none
Windows Server 2012 R2 na Azure problem s IIS a zdielanymi adresarmi RRS feed

  • Dotaz

  • Dobry den,

    mame 3 servery DC1,DC2 a SQLserver, OS je na nich Windows Server 2012 R2.  Problem spociva v tom, ze  uzivatelovi, ktory je prihlaseny do domeny prestane fungovat pristup na IIS server a takisto od toho okamihunie  su dostupne zdielane adresare na DC1. Ping na server a RDP je funkcne nadalej. Pristup na zdielane adresare na ostatne servery je funkcny nadalej. Pomoze jedine restart servera alebo zmena IP adresy uzivatela. IIS v logu, ked nastane problem zaznamena chybu 401. Restart IIS nepomoze, Ukoncenie pripojenia na zdielany adresar takisto nie( Local Computer(DC1) - Computer management - shared folder - sessions).

    Kde moze byt problem?

    Vdaka


    • Upravený jarod123 pátek 19. července 2019 13:24
    pátek 19. července 2019 13:22

Všechny reakce

  • 1. Co to znamená, že "uživatel je přihlášený do domény"? On se přihlašuje i jinak? Jak?

    2. Ten IIS server běží kde? Ve stejném nebo jiném subnetu?

    3. Jak je nakonfigurováno DNS? Kde běží DNS servery, jaké DNS server jsou ve vlastnostech TCP/IP na stanicích i serverech?

    4. Uživatel má nějakou IP adresu? Jak k ní přišel? Jak se mění IP adresa uživatele?

    5. Co eventlogy na serverech i stanici? Nic podezřelého?


    BB

    neděle 21. července 2019 19:15
  • O jake stranky se jedna, co na nich bezi (napr. SQL dotaz s NT autentikaci pres trusted for delegation)? Autentikace je NT? Jine "zabezpeceni" (napr. seznam opravnenych siti) nepouzivas?

    MP

    neděle 21. července 2019 19:54
    Moderátor
  • 1. Neprihlasuje sa inak. Kazdy uzivatel ma konto v AD na DC1 serveri. Je mozny este pristup cez RDP pre vybranych uzivatelov.

    2. IIS server je spusteni na DC1

    3. Pripojenie na servery je cez VPN (site-to-site), subnet je 10.0.2.0/24.

    Servery maju IP:

    DC1 -10.0.2.4, tu je DNS1 a aj IIS

    DC2 - 10.0.2.5, tu je DNS2

    SQL - 10.0.2.6

    GW maju servery nastavene na 10.0.2.1

    v TCP/IP maju servery DNS1 10.0.2.4, DNS2 10.0.2.5

    4. Na strane uzivatelov je konfiguracia nasledovna:

    GW (mikrotik1)- 192.168.1.252 -<-> DHCP mikrotik2 - 192.168.1.251 <-> Uzivatelia 192.168.1.1-150

    Uzivatelia maju nastavene v TCP/IP DNS1 10.0.2.4, DNS2 8.8.8.8 a GW 192.168.1.252

    Ked uzivatelovi prestane fungovat pripojenie na DC1, tak mu manualne zmenime IP na jednu z rozsahu 192.168.1.151-250

    5. Praveze eventlogy na serveri nevykazuju nic neobvykleho, z toho casu, ked to prestane fungovat, nie je ziaden zaznam. V logu IIS je akurat toto:

    2019-07-19 05:31:38 10.0.2.4 GET /RK/toolbar/toolbar.asp UserChange=1 80 - 192.168.1.50 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+10.0;+WOW64;+Trident/7.0;+.NET4.0C;+.NET4.0E;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.30729;+.NET+CLR+3.5.30729) http://dc1/RK/default.asp 401 2 5 4469

    pondělí 22. července 2019 7:56
  • Pri pristupe na stranku sa vyzaduje Windows autentizacia, ine zabezpecenie sa nepouziva. Nasledne sa vytvori spojenie na SQL server a odtial sa nacitavaju udaje na stranku.
    pondělí 22. července 2019 8:40
  •  Nasledne sa vytvori spojenie na SQL server a odtial sa nacitavaju udaje na stranku.

    A to spojeni pouziva jakou autentikaci? SQL? Microsoft (a pak je povolena delegace, aby IIS mohl konektit do SQL on behalf of user)?

    MP

    pondělí 22. července 2019 9:27
    Moderátor
  • v tom skripte je pripojenie robene takto:

    Application("Authentication") = "Windows" 

    Application("CLIENTCODE") = "******" 

    Application("CS") = "Provider=SQLOLEDB.1;Initial Catalog=******;Data Source=DBSQL;User ID=*****;Password=*****;"  

    Set oDB = Server.CreateObject(Application("DbManager") & ".DmDatabase") 

    Set oUsers = Server.CreateObject(Application("DbManager") & ".DmUsers")

    DBmanager je subor dbmanager.dll.

    (a pak je povolena delegace, aby IIS mohl konektit do SQL on behalf of user)?

     -toto netusim, viete ma nasmerovat, zeby som to zistil?


    úterý 23. července 2019 9:13
  • Tak vzhledem k tomu, co si poslal, tak delgaci resit nemusis.

    IISko se pripojuje k DB jednim nadefinovanym uctem a heslem.

    Ja cmucham problem v tomto:

    Pripojenie na servery je cez VPN (site-to-site), subnet je 10.0.2.0/24.

    Deje se tento problem i v primarni lokalite, nebo jen ve vzdalene, priopojene VPNkou?

    Proste to na me pusobi tak, ze VPN tunel nejakym zpusobem brani komunikaci, protoze zmenou IP na strane koncoveho uzivatele se to vyresi - teda alespon to tak pises.

    EDIT: a protoze jde o AZURE, tak zkus projit https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-troubleshoot-vpn-point-to-site-connection-problems

    A https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-troubleshoot-site-to-site-cannot-connect


    úterý 23. července 2019 12:21
  • Uz sa stalo, ze sa tento problem vyskytol aj priamo na DC1, ze IIS prestal zobrazovat na DC1 danu stranku, zatial co ostatni uzivatelia nemali s tym ziaden problem.

    Vdaka, pozriem si tie dokumenty.

    úterý 23. července 2019 19:20
  • Ted jsem si to precetl poradne:

    Takze jsem pres RDP na DC1 = jsem prihlasen primo na DC domenovym uctem, spustim IISkovou aplikaci a ta nefunguje?

    Chapu to spravne?

    Pak je problem v te WEB aplikaci, nikoliv v domene.

    středa 24. července 2019 8:25
  • Ano, stal sa uz aj taky pripad. Akurat sa to prejavilo tak, ze Web aplikacia fungovala a potom na DC1 prestala.

    Ostatnym uzivatelom, ktori na nu pristupovali cez VPN, vsak v tom case fungovala dalej.

    středa 24. července 2019 15:58