none
Проблема с VPN

    Question

  • День добрый. я новичок в ISA, поэтому сразу прошу меня простить, если что не так говорю или объясняю. Проблема в следующем - при включении VPN доступа к ISA из внеш сети, через некоторое время пропадает интернет на машинах внутри сети. При этом чёткого интервала времени через которое пропадает инет нет, может черз 5 минут может через день. При этом не важно подключился кто по VPN или нет, от этого не зависит. При этом сам инет (коннект до провайдера) не падает, он как был подключён так и остаётся. Проблема с DNS появляется. Не разрешаются внеш имена, внутрении разрешаются замечательно. приметрно как описано здесь http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/faf00f88-c044-4763-8301-f5f51d2a2772
    Как только выключаешь VPN, всё работает замечательно.
    Конфигурация сервера - Win2003 SP2 + Isa2006 std SP1
    Подскажите пожалуйста, где ещё можно поковырять чтоб заработало нормально всё? 
    Sunday, April 26, 2009 10:28 AM

Answers

  • Gamlet, NAP действительно служит для ограничения доступа компьютеров к ресурсам сети, в которой он задействован. Но основывается NAP на политиках дотсупа, которые учитывают, например, состояние "здоровья" компьютера (health policy - наличие обновлений, состояние антивирусных баз и т.п.), а также другие важные факторы, свидетельствующие о "безопасности" компьютера, как, например, само наличие антивируса. В общем, к аутентификации пользователей (кстати, не путайте аутентификацию с авторизацией) NAP все же имеет отношение, но довольно посредственное.


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Wednesday, May 13, 2009 6:49 PM

All replies

  • ipconfig /all с клиента в сети , с домен контроллера,  c ISA  сервера .
    Ошибки на сервере в журналах есть - ISA И DC ?


    Абсолютно нормальный парень...
    Sunday, April 26, 2009 5:39 PM
  • в журналах ничего нет
    ipconfig завтра выложу.
    Sunday, April 26, 2009 5:45 PM
  • а на клиенте ошибки есть?
    Мне с трудом верится что ошибок не возникает.
    Абсолютно нормальный парень...
    Sunday, April 26, 2009 6:32 PM
  • ничего нет
    ситуация получается такая что (как я понял) напросы в интернет уходят, а вот обратно не приходят, вырубает всё, почту, веб, аську, месенджер, вся внут сеть работает

    Sunday, April 26, 2009 6:47 PM
  • Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : isa
       Основной DNS-суффикс  . . . . . . : OFFICE.LOCAL
       Тип узла. . . . . . . . . . . . . : гибридный
       IP-маршрутизация включена . . . . : да
       WINS-прокси включен . . . . . . . : нет
       Порядок просмотра суффиксов DNS . : OFFICE.LOCAL

    Inet - Ethernet адаптер:

       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : 3Com 3C900TPO-based Ethernet адаптер (уни
    версальный)
       Физический адрес. . . . . . . . . : 00-60-97-3A-04-A3
       DHCP включен. . . . . . . . . . . : да
       Автонастройка включена  . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 10.166.88.168
       Маска подсети . . . . . . . . . . : 255.255.0.0
       Основной шлюз . . . . . . . . . . : 10.166.0.1
       DHCP-сервер . . . . . . . . . . . : 10.1.3.37
       DNS-серверы . . . . . . . . . . . : 10.1.3.37
       Аренда получена . . . . . . . . . : 28 марта 2009 г. 17:12:58
       Аренда истекает . . . . . . . . . : 19 января 2038 г. 7:14:07

    Local - Ethernet адаптер:

       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : Realtek RTL8168C(P)/8111C(P) PCI-E Gigabi
    t Ethernet NIC
       Физический адрес. . . . . . . . . : 00-1F-D0-68-51-18
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 192.168.0.254
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . :
       DNS-серверы . . . . . . . . . . . : 192.168.0.1
       Основной WINS-сервер  . . . . . . : 192.168.0.1

    MCC - PPP адаптер:

       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
       Физический адрес. . . . . . . . . : 00-53-45-00-00-00
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : static ip
       Маска подсети . . . . . . . . . . : 255.255.255.255
       Основной шлюз . . . . . . . . . . : static ip
       DNS-серверы . . . . . . . . . . . : 85.113.212.65
                                           85.113.212.73

    Monday, April 27, 2009 4:52 AM
  • Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : ad1
       Основной DNS-суффикс  . . . . . . : OFFICE.LOCAL
       Тип узла. . . . . . . . . . . . . : гибридный
       IP-маршрутизация включена . . . . : нет
       WINS-прокси включен . . . . . . . : нет
       Порядок просмотра суффиксов DNS . : OFFICE.LOCAL

    Подключение по локальной сети - Ethernet адаптер:

       DNS-суффикс этого подключения . . : OFFICE.LOCAL
       Описание  . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
       Физический адрес. . . . . . . . . : 00-1A-92-28-FD-63
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 192.168.0.1
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . : 192.168.0.254
       DNS-серверы . . . . . . . . . . . : 192.168.0.1

    Monday, April 27, 2009 4:53 AM
  • Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : GAMLET-MOBILE
       Основной DNS-суффикс  . . . . . . : OFFICE.LOCAL
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет
       Порядок просмотра суффиксов DNS . : OFFICE.LOCAL

    Адаптер беспроводной локальной сети Беспроводное сетевое соединение:

       Состояние носителя. . . . . . . . : Носитель отключен
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер беспроводной сети Atheros AR5005G

       Физический адрес. . . . . . . . . : 00-16-CF-6A-5E-D1
       DHCP включен. . . . . . . . . . . : Да
       Автонастройка включена. . . . . . : Да

    Ethernet adapter Подключение по локальной сети:

       DNS-суффикс подключения . . . . . : OFFICE.LOCAL
       Описание. . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethernet
     сетевой адаптер
       Физический адрес. . . . . . . . . : 00-16-D4-4D-A8-15
       DHCP включен. . . . . . . . . . . : Да
       Автонастройка включена. . . . . . : Да
       Локальный IPv6-адрес канала . . . : fe80::68ec:3979:7aa4:504a%8(Основной)
       IPv4-адрес. . . . . . . . . . . . : 192.168.0.38(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Аренда получена. . . . . . . . . . : 27 апреля 2009 г. 8:44:20
       Срок аренды истекает. . . . . . . . . . : 2 мая 2009 г. 8:44:28
       Основной шлюз. . . . . . . . . : 192.168.0.254
       DHCP-сервер. . . . . . . . . . . : 192.168.0.1
       DNS-серверы. . . . . . . . . . . : 192.168.0.1
       Основной WINS-сервер. . . . . . . : 192.168.0.1
       NetBios через TCP/IP. . . . . . . . : Включен

    Туннельный адаптер Подключение по локальной сети*:

       Состояние носителя. . . . . . . . : Носитель отключен
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
       Физический адрес. . . . . . . . . : 02-00-54-55-4E-01
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Туннельный адаптер Подключение по локальной сети* 3:

       Состояние носителя. . . . . . . . : Носитель отключен
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : isatap.{39CC64D0-4C9A-4E84-A9F0-F987077BD
    3E2}
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Туннельный адаптер Подключение по локальной сети* 9:

       Состояние носителя. . . . . . . . : Носитель отключен
       DNS-суффикс подключения . . . . . : OFFICE.LOCAL
       Описание. . . . . . . . . . . . . : isatap.OFFICE.LOCAL
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    Monday, April 27, 2009 4:54 AM
  • тут вроде всё норм.
    На форуме - затрите Ваши внешние адреса для ISA сервер, если они статические.
    А что мониторинг ISA сервера говорит во время инцедента?

    Абсолютно нормальный парень...
    Monday, April 27, 2009 5:28 AM
  • ISA 2009-04-27 05:56:31 UDP 93.181.241.151:1027 85.113.212.65:53 93.181.241.151 Локальный компьютер Внешняя Terminate 0x80074e20 [System] Разрешить DNS от ISA Server к выделенным серверам DNS Y 190 190 415 415 107000 107000 - - - - - - 5395 46628 - - - 2009-04-27 05:56:31

    ISA 2009-04-27 05:56:34 TCP 192.168.0.18:2852 194.220.29.190:25 192.168.0.18 Внутренняя Внешняя Terminate 0x80074e20 Почта SMTP Y 13683 13683 3040 3040 57000 57000 - - - - - - 5397 46674 - - - 2009-04-27 05:56:34

    ISA 2009-04-27 05:56:35 TCP 192.168.0.34:1164 74.125.13.26:80 192.168.0.34 Внутренняя Внешняя Terminate 0x80074e24 Только веб-доступ HTTP N 0 0 242328 242328 545953 545953 - - - - - - 5283 46358 - - - 2009-04-27 05:56:35

    ИСА устанавливает соединения и потом их терминейтит.
    Monday, April 27, 2009 6:36 AM
  • а скриншотом можно?...
    первое же разорвано из-за системного правила....
    Так же - для самостоятельной диагностики можно воспользоваться инструментом журнал диагностики - входит в ISA 2006 SP1.
    C помощью него Вы смодете точно определить из -за чего проблема.
    Так же покажите отнощение между сетями.
    Какие Ip адреса получают клиенты VPN ?


    Абсолютно нормальный парень...
    Monday, April 27, 2009 6:39 AM
  • ISA 2009-04-27 05:56:31 TCP 192.168.0.18:2854 194.220.29.190:110 192.168.0.18 Внутренняя Внешняя Establish 0x0 Почта POP3 Y 0 0 0 0 - - - - - - - - 5397 46693 - - - 2009-04-27 05:56:31
    ISA 2009-04-27 05:56:31 UDP 192.168.0.254:3630 192.168.0.1:53 192.168.0.254 Локальный компьютер Внутренняя Terminate 0x80074e20 [System] Разрешить DNS от ISA Server к выделенным серверам DNS Y 57 57 100 100 62000 62000 - - - - - - 5334 46662 - - - 2009-04-27 05:56:31
    ISA 2009-04-27 05:56:31 UDP 93.181.241.151:3630 85.113.212.65:53 93.181.241.151 Локальный компьютер Внешняя Terminate 0x80074e20 [System] Разрешить DNS от ISA Server к выделенным серверам DNS Y 57 57 100 100 60000 60000 - - - - - - 5395 46671 - - - 2009-04-27 05:56:31
    ISA 2009-04-27 05:56:31 UDP 93.181.241.151:1027 85.113.212.65:53 93.181.241.151 Локальный компьютер Внешняя Terminate 0x80074e20 [System] Разрешить DNS от ISA Server к выделенным серверам DNS Y 190 190 415 415 107000 107000 - - - - - - 5395 46628 - - - 2009-04-27 05:56:31
    ISA 2009-04-27 05:56:34 TCP 192.168.0.18:2852 194.220.29.190:25 192.168.0.18 Внутренняя Внешняя Terminate 0x80074e20 Почта SMTP Y 13683 13683 3040 3040 57000 57000 - - - - - - 5397 46674 - - - 2009-04-27 05:56:34
    ISA 2009-04-27 05:56:35 TCP 192.168.0.34:1164 74.125.13.26:80 192.168.0.34 Внутренняя Внешняя Terminate 0x80074e24 Только веб-доступ HTTP N 0 0 242328 242328 545953 545953 - - - - - - 5283 46358 - - - 2009-04-27 05:56:35
    ISA 2009-04-27 05:56:35 TCP 192.168.0.34:1208 89.111.176.21:80 192.168.0.34 Внутренняя Внешняя Terminate 0x80074e24 Только веб-доступ HTTP N 0 0 197393 197393 56500 56500 - - - - - - 5283 46675 - - - 2009-04-27 05:56:35
    ISA 2009-04-27 05:56:39 TCP 192.168.0.34:1211 89.111.176.31:80 192.168.0.34 Внутренняя Внешняя Terminate 0x80074e24 Только веб-доступ HTTP N 0 0 324 324 20469 20469 - - - - - - 5283 46689 - - - 2009-04-27 05:56:39
    ISA 2009-04-27 05:56:39 TCP 192.168.0.34:1212 89.111.176.31:80 192.168.0.34 Внутренняя Внешняя Terminate 0x80074e24 Только веб-доступ HTTP N 0 0 324 324 20469 20469 - - - - - - 5283 46690 - - - 2009-04-27 05:56:39
    ISA 2009-04-27 05:56:41 TCP 192.168.0.34:1213 89.111.176.31:80 192.168.0.34 Внутренняя Внешняя Establish 0x0 Только веб-доступ HTTP N 0 0 0 0 - - - - - - - - 5283 46694 - - - 2009-04-27 05:56:41
    ISA 2009-04-27 05:56:41 TCP 192.168.0.34:1214 89.111.176.31:80 192.168.0.34 Внутренняя Внешняя Establish 0x0 Только веб-доступ HTTP N 0 0 0 0 - - - - - - - - 5283 46695 - - - 2009-04-27 05:56:41
    ISA 2009-04-27 05:56:41 TCP 192.168.0.34:1215 89.111.176.31:80 192.168.0.34 Внутренняя Внешняя Establish 0x0 Только веб-доступ HTTP N 0 0 0 0 - - - - - - - - 5283 46696 - - - 2009-04-27 05:56:41
    ISA 2009-04-27 05:56:41 TCP 93.181.241.151:22448 89.111.176.31:80 93.181.241.151 Локальный компьютер Внешняя Establish 0x0 - HTTP N 0 0 0 0 - - - - - - - - 5398 46697 - - - 2009-04-27 05:56:41
    ISA 2009-04-27 05:56:48 TCP 192.168.0.18:2854 194.220.29.190:110 192.168.0.18 Внутренняя Внешняя Terminate 0x80074e20 Почта POP3 Y 458 458 575 575 17000 17000 - - - - - - 5397 46693 - - - 2009-04-27 05:56:48
    ISA 2009-04-27 05:56:51 TCP 192.168.0.1:1187 192.168.0.254:8080 192.168.0.1 Внутренняя Локальный компьютер Terminate 0x80074e21 - HTTP-прокси Y 2339 2339 1720 1720 127000 127000 - - - - - - 5286 46629 - - - 2009-04-27 05:56:51
    ISA 2009-04-27 05:56:58 TCP 192.168.0.38:49392 62.205.161.4:143 192.168.0.38 Внутренняя Внешняя Intermediate 0x0 Почта IMAP4 Y 30020 2182 148428 8418 3600000 899969 - - - - - - 5189 45353 - - - 2009-04-27 05:56:58
    ISA 2009-04-27 05:57:01 UDP 0.0.0.0:68 255.255.255.255:67 0.0.0.0 Внутренняя Локальный компьютер Denied 0xc004000d Правило по умолчанию DHCP (запрос) N 0 0 0 0 - - - - - - - - 0 0 - - - 2009-04-27 05:57:01
    ISA 2009-04-27 05:57:01 UDP 0.0.0.0:68 255.255.255.255:67 0.0.0.0 Внутренняя Локальный компьютер Denied 0xc004000d Правило по умолчанию DHCP (запрос) N 0 0 0 0 - - - - - - - - 0 0 - - - 2009-04-27 05:57:01

    Внутрення - Внешняя - NAT
    VPN - внутреняя - Route
    VPN назначен статический пул 192,168,10,х
    с диагностикой попробую, сейчас не могу, а то работа всего офиса встанет
    Monday, April 27, 2009 6:55 AM
  • Переставил сервер контролера домена на сервер 2008, соответсвенно новый домен, Ису заново включил в домен, инет раздаёт.
    При попытке соединиться по VPN соединение устанавливается, но проверка пользователя не проходит - 691 ошибка. В журнале сервера написано, что пользователь такой то установил соединение, но не прошёл проверку.
    Укажите плиз направление где чего поковырять.
    Thursday, May 07, 2009 1:30 PM
  • в свойтсвах vpn какой тип шифорования ?
    + смотрите какой chap задействован.


    Абсолютно нормальный парень...
    Thursday, May 07, 2009 2:07 PM
  • никакого шифрования нет, версия 2
    настройки ису и VPN не менялись при переустановке AD

    ошибок на контроллере нет, единственно что на Исе появляется ошибка IAS описания для которой нет (код 5050 вроде).

    Thursday, May 07, 2009 4:46 PM
  • Опишите подробнее, как у Вас ISA настроен в качестве VPN-сервера. RADIUS у Вас все-же задействован? У Вас ISA в проблемный момент (ну, когда "пропадает интернет") в lockdown-режим не уходит?
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Thursday, May 07, 2009 5:28 PM
  • в свойтсвах учётной записи в ADUC ПОСМОТРИТЕ DIAL-IN
    да и в самой isa проверьте правило доступа vpn
    а лучше его тут опишите.


    Абсолютно нормальный парень...
    Thursday, May 07, 2009 5:29 PM
  • сейчас инет уже не пропадает, но и подключиться не могу.
    иса работала (конгда пропадал инет) как обычно, в lockdown не переходила
    Thursday, May 07, 2009 5:43 PM
  • Так что у Вас с моделью аутентификации? IAS участвует?
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Thursday, May 07, 2009 5:47 PM
  • стоит разрешение на dial-in
    между сетями vpn и внутренняя стоит маршрутизация
    правило в фаерволе - vpn-внетренняя-весь трафик-все

    проблема не с доступом клиента к сети, а с доступом Исы к AD как я понимаю, потому что конект до Исы проходит, а дальше когда Иса проверяет логини пароль глюк, она их проверить не может.

    при включении VPN на Исе выдалось требование включить Ису в AD в группу Сервера RAS и IAS - включил (надо попробовать исключить и проверить)
    Thursday, May 07, 2009 5:47 PM
  • а может быть вы вместо пользователей "Все" вставите одного? - это я про правило досутпа из сети vpn to internal.

    Абсолютно нормальный парень...
    Thursday, May 07, 2009 5:50 PM
  • ещё не силён в Исе, так что объясню как могу - IAS сервер у меня не поднят, сам сервер ИСА введён в домен, так что как я понимаю Иса должна автоматически всех аунтефицировать из AD (так было пока AD был на 2003 сервере, сейчас AD на 2008 сервере). Radius на Исе точно не настроен.
    Thursday, May 07, 2009 5:52 PM
  • раз чрез ад, то она автоматически будет пускать или не пускать если в правилах присутсвуют доменные пользователи или все прошедшие проверку - на сет все пользователи распространяются другие правила. А именно использовать этот сет необходимо в случае, если нужно пускать анонимных пользователей.
    Предыдущие вопросы в силе.
    Абсолютно нормальный парень...
    Thursday, May 07, 2009 5:54 PM
  • правила фаервола не менялись при смене AD, как стояли все (и при этом работал VPN, но отрубался инет) так и стоят сейчас.

    рылся на форуме, нашёл нечто подобное, но относительно домена на 2000 сервере и там было предложение сервер включить в групп Пред-2000 , якобы при входе сервер не мог прочитать Dial-In свойства пользователя. Ису туда включил - не помогло.
    Thursday, May 07, 2009 5:55 PM
  • раз чрез ад, то она автоматически будет пускать или не пускать если в правилах присутсвуют доменные пользователи или все прошедшие проверку - на сет все пользователи распространяются другие правила. А именно использовать этот сет необходимо в случае, если нужно пускать анонимных пользователей.
    Предыдущие вопросы в силе.
    Абсолютно нормальный парень...

    попробую "все" заменить на "прошедшие проверку" , но по моему это ничего не даст, так как я не прохожу как раз проверку.

    у меня дурное чуство. что либо Иса на 2003 сервере не может прочитать что-то из свойств пользователя в AD на 2008 сервере, либо ей для этого не хватает администратиных привелегий.
    Thursday, May 07, 2009 6:00 PM
  • По поводу группы "Серверы RAS и IAS". В принципе, членством в этой группе имеет смысл управлять, когда, например, серверу IAS нужно обращаться к объектам каталога не своего домена, в котором он и включается в эту группу. Но! Как показывает практика, включать туда серверы нужно обязательно!

    Посмотрите в RRAS на ISA, что у Вас там "накручено"...



    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Thursday, May 07, 2009 6:09 PM
  • По поводу группы "Серверы RAS и IAS". В принципе, членством в этой группе имеет смысл управлять, когда, например, серверу IAS нужно обращаться к объектам каталога не своего домена, в котором он и включается в эту группу. Но! Как показывает практика, включать туда серверы нужно обязательно!

    Посмотрите в RRAS на ISA, что у Вас там "накручено"...


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)

    в RRAS ничего не добавлял, что Иса сама туда включила, то и осталось.
    надо бы ещё попробовать исключить Ису из домена и повторно ввести.
    Thursday, May 07, 2009 6:15 PM
  • Прокси используется?

    • Proposed as answer by SOGNOLO Sunday, October 18, 2009 8:22 AM
    Friday, May 08, 2009 11:47 AM
  • да

    Friday, May 08, 2009 11:53 AM
  • при подключении по VPN в журналах сервера появляются

    Тип события: Уведомление
    Источник события: IAS
    Категория события: Отсутствует
    Код события: 5050
    Дата:  08.05.2009
    Время:  14:37:41
    Пользователь:  Н/Д
    Компьютер: ISA
    Описание:
    Не найдено описание для события с кодом ( 5050 ) в источнике ( IAS ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. Попробуйте использовать ключ /AUXSOURCE= для получения этого описания, - дополнительные сведения об этом содержатся в справке. В записи события содержится следующая информация: DC1.office.local; OFFICE.

    Тип события: Предупреждение
    Источник события: RemoteAccess
    Категория события: Отсутствует
    Код события: 20014
    Дата:  08.05.2009
    Время:  14:39:00
    Пользователь:  Н/Д
    Компьютер: ISA
    Описание:
    Пользователь "office\gamlet" подключился, но не прошел проверку подлинности на порте "VPN4-3". Связь была отключена.

    Тип события: Ошибка
    Источник события: IAS
    Категория события: Отсутствует
    Код события: 5052
    Дата:  08.05.2009
    Время:  17:06:01
    Пользователь:  Н/Д
    Компьютер: ISA
    Описание:
    Не найдено описание для события с кодом ( 5052 ) в источнике ( IAS ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. Попробуйте использовать ключ /AUXSOURCE= для получения этого описания, - дополнительные сведения об этом содержатся в справке. В записи события содержится следующая информация: OFFICE.LOCAL.

    Friday, May 08, 2009 1:21 PM
  • нашел описание ошибки 5052

    http://www.eventid.net/display.asp?eventid=5052&eventno=6365&source=IAS&phase=1

    Description There is no domain controller available for domain <domain>.

    бррр.... это как? доменным пользователем на Ису я зайти могу.
    Friday, May 08, 2009 1:31 PM
  • Покажите Ваше правило доступа vpn клиентов .
    Абсолютно нормальный парень...
    Friday, May 08, 2009 7:17 PM
  • vpn -> внутренняя -> всеь трафик -> все

    Saturday, May 09, 2009 4:23 AM
  • поменяйте set все пользователи на одного доменного. Под ним и зайдите.
    Я Вам писал об этом ранее.
    Абсолютно нормальный парень...
    Saturday, May 09, 2009 5:29 AM
  • поменяйте set все пользователи на одного доменного. Под ним и зайдите.
    Я Вам писал об этом ранее.
    Абсолютно нормальный парень...

    не помогает.
    я так понимаю что проблема не в правилах, а в том что ИСА на 2003 сервер не может получить доступ к AD на 2008 сервере.
    Monday, May 11, 2009 7:29 AM
  • может быть проблема в NAP (новой виче в сервер 2008)?
    http://www.techdays.ru/videos/1113.html
    Wednesday, May 13, 2009 5:52 PM
  • А у Вас задействован NAP?..
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Wednesday, May 13, 2009 6:31 PM
  • как раз нет, но как я понял из доклада он как раз и осуществляет авторизацию пользователей из вне.

    Wednesday, May 13, 2009 6:33 PM
  • Gamlet, NAP действительно служит для ограничения доступа компьютеров к ресурсам сети, в которой он задействован. Но основывается NAP на политиках дотсупа, которые учитывают, например, состояние "здоровья" компьютера (health policy - наличие обновлений, состояние антивирусных баз и т.п.), а также другие важные факторы, свидетельствующие о "безопасности" компьютера, как, например, само наличие антивируса. В общем, к аутентификации пользователей (кстати, не путайте аутентификацию с авторизацией) NAP все же имеет отношение, но довольно посредственное.


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Wednesday, May 13, 2009 6:49 PM
  • Gamlet, прошу прощения. Как все-таки решили проблему с ошибкой 5052 и нерабочим VPN в связке AD2008 + ISA2006?
    У меня симптоы похожие. Перестал работать VPN-доступ к сети при поднятии контроллера домена на Win 2008.

    Friday, December 18, 2009 8:24 AM