» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Ну эт вопрос сразу для Киевских ребят....... вобчем то откликнетесь кто с Киева плиз тут есть и кто разбирается в ISA..... ?
Просто нужно разобраться с ней в кратчайшие сроки...... а я ее сам не осилю....... мож кто научит основным азам...... встретится за пивом в парке и показать на ноуте что и как ? Ребят кто может помочь....... я заплачу......
мне много не надо......
Установить, разобратся с фаерволом, заводить пользователей, ограничевать трафик... открывать закрывать нужные порты, разобраться как настроить инет через прокси а как через НАТ................ все врод.....

Здравствуйте, Коллеги,
не уверен что это виноват Traffic Quota, поэтому продублирую тему и сюда:

И так проблема появилась еще больше года назад.
Win2k3 SP1/SP2 + ISA 2004 EE SP3 (версия 4.0.2165.624) + TQ 2.2 патченная.
Траффик режет прилично.

Но у меня другая печаль:

В результате Traffic Qouta (хотя может и не она) иногда подвешивает сервер. В логах винды пишет следующее:

В разделе система появляется записи в большом кол-ве:
Источник: Application Popup
Код (ID): 333
Неустранимый сбой операции ввода/вывода, запущенной из реестра. Не удалось выполнить чтение, запись или запись буфера для одного из файлов, содержащих образ системного реестра.


Одновременно в разделе журнала "приложения" появляются в большом кол-ве следующие записи:
Источник: TQStorage
Код (ID): 2
Cannot save "C:\Program Files\TrafficQuota\DB\GroupsCurrent.tmp".
Function: TtqTrafficStatList.Save

Cannot save "C:\Program Files\TrafficQuota\DB\ComputersCurrent.tmp".
Function: TtqTrafficStatList.Save

Через некоторое время (минуты 2-3) падает сам сервис ISA со словами:
Код (ID): 14079
Due to an unexpected error, the service fwsrv stopped responding to all requests. Stop the service or the corresponding process if it does not respond, and then start it again. Check the Windows event Viewer for related error messages.

При этом сервак еще кое как работает. К примеру аська уже подключенная висит зелененькой, но прокси авторизация через браузер уже не проходит. По RDP к такому серваку тоже не подключишся.


Началось это еще давно - на старом серваке, который обслуживал человек 20-25. Я думал что там с операционкой проблемы - Win2k3 не я ставил. И вообще сервер стоял stand alone и его просто пользователи перезагружали кнопкой иногда, когда он подвисал.

Теперь же в одном из филиалось ISA на win2003 сидит под виртуалкой, на контроллере домена филиала. И вот она судя по логам так же подвисла. А DC просто так перезагружать совсем нет никакого желания. Поэтому решил вот покопаться в чем причина.

В среднем первый сервак подвисает 1-2 раза в неделю. А второй сервак (который новый на филиале и у которого всего 5-8 пользователей) подвис первый раз за 1,5 месяца эксплуатации. Хотя не могу сказать что у него был такой аптайм - я его раза 3-4 выключал - ибо с электрическом были проблемы.

Итого: как узнать что это вешает сервак?

hardhearted
Просто я ISA первый раз настраиваю, раньше стояла ISA 2000, поставил 2006. Т.е. настройки перенести не могу, единственное, что увидел раньше в настройках, в таблице локальных адрессов были прописаны IP своей сетки и сетки удаленного оффиса.
Прописываю также-ISA ругается, что надо определить сетевой интерфейс и заполнить таблицу маршрутизации. А как его определить? И где ее заполнить?

JPV
я первый раз настраивал 2004ю ису не имея опыта работы с исой вообще, и форумов не посещал, для этого голова есть, а у кого не очень с головой то книги, даже на русском

интерфейсов в исе нет и не будет, есть только сети (networks), интерфейсы в винде
маршрутов в исе тоже нет и не будет. иса не роутер, она не отвечает ни за интерфейсы ни за маршруты, это все винда, и любой админ который хоть раз админил винду должен знать где у нее настраиваются сетевухи и маршруты.

hardhearted
Ну я не сталкивался с этим еще
Понятно, что есть команда route, спасибо за ответ

Ну эт вопрос сразу для Киевских ребят....... вобчем то откликнетесь кто с Киева плиз тут есть и кто разбирается в ISA..... ?
Просто нужно разобраться с ней в кратчайшие сроки...... а я ее сам не осилю....... мож кто научит основным азам...... встретится за пивом в парке и показать на ноуте что и как ? Ребят кто может помочь....... я заплачу......
мне много не надо......
Установить, разобратся с фаерволом, заводить пользователей, ограничевать трафик... открывать закрывать нужные порты, разобраться как настроить инет через прокси а как через НАТ................ все врод.....

Господа, не помню точно, но вроде не спрашивал:
как в 2004 ИСЕ настроить автодозвон по PPTP, и возможно ли вообще такое? чесно искал - не нашол.. пробовал настраивать, всё сделал - но иса не соединяет, а в Подключениях показывается что идёт подключение...

IeugeniyI
а зачем два раза подряд спрашивать? или в киеве так принято?

hardhearted не, не принято )))) просто тут мало кто с Киева....... и мало кто заметит этот пост..........
сори..... ну как подругому..... сам не осилю !

Tim2000
Да в isa 2004 EE реализован автоматический дозвон через pppoe соединение.

Один офис больше года у меня жил на рррое, до тех пора пока прямое кабельное не сделали. Честно сказать рррое немного подглючивал. Но жить можно.

По идее (если мне не изменяет память) делать нужно так:

1. Создаем само диал-ап соединение средствами ms.win.2k3 (от Win XP ничем не отличается).

2. Заходим в ISA 2004 - там меню General - потом - Specify Dial-up preferences

3. Там выбираешь "allow auto dialing to this network" и выбираешь "external".

4. Потом наверное (уже не помню) нужно поставить галочку "configure this dial up connection as the default gateway".

5. Ну собственно все. Там дальше по смыслу можно сделать само соединение -а можно выбрать уже готовое. По идее еще пароль логин можно вбить и все. ISA потом будет пытаться звонить туда если есть необходимость выйти в сеть "external".

ПС: господа а насчет моего вопроса по поводу подвисания сервака из-за (возможно) Traffic Quota никто свои соображения не выскажет?

lypky

Цитата:

По идее (если мне не изменяет память) делать нужно так:

1. Создаем само диал-ап соединение средствами ms.win.2k3 (от Win XP ничем не отличается).

2. Заходим в ISA 2004 - там меню General - потом - Specify Dial-up preferences

3. Там выбираешь "allow auto dialing to this network" и выбираешь "external".

4. Потом наверное (уже не помню) нужно поставить галочку "configure this dial up connection as the default gateway".

5. Ну собственно все. Там дальше по смыслу можно сделать само соединение -а можно выбрать уже готовое. По идее еще пароль логин можно вбить и все. ISA потом будет пытаться звонить туда если есть необходимость выйти в сеть "external".

так я это всё делал, говорю же она соединяет-соединяет, а безтолку....

Tim2000

ну, кхм... а что значит бестолку?
По идее тогда тут дело не в самом диал-ап соединении, а в правилах. У тебя ISA - это шлюз в корпоративной сети или ты с самого сервака пытаешься выйти в инет?

Может правило стоит - internal to external - allow - all protocols - all users.

И мб нужно еще добавить localhost to external? В общем обрати на это внимание.

hardhearted
Вопрос, насчет маршрутов в винде.
Я слышал, что рекомендуют писать один шлюз-инетовский. А синтаксис команды route: add -p <сеть> mask <маска> <шлюз>, так этот шлюз придется оставить в настройках сетевой карты для удаленного офиса?

lypky
Сам сервак на котором иса и есть шлюз, 2 сетевушки. Правила есть и интёрнал ту экстёрнал, и локалхост ту экстёрнал..


Цитата:

ну, кхм... а что значит бестолку?

а это значит что иса не может соединиться с инетом, а в сетевых подключениях у "набираемого" ею подключения стоит статус Подключение, и тишина.. вот ещё логи сервака глянул:
The dial-up network connection Internet failed. The error description is: Unable to establish the VPN connection. The VPN server may be unreachable, or security parameters may not be configured properly for this connection.. The error code shown in the data area of the event properties is specific to the Routing and Remote Access service.

Tim2000
А просто локально (или терминально) залогиниться на сервере и попробовать вручную законекться? Кстати у тебя пппое интернет или впн интернет? Вещи разные. Или просто иса в логах пппое как впн итображает?

Вообще я сам новичек в исе, так настроил-работает - копаться глубже времени нет.

lypky
так в том то и дело, в ручную то соединяется инет! а исе даю установку соединять - она не делает этого, точнее не может, а почему я не разберусь никак..
я же песал PPTP, vpn-соединение.

Тьфу ты! Чёрт! Я перепутал, а ты чтото не обратил мое внимание на это. У тебя PPTP (point-to-poit tunelling protocol), А у меня в голове засело pppoe (point to point over the ethernet). вещи то это разные!

У меня на офисе был стандартный DSL - который через пппое. А у тебя впн. Тут уже значит че то где то либо с правилами либо, либо с другими настройками.

Кстати там может (в теории) быть какой то косяк в сплане, что автоматом (от имени SYSTEM) нет права на инициацию VPN.

Ну и вообще наверное нужно, по идее, удостовериться что от имени SYSTEM можно инициировать VPN туннель до ip-адреса vpn servera.

т.е. получаеться что у тебя есть некая сеть (типа 192.168.х.х) - в ней расположен впн-сервер. К нему нужно сделать правило типа аллоу рртр протокол, фром локал хост, то нетворк 192,168,х,х для алл юзерс или для систем (честно сказать хз как как это от имени систем делать).

Вот. Это все мое имхо.

lypky
о_0

себя процетирую:

Цитата:

Господа, не помню точно, но вроде не спрашивал:
как в 2004 ИСЕ настроить автодозвон по PPTP, и возможно ли вообще такое? чесно искал - не нашол.. пробовал настраивать, всё сделал - но иса не соединяет

а что непонятно то.. я и спрашиваю могет ли иса так делать вообще?

JPV
иди читай книжку про основы сетей, особенно главу про маршрутизацию.
не путай шлюз по умолчанию и маршрут.

может ли переход с 2000 на 2006 череват какой либо перенастройкой ? или же все пройдет гладко и мне не придется возится в чужих настройках ? система 2к3 Small Business

CoBa
учитывая что 2000 и 2006 имеют совершенно разную систему настроек, я бы порекомендовал все ставить с нуля

да уж...) спс за ответ. не очень охото сидеть выходные на работе , остановить в будни работу фирмы слишком проблемно )))

hardhearted

Три сетевых интерфейса на компе. 1 - локальная сеть, 2- инет, 3 - подключение к удаленнуму офису.

Прописал третью сеть, включив туда IP-адреса сети и IP шлюза. Создал правило в политике межсетевого экрана разрешающее обмениваться внутренней сети и сети другого офиса по всем протоколам. Написал правило доступа к этой сети. Пробывал и NAT и маршрут.

Добавил статический маршрут в Винде.

Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
192.168.1.0 255.255.255.0 191.100.124.201 1

Но незапускается терминал, а в логах ISA вижу:

устанавливается соединение, а потом соединение закрыто (сервер не ответил).


Добавлено:
Далее включил службу маршрутизации, там прописал статический маршрут. В NAT добавил соответствующий интерфейс. Добавил протокол маршрутизации RIP и привязал его к данной сетевой карте.

Если выбираю фильтр в логах ISA по интерфейсу, то вижу: отклоненное соединение - unreacheble address.

P.S. Всем спасибо - все заработало

CoBa
там настроек часа на два, вместе с установкой винды, ну если правил было очень много то на три
всегда можно найти как пустить контору в инет мимо исы на время

А работает ли ИСА сервер коректно без ДНС и АКтив Дериктори ???

IeugeniyI
AD для isa абсолютно не принципиален, а вот DNS сервис необходимо включить и даже сделать стандартную зону прямого просмотра, что бы клиентские компы могли нормально разрешать имена через NAT.

IeugeniyI
без dns вообще в инете ничего нормально не работает
а без AD в исе нет никакого смысла, без интеграции есть другие и более дешевые продукты, иногда и более функциональные.

Вопрос по правилам:

Три сетевых интерфейса: локальная сеть, интернет и удаленный офис.
прописал правило позволяющее весь траффик от локальной сети к удаленной и обратно
Определяю отношения сетей:

1.От локальной до удаленной - маршрут;
От удаленной до локальной - маршрут.

Могу подключится терминалами к любому компу в удаленной сети, но по сетевому окружению нет доступа. Из удаленной только к ISA в локальной, также и по сетевому окружению. Пинги от нас не идут, а из удаленной пингуется только ISA.

2. От локальной до удаленной - маршрут;
От удаленной до локальной - NAT.

Если я до изменения отношения удаленной сети и локальной (NAT), захожу в удаленную сеть по терминалу и потом меняю отношения на компе с ISA в нашей сети. При включенном соединении у меня все работает: из удаленной сети подключаюсь к компам в локальной сети, захожу через сетевое окружение, пингую их.

Но, как только закрываю терминальную сессию с удаленной сетью - войти в нее больше не могу, до изменения отношения сетей обратно на маршрут.

День добрый!
ISA 2000 раз в неделю выскакивает Unknown Smtp command и падает инет на пару минут. Exchange стоит на другой тачке. Предлагаемое xexch50 решение применил но оно не помогло. Connector на Exchange поднял.
Кто-нить сталкивался?

Конфиг сети
vlan2
массв isa
isaserver1 10.0.2.252
isaserver2 10.0.2.253
оба CSS, в каждом 3 сетевухи
vlan1
DC 10.0.0.253
компьютеры 10.0.0.0/24
router lan 10.0.0.250 wan 10.0.2.250

на одном из isa пишет все время ошибку

Тип события: Предупреждение
Источник события: ADAM [ISASTGCTRL] KCC
Категория события: Проверка согласованности знаний
Код события: 1308
Дата: 21.08.2008
Время: 16:19:25
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: ISASERVER1
Описание:
В ходе проверки согласованности знаний (КСС) обнаружено, что все дальнейшие попытки репликации со следующей службой каталогов завершились неудачно.

Попыток:
154
Служба каталогов:
CN=NTDS Settings,CN=ISASERVER2$ISASTGCTRL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,CN={526FFE20-0ABF-410B-BADB-C3CD5129D41E}
Интервал (мин):
43104

Объект подключения для этой службы каталогов будет проигнорирован, а для продолжения репликации будет установлено новое временное подключение. Как только репликация с этой службой каталогов возобновится, временное подключение будет удалено.

Дополнительные данные
Значение ошибки:
1772 Список серверов RPC, доступных для привязки дескрипторов, был исчерпан.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

на другом
репликация отменена пользователем ID 1115 1113

как победить это дело

совсем забыл репликацию надо настроить между isa-ми соединенными напрямую (intra array)