ISA故障排除（PRC/終結點)

ISA故障排除（PRC/終結點)

原創：GiantWong

日期：2010-3-10

 

 

感謝：Google , ISA中文站,WinOS.cn，51CTO

 

故障關鍵字：
1.PRC服務不可用；

2.RPC通信問題；

3.終結點映射器中沒有更多的終結點可用。

 

2010年過年請了長假回家了趟，等過了年返公司時被同事告知ISA服務器掛了，現在用一臺PC在做代替，原老ISA怎麼裝都用不了。同事描述故障情況：
1.新裝WIN SERVER 2003 SP2/R2,加域正常，然後安裝ISA，之後無法添加域用戶。

2.若先裝ISA，打開內部通訊，則無法加入域。

3.兩個同事裝了N遍系統，都不成功，懷疑網卡問題。

     新年第一天上班就遇到這問題，實在頭疼，沒辦法，這臺老ISA必須得裝起來用，現在替用的PC是要裝到分廠去做IPGUARD監控的，只能暫時用着。還是自己裝下看看這臺老ISA到底什麼故障吧。

     先介紹下公司的網絡環境：

1.5M光纖上網，進交換接後，一條支線接硬件防火牆到EMAIL服務器及Web服務器。一條支線進路由器然後到ISA服務器及內網（交換機）。公司利用ISA及路由器的結合合理分配上網用戶及進行流量等其他行爲限制。

2.域環境，用戶300+。

3.ISA服務器硬件配置：HP G5+Windows server 2003 SP2+ISA 2006 ENT,單網卡。

     好，介紹完這些開始裝ISA服務器了。

1.  安裝完 Windows Server 2003 Sp2，計算機名：ISA, 加域，用域管理員用戶登錄，安裝ISA 2006,一切正常。

2.  建立內部-本機的訪問規則，OK.

3.  我們通過與AD結合來限制域用戶上網，所以現在我們要把允許上網的域用戶組加入到ISA的用戶集中。打開”ISA服務管理”,依次展開“Microsoft Internet Security and Acceleration Server 2006”-“陣列”-“防火牆策略（ISA）”，右邊的“工具箱”-“用戶”，點“新建”，依提示輸入名稱，下一步，點添加“Windows用戶和組”，在查找位置中選擇到域或選整個目錄，點“高級”-“立即查找”，列出了所有的域用戶信息，然後定位到INTERNET組（之前在域用戶中建立好的允許上網的域用戶組），點確定。問題出來了，此時等了好長時間，等到一個錯誤提示“添加..用戶時出錯…PRC服務不可用”，O，原來是這個問題啊，馬上查看服務中的RPC服務，顯示的是啓動的，正常。然後我重啓SERVER及RPC服務，故障依舊。檢查域，服務也啓動正常。這是個PRC通信問題。由於我對ISA 2006不太熟悉，一時不知道如何解決。

4.  之後上網查找，有提到去掉系統策略中的“強制符合RPC”可解決此問題。依次在ISA中單擊"防火牆策略”-“任務”--點開“編輯系統策略”-“身份驗證服務“-Active Directory-去掉“強制符合RPC”，再測試添加域用戶，還是不行。

5.  之後，我想到既然是RPC服務問題，我就把ISA中的“PRC篩選器”也禁止。先禁止“企業”中的“PRC篩選器”, 依次展開“Microsoft Internet Security and Acceleration Server 2006”-“企業”-“企業插件”，在““PRC篩選器”上點右鍵，選禁止。然後點開“陣列”-“ISA服務器名”-“配置”-“插件”，在““PRC篩選器”上點右鍵，選禁止。之後再加域用戶，OK，成功解決問題。

   搞定這個問題後，就忙其他事情去了，暫時幾天沒理這臺ISA，等今天我來配置策略加域用戶時，又在添加域用戶的時候出現故障，這次提示的是“由於如下錯誤,Windows不能處理名爲“Internet”的對象：終結點映射器中沒有更多的終結點可用”。我暈！不用這麼折騰我吧！上網一搜，看似1025端口的問題。那就打開1025端口試下。

進ISA管理器，新建“協議”，TCP出站1025到1025端口，UDP1025發送和接收。然後創建一個防火牆策略，“任務”-“創建訪問規則”，輸入名稱“1025通訊”，選擇剛建立的1025端口協議，從本機到內部，然後確定，應用。

之後再建用戶時，選擇域及域用戶一切OK，速度快很多，問題終於解決了。思來想去，之前的RPC通訊問題是否也是1025的端口問題呢？做測試，將之前關掉的PRC全部啓用，再添加域用戶，出錯了。看來兩個問題不能相提並論。

此文是我在使用ISA2006中的一點小經驗，寫出來分享給大家，希望給遇到此問題的朋友有所幫助。