我用ISA 好长时间了,对它也算是很熟悉了,用它做防火墙、路由真的不错,但一直有个问题,就是ISA会假死。下面是我在ISACN上的一个贴:
http://www.isacn.org/bbs/index.php?showtopic=42952&hl=
单位网络用量越来越大,可设备却一直舍不得投,不过现在已经买了个CISCO 2850的路由器,不过ISA的优点还是不能代替。
起初没设备只能拿一台IBM xServer做ISA,配置不高,也不算低吧,跑Windows 2003倒是没问题,只是内存才256,是一台机架。用来当ISA还真为难了一点点。
原来我的策略是有什么坏的封什么,比如有BT封BT,这样的话效果真差,而且后期好多P2P根本就是变形金刚,没办法。
后来我的策略换了一下,很有效。要让用户访问什么只开什么,比如我只开HTTP、DNS、DHCP、POP3、HTTPS、QQ等等,这样的话BT、电驴都被禁了。
不过问题也出现了,单位接的是10M电信光纤,网络用3天左右时ISA服务会死掉,或者是用户量很大时,或者是某些有毒机子开着时也会死掉。实在没办法了,我就把策略换成全部允许,也就是不做任何限制。很奇怪反而且一直都不会死。
我分析了一下,原因应该是服务器内存太少了(事件查看器里有记录),而如果用限制策略,再加上客户数据量一大,自然拒绝的数据包也就多,就算不用保存,ISA 还是要花费资源的,量一大就导致服务停止了。
也可能是其它地方的设置有误吧,但我感觉我的设置应该没多少问题的。当然只有一个ISA不能解决问题,关键是现在人手不够,不能对局域网内几百台电脑都做很好的检查,病毒也是一大主犯。
刚好也遇到另一位朋友的问题,跟我的一模一样,他的贴如下:
http://www.isacn.org/bbs/index.php?showtopic=42748&st=0&p=298406entry298406
ISA2006经常出现“假死”现象,有朋友遇到过吗?, 问题已解决,谢谢大家!
xuxiaolu84 |
2007年12月3日 20:08
帖子 #1
|
新会员
团队: 新会员 |
新手第一次发帖,请大家多多关照,谢谢!
先说下单位的网络状况 再说下ISA服务器的情况 接着说下用户的情况 最后是ISA的配置情况 我们单位的ISA是10月份上的,一开始人少,大概只有60多人,用得很顺畅,SNAT下BT都很爽,但11月中旬后人多了起来,大部分新用户加入,最近ISA经常会出现怪问题,症状如下: 不知道大家有碰到这样的情况吗?大家估计下我这可能是怎么回事呢?谢谢大家了!! |
找到问题的原因了……
淹没设置里面的“每规则允许最大连接数”设小了,只有6000个,改到6000000就很正常了。
综合起来看,我觉得一是我自己分析的拒绝服务,二是xuxiaolu84所说的每规则允许最大连接数