问题[isa-server](server)

我有一个 windows server 2003r2 和 ISA Server 2004 当前我在 ISA Server 上创建了 2 个规则

1. 端口：80 重定向到运行 webapp1 的 ServerOne
2. 端口：85 重定向到运行 webapp2 的 ServerTwo

我有 2 个域 1:- webapp1.com 和 2:- webapp2.com 当请求来自端口 80 的 IsaServer 时，它重定向到 ServerOne，当请求来自端口 85 时，它重定向到 ServerTwo，这很好。

问题是我只有一个公共 IP 并且域站点不允许我使用端口 85 添加 A 类主机记录

例如，ISA 服务器是否可以侦听域名并按域重定向

1. 请求附带 webapp1.com:80 重定向到 ServerOne
2. 请求附带 webapp2.com:80 重定向到 ServerTwo

任何帮助将不胜感激。

在我们的大型企业环境中，我们设置了 4 个 ISA 2006 服务器。用户 (WinXP IE8) 配置有自动代理配置脚本。最近，PAC 被修改为返回 FQDN 而不是 ISA 服务器的 IP 地址。这样做是为了强制使用 Kerberos 身份验证而不是 NTLM。

此更改已导致某些用户出现间歇性问题。通过 SSL 访问站点时，他们会收到多个来自代理服务器的身份验证提示。并非所有用户都受到影响。不同的站点受到影响。有一次，其中一个代理服务器开始喷出“502 代理错误。不支持缓冲区空间。” 它被重新启动并重新开始营业。

我们能想到的最好结果是它与较大的 Kerberos 令牌大小有关（我们是一个拥有成百上千个 AD 安全组的大型操作）。

一些用户为 Kerberos 配置了 MaxPacketSize 和 MaxTokenSize。有些人没有。我看到的两个问题用户都有这些设置。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]
"MaxPacketSize"=dword:00000001
"MaxTokenSize"=dword:0000ffff

回滚 PAC 以使用 IP 地址（和 NTLM）可以解决用户的问题。但代理管理员仍然需要 Kerberos，原因如下：为什么在 IIS 中使用 Kerberos 而不是 NTLM？.

将这些注册表设置推送给所有用户会解决问题，还是这些设置是问题的根源？

ISA 服务器上是否有需要调整的设置以匹配桌面上的令牌大小设置？

谢谢。

我已按照此处的说明进行操作，但仍然无法连接。（当我尝试通过我的家庭网络时，VPN 设置确实有效）

http://support.microsoft.com/?scid=kb;en-us;838245

当我尝试连接时，我在日志中得到了这个 (Mac)

pppd: LCP: timeout sending Config-Requests

同样出于调试目的，是否有暂时禁用 ISA 防火墙的非破坏性方法？

编辑：

哇，我以为我已经添加了。它是什么类型的 VPN？

• PPTP

涉及哪些操作系统？

什么是 VPN 服务器软件？

• VPN 托管在 Windows Small Business Server 2011 上

• 从 Windows Small Business Server 2003 连接（应用所有更新）

• 还尝试从 Mac OS X 10.7.4 连接

• 当我使用我的家庭网络时，我可以正常连接。

客户端软件？

• 系统默认。（例如 Mac系统偏好设置>网络> + > VPN、PPTP）

ISA 日志中有任何内容吗？

• 将不得不检查。我发现挖掘 ISA 2006 日志相当棘手。

我找不到问题的明确答案：

-ISA 2006 是否在同一端口上支持超过 1 个侦听器（HTTPS /443，具有相同的证书/和不同的身份验证方法 - 一个是带有 AD 的 FBA，另一个没有身份验证）。

我需要它才能通过我们发布网站的同一台 ISA 服务器发布 ADFS（用于 Azure），但我似乎无法配置它。

谢谢！

几个小时以来我一直把头发拉出来，想知道是否有人可以帮忙。我有一台带有两个网络接口的服务器，它正在运行 isa 2004 并一直嗡嗡作响，直到我安装了 sbs service pack + isa 2004 service pack 3。Grrrrrrrrrr

我可以让客户端机器连接到 Internet，但只能通过在每台机器上安装 ISA 客户端或在 Internet 设置中设置代理设置等。

理想情况下，我希望客户端机器像以前一样在没有配置或代理服务器设置的情况下工作。

我从哪里开始，如果有的话，你还需要我提供什么其他信息来找出我做错了什么

谢谢！

在安装和配置 ISA 并工作一段时间后，是否有任何问题或陷阱，包括 ISA 服务器进入域？

目前所有的规则都是基于 IP 地址，所有用户。

附录 1

ISA 是一种边缘防火墙，因此它连接到一个内部网络（这是域所在的位置）和 Internet 提供商（外部网络）。

附录 2

我绝对确定 ISA 应该是该域的成员。

这是我的设置：
- 带有 3 个 NIC 的 win2003 服务器（安装了 ISA）：
  1）内部网络
  2）ISP 1（默认）网络（启用 DHCP）
  3）ISP 2（备份）网络（启用 DHCP）
-几个“普通”PC内部网络内
- 内部网络内的一台“特殊”PC

ISP 1 和 ISP 2 都通过其 VPN 连接提供对 Internet 及其资源的访问。

目标是让所有“普通”PC 都能通过 ISP_1 的 VPN 连接使用互联网，而“特殊”PC 应该只使用 ISP_2 的 VPN 连接。
此外，所有“普通”和“特殊”PC 都应该能够访问只能通过 ISP_2 的 VPN 连接访问的多个服务器。

我有一些想法如何实现这一点，但我想确定一下，因为一切都应该尽快配置，避免大量停机。

UPD：如果没有 ISA，有什么想法可以解决这个问题吗？

windows-server-2003 isa路由vpn

ISA 2006 可以在 Windows Server 2008 32bits/64bits 上运行吗？

在 Go Daddy 证书的帮助下，我在通过 https 提供我们的服务方面取得了很大进展，后来升级到 Thawte SSL123 证书。但是，我刚刚遇到了一个大问题。

这是我的设置：我运行 ISA 2006 防火墙。我们的网络服务分布在 2 台服务器上。一种是 Windows 2000 (www.domain.com)，另一种是 Windows 2003 (services.domain.com)。所以，我需要为 www 和 services 购买 2 个证书，将它们导入各自机器上的 IIS6，然后使用主键导出它们（如果可能，请确保在证书路径中包含所有证书......我愣了一会儿），然后终于将它们导入到 ISA 的本地计算机个人商店中。我刚刚遇到的问题是我对 services.domain.com 和 www.domain.com 有单独的防火墙规则......因为请求需要转发到不同的 Web 服务器。这些防火墙规则中的每一个都使用相同的 httplistener。我刚刚发现每个 httplistener 只能使用 1 个证书。更糟糕的是，每个 ip / 端口只能有一个 httplistener。这个对吗？我只能对一个 IP 地址使用一个证书吗？这似乎是一个严重的限制。我错了吗？如果我不是，那么我还有很多工作要做，因为我必须设置额外的 ip，将它们添加到防火墙的网络接口，使用该 ip 创建新的侦听器，等等......

有人可以确认我这样做正确/错误吗？一旦我把头缠在这一切上，一切似乎都很容易……然后就是这个。

提前致谢。

编辑：解释我认为我现在必须做的是：设置 www.domain.com 使用一个 IP 地址，设置 services.domain.com 使用另一个 IP 地址。然后为每个创建单独的 httplisteners（嗯......创建一个，因为已经存在一个）。一个安装了 www 证书，另一个安装了服务证书。这听起来如何？

给定 ISA 服务器后面的公共 WiFi 热点和单个 Internet 地址，哪些规则或内容过滤器可用于实现此配置？

• 允许匿名用户上网、通过 IM 聊天并连接到他们不同的工作场所 VPN

• 限制 Bittorrent 和其他 P2P 客户端吸引 MediaSentry 和其他人的注意。

如果 ISA 防火墙策略足够，将显示什么样的测试？例如，使用 uTorrent 客户端，您可以配置使用的端口（用于传入连接？），那么更改为端口 80 是否会显示 P2P 流量是否通过？

排名靠前的 P2P 网络似乎是 Bittorrent、DC++、eDonkey 和 Usenet。