这一显著特性,可以从下面的 netstat 输出信息里把它识别出来。c:net stat

10、 -ac:netstat -n -p TCPActive ConnectionsProto Local Address Foreign Address StateTCP 127.0.0.1:1030 127.0.0.1:1032 ESTABLISHEDTCP 127.0.0.1:1032 127.0.0.1:1030 ESTABLISHEDTCP 10.1.1.5:21 192.168.0.1:1025 SYN-RECEIVDTCP 10.1.1.5:21 192.168.0.1:1026 SYN-RECEIVDTCP 10.1.1.5:21 192.168.0.1:1027 SYN-RECE

11、IVDTCP 10.1.1.5:21 192.168.0.1:1028 SYN-RECEIVDTCP 10.1.1.5:21 192.168.0.1:1029 SYN-RECEIVDTCP 10.1.1.5:21 192.168.0.1:1030 SYN-RECEIVDTCP 10.1.1.5:21 192.168.0.1:1031 SYN-RECEIVDTCP 10.1.1.5:21 192.168.0.1:1032 SYN-RECEIVDTCP 10.1.1.5:21 192.168.0.1:1033 SYN-RECEIVDTCP 10.1.1.5:21 192.168.0.1:1034

12、SYN-RECEIVDTCP 10.1.1.5:21 192.168.0.1:1035 SYN-RECEIVD10.1.1.5 Telnet在 Telnet 命令后面指定端口号,可以测试服务器是否通过此端口接收命令。例如,在运行Netstat -an -p TCP 命令后,发现端口 3149 是用来侦听传入请求的。然后,在命令行中输入 telnet external_ip_address 3149,可以确定 ISA Server 是否允许用户 telnet 到该端口。这里external_ip_Address 指分配给 ISA Server 计算机的公共 IP 地址。如果返回的是空白屏幕或者不

13、是连接失败的响应输出,那么理论上外部用户直接输入服务命令就可以和位于该端口的服务通信。注意,通常此状态并不能说明存在安全漏洞,但如果给定服务存在安全弱点的话,黑客通常会用 Telnet来开发这些弱点。Telnet 还可以用来断定计算机上的服务是否活动的。例如, 如果能 Telnet ISA Server 计算机的端口 25,说明 SMTP 服务正在运行,且对外部用户是可访问的。如果要阻止外部用户访问SMTP 服务,您可以选择来改正该情形。您可以通过关掉此项服务,可以验证启动了 ISA Server 上的数据包过滤作用,可以且/或确保 ISA Server 上没有启动允许入站通信通过端口 25

14、的 IP 数据数据包筛选器。另一方面,如果要发布服务器并测试外部访问,您可能想 Telnet 连接到服务的端口, MCSE 制胜 宝典Microsoft Internet Security and Acceleration Server 2000272来看它是否接受连接。例如,如果在 ISA Server 计算机的端口 9999 发布 Web 服务器,可以输入telnet external_ip_Address 9999 来确定能连接到该端口。10.1.1.6 网络监视器网络监视器或 Netmon 是用来捕获与显示 Windows2000 从局域网接收的帧内容的工具。为了简化网络通信分析,网络监视器分化组合了 40 个常用的网络协议。这意味对大多数网络通信而言,网络监视器实际上显示了与网络会话相关的所有信息,包括源和目的端口和地址、服务器响应、有效通信等。下面是来自网络监视器跟踪文件或捕获的帧内容示例:Network Monitor trace Wed 03/07/2001 0

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 其它相关文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号