» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Знатоки подскажите по TMG 2010 EE Rng, используется Cache и Proxy. Периодически при работе пользователей в интернете через Internet Explorer запрашивает авторизацию доступка к Proxy. Сначала инет как бы подвисает, потом один раз выходит запрос, нажимаешь отмену, выдает ошибку. Потом сразу пробуешь обновить страницу и все работает замечательно. Через некоторое время проблема повторяется.
В чем может быть причина? Прошу помощи. Заранее спасибо!

TrustyM


Цитата:

В чем может быть причина?

Все телепаты в отпуске так что см. логи.

P.S. Где конфига, как настроена аутентификация на TMG? Есть ли домен?

Есть сайт скажем my.com и есть домен тоже my.com есть сервер под win 2003 с isa 2006 sp1
В ДНС домена добвлены записи
тип A www.my.com IP хостера
типа srv для _http порт 80 поротокол tcp www.my.com
типа srv для _http порт 80 поротокол udp www.my.com
до недавнего времени все работало потом на сервера сгорела сетевушка смотрящая в локальную сеть после замены сетевки просто интернет есть, а вот на этот сайт уже зайти нельзя
При попытке подключения в событиях ISA 3 сообщения

1. клиент подключение на IP_isa порт 8080 get www.my.com запретить
2. клиен подключение на IP_Хостера get www.my.com порт 80 разрешить
3. клиент подключение на IP_isa порт 8080 get my.com запретить

и все на этом все заканчивает пользователю в браузер падает ошибка 502
Подскажите что делать куда копать?????

nslookup показыает правильно как на самой ISA так и на клиентах
просто по my.com IP DC
по www.my.com IP сервера хостера

есть еще прикол (хотя може и не важно) сайт на который нужно выйти при вход на его через www сам автоматом перекидыает на без www изза этогов свое время и пришлось добавлять записи SRV в локальную зону (ну это слова того что это делал мне это все по наледству досталось)

и еще на DC у меня есть IIS без сайта просто нужен http каталог воти поставили он может мешать как то??

А может такой отказ быть как то связан с глюком учеки ISA сервера в домене? просто пока глючило сетевуху (не сразу заметил ночью случилось) там навалилось куча ошибок типа немогу найти контроллер домена, немогу получить достп к SYSVOL не найна запись компьютера вообщем Event 1030, 1097, 1053, 1058 после замены карты вроде как все устаканилось и эти ошибки прошли но с чем черт н шутит

yakostik

Должна быть запись для сайта в прямом и обратном просмотре DNS.

Нужный сайт находится в локальной сети?
Порядок сетевых адаптеров на исе подстроил!?


Цитата:

А может такой отказ быть как то связан с глюком учеки ISA сервера в домене?

нет не может.

Цитата:

Должна быть запись для сайта в прямом и обратном просмотре DNS.

Нужный сайт находится в локальной сети?
Порядок сетевых адаптеров на исе подстроил!?

Сайт находит в интернет но его имя совпадает с именем внутреннего домена

Сетевые настроены правильно

А может влиять на доступ к сайту то что в описании внутренней сети у ISA сказан что считать внутреннеми машины с именами *.my.com

yakostik


Цитата:

А может влиять на доступ к сайту то что в описании внутренней сети у ISA сказан что считать внутреннеми машины с именами *.my.com

нет. Для этого и есть DNS...

yakostik

Цитата:

А может влиять на доступ к сайту то что в описании внутренней сети у ISA сказан что считать внутреннеми машины с именами *.my.com

только если сказано что исключать это из прокси и fwc и требовать аутенфикации. тогда запрос пойдет как securenat а он аутенфицироваться не умеет. но судя по тсвоему логу выше у тебя он идет через прокси. что конкретно пишет лог и какую конкретно выдает ошибку (в 502 коде может быть тучи ошибок)?

Клиент Windows XP - сетевое подключение PPTP
Сервер ISA 2006 Standard
При организации VPN подключения клиент начинает выходить в Internet через сервер ISA. Что нужно настроить на сервере или клиенте, чтобы при организации VPN подключения доступ к внешним сервисам осуществлялся через сеть провайдера, а к внутренним, через VPN?

Можно ли совсем отключить на ISA PPTP и оставить только IPSec?

dedmad
вопрос к исе отношения не имеет. на клиенте в свойствах подключения сними галку про default gateway... она по умолчанию стоит когда новое подключение создаешь

Проблема в следующем, ни с того ни с сего ISA Server 2006 стал выдавать впн клиентам которые на него коннектяться непонятные ай пи адреса. В сети есть ещё один ISA 2006 и он работает нормально , до этого проблем не возникало.

Сервак подрубается к инету через PPPOE-соединение, в локалке поднят AD. Авторизация VPN-клиентов проходит через AD.

yakostik


Цитата:

и еще на DC у меня есть IIS без сайта просто нужен http каталог воти поставили он может мешать как то??

Проверь на каких интерфейсах поднимается твой IIS, при замене сетевки он может подниматься на всех интерфейсах и занимать 80 порт прослушивателя, в итоге IIS работать будет, а правило публикации нет

HmH

Цитата:

Проверь на каких интерфейсах поднимается твой IIS, при замене сетевки он может подниматься на всех интерфейсах и занимать 80 порт прослушивателя

а разве у него где то написано что iis у него поднят на исе?

sheisapryl
а настройки на исе посмотреть религия не позволяет? кто такие "непонятные ип адреса"? ты хоть напиши, может они только для тебя непонятные, а для исы вполне понятные

У меня через ИСУ идет обращение в внутреннему веб серверу. На веб сервере стоит галочка записывать в лог IP адреса клиентов. Проблема в том, что в качестве IP адреса в лог пишется IP ISA сервера. Как настроить чтоб писались IP с которых происходит вход?

JekaRus
каждый раз одно и то же - в правиле публикации переключатель поставь в положение from original client.
ps хоть бы смотрели что на вкладках правила написано когда его создают

Внутренняя сеть 192.168.0.0/24 в которой развернут контроллер домена AD и установлен ISA 2006 Standard. К ISA подключены сети 192.168.1.0/24 через отдельную сетевую карту и 192.168.2.0/24 через IPSec VPN

В правилах ИСЫ разрешен любой трафик между этими сетями, но почему-то компьютеры, подключенные к сетям, отличным от 192.168.0.0/24 теряют связь с контроллером домена, даже если они изначально настраивались и нормально работали во внутренней сети.

При этом в логах компьютеров пишется примерно следующее

Тип события:    Ошибка
Источник события:    Userenv
Категория события:    Отсутствует
Код события:    1006
Дата:        ХХ.ХХ.ХХХХ
Время:        ХХ:ХХ:ХХ
Пользователь:        ХХХ\ххх
Компьютер:    ХХХ
Описание:
Не удалось выполнить привязку к домену ххх.хх. (Неправильные учетные данные). Обработка групповой политики прекращена.

Тип события:    Ошибка
Источник события:    Userenv
Категория события:    Отсутствует
Код события:    1030
Дата:        ХХ.ХХ.ХХХХ
Время:        ХХ:ХХ:ХХ
Пользователь:        ХХХ\ххх
Компьютер:    ХХХ
Описание:
Не удалось запросить данный список объектов групповой политики. Сообщение, описывающее причину, уже было помещено в журнал обработчиком политики.

На самой ИСЕ появляются события типа

Отклоненное соединение COMP 03.02.2010 0:13:46
Тип журнала: Служба межсетевого экрана
Состояние:
Правило:
Источник: IPSec (192.168.1.5)
Назначение: Внутренняя (net.ru 192.168.0.2)
Протокол: Нераспознанные IP-данные (TCP:0)
Пользователь:
Дополнительные сведения
Number of bytes sent: 0 Кол. байт получено: 0
Processing time: 0 ms Original Client IP: 192.168.1.5
Client agent:

Причем они появляются видимо в тот момент, когда клиентская машина пытается прописаться в домене AD

Пинги между сетями ходят нормально. Сервисы различные тоже отрабатывают.
Как подружить ИСУ и контроллер AD?

dedmad


Цитата:

Как подружить ИСУ и контроллер AD?

Если иса в домене она уже подружена с AD

Иса это брандмауэр, её дело только пересылать пакеты исходя из сделанных правил. Что у тебя там за кавардак х.з. см. нужно логи исы, логи локальных компов к исе отношения не имеют!

anton04

Цитата:

Что у тебя там за кавардак х.з. см. нужно логи исы

Нет никакого кавардака. 3 сети, правило разрешать любой трафик между этими сетями.

Порекомендовали решение:
Microsoft Internet Security and Acceleration Server 2006
SRSP1_H_EnforceRPCAD
To disable strict RPC compliance for the Active Directory configuration group
1. In the console tree of ISA Server Management, click Firewall Policy.
2. On the Tasks tab, click Edit System Policy.
3. In Configuration Groups, select the Active Directory configuration group.
4. On the General tab, clear the Enforce strict RPC compliance check box.
но оно тоже не помогло.

Пакеты ходят нормально (PING, TRACERT), но не все. Часть пакетов ISA отбрасывает, как "Нераспознанные IP-данные", в результате удаленные машины не находят контроллер AD и не работают с групповыми политиками, скриптами и т.д.

dedmad

Ещё раз для непонятливых, см. логи ISA Server`а, все телепаты в отпуске!
Если не можете разобраться с логами, то выложите часть логов сюда, в противном случае это тоже самое что искать в чёрной комнате чёрную кошку, особенно когда её там нет.

dedmad
сними эту галку в правилах для трафика между сетками. системные правила относятся только к исе, а у нее с контроллеров все ок
ты после этого решения ису рестартил?

Здрасьте!

Имеется железный роутер за которым стоит isa server, возникла надобность коннектица к vpn серверу встроенному в иса. Какие порты нужно мапить на железном роутере чтобы внешние клиенты смогли приконнектица к vpn серверу в isa?

aak1980
а по какому протоколу ты собираешься vpn то делать?
для pptp хватает tcp 1723
ps: сам вопрос к исе отношения не имеет, потому как впн это стандартная технология общая для всех, и спрашивать надо в разделе про твою железяку

hardhearted
так я по впн коннектицо хочу не к железке а к иса, поэтому на железке порт замапить на иса нужно

aak1980
ну вопрос то не по настройке исы
к тому же впн к исе отношения не имеет вообще, там весь впн на виндовом rras, у исы впн нет поэтому и порты пробрасывать надо те которые стандартны для нужного тебе протокола.

hardhearted
к тому же впн к исе отношения не имеет вообще, там весь впн на виндовом rras

иди спи

Добрый день.

Такой вопрос...
Есть у нас внутренняя web-система (CRM). И есть ISA (какой версии к сожалению не знаю). Юзверм необходимо извне (из инета) подключатся к этой web-системе. Но тут возникает такая проблема. При вводе URL запрашивается логин и пароль (стандартная виндовая форма). После ввода логина/пароля и нажатия Ок, тут же появляется новая форма ввода логина и пароля. И так много раз... штук 10 примрно... потом система загружается, но не полностью (на некоторых ее участакх (экрана) выводится - 401 не авторизовано).

Порывшись в инете нашел инфу по моему вопросу:

Цитата:

В ISA есть настройка "Передавать аутентификацию при каждом запросе". По крайней мере в 2007. Мы намучались с этим, когда разворачивали CRM в IFD режиме для онлайнового хостинга, пока не нашли эту настройку. В 2004 я сколько не бился эту настройку не нашел. Проблема в том, что ИСА передает credentails не с каждым запросом, а CRM требует их с каждым запросом. Соответственно та часть запросов, которые приходят без credentials посылаются в пень и выдается повторная аутентификация.

Можно как-нибудь побороть данную проблему (передовать credentials с каждым запросом) в 2004 ISA?

Цитата:

для pptp хватает tcp 1723

забыли про GRE (протокол № 47)

Valery12
я в курсе про гре, но на цисках например ничего не надо было пробрасывать кроме 1723

Нужна помощь по работе VPN Site-To-Site, есть кто-то кто разбирается?

invip
для ускорения решения проблемы неплохо было бы ее описать