我们在 Windows Server 2003 SP2 上运行了 ISA Server 2004。
它有 2 个 NIC - 一个内部 NIC,称为 LAN,位于 192.168.16.2,子网为 255.255.255.0;一个外部 NIC,称为 WAN,位于 93.xx2。默认网关是 93.xx1(我们的调制解调器)。这台机器还接受 VPN 连接。
我们的扫描仪出现问题,正在尝试将扫描结果保存到网络共享中。
每次我们尝试扫描时,ISA Server 都会记录以下“拒绝连接”
- 日志类型:防火墙服务
- 状态:由于 ISA 服务器确定源 IP 地址是欺骗性的,因此丢弃了一个数据包。
- 规则:
- 来源:内部(192.168.16.54:1024)
- 目的地:内部(192.168.16.255:137)
- 协议:NetBios 名称服务
从 ISA 服务器 ping 192.168.16.54 工作正常。
在 ISA 服务器中,进入配置 → 网络,有 5 个网络: - 外部(内置) - 内部(定义为 192.168.16.0 → 192.168.16.255) - 本地主机(内置) - 隔离 VPN 客户端(内置) - VPN 客户端(内置)
最后,在网络连接 → 高级 → 高级设置...下,连接顺序如下: - LAN - WAN - [远程访问连接]
如果我们尝试扫描到工作站,它可以正常工作。
如果您需要更多信息,请告诉我 - 非常感谢。
RB。
答案1
我强烈怀疑您的扫描问题与 ISA 防火墙无关,而与您尝试扫描的服务器计算机上的 SMB 协议安全限制有关。我怀疑这一点主要是因为我猜测您尝试发送扫描的服务器有一个 192.168.16.0/24 IP 地址,因此扫描仪和服务器之间的通信不需要通过 ISA 服务器。
丢失的数据包几乎肯定是为了转移注意力。
您看到的丢弃的数据包是与 NetBIOS 名称服务相关的广播。这些是由 Microsoft 文件和打印共享协议 SMB 的实现生成的正常数据包。这让我怀疑“外部”网络段和“内部”网络段之间是否有第 2 层连接,并且来自“内部”的广播也显示在“外部”段上。在“外部”段上运行嗅探器可以快速轻松地告诉您这一点。“调制解调器”是否直接连接到 ISA Server 计算机,或者您是否将其插入可能有其他连接的交换机/集线器?
我使用过的大多数糟糕的复印机/MFP 设备都需要在服务器计算机上禁用 SMB 签名才能启用“扫描到文件夹”功能。有些在 Server Fault 上关于理光机器的讨论。我强烈怀疑这是你的问题。