[技术分享 - ISA 篇] ISA 服务器性能不好?小心 ISA 防火墙规则“生病”了

  • Article

我们有时会发现 web 代理客户端虽然加入域,但在上网时,却仍然弹框要求输入用户名和密码。

这时,您往往会在 ISA 服务器的事件日志中看到 Net logon 5719 的报错。 我们首先需要排除 ISA 服务器和 DC 服务器之间的连接性,因为 ISA 每次做用户验证时都必须和 DC 通讯。

如果您排除了和 DC 通讯的问题,那问题很有可能出在 ISA 防火墙规则上。

当您发现 ISA 的规则中有一些特定的防火墙规则,并且包含”所有出站通讯”+”URL集/域名集”,您需要注意了。

clip_image002

”所有出站通讯”+”URL集/域名集”规则会严重影响 ISA 服务器的性能,如果网络流量匹配到这条规则,ISA 会尝试对所有匹配这条规则的流量做名字反解,来判断 IP 地址是否匹配 URL集/域名集。这时 DNS 解析就会非常多,DNS 解析会变得异常缓慢,而 ISA 服务器又必须等待 DNS 回应,从而造成没有资源去处理新的网络流量,这些规则不但影响客户端认证,客户端上网,还会影响 VPN 拨入,ISA 服务器与 DC 之间的通信等等。

问题日志详情请参考:https://blogs.technet.com/b/isablog/archive/2009/01/12/isa-server-2006-stops-answering-requests.aspx

解决方法也很简单,可以通过限定通讯协议,限定到 http、https 后,问题一般都能解决。

James Yi
Microsoft Support Expert