我们有时会发现 web 代理客户端虽然加入域，但在上网时，却仍然弹框要求输入用户名和密码。

这时，您往往会在 ISA 服务器的事件日志中看到 Net logon 5719 的报错。 我们首先需要排除 ISA 服务器和 DC 服务器之间的连接性，因为 ISA 每次做用户验证时都必须和 DC 通讯。

如果您排除了和 DC 通讯的问题，那问题很有可能出在 ISA 防火墙规则上。

当您发现 ISA 的规则中有一些特定的防火墙规则，并且包含”所有出站通讯”+”URL集/域名集”，您需要注意了。

http://blogs.technet.com/blogfiles/gcrsec/WindowsLiveWriter/20bcec56d0d9_86D4/clip_image002_thumb.gif

”所有出站通讯”+”URL集/域名集”规则会严重影响 ISA 服务器的性能，如果网络流量匹配到这条规则，ISA 会尝试对所有匹配这条规则的流量做名字反解，来判断 IP 地址是否匹配 URL集/域名集。这时 DNS 解析就会非常多，DNS 解析会变得异常缓慢，而 ISA 服务器又必须等待 DNS 回应，从而造成没有资源去处理新的网络流量，这些规则不但影响客户端认证，客户端上网，还会影响 VPN 拨入，ISA 服务器与 DC 之间的通信等等。

解决方法也很简单，可以通过限定通讯协议，限定到 http、https 后，问题一般都能解决。

James Yi

微软安全支持专家