微軟 ISA SERVER 2004 HANDS ON LABS 教學光碟英文版 (2片裝) 軟體簡介: 微軟ISASERVER2004HANDSONLABS教學光碟英文版(2片裝) 【內容說明】★◇以下中文譯文說明僅供參考,請依實際軟體內容為準◇★ 微軟InternetSecurityandAcceleration(ISA)Server2004是當前被廣泛應用的企 業邊界網路安全解決方案,它能夠保護企業的關鍵應用程式免受來自網際網路的威脅。 ISAServer2004能夠提供安全的應用程式連接和資料訪問,通過對企業網路層提供全狀 態的包過濾、應用程式過濾以及統一的發佈工具,對企業整個網路環境內的應用程式、服 務和資料提供安全的連接,從而為您的業務開展提供有力的保障。ISAServer通過一個統 一的防火牆和虛擬專用網路(VPN)架構,以簡化的管理來優化企業整體的網路環境,降低 企業的IT風險和成本,把惡意軟體和入侵行為拒絕在企業的邊界之外。 針對ISAServer2004已經廣泛被應用的事實,本文將針對ISAServer操作過程中較為廣泛 出現的問題以及相應的解決方法,致力於提供能夠實際解決用戶應用過程問題的方法。本文 面對的物件是已經完成了ISAServer的安裝、配置等工作,而且假設用戶在使用的過程中遇 到了哪些問題,本文將對這些問題做出解答。 下面將簡述筆者使用的實驗環境,為快速部署企業級的ISAServer2004應用環境而避免較為 繁瑣的網路、應用軟體配置,筆者採用了ISAServer2004Hands-OnLabs虛擬機實驗環境。 2、疑難問題解決工具 微軟提供了一款名為ISAServerBestPracticesAnalyzer的工作用以進行ISAServer的疑難 問題解決,該工具能夠掃描本地ISAServer電腦上的配置設置,並報告未施行推薦的最佳實踐 的事件,它能夠在任何安裝有微軟.NETFramework1.1的電腦上運行,而且能夠對以下版本的 ISAServer進行掃描: ISAServer2004StandardEdtion; ISAServer2004EnterpriseEdtion; ISAServer2004StandardEdtion; ISAServer2004EnterpriseEdtion; 讀者可以通過以下步驟來部署並使用該工具: 1)下載ISAServerBestPracticesAnalyzer從以下鏈結:MicrosoftDownloadCenter,安 裝檔被拷貝到:%SystemDrive%\programfiles\IsaBPA目錄當中; 2)從“開始”功能表啟動該程式,點“開始”、“所有程式”、“MicrosoftISAServer”、“ISATools”、 “ISAServerBestPracticesAnalyzer”,然後點擊“開始掃描”來運行該工具。 3)復查結果並解決所有問題,當運行ISAServerBestPracticesAnalyzer的時候,每個錯誤或 者警告都有一個相關的幫助主題,其中包括了如何解決問題的詳細指導。 對於ISAServer企業版而言,對ISA陣列當中的每個成員都安裝ISAServerBestPracticesAnalyzer工具。 二、SSL認證疑難問題解決 1、SSL認證應用場景 安全套接層(SSL)伺服器認證在一下ISA伺服器發佈場景中廣泛應用: 1)與伺服器發佈規則一起發佈 ISAServer通過伺服器發佈來處理對內部伺服器的入站請求,內部伺服器通過在用戶端請求的網路 位址和實際被發佈的伺服器位址之間建立網路位址轉換(NAT)關係的機制而得到保護。對外發佈的 IP位址事實上是部署ISAServer的伺服器,從而保護企業的內部資源。伺服器的發佈並不具備類Web發 佈當中的超文本傳輸協定(HTTP)或安全的超文本傳輸協定(HTTPS)的優勢。在這種發佈規則下, ISAServer不提供應用層傳輸過濾的功能。 伺服器的發佈規則被應用於發佈基於除HTTP和HTTPS協定之外的協定,如運行微軟SQLServer的電腦。 當伺服器通過一個安全的SSL連接進行發佈時,用戶SSL伺服器認證在發佈的伺服器上進行,而不會在安 裝ISAServer的電腦進行SSL認證。 2)與Web發佈規則一起發佈 Web發佈方式是在發佈HTTP和HTTPS相關的協定時推薦的發佈方式,如微軟OutlookWebAccess伺服器等, Web發佈規則提供了一系列的伺服器發佈優勢,包括在HTTP資料包發佈之前進行加密和資料核對操作等、 來自對已發佈的Web站點的Web回應緩存、ISAServer用戶端認證以及對於基於HTTP和HTTPS的資料被進入 內網之前進行的Web應用程式層傳輸過濾等。 2、使用SSL認證的常見問題和解決方法 1)問題:當我生成一個認證簽名請求(CertificateSigningRequest,CSR)時,我應該在“通用名稱” 一欄輸入什麼? 解決方法: 通用名稱一欄應當包括域或伺服器的名稱,在名稱中不要包括http://或者任何子目錄的識別字“/”在功能 變數名稱之後,同時不要添加埠名稱。正確的方式為:www.mydomain.com,mydomain.com,以及secure. mydomain.com等。 2)問題:500InternalError-Thetargetprincipalnameisincorrect的錯誤原因是什麼? 解決方法: 此錯誤在SSL用戶端向ISAServer請求的名稱和在Web站點認證的通用名稱不一致的情況下發生,請按照以 下建議來檢查認證名稱: a、對於在ISAServer電腦上的證書而言,其名稱必須與用戶端請求的名稱一致; b、對於在發佈的Web伺服器上的證書而言,其名稱必須與顯示在發佈規則上的“目的證書”名稱一致; c、對於在伺服器發佈場景中的Web伺服器上的認證,認證必須與用戶用以連接到伺服器的證書名稱一致。 為排除錯誤,讀者可以選擇或者獲得一個與請求的名稱相一致的證書,或者修改被請求的名稱以滿足通用名 稱。另外,確保ISAServer能夠解析發佈的Web站點的IP地址。如果讀者修改了“目標證書”的名稱,一種確 保這一名稱能夠被解析的方法是添加一個主機檔到ISAServer電腦的以下目錄:$System/system32\drivers\etc\hosts 當中,用以進行名稱和IP地址匹配。 3)問題:如何使用同樣的IP位址和埠、不同的證書來發佈多個SSL站點? 解決方法: 用戶只能對於一個監聽器使用一個SSL證書,如果所有的站點使用同樣的功能變數名稱進行發佈,您可以使用一 個統配證書,然後使用一個單獨的IP位址和單獨的監聽器來發佈多個站點。例如如果您嘗試發佈以下三個站點: OWA、WebSite1、WebSite2到域domain.com當中,您可以在ISAServer電腦上為該域申請一個統配證書。 4)問題:我在我的IIS4.0Web站點上安裝了一個證書,並到導出到ISAServer當中,當我嘗試選擇Web監聽器當 中的證書的時候,有一個訊息方塊彈出說沒有認證被安裝。 解決方法: 當從ISS4.0導入證書的時候並不會自動地生成.pfx格式的檔,而且微軟WindowsServer2003並不能識別它是一 個證書。為解決該問題,首先安裝IIS6.0,然後把證書從IIS4.0導入到IIS6.0,最後把證書從IIS6.0中導出 並安裝在ISAServer中。 5)問題:在使用統配證書時遇到了以下錯誤:500InternetServerError-Thetargetprincipalnameisincorrect。 解決方法: ISAServer2004支援在發佈的伺服器上使用統配證書,當使用HTTPS到HTTPS的橋接時,不能使用統配證書來授 權後端的Web伺服器,而應在內部的Web伺服器上,創建一個新的符合內部Web伺服器名稱的證書,作為針對Web發 佈規則中的“目的證書” 6)問題:在發佈基於HTTP的遠端程式呼叫(RemoteProcedureCall,RPC)的時候遇到以下錯誤: 500InternetServerError-Thetargetprincipalnameisincorrect,但客戶請求的名稱與ISAServer電腦 上的證書名稱一樣。 解決方法: 當在ExchangeServer設置的“連接”標籤中創建一個新的“展望”屬性時,用戶需要點擊“交換代理設置”來指定基於 HTTP設置的RPC。通過“使用這個URL來連接到Exchange代理伺服器”,確定輸入了與證書中顯示的一樣的名字,選 擇“當通過SSL連接時總是通過認證”,然後在“代理伺服器首要名稱”中再次輸入顯示在證書中的通用名稱。例如, 如果用戶端用以訪問這一站點的通用證書名稱為FQDN,用戶需要以msstd:commanname的格式輸入。 如果這一錯誤在使用統配證書的時候出現,確保“代理伺服器首要名稱”展望設置被定義為msstd:*domain.com,而不 是server.domain.com。 7)問題:配置過程中遇到以下消息:500InternalServerError.Thecertificatechainwasissuedbyan authoritythatisnottrusted. 解決方法: ISAServer必須信任來自發佈的伺服器上的證書,確保CA證書在ISAServer信任的跟認證授權認證庫。 8)問題:當創建使用證書的Web監聽器時,遇到以下消息:Therearenocertificatesconfiguredonthisserver. 而事實上已經有一個證書,但為什麼不可以呢? 解決方法: 這一消息可能同時還會在事件流覽器中指明證書的私鑰無法被讀取,該錯誤可能在以下情況中出現: SSL證書和它相應的私鑰未被導入到ISAServer電腦上正確的證書庫中,SSL證書被從一個證書存儲庫中移動到了另外 的證書庫中,導致SSL證書與它相應的私鑰分離。當從Web伺服器中導出證書的時候,用戶可能並不確定私鑰也應該被導出來。 檢查私鑰是否被導出,然後檢查證書是否在本地電腦帳號下導入到了專有的存儲庫中。 9)問題:遇到以下消息:500InternalServerError.Thecertificateisrevoked. 解決方法: 為確保CA公鑰基礎架構的統一性,CA管理員需要在確定的該證書不再可用的情況下才能吊銷該證書。當一個證書被吊銷 後,該證書將會被添加到證書吊銷列表(CertificateRevocationList,CRL)。CA管理中心階段性地發佈一個更新過 的CRL。CRL分佈點被用以提供一個證書檢驗器,該檢驗器用以回復當前的CRL。這一錯誤在根證書無能找到一個CRL的分 佈點或者證書已經被吊銷的情況下發生。 10)問題:想要使用有多個通用名稱在內的證書,例如https://servername和http://www.server_name.com,ISAServer 能夠傳遞多個通用名稱嗎? 解決方法: 不可以,ISAServer只能夠引用證書當中的第一個通用名稱,而且不支持多個名稱。 三、使用IPSec的VPN疑難問題解決 1、檢查模式完整性事件 它對於判斷主模式和快速模式這兩種模式中哪種IPSec通信的模式是有缺陷的,有多種方法來檢查主模式或快速模式的狀態 或者是否失敗,包括: 1)啟用監控以確保IPSec相關的事件被記錄; 2)使用IP安全監控來流覽IPSec資訊; 3)使用一個Oakley日誌檔,但Oakley日誌檔不會在WindowsServerLonghorn或者WindowsVista作業系統下產生。 2、審計IPSec事件 網際網路密鑰轉換(InternetKeyExchange,IKE)事件將會被記錄到安全日誌中,IKE事件的分類同樣被用以審計登錄事 件而不僅僅是IPSec,本地電腦的系統管理員可以通過以下方法啟用本地電腦日誌: 為本地電腦啟用日誌: 1)在“控制面板”中,雙擊“管理工具”; 2)雙擊“本地安全策略”; 3)在控制臺目錄中,展開“本地策略”,然後點擊“審計策略”; 4)在細節面板中,雙擊“審計登錄事件”,如果要審計成功的嘗試,選中“成功”核取方塊,如果要審計失敗的嘗試,選中“失 敗”核取方塊。 當啟用成功和失敗審計之後,IPSec將記錄成功每次主模式或快速模式通信的成功或失敗的記錄,而且把每次通信的創建和結 束事件處理為獨立的事件。但是啟用這種類型的審計會導致安全日誌充滿了IKE事件。比如,對於連接到Internet的伺服器而 言,對IKE協議的攻擊可能導致安全日誌充滿IKE事件的記錄。IKE事件也可能充滿使用IPSec來確保到多個用戶端的傳輸的伺服 器上的安全日誌,為避免這樣的事情發生,系統管理員可以通過創建以下註冊表鍵來禁用在安全日誌中對IKE事件的審計。 在安全日誌中禁用IKE事件審計: 1)點“開始”,然後點“運行”; 2)在“打開”一欄中,輸入“regedit”,然後點“確定”; 3)展開“HKEY_LOCAL_MACHINE”,展開“System”,展開“CurrentControlSet”,然後展開“Control”; 4)右擊“LSA”,指向“New”,然後點“Key”; 5)為該鍵輸入“DisableIKEAudits”的名稱; 6)在細節面板中,右擊預設值,然後點“Modify”; 7)在“ValueData”中,輸入“1”,然後點“確定”; 8)推出註冊表編輯器。 注意:不正確的註冊表修改可能對系統帶來很多的危害,在對註冊表做任何修改之前,系統管理員應該備份任何對電腦有價值的 資料。 在對註冊表進行了以上修改之後,系統管理員必須重啟電腦或者通過在命令行中運行以下命令來重啟IPSec服務:netstoppolicyagent 和netstartpolicyagent。停止和重啟IPSec服務可能會斷開該電腦對外所有採用IPSec進行的連接。 3、IP安全監視器 在微軟WindowsServer2003和WindowsXP作業系統中,IP安全監視器被部署為微軟管理控制臺(MicrosoftManagementConsole,MMC) 的一個管理單元,讀者可以通過以下步驟來流覽IP安全監視器: 1)點“開始”,然後點“運行”; 2)在“運行”對話方塊中,輸入“MMC”,然後點“確定”; 3)點“檔”功能表,然後點“添加/刪除管理單元”; 4)在“添加/刪除管理單元”對話方塊中,點“添加”; 5)在“添加/刪除管理單元”的獨立對話方塊中,從管理單元列表中選擇“IP安全監視器”,然後點“添加”,點“關閉”來關閉“添加/刪除 管理單元”的獨立對話方塊,然後在“添加/刪除管理單元”對話方塊中點“確定”; 6)在“檔”功能表中,點“保存”來保存控制臺設置並指定一個要保存的名稱; 7)在“IP安全監視器”控制臺中,點“添加電腦”來添加本地電腦或者遠端電腦; 8)要流覽主模式的細節,展開想要流覽IPSec資訊的電腦,然後展開“主模式”,展開“安全相關”並確定在這兩個VPN端點之間是否有關聯; 9)對“快速模式”重複同樣的過程。 IP安全監控器同樣允許用戶來流覽關於活動IPSec策略的細節,這些策略往往被用於域或者本地,用以流覽快速模式和主模式的統計資料, 以及IPSec安全關聯性(SecurityAssociations,SAs)。IP安全監控器使用戶能夠搜索特定的主模式或者快速模式篩檢程式,為解決複 雜的IPSec策略設計,讀者可以使用IP安全監控器來搜索所有符合一個特定傳輸類型的篩檢程式。 4、Oakley日誌檔 儘管在事件流覽器中啟用審計、日誌以及流覽IKE事件是最簡單的解決主模式或快速模式通信出錯的最簡單的方法,但在一些情景下用戶 需要更為詳細的分析才能夠解決複雜的問題。IKE跟蹤日誌(systemroot\Debug\Oakley.log)是一個詳細的IKE內在可操作的解決疑難問 題的日誌,該日誌有一個固定為50,000行的大小,而且在必要的情況下將會重寫。每次IPSec服務啟動時,就會創建一個新的Oakley.log檔, 而之前版本的Oakley.log檔將會被保存為Oakley.log.sav文件,當Oakley.log檔將要被寫滿的時候,它將會被保存為Oakley.log.sav檔, 同時將創建一個新的Oakley.log文件。由於很多IKE通信可能同時發生,用戶應當最小化通信的數量而且應當在盡可能短的時間內記錄日誌 以獲取更有參考價值的日誌檔。在WindowsServer2003操作環境中,用戶可以在伺服器運行的過程中動態地啟用或者禁用IKE跟蹤日誌。 5、VPN網路主機之間的ping命令被禁用 1)現象:本地內部網路的主機不能使用ping命令來找到遠端IPSec網路當中的主機,ping命令顯示以下消息:“與IP安全通信中”,而且無法 收到響應。 2)原因:該錯誤在以下情景中出現: a、在ISAServerVPN網路當中的電腦嘗試使用ping命令來找到遠端VPN網路當中的電腦時; b、在遠端電腦上定義ISAServerVPN網路的時候,管理員沒有把ISAServerVPN通道終端位址包含進來; c、遠端VPN網路中的電腦嘗試使用ping命來來找到一個在ISAServerVPN網路中的電腦時; d、當在ISAServer電腦上定義遠端站點VPN網路時,管理員沒有把遠端VPN伺服器上的VPN通道終端位址包含進來。 3)解決方法: 確保在IPSec通道的各個方面定義遠端VPN站點時添加了VPN通道終端的位址,比如,如果ISAServer電腦為伺服器A,一個第三方的VPN伺服 器為伺服器B,當在伺服器B上定義伺服器A的VPN網路是,把伺服器A的位址包含為VPN終端。當創建一個代表了在ISAServer管理當中的遠端 VPN站點遠端網路物件時,管理員可以通過運行“創建VPN站到站連接嚮導”來創建,具體操作步驟如下: a、在ISAServer管理面板中,點“VirtualPrivateNetwork(VPN)”節點; b、在“遠端站點”面板上,右擊想要創建一個代表遠端VPN站點的遠端網路物件,然後點“屬性”; c、在“地址”面板上,確認IP地址列包括了遠端閘道IP地址。