平时的一些疑难小细节及解决办法

1、PIX后面放DNS服务器，并且DNS服务器要成为公网DNS服务器时，不仅要做静态映射和ACL，还要在INSIDE接口放置permit ip any any的ACL

 

2、PIX后面放邮件服务器，并且邮件服务器需要让外部访问时，需要做静态映射和ACL，并且需要关闭PIX
的MailGuard功能，MailGuard只允许SMTP （TCP25）通讯，这样会造成潜在的问题。关系MailGuard的命令是 no fixup protocol smtp 25 （默认为启用） 在公网PC上输入telnet X.X.X.X 25 正常情况下应该显示SMTP服务器的Banner信息，如果无显示或显示乱字符，则表示ESMTP端口被阻挡，因为MailGuard在起作用，关闭MailGuard后问题可排除。

 

3、在PIX上配置Remote Access ***时，需要isakmp nat-traversal 20命令。（重要）
   如果没有这条命令导致的结果是，远程的PC如果通过NAT/PAT连接至Internet，同一时间将只有1个用户可以使用***，因为经过PAT后 私网地址被隐藏，在PIX端看来只有1个公网地址与它建立安全关连（SA）所以同一时间内同一地址只允许建立一条SA连接（基于IP地址），以上命令将允许远端在NAT内部的多个用户同时建立***连接，让PIX接受PAT

 

4、PIX只允许outside接口的SSH连接，不允许Telnet

 

5、Microsoft ISA安装完毕后，默认将阻挡所有的通讯（协议）

 

6、配置WINDOWS时间同步（NTP）
 键入下列内容（其中 PeerList 是所需时间源的 DNS 名称或 Internet 协议 (IP) 地址的逗号分隔列表）：
   w32tm /config /syncfromflags:manual /manualpeerlist:PeerList
   比如：w32tm /config /syncfromflags:manual /manualpeerlist:192.168.9.222 

 

  要更新类型，请键入：
    w32tm /config /update。

 

  注册w32time服务：w32tm /register

 

7、Windows AutoUpdate Client在代理服务器之后无法获得更新的问题 (比较重要)

   Windows AutoUpdate Client在代理服务器之后，如果需要从WSUS服务器获得更新，需要在PC上指定WinHTTP代理服务器。

   命令如下：

 C:\>proxycfg -p "proxy-ip-address:port"

   这里指定的代理服务器和IE里的代理设置没有关系。

   测试客户机的AutoUpdate：
 1、C:\>net stop wuauserv 关闭WUAU服务
 2、C:\>del windows\windowsupdate.log 删除原有Update日志记录
 3、C:\>net start wuauserv 开启WUAU服务
 4、C:\>wuauclt /detectnow 立即执行Update操作
 5、检查Windows\windowsupdate.log 日志文件，该文件显示配置的代理服务器地址/端口，如果成功更新会显示success update

    如果代理服务器是ISA，需要开放FW策略允许HTTP，HTTPS，Kerberos-Sec(UDP)端口Pass-through

   参考信息：[url]http://support.microsoft.com/kb/900935/[/url]