ISA Server 2004 FAQ：管理

Q. 我怎么在ISA Server中允许某人执行一些特定的任务，但是不是全部的任务？

A. ISA Server提供了基于角色的管理，你可以使用Windows的用户和组来为用户指定权限。你可以为允许执行全部管理任务的用户分配完全管理员角色；为允许执行监控、日志配置、警告定义和导入导出安全配置信息的用户分配扩展监控角色；为允许看到监控信息但不允许配置的用户分配基本监控角色。

Q. 我怎么样远程控制我的ISA Server 计算机？

A. 你可以使用终端服务或者远程桌面来连接到ISA Server计算机。另外，你还可以使用ISA Server的管理控制台MMC来远程控制ISA Server。有两条系统策略允许远程管理ISA Server计算机：一条是MMC管理，一条是终端服务管理。你可以添加需要远程控制ISA Server的计算机到预定义的远程管理计算机集中。

Q. 在导入/导出和备份/恢复之间的不同是什么？

A. 导入/导出和备份/恢复的性质是一样的，不过应该使用在不同的环境。你可以使用导入/导出来保存和导入完整的或者部分的ISA Server配置，也可以使用在全部的防火墙策略、系统策略和选择的规则上。机密信息是加密的，信息导出到一个.xml文件中，然后从这些文件中导入。导入/导出主要用于复制服务器设置或者为了查找故障而将设置导出到一个文件中。

而备份/恢复允许你保存和恢复最多的配置信息。备份会保存ISA Server的设置信息、缓存配置和VPN配置。这些配置信息将保存在本地的一个.xml文件中。备份/恢复的主要用于故障恢复，并且我们推荐你在任何主要的修改后备份你的配置，例如修改网络定义、缓存配置或者系统策略等等。

Q. ISA Server使用了什么服务？

A. 当你安装ISA Server后，将会安装以下的服务：

• Microsoft Firewall service. Wspsrv.exe (fwsrv).支持防火墙和SNAT客户的请求；
  
• Microsoft ISA Server Control service. Mspadmin (isactrl).负责重启其他ISA
  Server服务，产生警告，执行动作和删除日志文件；
  
• Microsoft ISA Server Job Scheduler service.
  W3Prefch.exe (isasched). 执行从Web服务器下载内容到缓存中；
  
• Microsoft Data Engine (MSDE). 使用MSDE格式来保存日志信息；
  
• ISA Server Storage service. Isastg.exe (isastg).
  负责管理ISA Server配置存储的读写操作，基于注册表和一些存储的文件；
  

Q. ISA Server会在什么时候进入锁定模式？

A. 当防火墙服务关闭或者被手动停止时，会进入锁定模式。当防火墙服务重启，ISA Server会离开锁定模式，继续它以前的功能。关于锁定模式的影响，请阅读ISA
Server的帮助。所有在锁定模式中对ISA Server配置做的修改只有在ISA Server离开锁定模式后才会生效。

Q. 防火墙服务运行在什么系统账户？

A. 防火墙服务（和ISA Server服务）运行在网络服务账号下。

Q. 网络服务账号需要特定的权限吗？

A. 为了在一台Windows Server 2003上安全的工作，网络服务账号需要以下权限：

• 对HKEY_LOCAL_MACHINE\Software\SDTI\ACECLIENT键的读写权限；
  
• 对%SystemRoot%\system32\sdconf.rec的读权限；
  

Q. 我刚刚建立了一件阻止指定流量的规则，过去有个允许这些流量的策略，并且在我检查时，我发现新建的阻止规则没有正常工作，为什么会这样？

A. 因为你的设计。当你新建一个规则的时候，规则应用在新建的连接上，而不是已经建立好的连接。如果现有的连接仍然是活动的，那么就会出现你所描述的情况。你可以等几分钟，等到连接超时，关闭现有的会话或者重启服务来强制关闭过去的连接。

Q. 当我在强制使用IPSec的环境中安装ISA Server后，ISA Server可以在短时间内使用远程管理，但是在IPSec会话过期后，将不能使用远程管理，为什么会这样？

A. ISA Server不允许Internet Key Exchange (IKE)传输，因此IPSec会话将不能被更新。在商用环境中，为了在IPSec环境中使用ISA
Server的远程管理，你必须建立一个规则允许IKE协议到本地主机。在ISA Server的工具箱中，已经预定义了UDP端口500 （SendReceive)的IKE协议。

Q. 我为ISA Server已经建立好了NLB（网络负载均衡），我怎么能允许ISA Server计算机之间的相互访问？

A. 在每个ISA Server计算机上，你需要将另外一台ISA Server计算机包含在自己的网络中，例如将ISA Server1的内部网卡包含在ISA
Server2的内部网络中，在写数据的时候，你需要多播模式。

Q. 我不能从远程管理计算机集使用DCOM模式来连接ISA Server计算机，为什么呢？

A. 在系统策略中，没有配置在远程管理允许非严格的RPC传输的选项，在远程管理计算机和本地主机间的所有DCOM传输将被丢弃。RPC过滤无法配置为禁止RPC过滤来使用DCOM。在商用环境中，你可以这样：将该远程管理计算机从远程管理计算机集中移出，然后新建一个和在系统策略中一样的访问规则，右击该规则，然后点击配置RPC协议，然后取消强制严格的RPC过滤。

Q. 在网络间的NAT和路由关系的意义是什么？

A. 如果你在两个网络（例如内部和外部网络之间）有一个NAT关系的网络规则，那么：

• 内部到外部的数据传输通过访问规则来定义；
  
• 外部到内部的数据传输通过发布规则来定义；
  

如果在它们之间是路由关系，那么你可以在双向都使用访问规则。

Q. 本地主机网络是什么？

A. 本地主机网络指ISA Server计算机本机。所有来自或者到达ISA
Server计算机的数据传输被认为是通过了本地主机网络。它包含了ISA Server计算机的所有IP地址和本地环回IP地址127.0.0.1。

Q. 我怎样来过滤某些站点？

A. ISA Server
2004中的HTTP过滤器允许你基于URL长度、字符、文件扩展名和其他方式来阻止HTTP的浏览。你可以为每个访问规则或者发布规则来指定HTTP过滤设置。

Q. 某些攻击使用在HTTP头内放置大量的数据来执行漏洞溢出，我怎么限制HTTP头的长度？

A. 你可以通过设置HTTP过滤器来设置最大的请求头长度，它应用于所有的规则。默认长度是32,768字节，你可以通过以下步骤来修改：在包含有HTTP协议的规则上点击右键，选择配置HTTP。你也可以通过脚本来修改，具体可以参见ISA Server SDK帮助。限制HTTP头的长度会应用到所有的规则，它是通过一个管理COM组件FPCWebProxy.MaxHeadersSize来设置的。

Q. 我想配置一个进入的访问规则，但是我不能为此规则选择一个进入的协议，为什么会这样呢？

A. 在ISA Server 2004中，进入的协议只会用于发布规则，对于访问规则，你只能选择出站的协议。

Q. 在一个本地化的语言环境中，使用集成验证的链式请求失败了，为什么会这样呢？

A. 这个问题是信任状的转换。集成验证失败了，下游代理会为上游代理使用guest账户。

Q. 使用网络负载均衡的ISA Server支持bidirectional affinity (BDA)吗?

A. 不，不支持BDA。

Q. 我在SMTP命令行中看见了Startls命令，这意味着SMTP过滤器支持SMTP
TLS加密连接吗？

A. 在使用STARTTLS 命令的时候，SMTP过滤器工作在直通模式，没有过滤任何SMTP流量。