平時的一些疑難小細節及解決辦法

1、PIX後面放DNS服務器，並且DNS服務器要成爲公網DNS服務器時，不僅要做靜態映射和ACL，還要在INSIDE接口放置permit ip any any的ACL

 

2、PIX後面放郵件服務器，並且郵件服務器需要讓外部訪問時，需要做靜態映射和ACL，並且需要關閉PIX
的MailGuard功能，MailGuard只允許SMTP （TCP25）通訊，這樣會造成潛在的問題。關係MailGuard的命令是 no fixup protocol smtp 25 （默認爲啓用） 在公網PC上輸入telnet X.X.X.X 25 正常情況下應該顯示SMTP服務器的Banner信息，如果無顯示或顯示亂字符，則表示ESMTP端口被阻擋，因爲MailGuard在起作用，關閉MailGuard後問題可排除。

 

3、在PIX上配置Remote Access ***時，需要isakmp nat-traversal 20命令。（重要）
   如果沒有這條命令導致的結果是，遠程的PC如果通過NAT/PAT連接至Internet，同一時間將只有1個用戶可以使用***，因爲經過PAT後 私網地址被隱藏，在PIX端看來只有1個公網地址與它建立安全關連（SA）所以同一時間內同一地址只允許建立一條SA連接（基於IP地址），以上命令將允許遠端在NAT內部的多個用戶同時建立***連接，讓PIX接受PAT

 

4、PIX只允許outside接口的SSH連接，不允許Telnet

 

5、Microsoft ISA安裝完畢後，默認將阻擋所有的通訊（協議）

 

6、配置WINDOWS時間同步（NTP）
 鍵入下列內容（其中 PeerList 是所需時間源的 DNS 名稱或 Internet 協議 (IP) 地址的逗號分隔列表）：
   w32tm /config /syncfromflags:manual /manualpeerlist:PeerList
   比如：w32tm /config /syncfromflags:manual /manualpeerlist:192.168.9.222 

 

  要更新類型，請鍵入：
    w32tm /config /update。

 

  註冊w32time服務：w32tm /register

 

7、Windows AutoUpdate Client在代理服務器之後無法獲得更新的問題 (比較重要)

   Windows AutoUpdate Client在代理服務器之後，如果需要從WSUS服務器獲得更新，需要在PC上指定WinHTTP代理服務器。

   命令如下：

 C:\>proxycfg -p "proxy-ip-address:port"

   這裏指定的代理服務器和IE裏的代理設置沒有關係。

   測試客戶機的AutoUpdate：
 1、C:\>net stop wuauserv 關閉WUAU服務
 2、C:\>del windows\windowsupdate.log 刪除原有Update日誌記錄
 3、C:\>net start wuauserv 開啓WUAU服務
 4、C:\>wuauclt /detectnow 立即執行Update操作
 5、檢查Windows\windowsupdate.log 日誌文件，該文件顯示配置的代理服務器地址/端口，如果成功更新會顯示success update

    如果代理服務器是ISA，需要開放FW策略允許HTTP，HTTPS，Kerberos-Sec(UDP)端口Pass-through

   參考信息：[url]http://support.microsoft.com/kb/900935/[/url]