Internet Security and Acceleration (ISA) ServerForefront Threat Management Gateway (TMG)

经验分享:因操作系统与TMG网络适配器配置信息未同步引发的网络访问故障

        前段时间在协助一家企业进行 TMG 的评估工作,大致的环境是在位于两个城市的中心机房各部署一套 TMG,并使用 PPTP 实现了 Site-to-Site VPN,从而将两地的 IT 环境相联。但是遇到了一系列的诡异问题,特与大家分享一下。

        初期的测试都是非常顺利的,但是在运行一段时间后,评估环境内的用户反应有某银行的网上银行站点无法访问,通过 Live Log 以及 Network Capture 对一系列访问数据进行分析发现 Live Log 中记录的都是 RST对方银行使用了某种网络优化手段,对子站点实施了线路优化,但是又有违常规,简单说当用户访问“http://www.xxxbank.com”时对应的是一个 IP 地址,但是当通过该站点页面访问二级目录“http://www.xxxbank.com/enterprise”时却会被重定向到另外一个 IP 地址上。

        利用 ping 等命令也做了简单的测试,发现“www.xxxbank.com”是别名解析,对应的是“www.lc.xxxbank.com”,而这个域名会自动识别用户 IP 来重定向到对应的另一个主机域名->网络 IP。这一系列的访问过程却让评估环境下的 TMG 用户出现了无法访问的故障,而这一故障并不是一直会重现,偶尔能够正常访问。当错误发生时在 Live Log 中能看到是因为 RST 相关的错误,此外在 TMG 本机访问银行是没有问题的,如果将客户端配置为 Web Proxy 便能恢复正常。

        而在另外一个城市的 TMG 环境下测试发现均未出现此类的故障。但是两地解析域名所得到的 IP 会有所不同,问题出在了哪里呢?!曾经与银行方面也联系过,未果!后来在微软技术支持工程师的帮助下了解到,TMG 在创建 Site-to-Site VPN 后,会将对端网络中的 DNS 作为本机的主 DNS,那么就会出现 TMG 本机上访问网站时得到的解析结果是 VPN 对端网络里的 DNS Server 给出的,而本地 TMG 后端的用户解析则是本地 DNS Server 给出的,其结果将会得到两个解析数据。

        之后在“路由和远程访问”中对 VPN 拨号连接进行了设置,将 TCP/IP 下的 DNS 手动改为 TMG 本地网中的 DNS Server 地址,随后的一段时间里访问看起来是“正常了”。

        果然,好景不长!评估环境的用户又反应访问某市公安局网站(也实施了线路优化)时无法访问,这次即使为客户端配置 Web Proxy 也无济于事,同时在 TMG 本机测试也无法访问,问题到底出在哪里了呢?!从早期检测到的 RST 未返回数据包到 FIN 三次握手失败等一系列的故障看,TMG 自身一定是存在问题。先后在多个 TMG 环境下对比测试,排除了 TMG 软件设计方面可能存在的不兼容问题,那么就要将注意力集中到这台 TMG 配置上。

        最后发现,在 TMG 网络适配器中,当前外网的网卡默认 IP 与操作系统的外网网卡默认 IP 不同(注:TMG 外网绑定了多个 IP 地址),问题可能就出在这里。当 TMG 访问外部时,可能使用系统配置的 IP 作为宿主,但是客户端访问时却使用了 TMG 配置的 IP,这有可能就是引发 RST 和 FIN 问题的最终原因。随后将两个配置信息重新修改一致后,所有的访问都恢复了正常,之前的故障未在出现!

        但是,引发数据不同步的原因一直不明,回忆之前的部署过程,有过两个管理员同时配置 TMG,而服务器也因为内存问题出现过故障,还导致 TMG 缓存配置与数据库不一致的问题。目前评估工作一直在进行着,最近又接到通知 TMG 在华停止销售,因为销售许可到期,不过听闻也许在五月底就能恢复销售!

        总之,TMG 作为一款受青睐的企业级的网络安全和加速产品,在华业务任重道远……

解决 TMG 服务器日志报 ADWS ID1202 错误的问题

        Forefront Threat Management Gateway(TMG)2010 需要 ADAM 支持,因为它将配置信息都存储在 ADAM 中!所以在正式安装前需要执行“运行准备工具”,而这个阶段会根据用户的选择(安装”Forefront TMG 服务和管理”) 安装必须要的组件支持,如“Active Directory 轻型目录服务”即:AD LDS,用于存储 TMG 配置数据。

image

        但是,在部署完 TMG 之后,我们会在“应用程序和服务日志”下的“Active Directory Web Services”中看到产生了很多的错误日志,如下图所示:

ADWS_1202

        仔细查看日志,来源“ADWS”,事件ID“1202”,大致内容“现在该计算机正在托管指定的目录实例,但 Active Directory Web 服务无法为其服务。Active Directory Web 服务将定期重试该操作。……”

        搜索了 Microsoft Support 未找到任何线索,考虑到本机未安装有 Web 服务,所以果断在“服务”管理器中将 Active Directory Web Services 服务禁用(sc config adws start= disabled)。重新启动 TMG 错误日志消失,系统和应用程序工作正常,未发现不良影响!至此问题解决!

Tags: , , , ,

    解决因 TMG 配置数据不完整引发的 MMC 操作故障

        最近遇到一个 TMG 故障,在使用 TMG 控制器进行配置操作时没有问题,但是保存时提示错误,仔细查看发现在规则列表中竟然有两个规则只有名称而没有其他配置信息,当去操作或查看时会报下面的错误截图,导致无法对 TMG 进行操作和修改。

TMG_MMC_Error

        回忆一下之前的操作,极有可能是因为两个管理员同时配置 TMG 在保存时,配置数据未能同步,从而引发了此故障问题。之后给微软开了 Case,提出了两个解决办法:

  1. 使用 TMG 光盘对安装进行修复。(PS:感觉这个解决办法风险太大,首先要暂停网络访问,而且可能会导致之前的规则丢失。)
  2. 直接操作 TMG 配置数据库,从数据库中删除不完整的规则。(PS:我个人认为这是一种可行的办法,但是直接修改 TMG 数据库的风险也很大,而且要找到规则对应的 GUID。)

        最终选择了第二种解决方法,现在要解决两个问题:如何访问到 TMG 配置数据库;如何确认规则所对应的 GUID。前者,微软工程师给了连接到 TMG 配置数据库的方法,可参考 gOxiA 之前些的日志《使用 ADSI 访问 TMG 的配置数据库》。而后者,gOxiA 尝试导出 TMG 的规则,进行查看果然找到了规则对应的 GUID,如下图所示:

image

        其中“StorageName”便是规则所对应的 GUID,而且知道规则隶属于“PolicyRule”,接下来参考《使用 ADSI 访问 TMG 的配置数据库》去操作 TMG 的配置数据库(ADAM),如下图所示:

image

        展开 CN=FPC2,CN=Array-Root,CN-Arrays,CN=GUID,CN=ArrayPolicy,CN=PolicyRules。从字面上不难理解这些项的意思,但是其中 FPC2 表示 TMG 的配置数据库,而导出的规则文件中则为 FPC4,gOxiA 个人认为可能是微软为了区分数据等级,将 FPC2 认定为本机配置,FPC4 为备份配置。

        由于 TMG 的 ADAM 无法查询或筛选,要从 PolicyRules 下找到其 GUID 也确实是件难事,gOxiA 用了一个比较笨的办法,就是先导出列表,然后使用带有标注行号的编辑器打开导出的列表文件进行搜索。一旦找到对应的 GUID 便根据位置靠上从上数的原则确定在第几行,然后再到 ADSI 中去定位!

        最终结果当然是令人满意,未使用修复安装便解决了此故障! 如果有遇到同样问题的朋友,可以借鉴一下,希望会有帮助!此外,建议对 TMG 有兴趣的朋友可以看一下《TMG Storage》这篇文章,有介绍 TMG 的配置存储机制。其中就讲到了 TMG 还会在注册表中缓存一份配置信息,如果要重建注册表中的配置缓存,可以使用下面的办法:

  • 首先在 CMD 中执行如下命令行:
    reg add HKLM\SOFTWARE\Microsoft\RAT\Stingray\Debug\ISACTRL /v CTRL_MIXER_CACHE_BUILD_NEW_IN_NEXT_UPDATE /t REG_DWORD /d 1 /f
  • 然后重启 TMG 服务
  • 最后再在 CMD 中执行如下命令行:
    reg add HKLM\SOFTWARE\Microsoft\RAT\Stingray\Debug\ISACTRL /v CTRL_MIXER_CACHE_BUILD_NEW_IN_NEXT_UPDATE /t REG_DWORD /d 0 /f

        原文可参考:Rebuilding ISA Configuration Cache

Forefront_TMG2010_rgb_261x50  使用 ADSI 访问 TMG 的配置数据库

        Forefront Threat Management Gateway 2010(TMG 2010) 的前身便是 Internet Security and Acceleration Server(ISA),他是 MS ITPro 熟知的一款网络安全产品,被广泛应用在企业中,担当安全网关、Web 代理、Web 缓存、VPN 和发布内部服务的角色。在 ISA 升级到 TMG 后,其功能也更加强大,稳定性也有所提升!但是任何一款产品都并非完美,总会出现一些问题,表面看来可能致命,其实基本上都能进行排错解决!

        今天 gOxiA 要与大家分享的是如何使用 ADSI 工具访问 TMG 的配置数据库。TMG 配置数据通过 ADAM 进行存储,我们可以用 ADSI 工具进行访问操作。

  • 首先打开“管理工具”中的“ADSI 编辑器”,在左侧窗体选择“ADSI 编辑器”并鼠标右键点击“连接到…”
  • 在“连接点”的“选择或键入可分辨名称或命名上下文”的下拉框键入“CN=FPC2
  • 在“计算机”的“选择或键入域或服务器”下拉框中键入“localhost:2171
  • 最后点击“确定”

ADSI-TMG-ADAM

        只要能够连接到 TMG 的配置数据库,那么几乎所有在 TMG 控制器操作时出现的故障都能够解决。后续日志 gOxiA 会与大家分享一个典型的 TMG 排错案例!

Tags: , , , , ,

Forefront_TMG2010_rgb_261x50 多外网 IP 环境下为特定计算机或网络集指定 NAT 出口

        gOxiA 所在的公司前段时间进行了并网,将办公室网络与机房主干网进行了联结!至此,访问互联网的速度得到了质的提升。而办公室内的 Windows Small Business Server 2011 Standard(SBS2011)服务器不再需要通过 Smart Host 进行邮件的外发处理,而可以直接使用机房的公网IP。但是随即也引发了一些问题!因为前端部署有 TMG 服务器,而外网多个 IP 都绑定在 TMG 的外部网卡上(用于服务发布),默认情况下内网用户都会经由 TMG 的 Primary IP 进行 NAT 访问,因为业务需求 TMG 开放了内网 SMTP 的访问权限,那么此时就会出现安全问题。

        因为邮件服务器与其他用户使用同一个 Primary IP 访问 Internet,那么一些用户的访问行为可能会影响邮件服务器的信用等级!该如何为特定的计算机或网络集指定 NAT 呢?!gOxiA 就此问题曾咨询了 Microsoft Partner Support,获得的解决方案是需要部署 Exchange Edge,但是对于 SBS 来讲此解决方案并不合适,后来向 China MVP 的 MailList(NDA) 发送了求助邮件,获得了一个简单可行的解决办法!

        在 ISA/TMG 中我们可以利用网络规则来为特定资源指定 NAT 地址,这样 gOxiA 便可以为 SBS2011 单独指定一个 NAT IP,与办公室上网所用默认的 Primary IP 分离,从而保证了服务器的安全。为此,需要打开 TMG 控制器进行配置。

  • 在左侧的“控制台树”中展开“Forefront TMG”,并切换至“网络连接”
  • 在中间的内容窗体中点击“网络规则选项卡”
  • 在任务窗体中点击“创建网络规则”
  • 跟随向导执行操作,创建一个名为“SBS2011 to Internet”的网络规则
  • 在网络通讯源中添加一个“计算机”源,其中计算机源就是 SBS2011
  • 在网络通讯目标中添加“外部”
  • 在网络关系中选择“网络地址转换”
  • 在 NAT 地址选择中选择“使用指定的 IP 地址”,为 SBS2011 指定专用的 NAT IP
  • 最后完成操作

        至此,配置操作即告完成。现在我们可以服务器上访问 ip138 网站看看识别的 NAT IP 是否为指定的地址。最后感谢 王春海 和 刘力科 两位 MVP 提供的帮助!

识别 ISA Server 的版本号

[ 2009/02/26 11:57 | by gOxiA ]

logo-header-ff-isaserver 识别 ISA Server 的版本号

        ISA Server 上我们从产品关于信息中能够看到当前的版本号码,但是却很难确定该版本号码所对应的版本名称。今天 gOxiA 从 Forefront TMG(ISA Server) Product Team Blog 看到了 ISA Server 版本号的说明,特记录至此作为备忘,便于今后使用。

ISA Server 2000 (SE and EE)

RTM 3.0.1200.50

SP1 3.0.1200.166

FP1 3.0.1200.235

SP2 3.0.1200.365

Latest HotFix (not accumulated) 1200.443

ISA Server 2004 SE

BETA 4.0.2161.153

RTM 4.0.2161.50

SP1 4.0.2163.213

SP2 4.0.2165.594

SP3 4.0.2167.887

Latest HotFix (accumulated) 2167.905

KB951958

ISA 2004 EE

BETA 4.0.3437.63

RTM 4.0.3439.50

SP2 4.0.3443.594

SP3 4.0.3445.887

Latest HotFix (accumulated) 3445.905

KB951958

ISA Server 2006 EE/SE

RTM 5.0.5720.100

Supportability 5.0.5721.240

SP1 5.0.5723.493

latest hotfix 5.0.5723.507

KB 960148

Tags: , ,

ISA Server 出现 TermService 1036 导致无法远程桌面
        一台 ISA Server 2006 with SP1 标准版,每次停电重新启动后会导致不论从内部还是外部均无法远程桌面到该服务器上故障。一直找不到原因,困扰已久!唯一的解决办法就是删除访问策略重新添加,便可以恢复正常,甚是诡异!

        这次再次发生这个故障,不过总算是找到了线索,留意到一个事件日志,如下图所示:
remotedesktoperror_isa 

        来源:TermServcice,事件ID:1036,描述:终端服务器会话创建失败。相关的状态代码为 0x2740。阅读了KB555382,该KB地址是:http://support.microsoft.com/kb/555382

        了解到应该是 RDP 协议未能正确绑定网卡而导致的。根据 KB 对注册表进行了检查,发现并为有异常。那么问题出在了哪里呢?!

        首先重新审查 ISA Server 的配置及规则策略。该 ISA Server 外部绑定有 3 个公网 IP,内部共有3块网卡,有2块物理网卡连接两个子网,一块 Microsoft Loopback 网卡用于虚拟机网络。为了方便管理,在其中一个公网 IP 上发布了局域网中一台服务器的 RDP 服务,另外两个发布了本机的其中一个内网网卡IP上。

        OK,根据前面KB中所描述的信息,分析本案例发现,ISA Server 上的 RDP 绑定了所有网卡,也就是说在 Remote Desktop 启动后会对这些网卡上的 IP 进行侦听,假设我们创建了访问规则允许内部或外部访问 ISA Server 的 3389 或者创建了一个完全访问 ISA Server 规则,那么这条访问规则是正确的,ISA Server 开启了对本机 3389 的访问。

        但是,让我创建了一个发布规则,就意味着我需要在外部或某个接口上创建侦听,通俗讲就是在指定接口上创建了一个仿真服务用于接收用户请求,然后转向到指定要发布的服务器上。

        现在,真相大白了!原来是在 ISA Server 上创建的 RDP 发布规则与本机 RDP 协议冲突,从而导致重新启动后,RDP 启动失败。

        因为本案例中涉及发布 RDP ,那么正确的配置可以是这样的。配置 RDP 协议只侦听内部的一块网卡,然后创建侦听来自外部的 RDP 请求即可!

        问题很简单,但是一直没有注意到,可能也是因为创建的发布规则并没有收到 ISA Server 的警告。不过,自己做深刻检讨!主要的原因还是在自己……

imageimageimage

在工作组环境下的 ISA Server 2006 上发布 Windows SBS 2003 R2 ST 中的 Exchange Server OWA

环境说明:
两个子网(子网 A 和子网 B)分别是两个独立的 AD,其中子网 B 基于 Windows SBS 2003 R2,共同使用同一台 ISA Server 2006 访问互联网,并同时使用同一个公网 IP 用于服务的发布。其中 子网 A 暂不提供邮件服务的发布。

实施目标:
使用 ISA Server 2006 发布子网 B 中 Windows SBS 2003 R2 上 Exchange Server 的 OWA

实施要点:
1、导出 Windows SBS 2003 R2 中涉及的证书;
2、修改 Exchange Server 中的 HTTP 协议,禁用“启用基于表单的身份验证”;
3、在 ISA Server 2006 上导入 Windows SBS 2003 R2 的证书;
4、在 ISA Server 2006 上访问 OWA 进行测试,确保访问过程无任何提示警告(如:证书警告);
5、在 ISA Server 2006 上配置 LDAP 服务器的访问;
6、在 ISA Server 2006 上创建用于发布服务的端口侦听;
7、在 ISA Server 2006 上创建用于发布 OWA 的防火墙策略;

实施步骤:
一、在 Windows SBS 2003 R2 中导出证书,该证书用于 ISA Server 2006 发布 OWA 时所需。
1、在 Windows SBS 2003 R2 上打开 IIS 管理器,进入 Exchange 站点属性。export_cert_1

      早先在运营的一台 SBS 2003 上发现 ISA 日志监控中有非常详细的监控信息栏,感觉非常有用,可是发现自己手边的 ISA 及 Labs 里的 ISA 都没有这个功能,感觉非常遗憾,以为只有 SBS 2003 中的 ISA 包含这个特性,昨天在 QQ 群组中向大家询问了一下,发现有一个网友同样是 ISA 2006 但是有我说到的信息栏,郁闷!难道又遭遇 RPWT 了?!

      进入 Microsoft Download Center 寻找有关 ISA 的下载终于让我找到了,原来微软提供了一个针对 ISA 的支持更新包,安装这个支持更新包后,ISA 便拥有了强大的日志查询和分析的功能。看看下面的截图

官方详细的说明:

Microsoft Internet Security and Acceleration (ISA) Server 2006 支持更新

概述

Internet Security and Acceleration (ISA) Server 2006 支持更新为 ISA Server 2006 标准版和 ISA Server 2006 企业版提供了增强的疑难解答工具和改进的日志查看器功能。强烈建议客户在所有运行 ISA Server 2006 的计算机上安装此支持更新。

可以在运行 ISA Server 2006 的计算机上直接安装 ISA Server 2006 支持更新,其中包括下列内容:

• 自 ISA Server 2006 投入生产以来发布的所有软件更新。
• 改进的日志查看器功能,包括增强的详细信息窗格视图、文本着色和新增的日志筛选功能。
• 更新的 ISA Server Microsoft 管理控制台 (MMC) 管理单元功能,凭借它可以直接从 ISA Server 管理控制台访问可用疑难解答工具和选项。
• 与 Microsoft ISA Server Best Practices Analyzer 工具相集成。有关详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=79754。
• 新增的诊断日志记录功能。

[Q&A&T] ISA 服务器遭遇 RPC 故障

[ 2007/09/04 12:57 | by gOxiA ]

决定在 Blog 上有限地与大家公开分享我为网友解答问题及排错的经验和心得。这里需要注意标题中的 Q&A&T,他们分别是 Question;Answer;TroubleShooting 的缩写,其中要多加个 T 意在表示这个问题解答中包含排错的经验和心得。

网友Q:一台 ISA 服务器为 AD 成员,之前 ISA 运行良好,最近 ISA 总报 RPC 错误,无法登录到 AD?

A&T:首选需要检查日志中是否有可疑的警告或错误事件报告,经过查阅发现一条来源:Winlogon,事件ID:1219的错误警告。

在描述中明确指出RPC服务不可用,说明RPC及相关的服务出现了故障,使用addiag、dcdiag、netdiag分别作了测试,其中netdiag中检测到了可疑信息。

D:\Support Tools>netdiag

...................................

    Computer Name: ISA
    DNS Host Name: isa.contoso.com
    System info : Windows 2000 Server (Build 3790)
    Processor : x86 Family 15 Model 4 Stepping 3, GenuineIntel
    List of installed hotfixes :
        KB911564
        KB925398_WMP64
        KB925876
        KB925902
        KB930178
        KB931768
        KB931784
        KB931836
        KB932168
        Q147222


Netcard queries test . . . . . . . : Passed
    [WARNING] The net card 'RAS 同步适配器' may not be working because it has no
t received any packets.
    GetStats failed for '直接并口'. [ERROR_NOT_SUPPORTED]
    GetStats failed for 'WAN 微型端口 (PPTP)'. [ERROR_NOT_SUPPORTED]
    GetStats failed for 'WAN 微型端口 (PPPOE)'. [ERROR_NOT_SUPPORTED]
    [WARNING] The net card 'WAN 微型端口 (IP)' may not be working because it has
 not received any packets.
    GetStats failed for 'WAN 微型端口 (L2TP)'. [ERROR_NOT_SUPPORTED]
    [WARNING] The net card 'Intel(R) PRO/1000 MT Network Connection' may not be
working.

Per interface results:

    Adapter : contoso

        Netcard queries test . . . : Passed

        Host Name. . . . . . . . . : isa
        IP Address . . . . . . . . : 10.194.145.2
        Subnet Mask. . . . . . . . : 255.255.255.0
        Default Gateway. . . . . . :
        NetBIOS over Tcpip . . . . : Disabled
        Dns Servers. . . . . . . . : 10.194.145.5
                                     10.194.145.8


        AutoConfiguration results. . . . . . : Passed

        Default gateway test . . . : Skipped
            [WARNING] No gateways defined for this adapter.

        NetBT name test. . . . . . : Skipped
            NetBT is disabled on this interface. [Test skipped]

        WINS service test. . . . . : Skipped
            NetBT is disable on this interface. [Test skipped].

    Adapter : Internet

        Netcard queries test . . . : Passed

        Host Name. . . . . . . . . : isa
        IP Address . . . . . . . . : 202.202.202.2
        Subnet Mask. . . . . . . . : 255.255.255.248
        Default Gateway. . . . . . : 202.202.202.1
        NetBIOS over Tcpip . . . . : Disabled
        Dns Servers. . . . . . . . : 202.202.202.202

        IpConfig results . . . . . : Failed

            [WARNING] Your default gateway is not on the same subnet as your IP
address.

        AutoConfiguration results. . . . . . : Passed

        Default gateway test . . . : Passed

        NetBT name test. . . . . . : Skipped
            NetBT is disabled on this interface. [Test skipped]

        WINS service test. . . . . : Skipped
            NetBT is disable on this interface. [Test skipped].

    Adapter : VPDN

        Netcard queries test . . . : Passed

        Host Name. . . . . . . . . : isa
        IP Address . . . . . . . . : 10.194.146.129
        Subnet Mask. . . . . . . . : 255.255.255.192
        Default Gateway. . . . . . :
        NetBIOS over Tcpip . . . . : Disabled
        Dns Servers. . . . . . . . :

        AutoConfiguration results. . . . . . : Passed

        Default gateway test . . . : Skipped
            [WARNING] No gateways defined for this adapter.

        NetBT name test. . . . . . : Skipped
            NetBT is disabled on this interface. [Test skipped]

        WINS service test. . . . . : Skipped
            NetBT is disable on this interface. [Test skipped].

    Adapter : DMZ

        Netcard queries test . . . : Passed

        Host Name. . . . . . . . . : isa
        IP Address . . . . . . . . : 172.16.0.1
        Subnet Mask. . . . . . . . : 255.255.255.0
        Default Gateway. . . . . . :
        NetBIOS over Tcpip . . . . : Disabled
        Dns Servers. . . . . . . . :

        AutoConfiguration results. . . . . . : Passed

        Default gateway test . . . : Skipped
            [WARNING] No gateways defined for this adapter.

        NetBT name test. . . . . . : Skipped
            NetBT is disabled on this interface. [Test skipped]

        WINS service test. . . . . : Skipped
            NetBT is disable on this interface. [Test skipped].

    Adapter : EP

        Netcard queries test . . . : Passed

        Host Name. . . . . . . . . : isa
        IP Address . . . . . . . . : 172.18.145.18
        Subnet Mask. . . . . . . . : 255.255.255.248
        Default Gateway. . . . . . :
        NetBIOS over Tcpip . . . . : Disabled
        Dns Servers. . . . . . . . :

        AutoConfiguration results. . . . . . : Passed

        Default gateway test . . . : Skipped
            [WARNING] No gateways defined for this adapter.

        NetBT name test. . . . . . : Skipped
            NetBT is disabled on this interface. [Test skipped]

        WINS service test. . . . . : Skipped
            NetBT is disable on this interface. [Test skipped].

    Adapter : JL

        Netcard queries test . . . : Failed
        NetCard Status:          DISCONNECTED
            Some tests will be skipped on this interface.

        Host Name. . . . . . . . . : isa
        IP Address . . . . . . . . : 0.0.0.0
        Subnet Mask. . . . . . . . : 0.0.0.0
        Default Gateway. . . . . . :
        NetBIOS over Tcpip . . . . : Disabled
        Dns Servers. . . . . . . . :


    Adapter : {6981CD9A-AA04-4FEE-8986-0B672B1A35BE}

        Netcard queries test . . . : Passed

        Host Name. . . . . . . . . : isa
        IP Address . . . . . . . . : 10.194.146.65
        Subnet Mask. . . . . . . . : 255.255.255.255
        Default Gateway. . . . . . :
        Dns Servers. . . . . . . . :

        AutoConfiguration results. . . . . . : Passed

        Default gateway test . . . : Skipped
            [WARNING] No gateways defined for this adapter.

        NetBT name test. . . . . . : Passed
        [WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenge
r Service', <20> 'WINS' names is missing.
            No remote names have been found.

        WINS service test. . . . . : Skipped
            There are no WINS servers configured for this interface.


Global results:


Domain membership test . . . . . . : Passed


NetBT transports test. . . . . . . : Passed
    List of NetBt transports currently configured:
        NetBT_Tcpip_{6981CD9A-AA04-4FEE-8986-0B672B1A35BE}
    1 NetBt transport currently configured.


Autonet address test . . . . . . . : Passed


IP loopback ping test. . . . . . . : Passed


Default gateway test . . . . . . . : Passed


NetBT name test. . . . . . . . . . : Passed
    [WARNING] You don't have a single interface with the <00> 'WorkStation Servi
ce', <03> 'Messenger Service', <20> 'WINS' names defined.


Winsock test . . . . . . . . . . . : Passed


DNS test . . . . . . . . . . . . . : Passed


Redir and Browser test . . . . . . : Failed
    List of NetBt transports currently bound to the Redir
        NetBT_Tcpip_{6981CD9A-AA04-4FEE-8986-0B672B1A35BE}
    The redir is bound to 1 NetBt transport.

    List of NetBt transports currently bound to the browser
        NetBT_Tcpip_{6981CD9A-AA04-4FEE-8986-0B672B1A35BE}
    The browser is bound to 1 NetBt transport.
    [FATAL] Cannot send mailslot message to '\contoso*MAILSLOTNETNETLOGON' vi
a redir. [ERROR_BAD_NETPATH]


DC discovery test. . . . . . . . . : Passed


DC list test . . . . . . . . . . . : Failed
    'contoso': No DCs are up.


Trust relationship test. . . . . . : Failed
    'contoso': No DCs are up (Cannot run test).
    Secure channel for domain 'contoso' is to '\WSUS.contoso.com'.


Kerberos test. . . . . . . . . . . : Skipped


LDAP test. . . . . . . . . . . . . : Passed
    [WARNING] Failed to query SPN registration on DC 'fileserver.contoso.com'.
    [WARNING] Failed to query SPN registration on DC 'WSUS.contoso.com'.


Bindings test. . . . . . . . . . . : Passed


WAN configuration test . . . . . . : Skipped
    No active remote access connections.


Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

    Note: run "netsh ipsec dynamic show /?" for more detailed information


The command completed successfully

D:\Support Tools>

从上述错误中可以看到一些服务器因 NetBT 故障导致运行错误,运行"Services.msc"进入服务管理器检查并允许自动运行"TCP/IP NetBIOS helper"服务,之后发现问题依然存在。继续检查内网连接的网卡TCP/IP属性配置下“高级”-“WINS”-“NetBIOS 设置”,应确保内部网卡启用“默认”设置或“启用 TCP/IP 上的 NetBIOS”设置。

因管理员之前为了保证 ISA 的安全,禁用了“TCP/IP NetBIOS helper”服务,并且在TCP/IP高级属性中启用了“禁用 TCP/IP 上的 NetBIOS”(之前询问时管理员一直未回忆起进行过该项操作!:-)),导致 RPC 故障。经过恢复配置该问题得到了解决。建议,因为 ISA 为 AD 成员,所以因该保留内部网卡的TCP/IP配置,并为每个外部网卡单独配置“禁用 TCP/IP 上的 NetBIOS”,无须禁用“TCP/IP NetBIOS helper”服务。

分页: 1/2 第一页 1 2 下页 最后页 [ 显示模式: 摘要 | 列表 ]