最近遇到一個問題,一個客戶使用兩台ISA伺服器做了ISA陣列,但不小心人為的在DC中将其中一台ISA伺服器的計算機帳戶删除了,删除後又重新把ISA伺服器重新加域,但發現重新加入的這台ISA伺服器無法連接配接ISA配置伺服器。
在客戶處拿到的ISA日志中,發現如下警報資訊:
Event Type: Warning Event Source: Microsoft ISA Server Control Event Category: None Event ID: 21238 Date: 1/13/2009 Time: 4:16:46 PM User: N/A Computer: ****-***-02 Description: ISA Server cannot connect to the Configuration Storage server ****-***-01.****.com for one of the following reasons: - The Configuration Storage server is not available. - There are general networking or authentication issues. - The firewall policy for the array is incorrectly configured. For information on resolving these issues, see http://go.microsoft.com/fwlink/?LinkId=37487
從得到的日志資訊來分析,因ISA伺服器的計算機帳戶人為删除,而在ISA伺服器的安裝過程中,ISA伺服器會把本機的SID寫入ISA配置伺服器的ADAM中,并賦予一定的通路和修改權限,當在重建帳号,并重新加入到域的過程中,計算機SID會發生改變,這樣就會造成這台ISA伺服器沒有通路和修改ADAM的權限。
找到問題的原因,那怎麼解決呢?
首先對比了SPN,對比兩台ISA伺服器,檢查出問題的一台ISA伺服器的servicePrincipalName屬性中是否有意外丢失的資訊。
比對完成後,将建立的計算機賬号加入到ISA配置伺服器的ISA企業管理者角色。
1、在DC中建立一個安全組。
2、把ISA防火牆伺服器的計算機賬号加入該安全組。
3、登陸ISA配置伺服器,把該安全組加為企業級(而不是陣列級)的ISA企業管理者角色。
4、重新開機ISA防火牆伺服器。
ISA問題得以解決。
本文轉自躍躍領舞 51CTO部落格,原文連結:http://blog.51cto.com/zhangyue1105/274383,如需轉載請自行聯系原作者
![vulnhub DC-4靶機實戰0X01 環境部署[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)