最近遇到一个问题,一个客户使用两台ISA服务器做了ISA阵列,但不小心人为的在DC中将其中一台ISA服务器的计算机帐户删除了,删除后又重新把ISA服务器重新加域,但发现重新加入的这台ISA服务器无法连接ISA配置服务器。
在客户处拿到的ISA日志中,发现如下警报信息:
Event Type: Warning Event Source: Microsoft ISA Server Control Event Category: None Event ID: 21238 Date: 1/13/2009 Time: 4:16:46 PM User: N/A Computer: ****-***-02 Description: ISA Server cannot connect to the Configuration Storage server ****-***-01.****.com for one of the following reasons: - The Configuration Storage server is not available. - There are general networking or authentication issues. - The firewall policy for the array is incorrectly configured. For information on resolving these issues, see http://go.microsoft.com/fwlink/?LinkId=37487
从得到的日志信息来分析,因ISA服务器的计算机帐户人为删除,而在ISA服务器的安装过程中,ISA服务器会把本机的SID写入ISA配置服务器的ADAM中,并赋予一定的访问和修改权限,当在重建帐号,并重新加入到域的过程中,计算机SID会发生改变,这样就会造成这台ISA服务器没有访问和修改ADAM的权限。
找到问题的原因,那怎么解决呢?
首先对比了SPN,对比两台ISA服务器,检查出问题的一台ISA服务器的servicePrincipalName属性中是否有意外丢失的信息。
比对完成后,将新建的计算机账号加入到ISA配置服务器的ISA企业管理员角色。
1、在DC中新建一个安全组。
2、把ISA防火墙服务器的计算机账号加入该安全组。
3、登陆ISA配置服务器,把该安全组加为企业级(而不是阵列级)的ISA企业管理员角色。
4、重启ISA防火墙服务器。
ISA问题得以解决。
本文转自跃跃领舞 51CTO博客,原文链接:http://blog.51cto.com/zhangyue1105/274383,如需转载请自行联系原作者
![vulnhub DC-4靶机实战0X01 环境部署[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)