《SP1_Feature_Doc_RTM(ISA).doc》由会员分享,可在线阅读,更多相关《SP1_Feature_Doc_RTM(ISA).doc(26页珍藏版)》请在金锄头文库上搜索。
1、Service Pack 1 新增的和改进的功能配置更改跟踪查看配置更改跟踪输出配置更改跟踪功能输入更改描述筛选和搜索配置更改测试规则运行测试通讯模拟器配置通讯模拟器模拟通讯方案诊断日志配置诊断日志筛选诊断日志对现有功能的改进对集成 NLB 的多播支持跨域环境中允许的 Kerberos 约束委派 (KCD) 身份验证不映射到 Active Directory 的辅助客户端证书验证支持使用包含多个主题备用名称 (SAN) 条目的服务器证书RSA SecurID 支持公共超时改进 Web 发布负载平衡 Cookie 处理按 UUID 筛选 RPC 通讯警报改进新性能计数器ISA Server200
2、6 SP1 包括以下新功能:配置更改跟踪 注册所有已应用到 ISA 服务器配置的更改,以便评估这些更改可能带来的问题。 测试规则 确认 Web 发布规则的配置设置是否与 Web 服务器上的设置一致。 通讯模拟器 按照指定的请求参数模拟网络通讯,并提供可根据请求进行评估的防火墙策略规则的相关信息。 诊断日志 已作为选项卡集成到 ISA 服务器管理控制台中,该功能可显示与规则评估方法相关的各种详细事件。ISA Server2006 SP1 还包含若干功能改进,它们包括:支持网络负载平衡 (NLB) 多播操作支持包含多个主题备用名称 (SAN) 条目的证书在垮域环境中允许 Kerberos 约束委派
3、 (KCD) 身份验证有关其他功能改进,请参阅本文档后面“对现有功能的改进”部分的内容。本文档的以下几个部分描述了新的 ISA Server2006 SP1 功能。 配置更改跟踪启用后,配置更改跟踪功能将注册在 ISA 服务器管理中所做的或使用脚本通过编程进行的所有配置更改。可以将配置更改跟踪功能作为支持工具使用,以确定因配置发生更改而导致的问题的原因。默认情况下禁用更改跟踪。在 ISA 服务器管理控制台中,可以在“监视”节点的“更改跟踪”选项卡中查看配置更改跟踪功能的输出。在 ISA Server 2006 Enterprise Edition 中,可以在企业级对配置更改跟踪功能进行配置。如
4、果对企业启用配置更改跟踪功能,系统将启用对企业中所有阵列的跟踪。企业设置将覆盖阵列级设置。如果在阵列级和企业级同时应用更改,将在输出中获得两个条目:一个条目显示企业级的配置更改,另一个条目则显示阵列级的更改。查看配置更改跟踪输出每个配置更改跟踪输出条目都代表一个配置更改。条目按日期和时间排序,最近的排在前面。在“更改跟踪”选项卡的结果窗格中提供了以下详细信息:时间 显示配置更改的日期和时间。用户 显示执行配置更改者的用户名。 更改摘要 显示 ISA 服务器中由系统生成的配置更改描述。描述 显示用户输入的针对配置更改所做的更改描述。阵列 显示进行配置更改的阵列的名称,如果在企业级别进行更改,则显
5、示企业的名称(仅限于 Enterprise Edition)。每个条目都可以展开,以显示更多详细信息。下面显示示例输出。配置更改跟踪功能可以为更改跟踪功能配置以下项:启用更改跟踪指定更改跟踪日志中的最大条目数要求用户在 ISA 服务器管理中进行配置更改时指定一个可在配置更改跟踪输出中显示的描述启用和配置更改跟踪1.在 ISA 服务器管理控制台中,单击“监视”节点,然后单击“更改跟踪”选项卡。 2.在“任务”选项卡上,单击“配置更改跟踪”。 3.若要启用更改跟踪功能,请选择“启用更改跟踪”。Note: 若要在企业级配置更改跟踪,请右键单击企业节点,然后单击“属性”,最后再在“企业属性”对话框中单
6、击“更改跟踪”选项卡。4.默认情况下选中的“应用配置更改时提示更改描述”可以让用户在 ISA 服务器管理中进行配置更改时添加可选的更改描述。清除该复选框将禁用更改描述提示。5.若要指定更改跟踪日志的最大条目数,请在“条目数限制”框中输入数字。建议不要配置超过 10,000 的限制。再大的限制可能影响性能。Note: 达到最大条目数时,将覆盖最早的条目。6.若要查看配置更改跟踪输出中的条目,请单击“应用”。 输入更改描述如果启用配置更改跟踪,则用户在 ISA 服务器管理中进行配置更改时可以为该更改输入可选的描述。该描述将出现在配置更改跟踪输出中。导出当前配置和更改描述1.在 ISA 服务器管理中
7、进行配置更改之后,单击“应用”,此时会显示“配置更改描述”提示。键入更改描述。2.在应用更改和更改描述之前,可以创建现有配置的备份。若要打开“导出向导”,请单击“导出”。对于 Enterprise Edition,导出将备份整个企业。3.单击“应用”。单击“应用”时,将保存必需的配置更改,并将描述应用于更改。4.“正在保存配置更改”状态对话框显示完成以后,请单击“确定”。配置更改将记录到更改跟踪输出中。筛选和搜索配置更改筛选器选项显示在“更改跟踪”选项卡的顶部。可以按用户名和内容来筛选条目。还可以使用快捷键 CTRL+F 来搜索条目。搜索条目1.在“用户名包含”框中,输入执行配置更改用户的名称
8、。2.在“条目包含”框中,输入搜索关键字。Note: 可以根据一个或两个选项来执行筛选。3.单击“应用筛选器”按钮。系统将执行搜索,然后结果将显示在“更改跟踪”选项卡上的“监视”节点中。4.输出中的每个条目都可以展开,以显示更多详细信息。测试规则测试规则功能可验证 Web 发布规则的配置设置是否与 Web 服务器上的设置一致。此外,如果规则没有达到期望效果,还可以使用测试规则功能进行故障排除。测试结果描述可以帮助您识别和解决在测试中检测到的问题。 可以从以下向导和规则类型激活测试规则:Exchange Web Client Access 发布向导SharePoint 站点发布规则向导网站发布向
9、导通过 HTTP 发布单个 Web 服务器、网站或服务器场的规则。可通过安全套接字层 (SSL) 发布单个 Web 服务器、网站或服务器场的规则。Note: 在禁用已发布规则的情况下,仍然可以运行测试。单击“测试规则”按钮时,ISA 服务器将首先尝试执行名称解析。将名称解析为 IP 地址之后,ISA 服务器会尝试与发布的服务器建立 TCP/IP 连接。对于跨安全套接字层 (SSL) 的发布规则,测试规则还会尝试与发布的服务器建立 SSL 连接,并测试证书的有效性。ISA 服务器会将 HTTP GET 请求发送到发布的服务器,并等待响应。在收到响应之后,ISA 服务器会将其身份验证要求和方法与规
10、则中配置设置的相应要求和方法进行比较。请注意下列事项:在对应用于所有请求(未指定公用名称)的发布规则运行测试且选择“转发原始主机头而不是内部站点名称字段中指定的实际主机头”时,该测试将使用 ISA 服务器计算机的完全限定的域名 (FQDN) 作为主机头。如果发布的 Web 服务器拒绝 ISA 服务器计算机的主机头,则测试可能失败。但是,如果发布的 Web 服务器接受了主机头,则在运行实际规则时可能允许通讯。相反的情况也可能发生:如果发布的 Web 服务器接受 ISA 服务器计算机的主机头,将通过测试;而如果发布的 Web 服务器拒绝该主机头,将拒绝实际的客户端通讯。 除非特定文件是按照该规则并
11、使用该路径发布的,否则测试时不会检查文件夹内特定文件的身份验证类型。如果在发布的服务器上未配置身份验证委派,则测试将检查在发布规则中指定的文件夹是否存在。如果配置了身份验证委派,则测试无法检查此文件夹是否存在,因为测试未传递所需的身份验证凭据。在这种情况下,如果为规则配置的身份验证方法与在规则中指定的文件夹所需的身份验证方法之一相匹配,则表明测试规则成功。成功并不表示该文件夹存在。运行测试运行测试 1.在所选择的发布向导中,或在规则的“属性”页上,单击“测试规则”按钮。 2.若要查看树中每一项的详细状态信息,请单击该项。可以在描述框架中查看相应的状态描述。3.单击“关闭”即可关闭 Web 发布
12、规则的测试结果对话框。Note: 如果要在任何时候停止测试过程,请单击“停止”。如果测试正在进行中,则无法关闭对话框。仅在测试过程完成之后,或者一开始就单击“停止”,才能关闭对话框。测试规则错误消息显示在测试结果对话框的描述框架中的每个错误消息将按以下四种错误类型进行分类:对发布的服务器证书的验证失败时,将触发发布的服务器证书错误。 如果无法将发布的服务器的名称解析为其 IP 地址,将触发名称解析错误。 如果 ISA 服务器未能与发布的服务器建立会话,将触发连接错误。对于所有其他类型问题,将触发常规错误。下表显示了运行测试规则时可能出现的最常见错误代码列表,以及对每个错误的解释。 发布的服务器
13、证书错误:错误代码错误描述描述0x80090308为函数提供的令牌无效。未使用发布的端口侦听 SSL 时会发生该错误。0x80090322目标主要名称不正确。通常情况下,在访问 HTTPS 站点时,如果服务器上的证书名称无法与对其进行访问的 URL 相匹配,则会发生该错误。建议:检查已发布网站的证书,然后在“到”选项卡上更新已发布站点的名称。0x80090325证书链由不可信的授权机构颁发。ISA 服务器未安装证书颁发机构 (CA) 的根证书。建议:导入 CA 证书。0x80090328接收的证书已过期。发布的服务器上的证书已过期。 建议:替换或续订发布的服务器上的证书。名称解析错误:错误代码
14、错误描述描述11004所请求的名称有效,但找不到所请求类型的数据。对发布的服务器(按 NetBIOS 名称发布)的名称解析失败时,将发生该错误。建议:检查已发布规则的“到”选项卡上的名称是否可以解析。11001找不到主机。对发布的服务器(按 FQDN 名称发布)的名称解析失败时,将发生该错误。建议:检查已发布规则的“到”选项卡上的名称是否可以解析。连接错误:错误代码错误描述描述10061由于遭到目标计算机的主动拒绝,因此无法建立连接。发布的服务器没有用于侦听已发布端口的 Web 服务器,或者 Internet Information Service (IIS) 6.0 尚未启动并侦听任何端口。
15、有关错误代码的详细信息,请参阅系统错误代码(英文)。 通讯模拟器通讯模拟器按照指定的请求参数模拟网络通信,并提供可根据请求进行评估的防火墙策略规则的相关信息。该功能可以帮助用户排除可能遇到的与目标服务器之间的通讯问题。例如,来自内部公司网络的用户尝试访问 Internet Web 服务器时,访问被拒绝。通讯模拟器扫描与该方案相关的所有发布规则。然后,管理员通过检查结果即可确定如何解决该问题。此外,该功能还可以测试由新规则处理的通讯,以验证新策略规则是否有效。可以从远程管理计算机运行通讯模拟器。通讯模拟器按阵列运行。在阵列中选择要对其运行通讯模拟器的服务器。Important: 通讯模拟器只能根据防火墙引擎所
