一般来说 IPv6 封装指的是把 IPv6 的数据包封装在 IPv4 的数据包中，涉及到三种协议： 6to4, ISATAP, Teredo    具体关于 IPv6 封装的介绍，请参考： http://en.wikipedia.org/wiki/IPv6 http://technet.microsoft.com/en-us/library/bb727021.aspx#EFAA Windows 7 和 Windows 2008 默认会启用网卡的 IPv6 属性，和外部发起 IPv6 连接，这样可能造成安全隐患。 6to4   和   ISATAP...

我们经常会通过 ISA 或者 TMG 去发布内部网站，也常常会遇到一些问题。 如果遇到问题时，通常的检查方法是，查看 ISA 有没有允许外部客户端的访问请求。 我们可以通过 ISA 的日志功能进行查看，可以就客户端的 IP 地址进行过滤，   之后如果可以确认我们 ISA 规则包括 web listener 创建没有问题，客户端的访问请求仍旧被 ISA 的默认规则拒绝，那么可以尝试一下以下步骤： 1. 检查 ISA 、 TMG 服务器上是否装有防毒软件，如果有，卸载它。 2. 检查 ISA 、 TMG 服务器上是否装有 IIS 服务，如果有，卸载它。 IIS 默认会侦听在 80 端口上...

在企业内使用 TMG/ISA 时，我们经常会部署 WPAD 来使 IE 客户端自动发现代理服务器。 Automatic Detection Concepts in ISA Server 2006 http://technet.microsoft.com/en-us/library/bb794779.aspx   可能您在部署过程中，会遇到 WPAD 记录从 DNS 服务器上解析不到的问题。 这是因为在 windows 2008 和 windows 2003 的 DNS 服务器上， WPAD 记录有可能已经被加入到黑名单中去了。   对于 windows 2008: 1. 显示哪些名字已经被列入黑名单...

Web  代理客户端通过 TMG/ISA 不能访问新浪微博等网站，Web 客户端返回错误：" Error Code: 502 Proxy Error. The request is not supported (50)”。 这类问题一般是由于网站回复的数据是压缩的所导致。遇到此类问题，您可以尝试以下方法： 1. 打开 IE 高级选项，启用以下 http 1.1选项。 2. 启用压缩选项： 2.1 启用企业级别的压缩选项： 2.2 启用阵列级别的压缩选项： 2.3 启用压缩选项。 3. 把网站目标 IP 地址加入到“Request Compressed Data” 微软安全支持专家...

Windows 媒体播放器(版本 11)，通过ISA服务器，无论是使用 web 代理还是 ISA 防火墙客户端，都不能成功网络播放， 通过抓包(防火墙客户端)，我们发现客户端发送了请求 “rtsp://XX.com.cn/audio_cn RTSP/1.0” 到 ISA 服务器， 但之后，客户端主动发送”FIN”结束了与服务器的连接。 在这种情况下，问题出在客户端上，而不是 ISA 上。 经过反复尝试，发现这个可能是 windows 媒体播放器(版本11)的 Bug, 在媒体播放器的网络选项中取消 ”RTSP/UDP”之后，问题随之解决。 测试表明，Windows 媒体播放器(版本 12)不存在类此问题...

        AD LDS(Active Directory Lightweight Directory Services) 是轻量级的动态目录服务，可以用作用户验证，使用 LDAP 查询。在一些情况下，客户可能希望在 AD LDS 中建立一些用户账号(例如公司外部用户账号)，然后在 ISA/TMG 中使用 LDAP 查询来验证 AD LDS 用户账号。         这样做似乎可行，但是经过我们的确认，目前 ISA/TMG 是不能支持基于 AD LDS...

        如果我们发现所有的IE6可以与ISA正常验证，而IE7/8则一直出现弹框，那就极有可能是Kerberos 验证问题。        这是因为IE6默认只能使用NTLM验证，而IE7/8默认会首先尝试使用Kerberos，如果Kerberos验证失败，就会发生弹框问题。        简单有效的解决方法有以下两种：        方法一：修改配置...

ISA 服务器发布规则失败的原因可能有许多，但可以肯定百分之七十以上与下列问题有关： 打开 ISA 的管理界面，双击服务器发布规则，点击”到”，如果你发现指定 ISA 服务器如何将请求转发到发布的服务器为”使请求显示为来自初始客户端”, 那你要注意了，这样的话，内部服务器看到的请求源 IP 地址是来自外部客户端，这就需要在内部服务器上正确设置路由以保证内部服务器到外部客户端的回复数据包也经过 ISA 服务器。 如果不能保证内部服务器到外部客户端的回复数据包也经过 ISA 服务器，那就修改 ISA 服务器发布规则，把指定 ISA 服务器如何将请求转发到发布的服务器改为”使请求显示为来自 ISA 服务器计算机...

不要在两个网卡上都设置 DNS。 比如内网卡设置内网 DNS 同时外网卡设置外网 DNS，或者在一个网卡上即设置内部的 DNS 又设置外部的 DNS。试图通过这两种方式来使得ISA能解析内外网的域名，反而会造成 ISA 不能正确解析域名，例如 ISA 不能正确解析 DC 的名字而无法与 DC 通讯进行身份验证。只在内网卡上设置内网的 DNS。对于外网的域名解析，可以通过在内网的 DNS上设置条件转发来转发给外网或者 ISP 的 DNS。这样既满足了内外网名字解析的需要，又不会造成内外网名字解析的问题。 可以通过使用 ipconfig /all 命令查看网卡的 DNS 配置 参考 Configuring...

不要在单网卡的 ISA 上设置外部网络。 对于单网卡的 ISA 而言，所有网段 (除了本机网络) 都会被看作是内部网络。如果设置外部网络，不符合 ISA 的网络逻辑，会造成意想不到的问题，影响正常访问。只在单网卡的 ISA 上设置缺省的内部网络，建议使用 Add Adapter 来进行添加。 参考 Configuring ISA Server 2004 on a Computer with a Single Network Adapter http://technet.microsoft.com/en-us/library/cc302586.aspx Multi-network firewall...

在 ISA 单网卡的情况下，我们都知道只有且仅有一个网卡要设置默认网关。 如果 ISA 有多块网卡，请注意不要在两个网卡上都设置缺省默认网关。 这会使 ISA 的路由出问题， ISA 无法判断该走哪个默认网关。我们建议在这种情况下，只在外网卡上设置默认网关。如果内网有路由需要，可以通过 route add 命令在内网卡上添加静态路由的方式来实现。这样既满足了 ISA 与内网之间的路由需要，又不会因为多个默认网关造成路由问题。 可以使用 route print 命令来查看当前的路由状态： 参考 Troubleshooting Unsupported Configurations http://technet...

ISA 发布是一个常见问题，ISA 管理员们通常会先检查发布规则的每一项，但是常常肉眼看不出会有什么明显的错误。那么有没有什么工具可以帮助测试呢？答案是 ISA 2006 SP1 添加了一个新的特性，对于基于 web 的发布，增加了一个 Test Rule 的选项按钮。ISA 管理员们可以通过 Test Rule 来检查发布的问题。那么究竟 Test Rule 可适用于哪些发布，有哪些问题 Test Rule 可以检查出来，显示的错误代码又意味着什么呢？ Test Rule 功能可以应用于以下场合 ： Exchange Web Client Access 发布向导 SharePoint Site...

对于 ISA 管理员来说，最头痛和棘手的问题就是遇到防火墙服务意外终止，这意味着通过 ISA 向外代理和向内发布的网络访问的大面积瘫痪。在几乎全员抱怨的巨大压力下，ISA 管理员在抓狂的同时常常感到束手无策。我们整理了以往遇到并解决的类似的案例，总结出了一些常见问题以及建议方案，希望帮助 ISA 管理员们对症下药，实施急救方案，力争快速恢复。如果您的 ISA 服务器满足以下一条或者几条情形，请您对照建议方案执行。 事件日志 事件描述 原因 解决方法 参考 14146 ISA Server failed to load Web Filter DLL <dll path>. 第三方 web...

ISA 2006 有许多验证委派方式，在验证用户信息后，您可以为 ISA 发布规则配置使用下列到内部服务器的委派方法： No delegation, and client cannot authenticate directly No delegation, but client may authenticate directly Basic NTLM NTLM/Kerberos (Negotiate) RSA SecurID Kerberos constrained delegation No Delegation, and Client Cannot Authenticate Directly...

难道 ISA 网络负载均衡 NLB 还要挑交换机？ 没错，ISA 网络负载均衡 NLB 确实对交换机有要求， NLB 只能工作在二层模式下 ！ 许多企业都购买了 ISA 服务器企业版，企业版区别于标准版的一个显著的特征，就是支持 ISA 网络负载均衡，在 ISA 2004 和 ISA 2006 中，ISA 内置默认启用的是单播模式网络负载均衡，ISA 2006 企业版可以把单播 NLB 改为多播 NLB。详见参考。 企业中应用最多的是在 ISA 服务器内网卡启用负载均衡，客户端通过 ISA 内网卡的虚拟 IP 实现网络负载上网。 如果您的几台 ISA 内网卡连接的是三层交换机，这时您就要小心了...

您在 ISA 2006 服务器中建了一条内网服务器 Web 发布规则，并在 Web 侦听器上启用了用户验证，相应的 Web 侦听器启用的是 HTTP 协议。当您用一台外网客户端进行测试时，您可能发现客户端收到以下报错： ISA is configured to block the HTTP requests that require authentication。 这个问题是由于 ISA 2006 与 ISA 2004 相比有一个安全性的改进， 默认情况下，在 Web 侦听器中不允许基于 HTTP 协议的外部客户端验证 。 当然您可以启用允许基于 HTTP 的外部客户端验证。具体做法参见下图：...

我们有时会发现 web 代理客户端虽然加入域，但在上网时，却仍然弹框要求输入用户名和密码。 这时，您往往会在 ISA 服务器的事件日志中看到 Net logon 5719 的报错。 我们首先需要排除 ISA 服务器和 DC 服务器之间的连接性，因为 ISA 每次做用户验证时都必须和 DC 通讯。 如果您排除了和 DC 通讯的问题，那问题很有可能出在 ISA 防火墙规则上。 当您发现 ISA 的规则中有一些特定的防火墙规则，并且包含”所有出站通讯”+”URL集/域名集”，您需要注意了。 ”所有出站通讯”+”URL集/域名集”规则会严重影响 ISA 服务器的性能 ，如果网络流量匹配到这条规则，ISA...

当您使用 IE web 代理通过 ISA 服务器连接 FTP 站点时（在没有勾选 IE 的高级设置” Enable folder view for FTP sites ”， 并且在 IE 中使用格式 ftp:// username : password@host ）, 您会发现 IE 中显示的并非是您目前账号所对应的 FTP 用户相对目录，而是 FTP 根目录。 这是由 ISA 服务器的默认行为所决定的，ISA 在成功登录FTP 站点后，会发送命令 CWD / ，表示请求连接 FTP 站点的根目录，但这个并不符合 RFC 1738 标准。 解决方法 1...

当您使用 IE 打开 FTP 站点，并使用 ISA 作为 web 代理（并且没有勾选 IE 高级选项”Enable folder view for FTP sites”），访问需要认证的 FTP 站点时， ISA 服务器可能会返回以下报错： Error Code: 502 Proxy Error. The login request was denied. The logon account might have been disabled or logon information might have changed. Log on again to verify that the information...

当客户端配置为 Web 代理方式访问 FTP，这时您可能会发现 FTP 站点只能浏览，而不能上传。例如 当你打开 Windows 资源管理器，并输入 FTP 的地址，您可能会收到以下警告。 以上是可以预期到的行为，因为用 Web 代理方式访问 FTP，FTP 协议会封装在 Http 协议之中，Web 代理方式 只能支持 FTP over Http下载，而不支持 FTP over Http 上传 。 从下图，可以看到 ftp://ftp.microsoft.com   的请求被封装在 Http 协议中。 解决方法： 配置客户端为 SecureNAT 方式，或者安装 ISA 防火墙客户端...

一些时候，我们在通过 ISA 服务器使用 FTP 时 (通常是使用 IE 的 FTP over HTTP), 会发现连接失败。 虽然连接失败的原因可能很多，但如果不通过 ISA 服务器能成功访问 FTP 站点，那问题很有可能与 FTP 的主被动模式有关。 默认情况下，ISA 在处理客户端的 FTP over HTTP 请求时，只会以主动模式与外部 FTP 服务器建立连接，如果要改为 FTP 被动模式，我们需要在 ISA 防火墙服务器上做如下修改： 1. Click Start, click Run, type “regedit”, and then click OK. 2. Locate and...

在用 ISA2006 发布网站时候，我们经常碰到的一个问题是怎么实现 URL 跳转。比如，通过 ISA2006 发布 Exchange 2007 OWA ，用户需要访问 https://www.contoso.com/owa 来访问 OWA 。 很多用户就希望，能不能通过 URL 跳转的方式，可以通过访问 https://www.contoso.com 直接跳转到 https://www.contoso.com/owa 。 一般建议的方法是，在内部 IIS 的根目录下放一个 Default 页面，由这个页面里的 HTML 代码实现跳转，然后在 ISA 上把根目录发布出来。 ...